Go to Qiita Advent Calendar Top
LoginSignup
23
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@m-yoshimurain株式会社エニプラ

ネットワーク~ACL(AccessList)活用例~

Last updated at Posted at 2025-08-18

はじめに

本記事はCisco製品をベースとして書いています。
ACL(AccessList)は、L3スイッチやルータ等で通信制御を行う機能になりますが、
他の機能と組み合わせてこんな使い方もするんだと、参考になればとよいかと思います。

ACL活用例

・アクセス制御

機器に入ってくる通信(IN)と出ていく通信(OUT)の送信元や宛先を識別し制御するために用いられます。
シンプルにこの機能のみ使うこともありますし、後述の、他の機能と組み合わせても使うこともできます。

ACL.png

・ルート広報制御

動的ルーティング(BGP、EIGRP、OSPF等々)を構成しているネットワークで、
隣接機器やネットワークに、広報するルートや再配送するルートの制御を行うために用いられます。
ACLは、どのルートを制御対象にするか決めるために使われます。
ルート制御.png

・QoS(Quality of Service)制御

機器を通過する特定の通信に対して、帯域制御や優先度付け、処理方法など細かな制御を行うために用います。
ACLは、どの通信をQoSの制御対象にするか決めるために使われます。
QOS.png

アクセス制御

・ACLの種類

ACLは標準ACLと拡張ACLの2種類があり、用途別に使い分けることができます。
名前付けやシーケンス番号の付け方を決めておくと、ACLの識別や設定手順など運用面で役に立ちます。

種類 設定値
標準ACL 送信元IPを指定できる
拡張ACL 送信元&宛先IP、ポートを指定できる
名前付きACL 標準&拡張ACLに任意の名前を付けることができる

・ACLの適用箇所&制御条件

機器によって設定可否もありますが、適用箇所によって制御できる通信が異なります。
複数設定する場合、どこで何の通信を制御しているのか理解しておく必要があります。

適用箇所 制御条件
PACL Port ACL。物理IFに入ってくる通信(IN)を制御できる
VACL VLAN ACL。VLANに入ってくる通信(IN)を制御できる
RACL Router ACL。SVIやL3インターフェイスに入ってくる&出ていく通信(IN/OUT)を制御できる
VTY 機器自体へのアクセスや機器からのリモート接続先を制御する(標準ACLのみ設定可)

参考:https://www.infraexpert.com/study/aclz17.html
参考:https://www.infraexpert.com/study/aclz8.html

・設定例

下記は、冒頭イメージ図のアクセス制御を拡張ACL(名前付き)&RACLの設定例になります。

ACL作成
L3SW(config)# ip access-list extended TEST
L3SW(config-ext-nacl)# deny ip host 10.10.10.1 host 30.30.30.1
L3SW(config-ext-nacl)# permit ip host 10.10.10.2 host 30.30.30.1
SVI&ACL適用
L3SW(config)# interface vlan 10
L3SW(config-if)# ip address 10.10.10.254 255.255.255.0
L3SW(config-if)# ip access-group TEST in

ルート広報制御

ルーティングプロトコルによって設定や制御方法が異なるため、参考に1例を紹介します。
下記は、冒頭イメージ図のEIGRPのルート広報制御する時の設定例になります。

・設定例

ACL作成
L3SW(config) #  access-list 10 permit 10.10.10.0 0.0.0.255
EIGRP&ACL適用
L3SW(config)# router eigrp 100
L3SW(config-router)# redistribute connected 1000 100 255 1 1500
L3SW(config-router)# distribute-list 10 out GigabitEthernet0/1

QoS制御

QoS制御方法は、用途によって設定が異なるため、これも参考に1例を紹介します。
下記は、特定の通信&物理IFに対して帯域制御をかける時の設定例になります。

・設定例

ACL作成
L3SW(config)# ip access-list extended ACL_10M
L3SW(config-ext-nacl)# permit ip any host 30.30.30.1
クラスマップ作成&ACL紐付け
L3SW(config)# class-map match-all CM_10M
L3SW(config-cmap)# match access-group ACL_10M
ポリシーマップ作成&10Mbps帯域制限
L3SW(config)# policy-map PM_10M
L3SW(config-pmap)# class CM_10M
L3SW(config-pmap-c)# police 10000000 1000000 conform-action transmit exceed-action drop
物理IF&ポリシーマップ適用
L3SW(config)# interface GigabitEthernet0/1
L3SW(config-if)# service-policy input PM_10M

今回はここまで。では、また次の機会に。m(_ _"m)

23
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
23
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?