はじめに
引き続きCCNAの学習を進めていきます。
ACLとは?
・Access Control Listの略。ルータの仕事。
・「ACL」で検索すると「アジアチャンピオンズリーグ」が出るので、注意。
・通信(アクセス)を制御するための情報を記述したリスト。
・特定のIPアドレスや通信に対して、自ネットワークへのアクセス制限をしたい場合にACLを使用する。制限されたパケットはルータで破棄される。
・ルータを通過するパケットをフィルタリング。
・目的に応じて複数作成も可能。
ACLの動作
・パケットが到着するとルータは、自身のACLとパケット内の情報を比較して、そのパケットを許可or拒否する。
・条件にマッチしているかどうかは、表の上から順に確認していくのでリストの順番も非常に重要。(トップダウン方式)
・ACLの最後は**「暗黙のdeny」**(すべて拒否)が存在するので、ACLを作成する際はどこかに必ず「許可」を入れないと、全部拒否されてしまう。
ACLの種類
■標準ACL(Standard Access Control List)
・番号付き標準ACLと名前付き標準ACLがある。番号付きの場合は1〜99,1300〜1999で識別。
・送信IPアドレスのみをチェック。詳細なACLは作成できない。大雑把なやつ。
◆拡張ACL(Extended Access Control List)
・番号付き拡張ACLと名前付き拡張ACLがある。番号付きの場合は100〜199,2000〜2699で識別。
・宛先・送信元アドレス、プロトコル、宛先・送信元ポート番号もチェック。柔軟で詳細なACLを作成できる。
インバウンドとアウトバウンド
・ACLはインターフェース単位で設定を行う。
・ルータにパケットが入ってきたときにチェック(インバウンド)
・ルータからパケットが出ていくときにチェック(アウトバウンド)
実際のコマンド
■番号付き標準ACL
・グローバルコンフィギュレーションモードで行う。
(config)#access-list [リスト番号] [permit | deny] [送信元IPアドレス] [ワイルドカードマスク]
・リスト番号は1〜99,1300〜1999で選択。
・許可の場合はpermit拒否の場合はdeny
・標準ACLではワイルドカードマスク[0.0.0.0]は省略可能。
・「暗黙のdeny」が存在するので最後の行に「すべて許可」をしないと結果すべて拒否されてしまうので
(config)#access-list [リスト番号] permit any
をお忘れなく。
・条件文を作成した後はインターフェイスへインターフェイスへの適用とインバウンドorアウトバウンドの適用を行う。
(config-if)#ip access-group [リスト番号] [in | out]
となる。
◆番号付き拡張ACL
・グローバルコンフィギュレーションモードで行う。
(config)#access-list [リスト番号] [permit | deny] [プロトコル]
[送信元IPアドレス] [ワイルドカードマスク] [送信元ポート番号]
[宛先IPアドレス] [ワイルドカードマスク] [宛先ポート番号] [オプション]
長い。覚えられるかしら。
・リスト番号は100〜199,2000〜2699で選択。
確認コマンド
・特権モードで行う。
#show access-lists
最後に
お疲れ様でした。
私事ですが、SES企業に就職しもうすぐ2週間ですが面談の連絡がなく少し不安な気持ちで研修を受けております。
とりあえずこっそり爪を研いでいざという時に備えます・・・。