CCNA8 ACL
■ACLとは
ACLはルータの「インタフェース」を通過する際に適用される条件のリスト。
標準IP-ACL(標準ACL)は「送信元IPアドレス」のみを条件
・送信元・あて先IPアドレス
・IPヘッダの中身(ToS・フラグメント)
・使用プロトコル
・送信元・あて先ポート番号(TCP/UDP時)
・ICMPタイプ(ICMP時)
⇒インターフェースに対して設定する!
■ACL番号の範囲 ACLの種類
1〜99,1300〜1999 ⇒ 標準IP
100〜199,2000〜2699 ⇒ 拡張IP
■ACLの「作成」
ACLは以下の手順によって作成され,適用されます。
1:ACLの各行を設定する
2:ACLをインタフェースのインバウンド/アウトバウンドに適用する
1:(config)# access-list [ACL番号] [permit | deny] [送信元IPアドレス] [ワイルドカードマスク]
※ワイルドカードマスクは「下から」マスクされている個所を足していく。
/29 なら ⇒ 00000111 ⇒7
※ワイルドカードマスクの0.0.0.0(そのアドレスのみ)と,
255.255.255.255(すべてのアドレス)は,特殊な書き方が可。
■ACLの「適用」
(config) interface fa 0/1
(config-if)# ip access-group [ACL番号] [in | out]
■ACLの「確認」
# show access-lists
⇒ACLのIP設定範囲 (適用portはわからない)
# show ip interface
⇒portに対して適用しているACLのLIST
# show running-config
⇒portに対して適用しているACLのLIST
■拡張ACL
拡張IP-ACLのACL番号は100〜199,2000〜2699
(config)# access-list [ACL番号] [permit | deny] [プロコトル] [送信元] {ポート} [あて先] {ポート} {オプション}
設定が複雑になりがち。
[プロトコル] キーワード
・使用するプロトコルを記入する。ip,tcp,udp,icmpなど
・tcpまたはudpを指定すると,ポート番号を条件として使用できる
・ipを指定すると,tcp,udp,icmpのすべてのトラフィックを含む
ipを指定した場合は,基本的なトラフィックをすべて含むと考えるとよい。
「permit ip any any」や「deny ip any any」は
「すべてのトラフィック許可」「すべてのトラフィック拒否」として使用します。
{ポート} キーワード
・プロトコルキーワードでtcpやudpを使用した場合にのみ使用できる
・記述方法は「lt,gt,eq」+「番号」
・「lt 番号」は,そのポート番号より小さい
・「gt 番号」は,そのポート番号より大きい
・「eq 番号」は,そのポート番号と等しい
例えば,「lt 1024」と記述すれば,「1024番より小さいポート番号のトラフィック」
という意味になり,ウェルノウンポートを示します。
「gt 1023」では「1023番より大きいポート番号のトラフィック」で
一般的なクライアントアプリケーションが使うポートになります。
「eq 80」と記述すればHTTP,「eq 25」と記述すればSMTPを指すことになります。
{オプション} キーワード
・ACLで使用するオプションを示します
よく使われるものとしては次のものがあります
「log」は,ACLに一致したもののログを表示します
「established」は,スリーウェイハンドシェーク後の
TCPコネクションが確立されたトラフィックを示します
■ACLの削除
(config)# no access-list [ACL番号]
・・・ ACL番号のすべての行を削除する
※一部の設定だけを削除したり変える事はできない。
■名前付きACL
(config)# ip access-list {standard | extended} [ACL名]
※{standard | extended}
作成するACLが標準(standard)か拡張(extended)か
※名前付きACLの特定行だけを削除したい場合は,その行と同じ内容に「no」を付けて入力します
■アクセスクラス
⇒「vtyポートへのtelnet接続が可能なホストを決定する」
(config)#line vty 0 4
(config-line)# access-class [ACL番号] in
(例)192.168.1.0/24と192.168.2.0/24 からtelnet許可
(config) access-list 10 permit 192.168.1.0 0.0.0.255
(config) access-list 10 deny any
(config) line vty 0 4
(config-line) login
(config-line) password cisco
(config-line) access-class 10 in ※