CCNA8　ACL - yasuaoki5315の日記

■ACLとは
ACLはルータの「インタフェース」を通過する際に適用される条件のリスト。

標準IP-ACL（標準ACL）は「送信元IPアドレス」のみを条件

・送信元・あて先IPアドレス
・IPヘッダの中身（ToS・フラグメント）
・使用プロトコル
・送信元・あて先ポート番号（TCP/UDP時）
・ICMPタイプ（ICMP時）

⇒インターフェースに対して設定する！

■ACL番号の範囲 ACLの種類
1〜99,1300〜1999 ⇒　標準IP
100〜199,2000〜2699　⇒　拡張IP

■ACLの「作成」

ACLは以下の手順によって作成され，適用されます。

1:ACLの各行を設定する
2:ACLをインタフェースのインバウンド/アウトバウンドに適用する

1:(config)# access-list [ACL番号] [permit | deny] [送信元IPアドレス] [ワイルドカードマスク]

※ワイルドカードマスクは「下から」マスクされている個所を足していく。
/29　なら　⇒　00000111　⇒7

※ワイルドカードマスクの0.0.0.0（そのアドレスのみ）と，
　255.255.255.255（すべてのアドレス）は，特殊な書き方が可。

■ACLの「適用」

(config) interface fa 0/1
(config-if)# ip access-group [ACL番号] [in | out]

■ACLの「確認」
# show access-lists
　⇒ACLのIP設定範囲　（適用portはわからない）

# show ip interface
　⇒portに対して適用しているACLのLIST

# show running-config
　　⇒portに対して適用しているACLのLIST

■拡張ACL

拡張IP-ACLのACL番号は100〜199，2000〜2699

(config)# access-list [ACL番号] [permit | deny] [プロコトル] [送信元] {ポート} [あて先] {ポート} {オプション}

設定が複雑になりがち。

[プロトコル] キーワード

・使用するプロトコルを記入する。ip，tcp，udp，icmpなど
・tcpまたはudpを指定すると，ポート番号を条件として使用できる
・ipを指定すると，tcp，udp，icmpのすべてのトラフィックを含む
　ipを指定した場合は，基本的なトラフィックをすべて含むと考えるとよい。
　「permit ip any any」や「deny ip any any」は
　「すべてのトラフィック許可」「すべてのトラフィック拒否」として使用します。

{ポート} キーワード
・プロトコルキーワードでtcpやudpを使用した場合にのみ使用できる
・記述方法は「lt，gt，eq」＋「番号」
・「lt 番号」は，そのポート番号より小さい
・「gt 番号」は，そのポート番号より大きい
・「eq 番号」は，そのポート番号と等しい
　例えば，「lt 1024」と記述すれば，「1024番より小さいポート番号のトラフィック」
　という意味になり，ウェルノウンポートを示します。
　「gt 1023」では「1023番より大きいポート番号のトラフィック」で
　一般的なクライアントアプリケーションが使うポートになります。
　「eq 80」と記述すればHTTP，「eq 25」と記述すればSMTPを指すことになります。

{オプション} キーワード
・ACLで使用するオプションを示します
　よく使われるものとしては次のものがあります
「log」は，ACLに一致したもののログを表示します
「established」は，スリーウェイハンドシェーク後の
　TCPコネクションが確立されたトラフィックを示します

■ACLの削除

(config)# no access-list [ACL番号]
　･･･ ACL番号のすべての行を削除する

※一部の設定だけを削除したり変える事はできない。

■名前付きACL

(config)# ip access-list {standard | extended} [ACL名]

※{standard | extended}
　作成するACLが標準（standard）か拡張（extended）か

※名前付きACLの特定行だけを削除したい場合は，その行と同じ内容に「no」を付けて入力します

■アクセスクラス

⇒「vtyポートへのtelnet接続が可能なホストを決定する」

(config)#line vty 0 4
(config-line)# access-class [ACL番号] in

（例）192.168.1.0/24と192.168.2.0/24　からtelnet許可

(config) access-list 10 permit 192.168.1.0 0.0.0.255
(config) access-list 10 deny any
(config) line vty 0 4
(config-line) login
(config-line) password cisco
(config-line) access-class 10 in ※