Contents
アクセスコントロールリスト
とは、通信アクセスを制御するためのリストのことです。
ルータを通過するパケットに対して、通過を許可するパケット、通過を拒否するパケットを決めることができます。
このACLは文字どおりリストになっており、「上から下に読んでいきます」(下記図を参照してください
)
暗黙のdeny anyとは
最終行(今回は3行目)に自動生成される文。deny 拒否 any 全て ということで全てのパケットを拒否するという構文になっています。これはお決まりで勝手に入って来ます。
標準ACLと拡張ACL
標準ACLとは
送信元IPアドレスをチェックするACL
拡張ACL
送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号をチェックするACLとなります。
つまり、標準と拡張でACLを設定できる範囲が違うということですね。
インバウンドACLとアウトバウンドACL
要はルーターの(送信側から見て)内側側か外側かに設定するということです。
図で確認しましょう。
このようにフィルタリングのタイミングとルーティング参照のタイミングが違うという認識をしてください。
ワイルドカードマスク
ワイルドカードマスクとは
シスコではACLの条件文のなかでIPアドレスの範囲を指定する時に、ワイルドカードマスクを使用します。ワイルドカードマスクは、指定したIPアドレスのどの部分を読み取る必要があるのかを指定するかを指定するための情報です。
0、、、、全てチェックする
1、、、、チェックしない
例えば172.16.2.0/24というネットワークがあったとします。この場合のワイルドカードマスクはACLの条件文の中で172.16.2.0 0.0.0.255と入力ができるわけです。
番号つき標準ACL
access-list numberを指定して送信側アドレスをチェックする。
構文
(config)# access-list number [ permit | deny] source wildcard
下記のような図を作ったので確認して見てください。
パケットトレーサーはこちらから
名前つき標準ACL リンクからダウンロードしてパケットトレーサーで実行してください。
名前つき標準ACL
先ほどはACL番号を使いましたが、今回はその代わりに名前で設定する方法です
上記をパケットトレーサーで作成しましたので確認してください。
構文
(config)# ip access-list standard name
(config-std-nacl)# number [ permit | deny ] source wildcard
ACLの検証
show access-list
今設定しているアクセスリストが出て来ます
show ip interface
outgoing out側の設定 inbound in側の構成
