前提条件 – アクセスリスト(ACL)
アクセスリスト(ACL)は、ネットワークトラフィックを制御してネットワーク攻撃を減らすために定義された規則の集合体です。 ACLは、ネットワークの受信または送信のために定義された一連のルールに基づいてトラフィックをフィルタリングするために使用されます。
標準アクセスリスト –
これらは、送信元IPアドレスのみを使用して作成されるアクセスリストです。 これらのACLは、すべてのプロトコルスイートを許可または拒否します。 TCP、UDP、HttpsなどのIPトラフィックの区別はありません。 1-99または1300-1999の数字を使用すると、ルーターは標準のACLとして理解し、指定されたアドレスはソースIPアドレスとして理解します。
特徴 –
- 標準アクセスリストは一般的に宛先の近くに適用されます(常にではありませんが)。
- 標準のアクセスリストでは、1〜99の範囲と1300〜1999の拡張範囲を使用します。
- 標準のアクセスリストはソースIPアドレスのみを使用して実装されています。
- If named with standard Access-list is used, you have the flexibility to delete a rule from access-list.
Note – Standard Access-list are less used as compared to extended access-list because it can not distinguish between the different IP protocol traffic will be allowed or denied for the traffic.All the IP Protocol Suites are not disclosed from the standard access-list.
設定 –
ここに、販売、財務、マーケティングという3つの部門がある小さなトポロジーがあります。 営業部門は 172.16.40.0/24 のネットワークを持ち、財務部門は 172.16.50.0/24 のネットワークを持ち、マーケティング部門は 172.16.60.0/24 のネットワークを持つことになります。 現在、営業部門から財務部門への接続を拒否し、それ以外のネットワークへの接続を許可したいと思います。
さて、まず営業部から財務部へのIP接続を拒否するための番号付き標準アクセスリストを設定します。
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
ここで、拡張アクセスリストのように、許可または拒否する特定のIPトラフィックを指定することはできません。 また、ワイルドカードマスク(0.0.0.255:サブネットマスク255.255.255.0)が使用されていることに注意します。 10は、標準的なアクセスリストの番号の範囲から使用されます。
R1(config)# access-list 110 permit ip any any
さて、すでにご存知のように、すべてのアクセスリストの最後には暗黙の拒否があり、これはトラフィックがアクセスリストのどのルールにも一致しない場合、トラフィックがドロップされることを意味します。
anyを指定すると、任意のIPアドレスを持つ送信元のトラフィックが、あなたが作った上記のルールに一致するものを除いて財務部門に到達することを意味しています。
次に、ルータのインタフェースにアクセスリストを適用します。
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
標準のアクセスリストは一般に宛先に適用されることを覚えていると思いますが、ここでも宛先に近いアクセスリストを適用すれば、ニーズを満たせるので、インタフェース fa0/1 へのアウトバウンドが適用されています。
名前付き標準アクセスリストの例 –
次に、同じトポロジーを考えて、名前付き標準アクセスリストを作成します。
R1(config)# ip access-list standard blockacl
このコマンドでblockaclという名前のアクセスリストを作りました。
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
そして、numbered access-listで行ったのと同じ設定を行います。
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Telnetの標準アクセスリストの例 –
ご存知のように、標準アクセスリストでは特定のIPトラフィックを指定して拒否することはできませんが、ラインvtyラインにアクセスリストを適用することにより、標準アクセスリストでTelnet接続を許可または拒否することができます。
この図では、あらゆるネットワークから財務部門へのtelnetを拒否したい場合を示しています。 同じように設定する:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out
