標準ACLとは
標準ACLは、送信元IPアドレスに基づいてトラフィックをフィルタリングする、最も基本的なACLの一つです。フィルタリングの基準となるのは送信元IPアドレスのみで、宛先IPアドレスやポート番号、プロトコルは考慮されません。
特徴
- 送信元IPアドレスに基づいてトラフィックをフィルタリング。
- **許可(permit)または拒否(deny)**のアクションを設定。
- ACL番号:
1-99または1300-1999。 - 主にルーティングされたパケットを制御するために使用されます。
標準ACLの設定
基本構文
Device(config)#access-list access-list-number { deny | permit } source [ source-wildcard ] [ log ]
コマンド 内容 access-list-number 範囲は1 ~ 99 または 1300 ~ 1999です。 deny | permit 条件が一致した場合にアクセスを拒否するか許可するかを指定します。 source 送信元アドレスを指定します。any(0.0.0.0 255.255.255.255 )やhost(送信元0.0.0.0)を使用できます。 log 一致するパケットに関するログを出力します。
作成したACLをインターフェイスに適用します。
Router(config)# interface interface-id
Router(config-if)# ip access-group number [ in | out ]
拡張ACLとは
拡張ACLは、標準ACLよりも詳細なフィルタリングが可能で、送信元IPアドレスだけでなく、宛先IPアドレス、プロトコル(TCP、UDP、ICMPなど)、ポート番号にも基づいてトラフィックをフィルタリングすることができます。これにより、より柔軟で高度なトラフィック制御が可能になります。
特徴
- 送信元IPアドレスと宛先IPアドレスをフィルタリング。
- プロトコル(TCP、UDP、ICMPなど)やポート番号を指定してフィルタリングが可能。
- ACL番号:
100-199または2000-2699。 - より複雑なトラフィック制御が必要な場合に適している。
拡張ACLの設定
基本構文
Device(config)#access-list access-list-number { deny | permit } protocol source source-wildcard [
operator port ]destination destination-wildcard [ operator port ][ established ] [ log [ log-input ] ]
コマンド 内容 access-list-number 範囲は100 ~ 199 または 2000 ~ 2699です。 deny | permit 条件が一致した場合にアクセスを拒否するか許可するかを指定します。 protocol ahp 、 eigrp 、 esp 、 gre 、 icmp 、 igmp 、 igrp 、 ip 、 ipinip 、 nos 、 ospf 、 pcp 、 pim 、 tcp 、 udp、またはIPプロトコル番号を示す0-255を指定します。 operator port 演算子 と ポートを入力します。使用可能な演算子には、 eq (等しい)、 gt (より大きい)、 lt (より小さい)、 neq (等しくない)、 range (包含範囲) などがあります。 established 確立された接続を一致させる場合に入力します。(TCPの戻り通信) log [ log-input マッチするトラフィックのログを作成します。ログに加えて、トラフィックがどのインターフェースを通過したかを記録するのはlog-inputを指定します。
作成したACLをインターフェイスに適用します。
Router(config)# interface interface-id
Router(config-if)# ip access-group number [ in | out ]
名前付きACL
ACL番号ではなく名前で識別する形式のACLです。名前付きACLは、標準ACLや拡張ACLの機能を持ちながら、より柔軟で管理しやすい方法を提供します。特に、ACLのエントリを追加・削除しやすいというメリットがあります。
名前付きACLの特徴
- 名前で管理: ACLを番号ではなく、任意の名前で管理できます。これにより、ACLの目的を明確に表現でき、ACLの管理がしやすくなります。
- 標準ACLまたは拡張ACLとして使用可能: 名前付きACLは、標準ACLや拡張ACLのいずれとしても定義できます。
- インクリメンタル編集が可能: 名前付きACLでは、既存のエントリに対して追加や削除が可能です。これにより、ACL全体を再設定することなく、部分的な変更ができるようになります。
- 柔軟性の向上: 後からエントリを追加したり、順序を調整したりすることが簡単にできます。
名前付きACLの設定
基本構文(標準ACL)
Device(config)#ip access-list standard name
Device(config-std-nacl)#{ deny | permit } { source [ source-wildcard ] | host source | any } [ log ]
コマンド 内容 name 任意の文字列または1から99の数字を指定します。 deny | permit 条件が一致した場合にアクセスを拒否するか許可するかを指定します。 source 送信元アドレスを指定します。any(0.0.0.0 255.255.255.255 )やhost(送信元0.0.0.0)を使用できます。 log 一致するパケットに関するログを出力します。
作成したACLをインターフェイスに適用します。
Router(config)# interface interface-id
Router(config-if)# ip access-group name [ in | out ]
基本構文(拡張ACL)
Device(config)#ip access-list extended name
Device(config-std-nacl)#{ deny | permit } protocol source source-wildcard [
operator port ]destination destination-wildcard [ operator port ][ established ] [ log [ log-input ] ]
| コマンド | 内容 |
|---|---|
| name | 任意の文字列または100から199の数字を指定します。 |
| deny | permit | 条件が一致した場合にアクセスを拒否するか許可するかを指定します。 |
| protocol | ahp 、 eigrp 、 esp 、 gre 、 icmp 、 igmp 、 igrp 、 ip 、 ipinip 、 nos 、 ospf 、 pcp 、 pim 、 tcp 、 udp、またはIPプロトコル番号を示す0-255を指定します。 |
| operator port | 演算子 と ポートを入力します。使用可能な演算子には、 eq (等しい)、 gt (より大きい)、 lt (より小さい)、 neq (等しくない)、 range (包含範囲) などがあります。 |
| established | 確立された接続を一致させる場合に入力します。(TCPの戻り通信) |
| log | マッチするトラフィックのログを作成します。ログに加えて、トラフィックがどのインターフェースを通過したかを記録するのはlog-inputを指定します。 |
作成したACLをインターフェイスに適用します。
Router(config)# interface interface-id
Router(config-if)# ip access-group name [ in | out ]