読者です 読者をやめる 読者になる 読者になる

理系学生日記

おまえはいつまで学生気分なのか

忍者TOOLS

アクセスリスト

cisco

アクセスリストの設定は

  1. 標準アクセスリストを使うか,拡張アクセスリストを使うかを選択
  2. access-list コマンドにより,アクセスリストを作成
  3. ip access-group コマンドによって,インタフェースにアクセスリストを割り付け

という三段階からなる.

注意すべきは,暗黙の拒否.各アクセスリストの末尾には,暗黙のうちにパケットを全部拒否するというルールが記述されていること.従って,普通は一つ以上の permit を含まないとアクセスリストの意味を成さない.また,ルータから送出されるトラフィックについては,アクセスリストのマッチング対象とならない.

標準アクセスリスト

標準アクセスリストは,送信元アドレスのみでフィルタをかけるアクセスリスト.

作成は access-list コマンドで行う.標準アクセスリストの番号は 1 ~ 99.

(config)# access-list list-num [permit | deny] source-address [mask]

source-address がホストの場合は host キーワードを使うこともできる.これは,mask をオール 1 にしたのと同じ効果がある.

(config)# access-list 1 deny host 10.0.0.1  ; 以下と等価
(config)# access-list 1 deny 10.0.0.1 0.0.0.0

アクセスリストを作成すると,そのリストをインタフェースに適用する.適用は,ip access-group コマンドを用いる.

(config-if)# ip access-group list-no [in | out]

拡張アドレスリスト

送信元アドレスとともに,宛先アドレス,ポート番号 (あるいはプロトコルを直接) 指定も可能なアクセスリスト.リストの番号は 100 ~ 199.

作成は標準アクセスリストと同じく access-list コマンドを用いる.ただし,引数は大きく異なる.

(config)# access-list list-num [permit | deny] protocol source-address [mask] [operator port] dest-address [mask] [operator port] [established] [log]

名前付きアクセスリスト

IOS 11.2 以降でサポート.名前を付けられるとともに,特定ステートメントの削除も可能になる.作成は ip access-list コマンドで行うことに注意.

(config)# ip access-list [standard | extended] list-name

他は (標準 | 拡張) アクセスリストと同じだが,インタフェースへの適用は当然ながらリスト名で指定する

(config-if)# ip access-group list-name [in | out]

アクセスリスト設定場所

標準アクセスリストは,宛先に近いところに設定する.これは,標準アクセスリストは送信元アドレスしか指定できないので,対象となるパケットを限定するため.
拡張アクセスリストは,送信元に近いところに設定する.これは,できるだけネットワークに流れるトラフィックを少なくするため.

確認

インタフェースにどんなアクセスリストが設定されているかは,show ip interface で見ることができる.これで出力されるのは,インバウンド・アウトバウンドそれぞれのアクセスリスト番号.

# show ip interface interface-name

じゃぁそのアクセスリストの内容は?それを確認できるのが,show access-list コマンド.アクセスリスト番号を指定しない場合は,ルータにある全部のアクセスリストを表示する.

# show access-list [list-no]

プロトコルで分けて出力させることも可能.

# show protocol-name access-list [list-no]