理系学生日記

おまえはいつまで学生気分なのか

忍者TOOLS

アクセスリスト

アクセスリストの設定は +標準アクセスリストを使うか,拡張アクセスリストを使うかを選択 +access-list コマンドにより,アクセスリストを作成 +ip access-group コマンドによって,インタフェースにアクセスリストを割り付け という三段階からなる.

注意すべきは,暗黙の拒否.各アクセスリストの末尾には,暗黙のうちにパケットを全部拒否するというルールが記述されていること.従って,普通は一つ以上の permit を含まないとアクセスリストの意味を成さない.また,ルータから送出されるトラフィックについては,アクセスリストのマッチング対象とならない.

**標準アクセスリスト

標準アクセスリストは,送信元アドレスのみでフィルタをかけるアクセスリスト.

作成は access-list コマンドで行う.標準アクセスリストの番号は 1 ~ 99.

|| (config)# access-list list-num [permit | deny] source-address [mask] ||< source-address がホストの場合は host キーワードを使うこともできる.これは,mask をオール 1 にしたのと同じ効果がある. || (config)# access-list 1 deny host 10.0.0.1 ; 以下と等価 (config)# access-list 1 deny 10.0.0.1 0.0.0.0 ||<

アクセスリストを作成すると,そのリストをインタフェースに適用する.適用は,ip access-group コマンドを用いる.

|| (config-if)# ip access-group list-no [in | out] ||<

**拡張アドレスリスト

送信元アドレスとともに,宛先アドレス,ポート番号 (あるいはプロトコルを直接) 指定も可能なアクセスリスト.リストの番号は 100 ~ 199.

作成は標準アクセスリストと同じく access-list コマンドを用いる.ただし,引数は大きく異なる.

|| (config)# access-list list-num [permit | deny] protocol source-address [mask] [operator port] dest-address [mask] [operator port] [established] [log] ||<

**名前付きアクセスリスト

IOS 11.2 以降でサポート.名前を付けられるとともに,特定ステートメントの削除も可能になる.作成は ip access-list コマンドで行うことに注意.

|| (config)# ip access-list [standard | extended] list-name ||< 他は (標準 | 拡張) アクセスリストと同じだが,インタフェースへの適用は当然ながらリスト名で指定する || (config-if)# ip access-group list-name [in | out] ||<

**アクセスリスト設定場所

標準アクセスリストは,宛先に近いところに設定する.これは,標準アクセスリストは送信元アドレスしか指定できないので,対象となるパケットを限定するため. 拡張アクセスリストは,送信元に近いところに設定する.これは,できるだけネットワークに流れるトラフィックを少なくするため.

**確認

インタフェースにどんなアクセスリストが設定されているかは,show ip interface で見ることができる.これで出力されるのは,インバウンド・アウトバウンドそれぞれのアクセスリスト番号.

||

show ip interface interface-name

||< じゃぁそのアクセスリストの内容は?それを確認できるのが,show access-list コマンド.アクセスリスト番号を指定しない場合は,ルータにある全部のアクセスリストを表示する. ||

show access-list [list-no]

||< プロトコルで分けて出力させることも可能. ||

show protocol-name access-list [list-no]

||<