アクセスリストとは

今回はアクセスリストの設定について書いていきたいと思います。
アクセスリストは実運用でも、もちろん使用することは多いですし、CCNAの試験範囲でもありますのでしっかり理解してきましょう。

アクセスリストとは

アクセスリストとは、ルータに入ってくるパケットや、出ていくパケットに対して許可・拒否を指定する機能です。
アクセスリストを使用することで、不必要なトラフィックを止めることができるので、セキュリティの向上になります。

一般的な例として、インターネットから入ってくるパケットのうち、Webサーバへのパケットのみ許可して、それ以外のパケットは全て拒否することで、悪意のあるパケットからネットワークを守るといった使い方が基本的な使用方法です。

アクセスリストの種類

Ciscoルータに設定できるアクセスリストには、大きく分けて2種類あります。

標準アクセスリスト

パケットの許可・拒否を送信元IPアドレスのみで判断します。
送信元のIPアドレスやネットワークアドレスのみでフィルタリングしたい場合は、標準アクセスリストを使用します。

拡張アクセスリスト

パケットの許可・拒否を以下の情報で判断することができます。

  • 送信元、宛先のIPアドレス
  • 送信元、宛先のポート番号
  • プロトコル番号

以上のようにアプリケーションによるフィルタリングなど、細かい設定を行うことが可能です。

以下のような制御を行いたい場合は、拡張アクセスリストを使用します。

  • インターネットから入ってくるパケットのうち、WebサーバへのHTTPアクセスのみ許可して、それ以外のパケットは全て拒否する。

アクセスリストを適用するインタフェースと方向について

アクセスリストを設定する際に注意する点として、適用するインタフェースと方向に気をつけなければいけません。

アクセスリストは、ルータに流入してくるパケットに適用する「インバウンドアクセスリスト」と、ルータから流出するパケットに適用する「アウトバウンドアクセスリスト」の設定が可能です。

例えば下図のように、インターネットから入ってくるパケットに対してフィルタリングしたい場合は、2通りの方法が考えられます。

インバウンドアクセスリスト

Eth0 から入ってくるパケットに対して、フィルタリングを適用したいのであれば、Eth0 にインバウンドアクセスリストを適用するパターン。

アウトバウンドアクセスリスト

逆に Eth1 からLAN側のネットワークに出ていくパケットに対して、フィルタリングを適用したいのであれば、Eth1 にアウトバウンドアクセスリストを適用するパターン。

一見すると、どちらのアクセスリストもやっていることは同じ意味に見えるかもしれません。
たしかに、どちらの方法でもインターネットから入ってくるパケットをフィルタリングするという目的は達成します。

しかし、ルータのインタフェースが3つ以上になると、話は変わってきます。

下図の構成で、以下の条件で標準アクセスリストを適用する方法を考えてみましょう。

  • インターネットからのパケットはWebサーバにのみ通信可能
  • それ以外のインターネットからのパケットは一切クライアントPCへは通信させない

まずインバウンドアクセスリストを適用する場合。
この場合は、Eth0 インタフェースでパケットが入ってくるものに対してアクセスリストを適用します。
しかし流入してくるパケットに対してフィルタリングを適用してしまうと、Webサーバへの通信に対しても、適用されてしまいます。

次にアウトバウンドアクセスリストの適用を考えてみます。
この場合はインタフェースから出て行くパケットに適用するわけですから、Eth2 インタフェースに対して適用することになります。
こうすればWebサーバへの通信にアクセスリストは適用されませんから問題なく通信ができます。

このように適用するインタフェースと方向を常に意識しながらアクセスリストの設計を行うことが重要です。

間違えて必要な通信まで遮断してしまった、なんてことになったらシャレになりません…

ちなみに今回の構成で、Eth0 インタフェースにインバウンドアクセスリストを使用して、上記条件を満たすことは出来ないのでしょうか?

実は拡張アクセスリストを使用すれば可能です。

拡張アクセスリストは、

  • 送信元、宛先のIPアドレス
  • 送信元、宛先のポート番号
  • プロトコル番号

を使って、制御することが可能です。

今回の場合は、「送信元がインターネットからで、宛先がWebサーバのパケットのみ通信を許可して、それ以外は全て破棄」というアクセスリストをEth0 インタフェースにインバウンドアクセスリストで適用してあげればOKです。

関連記事

メールマガジン

ネットワ-ク初心者のみなさま。
ネットワークの基礎知識を疎かにすることは
大変危険です!!

「初心者にも理解できるネットワーク技術」

これを読めばネットワークの基礎が分かる!!
ネットワーク関連の仕事に就きたいとお考えの学生の方や、ネットワークに興味があって転職を考えている社会人の方、まずは登録してみてください。

もちろん無料です!!

↓メールマガジン購読はこちら↓

メールアドレス:

検索

特集

初心者のためのciscoルータの管理

目指せPMP


著書

図解入門 よくわかる最新ネットワーク技術の基本と仕組み

初心者のためのCiscoルータ運用ガイド: 最速でCiscoルータを理解するための解説書

目指せPMP PMBOK第5版対応: 最速でPMPに合格するための解説書

見てわかるTCP/IP

おすすめ記事

カテゴリ

ブログ最新記事