標準アクセスリストを設定する

標準アクセスリストの設定

それではいよいよ実際に設定をしてみよう。

まずは標準アクセスリストの設定を解説していきましょう。

標準アクセスリストの設定は、以下の 2 つのコマンドから成り立っております。

アクセスリストの定義

Router(config)#access-list [アクセスリスト番号] [permit | deny] [送信元IPアドレス] (送信元ワイルドカード) (log)

アクセスリストをインタフェースに適用

Router(config-if)#ip access-group [アクセスリスト番号] [in | out]

アクセスリストの定義

アクセスリストの定義は以下の通りです。

Router(config)#access-list [アクセスリスト番号] [permit | deny] [送信元IPアドレス] (送信元ワイルドカード) (log)
※()はオプションです。

アクセスリスト番号は、番号によって標準アクセスリストなのか拡張アクセスリストなのかを指定します。

アクセスリスト番号が、1 ~ 99 の場合は標準アクセスリスト、100 ~ 199 の場合は拡張アクセスリストを意味しています。

200 以降の番号についても定義されていますが、ここでは割愛します。
通常は拡張アクセスリストまで理解していれば、運用には困らないと思います。

アクセスリスト番号に続いて、指定する条件に合うパケットを、許可(permit)するか拒否(deny)を指定します。

最後に条件を記述します。

条件の設定例

特定のホストを指定する場合

送信元アドレスが 10.1.1.1 のホストを指定する場合は以下のように記述します。

Router(config)#access-list 1 permit 10.1.1.1 0.0.0.0

ホストアドレスですから最後のワイルドカードは、0.0.0.0になります。
また、以下のように「host」というキーワードを使うことも可能です。

Router(config)#access-list 1 permit host 10.1.1.1

特定のネットワークを指定する場合

送信元のネットワークが、10.1.1.1/24 を指定する場合は、

Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255

と指定します。
最後のキーワードは、サブネットマスクではなく、ワイルドカードマスクを指定しますので注意しましょう。

全てのホストを指定する場合

全てのホストを指定する場合は、以下のように記述します。

Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255

また、以下のように「any」というキーワードを使うことも可能です。

Router(config)#access-list 1 permit any

設定してみよう

実際に以下の構成を例にして設定をしてみよう。

インターネットからのアクセスポリシー

  • 送信元が 192.168.0.0/16 のパケットは全て破棄
  • ただし、192.168.1.1 の送信元ホストからのパケットは許可
  • 10.1.1.1 の送信元ホストからのパケットは破棄
  • それ以外のパケットは全て許可

上記定義をEth0インタフェースのインバウンドで設定する。

まずはそれぞれの条件について、アクセスリストの定義を作成しましょう。

  • 送信元が 192.168.0.0/16 のパケットは全て破棄
    Router(config)#access-list 1 deny 192.168.0.0 0.0.255.255
  • ただし、192.168.1.1 の送信元ホストからのパケットは許可
    Router(config)#access-list 1 permit host 192.168.1.1
  • 10.1.1.1 の送信元ホストからのパケットは破棄
    Router(config)#access-list 1 deny host 10.1.1.1
  • それ以外のパケットは全て許可
    Router(config)#access-list 1 permit any

あとは、この定義を設定していくだけです。

インタフェースにアクセスリストを適用する

アクセスリストの定義を作成して、以下のようにルータに設定します。

コマンド実行結果

Router#conf t
Router(config)#access-list 1 permit host 192.168.1.1
Router(config)#access-list 1 deny 192.168.0.0 0.0.255.255
Router(config)#access-list 1 deny host 10.1.1.1
Router(config)#access-list 1 permit any
Router(config)#exit

アクセスリストの設定をした後は、この定義をインタフェースに定義します。

アクセスリストをインタフェースに適用するコマンドは、

Router(config-if)#ip access-group [アクセスリスト番号] [in | out]

今回の場合は、Eth0インタフェースにインバウンドで設定しますので、以下のように設定をします。

コマンド実行結果

Router#conf t
Router#interface ethernet 0
Router(config-if)#ip access-group 1 in
Router(config-if)#end

これでアクセスリストの設定は完成です。

設定を確認する

設定したアクセスリストを確認してみましょう。

コマンドは以下です。

Router#show access-lists

コマンド実行結果

Router#show access-lists
Standard IP access list 1
   10 permit 192.168.1.1
   20 deny   192.168.0.0, wildcard bits 0.0.255.255
   30 deny   10.1.1.1
   40 permit any
Router#

ただこのコマンドではどのインタフェースに適用されているのかは分かりません。
どのインタフェースに適用されているかを確認するためのコマンドは、

Router#show ip interface

を実行します。

コマンド実行結果

Router#show ip interface
Ethernet0/0 is up, line protocol is up
 Internet address is 192.168.11.100/24
 Broadcast address is 255.255.255.255
 Address determined by non-volatile memory
 MTU is 1500 bytes
 Helper address is not set
Directed broadcast forwarding is disabled
 Outgoing access list is not set
 Inbound  access list is 1
 Proxy ARP is enabled
 Local Proxy ARP is disabled
 Security level is default
 Split horizon is enabled
 ICMP redirects are always sent
 ICMP unreachables are always sent
 ICMP mask replies are never sent
 IP fast switching is enabled
 IP fast switching on the same interface is disabled
 IP Flow switching is disabled
 IP CEF switching is enabled
 IP CEF Feature Fast switching turbo vector
 IP multicast fast switching is enabled
 IP multicast distributed fast switching is disabled
 IP route-cache flags are Fast, CEF
 Router Discovery is disabled
 IP output packet accounting is disabled
 IP access violation accounting is disabled
 TCP/IP header compression is disabled
 RTP/IP header compression is disabled
 Policy routing is disabled
 Network address translation is disabled
 WCCP Redirect outbound is disabled
 WCCP Redirect inbound is disabled
 WCCP Redirect exclude is disabled
 BGP Policy Mapping is disabled
Router#

「show ip interface」コマンドは、IPレイヤのインタフェース情報を見ることができます。
ここで、「Inbound access list is 1」とあり、インバウンドアクセスリストが設定されていることが分かります。

もちろん show running-config コマンドで確認することも出来ます。

おすすめ記事

  • 【特集】 いまさら聞けないIT契約書のはなし【第4回 契約の種類(2)】
  • 【特集】 進化する脅威にどう立ち向かうか【最終回】
  • 【特集】 災害復旧、事業継続計画(BCP)などの対策状況(2018年)・後編
  • 【特集】 地震や台風から情報資産を守る救世主・データセンター活用の今
  • 【特集】 「固定電話も、ムダ残業もやめた」徹底した"富士通流"働き方改革
  • 関連記事

    メールマガジン

    ネットワ-ク初心者のみなさま。
    ネットワークの基礎知識を疎かにすることは
    大変危険です!!

    「初心者にも理解できるネットワーク技術」

    これを読めばネットワークの基礎が分かる!!
    ネットワーク関連の仕事に就きたいとお考えの学生の方や、ネットワークに興味があって転職を考えている社会人の方、まずは登録してみてください。

    もちろん無料です!!

    ↓メールマガジン購読はこちら↓

    メールアドレス:

    検索

    特集

    初心者のためのciscoルータの管理

    目指せPMP


    著書

    図解入門 よくわかる最新ネットワーク技術の基本と仕組み

    初心者のためのCiscoルータ運用ガイド: 最速でCiscoルータを理解するための解説書

    目指せPMP PMBOK第5版対応: 最速でPMPに合格するための解説書

    見てわかるTCP/IP

    おすすめ記事

    カテゴリ

    ブログ最新記事