2021-06-10に更新

拡張ACLメモ

拡張ACLとは

いろいろ細かく設定(IPアドレス以外にポート番号やプロトコル等)できるACL
概要として
– 条件として送信元(宛先)IPアドレス、送信元(宛先)ポート番号、プロトコル(ip/icmp/tcp/udp)等を使用する
– 名前付き拡張ACLと番号付き拡張ACLがある
の2点がある

設定の仕方

【STEP1】ACLの作成
◎名前付き拡張ACLの作成

Router(config)#ip˽access-list˽extended˽<リスト名>
Router(config-ext-nacl)#<行番号>˽permit(deny)˽<プロトコル>˽<送信元IPアドレス>˽<Wildcard Mask>˽<(演算子)送信元ポート番号>˽<宛先IPアドレス>˽<Wildcard Mask>˽<(演算子)宛先ポート番号>

◎番号付き拡張ACLの作成

Router(config)#access-list˽<リスト番号>˽permit(deny)˽<プロトコル>˽<送信元IPアドレス>˽<Wildcard Mask>˽<(演算子)送信元ポート番号>˽<宛先IPアドレス>˽<Wildcard Mask>˽<(演算子)宛先ポート番号>

※利用できる番号は100~199、2000~2699
※ポート番号を指定する場合は演算子が必要
「eq:等しい」「neq:等しくない」「gt:より大きい」「lt:より小さい」「range:範囲を指定」

※ポート番号はキーワードで指定することも可能
「20番:ftp-data」「21番:ftp」「23番:telnet」「25番:smtp」「53番:domain」「80番:www」「110番:pop3」

※送信元(宛先)IPアドレスは「host」コマンドを利用するとホスト単体のアドレスを指定できる

【STEP2】インターフェースにACLを適用

Router(config-if)#ip˽access-group˽<リスト名(番号)>˽in(out)

拡張ACLを適用させる場所

– 拡張ACLはできるだけ送信元の近くに配置する
不要なパケットを流さないためにはなるべく手前で遮断条件が細かく設定できるので、他のネットワークへのアクセスにも影響が少ない

ツイッターでシェア
みんなに共有、忘れないようにメモ

tobara

Crieitは誰でも投稿できるサービスです。 是非記事の投稿をお願いします。どんな軽い内容でも投稿できます。

また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!

有料記事を販売できるようになりました!

こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください。
ボードとは?

コメント