最初に行いたいことは、ソースIPアドレスの定義で、この場合、不正な192.168.1.50になります。 まず、その IP アドレスからのすべてのトラフィックをブロックしたいと思います。これは、そのソース サブグループ内のフィルタとして機能するワイルドカード マスクを使用して行うことができます。
ワイルドカードマスクの動作については、別の記事で詳しく説明しています。 この例では、ここに0.0.0.0と入力すると、IPアドレスの各オクテットがブロックされることを知っておく必要があります。 この場合、192.168.1サブネットからのすべてのアクセスを拒否することになります。 上の例では、ホストが1つしかありません。
送信先の設定
送信先が特定されたので、今度は制限する送信先を入力します。 現在の形では、このACLは192.168.1.50と192.168.2.50間のすべてのTCPトラフィックを拒否することになります。 しかし、そんなことはしたくありませんよね。 そこで重要になるのが、ポート別の機能です。
これらのステートメントを使用すると、ネットワークへのポートのアクセスを拒否することができます。
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
最初のステートメントは対象を送信先のポート80でブロックしています。 2つ目のステートメントでは、HTTPSのポート443に対してこの処理を繰り返しています。 等しいという意味のキーワード「EQ」を指定すると、特定のポートを入力できるようになります。
リストを確認するには、リスト(「アクセスリストの表示」)を呼び出すと、新しい2つのステートメントが返されます。
Router1(config)#do sh access-list 150
拡張IPアクセスリスト150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50。168.1.50 host 192.168.2.50 eq 443
最初のステートメントは、最初のホストがポート80(HTTP)を使用して2番目のホストと接続することを拒否し、2番目のステートメントは、ポート443(HTTPS)を使用して同じことを拒否する。 これで、ACL に必要な指示が含まれるようになりました。 しかし、設定はまだ終わっておらず、インターフェイスに適用する準備ができていません。
“Deny All” を否定する
すべての ACL の最後には、’Implicit DENY ALL’ ステートメントがあります。 このステートメントは、設定や「show access-list」コマンドを実行しても表示されません。 しかし、常にそこにあるのです。 「つまり、上記の2つのDENY文を追加しただけでは、その暗黙のDENY文がすべてのアクセスをブロックし、ネットワーク全体の障害を引き起こすことになります。 これを解決するために、ACLにはpermit文も必要です。
アクセスリスト150(このリストに割り当てられた番号)を表示させ、「Permit」を追加します。 permitには、任意の送信元から任意の宛先アドレスへのIPを含めるように設定します。 ステートメント内のすべてのバリエーションを許可することで、「deny all」機能が上書きされ、あの障害が発生しなくなりました。 代わりに、作成した2つのdenyステートメントのみが適用され、他のすべてのトラフィックが許可されるようになりました。
Router1(config)#access-list 150 permit ip any
Router1(config)#do sh access-list 150
拡張IPアクセスリスト150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.20 host 191.168.1.50 eq www
拡張IPアクセスリスト150
10 deny tcp host 192.168.2.50 eq www
30 permit ip any
ACL の適用と方向の決定
Cisco のベストプラクティスは、このリストをできるだけ初期のシーケンスに適用することを示唆しています。 この例では、ルータ 1 に適用します。 コンソールで、FastEthernet 0/0インターフェイスに「int fa0/0」と入力し、「ip access-group」コマンドを実行します。 そして、該当するリスト番号(この場合は150)を入力します。
コンソールは “in” (受信パッケージ) または “out” (送信パッケージ) を問い合わせるので、方向を決定する必要があります。 ここで考えられる最善のアドバイス:ルーターになりましょう。 あなたの腕がそれぞれ、FastEthernet 0/0 とシリアル 0/0 のインターフェースであると想像して、トラフィックがどちらの方向から来ているのか尋ねてみてください。 この場合、トラフィックはインターフェイスに入ってきており、この例ではアクセスリストを適用する最後のエントリーは「in」であるべきであることを示しています。
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
アクセスリストの適用により、ホスト 192.168.1.50 からはポート 80 または 443 を使ってホスト 192.168.2.50 へのアクセスができなくなり、作業は完了しました!
CBT Nuggets ACL Courses
トレーナー Jeremy Cioara による次の CBT Nuggets トレーニング コースには、アクセス リストをさらに詳しく説明する 2 つのビデオ (66 と 67) が収録されています。
- Cisco CCENT/CCNA 100-105 ICND1
Ciscoルータのアクセスリストについてもっと知りたいですか? このトピックについては、Jeremyが詳しく説明しています!
。