アクセスリストACL(Accsess Control list)
ルータへのアクセスを制御する記述。
特定のIPアドレスやルーターへのアクセスを制御するための記述。
特定のIPアドレスやサービスを指定して、送られてきたパケットの受信を拒否したり
ルーターからパケットを出さないように設定できる。
ステートメントは上からチェックされるので、
限定されたものほど上に記述をする。
アクセスリストを作る
↓
アクセスリスト番号の設定。
deny と any
送信元アドレスとワイルドカードアドレス
となる。
標準ACL
送信元IPアドレスのみチェックする。
宛先近くが推奨。
アクセスリストは1~99
拡張ACL
送信元IP,宛先IP、プロトコル、送信元ポート、宛先ポートをチェックする。
送信元近くが推奨される。
アクセスリストは100~199
標準IPアドレスのアクセスリスト番号→1~99
拡張IPアドレスのアクセスリスト番号→100~199
DDR(Dial-on demand routing)
電話回線んやISDNなどをつかってネットワーク接続を実現している場合に
通信の必要に応じて回線を接続したり切断したりする機能。
queue
待ち行列。
先に入力したデータが先に出力されると言おう特徴がある。
複数の処理がある時に、処理の順番を決めるために使われる。
inbound
インターフェースがパケットを受信すること。
インバウンドに割り当てられたアクセスリストは、
インターフェースを受信したときにパケットの内容をチェックする。
発信元アドレスからの許可もしくは拒否をする。
outbound
インターフェースからパケットが送出されること。
アウトバウンドに割り当てられたアクセスリストは
インターフェースからパケットが創出されるときに
その内容をチェックする。
宛先アドレスへの許可または拒否をする。
暗黙の拒否
アクセスリストの最終行に自動的に挿入される
前パケットを拒否するという意味の条件。
permit any もしくは deny any を指定しないとネットワークが使えない。
表示はされない。
*拒否でアドレスを一つ指定しても、暗黙の了解ですべて拒否と認識される。
permit anyを入れないと指定以外のアドレスも拒否される。
ワイルドカードマスク(Wildcard-Mask)
アドレスの指定を行うときに使用する反転マスク。
反転マスクはアドレスの認識方法を指定するマスクで、
0の部分はチェックし、1の部分を無視する。
アクセスリストの中でアドレスを条件として指定するときに使用。
255.255.255.255→すべてチェックしない
0.0.0.0→すべてチェック
これによってIPアドレスのどのビットまでチェックするのかを指定できる。
まだIPアドレスのグループ化もできるようになり、アクセスリストの簡素化もできる。
またhostとanyで略することもできる。
EX: host 192.30.16.29 = 192.30.16.29 0.0.0.0
EX: any = 0.0.0.0(ここは任意) 255.255.255.255
サブネットワークの指定
サブネットワークをしている場合はサブネットアドレスの逆になる。
EX:172.16.3.0 サブネット 255.255.255.0 の場合
ワイルドカードマスクは0.0.0.255となる。
複数のサブネットをしている場合は2進数に直して、数字の変わる下位を指定する。
無視するなら共通ではない下位をすべて1に。
チェックするなら0にする。
そして10進数になおす。
それがワイルドカードマスクとなる。
標準IPアドレス
EX:172.16.1.0 ネットワークから送信されたパケットのみを拒否する場合。
(config)#access-list 1 deny 172.16.1.0 0.0.0.255
(config)#access-list 1 permit 0.0.0.0 255.255.255.255 (permit anyでもOk)
アクセスリストは削除更新ができない。
そのため新しく作る場合は完全にゼロからつくる。
古いのを先に消してしまうとまずいので、別の番号で新規制作したほうがよい。
削除コマンド→(config)# no access-list (リストナンバー)
リストを制作したらインターフェースへの適応を設定。
(config)# int (インターフェース指定)これで(config-if)へ入る。
inboundかoutboundか。
(config-if)# ip access-group (リストナンバー) [ in or out ]
削除コマンド→(config-if)#no ip access-group (リストナンバー) [ in or out ]
拡張IPアクセスリスト
EX:172.16.20.0 ネットワークから 10.1.1.1 へのTelnetだけを拒否する場合。
(config)# access-list 100 deny tcp 172.16.20.0 0.0.0.255 host 10.1.1.1 eq 23
(config)# access-list 100 permit any any
アクセス番号(100~199)
permit or deny
プロトコル
送信元アドレスとワイルドカードマスク
送信元ポート
宛先アドレスとワイルドカードマスク
telnet用のオペレーターポート
インターフェースへの適応
(config-if)# ip access-group (number of list) {in or out}
アクセスリストの削除→(config)# no access-list (リストナンバー)
アクセスリストの表示
#show ip int s0-----------------------インターフェースS0の表示
#show access-list-------------------ルーターに制作されている全アクセスリストの表示
#show access-list (number)-----指定したアクセスリストの表示
#show (protocol) acccess-list---ルータに制作された特定のプロトコルについての
アクセスリストをすべて表示。
#show (protocol) access-list (access list number)
特定のプロトコルと指定した番号のアクセスリストだけを表示。
名前付きIPアクセスリスト
・標準(standard)か拡張(extended)を選ぶ。
(config)# ip access-list (standard or extended) {name(anything)}
・送信・宛先等の設定
(config-ext-nacl)# (deny or permit)
・名前付きアクセスリストのインターフェイスへの適応
(config-if)# ip access-group (name) {in or out}
VTY アクセスクラス
VTYポートに対するアクセスを制御することにより、
不正なtelnet接続を防ぐことができる。
・アクセスクラスの設定
(config)# line vty 0 4
(config-line)# access-class (number) {in or out}
☆インバウンドに適用した場合
コマンドは(config-if)# access-class 1 in となります。
この結果サブネット(指定のアドレス)からのtelnetが拒否され
それ以外からのtelnetは許可されます。
☆アウトバウンドに適用した場合
コマンドは(config-if)# access-class 1 out となります。
この結果サブネット(指定のアドレス)へのtelnetは拒否され
それ以外へのtelnetは許可されます。
PR