FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

Cisco IOSでのACLの種類と設定例

2013.11.19 (Tue)

Cisco IOSでは様々な種類のACLがあります、
主に利用されているのは3種類ある。

標準ACL
拡張ACL
名前付きACL


その他に、

・再帰ACL
・タイムACL
・etc

などがあるが、一般的なLANでは利用されていない。

Ciscoネットワーク構築教科書[解説編]

新品価格
¥4,620から





■代表的なACLと設定例



標準ACL

標準ACLはIPパケットの送信元アドレスと
ACLで設定されたアドレスを比較し、
パケットの許可 or 拒否の制御を行う。

例)

192.168.0.0/16からのアクセスのみを許可してそれ以外を拒否。
物理インターフェースGi0/1のInboundに適用。

Cisco(config)#access-list 10 permit 192.168.0.0 0.0.255.255
Cisco(config)#interface Gi 0/1
Cisco(config-if)#ip access-group 10 in




10.0.0.0/16からルータへのアクセスを許可し、それ以外を拒否。

Cisco(config)#access-list 10 permit 10.0.0.0 0.0.255.255
Cisco(config)#line vty 0 4
Cisco(config-line)#access-class 99 in



拡張ACL

拡張ACLはIPパケットの送信元と宛先アドレス、
特定のプロトコル、ポート番号を、
ACLに設定された内容との比較でトラフィックを制御する。

例)

172.168.0.0/16からすべてのIPアドレスへのHTTP接続(TCP/80)を許可、
172.168.0.0/16から10.0.0.1への名前解決接続(DNS Query UDP/53)を許可、
172.168.0.0/16からすべてのIPアドレスへのICMP接続を許可、
172.168.0.0/16から10.0.0.0/16へのIP接続を許可
それ以外を拒否。
物理インターフェースGi0/1のInboundに適用。
Cisco(config)#access-list 100 permit tcp 172.16.0.0 0.0.255.255 any eq 80
Cisco(config)#access-list 100 permit udp 172.16.0.0 0.0.255.255 host 10.0.0.1 eq 53
Cisco(config)#access-list 100 permit icmp 172.16.0.0 0.0.255.255 any
Cisco(config)#access-list 100 permit ip  172.16.0.0 0.0.255.255 10.0.0.0 0.0.255.255
Cisco(config)#interface Gi 0/1
Cisco(config-if)#ip access-group 100 in











名前付きACL

名前付きACLは識別に数字ではなく、
文字列を利用します。
標準ACL拡張ACLの機能を利用できる。

例)

標準名前付きACL

192.168.0.0/16からのIP接続を許可。
それ以外からは拒否
物理インターフェースGi0/1のInboundに適用。


Cisco(conifg)#ip access-list standard STANDARD-TEST
Cisco(conifg-ext-nacl)#permit 192.168.0.0 0.0.255.255
Cisco(conifg-ext-nacl)#exit
Cisco(conifg)#interface Gi 0/1
Cisco(config-if)#ip access-group STANDARD-TEST in



拡張名前付きACL

172.168.0.0/16からすべてのIPアドレスへのHTTP接続(TCP/80)を許可、
172.168.0.0/16から10.0.0.1への名前解決接続(DNS Query UDP/53)を許可、
172.168.0.0/16からすべてのIPアドレスへのICMP接続を許可、
172.168.0.0/16から10.0.0.0/16へのIP接続を許可
それ以外を拒否。
物理インターフェースGi0/1のInboundに適用。

Cisco(conifg)#ip access-list standard EXTENDED-TEST
Cisco(conifg-ext-nacl)#permit tcp 172.16.0.0 0.0.255.255 any eq 80
Cisco(conifg-ext-nacl)#permit udp 172.16.0.0 0.0.255.255 host 10.0.0.1 eq 53
Cisco(conifg-ext-nacl)#permit icmp 172.16.0.0 0.0.255.255 any
Cisco(conifg-ext-nacl)#permit ip  172.16.0.0 0.0.255.255 10.0.0.0 0.0.255.255
Cisco(conifg-ext-nacl)#exit
Cisco(conifg)#interface Gi 0/1
Cisco(config-if)#ip access-group EXTENDED-TEST in





■ACLで使用できる識別番号

ACLで使用可能な識別番号は決められています。
標準ACL拡張ACLでは使用できる番号が異なりますので、
注意が必要です。


番号    対象ACL
1 - 99  IP標準アクセスリスト
100 - 199  IP拡張アクセスリスト
200 - 299  プロトコルタイプコードアクセスリスト
300 - 399  DECnetアクセスリスト
400 - 499  XNS標準アクセスリスト
500 - 599  XNS拡張アクセスリスト
600 - 699  AppleTalkアクセスリスト
700 - 799  48ビットMACアドレスアクセスリスト
800 - 899  IPX標準アクセスリスト
900 - 999  IPX拡張アクセスリスト
1000 - 1099  IPX SAPアクセスリスト
1100 - 1199  拡張48ビットMACアドレスアクセスリスト
1200 - 1299  IPXサマリアドレスアクセスリスト
1300 - 1999  IP標準アクセスリスト
2000 - 2699  IP拡張アクセスリスト


標準ACLでは、1 - 99 , 1300 - 1999
 拡張ACLでは、100 - 199 , 2000 - 2699
が使用可能。








よろしければクリックをお願いします。
にほんブログ村 IT技術ブログ ネットワーク・SEへブログ王ランキングに参加中!


関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック