3
ア ク セ ス制御 リ ス ト
ア ク テ ィ ブ な ACL のチ ェ ッ ク 順序は次の と お り です。
1. イ グ レ ス ポー ト のイ グ レ ス MAC ACL に含まれるユーザー定義のルール 2. イ グ レ ス ポー ト のイ グ レ ス IP ACL に含まれるユーザー定義のルール 3. イ ング レ ス ポー ト のイ ン グ レ ス MAC ACL に含まれるユーザー定義のルール 4. イ ング レ ス ポー ト のイ ン グ レ ス IP ACL に含まれるユーザー定義のルール 5. イ ング レ ス ポー ト のイ ン グ レ ス IP ACL に含まれる明示的なデ フ ォ ル ト ルール
(permit any any)
6. イ ング レ ス ポー ト のイ ン グ レ ス MAC ACL に含まれる明示的なデ フ ォル ト ルール
(permit any any)
7. どの明示的ルールに も合致 し ない場合の暗黙的デ フ ォ ル ト は permit all です。
標準 IP ACL の構成 コ マ ン ド 属性
• 「Action」 – 1 つの ACL には、許可ルールのみまたは拒否ルールのみを含める こ と がで き ま す (デ フ ォル ト: 「Permit」 ルール)。
• 「IP」 – 送信元 IP ア ド レ ス を指定 し ます。すべてのア ド レ ス を含めるには 「Any」、「Address」
フ ィ ール ド に特定のホス ト ア ド レ ス を指定するには 「Host」、「Address」 および 「SubMask」
フ ィ ール ド で ア ド レ ス範囲を指定する には 「IP」 を使用 し ます
(オプ シ ョ ン: 「Any」、 「Host」、 「IP」、 デ フ ォ ル ト: 「Any」)。
• 「Address」 – 送信元 IP ア ド レ ス
• 「SubMask」 – ピ リ オ ド で区切ら れた 0 ~ 255 の 4 つの整数で構成 さ れるサブネ ッ ト マス ク。 マ ス ク では 1 ビ ッ ト によ っ て 「合致」、0 ビ ッ ト によ っ て 「無視」 が示 さ れます。 マス クは指定 さ れた送信元 IP ア ド レ ス と ビ ッ ト ワ イ ズ AND 演算 さ れ、この ACL が割 り 当て ら れているポー ト に着信する各 IP パケ ッ ト のア ド レ ス と 比較 さ れます。
ウ ェ ブ – ア ク シ ョ ン ( 「Permit」 または 「Deny」 ) を指定 し ます。 ア ド レ ス タ イ プ ( 「Any」 、
「Host」 、 または 「IP」 ) を選択 し ます。 「Host」 を選択 し た場合、 特定のア ド レ ス を入力 し ま す。 「IP」 を選択 し た場合、 サブネ ッ ト ア ド レ ス と マス ク を入力 し て ア ド レ ス範囲を指定 し ま す。 次に、 「Add」 を ク リ ッ ク し ます。
図3-32. ACL の構成 - 標準 IP
CLI – こ の例では、 特定ア ド レ ス 10.1.1.21 に対 し て 1 つの許可ルールを構成 し 、 ビ ッ ト マス ク を使用 し て 168.92.16.x ~ 168.92.31.x のア ド レ ス範囲に対 し て別のルールを構成 し て い ます。
Console(config-std-acl)#permit host 10.1.1.21 4-88 Console(config-std-acl)#permit 168.92.16.0 255.255.240.0
Console(config-std-acl)#
3
ア ク セ ス制御 リ ス ト
拡張 IP ACL の構成 コ マ ン ド 属性
• 「Action」 – 1 つのACL には、許可ルールのみまたは拒否ルールのみを含める こ と がで き ま す (デ フ ォル ト: 「Permit」 ルール)。
• 「Src/Dst IP」 – 送信元または宛先 IP ア ド レ ス を指定 し ます。 すべてのア ド レ ス を含める に は 「Any」 、 「Address」 フ ィ ール ド に 特定の ホ ス ト ア ド レ ス を 指定す る には 「Host」 、
「Address」 および 「SubMask」 フ ィ ール ド で ア ド レ ス範囲を指定するには 「IP」 を使用 し ます (オプ シ ョ ン: 「Any」、 「Host」、 「IP」、 デ フ ォル ト: 「Any」)。
• 「Src/Dst Address」 – 送信元ま たは宛先 IP ア ド レ ス
• 「Src/Dst SubMask」 – 送信元ま たは宛先ア ド レ スのサブネ ッ ト マス ク
(3-54ページの 「SubMask」 の説明を参照)
• 「Service Type」 – 次の基準に基づ く パケ ッ ト プ ラ イ オ リ テ ィ 設定 - 「Precedence」 – IP 優先度レ ベル (範囲: 0 ~ 7)
- 「TOS」 – タ イ プ オブ サービ ス レ ベル (範囲: 0 ~ 15)
- 「DSCP」 – DSCP プ ラ イ オ リ テ ィ レ ベル (範囲: 0 ~ 64)
• 「Protocol」 – 合致 さ せる プ ロ ト コル タ イ プ を 「TCP」、 「UDP」、 または 「Others」 と し て 指定 し ます。 「Others」 は特定のプ ロ ト コル番号 (0 ~ 255) を示 し ます
(オプ シ ョ ン: 「TCP」、 「UDP」、 「Others」、 デ フ ォル ト: 「TCP」)。
• 「Src/Dst Port」 – 指定 し た プ ロ ト コル タ イ プの送信元/宛先ポー ト 番号(範囲: 0 ~ 65535)
• 「Src/Dst Port Bitmask」 – 合致 さ せるポー ト ビ ッ ト を表す 10 進数 (範囲: 0 ~ 65535)
• 「Control Code」 – ヘ ッ ダーの 14 バイ ト 目のフ ラ グ ビ ッ ト を指定する (ビ ッ ト 文字列を表 す) 10 進数 (範囲: 0 ~ 63)
• 「Control Bitmask」 – 合致 さ せる コ ー ド ビ ッ ト を表す 10 進数
• 制御ビ ッ ト マス クは、 制御コ ー ド に適用 さ れる (同等のバイ ナ リ ビ ッ ト マス ク に対する)
10 進数です。10 進数を入力 し ます。 同等のバイ ナ リ ビ ッ ト 「1」 はビ ッ ト の合致を示 し 、
「0」 はビ ッ ト の無視を示 し ます。 次のビ ッ ト を指定で き ます。
- 1 (fin) – 終了 - 2 (syn) – 同期 - 4 (rst) – リ セ ッ ト - 8 (psh) – プ ッ シ ュ - 16 (ack) – 肯定応答 - 32 (urg) – 緊急ポ イ ン タ
た と えば、 次のフ ラ グ セ ッ ト を持つパケ ッ ト を捕捉するには、 次の コ ー ド 値 と マス ク を使 用 し ます。
- SYN フ ラ グが有効な場合、 制御コ ー ド 2、 制御ビ ッ ト マス ク 2 を使用
- SYN および ACK が両方有効な場合、 制御 コ ー ド 18、 制御ビ ッ ト マス ク 18 を使用 - SYN が有効で ACK が無効な場合、 制御 コ ー ド 2、 制御ビ ッ ト マス ク 18 を使用
ウ ェ ブ – ア ク シ ョ ン (「Permit」 ま たは 「Deny」) を指定 し ます。 送信元または宛先ア ド レ ス、
あるいはその両方を指定 し ます。 ア ド レ ス タ イ プ (「Any」、 「Host」、 または 「IP」) を選択 し ます。 「Host」 を選択 し た場合、 特定のア ド レ ス を入力 し ます。 「IP」 を選択 し た場合、 サブ ネ ッ ト ア ド レ ス と マス ク を入力 し て ア ド レ ス範囲を指定 し ます。 サービ ス タ イ プ、 プ ロ ト コ ル タ イ プ、TCP 制御 コ ー ド な ど、 必要なその他の基準を設定 し ます。 次に、 「Add」 を ク リ ッ ク し ます。
図3-33. ACL の構成 - 拡張 IP CLI – こ の例では次の 3 つのルールを追加 し ています。
1. 送信元ア ド レ スがサブネ ッ ト 10.7.1.x に属 し ている場合、 着信パケ ッ ト をすべて受理 し ます。 た と えば、 こ のルールに合致、 すなわちルール (10.7.1.0 & 255.255.255.0) がマ ス ク さ れたア ド レ ス (10.7.1.2 & 255.255.255.0) に等 し い場合、 パケ ッ ト は通過 し ます。
2. 宛先が TCP ポー ト 80(HTTP) に設定 さ れている場合、 ク ラ ス C ア ド レ ス 192.168.1.0 から すべての宛先ア ド レ スへの TCP パケ ッ ト を許可 し ます。
3. ク ラ ス C ア ド レ ス 192.168.1.0 か ら送信 さ れる、TCP 制御 コ ー ド が 「SYN」 に設定 さ れ たすべての TCP パケ ッ ト を許可 し ます。
Console(config-ext-acl)#permit 10.7.1.1 255.255.255.0 any 4-89 Console(config-ext-acl)#permit 192.168.1.0 255.255.255.0 any
destination-port 80
Console(config-ext-acl)#permit tcp 192.168.1.0 255.255.255.0 any control-flag 2 2
Console(config-ext-acl)#
3
ア ク セ ス制御 リ ス ト