今回はアクセスリストの設定について書いていきたいと思います。
アクセスリストは実運用でも、もちろん使用することは多いですし、CCNAの試験範囲でもありますのでしっかり理解してきましょう。
アクセスリストとは、ルータに入ってくるパケットや、出ていくパケットに対して許可・拒否を指定する機能です。
アクセスリストを使用することで、不必要なトラフィックを止めることができるので、セキュリティの向上になります。
一般的な例として、インターネットから入ってくるパケットのうち、Webサーバへのパケットのみ許可して、それ以外のパケットは全て拒否することで、悪意のあるパケットからネットワークを守るといった使い方が基本的な使用方法です。
Ciscoルータに設定できるアクセスリストには、大きく分けて2種類あります。
パケットの許可・拒否を送信元IPアドレスのみで判断します。
送信元のIPアドレスやネットワークアドレスのみでフィルタリングしたい場合は、標準アクセスリストを使用します。
パケットの許可・拒否を以下の情報で判断することができます。
以上のようにアプリケーションによるフィルタリングなど、細かい設定を行うことが可能です。
以下のような制御を行いたい場合は、拡張アクセスリストを使用します。
アクセスリストを設定する際に注意する点として、適用するインタフェースと方向に気をつけなければいけません。
アクセスリストは、ルータに流入してくるパケットに適用する「インバウンドアクセスリスト」と、ルータから流出するパケットに適用する「アウトバウンドアクセスリスト」の設定が可能です。
例えば下図のように、インターネットから入ってくるパケットに対してフィルタリングしたい場合は、2通りの方法が考えられます。
Eth0 から入ってくるパケットに対して、フィルタリングを適用したいのであれば、Eth0 にインバウンドアクセスリストを適用するパターン。
逆に Eth1 からLAN側のネットワークに出ていくパケットに対して、フィルタリングを適用したいのであれば、Eth1 にアウトバウンドアクセスリストを適用するパターン。
一見すると、どちらのアクセスリストもやっていることは同じ意味に見えるかもしれません。
たしかに、どちらの方法でもインターネットから入ってくるパケットをフィルタリングするという目的は達成します。
しかし、ルータのインタフェースが3つ以上になると、話は変わってきます。
下図の構成で、以下の条件で標準アクセスリストを適用する方法を考えてみましょう。
まずインバウンドアクセスリストを適用する場合。
この場合は、Eth0 インタフェースでパケットが入ってくるものに対してアクセスリストを適用します。
しかし流入してくるパケットに対してフィルタリングを適用してしまうと、Webサーバへの通信に対しても、適用されてしまいます。
次にアウトバウンドアクセスリストの適用を考えてみます。
この場合はインタフェースから出て行くパケットに適用するわけですから、Eth2 インタフェースに対して適用することになります。
こうすればWebサーバへの通信にアクセスリストは適用されませんから問題なく通信ができます。
このように適用するインタフェースと方向を常に意識しながらアクセスリストの設計を行うことが重要です。
間違えて必要な通信まで遮断してしまった、なんてことになったらシャレになりません…
ちなみに今回の構成で、Eth0 インタフェースにインバウンドアクセスリストを使用して、上記条件を満たすことは出来ないのでしょうか?
実は拡張アクセスリストを使用すれば可能です。
拡張アクセスリストは、
を使って、制御することが可能です。
今回の場合は、「送信元がインターネットからで、宛先がWebサーバのパケットのみ通信を許可して、それ以外は全て破棄」というアクセスリストをEth0 インタフェースにインバウンドアクセスリストで適用してあげればOKです。
ネットワ-ク初心者のみなさま。
ネットワークの基礎知識を疎かにすることは
大変危険です!!
これを読めばネットワークの基礎が分かる!!
ネットワーク関連の仕事に就きたいとお考えの学生の方や、ネットワークに興味があって転職を考えている社会人の方、まずは登録してみてください。
もちろん無料です!!
↓メールマガジン購読はこちら↓