ACL
テスト
ryo
2025年06月04日
カード10
いいね0
ビューア設定
[Enter]で回答、[Shift + Enter]で改行します。キーボードショートカットテスト結果は全て回答すると保存されます。
-
ACL
Access Control List
トラフィック(IPパケット)を許可または拒否するルールの集合。セキュリティやトラフィック制御に使う。
ACLには、標準ACLと拡張ACLがある。
🔐 使われる場面例
・社内ネットワークからインターネットへの通信だけを許可
・特定のサーバにだけ管理者PCがアクセス可能にする
・ICMP(ping)を制限する
-
標準ACL
Standard ACL
✅ 意味(短く)
送信元IPアドレスだけで通信を許可/拒否するACL。
📌 特徴
・送信元IPアドレスのみが条件
・ルーターの近く(出口近く)に適用が推奨
・番号範囲:1〜99、または 1300〜1999
🛠 設定コマンド例
! ACLを定義(例:192.168.1.0/24を許可)
Router(config)#access-list 10 permit
192.168.1.0 0.0.0.255
! インターフェースに適用(in = 受信方向)
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip access-group 10 in
-
拡張ACL
Extended ACL
✅ 意味(短く)
送信元IP、宛先IP、プロトコル(TCP/UDP)、ポート番号まで細かく制御できるACL。
📌 特徴
・より細かい制御が可能(ポート番号など)
・送信元に近い位置(入り口近く)に適用が推奨
・番号範囲:100〜199、または 2000〜2699
🛠 設定コマンド例
! ACLを定義(例:192.168.1.0/24 からのHTTP通信のみ許可)
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
! インターフェースに適用(in = 受信方向)
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip access-group 100 in
💡補足コマンド(deny指定や全体拒否)
access-list 10 deny any
! 標準ACLで全て拒否(明示)
access-list 100 deny ip any any
! 拡張ACLで全て拒否(明示)
! 注意:ACLの最後には自動で「deny all」がある(暗黙のdeny)
-
暗黙のdeny
implicit deny
✅ 意味(短く)
ACLの最後には自動的に「すべて拒否(deny all)」が追加されているというルール。
→ 明示的に許可されていない通信は、すべて拒否される。
🧠 詳しい解説
ACLに「permit」だけを書いても、それに一致しないパケットはすべて破棄される。
・明示的に deny を書かなくても、最後に「deny any」が自動的にあるとみなされる。
・トラブル時の「通信できない!」の原因になりやすい。
補足:トラブル原因になりやすく、必要なら明示的に deny any を書くことも可能。
-
ACLは上の行から検索し、該当する行があった場合はそれ以降の行を検索しません。
最後の行には暗黙のdenyが入るため、どの行にも当てはまらない場合は、拒否されてしまいます。
*記述する順番を意識しながら設定しなければならないことに注意しましょう。
-
番号付き標準ACL
✅ 意味
番号(1~99, 1300~1999)で定義するACL。送信元IPアドレスのみで許可/拒否する。
🛠 作成コマンド
Router(config)#access-list <ACL番号> permit <送信元IPアドレス> <ワイルドカードマスク>
Router(config)#interface <インターフェース名>
Router(config-if)#ip access-group <ACL番号> {in | out}
🧠 コマンド説明
<ACL番号>:1~99 または 1300~1999
<送信元IPアドレス>:許可・拒否したいIPまたはネットワーク
<ワイルドカードマスク>:どの範囲まで許可するか(例:0.0.0.255)
{in | out}:パケットの**受信方向(in)または送信方向(out)**に適用
-
名前付き標準ACL
✅ 意味
ACLに名前を付けて管理できる形式。config-modeで追加・削除が可能。
Router(config)#ip access-list standard <ACL名>
Router(config-std-nacl)#permit <送信元IPアドレス> <ワイルドカードマスク>
Router(config-std-nacl)#deny <送信元IPアドレス> <ワイルドカードマスク>(※必要に応じて)
Router(config-std-nacl)#exit
Router(config)#interface <インターフェース名>
Router(config-if)#ip access-group <ACL名> {in | out}
-
「すべてのIPアドレスを指定」する方法
✅ 方法1:数値形式で指定(全アドレス対象)
0.0.0.0 255.255.255.255
✅ 方法2:省略記法(同じ意味)
any
🧠 使用例
access-list 10 deny any
または、
access-list 10 deny 0.0.0.0 255.255.255.255
→ どちらも「すべてのIPからの通信を拒否」
-
インバウンド
inbound
✅ 意味(ACL文脈)
ルーターのインターフェースに入ってくるパケットに対してACLを適用する方向。
🧠 補足
・ACLで ip access-group ○ in の「in」はこの意味。
・トラフィックがルーターのそのインターフェースから入ってくる瞬間に評価される。
・よく使われる(パケットの最初の入り口で制御できるため)。
🔧 設定例
interface GigabitEthernet0/0
ip access-group 10 in
-
アウトバウンド
outbound
✅ 意味(ACL文脈)
ルーターのインターフェースから出ていくパケットに対してACLを適用する方向。
🧠 補足
・ACLで ip access-group ○ out の「out」はこの意味。
・トラフィックがルーターのそのインターフェースから出るときに評価される。
・インバウンドほど使用頻度は高くないが、必要な場面もある。
🔧 設定例
interface GigabitEthernet0/1
ip access-group 100 out
-
