アクセスリストには、
●標準IPアクセスリスト
●拡張IPアクセスリスト
の2種類がある。
標準IPアクセスリストでは、送信元IPアドレスだけを条件として指定できる。
次に標準IPアクセスリストの設定方法とインターフェイスへの適用について説明する。
2-1 標準IPアクセスリストの作成
標準IPアクセスリストは、グローバルコンフィグレーションモードでaccess-listコマンドを使って作成する。
このときのaccess-listコマンドの引数には、次の様な引数を指定する。
【標準IPアクセスリスト】
アクセスリストは番号で管理される。 2-2 標準IPアクセスリストの作成例 次の図で、ホストBとホストEから外部ネットワークへのアクセスを拒否するリストを作成する。 @アクセスリスト番号を決める これから作成するアクセスリストの番号を決める。標準IPアクセスリストでは、1−99の範囲から選ぶ。ここでは1を使う。 AホストBからのIPパケットを拒否する 送信元IPアドレスがホストB(1.1.1.2)であるIPパケットを受け取った時に、それを拒否するステートメントを入力する。 (coinfig)# access-list 1 deny 1.1.1.2 0.0.0.0
または、特定のIPアドレスを指定するため、hostキーワードを使って次の様に指定することもできる。
(coinfig)# access-list 1 deny host 1.1.1.2
BホストEからのIPパケットを拒否する 送信元IPアドレスがホストE(10.1.1.2)であるIPパケットを拒否するステートメントを入力する。 (coinfig)# access-list 1 deny 10.1.1.2 0.0.0.0 またhostキーワードを使えば、次の様になる。
(coinfig)# access-list 1 deny host 10.1.1.2 Cその他のIPパケットを許可する このままでは、アクセスリストの最後に「暗黙の拒否」があるため、ホストBとホストE以外のホストからのトラフィックもすべて拒否されてしまう。そこで最後に、すべてのホストからIPパケットを許可するステートメントを追加する。 (config)# access-list 1 permit 0.0.0.0 255.255.255.255 または、anyキーワードを使って次の様に指定する。
(config)# access-list 1 permit any ※【アクセスリストステートメントの変更】 ステートメントの順序変更や部分的な削除はできない。。アクセスリストを修正する必要があれば、現在のアクセスリストを削除して、作り直す必要がある。 ■アクセスリストの削除 アクセスリストを削除するコマンドはno access-listで、引数にはアクセスリストの番号を指定する。 <アクセスリストの削除> (config)#no access-list 【アクセスリストの番号】 これでアクセスリスト全体が削除される。 Dアクセスリストのインターフェイスへの適用 作成したアクセスリストをインターフェイスに適用することで、パケットフィルタリングが開始される。アクセスリストのインターフェイスへの適用には、インターフェイスコンフィグモードで、ip access-groupコマンドを使用する。 【アクセスリストのインターフェイスへの適用】 (config-if)#ip access-group 【アクセスリストの番号】【in/out】 今までの例で、アクセスリスト1は次の様になっている。 これをインターフェイスS0のアウトバウンドに適用する。 (config)#int S0 ip access-groupコマンドには、inまたはoutキーワードでパケットの方向意味する。inはインバウンドという意味で、パケットの受信時にアクセスリストをチェックする。 ルーターはホストBから外部ネットワークあてのパケットを受信すると、ルーティングテーブルを参照して、出力インターフェイスをs0に決定する。 <インターフェイスからの適用削除> インターフェイスに適用したアクセスリストを解除するコマンドは次のとおり。 (config-if)#no ip access-group 【アクセスリストの番号】【in/out】
同じ番号を指定したaccess-listコマンドを入力すると、そのステートメントがリストの最終行に追加される。
(config-if)#ip access-group 1 out
outはアウトバウンドという意味で、パケット送信時にアクセスリストをチェックする。
次にs0インターフェイスのアウトバウンドに決定されたアクセスリストをチェックしてして、ホストB(1.1.1.2)からのパケットを拒否するステートメントを見つけ、パケットを破棄する。
ホストBとホストE以外のホストからの通信は許可されているため外部ネットワークに転送される。