【拡張IPアクセスリスト作成手順】


このHPは拡張IPアクセスリスト作成手順についてまとめたものです。


3-1 拡張IPアクセスリストの作成

拡張IPアクセスリストは標準IPアクセスリストより詳細な条件を設定できる。拡張IPアクセスリストも グローバルコンフィグレーションモードで、access-listコマンドを使って作成する。 ただし、拡張IPアクセスリストの番号は100−199から選択 し、引数も標準IPアクセスリストとは異なる。



★拡張IPアクセスリストで使われる引数

●【プロトコル番号】

IPパケットのヘッダ情報から、IPデーターのパケットなのか、ICMPのパケットなのかを識別する。また、IPデーターのパケットの場合、 TCPなのかUDPなのかを識別する。

●【送信元IPアドレス】と【送信元IPアドレスのワイルドカードマスク】

送信元のIPアドレスと比較範囲を指定する。

●【eq 送信元ポート番号】

送信元のポート番号を指定する。このポート番号の指定は省略が可能で、省略した場合、 すべてのポート番号を指定したことになる。


●【送信先IPアドレス】と【送信先IPアドレスのワイルドカードマスク】

送信先のIPアドレスと比較範囲を指定する。

●【eq 送信先ポート番号】

送信先のポート番号を指定する。このポート番号の指定は省略が可能で、省略した場合、 すべてのポート番号を指定したことになる。


※「eq」 

指定したポート番号と等しいパケットを処理するための設定。

アクセスリストは番号で管理される。同じ番号を指定したaccess-listコマンドを入力すると、そのステートメントは、 同じアクセスリスト内の最終行に追加される。





3-2 基本的な拡張IPアクセスリストの作成パターン

基本的な拡張IPアクセスリストの構成パターンは、「どこから」「どこ宛の」「どのようなプロトコルか」ということ。









3-3 拡張IPアクセスリストの作成例

次の図で、1.1.1.0/24サブネット上にあるすべてのホストからサーバーAへ送信された「FTP(TCP)パケ ット」を許可し、ホストAから10.1.2.0/24サブネット上にあるすべてのホストへのtelnetを拒否するアクセスリストを作成してみる。







@アクセスリスト番号を決める

これから作成するアクセスリストの番号を決める。拡張IPアクセスリストの番号は100−199の範 囲から選ぶ。ここでは、100を使う。


A1.1.1.0サブネットから10.1.2.0サブネットへのFTP(TCP)を許可する

1.1.1.0サブネット上にあるホストからサーバーA(10.1.2.1)へのFTPアクセスを許可する。
FTPの 場合、データー転送と制御に2つのポートを使用しており、番号は20と21。そのためFTPの許可には2つのステートメントが必要。

(config)# access-list 100 permit tcp 1.1.1.0 0.0.0.255 host  10.1.2.1 eq 20

(config)# access-list 100 permit tcp 1.1.1.0 0.0.0.255 host  10.1.2.1 eq 21


BホストAから10.1.2.0サブネットへのTelntetを拒否する

ホストA(1.1.1.1)から10.1.2.0サブネット上へのホストに対するtelnet接続を拒否する。Telnteのポ ート番号は23。

config)# access-list 100 deny tcp host 1.1.1.1 10.1.2.0 0.0.0.255  eq 23

Cその他のIPパケットを許可する

このままではアクセスリストの最後に「暗黙の拒否」があるため、
●1.1.1.0サブネットから10.1.2.0サブネットへのFTP許可
●ホストAから10.1.2.0サブネット上にあるすべてのホストへのtelnet拒否



以外もすべて拒否されてしまう。そこで最後に、すべてのホストからIPパケットを許可するステートメントを追加する。

(config)# access-list 100 permit IP any any

■アクセスリストの削除

アクセスリストを削除するコマンドはno access-listで、引数にはアクセスリストの番号を指定する。

<アクセスリストの削除>

(config)#no access-list 【アクセスリストの番号】

Dアクセスリストのインターフェイスへの適用

作成したアクセスリストをインターフェイスへ適用する。
適用方法は、標準IPアクセスリストと同じでインターフェイスコンフィグモードでip access-groupコマンド を指定する。

【アクセスリストのインターフェイスへの適用】 

(config-if)#ip access-group 【アクセスリストの番号】【in/out】

今まで作成したアクセスリストは次のとおり。





これをインターフェイスe1のアウトバウンドに適用する。

(config)#int e1
(config-if)#ip access-group 100 out

<インターフェイスからの適用削除>

インターフェイスに適用したアクセスリストを解除するコマンドは次のとおり。

(config-if)#no ip access-group 【アクセスリストの番号】【in/out】