ラボ実習 11.2.2a 拡張アクセスリストの設定

今回は授業の代わりということなので「実況中継」形式で書きます。

今回のテーマは拡張アクセスリストです。前回標準アクセスリストをやりました。標準アクセスリストはIPアドレスで対象が決定するので、IPアドレスがひっかかればどんなプロトコルでも止まってしまったりします。IPアドレスで通信の許可、不許可を決めると柔軟性がありません。例えば、「HTTPは使いたいけど、FTPはいらない」という風です。プロトコルごと決められる拡張アクセスリストを勉強します。

拡張アクセスリストの書式
(config) # access-list 番号 deny(permit) tcp(ip,icmp) 送信元ネットワークアドレス　送信元ワイルドカードマスク　宛先ネットワーク　宛先ワイルドカードマスク　eq　ポート番号

tcpの部分はプロトコルを指定します。tcpを指定すると最後にポート番号を指定してプロトコルを指定できます。
ネットワークの書き方はFROM TO の順番です。
ワイルドカードマスクはサブネットマスクのビット反転したものです。255から引いてもいいです。

例を見て理解しましょう。

拡張アクセスリストの例
①192.168.14.0/24がtelnetを実行できないようにする
(config)# access-list 101 deny tcp 192.168.14.0 0.0.0.255 any eq 23
(config)# access-list 101 permit ip any any
(config)# interface fa0
(config-if)# ip access-group 101 in
２行目のpermit ip any any は暗黙のdeny ip any anyを回避している。


②host 198.77.116.7からhost 12.0.0.3へのアクセスをブロック
(config)# access-list 101 deny ip host 198.77.116.7 host 12.0.0.3
(config)# access-list 101 permit ip any any
(config)# interface fa0
(config-if)# ip access-group 101 in

③13.0.0.5から12.0.0.14へのtelnetを許可（あとはだめ）
(config)# access-list 101 permit tcp host 13.0.0.5 host 12.0.0.14 eq 23
(config)# interface s0
(config-if)# ip access-group 101 in
暗黙のdeny ip any anyがあるのでpermitしたものだけ通過できる。

④192.168.12.0から192.168.13.0へのtcpトラフィックを許可しない
(config)# access-list 101 deny tcp 192.168.12.0 0.0.0.255 192.168.13.0 0.0.0.255
(config)# access-list 101 permit ip any any
(config)# interface s0
(config-if)# ip access-group 101 out

⑤192.168.12.0から192.168.11.0へ向かうftp以外をブロック。（あとはOK)
(config)# access-list 101 deny tcp 192.168.12.0 0.0.0.255 any eq 21
(config)# access-list 101 permit ip any any
(config)# interface s0
(config-if)# ip access-group 101 out

アクセスリストをinにするのかoutにするのか区別がついてきましたか？
in：セキュリティ対策をやりやすい（ルータに入る前にカット）
out：トラフィックコントロール（パケットをどこに向かわせるかを設定）
こんな感じで考えてください。

次回に名前付きアクセスリストをやりますが、これは標準アクセスリストと拡張アクセスリストの番号をやめて、自分で名前をつけます。
つまり名前を付けれれるだけで、機能は標準アクセスリストと拡張アクセスリストと何も変わりません。
ということは標準アクセスリストと拡張アクセスリストができれば名前付きは難しくありません。