1. ホーム
  2. 勉強
  3. ACLの動作テスト

ACLの動作テスト

勉強
ACLの実機テスト

こんにちは、オリオン社員の石森です!

今回はネットワーク実機テストで、ACLの設定をやっていきたいと思います!
ACLはアクセスコントロールリストと呼ばれるもので、通信できるパケットを許可するか、拒否するか設定できるものです!
ではなぜ、ACLを設定するのか?
それはLAN内に複数のネットワークが存在する状況でそれぞれのネットワークに誰でも通信できてしまうのは大問題だからです!
例えば、学校のネットワークがあるとします。
普段、教師が使っているパソコンのネットワークに誰でもアクセスできたら、生徒たちも見ることができることになります!
もしも、試験前の問題用紙をパソコンに保存してあったら、生徒たちが見ることができるかもしれません!
そんな不正行為は阻止したいですよね!
真似したらダメですよ!(笑)
そんなときにこのACLを設定することで、生徒たちはアクセスできないように設定できます!

ACLについて

ACLはパケットの条件が一致した場合に許可や拒否するかを登録します。
ACLには標準ACLと拡張ACLの2つがあります。
また、標準ACLには番号付きACLと名前付き標準ACLが存在します。
番号付き標準ACLは番号で判別して、1~99の値で設定します。
名前付き標準ACLは名前で判別して、作成時に名前を設定します。

拡張ACLには、さらに標準ACLよりも細かく設定ができます。
送信元・宛先IPアドレス、プロトコル番号、送信元・宛先ポート番号で判別できます。
拡張ACLにも番号付きACLと名前付きACLがあります。
番号付きは番号で判別して、100~199の値を設定します。
名前付きは名前で判定して、作成時に名前を設定します。

ACLには規定があります。
ACLは先に登録したものがリストの上から順に登録されています。
後から追加した場合、リストの下行に追加されるイメージです。
登録したリストは上の行から順番に検索します。
順番に検索して条件に一致するものが見つかったら、それ以降の下の行は検索しません。
そのため、リストの順番を間違えると想定外の動きをするので注意が必要です。
他にも、ACLの最後の行には暗黙のdenyと呼ばれるものが存在します。この暗黙のdenyは最後まで条件に一致するものが見つからなかったら、パケットを破棄する役割を持っています。

実機テスト

それでは、実際に標準ACLと拡張ACLをそれぞれ作っていきたいと思います!
ネットワーク図は変わりありませんがこんな感じです。
ここに、ACLの許可と拒否するリストを加えてみました。

標準ACLで192.168.2.2を許可する作成は以下の通りです。

Switch1(config)#access-list 1 permit 192.168.2.0 0.0.0.255

拡張ACLでtelnet接続を拒否するものとSSH接続を許可するものを作成します!
telnetのポート番号は23、sshのポート番号は22です。
最後の行には暗黙のdenyがあるので、すべてのip通信を許可するものを作成しておきます!

Switch1(config)# ip access-list extended EXTEST
Switch1(config-ext-nacl)# deny tcp host 192.168.1.14 host 192.168.1.252 eq 23
Switch1(config-ext-nacl)# permit tcp host 192.168.1.14 host 192.168.1.252 eq 22
Switch1(config-ext-nacl)# permit ip any any
Switch1(config-ext-nacl)# exit

続いて、設定したACLを192.168.1.252のインターフェースに適用します。

Switch1(config)#interface fastEthernet 1/0/3
Switch1(config-if)#ip access-group EXTEST in

設定したACLの内容をshow running-configで確認してみましょう。

ip access-list extended EXTEST
deny tcp host 192.168.1.14 host 192.168.1.252 eq telnet
permit tcp host 192.168.1.14 host 192.168.1.252 eq 22
permit ip any any

では、ACLの設定は以上です!

実際の動作を写真でお見せするはずでしたが、諸事情で実際の写真はお見せできませんでした。
ですが、こちらの設定内容でノートパソコンからssh接続することができました!
想定通りtelnetは接続できませんでした。

これでACLの実機テストは終了です。
ここまで見てくださりありがとうございます。

勉強
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次