一 般 的 に 使 用 される IP ACL の 設 定 目 次 概 要 前 提 条 件 要 件 使 用 するコンポーネント 表 記 法 設 定 例 特 定 のホストによるネットワーク アクセスの 許 可 特 定 のホストによるネットワーク アクセスの 拒 否 連 続 した IP アドレスの 範 囲 へのアクセスの 許 可 Telnetトラフィック(TCP ポート23) を 拒 否 する 方 法 内 部 ネットワークだけにTCP セッションを 始 めさせる 方 法 FTP トラフィック(TCP ポート21) を 拒 否 する 方 法 FTP トラフィックの 許 可 (アクティブ FTP) FTP トラフィックの 許 可 (パッシブ FTP) ping の 許 可 (ICMP) HTTP Telnet Mail POP3 FTP の 許 可 DNS の 許 可 ルーティングの 更 新 を 許 可 する ACL に 基 づくトラフィックのデバッグ MAC アドレス フィルタリング 確 認 トラブルシューティング 関 連 情 報 概 要 このドキュメントでは 一 般 的 に 使 用 される IP Access Control List(ACL; アクセス コントロール リスト)の 設 定 例 を 紹 介 し ています ACL では 次 の 条 件 に 基 づいて IP パケットをフィルタリングできます 送 信 元 アドレス 宛 先 アドレス パケットの 種 類 上 記 の 項 目 の 組 み 合 わせ ACL では ネットワーク トラフィックをフィルタリングするために ルーティング 対 象 のパケットをルータ インターフェイスで 転 送 するかブロックするかが 制 御 されます ルータでは 各 パケットが 検 査 され ACL で 指 定 された 条 件 に 基 づいて パケットを 転 送 するか 廃 棄 するかが 判 断 されます ACL の 条 件 には 次 のものがあります トラフィックの 送 信 元 アドレス トラフィックの 宛 先 アドレス 上 位 層 プロトコル このドキュメントの 例 に 示 すように ACL を 構 成 するには 次 の 手 順 を 実 行 します 1. 2. ACL を 作 成 する ACL をインターフェイスに 適 用 する IP ACL は IP パケットに 適 用 される 許 可 / 拒 否 条 件 の 連 続 的 な 集 まりです ルータは 一 度 に 1 つずつ ACL 内 の 条 件 とパケッ トを 照 らし 合 わせてテストします 最 初 の 一 致 はかどうか Cisco IOS 判 別 します か ソフトウェアはパケットを 受 け 入 れるか または 拒 否 します 最 初 に 一 致 する 条 件 が 見 つかると Cisco IOS ソフトウェアによるテストはその 時 点 で 終 了 するため 条 件 の 順 序 は 非 常 に 重 要 です 一 致 する 条 件 が 1 つもないと ルータでは 暗 黙 的 な deny all 句 によりパケットが 拒 否 されます 次 に Cisco IOS ソフトウェアで 設 定 できる IP ACL の 例 を 示 します
標 準 ACL 拡 張 ACL ダイナミック(ロック アンド キー)ACL IP 名 前 付 き ACL 再 帰 ACL 時 間 範 囲 を 使 用 する 時 間 ベース ACL コメント 付 き IP ACL エントリ コンテキストベース ACL 認 証 プロキシ ターボ ACL 分 散 型 時 間 ベース ACL この 文 書 では 一 般 的 に 使 用 される 標 準 ACL と 拡 張 ACL について 説 明 します Cisco IOS ソフトウェアでサポートされている 各 種 の ACL の 詳 細 と ACL の 設 定 方 法 および 編 集 方 法 については IP アクセス リストの 設 定 を 参 照 してください 標 準 ACL のコマンド 構 文 フォーマットは access-list access-list-number { 割 り 当 てです 拒 否 } {ホスト ソース ソース ワイ ルドカード } 標 準 ACL では IP パケットの 送 信 元 アドレスと ACL で 設 定 されたアドレスの 比 較 により トラフィックを 制 御 します 拡 張 ACL では IP パケットの 送 信 元 および 宛 先 アドレスと ACL で 設 定 されたアドレスの 比 較 により トラフィックを 制 御 しま す また 拡 張 ACL をさらに 詳 細 に 設 定 すると 次 のような 条 件 に 基 づいてトラフィックをフィルタリングできます 一 部 ツー ルについては ゲスト 登 録 のお 客 様 にはアクセスできない 場 合 がありますことを ご 了 承 ください プロトコル ポート 番 号 Differentiated Services Code Point(DSCP; DiffServ コード ポイント) 値 優 先 順 位 値 同 期 シーケンス 番 号 (SYN)ビットの 状 態 拡 張 ACL のコマンド 構 文 の 形 式 は 次 のとおりです IP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log log-input] [time-range time-range-name][fragments] Internet Control Message Protocol(ICMP; インターネット 制 御 メッセージ プロトコル) access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} icmp source source-wildcard destination destination-wildcard [icmp-type [icmp-code] [icmp-message]] [precedenceprecedence] [tos tos] [log log-input] [time-range time-range-name][fragments] Transport Control Protocol(TCP; トランスポート 制 御 プロトコル) access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [precedence precedence] [tos tos] [log log-input] [time-range time-range-name][fragments] User Datagram Protocol(UDP; ユーザ データグラム プロトコル) access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} udp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [precedence precedence] [tos tos] [log log-input] [time-range time-range-name][fragments] ACL のコマンド リファレンスは IP サービス コマンド に 掲 載 されています 前 提 条 件 要 件
この 設 定 を 開 始 する 前 に 次 の 要 件 が 満 たされていることを 確 認 してください IP アドレッシングに 関 する 基 本 的 な 知 識 詳 細 は IP のアドレッシングとサブネット 化 について( 新 規 ユーザ 向 け) を 参 照 してください 使 用 するコンポーネント このドキュメントは 特 定 のソフトウェアやハードウェアのバージョンに 限 定 されるものではありません 表 記 法 ドキュメント 表 記 の 詳 細 は シスコ テクニカル ティップスの 表 記 法 を 参 照 してください 設 定 例 このセクションの 設 定 例 では 最 も 一 般 的 な IP ACL を 使 用 しています 特 定 のホストによるネットワーク アクセスの 許 可 次 の 図 は 特 定 のホストによるネットワークへのアクセスが 許 可 されていることを 示 しています Host B から 発 信 された NetA 宛 てのトラフィックはすべて 許 可 されますが NetB から 発 信 された NetA 宛 ての 他 のトラフィックはすべて 拒 否 されます の 表 に 掲 載 されている 出 力 は このホストがネットワークへのアクセスをどのように 許 可 されるかを 示 しています この 出 力 は 次 のことを 示 しています この 設 定 では IP アドレス 192.168.10.1 を 持 つホストだけが の Ethernet 0 インターフェイスを 通 過 することを 許 可 されています このホストは NetA の IP サービスにアクセスできます NetB 内 のその 他 のホストは NetA にアクセスできません この ACL には deny 文 が 設 定 されていません デフォルトでは すべての ACL の 最 後 に 暗 黙 的 な deny all 句 が 存 在 します 明 示 的 に 許 可 されていないトラフィックはすべて 拒 否 されます ip access-group 1 in access-list 1 permit host 192.168.10.1 注 :この ACL では HostB から 送 信 されたパケットを 除 き NetB から NetA への IP パケットがフィルタリングされます た だし NetA から Host B へのパケットは 許 可 されます 注 :access-list 1 permit 192.168.10.1 0.0.0.0 という ACL を 作 成 する 方 法 でも 同 じルールを 設 定 できます 特 定 のホストによるネットワーク アクセスの 拒 否 次 の 図 は Host B から 発 信 された NetA 宛 てのトラフィックが 拒 否 されているのに 対 し NetB から 発 信 された NetA 宛 ての 他 の トラフィックがすべて 許 可 されていることを 示 しています 次 の 設 定 では ホスト 192.168.10.1/32 からのパケットが の Ethernet 0 を 通 過 することは 拒 否 されていますが その 他 の パケットはすべては 許 可 されています すべての ACL には 暗 黙 的 な deny all 句 が 存 在 するので その 他 すべてのパケットを 明 示 的 に 許 可 するには access list 1 permit any コマンドを 使 用 する 必 要 があります
ip access-group 1 in access-list 1 deny host 192.168.10.1 access-list 1 permit any 注 : 文 の 順 序 は ACL の 処 理 にとって 非 常 に 重 要 です 次 のコマンドに 示 すように エントリの 順 序 を 逆 にすると 最 初 の 行 が すべてのパケットの 送 信 元 アドレスに 一 致 してしまいます そのため この ACL では ホスト 192.168.10.1/32 による NetA へのアクセスをブロックできません access-list 1 permit any access-list 1 deny host 192.168.10.1 連 続 した IP アドレスの 範 囲 へのアクセスの 許 可 次 の 図 は ネットワーク アドレス 192.168.10.0/24 を 持 つ NetB 内 のすべてのホストが NetA 内 のネットワーク 192.168.200.0/24 にアクセスできることを 示 しています 次 の 設 定 では ネットワーク 192.168.10.0/24 内 の 送 信 元 アドレスとネットワーク 192.168.200.0/24 内 の 宛 先 アドレスが 指 定 された IP ヘッダーを 持 つ IP パケットは NetA にアクセスすることを 許 可 されています ACL の 最 後 には 暗 黙 的 な deny all 句 が 存 在 するので その 他 のトラフィックはすべて の Ethernet 0 の 内 側 に 通 過 することを 拒 否 されます ip access-group 101 in access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.200.0 0.0.0.255 注 :コマンド access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.200.0 0.0.0.255 に 含 まれる 0.0.0.255 は マ スクが 255.255.255.0 に 設 定 されたネットワーク 192.168.10.0 の 逆 マスクです ACL では ネットワーク アドレスの 何 ビッ トを 照 合 する 必 要 があるかを 指 定 するために 逆 マスクが 使 用 されます 上 の 表 に 示 す ACL では 192.168.10.0/24 ネットワー ク 内 の 送 信 元 アドレスと 192.168.200.0/24 ネットワーク 内 の 宛 先 アドレスが 指 定 されたすべてのホストが 許 可 されています ネットワーク アドレスのマスクの 詳 細 と ACL に 必 要 な 逆 マスクの 算 出 方 法 については IP アクセス リストの 設 定 の マ スク セクションを 参 照 してください Telnetトラフィック(TCP ポート23) を 拒 否 する 方 法 セキュリティを 強 化 するために パブリック ネットワークからプライベート ネットワークへの Telnet アクセスをディセーブル にすることが 必 要 になる 場 合 があります 次 の 図 は NetB(パブリック)から NetA(プライベート)への Telnet トラフィック が 拒 否 されていることを 示 しています この 設 定 では NetA から NetB に 対 して Telnet セッションを 開 始 して 確 立 することは 許 可 されており その 他 の IP トラフィックはすべて 許 可 されています Telnet では TCP ポート 23 が 使 用 されます 次 の 設 定 では NetA のポート 23 宛 ての TCP トラフィックがすべてブロックさ れ その 他 の IP トラフィックはすべて 許 可 されています
access-list 102 deny tcp any any eq 23 access-list 102 permit ip any any 内 部 ネットワークだけにTCP セッションを 始 めさせる 方 法 次 の 図 は NetA から 発 信 された NetB 宛 ての TCP トラフィックが 許 可 されているのに 対 し NetB から 発 信 された NetA 宛 ての TCP トラフィックが 拒 否 されていることを 示 しています この 例 の ACL は 次 のことを 目 的 としています NetA 内 のホストが NetB 内 のホストへの TCP セッションを 開 始 し 確 立 することを 許 可 する NetB 内 のホストが NetA 内 のホストへの TCP セッションを 開 始 し 確 立 することを 拒 否 する この 設 定 では 次 の 条 件 を 満 たすデータグラムが のインターフェイス Ethernet 0 の 内 側 に 通 過 することを 許 可 されていま す 応 答 確 認 (ACK)ビットまたはリセット(RST)ビットがセットされている(TCP セッションが 確 立 されたことを 示 す) 宛 先 ポート 値 が 1023 よりも 大 きい access-list 102 permit tcp any any gt 1023 established IP サービス 用 の 代 表 的 なポートの 大 部 分 では 1023 未 満 の 値 が 使 用 されているため 宛 先 ポートが 1023 未 満 であるデータグラ ム または ACK/RST ビットがセットされていないデータグラムは ACL 102 により 拒 否 されます そのため NetB 内 のホスト が 1023 未 満 のポート 番 号 に 対 して( 同 期 / 開 始 パケット(SYN/RST)ビットがセットされていない) 最 初 の TCP パケット 送 信 し て TCP 接 続 を 開 始 しようとすると その 接 続 は 拒 否 され TCP セッションは 失 敗 します NetA から NetB に 対 して 開 始 された TCP セッションが 許 可 される 理 由 は これらの TCP セッションでは 戻 りパケットに ACK/RST ビットがセットされていて 1023 よりも 大 きいポート 値 が 使 用 されているためです ポートの 完 全 なリストについては RFC 1700 を 参 照 してください FTP トラフィック(TCP ポート21) を 拒 否 する 方 法 次 の 図 は NetB から 発 信 された NetA 宛 ての FTP(TCP ポート 21)トラフィックと FTP データ(ポート 20)トラフィックが 拒 否 され その 他 すべての IP トラフィックが 許 可 されていることを 示 しています FTP では ポート 21 およびポート 20 が 使 用 されます ポート 21 およびポート 20 宛 ての TCP トラフィックは 拒 否 され そ の 他 すべてのトラフィックは 明 示 的 に 許 可 されています
access-list 102 deny tcp any any eq ftp access-list 102 deny tcp any any eq ftp-data access-list 102 permit ip any any FTP トラフィックの 許 可 (アクティブ FTP) FTP の 動 作 モードには アクティブ モードとパッシブ モードの 2 種 類 があります アクティブ FTP とパッシブ FTP の 動 作 方 法 については FTP の 動 作 を 参 照 してください FTP がアクティブ モードで 動 作 している 場 合 FTP サーバでは 制 御 用 にポート 21 が 使 用 され データ 用 にポート 20 が 使 用 さ れます FTP サーバ(192.168.1.100)は NetA 内 にあります 次 の 図 は NetB から 発 信 された FTP サーバ(192.168.1.100) 宛 ての FTP(TCP ポート 21)トラフィックと FTP データ(ポート 20)トラフィックが 許 可 され その 他 すべての IP トラフィ ックが 拒 否 されていることを 示 しています access-list 102 permit tcp any host 192.168.1.100 eq ftp access-list 102 permit tcp any host 192.168.1.100 eq ftp-data established interface ethernet1 ip access-group 110 in access-list 110 permit host 192.168.1.100 eq ftp any established access-list 110 permit host 192.168.1.100 eq ftp-data any FTP トラフィックの 許 可 (パッシブ FTP) FTP の 動 作 モードには アクティブ モードとパッシブ モードの 2 種 類 があります アクティブ FTP とパッシブ FTP の 動 作 方 法 については FTP の 動 作 を 参 照 してください FTP がパッシブ モードで 動 作 している 場 合 FTP サーバでは 制 御 用 にポート 21 が 使 用 され データ 用 に 1024 番 以 降 のダイナ ミック ポートが 使 用 されます FTP サーバ(192.168.1.100)は NetA 内 にあります 次 の 図 は NetB から 発 信 された FTP サ ーバ(192.168.1.100) 宛 ての FTP(TCP ポート 21)トラフィックと FTP データ(1024 番 以 降 のポート)トラフィックが 許 可 され その 他 すべての IP トラフィックが 拒 否 されていることを 示 しています access-list 102 permit tcp any host 192.168.1.100 eq ftp access-list 102 permit tcp any host 192.168.1.100 gt 1024 interface ethernet1
ip access-group 110 in access-list 110 permit host 192.168.1.100 eq ftp any established access-list 110 permit host 192.168.1.100 gt 1024 any established ping の 許 可 (ICMP) 次 の 図 は NetA から 発 信 された NetB 宛 ての ICMP が 許 可 され NetB から 発 信 された NetA 宛 ての ping が 拒 否 されていること を 示 しています 次 の 設 定 では NetB から NetA に 向 かうパケットのうち エコー 応 答 (ping 応 答 )パケットだけがインターフェイス Ethernet 0 を 通 過 することを 許 可 されています ただし この 設 定 では NetB から NetA に ping が 発 行 された 場 合 すべてのエコー 要 求 ICMP パケットがブロックされます そのため NetA 内 のホストは NetB 内 のホストに ping を 発 行 できますが NetB 内 の ホストは NetA 内 のホストに ping を 発 行 できません access-list 102 permit icmp any any echo-reply HTTP Telnet Mail POP3 FTP の 許 可 次 の 図 は HTTP Telnet Simple Mail Transfer Protocol(SMTP; シンプル メール 転 送 プロトコル) POP3 および FTP トラ フィックだけが 許 可 され NetB から 発 信 された NetA 宛 ての 残 りのトラフィックが 拒 否 されていることを 示 しています 次 の 設 定 では WWW(ポート 80) Telnet(ポート 23) SMTP(ポート 25) POP3(ポート 110) FTP(ポート 21) または FTP データ(ポート 20)に 一 致 する 宛 先 ポート 値 が 指 定 された TCP トラフィックが 許 可 されます ACL の 最 後 にある 暗 黙 的 な deny all 句 により permit 句 に 一 致 しないその 他 すべてのトラフィックが 拒 否 されることに 注 意 してください access-list 102 permit tcp any any eq www access-list 102 permit tcp any any eq telnet access-list 102 permit tcp any any eq smtp access-list 102 permit tcp any any eq pop3 access-list 102 permit tcp any any eq 21 access-list 102 permit tcp any any eq 20 DNS の 許 可 次 の 図 は Domain Name System(DNS; ドメイン ネーム システム)トラフィックだけが 許 可 され NetB から 発 信 された NetA 宛 ての 残 りのトラフィックが 拒 否 されていることを 示 しています
次 の 設 定 では 宛 先 ポート 値 53 が 指 定 された TCP トラフィックが 許 可 されています ACL の 最 後 にある 暗 黙 的 な deny all 句 により permit 句 に 一 致 しないその 他 のトラフィックはすべて 拒 否 されます access-list 112 permit udp any any eq domain access-list 112 permit udp any eq domain any access-list 112 permit tcp any any eq domain access-list 112 permit tcp any eq domain any ルーティングの 更 新 を 許 可 する インターフェイスにインバウンド ACL を 適 用 するときは ルーティング アップデートがフィルタリングで 拒 否 されないようにす る 必 要 があります ルーティング プロトコル パケットを 許 可 するには 次 の 一 覧 の 中 で 該 当 する ACL を 使 用 します Routing Information Protocol(RIP)を 許 可 するには 次 のコマンドを 発 行 します access-list 102 permit udp any any eq rip Interior Gateway Routing Protocol(IGRP)を 許 可 するには 次 のコマンドを 発 行 します access-list 102 permit igrp any any Enhanced IGRP(EIGRP)を 許 可 するには 次 のコマンドを 発 行 します access-list 102 permit eigrp any any Open Shortest Path First(OSPF)を 許 可 するには 次 のコマンドを 発 行 します access-list 102 permit ospf any any Border Gateway Protocol(BGP)を 許 可 するには 次 のコマンドを 発 行 します access-list 102 permit tcp any any eq 179 access-list 102 permit tcp any eq 179 any ACL に 基 づくトラフィックのデバッグ debug コマンドを 使 用 すると メモリや 処 理 能 力 などのシステム リソースが 消 費 され 極 端 な 状 況 ではシステムの 負 荷 が 高 くな り 動 作 速 度 が 低 下 することがあります debug コマンドを 使 用 するときは 十 分 に 注 意 してください debug コマンドの 影 響 を 少 なくするには ACL を 使 用 して 検 査 する 必 要 があるトラフィックを 選 択 的 に 定 義 します このような 設 定 では パケット のフィルタリングは 行 われません 次 の 設 定 では 10.1.1.1 ~ 172.16.1.1 の 間 にあるホストのパケットに 対 してのみ debug ip packet コマンドが 有 効 になりま す (config)#access-list 199 permit tcp host 10.1.1.1 host 172.16.1.1 (config)#access-list 199 permit tcp host 172.16.1.1 host 10.1.1.1 (config)#end #debug ip packet 199 detail IP packet debugging is on (detailed) for access list 199 debug コマンドの 影 響 についての 詳 細 は debug コマンドの 重 要 な 情 報 を 参 照 してください
debug コマンドを 含 む ACL の 使 用 方 法 については ping および traceroute コマンドについて の debug コマンドの 使 用 セクションを 参 照 してください MAC アドレス フィルタリング 特 定 の MAC レイヤ ステーションの 送 信 元 アドレスまたは 宛 先 アドレスを 含 むフレームをフィルタリングできます システムに これらのアドレスをいくつ 設 定 してもパフォーマンスには 影 響 しません MAC レイヤ アドレスを 基 準 にしてフィルタリングを 行 うには グローバル コンフィギュレーション モードで 次 のコマンドを 使 用 します Router#config terminal bridge irb bridge 1 protocol ieee bridge 1 route ip 作 成 したアクセス リストとともに トラフィックをフィルタリングする 必 要 があるインターフェイスにブリッジ プロトコルを 適 用 します Router#int fa0/0 no ip address bridge-group 1 {input-address-list 700 output-address-list 700} exit Bridged Virtual Interface(BVI)を 作 成 し イーサネット インターフェイスに 割 り 当 てられた IP アドレスを 適 用 します Router#int bvi1 ip address exit access-list 700 deny <mac address> 0000.0000.0000 access-list 700 permit 0000.0000.0000 ffff.ffff.ffff この 設 定 を 使 用 すると access-list 700 で 設 定 された MAC アドレスだけがルータで 許 可 されます このアクセス リストで は アクセスを 許 可 できない MAC アドレスを 拒 否 した 後 に 残 りのアドレスを 許 可 する 必 要 があります 注 :MAC アドレスごとに すべてのアクセス リスト 行 を 作 成 してください 確 認 現 在 この 設 定 に 使 用 できる 確 認 手 順 はありません トラブルシューティング 現 在 のところ この 設 定 に 関 する 特 定 のトラブルシューティング 情 報 はありません 関 連 情 報 IP アクセス リストの 設 定 設 定 例 とテクニカルノーツ 1992-2016 Cisco Systems, Inc. All rights reserved. Updated: 2016 年 1 月 16 日 Document ID: 26448 http://www.cisco.com/cisco/web/support/jp/100/1003/1003521_aclsamples.html