Appearance
ACL (Access Control List)
ACL 基礎
標準ACL と 拡張ACL
| 種類 | ACL番号 | マッチ条件 |
|---|---|---|
| 標準ACL | 1〜99(1300〜1999) | 送信元IPアドレスのみ |
| 拡張ACL | 100〜199(2000〜2699) | 送信元/宛先IP、プロトコル、ポート番号 |
ワイルドカードマスク
ワイルドカードマスクはACLで指定したIPアドレスのどのビットをチェックするかを示す。
| ビット値 | 意味 |
|---|---|
| 0 | そのビットをチェックする(一致必須) |
| 1 | そのビットを無視する(任意) |
※サブネットマスクとは逆の論理。
ワイルドカードマスクによる奇数/偶数判定
ワイルドカードマスク 0.0.0.254(= 11111110)を使うと、最下位ビットだけを固定し上位7ビットを無視できる。
| 条件 | コマンド例 | 仕組み |
|---|---|---|
| 奇数のみ許可 | access-list 1 permit x.x.x.1 0.0.0.254 | 最下位ビット=1(奇数)を固定、残り無視 |
| 偶数のみ許可 | access-list 1 permit x.x.x.0 0.0.0.254 | 最下位ビット=0(偶数)を固定、残り無視 |
例: access-list 1 permit 192.168.1.1 0.0.0.254 → 192.168.1.0/24のうち第4オクテットが奇数(1, 3, 5, ... 253, 255)のIPのみ許可
重要: このテクニックは試験で問われることがあるが、実運用で使うケースはほぼない。ワイルドカードマスクのビット単位の動作を理解しているかが問われるポイント。
VACL (VLAN Access Map)
VLAN内のトラフィックをフィルタリングする機能。通常のACLはL3(ルーティング時)に適用されるが、VACLはVLAN内(同一VLAN間通信)にも適用できる。
設定の流れ(4ステップ)
| ステップ | コマンド | 説明 |
|---|---|---|
| 1. VLAN Access Mapの作成 | vlan access-map <name> <seq> | マップ名とシーケンス番号を指定 |
| 2. マッチ条件の指定 | match ip address <acl> | 参照するACLを指定 |
| 3. アクションの指定 | action {drop|forward} | 一致時の動作(破棄 or 転送) |
| 4. VLANへの適用 | vlan filter <name> vlan-list <vlan-id> | 対象VLANに適用 |
ACLとアクションの関係
| ACLの判定結果 | VACLの動作 |
|---|---|
| permit | VACLの action(drop/forward)が実行される |
| deny | そのACL/シーケンスをスキップし、次のシーケンスへ |
重要: ACLの permit はVACLのアクションを「許可する」のではなく、「アクションの対象にする」という意味。ACL permit + action drop = パケット破棄となる。通常のACLの permit/deny とは意味が異なる点に注意。
設定例
! 1. ACLでマッチ対象を定義
access-list 100 permit ip host 10.0.0.1 any
! 2. VLAN Access Mapを作成
vlan access-map BLOCK-HOST 10
match ip address 100
action drop
! 3. 暗黙のforward(マッチしないトラフィックは転送)
vlan access-map BLOCK-HOST 20
action forward
! 4. VLANに適用
vlan filter BLOCK-HOST vlan-list 10重要: 暗黙のルールとして、どのシーケンスにもマッチしないトラフィックは破棄される。そのため、許可したいトラフィックには明示的に action forward のシーケンスを追加する必要がある。
RACL / VACL / PACL の比較
スイッチではRACL(Router ACL)、VACL(VLAN ACL)、PACL(Port ACL)の3種類のACLをサポートする。
| 種類 | 適用先 | 適用対象 | 適用方向 | 処理の順番 |
|---|---|---|---|---|
| RACL | SVI またはルーテッドポート | ルーティング | in / out | 3(最後) |
| VACL | VLAN | ブリッジングとルーティング | in方向 | 2 |
| PACL | L2ポート | ブリッジングとルーティング | in方向 | 1(最初) |
処理順序
パケットがスイッチに入ると、以下の順で評価される:
PACL → VACL → RACL
- PACL: L2ポートに着信した時点で最初に評価
- VACL: VLANに着信するパケットを評価(ブリッジング・ルーティング両方)
- RACL: SVI/ルーテッドポートでルーティング時に評価
重要: VACLはin方向のみ適用可能(out不可)。RACLのみin/out両方向に適用できる。PACLもin方向のみ。また、VACLはブリッジングとルーティングの両方に適用されるため、同一VLAN内通信もフィルタリングできる(RACLでは不可)。