ACLの配置について

 アクセスリストは、自由度が高く、目的を達成するための方法は、いくつも考えられます。答えは、1つではありません。複数考えられる候補から、よりベターな方法を採用することになります。

標準IPアクセスリストの場合

標準IPアクセスリストを使って、「PC1からPC2への通信をフィルタする」場合について考えてみます。

作成するアクセスリストは以下になります。

access-list 1 host {PC1のIPアドレス}
access-list 1 permit any

 このアクセスリストを、R1ルータの G0/0 の IN に適用しても、「PC1からPC2への通信をフィルタする」という目的は、達成できます。

しかし、これでは、PC1は、ネットワーク2~4 へもアクセスできなくなってしまいます。

 標準IPアクセスリストでは、送信元IPアドレスしか指定できないため、送信元の近くにアクセスリストを配置した場合、他のネットワークへアクセスできなくなってしまうのです。

 R4ルータの G0/0 のOUT に設定した場合は、PC1は、ネットワーク2~4へアクセス可能でありながら、PC2への通信はフィルタリングされます。

標準IPアクセスリストは、なるべく宛先近くに配置する。』のが、コツです!

拡張IPアクセスリストの場合

次に、拡張IPアクセスリストを使って、「PC1からPC2への通信をフィルタする」場合について考えてみます。

作成するアクセスリストは以下になります。

access-list 1 deny ip host {PC1のIP} host {PC2のIP}
access-list 1 permit ip any any

 このアクセスリストを、R4ルータ G0/0 のOUTに適用しても、「PC1からPC2への通信をフィルタする」という目的は、達成できます。

 しかし、これでは、どのみちR4 ルータ の OUT でパケットがブロックされてしまうのに、ネットワーク2~4へも流れてしまいます。不要なパケットが、宛先付近に到達するまで流れてしまうことになり、その結果、不要なトラフィックが、帯域幅を奪ってしまうことになるのです。

 拡張IPアクセスリストでは、送信元IPアドレス、宛先IPアドレスが指定できるため、なるべく送信元の近くにアクセスリストを配置すれば、不要なトラフィックが、ネットワークに流れずにすみます。

拡張IPアクセスリストは、なるべく送信元の近く配置する。』のが、コツです!

ACLの配置は、ネットワークの構成や将来の拡張なども考慮して配置する必要があります。

ACL配置の目安

ACLの配置について、以下のルールを目安にすると良いかと思います。

  • 標準IPアクセスリストは、なるべく宛先近くに配置する。
  • 拡張IPアクセスリストは、なるべく送信元の近く配置する。

しかし、いつも最善の方法になるとは限りません。

 次の「ACL(established)」では、TCP通信の3ウェイハンドシェイク確立時にやり取りされるSYNビットがセットされたパケットをフィルタリングする方法について解説していきます。