ACLの配置について

ACLの配置について

　アクセスリストは、自由度が高く、目的を達成するための方法は、いくつも考えられます。答えは、１つではありません。複数考えられる候補から、よりベターな方法を採用することになります。

標準IPアクセスリストの場合

　標準IPアクセスリストを使って、「PC1からPC2への通信をフィルタする」場合について考えてみます。

作成するアクセスリストは以下になります。

access-list 1 host {PC1のIPアドレス}
access-list 1 permit any

　このアクセスリストを、R1ルータの G0/0 の IN に適用しても、「PC1からPC2への通信をフィルタする」という目的は、達成できます。

しかし、これでは、PC1は、ネットワーク２～４ へもアクセスできなくなってしまいます。

　標準IPアクセスリストでは、送信元IPアドレスしか指定できないため、送信元の近くにアクセスリストを配置した場合、他のネットワークへアクセスできなくなってしまうのです。

　R4ルータの G0/0 のOUT に設定した場合は、PC1は、ネットワーク２～４へアクセス可能でありながら、PC2への通信はフィルタリングされます。

『標準IPアクセスリストは、なるべく宛先近くに配置する。』のが、コツです！

拡張IPアクセスリストの場合

次に、拡張IPアクセスリストを使って、「PC1からPC2への通信をフィルタする」場合について考えてみます。

作成するアクセスリストは以下になります。

access-list 1 deny ip host {PC1のIP} host {PC2のIP}
access-list 1 permit ip any any

　このアクセスリストを、R4ルータ G0/0 のOUTに適用しても、「PC1からPC2への通信をフィルタする」という目的は、達成でき