ACLの配置について

　アクセスリストは、自由度が高く、目的を達成するための方法は、いくつも考えられます。答えは、１つではありません。複数考えられる候補から、よりベターな方法を採用することになります。

　標準IPアクセスリストを使って、「PC1からPC2への通信をフィルタする」場合について考えてみます。

作成するアクセスリストは以下になります。

access-list 1 host {PC1のIPアドレス}
access-list 1 permit any

　このアクセスリストを、R1ルータの G0/0 の IN に適用しても、「PC1からPC2への通信をフィルタする」という目的は、達成できます。

しかし、これでは、PC1は、ネットワーク２～４へもアクセスできなくなってしまいます。

　標準IPアクセスリストでは、送信元IPアドレスしか指定できないため、送信元の近くにアクセスリストを配置した場合、他のネットワークへアクセスできなくなってしまうのです。

　R4ルータの G0/0 のOUT に設定した場合は、PC1は、ネットワーク２～４へアクセス可能でありながら、PC2への通信はフィルタリングされます。

『標準IPアクセスリストは、なるべく宛先近くに配置する。』のが、コツです！

次に、拡張IPアクセスリストを使って、「PC1からPC2への通信をフィルタする」場合について考えてみます。

作成するアクセスリストは以下になります。

access-list 1 deny ip host {PC1のIP} host {PC2のIP}
access-list 1 permit ip any any

　このアクセスリストを、R4ルータ G0/0 のOUTに適用しても、「PC1からPC2への通信をフィルタする」という目的は、達成できます。

　しかし、これでは、どのみちR4 ルータの OUT でパケットがブロックされてしまうのに、ネットワーク２～４へも流れてしまいます。不要なパケットが、宛先付近に到達するまで流れてしまうことになり、その結果、不要なトラフィックが、帯域幅を奪ってしまうことになるのです。

　拡張IPアクセスリストでは、送信元IPアドレス、宛先IPアドレスが指定できるため、なるべく送信元の近くにアクセスリストを配置すれば、不要なトラフィックが、ネットワークに流れずにすみます。

『拡張IPアクセスリストは、なるべく送信元の近く配置する。』のが、コツです！

ACLの配置は、ネットワークの構成や将来の拡張なども考慮して配置する必要があります。

ACLの配置について、以下のルールを目安にすると良いかと思います。

しかし、いつも最善の方法になるとは限りません。

　次の「ACL（established）」では、TCP通信の3ウェイハンドシェイク確立時にやり取りされるSYNビットがセットされたパケットをフィルタリングする方法について解説していきます。