ACLの分類(標準ACLと拡張ACL)
ACLの分類(標準ACLと拡張ACL)
全体の流れ
続いてACL(アクセスコントロールリスト)の作成から通信制御が適用されるまでの流れを確認していきましょう。
大きく手順をまとめると以下の通りになります。
- ACL(アクセスコントロールリスト)の作成
- インタフェースの指定
- ACLの適用
※あくまで理論やイメージを重視した説明になります。具体的なコマンドの指定方法については演習版にて解説します。
1. ACL(アクセスコントロールリスト)の作成
まずACL(アクセスコントロールリスト)の作成を行います。
先ほど説明した通り、ACLは、1つのリストをまとめて作成するわけではなく、リストを指定した上で
1行ずつリストに含めるパケットフィルタリング(アクセス制御の内容)を作成します。
またACLは、標準ACL、拡張ACLに分類でき、さらに番号付き、名前付きの二つに分類(計4種類)できますが、
どの種類のACLを作成するのかによってコマンドの内容が変わります。
※コマンドの内容について詳しくは演習版で解説します。
イメージ図
2. インタフェースの指定
ルータにはネットワーク接続口であるインタフェースがあります。
ACLはルータ全体に指定するのではなく、ルータに含まれる特定のインタフェースに適用させます。
そのため、ACLを適用させる前に、適用先であるインタフェースを指定します。
ACLの適用
次に指定したインタフェースに対して作成したACLを適用させます。
インバウンド、アウトバウンドについて
適用させる際、フィルタリングさせる向きを指定しなければなりません。
フィルタリングの向きは、インバウンドとアウトバウンドの二つに分類できます。
- インバウンド:パケットが到達(受信)するタイミングでフィルタリング
- アウトバウンド:パケットが出力(転送)するタイミングでフィルタリング
3. ACLの適用
ACLの適用(配置)の際の注意点
通信やフィルタリングの内容によって、「どのルータに、どのACLを適用させるべきか」は変わってきますが、
ACLの種類によって一般的にこの件について推奨されていることがあります。
具体的には、
- 標準ACLはなるべく宛先近くのルータに設置すべき
- 拡張ACLはなるべく送信元近くのルータに設置すべき
だと言われています。
※通信の状況によって好まれる適用または配置の内容は変わってきますので、あくまで参考程度に留めていただければと思います。
標準ACLはなるべく宛先近くのルータに設置すべき
標準ACLは送信元だけしか、フィルタリングの対象に含めることができません。
次ページの図のように、送信元近くのルータで「~からの通信を拒否する」といったフィルタリングを
適用した場合、本来、通過させるべきかもしれなかったルータを通過できなくなる可能性もあります。
そのため標準ACLについては、宛先近くのルータで設定することが推奨されています。
拡張ACLはなるべく送信元近くのルータに設置すべき
一方、拡張ACLは送信元だけではなく、宛先もフィルタリングの対象に含めることができます。
そのため送信元近く、宛先近くなど場所に関わらず、「~から~への通信を拒否する」といった
フィルタリングを適用した場合、標準ACLと違い、対象の送信元が制御をかけたことによって、
通信を拒否させる必要がなかったルータまでも、送信元からの通信を拒否するといった事態がなくなります。
そのためどこに適用させても同様の結果が得られますが、宛先近くのルータにACLを設定した場合、
その間を通過するまでの各ルータに無駄なトラフィックが発生します。
そのような無駄なトラフィックを発生させないためにも、拡張ACLの場合、
送信元近くのルータに適用させることが推奨されています。
