CCNA勉強 ACL アクセスコントロールリスト　まとめ

標準ACL

送信元IPアドレスのみをチェックする。送信元アドレスの範囲を指定するためには、ワイルドカードマスクを使用する。ワイルドカードマスクは省略することができる(0.0.0.0になる＝全確認)

拡張ACL

標準ACLよりも多くの項目を指定することが可能。プロトコル固有のパケットをフィルタリングすることができる。標準ACLと違ってワイルドカードマスクは省略することができない
拡張ACLへの移行構文　　　(config)#ip access-list extended {名前}

番号付きACL

番号を指定して、作成するACLを番号付きACLという。
ACLはプロトコルごとに番号が割り振られている。
・IPv4標準 1~99,1300~1999
・IPv4拡張 100~199,2999~2699
・AppleTalk 600~699
・IPX標準 800~899
・IPX拡張 900~999

ルータから発信されるパケットはフィルタリングしない。

IPv4標準とIPv4拡張のように同じプロトコルだと判断ができないので、異なるプロトコルを使用する必要がある

暗黙のdeny any

基本的には、全てを拒否している
文の最後に「permit ip any any」を追加しないといけない。

ワイルドカードマスク

0の部分をチェック（ネットワークの部分のみを知りたいから）
１の部分はすべて無視する。
サブネットマスクとは逆なので注意する

ワイルドカードマスクの0.0.0.0はhostで代用することができる。
すべて許可は「any」を使用する。

ACLの有効化

ACLの有効化　　構文　　　(config-if)#ip access-group {リスト番号} {in|out}
番号付きACLの作成　　構文　　　(config)# access-list {リスト番号} {permit|deny} {送信元アドレス} {ワイカ}}
番号付き拡張ACLの作成　　構文　　　(config)# access-list {ACL番号} {許可/拒否} {プロトコル} {送信元IP} {ワイルドカードマスク} {送信元ポート番号} {宛先IP} {宛先ポート番号} {enabled}

拡張ACLの引数を覚える！　テストで出るから

ACLはシーケンス番号が小さい順から評価されていく（早めに出てくるものが強い）
ACLはより限定されたものを先（シーケンス番号を小さい）に、より広範囲的なものを後に持ってくるのが鉄則。
IPv4はOSPFv2

VYTポート

telnetやSSHなどのリモートアクセスをする際には、VYTポート（仮想ポート）にアクセスして処理してもらう必要がある。
VTYポートにACLを付与して、さらに効率的に利用できる。
VTYポートにACLを設定する① 構文　　　(config)#line vty 0 4
VTYポートにACLを設定する② 構文　　　(config-line)#access-class 100 in

ACLの追加

ACLのステートメントは、リストの最後尾に追加される。
追加するためには、ACLのコンフィギュレーションモードで操作する必要がある。
構文　　　(config)#ip access-list extended {NAME}

最後尾に追加する方式なので、アクセスリストの途中に挿入する場合は、シーケンス番号を入れる必要がある。
VTYポートにACLを設定する② 構文　　　(config-line)#5 permit ip ...