NW機器にport指定ACL(Access Control List)を設定する時の注意事項
ACLとは何かの説明は省略するとして
今回はport指定のACLの書き方を構成図を元に説明したいと思います。
それぞれ接続元、接続先をそれぞれA、Bとして
SwitchのB側から入ってくる通信(in)を制御するとします。
ACLは基本、接続先側にport指定します。
<接続元:A 接続先:Bの場合>
接続方向 B → A(port)
ACL方向 B → A
Port付ACL B → A(port)
<接続元:B 接続先:Bの場合>
接続方向 A → B(port)
ACL方向 B → A
Port付ACL B(port) → A
ACL方向 B → A
Port付ACL B(port) → A
※接続方向とACL適用方向が逆になっているので注意が必要!!
設定イメージ:
<A→B>
(config)# ip access-list extended XXXX
(config-ext-nacl)# permit tcp (A) (B) eq (port)
(config)# ip access-list extended XXXX
(config-ext-nacl)# permit tcp (B) eq (port) (A)
設定例:(Aのアドレスが192.168.100.1 Bのアドレスが10.35.1.1 指定port443の場合)
<A→B>
(config)# ip access-list extended XXXX
(config-ext-nacl)# permit tcp 192.168.100.1 10.35.1.1 eq 443
<B→A>
(config)# ip access-list extended XXXX
(config-ext-nacl)# permit tcp 10.35.1.1 eq 443 192.168.100.1
どこのNW現場でACLは使用しているが細かいところまで理解して設定する必要がある。。
私の場合は文字だけ見ても理解できない時は構成図を書き出すことで理解しています。