アクセスリストによる通信制御 ~基礎編~

ベル

今回の授業は「アクセスリストによる通信制御」ついて、教えていこうと思います。以前に授業でも話したと思いますが、ネットワークとは何でも繋げればいいわけではないんです。通すべきパケットは通して、通すべきでないパケットは遮断するのが大切なのです。それでは、アクセスリストによる通信制御について基礎的なところを学んでいってくださいね!

 

アクセスリストとは

「アクセスリスト=通信制御」と思われている方もいるかもしれませんが、それは誤りです。アクセスリストは、あくまでもただのリストです。それを正確にインターフェイスに適用させることで通信制御ができるのです。この意味については、後々解説していきますので、このまま読み進めてもらえればと思います。

 

アクセスリストには、大きく分けて2種類あります。

 

 

標準アクセスリスト(標準ACL)

標準アクセスリスト(標準ACL)とは、パケットの送信元アドレスだけはチェックして通信制御をするアクセスリストのことです。この標準ACLには、「名前付き標準ACL」「番号付き標準ACL」があります。この「名前付き」と「番号付き」の違いは、ACLの識別方法にあります。「名前付きACL」の場合は、ACLに任意の名前を付けてACLを管理していくことができるが、「番号付きACL」の場合は、「1~99/1300/1999」までの番号で管理を行っていくことになります。

 

それぞれのメリット/デメリットがあるため、一概にどちらがいいとは言えません。というのは、「名前付きACL」の方が管理ができていいように思われるかもしれませんが、インターフェイスへの適応ミスが発生する可能性が高まるのです。例えば、「test-l3sw-acl」なんて名前のリストがあったとしたら、誤ってインターフェイスに「test-13sw-acl」なんてありもしないACLを適応してしまうことがあるんです。

 

「そんなことないよ~」って思うかもしれませんが、僕は現場でよく見かける事象なんです。この「test-l3sw-acl」に、何十ってリストを書いたとしても、すべて無駄です。制御してるつもりがまったく機能していないなんてことも、少なくない話です。

 

適用場所と方向

ACLには、適用すべき場所が定められています。この標準ACLの場合は、送信元アドレスしかチェックできないので、できるだけ宛先に近いところで設定するのが推奨です。もし、送信元に近いところで設定してしまったら、以下のように、誰とも通信できなくなってしまいますよね?

 

 

また、ACLをインターフェイスに適用する際に方向(in/out)を指定する必要があります。この方向によってパケットの処理順序がことなります。それでは、黒板を見てください。

 

 

このようにイン方向に適用した場合は、パケットを受信した直後に通信制御が機能することになりますが、アウト方法に適用した場合は、ルーティング処理が終わってインターフェイスから出力される際に通信制御が機能することになります。言うまでもないかもしれませんが、アウト方向に適用する方が負荷がかかりますよね。この標準アクセスリストは、宛先にもっとも近いところでかけるのが理想的であることから、負荷がかかりやすいデメリットがあることが分かってもらえたでしょうか。

 

拡張アクセスリスト(拡張ACL)

拡張アクセスリスト(拡張ACL)とは、送信元アドレス、宛先アドレス、送信元ポート番号、宛先ポート番号などの細かいチェックして通信制御が可能なアクセスリストになります。この拡張ACLも標準ACLと同様、「名前付き拡張ACL」「番号付き拡張ACL」の2種類があります。「番号付き」の場合に指定できる番号は、「標準ACL」と区別させるため、「100~199/2000~2699」までとなっています。

 

 

適用場所と方向

「標準ACL」は、できるだけ宛先に近いところで適用したのと対照的に、「拡張ACL」はできるだけ送信元に近いところで設定することが推奨されています。理由としては、「拡張ACL」は細かい制御が可能であるため、送信元の近いところで落としてしまうことで、不要なトラフィックをなくすことが可能となるからです。

 

 

このように「拡張ACL」は、細かい制御ができるので無駄な通信を遮断するのに役立ちますが、当然、管理は複雑になります。そのため大規模ネットワークになると、「拡張ACL」を数百行レベルで設定しているのをよく見かけます。そのような管理にならないように、うまく「標準ACL」と「拡張ACL」を使い分ける必要がありますね。

 

 

まとめ

ベル

今回の授業はいかがでしたか?アクセスリスト(ACL)の基礎について書いてみましたが、理解できましたでしょうか?まだ、具体的なコンフィグを紹介していませんので、「ふーん」って感じかもしれませんね。次回以降にサンプルコンフィグを紹介していきますので、楽しみにしていてくださいね!

 

Follow me!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です