ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

Ciscoルータ、スイッチでIFにip access-groupが適用されていないとACL設定の意味がない

インフラエンジニアをしていて、ネットワーク機器も触ることがあるんですが、中には設定が入っているけど意味がない設定をしているケースがあったりします。


例えば、Linuxiptablesで、大きく許可範囲を広げすぎて、細かいフィルタ設定が意味がない場合など。


動作検証をしっかりしていたら気づきますが、中々できない場合もあるんでしょうね。そして、Ciscoルータ、スイッチでIFにip access-groupが適用されていないとACL設定の意味がないケースもちらほらあります。


例えば、以下のようなアクセスリストが定義してあっても、IFに適用していなければ意味がありません。


Router(config)#access-list 10 deny host 10.0.0.10
Router(config)#access-list 10 permit any

上記のアクセルリストをインターフェースに適用してあげる必要があります。  

Router(config)#interface gigabitethernet 0/0
Router(config-if)#ip access-group 1 in



Ciscoの場合は、適用するインターフェースと合わせて、適用方向(in out)を考える必要があります。  そして、作成したアクセスリストの適用場所は、標準IPアクセスリストの場合は、宛先近くのルータに適用し、拡張IPアクセスリストの場合は、送信元近くのルータに適用します。


また、Ciscoの場合は、ACLの最後に暗黙のdenyが入ります。


こういった設定のし忘れがフィルターが制御されていないという事態に陥るので注意が必要です。