ルーターACL

ACLアクセス制御リスト

1. アクセス制御リスト

2. ACLはパケットフィルタリングテクノロジーです。

3. ACLはIPパケットヘッダーのIPアドレス、第4層のTCP / UDPヘッダーのポート番号に
   基づいており、[レイヤー5データ]は第3層と第4層のフィルタリングに基づいています

4. ACLは、ルーターまたはファイアウォール（一般にポリシーと呼ばれます）で構成されます。

5. ACLは主に2つのカテゴリに分類されます：
   1）標準ACL
   2）拡張ACL

6. 標準ACL：
   テーブル番号：1-99
   機能：送信元IPに基づいてパケットのみをフィルタリングする
   コマンド：
   conf t
   access-list table number permit / deny送信元IPまたは送信元ネットワークセグメントアンチサブネットマスク
   注：アンチサブネットマスク：正の値を反転しますサブネットマスク0および
   1255.0.0.0 – 0.255.255.255
   255.255.0.0 – 0.0.255.255
   255.255.255.0 – 0.0.0.255
   アンチサブネットマスク機能：条件を一致させるために使用され、対応する0は厳密に一致する必要があります。対応するものは無視してください1！

   次に例を示します。access-list1deny10.0.0.0 0.255.255.255
   説明：このエントリは、10で始まるすべての送信元IPを拒否するために使用されます。

                     access-list   1   deny   10.1.1.1  0.0.0.0
           解释：该条目用来拒绝所有源IP为10.1.1.1的主机
           简写： access-list   1   deny   host  10.1.1.1
   
            access-list   1   deny   0.0.0.0  255.255.255.255
           解释：该条目用来拒绝所有所有人
           简写： access-list   1   deny   any
   

完全なケース：
conf t
acc 1 deny host 10.1.1.1
acc 1 deny 20.1.1.0 0.0.0.255
acc 1 permit any

ACLテーブルを表示します
。showipaccess-list[table ID]

ACLをインターフェイスに適用します
。intf0/ x
ip access-group table number in / out
exit

sh run

7.拡張ACL：
テーブル番号：100-199
機能：送信元IP、宛先IP、ポート番号、プロトコルなどに基づいてパケットをフィルタリングできます。
コマンド：
acc100許可/拒否プロトコル送信元IPまたは送信元ネットワークセグメントアンチサブネットマスク宛先IPまたは送信元ネットワークセグメントのリバースサブネットマスク[eqポート番号]
注：プロトコル：tcp / udp / icmp / ip

例例：
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 permit ip any any

8. ACLの原則
   1）有効にするには、ACLテーブルをインターフェイスの着信方向または発信方向に適用する必要があります。
   2）1つのインターフェイスの1つの方向に適用できるテーブルは1つだけです。
   3）インまたはアウト方向のアプリケーション？フロー制御の一般的な方向によって異なります
   。4）ACLテーブルは各エントリを上から下に厳密にチェックするため、メインの書き込みシーケンスが必要です
   。5）各エントリは条件とアクションで構成されます。フローが完全に条件を満たしたとき、特定のフローが特定の条件を満たさない場合は、次のフローのチェックを続行します
   。6）標準ACLをターゲットにできるだけ近づけて
   記述します。7）Wencollの原則：
   1）フロー制御の場合、最初にどこを決定する必要があります。 ACLが書き込まれます（どのルーター？どの方向がインターフェイスですか？）
   2）ACLの書き込み方法を再検討します。
   3）書き方は？
   まず、すべてを許可するか拒否するかを判断し、
   書き込み時に注意を払う必要があります。前面に厳密な制御を書き込みます
   。8）通常、標準または拡張ACL番号を書き込むと、変更または削除できません。 。順序を変更したり、途中に新しいエントリを
   挿入したり、最後に新しいエントリを追加したりすることはできません。変更、挿入、または削除する場合は、テーブル全体を削除して再度書き込むことしかできません。
   conf t
   no access-list table number

9. ACLの命名：
機能：標準または拡張ACLの命名をカスタマイズできます。
利点：カスタム命名は、識別と記憶が容易です。
アイテムを自由に変更したり、アイテムを削除したり、途中でアイテムを挿入したりできます

コマンド：
confにトン
IPアクセスリストの標準/は、カスタマイズテーブル名の拡張
ACLエントリの書き込みを開始]を
終了否定するからか、許可証を

エントリを削除し
ます：ip access-list standard / extended custom table name
no entry ID
exit

エントリを挿入し
ます：ip access-list standard / extended custom table name
entry ID action condition
exit