ACL によるパケットフィルタリングの設計
ルータや L3SW において、L3インターフェースに対して ACL を適用してパケットフィルタリングを行うケースが良くあります。
Cisco 機器についていうとインターフェース設定における ip access-group
設定が該当しますが、設計時に考慮する点としては以下が考えられます。
- どのインターフェイスに対して適用するか
in
方向とout
方向のどちらに適用するか
以下では松田の経験に基づき、実際の現場では ACL フィルタリングがどのような使われ方をされているのかについて記載します。
適用箇所はクライアントセグメント接続インターフェース
「ACL フィルタリングがどのインターフェイスに対して適用されているのか」については、クライアントのデフォルートゲートウェイとなる IP アドレスを持つインターフェースに対して適用されているケースがほとんどです。
対象クライアントからの通信、または対象クライアントへの通信を ACL によって制限することを目的としています。
フィルタリングの方向は in 方向が圧倒的に多い
「IF の in / out どちら方向のパケットを制限するか」については、in 方向のパケットを制限するケースが圧倒的に多いです。
in 方向に ACL を適用する目的としては以下が考えられます。
- 信頼された送信元 IP (想定されているクライアント IP) からの通信のみ許可する
- 内部クライアントから外部への通信については必要な宛先への通信のみを許可する
out 方向ではなく in 方向に適用するケースが多い理由としては、
- 通信要件に合わせたフィルタリング設計をしようとした場合に in 方向のフィルタリングで考えたほうが分かりやすい設計になるから
という理由が考えられます。
out 方向のフィルタリングを行うケースももちろん存在します。セキュリティ要件が厳しいネットワークについては in/out 両方向についてフィルタリングを行う場合があります。
フィルタリング設定例
以下の構成を考えます。
- L3SW/RT_01 に接続するクライアントセグメント 10.10.1.0/24 からは、L3SW/RT_02 に接続するクライアントセグメント 10.10.2.0/24 宛の通信のみ許可することとします
- クライアントのデフォルートゲートウェイとなる IP を持つ L3SW/RT_01 のインターフェースは Vlan111 とします
- L3SW/RT_02 に接続するクライアントセグメント 10.10.2.0/24 からは、L3SW/RT_01 に接続するクライアントセグメント 10.10.1.0/24 宛の通信のみ許可することとします
- クライアントのデフォルートゲートウェイとなる IP を持つ L3SW/RT_02 のインターフェースは Vlan112 とします
L3SW/RT_01 での設定
ip access-list extended Vlan111in
permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
interface Vlan111
ip access-group Vlan111in in
L3SW/RT_02 での設定
ip access-list extended Vlan112in
permit ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255
interface Vlan112
ip access-group Vlan112in in