【NEC UNIVERGE IX2106】ACL によるフィルタの設定方法

ルータ

作業環境

  • 型番:UNIVERGE IX2106
  • バージョン:10.2.16

ACL によるフィルタの設定手順

IX2106 での ACL によるフィルタの設定手順は以下の通りです。

  1. トラフィックを定義する ACL を作成する
  2. ACL をインターフェースに適用する設定を行う

ACL の作成

ACL は送信元、送信先、プロトコル情報を含むトラフィックの定義です。

ACL はグローバルコンフィグモードで設定します。

すべてのプロトコルについての ACL の作成

すべてのプロトコルのトラフィックを対象とした ACL を作成する場合は、以下の書式で設定します。

  • ip access-list name [permit|deny] ip src src-ip/prefix dest dest-ip/prefix
    • name:ACL の識別名
    • src-ip/prefix:送信元 IP アドレスとプレフィックス値
      • any と指定するとすべての送信元の意味
    • dest-ip/prefix:宛先 IP アドレスとプレフィックス値
      • any と指定するとすべての送信先の意味

設定例:

ip access-list test-1 permit ip src any dest 10.200.1.0/24
ip access-list test-1 permit ip src any dest 192.168.1.0/24

TCP / UDP ポート番号を指定した ACL の作成

TCP / UDP ポート番号を指定したトラフィックを対象とした ACL を作成する場合は、以下の書式で設定します。

  • ip access-list name [permit|deny] [tcp|udp] src src-ip/prefix [sport port] dest dest-ip/prefix [dport port]
    • name:ACL の識別名
    • src-ip/prefix:送信元 IP アドレスとプレフィックス値
      • any と指定するとすべての送信元の意味
    • dest-ip/prefix:宛先 IP アドレスとプレフィックス値
      • any と指定するとすべての送信先の意味
    • port:送信元、または宛先のポート番号を指定。書式は以下の通り
      • lt numbernumber より小さい
      • gt numbernumber より大きい
      • eq numbernumber に等しい
      • neq numbernumber と異なる
      • range num1 num2num1 以上 num2 以下
      • any:すべて

設定例:

ip access-list list1 deny tcp src any sport range 67 100 dest any dport any
ip access-list list1 permit tcp established src any sport any dest any dport any
ip access-list list1 deny udp src any sport range 67 100 dest any dport any

established : ACK または RST フラグが ON

ACL をインターフェースに適用する設定

ACL をインターフェースに適用する設定(フィルタ設定)は、対象インターフェースのインターフェースコンフィグモードで設定します。

フィルタ設定の書式は以下の通りです。

  • ip filter acl-name seq-num [in | out]
    • acl-name:適用する ACL の識別名
    • seq-num:フィルタのシーケンス番号
      • 複数のフィルタを設定している場合、シーケンス番号の小さい順に評価される
    • [in | out]
      • in:インターフェースへ入力されるパケットに対して ACL を適用
      • out:インターフェースから出力されるパケットに対して ACL を適用

インターフェースにフィルタを設定しているとき、どのフィルタ (ACL) にも該当しなかったトラフィックは拒否されます(暗黙の deny)。

設定例:

interface GigaEthernet1.0
  ip filter test-1 10 in

ACL とフィルタの設定例

◆ネットワーク構成

◆要件

  • GE0.0 に対して入力されるパケットについて 10.200.1.0/24 から 192.168.1.0/24 への通信(すべてのプロトコル)のみを許可する
  • GE1.0 に対して入力されるパケットについて 192.168.1.0/24 から 10.200.1.0/24 への通信(すべてのプロトコル)のみを許可する

設定例:

ip access-list acl_01 permit ip src 192.168.1.0/24 dest 10.200.1.0/24
ip access-list acl_02 permit ip src 10.200.1.0/24 dest 192.168.1.0/24

interface GigaEthernet0.0
  ip filter acl_02 10 in

interface GigaEthernet1.0
  ip filter acl_01 10 in

―――――――――――――

タイトルとURLをコピーしました