MENU
全てのネットワークエンジニアのために

Catalyst ACL – アクセスコントロールリスト(RACLの詳細)

Cisco CML ネットワーク基礎
Catalyst ACL - アクセスコントロールリスト(RACLの詳細)
概要説明
Catalyst ACL – アクセスコントロールリスト(RACL/VACL/PACLの概要)
詳細説明
Catalyst ACL – アクセスコントロールリスト(VACLの詳細)
Catalyst ACL – アクセスコントロールリスト(PACLの詳細)
目次

RACL(Router ACL)とは

RACLとは、CiscoIOSルーターのACLと同様に、L3インターフェース(ルーテッドポート、SVI等)に適用し、L3/L4でのアクセス制御を行います。Input側/Output側の双方で制御が可能で、L3スイッチのSVIに設定する場合のイメージは下記の通りです。

RACLの設定イメージ

実ネットワークを用いた説明

CMLの構成

CMLで下記のネットワークを構築し説明していきます。L3SW(IOSvL2)を1台とServerを4台設置します。

CMLの構成

各機器の基本設定はこちら

RACLの設定

L3SWにServer3(192.168.2.1)への通信のみ許可するRACLを設定します。

L3SW
ip access-list extended RACL_VLAN100
 permit ip any host 192.168.2.1
 deny   ip any any

int vlan 100
 ip access-group RACL_VLAN100 in

設定箇所は下記のイメージです。

RACLの設定箇所

疎通確認

Server1(192.168.1.1)から各機器へPingによる疎通確認を行います。

デフォルトゲートウェイ(192.168.1.254)への通信

Server1
ping -c 5 192.168.1.254
cisco@Server1:~$ ping -c 5 192.168.1.254
PING 192.168.1.254 (192.168.1.254): 56 data bytes

--- 192.168.1.254 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

デフォルトゲートウェイへの通信は、SVI100で処理されるため、RACLで拒否され疎通不可となります。

Server2(192.168.1.2)への通信

Server1
ping -c 5 192.168.1.2
cisco@Server1:~$ ping -c 5 192.168.1.2
PING 192.168.1.2 (192.168.1.2): 56 data bytes
64 bytes from 192.168.1.2: seq=0 ttl=64 time=6.822 ms
64 bytes from 192.168.1.2: seq=1 ttl=64 time=6.123 ms
64 bytes from 192.168.1.2: seq=2 ttl=64 time=6.525 ms
64 bytes from 192.168.1.2: seq=3 ttl=64 time=6.413 ms
64 bytes from 192.168.1.2: seq=4 ttl=64 time=5.021 ms

--- 192.168.1.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 5.021/6.180/6.822 ms

同一セグメントのServer2への通信は、SVI100では処理されずブリッジングされるため、疎通可能となります。※同一セグメント内の通信の場合、RACLでは制御できないことがわかります。

同一セグメントの通信経路
同一セグメントの通信経路

Server3(192.168.2.1)への通信

Server1
ping -c 5 192.168.2.1
cisco@Server1:~$ ping -c 5 192.168.2.1
PING 192.168.2.1 (192.168.2.1): 56 data bytes
64 bytes from 192.168.2.1: seq=0 ttl=63 time=4.947 ms
64 bytes from 192.168.2.1: seq=1 ttl=63 time=4.290 ms
64 bytes from 192.168.2.1: seq=2 ttl=63 time=5.248 ms
64 bytes from 192.168.2.1: seq=3 ttl=63 time=5.331 ms
64 bytes from 192.168.2.1: seq=4 ttl=63 time=6.233 ms

--- 192.168.2.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 4.290/5.209/6.233 ms

RACLで許可されているため、疎通可能です。

Server4(192.168.2.2)への通信

Server1
ping -c 5 192.168.2.2
cisco@Server1:~$ ping -c 5 192.168.2.2
PING 192.168.2.2 (192.168.2.2): 56 data bytes

--- 192.168.2.2 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

RACLで拒否されているため、疎通不可です。

パケットキャプチャ確認

デフォルトゲートウェイ(192.168.1.254)への通信

ARP解決後、ICMP通信が192.168.1.254まで届きますが、RACLで拒否されるため、Destination unreachable(Communication administratively filtered)を返していることがわかります。

デフォルトゲートウェイ(192.168.1.254)への通信のパケットキャプチャ

Server2(192.168.1.2)への通信

ARP解決後、通信が成立していることがわかります。

Server2(192.168.1.2)への通信のパケットキャプチャ

Server3(192.168.2.1)への通信

デフォルトゲートウェイのARP解決後、通信が成立していることがわかります。

Server3(192.168.2.1)への通信のパケットキャプチャ

Server4(192.168.2.2)への通信

デフォルトゲートウェイのARP解決後、ICMP通信が192.168.1.254まで届きますが、RACLで拒否されるため、Destination unreachable(Communication administratively filtered)を返していることがわかります。

Server4(192.168.2.2)への通信のパケットキャプチャ

以上で、Catalyst ACL – アクセスコントロールリスト(RACLの詳細)の説明は完了です!

概要説明
Catalyst ACL – アクセスコントロールリスト(RACL/VACL/PACLの概要)
詳細説明
Catalyst ACL – アクセスコントロールリスト(VACLの詳細)
Catalyst ACL – アクセスコントロールリスト(PACLの詳細)
Cisco CML ネットワーク基礎
CCNA CCNP Cisco TCP/IP ネットワークエンジニア ネットワーク基礎
  • URLをコピーしました!
  • URLをコピーしました!

関連記事

目次