CiscoスイッチACL設定

Ciscoスイッチで、特定のポートから任意のIPアドレスへのアクセスを禁止するACLの設定です。
シチュエーションとしては、以下のような形となります。

Cisco C9200をセンタースイッチとして利用している
社内ネットワーク：192.168.100.0
デフォルトゲートウェイ：192.168.100.1
Cisco C9200：192.168.100.254
VPNサーバー（PC）が、ポート40番に接続されており、ここに社外から接続してくる。ここからの接続者は、社内へのアクセスを禁止し、デフォルトゲートウェイのみのアクセス許可とする
VPNでアクセスするユーザーは192.168.100.128～192

まず、ACLの作成
access-list 100 remark For VPN User
access-list 100 permit ip 192.168.100.128 0.0.0.63 192.168.100.1 0.0.0.0
access-list 100 deny ip 192.168.100.128 0.0.0.63 192.168.100.0 0.0.0.255
access-list 100 permit ip any any

1行目：access-list 100 remark For VPN User
remark以降がコメント。このACLの目的などを記載します

2行目：access-list 100 permit ip 192.168.100.128 0.0.0.63 192.168.100.1 0.0.0.0
送信元IPアドレス：192.168.100.128 0.0.0.63
後半の0.0.0.63はネットマスク、前の192.168.100.128とORして対象範囲を決めます。この場合は、192.168.100.128～192.168.100.191が対象IPとなります
送信先IPアドレス：192.168.100.1 0.0.0.0
このフィルターはpermit（許可）なので、許可する送信先を指定します。ここも後半はネットマスクなので、この値とORを取って192.168.100.1のみが送信先として許可されます。

3行目：access-list 100 deny ip 192.168.100.128 0.0.0.63 192.168.100.0 0.0.0.255
192.168.100.0のネットワークの全てのIPへの通信を禁止します

4行目：access-list 100 permit ip any any
それ以外の通信を全て許可します。この設定がないと通常のインターネットアクセスができなくなってしまいます

ACLは順番が重要で、上から順に適用して行き、条件がマッチしたところでその条件を採用して終了します。1行目と2行目は、192.168.100.1がどちらの送信先にも含まれていますが、1行目で許可しているので、2行目のそれは採用されません。

次に、このACLをポートに設定します
interface GigabitEthernet1/0/40
ip access-group 100 in
inフィルターとして、このポートから入ってくる通信を制限します。

ここでのコマンドは全て
enableモード、configure terminalで実行します。