![見出し画像](https://assets.st-note.com/production/uploads/images/118445701/rectangle_large_type_2_90e2a1bc0e4d188a00a7f60727ec8364.png?width=1200)
CiscoスイッチACL設定
Ciscoスイッチで、特定のポートから任意のIPアドレスへのアクセスを禁止するACLの設定です。
シチュエーションとしては、以下のような形となります。
Cisco C9200をセンタースイッチとして利用している
社内ネットワーク:192.168.100.0
デフォルトゲートウェイ:192.168.100.1
Cisco C9200:192.168.100.254
VPNサーバー(PC)が、ポート40番に接続されており、ここに社外から接続してくる。ここからの接続者は、社内へのアクセスを禁止し、デフォルトゲートウェイのみのアクセス許可とする
VPNでアクセスするユーザーは192.168.100.128~192
まず、ACLの作成
access-list 100 remark For VPN User
access-list 100 permit ip 192.168.100.128 0.0.0.63 192.168.100.1 0.0.0.0
access-list 100 deny ip 192.168.100.128 0.0.0.63 192.168.100.0 0.0.0.255
access-list 100 permit ip any any
1行目:access-list 100 remark For VPN User
remark以降がコメント。このACLの目的などを記載します
2行目:access-list 100 permit ip 192.168.100.128 0.0.0.63 192.168.100.1 0.0.0.0
送信元IPアドレス:192.168.100.128 0.0.0.63
後半の0.0.0.63はネットマスク、前の192.168.100.128とORして対象範囲を決めます。この場合は、192.168.100.128~192.168.100.191が対象IPとなります
送信先IPアドレス:192.168.100.1 0.0.0.0
このフィルターはpermit(許可)なので、許可する送信先を指定します。ここも後半はネットマスクなので、この値とORを取って192.168.100.1のみが送信先として許可されます。
3行目:access-list 100 deny ip 192.168.100.128 0.0.0.63 192.168.100.0 0.0.0.255
192.168.100.0のネットワークの全てのIPへの通信を禁止します
4行目:access-list 100 permit ip any any
それ以外の通信を全て許可します。この設定がないと通常のインターネットアクセスができなくなってしまいます
ACLは順番が重要で、上から順に適用して行き、条件がマッチしたところでその条件を採用して終了します。1行目と2行目は、192.168.100.1がどちらの送信先にも含まれていますが、1行目で許可しているので、2行目のそれは採用されません。
次に、このACLをポートに設定します
interface GigabitEthernet1/0/40
ip access-group 100 in
inフィルターとして、このポートから入ってくる通信を制限します。
ここでのコマンドは全て
enableモード、configure terminalで実行します。
この記事が気に入ったらサポートをしてみませんか?