NETWORK MAGAZINE 2005.2 『シスコ「Catalyst3750」で学ぶ 今どきの社内LAN P160~163』 by Gene
NETWORK MAGAZINE 2005.2 『シスコ「Catalyst3750」で学ぶ 今どきの社内LAN P160~163』 by Gene
Catalyst3759を使ったネットワーク構築の技術と設定についての連載です。い
ま、ぼくが監修を担当させていただいています。監修を担当するに至った経緯
は、http://www.n-study.com/summary/nmag2004_11_02.htm にちらっと書いて
います。
今回、この記事をレビューのネタに選んだのは、アクセスリストについていい
解説を書いているからです。これは、監修したときにぼくが追加したわけでは
なく、実際に記事を書いている大谷イビサさんが書かれています。
きちんとアクセスリストの概念をわかってそれを文字数の制限がある中で、必
要なポイントをまとめています。アクセスリストについて、非常に簡潔にまと
めている部分は、
ただし、シスコのACLは、QoSやルーティングプロトコルの設定など他の用途
でも利用されるため、セキュリティ確保のためにパケット転送の可否を判断
するACLを特に「セキュリティACL」と呼ぶ
というところです。このことはとても重要です。
アクセスリストについて、
「アクセスリストはパケット転送の可否を決める」
っていうことだと考えている方がけっこういらっしゃいます。アクセスリスト
の設定で「permit」とか「deny」とか使うので、そう考えてしまうのもよくわ
かります。ぼくも、昔はそうでした。
でも、パケットの転送の可否を決めるのは、アクセスリストの一つの用途に過
ぎません。アクセスリストをインタフェース上でip access-groupコマンドで
適用したときですね。
アクセスリストは他にもいろんな用途に使えます。アクセスリストの用途を、
パケットの転送可否も含めてあげてみます。
- パケットの転送可否
- DDRでのインタレスティングパケットの定義
- ルートフィルタリング
- QoSでのパケットの分類
- IPSecで暗号化対象パケットの指定
こうしてみると、access-listコマンドで設定するアクセスリストというのは、
さまざまな条件に基づいて、パケットを特定するためのものです。そのアクセ
スリストをどのように適用するかによって、さまざまな機能を提供できます。
パケットの転送の可否を決めるのであれば、インタフェースでアクセスリスト
を適用します。インタレスティングパケットを決めるには、dialer-listの中
でアクセスリストを適用します。ルートフィルタリングを行うには、distribute-list
の中でアクセスリストを適用します。QoSでパケットの分類を行うには、class-map
の中でアクセスリストを適用し、IPSec化対象を決めるには、crypto mapの中
でアクセスリストを適用するという具合です。
アクセスリストのこういった特徴を知っていると、CCNAレベルからCCNPレベル
へとステップアップできるようになると思います。
今回のレビューの記事は、こういったアクセスリストの特徴を短い言葉で、と
てもよくまとめています。誌面の都合上、これぐらいの分量しかさけないのが
残念です。
できれば、またあらためて「NETWORK MAGAZINE」でCisco関連の記事で、いろ
んな設定の本質的な解説を行って、アクセスリストの特徴についてもうちょっ
と誌面を割いて説明してくれるといいですね。