NETWORK MAGAZINE 2005.2 『シスコ「Catalyst3750」で学ぶ 今どきの社内LAN P160~163』 by Gene
Catalyst3759を使ったネットワーク構築の技術と設定についての連載です。い ま、ぼくが監修を担当させていただいています。監修を担当するに至った経緯 は、http://www.n-study.com/summary/nmag2004_11_02.htm にちらっと書いて います。
今回、この記事をレビューのネタに選んだのは、アクセスリストについていい 解説を書いているからです。これは、監修したときにぼくが追加したわけでは なく、実際に記事を書いている大谷イビサさんが書かれています。
きちんとアクセスリストの概念をわかってそれを文字数の制限がある中で、必 要なポイントをまとめています。アクセスリストについて、非常に簡潔にまと めている部分は、
ただし、シスコのACLは、QoSやルーティングプロトコルの設定など他の用途 でも利用されるため、セキュリティ確保のためにパケット転送の可否を判断 するACLを特に「セキュリティACL」と呼ぶというところです。このことはとても重要です。
アクセスリストについて、
「アクセスリストはパケット転送の可否を決める」
っていうことだと考えている方がけっこういらっしゃいます。アクセスリスト
の設定で「permit」とか「deny」とか使うので、そう考えてしまうのもよくわ
かります。ぼくも、昔はそうでした。
でも、パケットの転送の可否を決めるのは、アクセスリストの一つの用途に過
ぎません。アクセスリストをインタフェース上でip access-groupコマンドで
適用したときですね。
アクセスリストは他にもいろんな用途に使えます。アクセスリストの用途を、 パケットの転送可否も含めてあげてみます。
- パケットの転送可否
- DDRでのインタレスティングパケットの定義
- ルートフィルタリング
- QoSでのパケットの分類
- IPSecで暗号化対象パケットの指定
パケットの転送の可否を決めるのであれば、インタフェースでアクセスリスト を適用します。インタレスティングパケットを決めるには、dialer-listの中 でアクセスリストを適用します。ルートフィルタリングを行うには、distribute-list の中でアクセスリストを適用します。QoSでパケットの分類を行うには、class-map の中でアクセスリストを適用し、IPSec化対象を決めるには、crypto mapの中 でアクセスリストを適用するという具合です。
アクセスリストのこういった特徴を知っていると、CCNAレベルからCCNPレベル へとステップアップできるようになると思います。
今回のレビューの記事は、こういったアクセスリストの特徴を短い言葉で、と
てもよくまとめています。誌面の都合上、これぐらいの分量しかさけないのが
残念です。
できれば、またあらためて「NETWORK MAGAZINE」でCisco関連の記事で、いろ
んな設定の本質的な解説を行って、アクセスリストの特徴についてもうちょっ
と誌面を割いて説明してくれるといいですね。