Packet TracerでACLを設定して通信を制御してみた【CCNA学習メモ】

CCNA

CCNAの学習でACL(Access Control List)を勉強したので、今回はPacket Tracerを使って実際に設定してみました。

ACLは「通信を許可・拒否するルール」です。

実際に設定すると、今まで通信できていたPC同士が通信できなくなるので、ACLの動作がよく分かります。

この記事では、初心者向けに手順を紹介します。


今回の構成

今回はシンプルな構成で実験します。

PC2台と1941Router0を1台をCopper Straight-Throughで接続します。


IPアドレスを設定する

まずは各機器にIPアドレスを設定します。

機器IPアドレスサブネットマスクデフォルトゲートウェイ
PC0192.168.1.10255.255.255.0192.168.1.1
Router G0/0192.168.1.1255.255.255.0
Router G0/1192.168.2.1255.255.255.0
PC1192.168.2.10255.255.255.0192.168.2.1

ルーターにはそれぞれのインターフェースへIPアドレスを設定します。

以下のコマンドをルーターのCLIに記入します。

enable
configure terminal

interface g0/0
ip address 192.168.1.1 255.255.255.0
no shutdown

interface g0/1
ip address 192.168.2.1 255.255.255.0
no shutdown

下の例はコマンドを短縮で記入しています。

設定後は特権モード(Router#)にして

show ip interface brief

で確認します。


ACLを設定する前に通信確認

ACLを設定する前に、PC0からPC1へPingを送ります。

ping 192.168.2.10

最初の1回はARP通信のため失敗することがありますが、その後は成功すればOKです。

ここで通信できることを確認してからACLを設定します。


ACLを作成する

今回は

192.168.1.10だけ通信を禁止

してみます。

グローバルコンフィギュレーションモード(Router(config)#)で入力します。

access-list 1 deny host 192.168.1.10
access-list 1 permit any

コマンドの意味

access-list 1

ACL番号1を作成します。

deny host 192.168.1.10

192.168.1.10からの通信を拒否します。

permit any

それ以外の通信は許可します。

ポイント

ACLには最後に「暗黙のdeny」があるため、許可する通信も書いておく必要があります。


ACLを適用する

ACLは作成しただけでは動きません。

インターフェースへ適用します。

今回はPC0側から入ってくる通信を制御したいので、G0/0へ設定します。

interface g0/0
ip access-group 1 in

inとは?

「ルーターへ入ってくる通信」を意味します。


Pingで確認

再びPC0からPC1へPingを送ります。

ping 192.168.2.10

今度は通信できません。

Packet Tracerでは

Destination host unreachable.

または

Request timed out.

と表示されます。

どちらもACLによって通信が遮断された結果なので正常です。


ACLが動いているか確認

次のコマンドをルーターのCLIで実行します。特権モード(Router#)です。

show access-lists

すると

Standard IP access list 1
10 deny host 192.168.1.10 (4 match(es))
20 permit any

のように表示されます。

matchとは?

4 match(es)

このルールに4回一致した

という意味です。

今回であれば、Pingを4回送ったため4回ヒットしています。


ACLを削除して通信を確認

ACLが原因で通信できなくなっていることを確認するため、一度ACLを外します。

configure terminal

interface g0/0
no ip access-group 1 in

end

再度Pingすると通信できるようになります。

これで

「ACLによって通信が止まっていた」

ことが確認できます。


まとめ

今回学んだポイントはこちらです。

  • ACLは通信を許可・拒否する機能
  • ACLは作成しただけでは動かない
  • ip access-groupでインターフェースへ適用する
  • show access-listsでヒット回数を確認できる
  • ACLを削除すると再び通信できる

Packet Tracerで実際に設定してみると、ACLがどのタイミングで通信を制御しているのか理解しやすくなります。

コメント

タイトルとURLをコピーしました