本連載は、ネットワーク構築に必須となるLANスイッチについて、動作や仕組みを解説しながら実際の設定例を示し、ネットワークを身近に感じていただける事を目的としています。

第二回までに、LANスイッチの管理と監視、トラフィック制御等について解説しました。発展編 第三回の本稿では、一部の通信だけ許可したり、拒否したりするACL(Access Control List) について解説します。

1.ACLの概要

LANスイッチは、ACLを利用して一部の通信だけ許可したり、拒否したりできます。例えば、重要なサーバには一部のパソコンだけ通信できるようにする事も可能です。ACLは番号や名前で作成し、IPアドレス等を指定して許可、または拒否するルールを定義します。

ルールは複数定義可能で、番号の小さい順に判定されます。1つのルールに一致すると許可、拒否が決まり、次のルールは判定されません。上のACL:10番では、172.16.1.1が送信元の通信はルール番号1で許可されているため、ルール番号2と3は判定されません。つまり、上の例でルール番号3のようにルール番号1と同じ送信元IPアドレスを条件にすると、判定されないため意味がありません。また、ACLは定義しただけでは通信に影響しません。利用するポートに適用する必要があります。

ACLは、記述しなくてもルールの最後に暗黙のDeny(拒否)が存在し、全てのルールに一致しない場合は通信が拒否されます。

2.ACLの種類

ACLはIPアドレスを条件としたルールだけでなく、MACアドレスも条件とする事ができます。MACアドレスを条件とするACLをMAC ACL、IPアドレスを条件とするACLをIP ACLと言います。以下はMAC ACLとIP ACLで指定可能な条件の例です。

MAC ACLの場合、送信元MACアドレスだけを条件にすると、宛先MACアドレスに関係なくルールに一致するか判定されます。送信元MACアドレスと宛先MACアドレス両方を条件にすると、両方共ルールに一致するか判定されます。IP ACLでも判定方法は同じです。

3.ワイルドカードマスク

ワイルドカードマスクは、通信を許可または拒否するMACアドレスやIPアドレスの範囲を示すために使います。例えば、送信元や宛先のMACアドレスがDC:EF:09:E3:BB:9Cで、ワイルドカードマスクが00:00:00:FF:FF:FFの場合、該当するMACアドレス範囲は以下になります。

ワイルドカードマスクが赤字の0に該当する部分はMACアドレスの数字をそのままを使い、それ以外は任意の数字が範囲となります。また、ワイルドカードマスクが00:00:00:00:00:00の場合は、MACアドレスをそのまま使う事を意味するため、1つのMACアドレスだけが対象になります。IPアドレスでワイルドカードマスクを使う時も同様です。IPアドレスが172.16.2.1で、ワイルドカードマスクが0.0.255.255の場合、該当するIPアドレス範囲は以下になります。

ワイルドカードマスクが0.0.0.0の場合は、1つのIPアドレスだけが対象になります。このように、ワイルドカードマスクを利用して通信を許可、拒否する範囲を定義する事ができます。また、ワイルドカードマスクを利用すると、ある範囲を許可し、その一部は拒否すると言った定義も可能になります。

上記では、ルール1が先に判定されるため、送信元172.16.1.0~255は拒否され、それ以外の172.16.0.0~172.16.255.255は許可されます。また、172.17.1.1等ルールにない送信元IPアドレスの通信は、暗黙のDenyによって拒否されます。

4.MAC ACLの設定例

ネットギア製品のスマートスイッチでは、ログイン後に「Security」→「ACL」→「Basic」→「MAC ACL」を選択する事でMAC ACLを設定できます。

赤枠部分で名前を入力し、「ADD」をクリックするとMAC ACLが追加されます。ルールは「MAC Rules」で定義できます。

青枠部分で追加したMAC ACLの名前を選択し、赤枠部分でルール番号と許可(Permit)、拒否(Deny)を選択します。緑枠部分が宛先(Destination)と送信元(Source)のMACアドレスとワイルドカードマスクです。黄色枠の「Match Every」でTrueを選択すると、MACアドレスやワイルドカードマスクは入力できなくなり、全ての通信が該当するようになります。ルールの最後でTrueにして「Action」をPermitにすると、全ての通信を許可するルールとなり、暗黙のDenyで拒否されないようにできます。「ADD」をクリックするとルールが追加され、繰り返すとルールが増やせます。MAC ACLのポートへの適用は、「MAC Binding Configuration」で行います。

赤枠部分でMAC ACLの名前を選択し、青枠部分をクリックすると緑枠部分にポートの一覧が表示されます。MAC ACLを適用したいポートをクリックして×を表示させ、「APPLY」をクリックするとMAC ACLが適用されます。適用されたMAC ACLは、オレンジ枠部分に表示されます。また、適用の削除は「Binding Table」で行えます。

5.IP ACLの設定例

IP ACLは「Advanced」→「IP ACL」を選択する事で設定できます。

赤枠部分に番号を入力し、「ADD」をクリックするとIP ACLが追加されます。この番号には意味があります。

IP ACLにはIP Standard ACLとIP Extended ACLがあります。IP Standard ACLは、送信元IPアドレスを条件にしたルールが作成できます。ルールの作成は、「IP Rules」で行います。ACLの番号を選択し、送信元IPアドレスやワイルドカードマスク等を入力して作成します。IP Extended ACLは送信元IPアドレスだけでなく、宛先IPアドレス等も条件にしたルールが作成できます。ルールの作成は、「IP Extended Rules」で行えます。

赤枠部分で追加したIP ACLの番号を選択し、「ADD」をクリックすると以下の画面が表示されます。

赤枠部分でルール番号と許可(Permit)、拒否(Deny)を選択します。緑枠部分が送信元(Src)と宛先(Dst)のIPアドレス、ワイルドカードマスクです。青枠部分は今回説明した範囲ではIPを選択します。オレンジ色枠の「Match Every」は、MAC ACLで説明したのと同じで、全ての通信が該当するようになります。「APPLY」をクリックするとルールが追加され、前の画面に戻って追加されたルールが表示されます。これを繰り返す事でルールが増やせます。IP ACLのポートへの適用は、「IP Binding Configuration」で行えます。適用方法はMAC ACLと同様です。ネットギア製品のスマートスイッチは、フレーム受信時にACLの判定を行います。

6.おわりに

第三回では、ACLの機能と設定について解説しました。次回は、DHCP(Dynamic Host Configuration Protocol)についてご紹介します。

著者:のびきよ
2004 年に「ネットワーク入門サイト」を立ち上げ、初心者にも分かりやすいようネットワーク全般の技術解説を掲載中。著書に「短期集中! CCNA Routing and Switching/CCENT教本」、「ネットワーク運用管理の教科書」(マイナビ出版)がある。

[PR]提供: