今回は、ACLの配置の考え方を整理しました。
ACLは「書き方」だけでなく、どこに置くかでも動き方が変わるので、最初は少し混乱しやすいと感じます。特に CCNA の学習では、Standard ACL は宛先側に近く、Extended ACL は送信元側に近く置くという基本を早めに押さえておくことが大事だと思いました。Standard ACL は送信元IPアドレスだけで判定し、Extended ACL は送信元・宛先・プロトコルなど、より多くの情報を見て判定できます。
なぜ Standard ACL は宛先側に近く置くのか
Standard ACL は、送信元IPアドレスしか見ません。
そのため、送信元側に近い場所へ置いてしまうと、「本当は一部の宛先だけ止めたい」つもりでも、その送信元から出る通信を広く止めてしまいやすいです。つまり、細かい行き先の区別ができないぶん、早い場所に置くと止めすぎの原因になりやすい、という理解をしておくと分かりやすいです。
今回の添付キャプチャは、GenSpark に生成してもらった図です。上段では、Standard ACL をルータの宛先側、つまり PC-B 側の近くに置く構成になっていました。図の中でも「送信元しか見えないため、早く置くと広く止まりやすい」と整理されていて、Standard ACL をなぜ宛先側に寄せるのかがイメージしやすい内容でした。
なぜ Extended ACL は送信元側に近く置くのか
Extended ACL は、送信元IP・宛先IP・プロトコル・ポート番号など、Standard ACL より細かく条件を見て判定できます。
そのため、不要な通信だけを選んで、送信元に近い場所で早めに止めることができます。余計な通信をネットワークの奥まで流さずに済むので、考え方としても効率がよく、CCNA 学習ではここをセットで覚えるのが大事だと感じました。
同じく、添付キャプチャの下段ではExtended ACL を PC-A 側、つまり送信元に近い位置へ置く構成になっています。そのため「送信元・宛先・プロトコルまで見えるため、不要通信を早く止められる」ことになります。
in と out の違い
ACL の配置を考えるときは、in と out の意味も一緒に理解しておく必要があります。
in は、インターフェースに入ってくるパケットをチェックする向きです。out は、インターフェースから出ていくパケットをチェックする向きです。
今回の図でも、上段の Standard ACL はアウトバウンド(出る直前で評価)、下段の Extended ACL はインバウンド(入る直前で評価)として示されています。図の下部にも「インバウンドACLはルータに入る前に評価」「アウトバウンドACLはルーティング後、出る前に評価」と書かれていて、配置と向きの関係が理解しやすいです。
配置ミスで起こること
ACL は、ルールの内容が合っていても、置く場所を間違えると意図しない止まり方をします。
たとえば Standard ACL を送信元側に置くと、送信元IPしか見ないため、本当は一部だけ止めたいのに、その送信元全体の通信を広く止めやすくなります。 これは Standard ACL の弱点でもあり、「だから宛先側に近く置く」という理由につながります。
一方で Extended ACL を宛先側に置いても、細かい制御自体はできます。
ただし、不要な通信をネットワークを通過した後で止めることになるため、考え方としては効率がよくありません。Extended ACL は細かく見られるぶん、送信元側で早めに止めるほうが自然です。
今回の整理
今回の内容を自分なりに一言でまとめると、
Standard ACL は大ざっぱに見るので宛先側、Extended ACL は細かく見られるので送信元側、という考え方になります。
さらに、配置だけでなく in / out の向きまでセットで考えることが大切です。
「どの情報を見て判定するACLなのか」と「どのタイミングで評価するのか」を一緒に整理すると、図の意味もかなり分かりやすくなると思いました。
コメント