今回は、Named ACL と remark について整理しました。
これまでの番号付きACLは設定しやすい反面、あとから見たときに「このACLは何のための設定だったか」が分かりにくいことがあります。そこで役立つのが、名前で管理する Named ACL です。
Named ACL とは何か
Named ACL は、番号の代わりに名前で管理するACL です。
たとえば番号付きACLなら「100」や「101」で識別しますが、Named ACL なら BLOCK-PING のように、用途が分かる名前を付けられます。
今回の添付キャプチャでも、左側に番号付きACL、中央に名前付きACLの例が並べてあり、番号だけでは目的が分かりにくいのに対して、名前付きACLは用途が分かりやすいことが整理されていました。今回の図は GenSpark に生成してもらった比較図 で、違いがつかみやすい内容でした。
Named ACL の良い点
Named ACL の良い点は、まず 名前で目的が分かること です。
たとえば BLOCK-PING なら、「ping を止めるためのACLかな」とすぐ想像できます。番号付きACLの「100」だけでは、ここが分かりにくいです。
また、後で見直しやすいこと、編集しやすいこと もメリットです。
設定が増えてくると、番号だけより名前が付いているほうが管理しやすいと感じました。
番号付きACL と Named ACL の違い
番号付きACLと Named ACL の一番大きな違いは、識別方法 です。
番号付きACLは数字で管理し、Named ACL は名前で管理します。
内容はどちらもACLですが、何のためのACLなのかが分かりやすいのは Named ACL のほうです。
今回の図でも、番号付きACLは access-list 100 ...、名前付きACLは ip access-list extended BLOCK-PING と分かり易さは一目瞭然です。
Named ACL の基本ルール
Named ACL を使うときは、次のルール&メリットがあります。
- ACL に目的が分かる名前を付ける
- 名前には英数字を使える
- 空白や記号は使えない
- 大文字で書くのが推奨
- 後から項目を追加・削除しやすい
学習中は、BLOCK-PINGALLOW-WEB
のように、見ただけで用途が分かる名前を付ける意識を持つと覚えやすいです。
remark とは何か
remark は、ACL の説明文を入れるためのものです。
ACLのルールそのものではなく、「このACLは何のための設定か」を補足するメモとして使います。
たとえば、remark ICMPエコー要求をブロックするACL
のように書いておくと、あとから見たときに内容を理解しやすくなります。
今回の図でも、名前付きACLの設定例の中に remark が入っていて、名前だけでなく説明文も加えることで、さらに見やすくなります。
remark を入れる意味
remark を入れる意味は、読みやすさを上げること と、あとで見直しやすくすること です。
自分で設定した直後は覚えていても、時間がたつと「このACLは何を止める設定だったか」が曖昧になりやすいので、ひと言メモがあるだけでもかなり分かりやすくなります。
あと、remark は日本語の入力は非推奨で、英数字大文字推奨となります。理由は日本語の場合、環境による文字化け等が発生する可能性があるためです。
今回の整理
今回の内容をまとめると、
Named ACL は番号付きACLより目的が分かりやすく、見直しや編集もしやすいACL という理解になりました。
さらに、remark を入れておくと、
ACLの用途を残せるので、読みやすさも上がる
という点も大事だと思いました。
番号付きACLでも設定はできますが、今後は
分かる名前を付ける
remark で用途を残す
という書き方を意識していきたいです。
コメント