アクセス制御リスト(ACL)を使い始めるとすぐに、どのACLが使用されているかを把握することが重要になります。さらに重要なのは、ACLエントリ(ACE)がどのインターフェースで何回使用されたかを把握することです。
ACLまたはACEが全く使用されていない場合、ルーターのメモリ容量を無駄に消費していることになります。適用されたACLまたはACEがどのトラフィックにも一致しない場合は、ルーターの設定が間違っている可能性があります。不適切な設定は、意図したトラフィックをブロックしていない場合、セキュリティホールを引き起こす可能性があります。
ACL 使用状況統計を表示するにはどうすればよいですか?
?コマンドを使用することで、いつでも利用可能な Cisco IOS オプションを確認できます。例えば、show access-lists コマンドで利用可能なオプションは次のとおりです。
ルータ# show access-lists ?
<1-2699> ACL番号
WORD ACL名
コンパイルされたアクセスリスト統計
レート制限 レート制限アクセスリストを表示
| 出力修飾子
<cr>
ご覧のとおり、ACLとその使用状況を確認する方法は複数あります。しかし、IOS 12.4の新しいCisco ACL管理機能がなければ、表示されるのは特定のACLとACEのグローバル統計情報のみです。つまり、同じACLが様々な場所で様々な用途に、そして様々な方向で使用されている場合、すべての使用状況が合計され、統計情報に追加されます。そのため、ACLの使用状況がインターフェイスF0/1ですべて使用されているのに、インターフェイスFa0/2では全く使用されていないといった状況を把握することはできません。
ACL統計を番号別に表示する
ルータ# show access-list 158
拡張IPアクセスリスト158
10 deny ip any any time-range denytime (active) (65951975 一致)
例からわかるように、この特定のアクセス リストに一致したパケットは 65,951,975 個あります。
名前による統計の表示
ルータ# show access-list MyACL
拡張IPアクセスリストMyACL
10 tcp ホスト 21.35.80.22 を許可 telnet ホスト 21.23.77.101
20 許可 TCP ホスト 21.35.80.25 eq 16100 ホスト 21.23.77.101 (149407
マッチ)
30 許可 TCP ホスト 21.35.80.25 eq 17600 ホスト 21.23.77.101 (80592
マッチ)
40 許可 TCP ホスト 21.35.80.27 eq 10701 ホスト 21.23.77.101 (26008
マッチ)
例からわかるように、この ACL は多くの用途がありますが、1 つの ACE はまったく用途がありません。
show access-list コマンドの詳細については、Cisco IOS ACL の「show access-list」ドキュメントを参照してください。
Cisco IOS ACL管理機能
これまで、ACLインフラストラクチャはACL内の各アクセスACEについてグローバル統計情報のみを保持していました。IOS 12.4では新機能が追加され、インターフェースごと、および受信トラフィックまたは送信トラフィックごとにACE統計情報を表示およびクリアできるようになりました。これは、ACLとACEが異なる場所や異なる方向に適用されている場合に非常に便利です。
以下の 2 つの例で、インターフェースごとおよび方向ごとにアクセス リストを表示する方法に注目してください。
入力ACL-
ルータ# show ip access-list interface FastEthernet 0/1 in
拡張IPアクセスリスト150
10 permit ip host 10.1.1.1 any (3件一致)
30 permit ip host 10.2.2.2 any (12件一致)
出力ACL-
ルータ# show ip access-list interface FastEthernet 0/0 out
拡張IPアクセスリスト myacl out
5 任意のIPアドレス 10.1.0.0 0.0.255.255 を拒否
10 permit udp any any eq snmp (6 一致)
方向が指定されていない場合は、そのインターフェースに適用されているすべての入力ACLと出力ACLが表示されます。新しいCisco ACL Manageability機能の詳細については、Cisco ACL Manageabilityの新機能ドキュメントを参照してください。
結論
この記事では、アクセスリストの詳細な統計情報を取得できる様々なshowコマンドの使い方について解説しました。また、Cisco IOSのACL管理機能についても解説しました。この機能は、各インターフェースで送受信されるパケットに関するACL固有の情報を取得できるため、ネットワークの監視とセキュリティ保護に非常に役立ちます。
Cisco ACL に関する公式ドキュメントについては、Cisco の「アクセス コントロール リスト: 概要とガイドライン」をご覧ください。
デイビッド・デイビスは15年以上にわたりIT業界で活躍し、CCIE、CCNA、CCNP、MCSE、CISSP、VCPなど、複数の認定資格を保有しています。数百もの記事と多数のITトレーニングビデオを執筆しています。現在、デイビッドはTrain Signal.comのインフラストラクチャ担当ディレクターを務めています。Train Signal, Inc.は、ITプロフェッショナルとエンドユーザー向けのビデオトレーニングにおけるグローバルリーダーです。
ルータとスイッチの管理について詳しく知りたいですか?毎週金曜日に配信される無料の Cisco ルータおよびスイッチ ニュースレターに自動的に登録してください。
