ACLによる動作「ルータ自身が発生させるパケット」

Cisco資格であるCCNAやCCNPではアクセスリスト(ACL)の問題が頻繁に出題されます。というか必ず出題されます。その中でよく受験者が間違える内容があり、「それ知らないと解けない」内容があります。その内容は「ルータ自身が発生させるパケットはアクセスリストの対象にならない」です。

実際にパケットが制御されないのかテストしていきましょう。

テスト構成

構成/設定内容

Cisco 891fjに以下アクセスリストを設定し、IPアドレス192.168.55.1が設定されている別ルータに対しPingを送信します。
※ちなみに、プロトコル設定、宛先を設定する必要がありますので、拡張ACLを使用します。

test ping acl router

アクセスリスト100にはプロトコルICMPを指定し、送信元はAny(全て)、宛先は192.168.55.1を設定します。
そしてオレンジ色のルータのGigabitEhternet8のout方向(egress)へアクセスリスト100を設定します。これにより、オレンジ色のルータから192.168.55.1へのICMPパケットは制御されるはずです。

Router#show run int gi8
interface GigabitEthernet8
ip address 192.168.55.80 255.255.255.0
ip access-group 100 out
duplex auto
speed auto
Router#show access-lists | sec 100
Extended IP access list 100
   10 deny icmp any host 192.168.55.1

「暗黙のDeny ALL」が最終行に設定される為、結果全てのパケットがドロップされます。

結果

192.168.55.1へPingを実行しました。

Router#ping 192.168.55.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.55.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

ICMPパケットはリプライが返ってきており、設定したACLでは制御されておりません。
結果より、ルータ自身が発生させるパケットに対してはローカルに設定したACLは影響しません。

Pingパケット以外も

ACLでは設定されたインターフェースにてingress、egreeeにてパケットを転送するかドロップするかを判断します。しかし、ACLが設定されたルータのローカルから発生されたパケットに対しては影響しません。

これはPingに限らず、ルーティングプロトコルでやり取りがされるパケットなども影響がありません。
例えば、OSPFのhelloパケットであったり、BGPのOPENパケットも含まれます。

よくCCNA/CCNPに出る

冒頭でも話しましたが、非常に試験に出ます!!!!

CCNAでは今回テストした内容と非常に似た問題が出てきます。
CCNPではルーティングプロトコルによるルーティングテーブルの確認をさせつつ、「実はACLの仕様でした。」みたいな問題が出てきます。
実際に私がCCNP ENCORを受けた際に出てきました。

これは仕事でも非常に出くわすことも多いので覚えておきてください!!