hero画像
技術コラム
Ethernet(イーサネット)技術コラム

車載Ethernet Switchの基礎  ACL(Access Control List)とは

目次

車載Ethernet Switchにて用いられる、ACLについてお伝えします。

ACL(Access Control List)とは

ACL(Access Control List)とは、ネットワークトラフィックの制御を実施するために必要なリストです。このリストがあることで、通過パケットもしくは通過拒否パケットと仕訳けることが可能となります。また、ネットワークの通信を制御することにより、セキュリティの向上やネットワークの最適化に貢献します。例えば、特定のIPアドレスからのアクセスをブロックすることで、不正なアクセスや攻撃を防ぐことができます。

標準ACLと拡張ACL

ACLには、標準ACLと拡張ACLの大きく2つの種類があります。

  • 標準ACL:送信元IPアドレスをチェック
  • 拡張ACL:送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号をチェック

次項では、標準ACLについて取り上げ、どのように制御を実行しているか説明します。

標準ACLの制御方法

標準ACLは特定の送信元アドレスからの通信を制限することができます。これにより、特定のホストやネットワークからのアクセスをブロックすることができます。 制御方法としては、通信の許可や拒否のルールを順番に処理し、最初にマッチしたルールに基づいて通信を制御します。したがって、誤った設定や不適切な設定は、正当な通信をブロックしたり、不正な通信を許可してしまうことに繋がります。ルールの順序や優先度を、適切に設定することが重要です。

具体的には、以下のように制御されます。 下記図の、PC1からのパケットに着目してください。こちらのIPアドレスは、1行目では拒否指定されている一方で、3行目では許可されています。ですが、ACLのルールとして1行目から順番に条件を見て行くため、1行目で拒否となった場合は、以降の条件は適用されません。この結果、3行目の設定は反映されず、PC1からのパケットは拒否されることとなります。

ACL設定

1行目192.168.1.1送信元192.168.1.1のパケットを「拒否」
2行目192.168.1.2送信元192.168.1.2のパケットを「許可」
3行目192.168.1.1送信元192.168.1.1のパケットを「許可」

ACLにおける暗黙のルール「deny any」

ACLには暗黙のルールとして、「deny any」というものがあり、注意が必要です。「deny any」は、作成したACLの最終行に自動で追加されます。またこの機能は、全てのパケットを拒否するという設定です。許可したいパケットは、ACLの中に確実に設定する必要があります。

関連技術コラム

関連製品情報