CiscoルータのCBACでルータ自発トラフィックを対象にする

最近ちゃんとCiscoルータを触っていたのですが、Ciscoルータではルータ自身が発する通信はACLで制御することはできないので、戻りの通信をACLで制御することが一般的なようです。

ところでCiscoルータにはCBAC（Context-Based Access Control）と呼ばれる機能があります。
YAMAHA RTXシリーズではdynamic filterと同じような概念の機能です。
これはファイアウォールのように、許可した通信の内容から動的に戻りの通信も許可される仕組みです。

私はCBACを使ってルータが発信する通信も制御できる思い、以下の設定を投入しました。
記載してませんが、Dialer1にはin方向のACLが設定されています。

ip inspect name CBAC tcp
ip inspect name CBAC udp
ip inspect name CBAC ftp
ip inspect name CBAC icmp
!
interface Dialer1
ip inspect CBAC out

ところが、残念ながらこれではルータ自発のNTPやDNS等の通信は成立しませんでした。
当時はそもそもCiscoルータ自発の通信は、out方向のACLで制御できないということは知らなかったのです。

色々調べた結果out方向の制御ができないことを知り、その後CBACについてはルータ自発の通信も対象にできることが分かりました。
方法としては以下になります。

ip inspect name CBAC tcp router-traffic
ip inspect name CBAC udp router-traffic
ip inspect name CBAC ftp
ip inspect name CBAC icmp

tcp、udpについてrouter-trafficというキーワードを後ろに付けることで、ルータ自発の通信もCBACの対象にできます。
なおicmpはrouter-trafficキーワードは存在しなかったので、in方向のACLでも許可を入れておきましょう。

最後に環境を記しておきます。

• Cisco 891FJ
• Version 15.7(3)M4a

最近はお安くCiscoルータを買えるようになったので、気軽に試せて良いですね！