標準アクセスリストについて学習する：ネットワークの基礎を学習する CCNA対策講座（27）（2/2 ページ）

[内藤佳弥子，グローバル ナレッジ ネットワーク]

正解

　a

解説

　正解は選択肢aです。標準アクセスリストに設定することができる番号は、1〜99、1300〜1999の範囲内です。

アクセスリストの動作や注意点

　下記のようにアクセスリストを記述したとします。

アクセスリスト

1行目　192.168.2.0/24のセグメントからサーバEへのアクセス　拒否
2行目　192.168.1.0/24のセグメントからサーバEへのアクセス　許可

　アクセスリストの最終行には「暗黙のdeny any」という行が含まれます。「暗黙のdeny any」とは、上のアクセスリストの場合、「アクセスリストの1行目にも2行目にもマッチしなかったパケットはすべて拒否される」というものです。「暗黙の」とは、show running-configを実行しても表示されないという意味です。

　「暗黙のdeny any」行が最終行に存在するため、アクセスリストには少なくとも1行はパケットの通過を許可する条件文を入れておかないと、どのようなパケットも、インターフェイスを通過することができなくなってしまいます。

　また、アクセスリストは1行目から順番にチェックされていきます。1行目に条件がマッチした場合、2行目以降の条件文は無視されます。

　アクセスリストは、条件文を定義しただけではパケットフィルタリングを行うことができません。アクセスリストを、パケットが通過するインターフェイスに適用する必要があります。適用の仕方には、インバウンドで適用する方法と、アウトバウンドで適用する方法の2種類があります。

　インバウンドで適用した場合は、インターフェイスにパケットが到着したタイミングで、アクセスリストが参照されます。アウトバウンドで適用した場合は、ルーティングが行われ、送出インターフェイスにパケットが到着したタイミングでアクセスリストが参照されます。

　インターフェイスに適用する際にもルールがあります。1つのインターフェイスには、1つの方向に、1つのプロトコルのアクセスリストを適用する、というものです。IPやIPXがそれぞれ1つのプロトコルです。IPアクセスリストやIPXアクセスリストなどがありますが、ここではIPアクセスリストのみ説明します。

アクセスリストの設定

　アクセスリストの具体的な設定方法を説明します。

　アクセスリストの設定方法は、まとめると2手順です。

1. アクセスリストを作成する
2. 作成したアクセスリストをインターフェイスに適用する（インバウンド、アウトバウンド）

　図2で、192.168.2.0/24のセグメントのホストC、DからサーバEにはアクセス不可、192.168.1.0/24のセグメントのホストA、BからサーバEにはアクセスを許可する、という条件を満たすアクセスリストの設定を考えてみましょう。

　アクセスリストは、Fa0/2インターフェイスに、アウトバウンドの方向で設定するとします。

図2　アクセスリストの設定

　まず、アクセスリストを作成します。

　192.168.2.0/24のセグメントのホストC、DからサーバEにはアクセス不可、という条件を設定します。

　アクセスリスト設定のコマンドは、

Router(config)#access-list　アクセスリスト番号　permitまたはdeny　送信元IPアドレス　ワイルドカードマスク

です。

　ワイルドカードマスクはサブネットマスクではありません。ワイルドカードマスクは逆マスクとも呼ばれます。

　ワイルドカードマスクは、送信元IPアドレスのどこの部分をチェックするかを指定するものです。

　例えば、0.0.0.255というワイルドカードマスクを2進数にすると、

00000000.00000000.00000000.11111111

となります。

　ワイルドカードマスクの0の個所は、送信元IPアドレスのそのビットの部分と一致することを表します。

　ワイルドカードマスクの1の個所は、送信元IPアドレスのそのビットの部分と一致していなくてもよいことを表します。

　標準アクセスリストですので、アクセスリスト番号は1番、パケットの通過は拒否しますのでdenyにし、送信元IPアドレスは192.168.2.0/24を当てはめます。

Router(config)#access-list 1 deny 192.168.2.0　0.0.0.255

　「192.168.2.0　0.0.0.255」の意味は、送信元のIPアドレスの第3オクテットまでの個所は一致を表し、最後の1オクテットは一致していなくてもよいことを表します。よって、第1オクテットから第3オクテットに「192.168.2」を持つIPアドレスの送信元パケットをチェックする、ということです。

　このワイルドカードマスクを使用することにより、192.168.2.0/24のセグメントのホストすべてを、まとめて1行で指定することができます。

　これで、アクセスリスト番号1番の条件文が1行作成されました。ここで作業を終了してしまうと、暗黙のdeny anyにより、192.168.1.0/24セグメントのホストを送信元とするパケットも拒否されてしまいます。ですので、192.168.1.0/24を送信元とするパケットを許可する条件文を追加する必要があります。

Router(config)#access-list 1 permit 192.168.1.0　0.0.0.255

　これでアクセスリストの2行目の条件文が作成されました。

　次は、作成したアクセスリストをインターフェイスに適用するコマンドです。インバウンドの場合はin、アウトバウンドの場合はoutというキーワードを指定します。

Router(config-if)#ip access-group アクセスリスト番号　inまたはout

　今回は、Fa0/2インターフェイスに、アウトバウンドの方向で適用します。コマンドは以下のとおりです（Fa0/2は、Fastethernet0/2の省略形です）。

Router(config)#interface Fastethernet0/2
Router(config-if)#ip access-group 1 out

確認問題2

問題

　172.16.0.0/16セグメントのすべてのホストを指定するワイルドカードマスクはどれですか？ 1つ選択してください。

a.255.255.0.0

b.255.255.255.0

c.0.0.255.255

d.0.0.0.255

正解

　c

解説

　正解は選択肢cの「0.0.255.255」です。選択肢aはサブネットマスクであり、ワイルドカードマスクではありません。ワイルドカードマスクは2進数にし、IPアドレスと対応するオクテットを比較して、0ならば一致を表し、1ならば一致しなくてもよいことを表します。IPアドレス172.16.0.0、ワイルドカードマスク0.0.255.255の場合、第1オクテットと第2オクテットに「172.16」を持つIPアドレスがすべてチェック対象になります。

確認問題3≫

問題

　標準IPアクセスリストを作成するコマンドとして正しいものはどれですか。必要なコマンドを1つ選択してください。

a.Router(config-if)#ip access-group 1 in

b.Router(config)#access-list 100 permit 192.168.10.0 0.0.0.255

c.Router(config)#access-list 1 deny 192.168.20.0 255.255.255.0

d.Router(config)#access-list 1 permit 192.168.30.0 0.0.0.255

正解

　d

解説

　正解は選択肢dです。選択肢aは、作成したアクセスリストをインターフェイスに適用するコマンドです。選択肢bは、アクセスリスト番号が誤っています。標準アクセスリストの場合、アクセスリスト番号は1〜99、1300〜1999です。選択肢cは、サブネットマスクを指定しているので、誤りです。アクセスリストの設定では、サブネットマスクではなくワイルドカードマスクを指定します。

筆者プロフィール

内藤佳弥子（ないとうかやこ）

グローバル ナレッジ ネットワーク　ソリューション本部に在籍。IT業界でヘルプデスク、ユーザーサポートを経てトレーナーになる。現在は、Cisco認定トレーナーとして、CCNA、CCNPのコースなどのCisco認定トレーニングコース、ネットワーク系オリジナルコースを担当している。グローバル ナレッジ ネットワーク講師寄稿記事一覧はこちら。

「次回」へ