拡張アクセスリストについて学習するネットワークの基礎を学習する CCNA対策講座(28)(1/2 ページ)

本連載では、シスコシステムズ(以下シスコ)が提供するシスコ技術者認定(Cisco Career Certification)から、ネットワーク技術者を認定する資格、CCNA(Cisco Certified Network Associate)を解説します。2007年12月に改訂された新試験(640-802J)に対応しています。

» 2010年03月26日 00時00分 公開
[齋藤理恵グローバル ナレッジ ネットワーク]

 前回は、送信元のIPアドレスを基にフィルタリングが可能な標準アクセスリストについて解説しました。今回は、標準アクセスリストよりも詳細な制御が可能な拡張アクセスリストについて解説します。

ネットワークの基礎を学習する CCNA対策講座 各回のインデックス


拡張アクセスリスト概要

 標準アクセスリストでチェックできる項目は送信元のアドレスのみです。そのため詳細なトラフィック制御ができません。例えば、ある特定の送信元からのWebサーバへのアクセスは許可し、Telnet接続は禁止するなど柔軟にトラフィックを制御したいときには、拡張アクセスリストを使用します。

 拡張アクセスリストは送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート番号、宛先ポート番号などを基にチェックできるので、より詳細なフィルタリング制御が可能になります。

図1 拡張アクセスリスト 図1 拡張アクセスリスト

確認問題1

問題

 拡張アクセスリストでチェックできない項目を1つ選択してください。

a.宛先IPアドレス

b.宛先MACアドレス

c.プロトコル

d.送信元ポート番号

e.送信元IPアドレス

正解

 b

解説

 拡張アクセスリストでチェックできる項目は、送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート番号、宛先ポート番号などです。宛先MACアドレスはチェックできないので、選択肢bが正解です。

拡張アクセスリストの設定コマンド

 拡張アクセスリストは次のコマンドを使用して作成します。

Router(config)#access-list <拡張アクセスリスト番号> {permit/deny} <送信元IPアドレス> <送信元ワイルドカードマスク> <送信元ポート番号> <宛先IPアドレス> <宛先ワイルドカードマスク> <宛先ポート番号> <オプション>
  • <拡張アクセスリスト番号> → 拡張アクセスリストの番号を表す100〜199、2000〜2699の間の任意の番号を指定
  • {permit/deny} → 指定したアドレスを許可するか拒否するかを指定
  • <protocol> → ip、icmp、tcp、udpなどを指定
  • <送信元(宛先)IPアドレス> <送信元(宛先)ワイルドカードマスク> → 送信元(宛先)のIPアドレスとワイルドカードマスクを指定。ワイルドカードマスクを省略すると「0.0.0.0」が適用される
  • <送信元ポート番号> <宛先ポート番号> → protocolに指定するものに応じていくつかのパラメータを指定可能(表1
プロトコル パラメータ
tcp lt(〜より小さい)、gt(〜より大きい)、eq(〜と等しい)、neq(〜と等しくない)
udp
icmp echo、echo-reply(pingパケットに対する指定)
表1 プロトコルとパラメータ

 例えば、プロトコルにtcpを指定してwell-knownポート番号23番のtelnetをチェック条件に指定する場合は eq 23 と指定します。なお、ポート番号は省略することができます。

  • <オプション> → [log]、[established]というパラメータを指定
    • log …… ネットワーク管理者がログを記録したいアクセスリスト文に対して指定
    • established …… permitとともに用いて、インバウンドのtcpセグメントのうち、確認応答で返されるACKビットがチェックされたものだけの通過を許可

 作成した拡張アクセスリストをインターフェイスに適用する必要があります。

Router(config-if)#ip access-group <作成した拡張アクセスリストの番号> {in/out}

確認問題2

問題

 Webサーバへのアクセスをチェック条件に指定できるパラメータとして正しいものを1つ選択してください。

a.eq 23

b.lt 80

c.eq 80

d.gt 53

e.eq 53

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。