標準ACL、拡張ACL、番号付きACL、名前付きACL――ACLの基礎知識と分類方法CCENT/CCNA 試験対策 2015年版(25)(1/3 ページ)

シスコの認定資格「CCENT/CCNA」のポイントを学ぶシリーズ。今回は、ACLの種類、2種類の分別方法、ワイルドカードマスクなどを解説します。

» 2015年10月22日 05時00分 公開
CCENT/CCNA 試験対策 2015年版

連載目次

 ネットワーク初心者がCCENT/CCNAを受験するために必要な知識を学ぶ本連載。前回は、シスコシステムズが発表しているCCENT試験内容の5.1「DHCP(IOS ルーター)の設定と確認」の範囲を解説しました。

 今回は5.2「ACLのタイプ、機能、使用例の説明(その1)」の範囲です。「ACL(Access Control List)」は内容がとても広いので、複数回に分けて説明します。

ACLとは

 ACLとは、「ルーターやスイッチを経由するパケットを、条件に基づいて通過を許可/拒否する仕組み」です。ACLを設定するとパケットを制御できます。このような、ある条件に基づいてパケットを制御する仕組みを、一般的には「パケットフィルタリング」と呼びます。

 パケットの流れを制御する条件には「プロトコル種別」「送信元IPアドレス」「宛先IPアドレス」「ポート番号」などを設定します。

パケットフィルタリング

 ACLは一般的に、パケットフィルタリングとして使用します。パケットフィルタリングでは、条件を記述し、その条件に合致したパケットを「通過させる」「破棄する」いずれかの方法で処理します。条件に合致したら、それ以降の別の条件はチェックしません。

ACLの種類と分類方法

ACLの種類

 ACLには2通りの分類方法があり、それらの組み合わせで4パターンのACLが作成可能です。要件に応じて4パターンのACLを使い分けます。

ACLの分類方法とACLのパターン

分類方法1:標準ACL/拡張ACL

 ACLの分類方法の一つ目は、ACLが判断できる内容の細かさに着目した方法です。「標準ACL」と「拡張ACL」の2種類があります。違いは「設定できる条件数」です。拡張ACLは、文字通り「標準ACLで設定できる条件にプラスαしたもの」です。

 標準ACLでは「送信元IPアドレスだけ」が判定条件として設定できます。

 拡張ACLでは、送信元IPアドレスに加え「宛先IPアドレス」「プロトコル種別」「ポート番号」も条件にできます。また「established(接続を確立したという意味)」というキーワードを設定できるのも拡張ACLだけです。

標準ACLと拡張ACLの条件の違い

分類方法2:番号付きACL/名前付きACL

 ACLの分類方法の二つ目は、ACLそのものを別のACLとどのように区別するのかという方法です。「ACLに通し番号を付ける方法」と、「人間が分かりやすい名前を付ける方法」があります。

 基本は「番号付きACL」です。標準ACLでは「1〜99」と「1300〜1999」、拡張ACLでは「100〜199」と「2000〜2699」と範囲が決められています。CCENT/CCNAの範囲ではありませんが、「AppleTalk用のACLは600番台」「IPX用の標準ACLは800番台」なども決められています。

 名前付きACLの方が、後々の編集が簡単です。どちらも試験に出てきますが、実務では可能な限り名前付きACLを使用した方が作業効が上がるなどのメリットがあります。

番号付きACLと名前付きACLの違い

 下記の表は、分類方法をまとめたものです。

4種類のACL分類
       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。