標準ACL、拡張ACL、番号付きACL、名前付きACL――ACLの基礎知識と分類方法：CCENT／CCNA 試験対策 2015年版（25）（1/3 ページ）

シスコの認定資格「CCENT／CCNA」のポイントを学ぶシリーズ。今回は、ACLの種類、2種類の分別方法、ワイルドカードマスクなどを解説します。

[ドヴァ 齋藤貴幸，＠IT]

連載目次

　ネットワーク初心者がCCENT／CCNAを受験するために必要な知識を学ぶ本連載。前回は、シスコシステムズが発表しているCCENT試験内容の5.1「DHCP（IOS ルーター）の設定と確認」の範囲を解説しました。

　今回は5.2「ACLのタイプ、機能、使用例の説明（その1）」の範囲です。「ACL（Access Control List）」は内容がとても広いので、複数回に分けて説明します。

ACLとは

　ACLとは、「ルーターやスイッチを経由するパケットを、条件に基づいて通過を許可／拒否する仕組み」です。ACLを設定するとパケットを制御できます。このような、ある条件に基づいてパケットを制御する仕組みを、一般的には「パケットフィルタリング」と呼びます。

　パケットの流れを制御する条件には「プロトコル種別」「送信元IPアドレス」「宛先IPアドレス」「ポート番号」などを設定します。

パケットフィルタリング

　ACLは一般的に、パケットフィルタリングとして使用します。パケットフィルタリングでは、条件を記述し、その条件に合致したパケットを「通過させる」「破棄する」いずれかの方法で処理します。条件に合致したら、それ以降の別の条件はチェックしません。

参考記事

ネットワークの基礎を学習する CCNA対策講座（28）：拡張アクセスリストについて学習する

ACLの種類と分類方法

ACLの種類

　ACLには2通りの分類方法があり、それらの組み合わせで4パターンのACLが作成可能です。要件に応じて4パターンのACLを使い分けます。

ACLの分類方法とACLのパターン

分類方法1：標準ACL／拡張ACL

　ACLの分類方法の一つ目は、ACLが判断できる内容の細かさに着目した方法です。「標準ACL」と「拡張ACL」の2種類があります。違いは「設定できる条件数」です。拡張ACLは、文字通り「標準ACLで設定できる条件にプラスαしたもの」です。

　標準ACLでは「送信元IPアドレスだけ」が判定条件として設定できます。

　拡張ACLでは、送信元IPアドレスに加え「宛先IPアドレス」「プロトコル種別」「ポート番号」も条件にできます。また「established（接続を確立したという意味）」というキーワードを設定できるのも拡張ACLだけです。

標準ACLと拡張ACLの条件の違い

分類方法2：番号付きACL／名前付きACL

　ACLの分類方法の二つ目は、ACLそのものを別のACLとどのように区別するのかという方法です。「ACLに通し番号を付ける方法」と、「人間が分かりやすい名前を付ける方法」があります。

　基本は「番号付きACL」です。標準ACLでは「1〜99」と「1300〜1999」、拡張ACLでは「100〜199」と「2000〜2699」と範囲が決められています。CCENT/CCNAの範囲ではありませんが、「AppleTalk用のACLは600番台」「IPX用の標準ACLは800番台」なども決められています。

　名前付きACLの方が、後々の編集が簡単です。どちらも試験に出てきますが、実務では可能な限り名前付きACLを使用した方が作業効が上がるなどのメリットがあります。

番号付きACLと名前付きACLの違い

　下記の表は、分類方法をまとめたものです。

4種類のACL分類

参考記事

標準アクセスリストの設定と適用

標準アクセスリストについて学習する