ACLごとの通過条件設定方法と適用場所、設定コマンド：CCENT／CCNA 試験対策 2015年版（26）（1/5 ページ）

シスコの認定資格「CCENT／CCNA」のポイントを学ぶシリーズ。今回は、標準ACL、拡張ACL、番号付きACL、名前付きACL、それぞれの通過条件設定方法とコマンドを解説します。

[ドヴァ 齋藤貴幸，＠IT]

連載目次

　ネットワーク初心者がCCENT／CCNAを受験するために必要な知識を学ぶ本連載。前回は、シスコシステムズが発表しているCCENT試験内容の5.2「ACLのタイプ、機能、使用例の説明（その1）」の範囲から、ACLの基礎知識や分類方法を解説しました。

　今回は、前回に引き続き「ACLのタイプ、機能、使用例の説明」、そして5.3「ネットワーク トラフィックをフィルターするためのACLの設定と確認」の範囲から4種類あるACLを詳しく解説しますす。

前回のおさらいと今回の概要

　ACL（Access Control List）とは、「ルーターやスイッチを経由するパケットを、条件に基づいて通過を許可／拒否する仕組み」で、ACLを設定するとパケットを制御できます。

　ACLは「パケット通過の可否条件を宣言し、インターフェースにその条件を適用」させます。パケット通過条件の宣言の違いによって2通りの分類方法があり、それらの組み合わせで4種類に分けられます。

ACLの分類と種類

　今回は、4種類のACLそれぞれの通過条件の設定方法やコマンドを詳しく説明します。

参考記事

連載第25回：標準ACL、拡張ACL、番号付きACL、名前付きACL――ACLの基礎知識と分類方法

ACLのチェック手順

　ACLは、幾つかのパケット通過条件を複数行まとめたものです。1行で判定条件が完結し、条件に合致しない場合は、次の行の条件判定に移ります。全ての行で条件判定に合致しないときは、ACLの最下行に自動追記される「暗黙のdeny」のACL文で「必ず条件に合致した状態」となります。

「permit」と「deny」

　ACLの1行の中には、条件に合致したときにパケットを許可する「permit句」、もしくは拒否する「deny句」のいずれかがあります。

　ACLの条件に合致した場合、パケットは通過（permit）するか、破棄（deny）されるかのいずれかの処理が行われます。一度条件に合致したら、以降のACL文は条件判定されません。

　ACL文は1行目から判定されるので、多くのパケットが1行目で処理されるようにACL文の順序を工夫する必要があります。

　コメントを付けるときは、permit/denyの代わりに「remark」というキーワードを使用します。

「暗黙のdeny any」

　先ほど、ACL文の最下行には「暗黙のdeny any文」が自動追記されると書きました。前回説明した通り、「any」は「全てのホスト」を表すキーワードです。「deny any」というACL文は「全てのパケットを無条件に破棄する」という意味で、ACL文の最下行に自動作成されます。すると、ACL文の幾つかの行のどこかに「permit（許可する）」のACL文がない限り、全てのパケットが破棄されます。

参考記事

標準アクセスリストについて学習する