シスコの認定資格「CCENT/CCNA」のポイントを学ぶシリーズ。今回は、標準ACL、拡張ACL、番号付きACL、名前付きACL、それぞれの通過条件設定方法とコマンドを解説します。
ネットワーク初心者がCCENT/CCNAを受験するために必要な知識を学ぶ本連載。前回は、シスコシステムズが発表しているCCENT試験内容の5.2「ACLのタイプ、機能、使用例の説明(その1)」の範囲から、ACLの基礎知識や分類方法を解説しました。
今回は、前回に引き続き「ACLのタイプ、機能、使用例の説明」、そして5.3「ネットワーク トラフィックをフィルターするためのACLの設定と確認」の範囲から4種類あるACLを詳しく解説しますす。
ACL(Access Control List)とは、「ルーターやスイッチを経由するパケットを、条件に基づいて通過を許可/拒否する仕組み」で、ACLを設定するとパケットを制御できます。
ACLは「パケット通過の可否条件を宣言し、インターフェースにその条件を適用」させます。パケット通過条件の宣言の違いによって2通りの分類方法があり、それらの組み合わせで4種類に分けられます。
今回は、4種類のACLそれぞれの通過条件の設定方法やコマンドを詳しく説明します。
ACLは、幾つかのパケット通過条件を複数行まとめたものです。1行で判定条件が完結し、条件に合致しない場合は、次の行の条件判定に移ります。全ての行で条件判定に合致しないときは、ACLの最下行に自動追記される「暗黙のdeny」のACL文で「必ず条件に合致した状態」となります。
ACLの1行の中には、条件に合致したときにパケットを許可する「permit句」、もしくは拒否する「deny句」のいずれかがあります。
ACLの条件に合致した場合、パケットは通過(permit)するか、破棄(deny)されるかのいずれかの処理が行われます。一度条件に合致したら、以降のACL文は条件判定されません。
ACL文は1行目から判定されるので、多くのパケットが1行目で処理されるようにACL文の順序を工夫する必要があります。
コメントを付けるときは、permit/denyの代わりに「remark」というキーワードを使用します。
先ほど、ACL文の最下行には「暗黙のdeny any文」が自動追記されると書きました。前回説明した通り、「any」は「全てのホスト」を表すキーワードです。「deny any」というACL文は「全てのパケットを無条件に破棄する」という意味で、ACL文の最下行に自動作成されます。すると、ACL文の幾つかの行のどこかに「permit(許可する)」のACL文がない限り、全てのパケットが破棄されます。
Copyright © ITmedia, Inc. All Rights Reserved.