ACLごとの通過条件設定方法と適用場所、設定コマンド:CCENT/CCNA 試験対策 2015年版(26)(2/5 ページ)
シスコの認定資格「CCENT/CCNA」のポイントを学ぶシリーズ。今回は、標準ACL、拡張ACL、番号付きACL、名前付きACL、それぞれの通過条件設定方法とコマンドを解説します。
種類ごとの条件設定方法
番号付き標準ACL
番号付き標準ACLの条件設定方法は、「送信元IPアドレス」だけを条件とするもので、4種類のACLの基礎となるものです。宛先アドレスを条件として宣言できないため、宛先に一番近いインターフェースに適用します。
「どこから」は判断できますが「どこへ」が判断できないので、宛先ネットワークアドレスをチェックする必要がない、宛先ネットワークと同じネットワークセグメントのルーターのインターフェースに設定します。
番号付き拡張ACL
拡張ACLは、標準ACLより細かい条件設定ができます。「送信元IPアドレス」の他に「宛先IPアドレス」「プロトコル種別」「ポート番号」「established」などが指定できます。
1行のACL文に複数の条件を列挙します。それぞれの条件は「OR演算(AまたはBならば真)」ではなく「AND演算(AかつBならば真)」です。
例えば「送信元IPアドレス」「宛先IPアドレス」「宛先ポート番号」の3つを指定した場合、宛先IPアドレスが条件と異なっていたら、送信元IPアドレスや宛先ポート番号が条件を満たしていても、全体では条件を満たさないことになり、次の行のACLの判定に移ります。
適用場所は、送信元ネットワークに一番近いルーターのインターフェースです。破棄すべきパケットを極力ネットワークに通過させないために、送信元に近い場所で判断するためです。
名前付き標準ACL
名前付き標準ACLは、ACL文を「番号」ではなく「文字列」で区別する標準ACLです。
名前付きACLの長所は、文字通り「名前でACL文を区別できる」ことです。SSHだけ許可する「ONLY_SSH」やループバックアドレスを拒否する「DENY_LOOPBACK」など任意の名前を付けられます。
名前付き拡張ACL
名前付き拡張ACLは、名前付き標準ACLと同様、拡張ACLを名前で区別します。
名前付きACLのもう一つの特徴は「ACL文の編集機能」で、行番号を使用して定義済みのACL文を編集できます。
番号付きACLでACL文の順序を変える場合には、ACLの条件を全て消した後に一から作り直さなければなりませんが、名前付きACLは、行番号を指定すれば、「任意の位置にACL文を追加」したり、「特定のACL文のみを削除」したりできます。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
CCENT/CCNA 試験対策 2015年版(25):標準ACL、拡張ACL、番号付きACL、名前付きACL――ACLの基礎知識と分類方法
シスコの認定資格「CCENT/CCNA」のポイントを学ぶシリーズ。今回は、ACLの種類、2種類の分別方法、ワイルドカードマスクなどを解説します。
CCENT/CCNA 試験対策 2015年版(21):OSPFを理解する基本的なポイントと設定コマンドの使い方
今回は、前回に引き続きOSPFを理解するポイントについて解説し、最後にコマンドによる設定方法を紹介します
CCENT/CCNA 試験対策 2015年版(19):ディスタンスベクター型のルーティングプロトコル「IGRP」と「EIGRP」
今回はディスタンスベクター型のルーティングプロトコルの一つ「EIGRP」を学習します- 拡張アクセスリストについて学習する
標準アクセスリストよりも詳細な制御が可能な拡張アクセスリストについて解説します - アクセス制御リストACL
Windows OSの管理業務で必ず目にするであろう「ACL(アクセス制御リスト)」。その基本は、「誰に」「何を許可するか」という設定の集まりだ。ACLの概要や設定方法、継承の意味などについて解説する - アクセス制御リストACLとは?
Windows OSでは、NTFSファイル・システム上のファイルやフォルダに対して、「アクセス許可」という属性を付け、アクセスの可否(アクセス権)を制御している - 標準アクセスリストの設定と適用
ルータの特定のインターフェイスからパケットの許可・拒否を行うことができるアクセスリストについて解説する - 標準アクセスリストについて学習する
ルータの主要な機能はルーティングですが、そのほかにもパケットフィルタリングの機能があります