ACLとは「access control list」の省略です。
CCNAを取得するためにはACLの勉強は避けては通れません。未経験からでもネットワークエンジニアになれることは一緒に証明していきましょう。
目次
ACL用語一覧
| 用語 | 解説 | |
| 1 | ACL(Access control list) | ルーターを通る際に許可したパケットだけ転送する。通信の制御。 ・リストの上から該当する行があれば後は無視。 ・該当するパケットが無ければ自動でdenyされる |
| 2 | パケットフィルタリング | 通信の許可・不可を決める作業 |
| 3 | ACLの種類 | 標準ACL 拡張ACL |
| 4 | 標準ACL | 送信元IPアドレスを確認(宛先に近いインターフェイスに適用したほうが良い) ・番号付き標準ACL(1~99、1300~1999) ・名前付き標準ACL |
| 5 | 拡張ACL | 送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号を確認 ・番号付き拡張ACL(100~199、2000~2699) ・名前付き拡張ACL |
| 6 | ワイルドカードマスク | フィルタリング条件として使う送信元と宛先を決める時に使う。 ・特定のIPアドレスのみ指定=ワイルドカードマスク 0.0.0.0、もしくは host IPアドレス ・全てのIPアドレスを指定=ワイルドカードマスク 255.255.255.255、もしくは any |
| 7 | IN(インバウンド) | ルータにパケットが入ってくる時にACLでチェック |
| 8 | OUT(アウトバウンド) | ルータからパケットが出る時にACLでチェック |
| 9 | 標準ACL設定 | ・標準ACL作成 ・インターフェイスに適用 |
| 10 | access-listコマンド | 番号付き標準ACL作成 (config)#access-list ACL番号 permit/deny 送信元IPアドレス ワイルドカードマスク |
| 11 | ip access-list standardコマンド | 名前付き標準ACL作成 (config)#ip access-list standard ACL名 (config-std-nacl)#permit/deny 送信元アドレス ワイルドカードマスク |
| 12 | (config-std-nacl)# | 標準ACLコンフィギュレーションモード(名前付き標準ACLを作成するモード) |
| 13 | ip access-groupコマンド | インターフェイスに適用 (config-if)#ip access-group ACL番号/ACL名 in/out |
| 14 | show access-listsコマンド | ACLの確認 #show access-lists ACL番号/ACL名 |
| 15 | show ip interfaceコマンド | ACLを適用したインターフェイスを確認(#show running-configでも確認可能) #show ip interface インターフェイス名 |
| 16 | no access-listコマンド | ACLの削除(全て削除、指定した行だけ削除は出来ない) (config)#no access-list ACL番号/ACL名 |
| 17 | ACL特定行の削除 | (config)#ip access-list standard ACL番号/ACL名 (config-std-nacl)#no シーケンス番号(削除したい行のシーケンス番号) |
| 18 | access-classコマンド | VTY制御 (config-line)#access-class ACL番号/ACL名 in/out |
| 19 | 拡張ACL | 宛先、プロトコル、でフィルタリングする時に使う。(標準ACLより細かくフィルタリングできる) ・送信元IPアドレス(L3ヘッダー) ・宛先IPアドレス(L3ヘッダー) ・送信元ポート番号(L4ヘッダー) ・宛先ポート番号(L4ヘッダー) |
| 20 | 拡張ACL設定 | ・拡張ACLの作成 ・インターフェイスに適用 |
| 21 | 番号付きACL作成 | access-listコマンド |
| 22 | access-listコマンド | (config)#access-list ACL番号 permit/deny プロトコル 送信元IPアドレス ワイルドカードマスク 送信元ポート番号 宛先IPアドレス ワイルドカードマスク |
| 23 | ACL番号 | 100~199、2000~2699 |
| 24 | プロトコル | ・ip:全通信を指定可能 ・tcp:パラメーター(eq/neq)、it(小さい)、gt(大きい)、 ・udp:tcpとほぼ同じ ・icmp:タイプ |
| 25 | 名前付き拡張ACL作成 | ip access-list extendedコマンド |
| 26 | ip access-list extendedコマンド | (config)#ip access-list extended ACL名 |
| 27 | インターフェイスに適用 | 拡張ACLでは送信元に近いインターフェイスに適用 |
| 28 | 拡張ACL確認 | #show access-lists #show ip interface #show running-config |
| 29 | 拡張ACL削除 | no access-listコマンド(標準ACLと手段は一緒) |
| 30 | ACLトラブルシューティング | チェックポイント ・ACLの作成手順 ・ACLの内容 ・ACLを適用するインターフェイス ・ACLの適用する方向 ・denyの存在 |
