【試験対策】CCNA ACLとは

AMAです。

今回は、ACLについて解説していきます。

ACLとは

アクセスリストは正式にはアクセスリスト、略してACL(読み方：アクル)と呼ぶ

●ACLの特徴を以下に記載する

●ACL番号について

標準ACL

パケットの許可・拒否を「送信元IPアドレス」のみで判断する。

送信元のIPアドレスやネットワークアドレスのみでフィルタリングしたい場合は、標準ACLを使用するのが一般的である。

●ACL#番号10の設定例

この設定によりEth0/1に入ってくる通信「192.168.1.1」を除いた「192.168.1.0/24」のみ通信が許可される。

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

★192.168.1.0/24以外は書かれていませんが、書かれていない場合は暗黙のdeny(拒否)というルールにより拒否されます。ACLの最後に必ずdeny anyというルールが入る。

拡張ACL

拡張ACLではパケットの許可・拒否を以下の情報で判断する。

送信元・宛先IPアドレス

送信元・宛先ポート

プロトコル(ip/tcp/udp/icmp)

プロトコル番号

ACL#番号110の設定例

この設定により192.168.1.0/24は10.1.1.0/24のtcp80(http)を拒否するが、それ以外のプロトコルは下の

ルールで許可される。

192.168.1.0/24以外の192.168.0.0/16は10.1.1.10.1.1.0/24へはtcp80ももちろん、それ以外のポートもすべて許可される。

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

★「1.1標準ACL」で述べたが、拡張ACLでも書かれていない場合は暗黙のdeny(拒否)というルールにより拒否されます。ACLの最後に必ずdeny anyというルールが入る。

インバウンドACL

Eth0から入ってくるパケットに対して、フィルタリングを適用したいのであれば、Eth0にインバウンドACLを適用する。

アウトバウンドACL

逆にEth1からLAN側のネットワークに出ていくパケットに対して、フィルタリングを適用したいのであれば、Eth1にアウトバウンドACLを適用する。

ACL設定確認コマンド

ACLステータス確認コマンドは以下となる。

全てのACLのステータス表示 # show access-list 特定の番号(名前)のACLのステータスを表示 # show access-lists [ number | name] 特定のプロトコルのACLのステータスを表示 # show protocol access-list インターフェースの確認(ACLの設定が確認できる) #show ip interfaces コンフィング確認(ACLの設定が確認できる) # show running-config ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～ ACLの設定を削除するコマンド # no access-list 番号 注)削除するとACL全ての設定が削除されるため、再度設定する必要がある。 インターフェースに適用したip access-group コマンドは削除されない

設定例①(Cisco Packet Tracerを使って実践)

設定例①：標準ACLの設定　1/3

• 事前準備：「PC1」、「PC2」、「PC3」から全機器に対し、Pingが通ることは確認済
• 要件：「PC2」から「PC1」へのアクセス不可 ※それ以外のアクセスは可能
• ポイント：標準ACLの場合、宛先に近いルータにACLの設定を行う

設定例①：標準ACLの設定　2/3

設定例①：標準ACLの設定　3/3

設定例①：「PC2」から「 PC1 」へのPing確認

Pingの結果から「R1」のFa0/1から「到達不可」の返答を受信している それ以外の区間は疎通が通っていることを確認 ※本資料には記載なし

Ping確認

設定例②：拡張ACLの設定　1/2

• 事前準備：PC1、PC2、PC3から全機器に対し、Pingが通ることは確認済
• 要件：「PC3」から「PC1」へのHTTP通信は許可
• 上記以外の「PC3」からの通信は拒否
• ポイント：拡張ACLの場合、送信元に近いルータに設定を行う

設定例②：拡張ACLの設定　2/2

設定例②： 「PC3」から「 PC1 」への疎通確認

「PC3」から「PC1」に対し、HTTPの通信が通っていることを確認 「PC3」から「PC1」に対し、Ping疎通が通らないことを確認

• 練習問題(ICND1編Ver3.0)

<出題例①>

標準アクセスリストが条件として設定できるのはどれですか。

 

IPパケットをフィルタリングするための標準アクセスリストを番号で作成するとき、リスト番号の範囲として正しいものは次のどれですか。

<出題例②>

ACLで172.16.5のホストからのパケットを条件として指定したい。このときのIPアドレスとワイルドカードマスクの組み合わせを選択してください。

作成したすべてのアクセスリストの内容を確認するためのコマンドは次のどれですか。

 

<出題例③>

管理者はACLのトラブルシューティングを行っています。どのインターフェイスがACLの影響を受けているかを確認するのに最適なコマンドは次のどれですか。

 

作成した10番のアクセスリストを削除するコマンドは次のどれですか。

<出題例①>　解答

標準アクセスリストが条件として設定できるのはどれですか。

IPパケットをフィルタリングするための標準アクセスリストを番号で作成するとき、リスト番号の範囲として正しいものは次のどれですか。

<出題例②>　解答

ACLで172.16.1.5のホストからのパケットを条件として指定したい。このときのIPアドレスとワイルドカードマスクの組み合わせを選択してください。

作成したすべてのアクセスリストの内容を確認するためのコマンドは次のどれですか。

<出題例③>　解答

管理者はACLのトラブルシューティングを行っています。どのインターフェイスがACLの影響を受けているかを確認するのに最適なコマンドは次のどれですか。

作成した10番のアクセスリストを削除するコマンドは次のどれですか。

• 所感、参考サイト、書籍

■所感 CCNA目指している方へ 実機を購入して環境を構築するのも良いですが、昨今ではCisco Packet Tracerなど便利なツール もあるので、問題集・Ping-tのサイトなどを確認しながらコマンドの操作や設定投入してみるとよいと思 います。イメージが掴みやすくなります。 製品や機種によってコマンド・使用も異なってくるので、製品・機種のマニュアル・コマンドリファレンスなどをネットで確認してみてください。 ■参考サイト https://www.itbook.info/network/cisco24.html https://netvisionsystems.info/study/242　← Cisco Packet Tracerのダウンロード方法 https://hetare-nw.net/　← Cisco Packet Tracerの操作説明 https://ping-t.com/ ←ping-tのサイト ■おすすめスクール 【厳選】CCNA合格を目指す ITスクールを紹介(未経験でも可) ■参考書籍 練習問題はCisco CCENT/CCNA Routing ＆ Switching　ICND1編 V3.0 問題集となります。 (現在は新しいVersionになっていますが、新Versionに対応した書籍は少ないようです) 新Version対応のおススメ書籍は以下です。