ACL(アクセスリスト)とは

 ネットワークを構築する上で、必ず考えなければならないのが、「セキュリティ」です。ネットワークへの外部からの侵入、攻撃が付き物です。ある程度、防御する仕組みをネットワークに備えなければなりません。

 攻撃は、外部からだけとは限りません。残念なことに組織内部からの攻撃の方が、外部からの攻撃よりも多いとも言われています。この攻撃から身を守る手段が必要になってきます。Ciscoルータは、FW(ファイアフォール)としても利用できます。

 Ciscoルータでセキュリティを実装するには、ACL(アクセスリスト)と呼ばれるパケットフィルタリングを定義します。ACLを定義することで、以下のようなフィルタリング条件を定義することができます。

  • 送信元IPアドレス
  • 宛先IPアドレス
  • TCP、UDP、ICMPなどのプロトコル
  • WWW、FTPなどのアプリケーションサービスへの接続

 などが定義できます。他にも指定できますがCCNAの範囲から外れますので、ここでは、割愛します。

 ACLは、パケットレベルのフィルタリングが主な機能です。もっと高度なフィルタリングが必要な場合は、より高性能なFW専用機が必要になります。

アクセスリストの種類

アクセスリストでは、以下の種類のアクセスリストを作成することができます。

種類番号の範囲
標準IPアクセスリスト1~99   ※IOS12.0以降では、1,300~1999も使用可能
拡張IPアクセスリスト100~199 ※IOS12.0以降では、2,000~2699も使用可能
AppleTalk600~699
標準IPX800~899
拡張IPX900~999
Novel SAP1,000~1,099

Packet Tracer におけるアクセスリストの種類

Packet Tracer では以下の種類のアクセスリストがサポートされています。

●「access-list ?」の出力

Router(config)#access-list ?
  <1-99>     IP standard access list
  <100-199>  IP extended access list
種類番号の範囲
標準IPアクセスリスト1~99
拡張IPアクセスリスト100~199                        

 アクセスリストを作成する際は、番号を指定します。例えば、標準IPアクセスリストを作成するのであれば、1~99の範囲で番号を指定しなけばなりません。

例えば、こんな感じです。

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
            ここ

このコマンドでは、アクセスリスト番号として「1」を使っているので、標準IPアクセスリストということになります。

 上の表を見てもらえれば分かるように、Ciscoルータでは、IP以外プロトコルにも対応しています。以前は、IPXもCCNAの試験範囲でしたが、現在は、IPアクセスリストだけが試験範囲となっています。

 次の「ACL(ワイルドカードマスク)」では、IPアドレスの範囲を指定する際には、欠かせないアクセスリストについて解説していきます。