ACL(アクセスリスト)とは
ネットワークを構築する上で、必ず考えなければならないのが、「セキュリティ」です。ネットワークへの外部からの侵入、攻撃が付き物です。ある程度、防御する仕組みをネットワークに備えなければなりません。
攻撃は、外部からだけとは限りません。残念なことに組織内部からの攻撃の方が、外部からの攻撃よりも多いとも言われています。この攻撃から身を守る手段が必要になってきます。Ciscoルータは、FW(ファイアフォール)としても利用できます。
Ciscoルータでセキュリティを実装するには、ACL(アクセスリスト)と呼ばれるパケットフィルタリングを定義します。ACLを定義することで、以下のようなフィルタリング条件を定義することができます。
- 送信元IPアドレス
- 宛先IPアドレス
- TCP、UDP、ICMPなどのプロトコル
- WWW、FTPなどのアプリケーションサービスへの接続
などが定義できます。他にも指定できますがCCNAの範囲から外れますので、ここでは、割愛します。
ACLは、パケットレベルのフィルタリングが主な機能です。もっと高度なフィルタリングが必要な場合は、より高性能なFW専用機が必要になります。
アクセスリストの種類
アクセスリストでは、以下の種類のアクセスリストを作成することができます。
| 種類 | 番号の範囲 |
| 標準IPアクセスリスト | 1~99 ※IOS12.0以降では、1,300~1999も使用可能 |
| 拡張IPアクセスリスト | 100~199 ※IOS12.0以降では、2,000~2699も使用可能 |
| AppleTalk | 600~699 |
| 標準IPX | 800~899 |
| 拡張IPX | 900~999 |
| Novel SAP | 1,000~1,099 |
Packet Tracer におけるアクセスリストの種類
Packet Tracer では以下の種類のアクセスリストがサポートされています。
●「access-list ?」の出力
Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
| 種類 | 番号の範囲 |
| 標準IPアクセスリスト | 1~99 |
| 拡張IPアクセスリスト | 100~199 |
アクセスリストを作成する際は、番号を指定します。例えば、標準IPアクセスリストを作成するのであれば、1~99の範囲で番号を指定しなけばなりません。
例えば、こんな感じです。
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
(ここ)
このコマンドでは、アクセスリスト番号として「1」を使っているので、標準IPアクセスリストということになります。
上の表を見てもらえれば分かるように、Ciscoルータでは、IP以外プロトコルにも対応しています。以前は、IPXもCCNAの試験範囲でしたが、現在は、IPアクセスリストだけが試験範囲となっています。
次の「ACL(ワイルドカードマスク)」では、IPアドレスの範囲を指定する際には、欠かせないアクセスリストについて解説していきます。