第28回　拡張アクセスリストについて学習する

齋藤理恵（グローバル ナレッジ ネットワーク）
2010/3/26

第27回｜1　2｜次のページ

本連載では、シスコシステムズ（以下シスコ）が提供するシスコ技術者認定（Cisco Career Certification）から、ネットワーク技術者を認定する資格、CCNA（Cisco Certified Network Associate）を解説します。2007年12月に改訂された新試験（640-802J）に対応しています。

　前回は、送信元のIPアドレスを基にフィルタリングが可能な標準アクセスリストについて解説しました。今回は、標準アクセスリストよりも詳細な制御が可能な拡張アクセスリストについて解説します。

ネットワークの基礎を学習する　CCNA対策講座　各回のインデックス

ネットワークの基礎を学習する CCNA対策講座 バックナンバー 第1回 新CCNA試験について知ろう 第2回 ネットワークのABC、OSI参照モデルとプロトコル 第3回 データはどうやって伝わるの？ 第4回 LANの基礎を丸かじり 第5回 データ同士の通せんぼ――コリジョンてなぁに？ 第6回 TCP/IPを制するものはネットワークを制す 第7回 TCPで、確実＆効率よくデータを送受信しよう 第8回 サブネットマスクの計算をマスターする 第9回 どこまでがネットワーク部？ クラスフルとクラスレス 第10回 シスコ ソフトウェアの基礎を学習する 第11回 Cisco IOSモードの設定 第12回 Cisco IOSのモードの設定情報と識別情報 第13回 インターフェイスの設定とルータの初期化 第14回 ネイバーの検出とCDPによるデバイス管理 第15回 Telnetを使用したリモートデバイスの情報収集 第16回 SDMによるルータの設定と管理 第17回 MACアドレスとフレームで、スイッチの基本動作を学ぶ 第18回 スパニングツリープロトコル、動作の仕組み 第19回 スイッチにVLANを設定する 第20回 VLAN操作を容易にするVTPの機能 第21回 ポートセキュリティの設定コマンドと確認 第22回 ルータの経路学習とスタティックルートの設定 第23回 RIPによるルーティングテーブルの作成 第24回 リンクステートルーティング（OSPF）の設定と確認 第25回 高速なコンバージェンスを実現するEIGRPを学習する 第26回 可変長サブネットマスク（VLSM）と経路集約 第27回 標準アクセスリストについて学習する 第28回 拡張アクセスリストについて学習する 第29回 無線LANの基礎について学習する 第30回 無線LANセキュリティの必要性と対策 第31回 NATとPATの設定方法を学ぶ 第32回 IPv4の枯渇に備えよ――IPv6の特徴と必要性 第33回 VPNの基礎を学習する 第34回 WANカプセル化プロトコルについて学習する 第35回 フレームリレーの基本を学習する

■ 拡張アクセスリスト概要

　標準アクセスリストでチェックできる項目は送信元のアドレスのみです。そのため詳細なトラフィック制御ができません。例えば、ある特定の送信元からのWebサーバへのアクセスは許可し、Telnet接続は禁止するなど柔軟にトラフィックを制御したいときには、拡張アクセスリストを使用します。

　拡張アクセスリストは送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート番号、宛先ポート番号などを基にチェックできるので、より詳細なフィルタリング制御が可能になります。

図1　拡張アクセスリスト

確認問題1

問題

　拡張アクセスリストでチェックできない項目を1つ選択してください。

エンジニアライフ コラムニスト募集中！

あなたも＠ITでコラムを書いてみないか 自分のスキル・キャリアの棚卸し、勉強会のレポート、 プロとしてのアドバイス……書くことは無限にある！ コードもコラムも書けるエンジニアになりたい挑戦者からの応募、絶賛受付中

1. 宛先IPアドレス
2. 宛先MACアドレス
3. プロトコル
4. 送信元ポート番号
5. 送信元IPアドレス

正解

　b

解説

　拡張アクセスリストでチェックできる項目は、送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート番号、宛先ポート番号などです。宛先MACアドレスはチェックできないので、選択肢bが正解です。

■ 拡張アクセスリストの設定コマンド

　拡張アクセスリストは次のコマンドを使用して作成します。

Router(config)#access-list <拡張アクセスリスト番号> {permit/deny} <送信元IPアドレス> <送信元ワイルドカードマスク> <送信元ポート番号> <宛先IPアドレス> <宛先ワイルドカードマスク> <宛先ポート番号> <オプション>

• <拡張アクセスリスト番号> → 拡張アクセスリストの番号を表す100〜199、2000〜2699の間の任意の番号を指定
  
  
• {permit/deny} → 指定したアドレスを許可するか拒否するかを指定
  
  
• <protocol> → ip、icmp、tcp、udpなどを指定
  
  
• <送信元（宛先）IPアドレス> <送信元（宛先）ワイルドカードマスク> → 送信元（宛先）のIPアドレスとワイルドカードマスクを指定。ワイルドカードマスクを省略すると「0.0.0.0」が適用される
  
  
• <送信元ポート番号> <宛先ポート番号> → protocolに指定するものに応じていくつかのパラメータを指定可能（表1）

プロトコル	パラメータ
tcp	lt（〜より小さい）、gt（〜より大きい）、eq（〜と等しい）、neq（〜と等しくない）
udp
icmp	echo、echo-reply（pingパケットに対する指定）

表1　プロトコルとパラメータ

　例えば、プロトコルにtcpを指定してwell-knownポート番号23番のtelnetをチェック条件に指定する場合は eq 23 と指定します。なお、ポート番号は省略することができます。

• <オプション> → [log]、[established]というパラメータを指定
  
  
• log …… ネットワーク管理者がログを記録したいアクセスリスト文に対して指定
  
  
• established …… permitとともに用いて、インバウンドのtcpセグメントのうち、確認応答で返されるACKビットがチェックされたものだけの通過を許可

　作成した拡張アクセスリストをインターフェイスに適用する必要があります。

Router(config-if)#ip access-group <作成した拡張アクセスリストの番号> {in/out}

確認問題2

問題

　Webサーバへのアクセスをチェック条件に指定できるパラメータとして正しいものを1つ選択してください。

1. eq 23
2. lt 80
3. eq 80
4. gt 53
5. eq 53

拡張アクセスリストの設定例

第27回｜1　2｜次のページ

» ＠IT自分戦略研究所 トップページへ

» ＠IT自分戦略研究所 全記事一覧へ

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）