🥴
Ciscoルーターでの標準ACLと拡張ACLの使い分け
Ciscoルーターでの標準ACLと拡張ACLの使い分け
✅ はじめに
ネットワークエンジニアを目指す人や、Cisco機器の学習を始めたばかりの方にとって、「ACL(Access Control List)」という用語はよく登場します。でも、実際にどうやって使うのか、標準ACLと拡張ACLって何が違うのか、迷うことも多いと思います。
本記事では、CiscoルーターにおけるACLの基本を図解とともにわかりやすく解説し、「標準ACL」と「拡張ACL」の違いと使い分けを具体例とコマンド付きでご紹介します!
ACLとは?
ACL(Access Control List)とは、トラフィックの通過を制御するためのルールリストです。ルーターのインターフェースに適用することで、指定した条件に一致する通信を許可(permit)または拒否(deny)できます。
ACLは次の2つに大別されます:
| ACLの種類 | 主な用途 | 指定できる内容 |
|---|---|---|
| 標準ACL | 単純なアクセス制御 | 送信元IPアドレスのみ |
| 拡張ACL | より細かいアクセス制御が必要な場合 | 送信元/宛先IP、ポート、プロトコル |
標準ACLの使い方
特徴
- 通信の送信元IPアドレスのみをチェック
実例:192.168.1.10からの通信をブロックする
Router(config)# access-list 10 deny 192.168.1.10
Router(config)# access-list 10 permit any
Router(config)# interface FastEthernet0/0
Router(config-if)# ip access-group 10 in
ポイント
-
denyのあとに指定したIPアドレスの通信がブロックされます。 - 他の全トラフィックは
permit anyで許可されます。
拡張ACLの使い方
特徴
- 通信の送信元IP・宛先IP・プロトコル・ポート番号まで制御可能
実例:192.168.1.0/24 から 172.16.0.0/16 へのHTTP通信(TCP/80)をブロックする
Router(config)# access-list 100 deny tcp 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255 eq 80
Router(config)# access-list 100 permit ip any any
Router(config)# interface FastEthernet0/0
Router(config-if)# ip access-group 100 in
ポイント
- プロトコル(TCP)、ポート番号(80)、ネットワーク範囲まで詳細に設定。
- より精密なフィルタリングが可能です。
標準ACLと拡張ACLの使い分けまとめ
| 項目 | 標準ACL | 拡張ACL |
|---|---|---|
| 制御できる項目 | 送信元IPアドレスのみ | 送信元/宛先IP、プロトコル、ポート |
| 設定の簡単さ | 簡単 | やや複雑 |
| 使いどころ | シンプルなアクセス制御 | Web, SSHなどポート別制御が必要な場面 |
| ACL番号範囲 | 1〜99 | 100〜199 |
ACL設定時の注意点
- 暗黙のdeny:ACLには最後に「全て拒否(deny all)」が暗黙的に存在します。
-
permit any anyを忘れると、必要な通信も遮断される恐れがあります。 - ACLを設定してもインターフェースに適用しなければ無効です。
ip access-group [ACL番号] [in|out]
🧪 動作確認コマンド
- ACLルールの確認:
show access-lists
- ACLのインターフェース適用状況:
show ip interface FastEthernet0/0
📝 おわりに
ACLはCiscoルーターのセキュリティやトラフィック制御に欠かせない機能です。最初は覚えることが多いですが、標準ACLから始めて、少しずつ拡張ACLにチャレンジしてみましょう。
ぜひPacket Tracerなどのシミュレーターを使って、この記事の内容を実際に試してみてください!
Discussion