PR

IPv4の高度なACL[拡張ACLの設定ガイドライン]

2015年5月11日(月)
野口 一徳
この連載では、Cisco CCENT/CCNAの資格試験対策とするために、Cisco Press公式ガイドブックに掲載されている例題を抜粋し、その例題の解答について解説を行っています。
 
今回は、IPv4の高度なアクセスリスト(ACL:Access Control List)として拡張ACL(Extended Access Control List)を設定するときの留意点について説明します。
 

■拡張ACLを設定するときの留意点についての例題

IPv4の高度なACLである拡張ACL(Extended Access Control List)を設定するときに従うべきガイドラインについての例題を以下に示します。
 
公式ガイドブック23章の問題6
 

※上記の問題6は『シスコ技術者認定試験 公式ガイドブック Cisco CCENT/CCNA ICND1 100-101J』 p.627、628より抜粋。

 

●例題の解説

 
拡張ACLの設定について、ACLの構成の仕方とネットワーク中での配置先についての基本的な考え方として適切なものを選択する例題です。
 
フィルタリングの条件を実装するためにはACLを論理的に正しく構成することが重要です。ACLは、1行目から順番に評価されるので、一般的には条件をより狭くして具体的に評価する行を先に定義すると、誤りを少なくできます。
 
パケットのフィルタリングでは、不要なパケットをルータやネットワークの入り口で廃棄して、ルータの処理とネットワークへの負荷を軽減するようにします。
 
例題の各選択肢を確認してみましょう。
 
aは、不要なパケットについて、ルーティングなどの処理を出力の最終段階まで行うことになるので効率的とは言えません。
 
bは、フィルタリングのロジックをACLで正しく構成するための一般的な指針とは異なります。条件の範囲を狭く具体的に限定するコマンドから、条件の範囲の広い汎用的なコマンドの順に記述すると、ACLの記述の誤りを軽減できます。
 
cは、不要なパケットを早い段階で廃棄して、ルータやネットワークへの負荷を軽減できるので正しい方法と言えます。
 
dは、フィルタリングのロジックを無視することになるので意味があるとは言えません。
 
よって、正答はcになります。拡張ACLは、一般的にはパケットの送信元にできるだけ近いところに設置します。
ネットワークやデータベースなどのIT関係科目について、大学と専門学校で講師を務める。情報処理技術者試験やベンダー系の実技を伴うネットワークとセキュリティの受験指導、情報リテラシや情報工学の試験問題の作成など。技術士(情報工学)、情報処理技術者各種スペシャリスト、職業訓練指導員、CCAI Ciscoインストラクタ。

連載バックナンバー

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています