IPv4の高度なACL[拡張ACLの設定ガイドライン]
2015年5月11日(月)
この連載では、Cisco CCENT/CCNAの資格試験対策とするために、Cisco Press公式ガイドブックに掲載されている例題を抜粋し、その例題の解答について解説を行っています。
今回は、IPv4の高度なアクセスリスト(ACL:Access Control List)として拡張ACL(Extended Access Control List)を設定するときの留意点について説明します。
■拡張ACLを設定するときの留意点についての例題
IPv4の高度なACLである拡張ACL(Extended Access Control List)を設定するときに従うべきガイドラインについての例題を以下に示します。
※上記の問題6は『シスコ技術者認定試験 公式ガイドブック Cisco CCENT/CCNA ICND1 100-101J』 p.627、628より抜粋。
●例題の解説
拡張ACLの設定について、ACLの構成の仕方とネットワーク中での配置先についての基本的な考え方として適切なものを選択する例題です。
フィルタリングの条件を実装するためにはACLを論理的に正しく構成することが重要です。ACLは、1行目から順番に評価されるので、一般的には条件をより狭くして具体的に評価する行を先に定義すると、誤りを少なくできます。
パケットのフィルタリングでは、不要なパケットをルータやネットワークの入り口で廃棄して、ルータの処理とネットワークへの負荷を軽減するようにします。
例題の各選択肢を確認してみましょう。
aは、不要なパケットについて、ルーティングなどの処理を出力の最終段階まで行うことになるので効率的とは言えません。
bは、フィルタリングのロジックをACLで正しく構成するための一般的な指針とは異なります。条件の範囲を狭く具体的に限定するコマンドから、条件の範囲の広い汎用的なコマンドの順に記述すると、ACLの記述の誤りを軽減できます。
cは、不要なパケットを早い段階で廃棄して、ルータやネットワークへの負荷を軽減できるので正しい方法と言えます。
dは、フィルタリングのロジックを無視することになるので意味があるとは言えません。
よって、正答はcになります。拡張ACLは、一般的にはパケットの送信元にできるだけ近いところに設置します。
連載バックナンバー
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
他にもこの記事が読まれています
全文検索エンジンによるおすすめ記事
- IPv4の高度なACL[番号付き拡張ACL/名前付き拡張ACL/ワイルドカードマスク]
- IPv4の基本的なACL[番号付き標準ACL/名前付き標準ACL/ワイルドカードマスク]
- NATの設定とトラブルシューティング
- ルータと共通するスイッチ機能の設定 [パスワード/リモート接続/バナー]
- CiscoルータでのIPv4サポートの有効化[ルータとスイッチのコマンド/showコマンドとステータスコード]
- NATの概念[グローバルアドレスとローカルアドレスの静的/動的変換]
- LANスイッチの設定と運用 [ポートセキュリティ/VLAN/オートネゴシエーション]
- IPv4のサブネット化の概要[サブネットをサイジング/プライベートアドレスとパブリックアドレスを見分ける]
- 仮想LAN(Virtual LAN)の基本[ドメイン/サブネット/トランキング]
- ネットワーク層の機能(前編)―パケット転送時の役割―