Extended ACL(拡張ACL)
カクチョウエーシーエル
カテゴリ
セキュリティ
難易度
中級
CCNA出題頻度
高(頻出)
送信元・宛先IP、プロトコル、ポート番号まで細かく指定できるACL。
わかりやすく解説
標準ACLが「国籍だけ見る入国審査」なら、拡張ACLは「パスポート、ビザ、渡航目的、持ち物まで全部チェックする厳重な審査」。送信元IP、宛先IP、プロトコル(TCP/UDP/ICMP)、ポート番号まで指定できる。番号は100〜199(と2000〜2699)。たとえば「192.168.1.0のネットワークから10.0.0.1のWebサーバーへのHTTP(ポート80)だけ許可」みたいな細かいルールが書ける。設置場所は送信元に近い場所がセオリー。不要なトラフィックは早めに止めた方がネットワーク全体の効率がいいからね。
たとえ話で理解する
空港のセキュリティチェック。パスポート(送信元IP)、行き先(宛先IP)、搭乗券のクラス(プロトコル)、手荷物の中身(ポート番号)まで全部確認してから通すかどうか決める。標準ACLより手間はかかるけど、危険な荷物はしっかり止められる。
現場ではどう使う?
現場ではWebサーバーへのHTTP/HTTPSだけ許可、それ以外は拒否みたいなフィルタリングに使う。「このセグメントからDNSサーバーの53番ポートだけ通す」など、業務要件に合わせた細かいポリシーを実装する基本技術。
関連コマンド
access-list {100-199} {permit|deny} {protocol} {src} {dst} eq {port}ip access-group {number} {in|out}show access-listsこの用語はCCNA DrillのDay 5で出題されます
CCNA Drillで問題を解く →