@network Cisco・アライド実機で学ぶ > ICND2実機で学ぶ > ACL(ワイルドカードマスク)

 Rakuten
@network Cisco・アライド実機で学ぶ
◆ACL(ワイルドカードマスク)

※動作確認は、Cisco2500、Cisco1710、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。



◆ACL(ワイルドカードマスク)

アクセスリストでは、ネットワークを指定する際に、サブネットマスクが使えません。


標準アクセスリスト

例えば標準IPアクセスリストの構文は以下のようになります。

Router(config)#access-list {番号} {permit | deny} {送信元IP} {ワイルドカードマスク}


 ネットワークを指定するのにサブネットマスクが使えないとなると、例えば、送信元IPアドレスが「192.168.1.0/24」からのアクセスを拒否するアクセスリストを作成する場合、次のように指定するしかありません。

Router(config)#access-list 1 deny 192.168.1.1
Router(config)#access-list 1 deny 192.168.1.2
Router(config)#access-list 1 deny 192.168.1.3
  ・
  ・
  ・
Router(config)#access-list 1 deny 192.168.1.254

 これでは、ネットワークに所属するホスト数が多ければ、多いほど定義が大変になってきます。またルータもこれだけのACLをチェックをするとなるとかなり負荷がかかってしまうことになります。


そこで、Ciscoルータに用意されているのが、ワイルドカードマスクなのです。

ワイルドカードマスクでは、

 0 ・・・ 一致する
 1 ・・・ 無視する


で評価します。

例えば、先ほどの「192.168.1.0/24」を指定する場合を考えてみます。

 第1オクテット〜第3オクテットの「192.168.1」まで一致して、残りの第4オクテット目のホスト部分を無視すれば、よいので、ワイルドカードマスクの指定は、下のようになります。

10進数表記 192 168 1 0
IPアドレス 11000000 10101000 00000001 00000000
ワイルドカードマスク   00000000 00000000 00000000 11111111

ワイルドカードマスクを指定することにより、たくさん必要だったACLが下のように短くなります。

Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255


 一見、ワイルドカードマスクは、サブネットマスクを逆(ビット反転したもの)にしたような印象を受けてしまいますが、サブネットマスクの逆ではありません。ワイルドカードマスクとサブネットマスクは別物です。

例えば、偶数IPの指定、奇数IPの指定のようなちょっと変わった指定もできます。


偶数IPの指定

「192.168.1.0/24」ネットワーク内の偶数IPだけをチェックするには以下のように指定します。

 第1オクテット〜第3オクテットの「192.168.1」まで一致して、残りの第4オクテット目のホスト部分の内、最後のビットが「0」になればよいわけですから、ワイルドカードマスクの指定は、下のようになります。

10進数表記 192 168 1 0
IPアドレス 11000000 10101000 00000001 00000000
ワイルドカードマスク   00000000 00000000 00000000 11111110

最下位ビットが「0」になっているかをチェックすれば偶数IPアドレスであるかどうかが分かります。

「192.168.1.0/24」ネットワーク内の偶数IPだけ拒否するACLを作成する場合は、以下のようになります。

Router(config)#access-list 1 deny 192.168.1.0 0.0.0.254


奇数IPの指定

「192.168.1.0/24」ネットワーク内の奇数IPだけをチェックするには以下のように指定します。

 第1オクテット〜第3オクテットの「192.168.1」まで一致して、残りの第4オクテット目のホスト部分の内、最後のビットが「1」になればよいわけですから、ワイルドカードマスクの指定は、下のようになります。

10進数表記 192 168 1 1
IPアドレス 11000000 10101000 00000001 00000001
ワイルドカードマスク   00000000 00000000 00000000 11111110

最下位ビットが「1」になっているかをチェックすれば奇数IPアドレスであるかどうかが分かります。

「192.168.1.0/24」ネットワーク内の奇数IPだけ拒否するACLを作成する場合は、以下のようになります。

Router(config)#access-list 1 deny 192.168.1.1 0.0.0.254

 このように、ワイルドカードマスクを指定することによって柔軟にネットワークアドレスや特定のホストを指定することができます。また、ワイルドカードマスクは、OSPFの設定でも必要になってきます。

 次の「ACL(host・anyキーワード・省略)」では、ワイルドカードマスクを指定する際の省略形の指定の仕方をを紹介します。

ACL(アクセスリスト)とは」 ← 前項 | 次項 → 「ACL(host・anyキーワード・省略)





<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
ARP・RARP・Proxy ARP(12項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
CCENT(ICND1)実機で学ぶ
ICND2実機で学ぶ
SDMで設定する(Cisco実機で学ぶ)
CCENT・CCNA無線実機で学ぶ
アライドテレシス実機で学ぶ
TCP/IP入門・無料ネットワークツール
PLCでホームネットワーク構築

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.