 |
|  |
◆ACL(ワイルドカードマスク)
※動作確認は、Cisco2500、Cisco1710、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
◆ACL(ワイルドカードマスク)
アクセスリストでは、ネットワークを指定する際に、サブネットマスクが使えません。
◆標準アクセスリスト
例えば標準IPアクセスリストの構文は以下のようになります。
Router(config)#access-list {番号} {permit | deny} {送信元IP} {ワイルドカードマスク}
ネットワークを指定するのにサブネットマスクが使えないとなると、例えば、送信元IPアドレスが「192.168.1.0/24」からのアクセスを拒否するアクセスリストを作成する場合、次のように指定するしかありません。
Router(config)#access-list 1 deny 192.168.1.1
Router(config)#access-list 1 deny 192.168.1.2
Router(config)#access-list 1 deny 192.168.1.3
・
・
・
Router(config)#access-list 1 deny 192.168.1.254
これでは、ネットワークに所属するホスト数が多ければ、多いほど定義が大変になってきます。またルータもこれだけのACLをチェックをするとなるとかなり負荷がかかってしまうことになります。
そこで、Ciscoルータに用意されているのが、ワイルドカードマスクなのです。
ワイルドカードマスクでは、
0 ・・・ 一致する
1 ・・・ 無視する
で評価します。
例えば、先ほどの「192.168.1.0/24」を指定する場合を考えてみます。
第1オクテット〜第3オクテットの「192.168.1」まで一致して、残りの第4オクテット目のホスト部分を無視すれば、よいので、ワイルドカードマスクの指定は、下のようになります。
10進数表記 |
192 |
168 |
1 |
0 |
IPアドレス |
11000000 |
10101000 |
00000001 |
00000000 |
ワイルドカードマスク |
00000000 |
00000000 |
00000000 |
11111111 |
ワイルドカードマスクを指定することにより、たくさん必要だったACLが下のように短くなります。
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255
一見、ワイルドカードマスクは、サブネットマスクを逆(ビット反転したもの)にしたような印象を受けてしまいますが、サブネットマスクの逆ではありません。ワイルドカードマスクとサブネットマスクは別物です。
例えば、偶数IPの指定、奇数IPの指定のようなちょっと変わった指定もできます。
◆偶数IPの指定
「192.168.1.0/24」ネットワーク内の偶数IPだけをチェックするには以下のように指定します。
第1オクテット〜第3オクテットの「192.168.1」まで一致して、残りの第4オクテット目のホスト部分の内、最後のビットが「0」になればよいわけですから、ワイルドカードマスクの指定は、下のようになります。
10進数表記 |
192 |
168 |
1 |
0 |
IPアドレス |
11000000 |
10101000 |
00000001 |
00000000 |
ワイルドカードマスク |
00000000 |
00000000 |
00000000 |
11111110 |
最下位ビットが「0」になっているかをチェックすれば偶数IPアドレスであるかどうかが分かります。
「192.168.1.0/24」ネットワーク内の偶数IPだけ拒否するACLを作成する場合は、以下のようになります。
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.254
◆奇数IPの指定
「192.168.1.0/24」ネットワーク内の奇数IPだけをチェックするには以下のように指定します。
第1オクテット〜第3オクテットの「192.168.1」まで一致して、残りの第4オクテット目のホスト部分の内、最後のビットが「1」になればよいわけですから、ワイルドカードマスクの指定は、下のようになります。
10進数表記 |
192 |
168 |
1 |
1 |
IPアドレス |
11000000 |
10101000 |
00000001 |
00000001 |
ワイルドカードマスク |
00000000 |
00000000 |
00000000 |
11111110 |
最下位ビットが「1」になっているかをチェックすれば奇数IPアドレスであるかどうかが分かります。
「192.168.1.0/24」ネットワーク内の奇数IPだけ拒否するACLを作成する場合は、以下のようになります。
Router(config)#access-list 1 deny 192.168.1.1 0.0.0.254
このように、ワイルドカードマスクを指定することによって柔軟にネットワークアドレスや特定のホストを指定することができます。また、ワイルドカードマスクは、OSPFの設定でも必要になってきます。
次の「ACL(host・anyキーワード・省略)」では、ワイルドカードマスクを指定する際の省略形の指定の仕方をを紹介します。
「ACL(アクセスリスト)とは」 ← 前項 | 次項 → 「ACL(host・anyキーワード・省略)」
<ネットワーク資格の練習問題に挑戦> ●CCNA練習問題に挑戦!(650問)
●Network+練習問題に挑戦!(393問)
●テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAスイッチ編) |
 |
|
<関連メニュー> ●CCNA実機で学ぶ
●CCNP実機で学ぶ
●CCENT(ICND1)実機で学ぶ
●ICND2実機で学ぶ
●SDMで設定する(Cisco実機で学ぶ)
●CCENT・CCNA無線実機で学ぶ
●アライドテレシス実機で学ぶ
●TCP/IP入門・無料ネットワークツール
●PLCでホームネットワーク構築
|
|
 |