CCNAを勉強していると、「標準ACL」と「拡張ACL」という2種類のACLが登場します。
どちらも通信を制御するための機能ですが、確認できる情報や使い方が大きく異なります。
この記事では、初心者の方向けに標準ACLと拡張ACLの違いを図を使いながら分かりやすく解説します。
ACLには2種類ある
ACL(Access Control List)には次の2種類があります。
- 標準ACL
- 拡張ACL
大きな違いは、どこまで通信内容を確認できるかです。
| 項目 | 標準ACL | 拡張ACL |
|---|---|---|
| 送信元IPアドレス | 〇 | 〇 |
| 宛先IPアドレス | × | 〇 |
| TCP・UDP | × | 〇 |
| ポート番号 | × | 〇 |
| 細かな制御 | × | 〇 |
つまり、
- 標準ACLはシンプル
- 拡張ACLは細かく制御できる
という違いがあります。
標準ACLとは?
標準ACLは送信元IPアドレスだけを見て通信を許可・拒否します。
例えば、
192.168.1.10なら許可
それ以外は拒否
という設定が可能です。
イメージすると次のようになります。

送信先や利用しているサービスまでは判断できません。
そのため、
「このパソコンからの通信だけ許可したい」
という場合によく利用されます。
拡張ACLとは?
拡張ACLは、送信元IPだけでなく、
- 宛先IPアドレス
- TCP・UDP
- ポート番号
まで確認できます。
例えば、
- Webだけ許可
- SSHだけ許可
- FTPは禁止
といった細かな制御が可能です。
イメージは次の通りです。

細かなアクセス制御が必要な企業ネットワークでは、こちらが多く利用されています。
標準ACLと拡張ACLの使い分け
それぞれ得意な用途があります。
標準ACL
- 特定のPCだけ通信を許可したい
- シンプルなアクセス制御をしたい
拡張ACL
- Webだけ利用させたい
- SSHだけ許可したい
- FTPは禁止したい
- サーバーごとに通信を制御したい
細かな制御を行う場合は、拡張ACLを利用します。
CCNA試験で覚えたいポイント
CCNAでは次の内容がよく出題されます。
- 標準ACLは送信元IPアドレスだけを確認する
- 拡張ACLは送信元・宛先・ポート番号まで確認できる
- 標準ACLは宛先に近い場所へ配置する
- 拡張ACLは送信元に近い場所へ配置する
最後の配置ルールは試験でも頻出なので覚えておきましょう。
まとめ
標準ACLと拡張ACLの違いをまとめると次のようになります。
| 標準ACL | 拡張ACL |
|---|---|
| 送信元IPのみ確認 | 送信元・宛先・ポート番号まで確認 |
| 設定が簡単 | 細かな制御が可能 |
| シンプルな制御向け | 企業ネットワークでよく利用 |
まずは「標準ACLは送信元IPだけ、拡張ACLは通信内容まで確認できる」と覚えておくと理解しやすくなります。


コメント