CCNAの学習でACL(Access Control List)を勉強したので、今回はPacket Tracerを使って実際に設定してみました。
ACLは「通信を許可・拒否するルール」です。
実際に設定すると、今まで通信できていたPC同士が通信できなくなるので、ACLの動作がよく分かります。
この記事では、初心者向けに手順を紹介します。
今回の構成
今回はシンプルな構成で実験します。
PC2台と1941Router0を1台をCopper Straight-Throughで接続します。

IPアドレスを設定する
まずは各機器にIPアドレスを設定します。
| 機器 | IPアドレス | サブネットマスク | デフォルトゲートウェイ |
|---|---|---|---|
| PC0 | 192.168.1.10 | 255.255.255.0 | 192.168.1.1 |
| Router G0/0 | 192.168.1.1 | 255.255.255.0 | – |
| Router G0/1 | 192.168.2.1 | 255.255.255.0 | – |
| PC1 | 192.168.2.10 | 255.255.255.0 | 192.168.2.1 |
ルーターにはそれぞれのインターフェースへIPアドレスを設定します。
以下のコマンドをルーターのCLIに記入します。
enable
configure terminal
interface g0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
interface g0/1
ip address 192.168.2.1 255.255.255.0
no shutdown
下の例はコマンドを短縮で記入しています。

設定後は特権モード(Router#)にして
show ip interface brief
で確認します。

ACLを設定する前に通信確認
ACLを設定する前に、PC0からPC1へPingを送ります。
ping 192.168.2.10
最初の1回はARP通信のため失敗することがありますが、その後は成功すればOKです。

ここで通信できることを確認してからACLを設定します。
ACLを作成する
今回は
192.168.1.10だけ通信を禁止
してみます。
グローバルコンフィギュレーションモード(Router(config)#)で入力します。
access-list 1 deny host 192.168.1.10
access-list 1 permit any
コマンドの意味
access-list 1
ACL番号1を作成します。
deny host 192.168.1.10
192.168.1.10からの通信を拒否します。
permit any
それ以外の通信は許可します。
ポイント
ACLには最後に「暗黙のdeny」があるため、許可する通信も書いておく必要があります。
ACLを適用する
ACLは作成しただけでは動きません。
インターフェースへ適用します。
今回はPC0側から入ってくる通信を制御したいので、G0/0へ設定します。
interface g0/0
ip access-group 1 in
inとは?
「ルーターへ入ってくる通信」を意味します。

Pingで確認
再びPC0からPC1へPingを送ります。
ping 192.168.2.10
今度は通信できません。
Packet Tracerでは
Destination host unreachable.
または
Request timed out.
と表示されます。

どちらもACLによって通信が遮断された結果なので正常です。
ACLが動いているか確認
次のコマンドをルーターのCLIで実行します。特権モード(Router#)です。
show access-lists
すると
Standard IP access list 1
10 deny host 192.168.1.10 (4 match(es))
20 permit any
のように表示されます。

matchとは?
4 match(es)
は
このルールに4回一致した
という意味です。
今回であれば、Pingを4回送ったため4回ヒットしています。
ACLを削除して通信を確認
ACLが原因で通信できなくなっていることを確認するため、一度ACLを外します。
configure terminal
interface g0/0
no ip access-group 1 in
end

再度Pingすると通信できるようになります。

これで
「ACLによって通信が止まっていた」
ことが確認できます。
まとめ
今回学んだポイントはこちらです。
- ACLは通信を許可・拒否する機能
- ACLは作成しただけでは動かない
ip access-groupでインターフェースへ適用するshow access-listsでヒット回数を確認できる- ACLを削除すると再び通信できる
Packet Tracerで実際に設定してみると、ACLがどのタイミングで通信を制御しているのか理解しやすくなります。


コメント