CCNA試験勉強対策

・ACLは上から順にチェックされる。

・全てのアクセスリスト（ACL）の末尾には暗黙のdeny anyが入っている。
permitステートメントが入っていないACLの場合、全てのパケットが拒否される。
必ずACLの末尾にpermit anyやpermit ip any anyの条件文を入れること。

・一つのインタフェースにはin/out両方向へそれぞれACLを適用できる。

・標準ACLは送信元アドレスのみ指定できる。

・拡張ACLは送信元・宛先を指定できる。

・標準ACLは宛先近くに置く。（標準ACLは宛先が指定できないためできるだけ目的の宛先に近い位置で指定する必要がある。）

・拡張ACLは送信元近くに置く。（拡張ACLは送信元、宛先どちらも指定できるため、できるだけ送信元の近くでパケットを破棄し、ネットワークに無駄なトラフィックを流さないようにする。）

・全てを表すワイルドカードマスク 0.0.0.0 255.255.255.255はanyと略す。

・特定ホストを指すフルビットマスクはhostと略す。
172.16.10.1 0.0.0.0=host 172.16.10.1

・どのインタフェースにACLが設定されているかは
show ip interfaceで確認する。

・全ACLの設定を見るにはshow access-listで確認する。

・標準ACLの番号は1～99。

・拡張ACLの番号は100～199。

・inバウンドの適用コマンド
(config-if)#ip access-group ACL番号 in

・inのルーティングテーブルのチェックタイミング
ACL実行⇒ルーティングテーブルのチェック

・outバウンドの適用コマンド
(config-if)#ip access-group ACL番号 out

・outのルーティングテーブルのチェックタイミング
ルーティングテーブルのチェック⇒ACL実行

・拡張ACLはトランスポート層ヘッダのポート番号を指定することができる。
※アプリケーション層ヘッダのポート番号ではないので注意すること！！

・ACLの作成例（標準）
(config)#access-list ACL番号 deny 192.168.10.0 0.0.0.255
(config)#access-list ACL番号 permit any

・拡張ACLは送信元、宛先、プロトコル、送信元ポート番号、宛先ポート番号を指定できる。

・ACLの作成例（拡張/telnet）
(config)#access-list ACL番号 deny tcp host 192.168.10.100 172.16.0.0 0.0.255.255 eq 23
(config)#access-list ACL番号 permit ip any any

・ACLの削除
(config)#no access-list ACL番号

・ACLの適用（e0/in）
(config)#int e0
(config-if)#ip access-group ACL番号 in

・ACLの適用解除（e0/in）
(config)#int e0
(config-if)#no ip access-group ACL番号 in

・VTYアクセスクラスの適用（TELNET通信の遮断）
(config)#line vty 0 4
(config-line)#access-class ACL番号 in/out

・FTPポートへの拒否を行う場合は、ポート番号の指定に20番と21番を二つとも指定する。

・インタフェースへの適用を確認するコマンドは、showの後に必ずipが付く。

・名前付きACLの設定（標準/拡張）
(config)#ip access-list standard/extend ACL名
※名前付きではip access-listとなる点に注意する。

・名前付き標準の場合のプロンプト
(config-std-nacl)#

・名前付き拡張の場合のプロンプト
(config-ext-nacl)#

・名前付きACLは行単位で削除できる。行の挿入、ACL順序の変更はできない。