@network Cisco・アライド実機で学ぶ > Cisco実機で学ぶ(CCNA) > ACL(ルータの発行コマンド時の注意)

 Rakuten

@network Cisco・アライド実機で学ぶ
◆ACL(ルータの発行コマンド時の注意)

※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。

スポンサードリンク

◆ACL(ルータの発行コマンド時の注意)

前の「ACL(ICMP)」の続きです。

拡張IPアクセスリストを使用すれば、ICMP通信を制御することができます。

ネットワークは、下のように構成されており、Router_Aには、次のICMPエコー要求をブロックするアクセスリストが、E0のOUTに適用されています。

●Router_Aのアクセスリストの設定

Router_A(config)#access-list 100 deny icmp any 192.168.1.0 0.0.0.255 echo
Router_A(config)#access-list 100 permit ip any any

Router_A(config)#int e0
Router_A(config-if)#ip access-group 100 out


Router_AからPC1へPingを行ってみます。

Router_A#ping 192.168.1.10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

あれ!成功してしまいます!

 アクセスリストで、宛先が「192.168.1.0/24」ネットワークへのICMPエコー要求をRouter_AのE0から出てゆくことを禁止しているにもかかわらずです。

ちょっとおかしいと感じるかもしれませんが、


●ルータが発行するコマンドの注意点

・ルータの発行するコマンド(telnet、ping)は、そのルータのアクセスリストのプロセスを実行しない。
・イメージ的にはルータの外から実行される。

 今度は、拡張Pingを使って、送信元IPアドレスを「192.168.2.1」として、Router_AからPC1へPingを行ってみます。

Router_A#ping
Protocol [ip]:
Target IP address: 192.168.1.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.2.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

送信元IPアドレスを「192.168.2.1」としても、成功してしまいます。

●Router_Aの設定
!
hostname Router_A
!
enable password cisco
!
interface Ethernet0
 ip address 192.168.1.1 255.255.255.0
 ip access-group 100 out
!
interface Ethernet1
 ip address 192.168.2.1 255.255.255.0
!
ip classless
access-list 100 deny   icmp any 192.168.1.0 0.0.0.255 echo
access-list 100 permit ip any any
!
line vty 0 4
 password cisco
 login
!

 次の「ACLの配置について」では、標準IPアクセスリスト、拡張IPアクセスリストをインタフェースに適用する際に、考慮する点について説明します。

スポンサードリンク


<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)
<関連コンテンツ>
ACL(アクセスリスト)とは
ACL(ワイルドカードマスク)
ACL(host・anyキーワード・省略)
ACLの仕組・動作
標準ACL
拡張ACL
ACLの検証
拡張ACL
ACLの検証
名前付き標準IPアクセスリスト
名前付き拡張IPアクセスリスト
ACL アクセスクラス(access-class)
ACL(ICMP)
ACL(ルータの発行コマンド時の注意)
ACLの配置について
ACL(established)
ACL コンソールロギング(その1)
ACL コンソールロギング(その2)
ACL(VLAN間をフィルタリング)その1
ACL(VLAN間をフィルタリング)その2
ACLとNAT(その1)
ACLとNAT(その2)
ACLとSyslogサーバへの記録(その1)
ACLとSyslogサーバへの記録(その2)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
アライドテレシス実機で学ぶ
TCP/IP入門・無料ネットワークツール

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.