2005年07月20日

【アクセスリスト】拡張アクセスリストの設定

拡張アクセスリストの設定について

以下の図のネットワークを作成。

ByCCNAバーチャルラボ UltimateNetworkVisualizer4

拡張アクセスリストは、標準アクセスリストの送信元IPアドレスのみを条件として指定するのではなく、プロトコル、送信先アドレスとワイルドカードマスク、送信先ポート、宛先アドレスとワイルドカードマスク、宛先ポート、を条件として指定することが出来る。

設定は、グローバルコンフィグレーションモードにて、

access-list number [permit | deny] protocol source[mask] operator port distination[mask] established log

のように記述する。

number・・・アクセスリストの番号(100〜199)
permit | deny・・・permit(許可) deny(拒否)
protocol・・・プロトコル種別(TCP、UDP、IPなどなど)
source[mask]・・・送信元IPアドレスとワイルドカードマスク
operator port・・・特定のアプリを選択するときに使用する。operatorには、eq(等しい)、neq(等しくない)、lt(より小さい)、gt(より大きい)を指定し、portには、アプリのポート番号又はポート名(FTPやTELNETなど)を指定する。
distination[mask]・・・宛先IPアドレスとワイルドカードマスク
established・・・インバウンドのときのみ有効で、TCPのACKビットが1のセグメントをすべて許可する。
log・・・条件に該当するパケットがあったとき、管理者用のログに記録する。



例:
上図のネットワークにおいて、
1.HostAから172.16.1.0/24へのアクセスはすべて許可
2.HostBから172.16.1.0/24へのアクセスはHostDのみ許可
3.HostCから172.16.1.0/24へのアクセスはHostEのみ許可

の条件でアクセスリストを作成する。

●アクセスリストの作成
グローバルコンフィグレーションモードにてアクセスリストを作成。
Router(config)#access-list 110 permit ip host 192.168.1.1 0.0.0.0 255.255.255.255
Router(config)#access-list 110 permit ip host 192.168.1.2 host 172.16.1.1
Router(config)#access-list 110 permit ip host 192.168.1.2 172.16.1.1 0.0.0.0
Router(config)#access-list 110 permit ip host 192.168.1.3 172.16.1.2 0.0.0.0
Router(config)#exit
Router#show access-list
Extended IP access list 110
permit ip host 192.168.1.1 any
permit ip host 192.168.1.2 host 172.16.1.1
permit ip host 192.168.1.3 host 172.16.1.2
Router#


●HostAからHostD及びHostEへPing
正常にPingが通っていることを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>


●ルータのFastEthernet0/0のインバウンドにアクセスリスト110を適用
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 110 in
Router(config-if)#


●HostAからHostD及びHostEへPing
正常にPingが通っていることを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>


●HostBからHostD及びHostEへPing
HostEからのPingの応答がないことを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>


●HostCからHostD及びHostEへPing
HostDからのPingの応答がないことを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>



CCNA認定ガイド第4版
Ciscoのエントリ認定資格。CCNAになるために必要な全ての項目をカバー。
Cisco CCNA問題集
Ciscoのエントリ認定資格CCNA問題集の決定版!
徹底攻略CCNA教科書
例題→解答→解説の3ステップで確実にわかる!試験問題に対応した予想問題を厳選
CCNAバーチャルラボ UltimateNetworkVisualizer4
Ciscoルータ・スイッチシミュレータの決定版。

この記事へのトラックバックURL

http://trackback.blogsys.jp/livedoor/networkstudy/50015680