Re: 問題ID: 4685

この質問の投稿一覧へ

なし Re: 問題ID: 4685

msg# 1.9.1
depth:
2
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2014-7-11 22:45 | 最終変更
arashi1977  長老 居住地: 広島  投稿数: 1715
私の意見は「ダメと言ってるわけではなくて、より良いものがありますからそちらを選びましょう」です。最初の投稿でも言っていますが
引用:
もっというと、「より良い選択肢があり、指定回答数を満たしているのならそれ以外の回答は正解とはみなさない」というところですかね。
です。

なので、
引用:
全く質問に対する回答をいただけてないですよね。
別に構いませんが。
質問=「問題文のどこからvlan11以外をフィルタリングしてはいけないと読み取れるのか?」に対して「ここがだめだと言っている」という明確な発言ができていないのです。
そこが「はぐらかしている」というようにとらえられたのであれば申しわけありません。

そこで、umaiumaiさんのご提案をもとに考えてみました。

引用:
『SwitchAにVACLの設定をする』場合は
Vlan11→サーバー
Vlan11→Vlan12
Vlan11→Vlan13
Vlan12→Vlan11
Vlan12→Vlan11
サーバー→Vlan11
をフィルタリングします。
この中で制限が必要なものは「vlan11→サーバー」のみとなります。
(略)
あくまで問題文から客観的に読み取れるものです

設問の要件を満たすVACLってこの程度でできそうな気がするんです(今実機がないので検証できてません、ごめんなさい)
VLAN11に入ってくるトラフィックで
・172.18.1.0/24からサーバファームへは許可
・それ以外からサーバファームへは破棄
・そのほかの通信は許可
という設定にしてみました。13行ぐらいですかね。
当然ながら、VLAN12,13についてはVACL適用していないのでフィルタリングは行われません。
ip access-list extended FOR_PERMIT_FROM_VLAN11_TO_SERVERFIRM
 permit ip 172.18.1.0 0.0.0.255 (dest:サーバファーム)
!
ip access-list extended FOR_DENY_FROM_VLAN11_TO_SERVERFIRM
 permit ip any (dest:サーバファーム)
!
vlan access-map VACL_VLAN11 10
 match ip address FOR_PERMIT_FROM_VLAN11_TO_SERVERFIRM
 action forward
!
vlan access-map VACL_VLAN11 20
 match ip address FOR_DENY_FROM_VLAN11_TO_SERVERFIRM
 action drop
!
vlan access-map VACL_VLAN11 30
 action forward
!
vlan filter VACL_VLAN11 vlan 11
VLAN11からサーバファームへの通信許可対象が増えた場合はFOR_PERMIT_FROM_VLAN11_TO_SERVERFIRMに追加したらいいですし、VLAN11からのアクセスを拒否する宛先を増やしたいときはFOR_DENY_FROM_VLAN11_TO_SERVERFIRMに追加するだけで済みます。
もちろんVLAN11へのセグメント追加時、VLAN12,13の環境変更や新規VLAN追加時の影響もありません。

で、
引用:
『SwitchA Fa0/1のout方向にRACLの設定をする』場合は
Vlan11→サーバー
Vlan12→サーバー
Vlan13→サーバー
をフィルタリングする
============================
今回の条件ではRACLの場合はsoureのみの指定になるため標準ACLで構いません。
とおっしゃってるように実装するなら、RACLだとこうですよね
interface FastEthernet0/1
 ip access-group RACL out
!
ip access-list standard RACL
 permit 172.18.1.0 0.0.0.255
!その他VLANからのトラフィックpermit定義、たとえば
! permit 10.1.0.0 0.0.255.255
! permit 10.2.0.0 0.0.255.255
! permit 10.3.0.0 0.0.127.255
! permit 10.4.0.0 0.0.3.255
! permit 10.4.128.0 0.0.127.255
! permit 172.18.2.0 0.0.0.255
! permit 192.168.1.0 0.0.0.255
! permit 192.168.4.0 0.0.0.255
!・連続してればまとめて定義できますが、不連続だと個別でやらないとぬけが出る。
!  たとえば各VLAN配下が/8をサブネット化している可能性もあるので、上記のような
!  複雑なワイルドカードを適用することも考えられる。
!  また、VLAN12,13に172.18.2.0/24が存在しないとも言い切れない
!・範囲外の通信許可対象セグメントが追加されたら当然permit行を追加する必要がある。
!・permit anyとか使ってしまうと意図していないものが許可される可能性があるので
!  不用意に使用できない
!  たとえばVLAN11に、上記の個別permit定義外のもの(暗黙のdenyでのdropを意図)が
!  追加されたときに対応できない。
!・上記ACLではどのVLANから来たものか判別できないので、各VLANの全セグメントで
!  許可すべきものの洗い出しが必要
この設問のトポロジにはありませんが、SwitchAを経由してサーバがインターネットと通信する場合、通信先の送信元(グローバル)アドレスもRACLアクセスリストに追加する必要が出てきます。
SwitchA Fa0/1のout方向のフィルタなので、サーバファームに入ってくるところでpermitしないといけなくなりますので、インバウンドトラフィックが多い場合はRACLアクセスリストへのpermit対象はかなり増えることが予想されます。
※ここは設問には記載のないところなので、「実際に適用するとしたときの考慮」レベルでとらえてください。

わざと複雑にした、と言われるとつらいのですが実際VLAN11,12,13配下のセグメントがどのように利用されているかは全く設問に記載されていないので、より悪いことを考慮する必要があるかと思うんですよね。

個人的な感想ではVACLの方が楽そうなのですが…
何より、RACLはテストが大変そうです…

いかがでしょうか?

投稿ツリー

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.