Re: 19473

この質問の投稿一覧へ

なし Re: 19473

msg# 1.2.1
depth:
2
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-7-22 18:37
arashi1977  長老 居住地: 広島  投稿数: 1715
挙動としては把握してるのですが、確証が持てなかったので確認のために調べてみました。

ただ、英語の情報でしかcisco公式情報が見つからなかったので…

Cisco IOS Security Command Reference: Commands A to C - aaa max-sessions through algorithm [Support] - Cisco
access-list (IP standard)

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/a1/sec-a1-cr-book/sec-cr-a2.html#wp3101028446
引用:
access-list (IP standard)
To define a standard IP access list, use the s tandard version of the access-list command in global configuration mode. To remove a standard access list, use the no form of this command.

access-list access-list-number { deny | permit } source [source-wildcard] [ log [word] ]
コマンド書式にhostキーワードが無いです。指定する意味がないのかなぁ…
※IOS 12.4T上では表示されました。ねんのため
RB#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
RB(config)#access-list 11 ?
  deny    Specify packets to reject
  permit  Specify packets to forward
  remark  Access list entry comment

RB(config)#access-list 11 perm ?
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address
引用:
source-wildcard
(Optional) Wildcard bits to be applied to the source.
source-wildcard部はオプション扱いになってます。指定しなかったらどうなるんだろう?
引用:
Examples
(略)
To specify a large number of individual addresses more easily, you can omit the wildcard if it is all zeros. Thus, the following two configuration commands are identical in effect:
(意訳)
大量の個別のアドレス指定を簡略化するために、全て0のワイルドカード(=hostキーワード)指定を省略できます。ですので、以下の2つのコマンドは機能的に同じものとなります:
access-list 2 permit 10.48.0.3
access-list 2 permit 10.48.0.3 0.0.0.0
聞きました奥さん?
hostキーワードや0.0.0.0のワイルドカード指定がいらないんですって!

試してみました
R2#sh ip access-list
Standard IP access list 10
    10 permit 10.1.1.0
R2#sh run | i access-list
access-list 10 permit 10.1.1.0
R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#no access-list 10 permit 10.1.1.0
R2(config)#access-list 10 permit host 10.1.1.0
R2(config)#end
R2#
*Mar  1 00:02:13.763: %SYS-5-CONFIG_I: Configured from console by console
R2#sh ip access-list
Standard IP access list 10
    10 permit 10.1.1.0
R2#sh run | i access-list
access-list 10 permit 10.1.1.0
あー、削られちゃうんですねぇ…

てことで
・標準ACLではhostキーワードを指定しなくても指定されたのと挙動は同じ
・distanceコマンドで指定するのは標準ACLなので、hostキーワードがあってもなくても同じこと
・指定したACLにマッチするかどうかは、指定したネットワークと同じLink IDかがポイント
・ネットマスクのつもりでワイルドカード指定すると、その範囲にマッチするネットワークアドレスが全てマッチする事になる

ってところでしょうか

投稿ツリー

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.