Re: 19473
arashi1977
居住地: 広島
投稿数: 1715
挙動としては把握してるのですが、確証が持てなかったので確認のために調べてみました。
ただ、英語の情報でしかcisco公式情報が見つからなかったので…
Cisco IOS Security Command Reference: Commands A to C - aaa max-sessions through algorithm [Support] - Cisco
access-list (IP standard)
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/a1/sec-a1-cr-book/sec-cr-a2.html#wp3101028446
引用:コマンド書式にhostキーワードが無いです。指定する意味がないのかなぁ…
※IOS 12.4T上では表示されました。ねんのため
引用:source-wildcard部はオプション扱いになってます。指定しなかったらどうなるんだろう?
引用:聞きました奥さん?
hostキーワードや0.0.0.0のワイルドカード指定がいらないんですって!
試してみました
あー、削られちゃうんですねぇ…
てことで
・標準ACLではhostキーワードを指定しなくても指定されたのと挙動は同じ
・distanceコマンドで指定するのは標準ACLなので、hostキーワードがあってもなくても同じこと
・指定したACLにマッチするかどうかは、指定したネットワークと同じLink IDかがポイント
・ネットマスクのつもりでワイルドカード指定すると、その範囲にマッチするネットワークアドレスが全てマッチする事になる
ってところでしょうか
ただ、英語の情報でしかcisco公式情報が見つからなかったので…
Cisco IOS Security Command Reference: Commands A to C - aaa max-sessions through algorithm [Support] - Cisco
access-list (IP standard)
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/a1/sec-a1-cr-book/sec-cr-a2.html#wp3101028446
引用:
access-list (IP standard)
To define a standard IP access list, use the s tandard version of the access-list command in global configuration mode. To remove a standard access list, use the no form of this command.
access-list access-list-number { deny | permit } source [source-wildcard] [ log [word] ]
※IOS 12.4T上では表示されました。ねんのため
RB#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RB(config)#access-list 11 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
RB(config)#access-list 11 perm ?
Hostname or A.B.C.D Address to match
any Any source host
host A single host address
source-wildcard
(Optional) Wildcard bits to be applied to the source.
引用:
Examples
(略)
To specify a large number of individual addresses more easily, you can omit the wildcard if it is all zeros. Thus, the following two configuration commands are identical in effect:
(意訳)
大量の個別のアドレス指定を簡略化するために、全て0のワイルドカード(=hostキーワード)指定を省略できます。ですので、以下の2つのコマンドは機能的に同じものとなります:
access-list 2 permit 10.48.0.3
access-list 2 permit 10.48.0.3 0.0.0.0
hostキーワードや0.0.0.0のワイルドカード指定がいらないんですって!
試してみました
R2#sh ip access-list
Standard IP access list 10
10 permit 10.1.1.0
R2#sh run | i access-list
access-list 10 permit 10.1.1.0
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#no access-list 10 permit 10.1.1.0
R2(config)#access-list 10 permit host 10.1.1.0
R2(config)#end
R2#
*Mar 1 00:02:13.763: %SYS-5-CONFIG_I: Configured from console by console
R2#sh ip access-list
Standard IP access list 10
10 permit 10.1.1.0
R2#sh run | i access-list
access-list 10 permit 10.1.1.0
てことで
・標準ACLではhostキーワードを指定しなくても指定されたのと挙動は同じ
・distanceコマンドで指定するのは標準ACLなので、hostキーワードがあってもなくても同じこと
・指定したACLにマッチするかどうかは、指定したネットワークと同じLink IDかがポイント
・ネットマスクのつもりでワイルドカード指定すると、その範囲にマッチするネットワークアドレスが全てマッチする事になる
ってところでしょうか
投稿ツリー
- 19473 (Pnt353_298, 2015-7-22 15:29)