問題ID:19の標準アクセスリスト
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
問題ID:19の標準アクセスリスト
msg# 1
kimurataku
投稿数: 7
問題ID:19の標準アクセスリストなんですが、
標準IPアクセスリストは何を基にフィルタリングを行うかっとの
質問の答えは もちろん送信元アドレスですね。
しかしそれをPacket TracerとRouter Sim Network visualizerで
両方とも試してみた所、
標準アクセスリストは拒否したい送信元IPアドレスを宛先と一番近いポートに適用すると同時に、逆方向の通信(宛先から送信元へ)も拒否されています。つまり逆方向通信ですと、構文に指定したIPアドレスが宛先になって拒否されましたね。方向関係なく拒否さた訳でしょうか。指定したIPアドレスと指定したインターフェースにマッピングされたのでしょうか。
これが正しいと言えば標準アクセスリストのコマンド構文である
Router(config)#access-list { 番号 } { permit | deny } { 送信元IPアドレス } [ ワイルドカードマスク ]
↑ここが
が間違えてしまうんでしょうか。
細かいところまでこだわってすみません。
ルータの実機が触れなくて分かる方がいらっしゃったら教えてください。宜しくお願いいたします。
標準IPアクセスリストは何を基にフィルタリングを行うかっとの
質問の答えは もちろん送信元アドレスですね。
しかしそれをPacket TracerとRouter Sim Network visualizerで
両方とも試してみた所、
標準アクセスリストは拒否したい送信元IPアドレスを宛先と一番近いポートに適用すると同時に、逆方向の通信(宛先から送信元へ)も拒否されています。つまり逆方向通信ですと、構文に指定したIPアドレスが宛先になって拒否されましたね。方向関係なく拒否さた訳でしょうか。指定したIPアドレスと指定したインターフェースにマッピングされたのでしょうか。
これが正しいと言えば標準アクセスリストのコマンド構文である
Router(config)#access-list { 番号 } { permit | deny } { 送信元IPアドレス } [ ワイルドカードマスク ]
↑ここが
が間違えてしまうんでしょうか。
細かいところまでこだわってすみません。
ルータの実機が触れなくて分かる方がいらっしゃったら教えてください。宜しくお願いいたします。
Re: 問題ID:19の標準アクセスリスト
msg# 1.1
choidebu
投稿数: 109
逆方向でも、標準ACLはちゃんと送信元をチェックしますよ。
どんな構成でどんなACLを適用しているのか分からないので何ともいえませんが、もしかしたら暗黙のdenyで拒否されているのでは?と思いました。permitは入れていますか?
どんな構成でどんなACLを適用しているのか分からないので何ともいえませんが、もしかしたら暗黙のdenyで拒否されているのでは?と思いました。permitは入れていますか?
Re: 問題ID:19の標準アクセスリスト
msg# 1.2
zaukun
居住地: Tokyo
投稿数: 35
え〜とですね。
多分アクセスリストの設定は間違えてないと思います。
で、Packet TracerとRouter Sim Network visualizerでの検証も間違えてないと思います。
ここで確認ですが、この疎通確認はpingで行ってますよね?
ping(ICMP)の流れをよ〜く思い出しましょう。
仮にトポロジーが
PC1,PC2 - Router1 - Router2 - PC3
で、PC1からPC3はpermitでPC2からPC3はdenyにする場合、
Router2のPC3側ポートにアクセスリストを設定しますよね。
その際に、PC2からPC3へのpingは
PC2 -> Router1 -> Router2
で止まります。
これは理解できますよね?
次にPC3からPC2へのpingは
PC3 -> Router2 -> Router1 -> PC2 -> Router1 -> Router2
ここでどうなるかわかりますか?
pingは相手に届くだけでは疎通確認にはなりません。
自分に戻ってきて初めて疎通確認が取れます。
以上で理解できますでしょうか?
って、偉そうに書いてますが、多分この考えで間違え無いと思うのですが、問題あったらだれか指摘して〜
多分アクセスリストの設定は間違えてないと思います。
で、Packet TracerとRouter Sim Network visualizerでの検証も間違えてないと思います。
ここで確認ですが、この疎通確認はpingで行ってますよね?
ping(ICMP)の流れをよ〜く思い出しましょう。
仮にトポロジーが
PC1,PC2 - Router1 - Router2 - PC3
で、PC1からPC3はpermitでPC2からPC3はdenyにする場合、
Router2のPC3側ポートにアクセスリストを設定しますよね。
その際に、PC2からPC3へのpingは
PC2 -> Router1 -> Router2
で止まります。
これは理解できますよね?
次にPC3からPC2へのpingは
PC3 -> Router2 -> Router1 -> PC2 -> Router1 -> Router2
ここでどうなるかわかりますか?
pingは相手に届くだけでは疎通確認にはなりません。
自分に戻ってきて初めて疎通確認が取れます。
以上で理解できますでしょうか?
って、偉そうに書いてますが、多分この考えで間違え無いと思うのですが、問題あったらだれか指摘して〜
Re: 問題ID:19の標準アクセスリスト
msg# 1.2.1
kimurataku
投稿数: 7
なるほど!
PC3からPC2へパケットが届きますが、EcoReplyがアクセスリストに引っ掛かってしまいPingが通らないわけですね。
やっと理解できました。どうもうありがとう御座いました。m(_ _)m
PC3からPC2へパケットが届きますが、EcoReplyがアクセスリストに引っ掛かってしまいPingが通らないわけですね。
やっと理解できました。どうもうありがとう御座いました。m(_ _)m