問題ID:6955
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
choaniki
投稿数: 10
投稿数: 10
access-list 150 permit ip 172.16.0.0 0.0.0.0 255.255.224.0 0.0.0.0
という構文は、「172.16.0.0/19」のルートのみ学習するということなのですが、
access-list 150 permit 172.16.0.0 0.0.31.255
とイコールと思っていいのでしょうか。
前者の構文の意味が、どうも良く理解できません。
という構文は、「172.16.0.0/19」のルートのみ学習するということなのですが、
access-list 150 permit 172.16.0.0 0.0.31.255
とイコールと思っていいのでしょうか。
前者の構文の意味が、どうも良く理解できません。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:イコールと思ってよいです、がACL番号に150を使う時点で拡張アクセスリストとなりますので、本来は1〜99で考慮したほうがよいかと。
機械翻訳版しかありませんでしたが、以下の文書を見てください。
http://www.cisco.com/cisco/web/support/JP/100/1001/1001803_22.html
正しい理解の為には英語版をお勧めします。
http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a00801310cb.shtml
標準アクセスリストの場合のコンフィグ例が以下の通り掲載されています。これが想定されているものですね。
今回の設問では拡張アクセスリストなので該当しません。
では拡張アクセスリストの場合はどうかというと、以下のように記載されています。(Filtering Using distribute-list with an Extended Access List を見てください。)
英語版から引用します。
引用:
今回の設問はACL 150となっているので上記拡張アクセスリストの書式を使用しているものです。
access-list 150 permit 172.16.0.0 0.0.31.255
とイコールと思っていいのでしょうか。
機械翻訳版しかありませんでしたが、以下の文書を見てください。
http://www.cisco.com/cisco/web/support/JP/100/1001/1001803_22.html
正しい理解の為には英語版をお勧めします。
http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a00801310cb.shtml
標準アクセスリストの場合のコンフィグ例が以下の通り掲載されています。これが想定されているものですね。
hostname Router 100
!
router bgp 100
neighbor 172.16.1.2 remote-as 200
neighbor 172.16.1.2 distribute-list 1 in
!
access-list 1 deny 10.10.10.0 0.0.0.255
access-list 1 permit any
では拡張アクセスリストの場合はどうかというと、以下のように記載されています。(Filtering Using distribute-list with an Extended Access List を見てください。)
英語版から引用します。
引用:
To permit only the supernet 10.10.0.0/19, use an extended access list, such as access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0. Refer to access-list (IP extended) for the format of the extended access-list command.
(意訳)拡張アクセスリストを使用して、スーパーネットである10.10.0.0/19のみを許可する場合は、access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0のように記述します。拡張access-listコマンドの書式はaccess-list(IP extended)を参照してください。
In our example, the source is 10.10.0.0 and the source-wildcard of 0.0.0.0 is configured for an exact match of source. A mask of 255.255.224.0, and a mask-wildcard of 0.0.0.0 is configured for an exact match of source mask. If any one of them (source or mask) does not have a exact match, the access list denies it.
(意訳)例では、送信元が10.10.0.0で送信元ワイルドカードが0.0.0.0となっており、10.10.0.0に厳密に一致するよう指定しています。マスク部は255.255.224.0、マスクワイルドカードは0.0.0.0となっており、送信元マスクが厳密に一致するよう指定しています。どちらにも一致しないものはアクセスリストによって拒否されます。
This allows the extended access-list command to permit an exact match of source network number 10.10.0.0 with mask 255.255.224.0 (and thus, 10.10.0.0/19). The other more specific /24 networks will be filtered out.
(意訳)この方法で拡張access-listコマンドで送信元ネットワーク10.10.0.0でマスクが255.255.224.0(すなわち10.10.0.0/19)に一致するもののみを許可できます。その他の/24ネットワークはフィルタされます。
今回の設問はACL 150となっているので上記拡張アクセスリストの書式を使用しているものです。
choaniki
投稿数: 10
投稿数: 10
arashi1977様
いつも丁寧なご説明ありがとうございます。
お教えいただきましたリンク先の解説を読みました。
access-list 1 permit 10.10.0.0 0.0.31.255の場合
・10.10.1.0/24~10.10.31.0/24
・10.10.0.0/19
のいずれも許可、
access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0の場合
・10.10.0.0/19
のみ許可との認識でよろしいでしょうか。
また、拡張アクセスリストの構文はCCNAで勉強した
access-list <リスト番号> permit ip <送信元IPアドレス> <ワイルドカードマスク> <宛先IPアドレス> <ワイルドカードマスク>
が頭に刻み込まれているのですが、
ディストリビュートリストに適用する場合は、
access-list <リスト番号> permit ip <ネットワークアドレス> <ワイルドカードマスク> <サブネットマスク> <ワイルドカードマスク>
の構文になるのでしょうか。
いつも丁寧なご説明ありがとうございます。
お教えいただきましたリンク先の解説を読みました。
access-list 1 permit 10.10.0.0 0.0.31.255の場合
・10.10.1.0/24~10.10.31.0/24
・10.10.0.0/19
のいずれも許可、
access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0の場合
・10.10.0.0/19
のみ許可との認識でよろしいでしょうか。
また、拡張アクセスリストの構文はCCNAで勉強した
access-list <リスト番号> permit ip <送信元IPアドレス> <ワイルドカードマスク> <宛先IPアドレス> <ワイルドカードマスク>
が頭に刻み込まれているのですが、
ディストリビュートリストに適用する場合は、
access-list <リスト番号> permit ip <ネットワークアドレス> <ワイルドカードマスク> <サブネットマスク> <ワイルドカードマスク>
の構文になるのでしょうか。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:ここは検証してないので、確認してからにさせてください。
引用:また英語の文書で申し訳ないのですが(日本語版が探せなかった…)、以下のコマンドリファレンスをご覧ください。
Cisco IOS Security Command Reference: Commands A to C: aaa max-sessions through algorithm: access-list (IP extended)
引用:意訳つける元気はありませんでした…
必要だったらフォローしますので、まずは一度読んでみてください。
access-list 1 permit 10.10.0.0 0.0.31.255の場合
・10.10.1.0/24~10.10.31.0/24
・10.10.0.0/19
のいずれも許可
引用:
ディストリビュートリストに適用する場合は、
access-list <リスト番号> permit ip <ネットワークアドレス> <ワイルドカードマスク> <サブネットマスク> <ワイルドカードマスク>
の構文になるのでしょうか。
Cisco IOS Security Command Reference: Commands A to C: aaa max-sessions through algorithm: access-list (IP extended)
引用:
The following examples show how wildcard bits are used to indicate the bits of the prefix or mask that are relevant. Wildcard bits are similar to the bitmasks that are used with normal access lists. Prefix or mask bits corresponding to wildcard bits set to 1 are ignored during comparisons and prefix or mask bits corresponding to wildcard bits set to 0 are used in comparison.
The following example permits 192.168.0.0 255.255.0.0 but denies any more specific routes of 192.168.0.0 (including 192.168.0.0 255.255.255.0):
access-list 101 permit ip 192.168.0.0 0.0.0.0 255.255.0.0 0.0.0.0
access-list 101 deny ip 192.168.0.0 0.0.255.255 255.255.0.0 0.0.255.255
The following example permits 10.108.0/24 but denies 10.108/16 and all other subnets of 10.108.0.0:
access-list 101 permit ip 10.108.0.0 0.0.0.0 255.255.255.0 0.0.0.0
access-list 101 deny ip 10.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255
必要だったらフォローしますので、まずは一度読んでみてください。
choaniki
投稿数: 10
投稿数: 10
arashi1977様
再度のご回答ありがとうございます。
とても勉強になります。
先にお教えいただいたhttp://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a00801310cb.shtml
で
access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0の場合
・10.10.0.0/19
のみ許可のように書かれているかと思います。
であれば、Cisco IOS Security Command Reference: Commands A to C: aaa max-sessions through algorithm: access-list (IP extended)からの引用文中の
access-list 101 permit ip 192.168.0.0 0.0.0.0 255.255.0.0 0.0.0.0
access-list 101 deny ip 192.168.0.0 0.0.255.255 255.255.0.0 0.0.255.255
access-list 101 permit ip 10.108.0.0 0.0.0.0 255.255.255.0 0.0.0.0
access-list 101 deny ip 10.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255
各リストの2行目のdenyは不要のように思うのですが。
再度のご回答ありがとうございます。
とても勉強になります。
先にお教えいただいたhttp://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a00801310cb.shtml
で
access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0の場合
・10.10.0.0/19
のみ許可のように書かれているかと思います。
であれば、Cisco IOS Security Command Reference: Commands A to C: aaa max-sessions through algorithm: access-list (IP extended)からの引用文中の
access-list 101 permit ip 192.168.0.0 0.0.0.0 255.255.0.0 0.0.0.0
access-list 101 deny ip 192.168.0.0 0.0.255.255 255.255.0.0 0.0.255.255
access-list 101 permit ip 10.108.0.0 0.0.0.0 255.255.255.0 0.0.0.0
access-list 101 deny ip 10.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255
各リストの2行目のdenyは不要のように思うのですが。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
混同されているようなので。
引用:そうですね。こちらはBGPのプレフィックスフィルタリングについてのお話ですね。
引用:ここは拡張アクセスリストの書式についての話題に関してですよね?
引用:という疑問があったようなので、拡張アクセスリストの書式を提示しただけであって、この書式が設問にあるdistribute-listに適用する際の書式というつもりでは出していないです。
もちろん、今回の形式であれば暗黙のdenyでフィルタされるので、上記拡張アクセスリスト書式の2行目は関係ないですね
引用:
access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0の場合
・10.10.0.0/19
のみ許可のように書かれているかと思います。
引用:
各リストの2行目のdenyは不要のように思うのですが。
引用:
また、拡張アクセスリストの構文はCCNAで勉強した
access-list <リスト番号> permit ip <送信元IPアドレス> <ワイルドカードマスク> <宛先IPアドレス> <ワイルドカードマスク>
が頭に刻み込まれているのですが、
ディストリビュートリストに適用する場合は、
access-list <リスト番号> permit ip <ネットワークアドレス> <ワイルドカードマスク> <サブネットマスク> <ワイルドカードマスク>
の構文になるのでしょうか。
もちろん、今回の形式であれば暗黙のdenyでフィルタされるので、上記拡張アクセスリスト書式の2行目は関係ないですね
choaniki
投稿数: 10
投稿数: 10
arashi1977様
度々のご回答、本当にありがとうございます。
ご指摘のように、どうも混乱してしまっていて。
拡張アクセスリストの説明を色々調べても、そのいずれもが構文として
Router(config)#access-list <番号> <permit | deny> <プロトコル> <送信元IPアドレス> <送信元ワイルドカードマスク> <宛先IPアドレス> <宛先ワイルドカードマスク> <オプション>
としているので、この構文のルールに従わない、<宛先IPアドレス>の部分が<サブネットマスク>になる、言い換えればネットワークアドレスを入れるべき場所にサブネットマスクを入れる今回のディストリビュートリストへ適用する際の拡張アクセスリストの構文が、どうにも釈然としないのです。
度々のご回答、本当にありがとうございます。
ご指摘のように、どうも混乱してしまっていて。
拡張アクセスリストの説明を色々調べても、そのいずれもが構文として
Router(config)#access-list <番号> <permit | deny> <プロトコル> <送信元IPアドレス> <送信元ワイルドカードマスク> <宛先IPアドレス> <宛先ワイルドカードマスク> <オプション>
としているので、この構文のルールに従わない、<宛先IPアドレス>の部分が<サブネットマスク>になる、言い換えればネットワークアドレスを入れるべき場所にサブネットマスクを入れる今回のディストリビュートリストへ適用する際の拡張アクセスリストの構文が、どうにも釈然としないのです。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
混同しているって言ったのは2つある話題を1つにして話をされていた点なんですけどね 
引用:えっと、私が↑で出した、ciscoのコマンドリファレンスは確認されましたか?
引用:引用:※destinationも同様なので省略
どこにも送信元、宛先IPアドレスとは書いてないですね。
「送信(元、先)のネットワーク番号、ホスト」と記述されており、この書式に従って対象プレフィックスを表現する際には
と記述する、と例示されているのです。
引用:なじまない書式なので違和感はあるんだと思うのですが、IOSで正式にサポートしている書式ですのでぶっちゃけ「prefix-listではなく拡張アクセスリストでプレフィックスを表現する時にはこういう書き方ができるんだ。ふーん」というぐらいで良いかと思います
引用:
拡張アクセスリストの説明を色々調べても、そのいずれもが構文として
Router(config)#access-list <番号> <permit | deny> <プロトコル> <送信元IPアドレス> <送信元ワイルドカードマスク> <宛先IPアドレス> <宛先ワイルドカードマスク> <オプション>
としている
引用:
access-list (IP extended)
To define an extended IP access list, use the extended version of the access-list command in global configuration mode . To remove the access lists, use the no form of this command.
access-list access-list-number [ dynamic dynamic-name [ timeout minutes ] ] { deny | permit } protocol source source-wildcard destination destination-wildcard [ precedence precedence | dscp dscp | tos tos | time-range time-range-name | fragments | log [word] | | log-input [word] ]
no access-list access-list-number
source
Number of the network or host from which the packet is being sent. There are three alternative ways to specify the source:
Use a 32-bit quantity in four-part dotted decimal format.
Use the any keyword as an abbreviation for a source and source-wildcard of 0.0.0.0 255.255.255.255.
Use host source as an abbreviation for a source and source-wildcard of source 0.0.0.0.
どこにも送信元、宛先IPアドレスとは書いてないですね。
「送信(元、先)のネットワーク番号、ホスト」と記述されており、この書式に従って対象プレフィックスを表現する際には
access-list 101 permit ip 192.168.0.0 0.0.0.0 255.255.0.0 0.0.0.0
引用:
言い換えればネットワークアドレスを入れるべき場所にサブネットマスクを入れる今回のディストリビュートリストへ適用する際の拡張アクセスリストの構文が、どうにも釈然としないのです。
choaniki
投稿数: 10
投稿数: 10
arashi1977様
本当に何度も回答いただきありがとうございます。
おっしゃる通り、「prefix-listではなく拡張アクセスリストでプレフィックスを表現する時にはこういう書き方ができる」ということで理解したいと思います。
また、理解のためには英語版の解説も参考にしたほうが良いことが今回わかりましたので、今後億劫がらずに見るようにしようかと思います。
arashi1977様は実務経験がかなりお有りになられるようで、毎回のアドバイス、本当に助かってます。
ありがとうございました。
本当に何度も回答いただきありがとうございます。
おっしゃる通り、「prefix-listではなく拡張アクセスリストでプレフィックスを表現する時にはこういう書き方ができる」ということで理解したいと思います。
また、理解のためには英語版の解説も参考にしたほうが良いことが今回わかりましたので、今後億劫がらずに見るようにしようかと思います。
arashi1977様は実務経験がかなりお有りになられるようで、毎回のアドバイス、本当に助かってます。
ありがとうございました。
