問題ID: 12923
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
kou179193
投稿数: 8
投稿数: 8
こちらの問題ですが、
access-list100
(access-list 100 permit icmp any any echo-reply)
がRAのf0/0にin方向で適用されているため、
RCからRBへのpingは通るが、RBからRCへのpingは暗黙のdenyにより通らない、という解説でした。
ここの点が良くわかりませんでした。
送信元も宛先もanyになっているので、RBからRCへのpingも通ると解釈しているので、
RAのf0/1にin方向で適用されていると、RB→RCのpingは通らなくなる理由が分かりません。
どなたか教えてください。
access-list100
(access-list 100 permit icmp any any echo-reply)
がRAのf0/0にin方向で適用されているため、
RCからRBへのpingは通るが、RBからRCへのpingは暗黙のdenyにより通らない、という解説でした。
ここの点が良くわかりませんでした。
送信元も宛先もanyになっているので、RBからRCへのpingも通ると解釈しているので、
RAのf0/1にin方向で適用されていると、RB→RCのpingは通らなくなる理由が分かりません。
どなたか教えてください。
antares01
投稿数: 690
投稿数: 690
> RAのf0/1にin方向で適用されていると、RB→RCのpingは通らなくなる理由が分かりません。
これはf0/0の間違えですかね。
よく100のACLを見ると、permitされているのはecho-replyになっています。
pingというのは自分がpingを打つ時はecho request、相手が
応答する時はecho replyという異なるパケットを使います。RBがRCに向けて打つ
pingパケットと、RBがRCに応答する時のパケットでは異なるのです。以下のように
ACLを書く時もそれぞれ別です。
R1(config)#access-list 100 permit icmp any any e?
echo echo-reply
RAのfa0/0で受信時にpermitするのはecho-reply だけなので
RCからのping にRBが応答するパケットは通過できますが、
RBから打つpingは暗黙のdenyで破棄されてしまうために
pingが通りません。
これはf0/0の間違えですかね。
よく100のACLを見ると、permitされているのはecho-replyになっています。
pingというのは自分がpingを打つ時はecho request、相手が
応答する時はecho replyという異なるパケットを使います。RBがRCに向けて打つ
pingパケットと、RBがRCに応答する時のパケットでは異なるのです。以下のように
ACLを書く時もそれぞれ別です。
R1(config)#access-list 100 permit icmp any any e?
echo echo-reply
RAのfa0/0で受信時にpermitするのはecho-reply だけなので
RCからのping にRBが応答するパケットは通過できますが、
RBから打つpingは暗黙のdenyで破棄されてしまうために
pingが通りません。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
以前に全く同じ問題についての質問があったので参考までにリンク張っておきますね。
http://ping-t.com/modules/forum/index.php?topic_id=1953
#jupiter134さんの回答ってゲスト扱いになってるのか。
#ってことはアカウント削除したのかなぁ…
http://ping-t.com/modules/forum/index.php?topic_id=1953
#jupiter134さんの回答ってゲスト扱いになってるのか。
#ってことはアカウント削除したのかなぁ…
kou179193
投稿数: 8
投稿数: 8
お二方回答ありがとうございました。
ただ、やっぱりまだわからないことが・・・・
RBからRCへのpingが通らないのは、RAのfa0/0でpermitされているのが、echo-replyのみだから、というのは理解できました。
気になるのはRCからRBへのpingが通るところです。
RCから送信されたecho-reqestは、まずRAのfa0/1へと届きますが、ここではACLの適用がされていないので、受信される。
次に、RAのfa0/0からRBへと送信されるが、ここで適用されているACL100はin方向に設定されているから、ACLが働かないのでしょうか?
つまり、ACLをインターフェイスにin方向で適用した場合、外から来たパケットを"受信"するときにACLが働き(out方向で適用した場合はACLが働かない)、逆にout方向で適用した場合は、受信したパケットを"送信"するときにしか働かない(in方向で適用した場合はACLが働かない)
という解釈でよろしいでしょうか?
ただ、やっぱりまだわからないことが・・・・
RBからRCへのpingが通らないのは、RAのfa0/0でpermitされているのが、echo-replyのみだから、というのは理解できました。
気になるのはRCからRBへのpingが通るところです。
RCから送信されたecho-reqestは、まずRAのfa0/1へと届きますが、ここではACLの適用がされていないので、受信される。
次に、RAのfa0/0からRBへと送信されるが、ここで適用されているACL100はin方向に設定されているから、ACLが働かないのでしょうか?
つまり、ACLをインターフェイスにin方向で適用した場合、外から来たパケットを"受信"するときにACLが働き(out方向で適用した場合はACLが働かない)、逆にout方向で適用した場合は、受信したパケットを"送信"するときにしか働かない(in方向で適用した場合はACLが働かない)
という解釈でよろしいでしょうか?
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:ですです。
フィルタの適用されるイメージとしてはこんな感じですから
RAのfa0/0からRBへと送信されるが、ここで適用されているACL100はin方向に設定されているから、ACLが働かないのでしょうか?
フィルタの適用されるイメージとしてはこんな感じですから
fa0/0┌────────┐fa1/0
───>│(in)─┐┌(out) │────>
│ 処理 │
<───┤(out) ┘└─(in)│<────
└────────┘
kou179193
投稿数: 8
投稿数: 8
みなさんありがとうございました!
設定さえされていれば方向関係なくそこのインターフェースに来たフレームに適用されるもんだと勘違いしてました。
お早い回答感謝いたします
設定さえされていれば方向関係なくそこのインターフェースに来たフレームに適用されるもんだと勘違いしてました。
お早い回答感謝いたします
