問題ID: 12472
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
hirogotanda
投稿数: 4
投稿数: 4
問題:10.1.0.0ネットワークから送信されたパケットのみ拒否をする場合のアクセスリストで、正しいものを以下より選択せよ。
推測:10.1.0.0ネットワークはクラスAであり、
10.1.0.0は10.0.0.0と同じネットワークに属するという認識なのですが、
拒否を目的としたアクセスリストのワイルドカードマスクは、
0.0.255.255となっています。
質問:何故、0.255.255.255ではないと、明確に言えるのでしょうか?
ご教授お願い致します。
推測:10.1.0.0ネットワークはクラスAであり、
10.1.0.0は10.0.0.0と同じネットワークに属するという認識なのですが、
拒否を目的としたアクセスリストのワイルドカードマスクは、
0.0.255.255となっています。
質問:何故、0.255.255.255ではないと、明確に言えるのでしょうか?
ご教授お願い致します。
antares01
投稿数: 690
投稿数: 690
残りの選択肢は次のようになりますので、正解とは言えません。
(config)#access-list 1 deny 10.1.0.0 0.0.255.255
⇒これはpermit any がないので「のみ拒否」を実現できないので不正解
(config)#access-list 100 deny 10.1.0.0 0.0.255.255
(config)#access-list 100 permit any
⇒これは拡張アクセスリストなので送信元だけ指定することはできないので不正解
(config)#access-list 1 deny 10.1.0.0 0.255.255.255
(config)#access-list 1 permit any
⇒これは第一オクテッドをチェックして、残りはチェックしないので 10.0.0.0 255.0.0.0となり
10.1.0.0「のみ拒否」を実現できないので不正解
(config)#access-list 1 deny 10.1.0.0 255.255.0.0
(config)#access-list 1 permit any
⇒サブネットマスクを書いてしまっているので不正解
-------
また、たしかに10.1.0.0はクラスフルで考えるとクラスAですが、
ワイルドカードマスクはサブネットマスクと違うので、
クラスAだから0.255.255.255
クラスBだから0.0.255.255
クラスCだから0.0.0.255
という訳ではありません。
そのアドレスのビットをチェックする場合0、チェックしない場合1として、
10進数に直したものです。
(config)#access-list 1 deny 10.1.0.0 0.0.255.255
⇒これはpermit any がないので「のみ拒否」を実現できないので不正解
(config)#access-list 100 deny 10.1.0.0 0.0.255.255
(config)#access-list 100 permit any
⇒これは拡張アクセスリストなので送信元だけ指定することはできないので不正解
(config)#access-list 1 deny 10.1.0.0 0.255.255.255
(config)#access-list 1 permit any
⇒これは第一オクテッドをチェックして、残りはチェックしないので 10.0.0.0 255.0.0.0となり
10.1.0.0「のみ拒否」を実現できないので不正解
(config)#access-list 1 deny 10.1.0.0 255.255.0.0
(config)#access-list 1 permit any
⇒サブネットマスクを書いてしまっているので不正解
-------
また、たしかに10.1.0.0はクラスフルで考えるとクラスAですが、
ワイルドカードマスクはサブネットマスクと違うので、
クラスAだから0.255.255.255
クラスBだから0.0.255.255
クラスCだから0.0.0.255
という訳ではありません。
そのアドレスのビットをチェックする場合0、チェックしない場合1として、
10進数に直したものです。
hirogotanda
投稿数: 4
投稿数: 4
すみません、質問の意図が明確ではなかったかもしれません。
10.1.0.0ネットワークとは10.1.0.0〜10.1.255.255の事を指すのでしょうか?
また、その定義は本文のどこから読み取る必要があるのでしょうか?
度々申し訳ございません。
10.1.0.0ネットワークとは10.1.0.0〜10.1.255.255の事を指すのでしょうか?
また、その定義は本文のどこから読み取る必要があるのでしょうか?
度々申し訳ございません。
antares01
投稿数: 690
投稿数: 690
> 10.1.0.0ネットワークとは10.1.0.0〜10.1.255.255の事を指すのでしょうか?
この質問の場合ではそうです。
> また、その定義は本文のどこから読み取る必要があるのでしょうか?
「10.1.0.0ネットワーク」のネットワークの部分から、10.1.0.0/16か16以上だと想像できます。17以上だと回答選択肢に該当するものがないので、この質問では/16と絞れます。
/15以下だと、10.1.0.0はネットワークではなく、ホストアドレスになるので、「10.1.0.0ネットワーク」に該当しないので/15以下ではないと判断できます。
この質問の場合ではそうです。
> また、その定義は本文のどこから読み取る必要があるのでしょうか?
「10.1.0.0ネットワーク」のネットワークの部分から、10.1.0.0/16か16以上だと想像できます。17以上だと回答選択肢に該当するものがないので、この質問では/16と絞れます。
/15以下だと、10.1.0.0はネットワークではなく、ホストアドレスになるので、「10.1.0.0ネットワーク」に該当しないので/15以下ではないと判断できます。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:引用:あってまーす
引用:引用:じゃあこう考えてみましょう
10.0.0.0/8(クラスA)ネットワークを有効利用するために分割して使っているサブネットワークが4つあります
10.0.0.0/16
10.1.0.0/16
10.2.0.0/16
10.3.0.0/16
この中で、
・10.1.0.0/16以外は通すけど、10.1.0.0/16だけは通したくない
・なお、10.1.0.0/16もさらに分割されて10.1.200.0/24などが存在するが、10.1.0.0/16に含まれるため通してはならない。
・今後のネットワーク拡張により10.4.0.0/16などが追加されても、アクセスリストに変更が発生しないようにしたい。
場合のアクセスリストってどうなるでしょ?
クラスフルネットワークだけではなく、サブネット分割された各ネットワークも(サブ)ネットワーク、ですよ
推測:10.1.0.0ネットワークはクラスAであり、
10.1.0.0は10.0.0.0と同じネットワークに属するという認識
10.1.0.0ネットワークとは10.1.0.0〜10.1.255.255の事を指すのでしょうか?
引用:
何故、0.255.255.255ではないと、明確に言えるのでしょうか?
また、その定義は本文のどこから読み取る必要があるのでしょうか?
10.0.0.0/8(クラスA)ネットワークを有効利用するために分割して使っているサブネットワークが4つあります
10.0.0.0/16
10.1.0.0/16
10.2.0.0/16
10.3.0.0/16
この中で、
・10.1.0.0/16以外は通すけど、10.1.0.0/16だけは通したくない
・なお、10.1.0.0/16もさらに分割されて10.1.200.0/24などが存在するが、10.1.0.0/16に含まれるため通してはならない。
・今後のネットワーク拡張により10.4.0.0/16などが追加されても、アクセスリストに変更が発生しないようにしたい。
場合のアクセスリストってどうなるでしょ?
クラスフルネットワークだけではなく、サブネット分割された各ネットワークも(サブ)ネットワーク、ですよ
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
もーちょっと別パターン(シナリオ的)で
A社では10.0.0.0/8を各エリア別にサブネット分割して割り当てており、関東(本部)にあるサーバに対して全部の拠点からアクセスして業務を行っている。
10.0.0.0/12…北海道
10.16.0.0/12…東北
10.32.0.0/12…関東 など
この度、北海道エリアに新規開拓地域ができ、そこに10.1.0.0/16を割り当てることとした。そのエリア内には出張拠点が複数あり、必要に応じて/24などのサブネット分割を行って利用している。
しかし当該新規開拓エリアではまだセキュリティ管理ソフトが導入できていないので、本部のある部署に対してはセキュリティポリシー上アクセスをさせてはならない。
本部側の当該部署のルータにて、上記セキュリティポリシーに合致するようにフィルタリングを行う必要がある。
新たに追加すべきアクセスフィルタはどのように定義すべきか。
A社では10.0.0.0/8を各エリア別にサブネット分割して割り当てており、関東(本部)にあるサーバに対して全部の拠点からアクセスして業務を行っている。
10.0.0.0/12…北海道
10.16.0.0/12…東北
10.32.0.0/12…関東 など
この度、北海道エリアに新規開拓地域ができ、そこに10.1.0.0/16を割り当てることとした。そのエリア内には出張拠点が複数あり、必要に応じて/24などのサブネット分割を行って利用している。
しかし当該新規開拓エリアではまだセキュリティ管理ソフトが導入できていないので、本部のある部署に対してはセキュリティポリシー上アクセスをさせてはならない。
本部側の当該部署のルータにて、上記セキュリティポリシーに合致するようにフィルタリングを行う必要がある。
新たに追加すべきアクセスフィルタはどのように定義すべきか。
