問題ID: 12472
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
MinkyMami
投稿数: 4
投稿数: 4
「10.1.0.0ネットワークから送信されたパケットのみ拒否をする場合のアクセスリストで、正しいものを以下より選択せよ」
という問題で、回答は
「(config)#access-list 1 deny 10.1.0.0 0.0.255.255
(config)#access-list 1 permit any 」
となっています。しかし10.1.0.0はクラスAなので
ワイルドカードマスク 0.255.255.255 も正解になるんではないんでしょうか。
正直、ワイルドカードはまだ得意になれません。
どなたか解説・ご教示お願いします。
という問題で、回答は
「(config)#access-list 1 deny 10.1.0.0 0.0.255.255
(config)#access-list 1 permit any 」
となっています。しかし10.1.0.0はクラスAなので
ワイルドカードマスク 0.255.255.255 も正解になるんではないんでしょうか。
正直、ワイルドカードはまだ得意になれません。
どなたか解説・ご教示お願いします。
antares01
投稿数: 690
投稿数: 690
クラスA、B、Cのように呼ぶクラスフルの他にネットマスクを併用して書く
クラスレスと言う考え方がありますが、お分かりでしょうか。
192.168.0.0 255.255.255.128や192.168.0.0/25と書いたりするヤツです。
この問題ではクラスレスの考え方で書かれています。その為、ここでは
クラスAの考えに縛られると間違ってしまいます。
さらに、数字は似ていますが、ネットマスク(サブネットマスク)とワイルド
カードマスクは別モノなので、気をつけてください。
アクセスリストの中で使われるワイルドカードマスクは、その前に書かれた
IPアドレスをコンピュータが読み取り、どの部分をチェックする(0)/しない(1)を
表したものになります。
例えば、
192.168.0.0/24のネットワークがあった場合、
そのホスト全て(192.168.0.1〜254)を対象としたいのであれば、
192.168.0.1 0.0.0.0
〜
192.168.0.254 0.0.0.0
と、254行のアクセスリストを書けば良いのですが、よくよく考えると、
192.168.0までは同じなので、第3オクテッドまではチェック(0)して、
第四オクテッドはチェックしなくてもいい(1)よね、と言う考えの元に
00000000.00000000.00000000.11111111 ⇒ 0.0.0.255と書きます。
--------------------
(config)#access-list 1 deny 10.1.0.0 0.255.255.255
(config)#access-list 1 permit any
これの場合、
00001010.00000001.00000000.00000000
00000000.11111111.11111111.11111111
となり、
00001010.xxxxxxxx.xxxxxxxx.xxxxxxxxなので
10.0.0.0〜10.255.255.255の範囲でdenyの対象になってしまうので
問題の回答としては誤りです。
色々な問題を解いていくと、ネットワーク部が0で、ホスト部が1のワイルド
カードマスクになっていることが多いので、ネットマスクとワイルドカード
マスクを混同してしまいますが、両者は全くの別モノと思ってください。
ホスト部のなかのある一部だけをアクセスリストで対象とすることもできます。
必ずしもネットワーク単位とする必要はありません。
例えば、
192.168.0.0/24(192.168.0.0 255.255.255.0)
を使っているネットワークがあった場合でも、その中から
192.168.0.1 〜 192.168.0.3 の端末だけ制御の対象としたい時に
192.168.0.0 0.0.0.3と書くことで要件を満たせます。
クラスレスと言う考え方がありますが、お分かりでしょうか。
192.168.0.0 255.255.255.128や192.168.0.0/25と書いたりするヤツです。
この問題ではクラスレスの考え方で書かれています。その為、ここでは
クラスAの考えに縛られると間違ってしまいます。
さらに、数字は似ていますが、ネットマスク(サブネットマスク)とワイルド
カードマスクは別モノなので、気をつけてください。
アクセスリストの中で使われるワイルドカードマスクは、その前に書かれた
IPアドレスをコンピュータが読み取り、どの部分をチェックする(0)/しない(1)を
表したものになります。
例えば、
192.168.0.0/24のネットワークがあった場合、
そのホスト全て(192.168.0.1〜254)を対象としたいのであれば、
192.168.0.1 0.0.0.0
〜
192.168.0.254 0.0.0.0
と、254行のアクセスリストを書けば良いのですが、よくよく考えると、
192.168.0までは同じなので、第3オクテッドまではチェック(0)して、
第四オクテッドはチェックしなくてもいい(1)よね、と言う考えの元に
00000000.00000000.00000000.11111111 ⇒ 0.0.0.255と書きます。
--------------------
(config)#access-list 1 deny 10.1.0.0 0.255.255.255
(config)#access-list 1 permit any
これの場合、
00001010.00000001.00000000.00000000
00000000.11111111.11111111.11111111
となり、
00001010.xxxxxxxx.xxxxxxxx.xxxxxxxxなので
10.0.0.0〜10.255.255.255の範囲でdenyの対象になってしまうので
問題の回答としては誤りです。
色々な問題を解いていくと、ネットワーク部が0で、ホスト部が1のワイルド
カードマスクになっていることが多いので、ネットマスクとワイルドカード
マスクを混同してしまいますが、両者は全くの別モノと思ってください。
ホスト部のなかのある一部だけをアクセスリストで対象とすることもできます。
必ずしもネットワーク単位とする必要はありません。
例えば、
192.168.0.0/24(192.168.0.0 255.255.255.0)
を使っているネットワークがあった場合でも、その中から
192.168.0.1 〜 192.168.0.3 の端末だけ制御の対象としたい時に
192.168.0.0 0.0.0.3と書くことで要件を満たせます。
MinkyMami
投稿数: 4
投稿数: 4
>antares01様
ご回答ありがとうございます。
10.1.0.0の2オクテット目“1”をチェックさせる為に“255”
に設定する、ということでしょうか。
それでは、選択肢の中にあった「0.0.255.255」以外に
「0.1.255.255」という設定も正解にはなりますか?
ご回答ありがとうございます。
10.1.0.0の2オクテット目“1”をチェックさせる為に“255”
に設定する、ということでしょうか。
それでは、選択肢の中にあった「0.0.255.255」以外に
「0.1.255.255」という設定も正解にはなりますか?
antares01
投稿数: 690
投稿数: 690
逆です。1をチェックするために第2オクテッドを0にします。
MinkyMami
投稿数: 4
投稿数: 4
そうでした。“1”は「無視」でした。
どうしても、サブネット同じような考えに陥ってしまいます。
ありがとうございました。
どうしても、サブネット同じような考えに陥ってしまいます。
ありがとうございました。
