入出方向のアクセスリストの設定について
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
oefaa33iy
投稿数: 10
投稿数: 10
3つの異なったネットワークVLAN環境があるルートでL3SWへアクセスリストを設定する問題について、お聞きしたいと思います。
図で言いますと、簡単にこんな感じのネットワークがあるとします。
A----【L3SW】
B----【L3SW】
【L3SW】----C
【L3SW】----D
【条件】
L3SWからDへは全てのパケットを許可する。
AからL3SWへパケットは流すが、Cパケットへ拒否をする。。
BからA、AからBはパケットは拒否をする。
BからはA以外は全てのパケットを許可する。
Aネットワーク VLAN10 192.168.1.0 /24
Bネットワーク VLAN20 192.168.2.0 /24
Cネットワーク VLAN30 172.16.1.0 /28
Dネットワーク VLAN110 10.0.0.2 /30
?
access-list 101 deny tcp host 192.168.1.1 host 192.168.2.1
access-list 101 deny tcp host 192.168.2.1 host 192.168.1.1
access-list 101 deny tcp host 192.168.1.1 host 172.16.1.1
permit ip any any
どんな記述が正しいでしょうか?
インタフェースでの適用が必要であれば、適当につけても構いません。
図で言いますと、簡単にこんな感じのネットワークがあるとします。
A----【L3SW】
B----【L3SW】
【L3SW】----C
【L3SW】----D
【条件】
L3SWからDへは全てのパケットを許可する。
AからL3SWへパケットは流すが、Cパケットへ拒否をする。。
BからA、AからBはパケットは拒否をする。
BからはA以外は全てのパケットを許可する。
Aネットワーク VLAN10 192.168.1.0 /24
Bネットワーク VLAN20 192.168.2.0 /24
Cネットワーク VLAN30 172.16.1.0 /28
Dネットワーク VLAN110 10.0.0.2 /30
?
access-list 101 deny tcp host 192.168.1.1 host 192.168.2.1
access-list 101 deny tcp host 192.168.2.1 host 192.168.1.1
access-list 101 deny tcp host 192.168.1.1 host 172.16.1.1
permit ip any any
どんな記述が正しいでしょうか?
インタフェースでの適用が必要であれば、適当につけても構いません。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:問題IDは分かりますか?
それがあると解説も確認しやすいのでありがたいです
3つの異なったネットワークVLAN環境があるルートでL3SWへアクセスリストを設定する問題について
それがあると解説も確認しやすいのでありがたいです
antares01
投稿数: 690
投稿数: 690
勘違いしてたので投稿を一度削除しました。
引用:これはAからCは破棄すると言う意味でよいのでしょうか?
引用:これは10.0.0.0/30 の間違えでしょうか?
引用:これを見ると、tcpを指定してますが、【条件】にある拒否の部分はTCPなのでしょうか?
引用:
AからL3SWへパケットは流すが、Cパケットへ拒否をする。。
引用:
Dネットワーク VLAN110 10.0.0.2 /30
引用:
?
access-list 101 deny tcp host 192.168.1.1 host 192.168.2.1
access-list 101 deny tcp host 192.168.2.1 host 192.168.1.1
access-list 101 deny tcp host 192.168.1.1 host 172.16.1.1
permit ip any any
oefaa33iy
投稿数: 10
投稿数: 10
>AからL3SWへパケットは流すが、Cパケットへ拒否をする。。
>これはAからCは破棄すると言う意味でよいのでしょうか?
⇒その通りです。L3SWまでしかパケットは送られません。AからのパケットはCには行きません。
>Dネットワーク VLAN110 10.0.0.2 /30
>これは10.0.0.0/30 の間違えでしょうか?
すいません、その通りです、間違えてました 正しくは10.0.0.0/30です。
>access-list 101 deny tcp host 192.168.1.1 host 192.168.2.1
>access-list 101 deny tcp host 192.168.2.1 host 192.168.1.1
>access-list 101 deny tcp host 192.168.1.1 host 172.16.1.1
>permit ip any any
>これを見ると、tcpを指定してますが、【条件】にある拒否の部分はTCPなのでしょうか?
⇒条件拒否として、パケット全体なのでTCPではないですね、これも誤りです。
全てのパケットとして扱いたいです。
全体的なネットワークのアクセスリストは想像つきますでしょうか?
>これはAからCは破棄すると言う意味でよいのでしょうか?
⇒その通りです。L3SWまでしかパケットは送られません。AからのパケットはCには行きません。
>Dネットワーク VLAN110 10.0.0.2 /30
>これは10.0.0.0/30 の間違えでしょうか?
すいません、その通りです、間違えてました 正しくは10.0.0.0/30です。
>access-list 101 deny tcp host 192.168.1.1 host 192.168.2.1
>access-list 101 deny tcp host 192.168.2.1 host 192.168.1.1
>access-list 101 deny tcp host 192.168.1.1 host 172.16.1.1
>permit ip any any
>これを見ると、tcpを指定してますが、【条件】にある拒否の部分はTCPなのでしょうか?
⇒条件拒否として、パケット全体なのでTCPではないですね、これも誤りです。
全てのパケットとして扱いたいです。
全体的なネットワークのアクセスリストは想像つきますでしょうか?
antares01
投稿数: 690
投稿数: 690
今さらな気もしますが、やはりコンフィグまで作るのはよくなかったですね。消しておきます。
要件が明確になっているなら順に一つずつコンフィグに起こしていってください。
要件が明確になっているなら順に一つずつコンフィグに起こしていってください。
