問題ID: 20249

  • フォーラムは新サイトへ移行しました。
  • このフォーラムではゲスト投稿が禁止されています
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 .3 | 投稿日時 2015-7-12 15:25
koshino  新米 居住地: 東京  投稿数: 3
ACLのin、out方向について教えてください。

この問題20249ではRouterAを間に置き、Fa0/0側にRouterB、Fa1/0側にRouterCがあります。

Fa0/0のin方向にaccess-list 100が適用されています。
interface FastEthernet0/0
 ip access-group 100 in

access-list 100 deny tcp any any eq 23
access-list 100 permit icmp any any echo-reply

この場合、Fa0/0側のRouterBからFa1/0側のRouterCへのtelnetは拒否、pingは許可されます。
逆にRouterCからBにはACLが適用されていないので、すべて通過できるものと思っていましたが、違うのでしょうか?
(RouterAのFa1/0のin、Fa0/0のout方向にはACL適用なし)

問題の解説には、「RouterCからRouterBへのpingはFa0/0のin方向でecho-replyを許可しているため通りますが、RouterBからRouterCへのpingは暗黙のdenyにより拒否されるので通らないことになります。」と記載があります。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-7-12 16:10
antares01  長老   投稿数: 690
引用:
この場合、Fa0/0側のRouterBからFa1/0側のRouterCへのtelnetは拒否、pingは許可されます。

access-list 100 permit icmp any any echo-reply
が許可しているのはリプライなのでPingの応答です。

RouterCがRouterBに向けてうつPingにたいして、
RouterBが応答のために出すパケットはRouterAにINできます。

しかし、RouterBがRouterCに向けてうつPingはecho(リクエスト)は許可されていないので暗黙のdenyで破棄されてRouterAにINできません。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-7-12 16:11
arashi1977  長老 居住地: 広島  投稿数: 1715
記憶にある問題だなぁと思ったら、CCNAのID:12923の問題のACLと同じですね。

以前回答したのが参考になりそうです
http://ping-t.com/modules/forum/index.php?post_id=5628
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-7-12 16:19
koshino  新米 居住地: 東京  投稿数: 3
ご回答ありがとうございます。
echo-replyでpingが通るものと完全に思い込んでいました・・・。

pingのリクエストを通過させるには下記ACLがないとダメだということですね。
access-list 100 permit icmp any any echo

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.