問題ID: 20249
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
問題ID: 20249
msg# 1
koshino
居住地: 東京
投稿数: 3
ACLのin、out方向について教えてください。
この問題20249ではRouterAを間に置き、Fa0/0側にRouterB、Fa1/0側にRouterCがあります。
Fa0/0のin方向にaccess-list 100が適用されています。
interface FastEthernet0/0
ip access-group 100 in
access-list 100 deny tcp any any eq 23
access-list 100 permit icmp any any echo-reply
この場合、Fa0/0側のRouterBからFa1/0側のRouterCへのtelnetは拒否、pingは許可されます。
逆にRouterCからBにはACLが適用されていないので、すべて通過できるものと思っていましたが、違うのでしょうか?
(RouterAのFa1/0のin、Fa0/0のout方向にはACL適用なし)
問題の解説には、「RouterCからRouterBへのpingはFa0/0のin方向でecho-replyを許可しているため通りますが、RouterBからRouterCへのpingは暗黙のdenyにより拒否されるので通らないことになります。」と記載があります。
この問題20249ではRouterAを間に置き、Fa0/0側にRouterB、Fa1/0側にRouterCがあります。
Fa0/0のin方向にaccess-list 100が適用されています。
interface FastEthernet0/0
ip access-group 100 in
access-list 100 deny tcp any any eq 23
access-list 100 permit icmp any any echo-reply
この場合、Fa0/0側のRouterBからFa1/0側のRouterCへのtelnetは拒否、pingは許可されます。
逆にRouterCからBにはACLが適用されていないので、すべて通過できるものと思っていましたが、違うのでしょうか?
(RouterAのFa1/0のin、Fa0/0のout方向にはACL適用なし)
問題の解説には、「RouterCからRouterBへのpingはFa0/0のin方向でecho-replyを許可しているため通りますが、RouterBからRouterCへのpingは暗黙のdenyにより拒否されるので通らないことになります。」と記載があります。
Re: 問題ID: 20249
msg# 1.1
antares01
投稿数: 690
引用:
access-list 100 permit icmp any any echo-reply
が許可しているのはリプライなのでPingの応答です。
RouterCがRouterBに向けてうつPingにたいして、
RouterBが応答のために出すパケットはRouterAにINできます。
しかし、RouterBがRouterCに向けてうつPingはecho(リクエスト)は許可されていないので暗黙のdenyで破棄されてRouterAにINできません。
この場合、Fa0/0側のRouterBからFa1/0側のRouterCへのtelnetは拒否、pingは許可されます。
access-list 100 permit icmp any any echo-reply
が許可しているのはリプライなのでPingの応答です。
RouterCがRouterBに向けてうつPingにたいして、
RouterBが応答のために出すパケットはRouterAにINできます。
しかし、RouterBがRouterCに向けてうつPingはecho(リクエスト)は許可されていないので暗黙のdenyで破棄されてRouterAにINできません。
Re: 問題ID: 20249
msg# 1.2
arashi1977
居住地: 広島
投稿数: 1715
記憶にある問題だなぁと思ったら、CCNAのID:12923の問題のACLと同じですね。
以前回答したのが参考になりそうです
http://ping-t.com/modules/forum/index.php?post_id=5628
以前回答したのが参考になりそうです
http://ping-t.com/modules/forum/index.php?post_id=5628
Re: 問題ID: 20249
msg# 1.3
koshino
居住地: 東京
投稿数: 3
ご回答ありがとうございます。
echo-replyでpingが通るものと完全に思い込んでいました・・・。
pingのリクエストを通過させるには下記ACLがないとダメだということですね。
access-list 100 permit icmp any any echo
echo-replyでpingが通るものと完全に思い込んでいました・・・。
pingのリクエストを通過させるには下記ACLがないとダメだということですね。
access-list 100 permit icmp any any echo