19473

  • フォーラムは新サイトへ移行しました。
  • このフォーラムではゲスト投稿が禁止されています

質問 19473

msg# 1
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 .3 | 投稿日時 2015-7-22 15:29
Pnt353_298  新米   投稿数: 3
前提Configとして下記の設定がなされており、

(config)#access-list 10 permit host 10.1.1.0
(config)#router ospf 1
(config)#distance 64 172.16.2.2 0.0.0.0 10

解説として下記の記載があります。

「(config-router)#distance」はAD値を変更するコマンドです。
設問の設定の場合、RC(172.16.2.2)から受信したルート情報のうち、ACL番号「10」に一致する10.1.1.0のAD値を「64」に変更します。

この時、標準ACL10で指定しているのは「host 10.1.1.0」であり、これは「10.1.1.0 0.0.0.0」と同義です。

本問題はルーティングアップアップデートをフィルタリングする際のコマンドで、対象となるネットワーク(ルータ172.16.2.2が保持しているルーティング情報)は「10.1.1.0/24」です。
この場合、ACL10で指定すべきソースアドレスは「10.1.1.0 0.0.0.255」が適切ではないでしょうか。

私の解釈に誤りがありましたら、ご指摘いただければ幸いです。
よろしくお願いいたします。

なし Re: 19473

msg# 1.1
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-22 17:24 | 最終変更
arashi1977  長老 居住地: 広島  投稿数: 1715
前提としてなのですが、この時のACLがパケットフィルタリングとは挙動が異なるというのはご存知でしょうか?
access-listはあくまでmatchする条件を設定するものです。

ではどこにマッチしてるの?って話なんですが、ルーティングテーブル上のエントリではなく、OSPF Database上のエントリにマッチしてるんですね。OSPF Databse上はこう見えます。
RB#show ip ospf database router 172.16.2.2

            OSPF Router with ID (172.16.1.2) (Process ID 1)

		Router Link States (Area 0)

  LS age: 70
  Options: (No TOS-capability, DC)
  LS Type: Router Links
  Link State ID: 172.16.2.2
  Advertising Router: 172.16.2.2
  LS Seq Number: 80000001
  Checksum: 0x96D
  Length: 84
  Number of Links: 5

    Link connected to: another Router (point-to-point)
     (Link ID) Neighboring Router ID: 172.16.1.2
     (Link Data) Router Interface address: 172.16.2.2
      Number of TOS metrics: 0
       TOS 0 Metrics: 10

    Link connected to: a Stub Network
     (Link ID) Network/subnet number: 172.16.2.0
     (Link Data) Network Mask: 255.255.255.0
      Number of TOS metrics: 0
       TOS 0 Metrics: 10

    Link connected to: a Stub Network
     (Link ID) Network/subnet number: 10.2.1.0
     (Link Data) Network Mask: 255.255.255.0
      Number of TOS metrics: 0
       TOS 0 Metrics: 1

    Link connected to: a Stub Network
     (Link ID) Network/subnet number: 10.1.1.128
     (Link Data) Network Mask: 255.255.255.128
      Number of TOS metrics: 0
       TOS 0 Metrics: 1

    Link connected to: a Stub Network
     (Link ID) Network/subnet number: 10.1.1.0
     (Link Data) Network Mask: 255.255.255.128
      Number of TOS metrics: 0
       TOS 0 Metrics: 1
検証のためにわざと10.1.1.0/25と10.1.1.128/25を作ってますが、access-listにマッチするのは10.1.1.0/25です。Link IDが10.1.1.0ですから。

実際、access-list 10の利用状況からも期待するものがmatchしていることがわかります。
RB#show ip access-list
Standard IP access list 10
    10 permit 10.1.1.0 (1 match)
なので、ルーティングテーブルでも10.1.1.0/25だけがAD:64になります。
RB#sh ip ro os
     10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O       10.2.1.0/24 [110/11] via 172.16.2.2, 00:00:11, FastEthernet0/1
O       10.1.1.0/25 [64/11] via 172.16.2.2, 00:00:11, FastEthernet0/1
O       10.1.1.128/25 [110/11] via 172.16.2.2, 00:00:11, FastEthernet0/1
O    192.168.1.0/24 [110/11] via 172.16.1.1, 00:00:11, FastEthernet0/0

検証に使ったコンフィグは以下のものですので、よければ使って試してみてください
RA:
interface Loopback0
 ip address 192.168.1.1 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0
interface FastEthernet0/0
 ip address 172.16.1.1 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0
 no shutdown

RB:
interface FastEthernet0/0
 ip address 172.16.1.2 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0
 no shutdown
interface FastEthernet0/1
 ip address 172.16.2.1 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0
 no shutdown
router ospf 1
 distance 64 172.16.2.2 0.0.0.0 10
access-list 10 permit 10.1.1.0

RC:
interface Loopback0
 ip address 10.1.1.3 255.255.255.128
 ip ospf network point-to-point
 ip ospf 1 area 0
interface Loopback1
 ip address 10.1.1.130 255.255.255.128
 ip ospf network point-to-point
 ip ospf 1 area 0
interface Loopback2
 ip address 10.2.1.3 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0
interface FastEthernet0/0
 ip address 172.16.2.2 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0
 no shutdown
router ospf 1
 router-id 172.16.2.2

なし Re: 19473

msg# 1.1.1
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-7-22 17:37
arashi1977  長老 居住地: 広島  投稿数: 1715
補足です。

Pnt353_298さんの考えたACLを上記の環境に適用するとこうなります。ワイルドカードマスクで10.1.1.0-10.1.1.255までを対象としてるので、10.1.1.128 がマッチするというのがお分かりいただけるかと思います
RB#show ip access-list
Standard IP access list 10
    10 permit 10.1.1.0, wildcard bits 0.0.0.255 (2 matches)
RB#show ip route ospf
     10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O       10.2.1.0/24 [110/11] via 172.16.2.2, 00:00:36, FastEthernet0/1
O       10.1.1.0/25 [64/11] via 172.16.2.2, 00:00:36, FastEthernet0/1
O       10.1.1.128/25 [64/11] via 172.16.2.2, 00:00:36, FastEthernet0/1
O    192.168.1.0/24 [110/11] via 172.16.1.1, 00:00:36, FastEthernet0/0

なし Re: 19473

msg# 1.2
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-22 17:55
Pnt353_298  新米   投稿数: 3
arashi1977さん

丁寧な解説ありがとうございます。
ルーティングテーブルではなくLSDBを参照する所については私の認識が誤っておりました。

しかし、申し訳ないのですが検証いただいた内容など確認させていただいた上でも問題中のACL10のソースアドレスを”host”で指定しているかが理解できません。

該当するアドレスが含まれるルート情報を対象にする、という解釈をすればよいのでしょうか。。。

大変畏れ入りますが、ご教示いただけましたら幸いです。

なし Re: 19473

msg# 1.2.1
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-7-22 18:37
arashi1977  長老 居住地: 広島  投稿数: 1715
挙動としては把握してるのですが、確証が持てなかったので確認のために調べてみました。

ただ、英語の情報でしかcisco公式情報が見つからなかったので…

Cisco IOS Security Command Reference: Commands A to C - aaa max-sessions through algorithm [Support] - Cisco
access-list (IP standard)

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/a1/sec-a1-cr-book/sec-cr-a2.html#wp3101028446
引用:
access-list (IP standard)
To define a standard IP access list, use the s tandard version of the access-list command in global configuration mode. To remove a standard access list, use the no form of this command.

access-list access-list-number { deny | permit } source [source-wildcard] [ log [word] ]
コマンド書式にhostキーワードが無いです。指定する意味がないのかなぁ…
※IOS 12.4T上では表示されました。ねんのため
RB#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
RB(config)#access-list 11 ?
  deny    Specify packets to reject
  permit  Specify packets to forward
  remark  Access list entry comment

RB(config)#access-list 11 perm ?
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address
引用:
source-wildcard
(Optional) Wildcard bits to be applied to the source.
source-wildcard部はオプション扱いになってます。指定しなかったらどうなるんだろう?
引用:
Examples
(略)
To specify a large number of individual addresses more easily, you can omit the wildcard if it is all zeros. Thus, the following two configuration commands are identical in effect:
(意訳)
大量の個別のアドレス指定を簡略化するために、全て0のワイルドカード(=hostキーワード)指定を省略できます。ですので、以下の2つのコマンドは機能的に同じものとなります:
access-list 2 permit 10.48.0.3
access-list 2 permit 10.48.0.3 0.0.0.0
聞きました奥さん?
hostキーワードや0.0.0.0のワイルドカード指定がいらないんですって!

試してみました
R2#sh ip access-list
Standard IP access list 10
    10 permit 10.1.1.0
R2#sh run | i access-list
access-list 10 permit 10.1.1.0
R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#no access-list 10 permit 10.1.1.0
R2(config)#access-list 10 permit host 10.1.1.0
R2(config)#end
R2#
*Mar  1 00:02:13.763: %SYS-5-CONFIG_I: Configured from console by console
R2#sh ip access-list
Standard IP access list 10
    10 permit 10.1.1.0
R2#sh run | i access-list
access-list 10 permit 10.1.1.0
あー、削られちゃうんですねぇ…

てことで
・標準ACLではhostキーワードを指定しなくても指定されたのと挙動は同じ
・distanceコマンドで指定するのは標準ACLなので、hostキーワードがあってもなくても同じこと
・指定したACLにマッチするかどうかは、指定したネットワークと同じLink IDかがポイント
・ネットマスクのつもりでワイルドカード指定すると、その範囲にマッチするネットワークアドレスが全てマッチする事になる

ってところでしょうか

なし Re: 19473

msg# 1.3
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-7-22 19:30
Pnt353_298  新米   投稿数: 3
arashi1977さん


hostキーワードの有無については私も目から鱗でした。。。

設問の場合は/24でACL10を作っても問題なさそうですが、arashi1977さんの検証環境のように他のネットワークを巻き込む可能性があるという事を今後気を付けようと思います。

度々の迅速な回答・解説誠にありがとうございます!
今後もよろしくお願いいたします。

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.