19473
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
19473
msg# 1
Pnt353_298
投稿数: 3
前提Configとして下記の設定がなされており、
(config)#access-list 10 permit host 10.1.1.0
(config)#router ospf 1
(config)#distance 64 172.16.2.2 0.0.0.0 10
解説として下記の記載があります。
「(config-router)#distance」はAD値を変更するコマンドです。
設問の設定の場合、RC(172.16.2.2)から受信したルート情報のうち、ACL番号「10」に一致する10.1.1.0のAD値を「64」に変更します。
この時、標準ACL10で指定しているのは「host 10.1.1.0」であり、これは「10.1.1.0 0.0.0.0」と同義です。
本問題はルーティングアップアップデートをフィルタリングする際のコマンドで、対象となるネットワーク(ルータ172.16.2.2が保持しているルーティング情報)は「10.1.1.0/24」です。
この場合、ACL10で指定すべきソースアドレスは「10.1.1.0 0.0.0.255」が適切ではないでしょうか。
私の解釈に誤りがありましたら、ご指摘いただければ幸いです。
よろしくお願いいたします。
(config)#access-list 10 permit host 10.1.1.0
(config)#router ospf 1
(config)#distance 64 172.16.2.2 0.0.0.0 10
解説として下記の記載があります。
「(config-router)#distance」はAD値を変更するコマンドです。
設問の設定の場合、RC(172.16.2.2)から受信したルート情報のうち、ACL番号「10」に一致する10.1.1.0のAD値を「64」に変更します。
この時、標準ACL10で指定しているのは「host 10.1.1.0」であり、これは「10.1.1.0 0.0.0.0」と同義です。
本問題はルーティングアップアップデートをフィルタリングする際のコマンドで、対象となるネットワーク(ルータ172.16.2.2が保持しているルーティング情報)は「10.1.1.0/24」です。
この場合、ACL10で指定すべきソースアドレスは「10.1.1.0 0.0.0.255」が適切ではないでしょうか。
私の解釈に誤りがありましたら、ご指摘いただければ幸いです。
よろしくお願いいたします。
Re: 19473
msg# 1.1
arashi1977
居住地: 広島
投稿数: 1715
前提としてなのですが、この時のACLがパケットフィルタリングとは挙動が異なるというのはご存知でしょうか?
access-listはあくまでmatchする条件を設定するものです。
ではどこにマッチしてるの?って話なんですが、ルーティングテーブル上のエントリではなく、OSPF Database上のエントリにマッチしてるんですね。OSPF Databse上はこう見えます。
検証のためにわざと10.1.1.0/25と10.1.1.128/25を作ってますが、access-listにマッチするのは10.1.1.0/25です。Link IDが10.1.1.0ですから。
実際、access-list 10の利用状況からも期待するものがmatchしていることがわかります。
なので、ルーティングテーブルでも10.1.1.0/25だけがAD:64になります。
検証に使ったコンフィグは以下のものですので、よければ使って試してみてください
RA:
RB:
RC:
access-listはあくまでmatchする条件を設定するものです。
ではどこにマッチしてるの?って話なんですが、ルーティングテーブル上のエントリではなく、OSPF Database上のエントリにマッチしてるんですね。OSPF Databse上はこう見えます。
RB#show ip ospf database router 172.16.2.2
OSPF Router with ID (172.16.1.2) (Process ID 1)
Router Link States (Area 0)
LS age: 70
Options: (No TOS-capability, DC)
LS Type: Router Links
Link State ID: 172.16.2.2
Advertising Router: 172.16.2.2
LS Seq Number: 80000001
Checksum: 0x96D
Length: 84
Number of Links: 5
Link connected to: another Router (point-to-point)
(Link ID) Neighboring Router ID: 172.16.1.2
(Link Data) Router Interface address: 172.16.2.2
Number of TOS metrics: 0
TOS 0 Metrics: 10
Link connected to: a Stub Network
(Link ID) Network/subnet number: 172.16.2.0
(Link Data) Network Mask: 255.255.255.0
Number of TOS metrics: 0
TOS 0 Metrics: 10
Link connected to: a Stub Network
(Link ID) Network/subnet number: 10.2.1.0
(Link Data) Network Mask: 255.255.255.0
Number of TOS metrics: 0
TOS 0 Metrics: 1
Link connected to: a Stub Network
(Link ID) Network/subnet number: 10.1.1.128
(Link Data) Network Mask: 255.255.255.128
Number of TOS metrics: 0
TOS 0 Metrics: 1
Link connected to: a Stub Network
(Link ID) Network/subnet number: 10.1.1.0
(Link Data) Network Mask: 255.255.255.128
Number of TOS metrics: 0
TOS 0 Metrics: 1
実際、access-list 10の利用状況からも期待するものがmatchしていることがわかります。
RB#show ip access-list
Standard IP access list 10
10 permit 10.1.1.0 (1 match)
RB#sh ip ro os
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O 10.2.1.0/24 [110/11] via 172.16.2.2, 00:00:11, FastEthernet0/1
O 10.1.1.0/25 [64/11] via 172.16.2.2, 00:00:11, FastEthernet0/1
O 10.1.1.128/25 [110/11] via 172.16.2.2, 00:00:11, FastEthernet0/1
O 192.168.1.0/24 [110/11] via 172.16.1.1, 00:00:11, FastEthernet0/0
検証に使ったコンフィグは以下のものですので、よければ使って試してみてください
RA:
interface Loopback0
ip address 192.168.1.1 255.255.255.0
ip ospf network point-to-point
ip ospf 1 area 0
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
ip ospf network point-to-point
ip ospf 1 area 0
no shutdown
RB:
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
ip ospf network point-to-point
ip ospf 1 area 0
no shutdown
interface FastEthernet0/1
ip address 172.16.2.1 255.255.255.0
ip ospf network point-to-point
ip ospf 1 area 0
no shutdown
router ospf 1
distance 64 172.16.2.2 0.0.0.0 10
access-list 10 permit 10.1.1.0
RC:
interface Loopback0
ip address 10.1.1.3 255.255.255.128
ip ospf network point-to-point
ip ospf 1 area 0
interface Loopback1
ip address 10.1.1.130 255.255.255.128
ip ospf network point-to-point
ip ospf 1 area 0
interface Loopback2
ip address 10.2.1.3 255.255.255.0
ip ospf network point-to-point
ip ospf 1 area 0
interface FastEthernet0/0
ip address 172.16.2.2 255.255.255.0
ip ospf network point-to-point
ip ospf 1 area 0
no shutdown
router ospf 1
router-id 172.16.2.2
Re: 19473
msg# 1.1.1
arashi1977
居住地: 広島
投稿数: 1715
補足です。
Pnt353_298さんの考えたACLを上記の環境に適用するとこうなります。ワイルドカードマスクで10.1.1.0-10.1.1.255までを対象としてるので、10.1.1.128 がマッチするというのがお分かりいただけるかと思います
Pnt353_298さんの考えたACLを上記の環境に適用するとこうなります。ワイルドカードマスクで10.1.1.0-10.1.1.255までを対象としてるので、10.1.1.128 がマッチするというのがお分かりいただけるかと思います
RB#show ip access-list
Standard IP access list 10
10 permit 10.1.1.0, wildcard bits 0.0.0.255 (2 matches)
RB#show ip route ospf
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O 10.2.1.0/24 [110/11] via 172.16.2.2, 00:00:36, FastEthernet0/1
O 10.1.1.0/25 [64/11] via 172.16.2.2, 00:00:36, FastEthernet0/1
O 10.1.1.128/25 [64/11] via 172.16.2.2, 00:00:36, FastEthernet0/1
O 192.168.1.0/24 [110/11] via 172.16.1.1, 00:00:36, FastEthernet0/0
Re: 19473
msg# 1.2
Pnt353_298
投稿数: 3
arashi1977さん
丁寧な解説ありがとうございます。
ルーティングテーブルではなくLSDBを参照する所については私の認識が誤っておりました。
しかし、申し訳ないのですが検証いただいた内容など確認させていただいた上でも問題中のACL10のソースアドレスを”host”で指定しているかが理解できません。
該当するアドレスが含まれるルート情報を対象にする、という解釈をすればよいのでしょうか。。。
大変畏れ入りますが、ご教示いただけましたら幸いです。
丁寧な解説ありがとうございます。
ルーティングテーブルではなくLSDBを参照する所については私の認識が誤っておりました。
しかし、申し訳ないのですが検証いただいた内容など確認させていただいた上でも問題中のACL10のソースアドレスを”host”で指定しているかが理解できません。
該当するアドレスが含まれるルート情報を対象にする、という解釈をすればよいのでしょうか。。。
大変畏れ入りますが、ご教示いただけましたら幸いです。
Re: 19473
msg# 1.2.1
arashi1977
居住地: 広島
投稿数: 1715
挙動としては把握してるのですが、確証が持てなかったので確認のために調べてみました。
ただ、英語の情報でしかcisco公式情報が見つからなかったので…
Cisco IOS Security Command Reference: Commands A to C - aaa max-sessions through algorithm [Support] - Cisco
access-list (IP standard)
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/a1/sec-a1-cr-book/sec-cr-a2.html#wp3101028446
引用:コマンド書式にhostキーワードが無いです。指定する意味がないのかなぁ…
※IOS 12.4T上では表示されました。ねんのため
引用:source-wildcard部はオプション扱いになってます。指定しなかったらどうなるんだろう?
引用:聞きました奥さん?
hostキーワードや0.0.0.0のワイルドカード指定がいらないんですって!
試してみました
あー、削られちゃうんですねぇ…
てことで
・標準ACLではhostキーワードを指定しなくても指定されたのと挙動は同じ
・distanceコマンドで指定するのは標準ACLなので、hostキーワードがあってもなくても同じこと
・指定したACLにマッチするかどうかは、指定したネットワークと同じLink IDかがポイント
・ネットマスクのつもりでワイルドカード指定すると、その範囲にマッチするネットワークアドレスが全てマッチする事になる
ってところでしょうか
ただ、英語の情報でしかcisco公式情報が見つからなかったので…
Cisco IOS Security Command Reference: Commands A to C - aaa max-sessions through algorithm [Support] - Cisco
access-list (IP standard)
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/a1/sec-a1-cr-book/sec-cr-a2.html#wp3101028446
引用:
access-list (IP standard)
To define a standard IP access list, use the s tandard version of the access-list command in global configuration mode. To remove a standard access list, use the no form of this command.
access-list access-list-number { deny | permit } source [source-wildcard] [ log [word] ]
※IOS 12.4T上では表示されました。ねんのため
RB#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RB(config)#access-list 11 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
RB(config)#access-list 11 perm ?
Hostname or A.B.C.D Address to match
any Any source host
host A single host address
source-wildcard
(Optional) Wildcard bits to be applied to the source.
引用:
Examples
(略)
To specify a large number of individual addresses more easily, you can omit the wildcard if it is all zeros. Thus, the following two configuration commands are identical in effect:
(意訳)
大量の個別のアドレス指定を簡略化するために、全て0のワイルドカード(=hostキーワード)指定を省略できます。ですので、以下の2つのコマンドは機能的に同じものとなります:
access-list 2 permit 10.48.0.3
access-list 2 permit 10.48.0.3 0.0.0.0
hostキーワードや0.0.0.0のワイルドカード指定がいらないんですって!
試してみました
R2#sh ip access-list
Standard IP access list 10
10 permit 10.1.1.0
R2#sh run | i access-list
access-list 10 permit 10.1.1.0
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#no access-list 10 permit 10.1.1.0
R2(config)#access-list 10 permit host 10.1.1.0
R2(config)#end
R2#
*Mar 1 00:02:13.763: %SYS-5-CONFIG_I: Configured from console by console
R2#sh ip access-list
Standard IP access list 10
10 permit 10.1.1.0
R2#sh run | i access-list
access-list 10 permit 10.1.1.0
てことで
・標準ACLではhostキーワードを指定しなくても指定されたのと挙動は同じ
・distanceコマンドで指定するのは標準ACLなので、hostキーワードがあってもなくても同じこと
・指定したACLにマッチするかどうかは、指定したネットワークと同じLink IDかがポイント
・ネットマスクのつもりでワイルドカード指定すると、その範囲にマッチするネットワークアドレスが全てマッチする事になる
ってところでしょうか
Re: 19473
msg# 1.3
Pnt353_298
投稿数: 3
arashi1977さん
hostキーワードの有無については私も目から鱗でした。。。
設問の場合は/24でACL10を作っても問題なさそうですが、arashi1977さんの検証環境のように他のネットワークを巻き込む可能性があるという事を今後気を付けようと思います。
度々の迅速な回答・解説誠にありがとうございます!
今後もよろしくお願いいたします。
hostキーワードの有無については私も目から鱗でした。。。
設問の場合は/24でACL10を作っても問題なさそうですが、arashi1977さんの検証環境のように他のネットワークを巻き込む可能性があるという事を今後気を付けようと思います。
度々の迅速な回答・解説誠にありがとうございます!
今後もよろしくお願いいたします。