今更ですが...
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
今更ですが...
msg# 1
ゲスト
投稿数: 0
今更ですが質問です。
L3SWの interface vlanにRACLをinの方向に設定する際
同一セグメントにpermitを設定しなければ、同一セグメント内での
通信はできないのでしょうか。
大変申し訳ありませんが、よろしくお願いします。
L3SWの interface vlanにRACLをinの方向に設定する際
同一セグメントにpermitを設定しなければ、同一セグメント内での
通信はできないのでしょうか。
大変申し訳ありませんが、よろしくお願いします。
Re: 今更ですが...
msg# 1.1
ゲスト
投稿数: 0
こういうイメージであってますか?
これで、Fa0/1同士を接続したSW1とSW2ではこうなります。
ACLに通したいものを追加したらちゃんと通ります。
ルータと同じことですね 
SW1#show running-config interface fa0/1
Building configuration...
Current configuration : 59 bytes
!
interface FastEthernet0/1
switchport access vlan 5
end
SW1#show running-config interface vlan5
Building configuration...
Current configuration : 83 bytes
!
interface Vlan5
ip address 192.168.1.1 255.255.255.0
ip access-group 1 in
end
SW1#show ip access-lists
Standard IP access list 1
10 permit 192.168.10.0, wildcard bits 0.0.0.255
SW2#show ip interface brief fa0/1
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 192.168.1.2 YES manual up up
SW2#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
SW1#show ip access-lists
Standard IP access list 1
10 permit 192.168.10.0, wildcard bits 0.0.0.255
20 permit 192.168.1.0, wildcard bits 0.0.0.255
SW2#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms
SW1#show ip access-lists
Standard IP access list 1
10 permit 192.168.10.0, wildcard bits 0.0.0.255
20 permit 192.168.1.0, wildcard bits 0.0.0.255 (5 matches)
Re: 今更ですが...
msg# 1.2
ゲスト
投稿数: 0
ご返信いただきありがとうございます。
必要でしたか、ずっと勘違いしてました...
助かりました。ありがとうございます。
必要でしたか、ずっと勘違いしてました...
助かりました。ありがとうございます。
Re: 今更ですが...
msg# 1.3
ゲスト
投稿数: 0
rokubusyuu さんの質問は例えば、
・PC1(192.168.0.1) と PC2(192.168.0.2) がL3SWに接続、各ポートは同一VLAN
・L3SWにVLANインタフェースを作成、このVLANインタフェースのIPアドレス(192.168.0.254)はPC1とPC2のデフォルトGW
・ACLをVLANインタフェースにINで適用
この時にPC1とPC2が通信するのにACLにpermit エントリが必要かと
言う意味かと思ったのですが、違いますでしょうか?
私の理解が正しければ、PC1とPC2の通信であれば、ACLにpermitは不要です。
各PCがVLANインタフェース(デフォルトGW)や、他VLANに通信するのであれば
arashi1977 さんの回答どおり、permitが必要です。
こんな感じです。
・PC1(192.168.0.1) と PC2(192.168.0.2) がL3SWに接続、各ポートは同一VLAN
・L3SWにVLANインタフェースを作成、このVLANインタフェースのIPアドレス(192.168.0.254)はPC1とPC2のデフォルトGW
・ACLをVLANインタフェースにINで適用
この時にPC1とPC2が通信するのにACLにpermit エントリが必要かと
言う意味かと思ったのですが、違いますでしょうか?
私の理解が正しければ、PC1とPC2の通信であれば、ACLにpermitは不要です。
各PCがVLANインタフェース(デフォルトGW)や、他VLANに通信するのであれば
arashi1977 さんの回答どおり、permitが必要です。
こんな感じです。
Switch#sh ip int b | inc up
Vlan10 192.168.0.254 YES manual up up
FastEthernet1/0/1 unassigned YES unset up up
FastEthernet1/0/2 unassigned YES unset up up
Switch#
Switch#sh vlan b
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/0/3, Fa1/0/4, Fa1/0/5
Fa1/0/6, Fa1/0/7, Fa1/0/8
Fa1/0/9, Fa1/0/10, Fa1/0/11
Fa1/0/12, Fa1/0/13, Fa1/0/14
Fa1/0/15, Fa1/0/16, Fa1/0/17
Fa1/0/18, Fa1/0/19, Fa1/0/20
Fa1/0/21, Fa1/0/22, Fa1/0/23
Fa1/0/24, Gi1/0/1, Gi1/0/2
10 VLAN0010 active Fa1/0/1, Fa1/0/2
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Switch#
Switch#sh access-list 1
Standard IP access list 1
10 deny any
Switch#
Switch#sh access-list 1
Standard IP access list 1
10 deny any (5 matches)
Switch#
PC1#ping 192.168.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/9 ms
PC1#ping 192.168.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/9 ms
PC1#ping 192.168.0.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.254, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
PC1#
Re: 今更ですが...
msg# 1.2.1
ゲスト
投稿数: 0
今回の疑問に関連するか分かりませんが、
http://www.cisco.com/cisco/web/support/JP/100/1008/1008335_5-j.html
のような資料があります。この資料はNATについての資料ですが、中にはINとOUTで複数の機能があった場合にどういった順序で実行されるのかが書いてあります。
http://www.cisco.com/cisco/web/support/JP/100/1008/1008335_5-j.html
のような資料があります。この資料はNATについての資料ですが、中にはINとOUTで複数の機能があった場合にどういった順序で実行されるのかが書いてあります。
Re: 今更ですが...
msg# 1.3.1
ゲスト
投稿数: 0
引用:「同一セグメント=レイヤ2」の通信、という意味だったらそうですよね。SVIの話やRACLって話があったので、てっきりL3SW(=当該セグメントのGW)向けのトラフィックの話だと思ってました 
思い込みいくない… orz
この時にPC1とPC2が通信するのにACLにpermit エントリが必要かと
言う意味かと思ったのですが、違いますでしょうか?
思い込みいくない… orz
Re: 今更ですが...
msg# 1.5
ゲスト
投稿数: 0
>・PC1(192.168.0.1) と PC2(192.168.0.2) がL3SWに接続、各ポートは同一VLAN
>・L3SWにVLANインタフェースを作成、このVLANインタフェースのIPアドレス(192.168.0.254)はPC1とPC2のデフォルトGW
>・ACLをVLANインタフェースにINで適用
>
>この時にPC1とPC2が通信するのにACLにpermit エントリが必要かと
>言う意味かと思ったのですが、違いますでしょうか?
上記ご認識のとおりです。
RACLの場合は、セグメント越えとDGWへの通信の際には、permitが必要。同一セグメント内であれば不要との認識でよろしいでしょうか?
>・L3SWにVLANインタフェースを作成、このVLANインタフェースのIPアドレス(192.168.0.254)はPC1とPC2のデフォルトGW
>・ACLをVLANインタフェースにINで適用
>
>この時にPC1とPC2が通信するのにACLにpermit エントリが必要かと
>言う意味かと思ったのですが、違いますでしょうか?
上記ご認識のとおりです。
RACLの場合は、セグメント越えとDGWへの通信の際には、permitが必要。同一セグメント内であれば不要との認識でよろしいでしょうか?
Re: 今更ですが...
msg# 1.5.1
ゲスト
投稿数: 0
引用:RACLの場合は、という時点でレイヤ3に関するACL(フィルタリング)ですよね?
「同一セグメント内」というのが「同一VLANに所属するノード間の通信」という意味であれば、それはレイヤ2での通信になりますからVLANインタフェース(レイヤ3)でのフィルタリング対象外です。
なので、antares01さんの指摘通りですね
RACLの場合は、セグメント越えとDGWへの通信の際には、permitが必要。同一セグメント内であれば不要との認識でよろしいでしょうか?
「同一セグメント内」というのが「同一VLANに所属するノード間の通信」という意味であれば、それはレイヤ2での通信になりますからVLANインタフェース(レイヤ3)でのフィルタリング対象外です。
なので、antares01さんの指摘通りですね
Re: 今更ですが...
msg# 1.6
ゲスト
投稿数: 0
やはり同一セグメントでは、いらないですよね。
antares01さん、arashi1977さん。
ご回答頂きありがとうございます。
antares01さん、arashi1977さん。
ご回答頂きありがとうございます。
