access-listについて
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
magna250
投稿数: 12
投稿数: 12
access-listについて質問があります。
以下のようなワイルドカードマスクが設定されていない
access-listはどの範囲を許可するaccess-listなのでしょうか?
ip access-list standard XXXXX
permit 172.19.0.0
ワイルドカードマスクが設定されていない場合は
ホストアドレスでのpermitとなると思っています。
例えば"permit 172.19.1.1"だったら問題ないのですが、
"permit 172.19.0.0"ですと、そのようなホストアドレスは
ないかと思います。(あるかもしれませんが、当方が業務で携わっている環境では使用されていないと思われます。)
それとも、この場合もpermitされる範囲は
「172.19.0.0 〜 172.19.255.255」となるのでしょうか?
以下のようなワイルドカードマスクが設定されていない
access-listはどの範囲を許可するaccess-listなのでしょうか?
ip access-list standard XXXXX
permit 172.19.0.0
ワイルドカードマスクが設定されていない場合は
ホストアドレスでのpermitとなると思っています。
例えば"permit 172.19.1.1"だったら問題ないのですが、
"permit 172.19.0.0"ですと、そのようなホストアドレスは
ないかと思います。(あるかもしれませんが、当方が業務で携わっている環境では使用されていないと思われます。)
それとも、この場合もpermitされる範囲は
「172.19.0.0 〜 172.19.255.255」となるのでしょうか?
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:172.18.0.0/15(172.18.0.1〜172.19.255.255)ならあり得るホストアドレスですよ 
以下のようなワイルドカードマスクが設定されていない
access-listはどの範囲を許可するaccess-listなのでしょうか?
ip access-list standard XXXXX
permit 172.19.0.0
ワイルドカードマスクが設定されていない場合は
ホストアドレスでのpermitとなると思っています。
例えば"permit 172.19.1.1"だったら問題ないのですが、
"permit 172.19.0.0"ですと、そのようなホストアドレスは
ないかと思います。
magna250
投稿数: 12
投稿数: 12
確かに有り得ますね。。
失礼いたしました。
では"permit 172.19.0.0"ですと、"172.19.0.0"の
ホストアドレスのみのpermitとなりますよね?
失礼いたしました。
では"permit 172.19.0.0"ですと、"172.19.0.0"の
ホストアドレスのみのpermitとなりますよね?
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
コマンドリファレンスでもそのように例示されていますね。
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/a1/sec-a1-cr-book/sec-cr-a2.html#wp3101028446
引用:
実際にFa0/0同士で接続した2台のルータを以下のように設定して確認しました。
で、172.19.0.0と172.19.0.1から192.168.1.2にpingを打つと、それぞれ以下の結果が得られます。
なお、アクセスリストの適用を解除するとちゃんと応答が返るようになります。
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/a1/sec-a1-cr-book/sec-cr-a2.html#wp3101028446
引用:
Examples
(略)
To specify a large number of individual addresses more easily, you can omit the wildcard if it is all zeros. Thus, the following two configuration commands are identical in effect:
(意訳)
たくさんの個別のアドレスをかんたんに登録できるよう、全部ゼロのワイルドカードマスク(注:hostキーワードを指定した場合と同じ)は省略可能です。なので、以下の2行は同じ結果が得られます。
access-list 2 permit 10.48.0.3
access-list 2 permit 10.48.0.3 0.0.0.0
実際にFa0/0同士で接続した2台のルータを以下のように設定して確認しました。
R1:
interface Loopback0
ip address 172.19.0.1 255.254.0.0 secondary
ip address 172.19.0.0 255.254.0.0
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
R2:
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
ip access-group 1 in
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
access-list 1 deny 172.19.0.0
access-list 1 permit any
R1#ping 192.168.1.2 source 172.19.0.0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
Packet sent with a source address of 172.19.0.0
UUUUU
Success rate is 0 percent (0/5)
R2#show access-lists
Standard IP access list 1
10 deny 172.19.0.0 (15 matches)
20 permit any
R1#ping 192.168.1.2 source 172.19.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
Packet sent with a source address of 172.19.0.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/20/24 ms
R2#show access-lists
Standard IP access list 1
10 deny 172.19.0.0 (15 matches)
20 permit any (5 matches)
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#int fa0/0
R2(config-if)#no ip access 1 in
R2(config-if)#end
R2#
*Mar 1 00:13:12.643: %SYS-5-CONFIG_I: Configured from console by console
R1#ping 192.168.1.2 source 172.19.0.0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
Packet sent with a source address of 172.19.0.0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/20/24 ms
antares01
投稿数: 690
投稿数: 690
もしご存じであれば読み捨ててください。
magna250さんが使われているホストアドレスの意味がPCやサーバなどに設定するアドレスのことをホストアドレスと言われているのであれば、少し違っていて、wildmask 無しはhostキーワードや0.0.0.0 を省略しているだけなので必ずしも端末に設定するようなアドレスでなくてもOKです。
アクセスリストは端末が送受信するパケットを許可/破棄する以外に、ルーティング情報を送受信する/しないといった用途でも使えます。0.0.0.0は必ずしもホストアドレスを指定するためのwildmaskではありません。
CCNAでアクセスリストがどこまで学習範囲か分かりませんが、興味があればアクセスリストの用途について調べてみてください。
magna250さんが使われているホストアドレスの意味がPCやサーバなどに設定するアドレスのことをホストアドレスと言われているのであれば、少し違っていて、wildmask 無しはhostキーワードや0.0.0.0 を省略しているだけなので必ずしも端末に設定するようなアドレスでなくてもOKです。
アクセスリストは端末が送受信するパケットを許可/破棄する以外に、ルーティング情報を送受信する/しないといった用途でも使えます。0.0.0.0は必ずしもホストアドレスを指定するためのwildmaskではありません。
CCNAでアクセスリストがどこまで学習範囲か分かりませんが、興味があればアクセスリストの用途について調べてみてください。
magna250
投稿数: 12
投稿数: 12
arashi1977さん
検証までしていただいて、有難うございます!
確かにdropされていますね。
検証までしていただいて、有難うございます!
確かにdropされていますね。
magna250
投稿数: 12
投稿数: 12
antares01さん
ご回答、有難うございます。
すみません。説明が不足していました。
ご質問させていただいたaccess-listはルーティング再配送で
使用されているaccess-listです。
ご存知だったらで構わないのですが、
172.19.0.0/16というルーティング情報を再配送する場合、
"permit 172.19.0.0"、"permit 172.19.0.0 0.0.255.255"
のどちらでも再配送可能ということでしょうか?
ご回答、有難うございます。
すみません。説明が不足していました。
ご質問させていただいたaccess-listはルーティング再配送で
使用されているaccess-listです。
ご存知だったらで構わないのですが、
172.19.0.0/16というルーティング情報を再配送する場合、
"permit 172.19.0.0"、"permit 172.19.0.0 0.0.255.255"
のどちらでも再配送可能ということでしょうか?
antares01
投稿数: 690
投稿数: 690
172.19.0.0/16を拾うのはどちらでもできます。
但し、172.19.0.0 0.0.255.255は/16以外も包含するものがあれば拾ってしまうので結果が同じになるとは限りません。
但し、172.19.0.0 0.0.255.255は/16以外も包含するものがあれば拾ってしまうので結果が同じになるとは限りません。
magna250
投稿数: 12
投稿数: 12
antares01さん
ご回答、有難うございます!
理解できました。
ご回答、有難うございます!
理解できました。
