interface vlan に適用したaccess-listについて
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
magna250
投稿数: 12
投稿数: 12
interface vlan に適用したaccess-listについて、質問です。
以下のようにinterface vlan 10 に in で適用した
access-listの場合、[1]のaccess-listは問題ないと思うのですが、[2]のようなaccess-listは必要なのでしょうか?
10.10.10.1 から192.2.1.5へ通信がきた場合も[2]の設定を
入れていないと通信が落とされるのでしょうか?
もしかしたら、10.10.10.1から通信がきた場合も、
物理インターフェースを通過してinterface vlan 10 へ
入る際にはaccess-listが有効になってしまうのではと
考えています。
10.10.10.1 からの通信はこのaccess-listが設定されている
機器のinterface vlan 10 以外のインターフェースに着信して、
interface vlan 10 へ抜けていきます。
---------------------------------------
interface vlan 10
ip address 192.2.1.1 255.255.255.0
access-group 100 in
[1]access-list 100 permit ip 192.2.1.5 0.0.0.255 10.10.10.1 0.0.0.255
[2]access-list 100 permit ip 10.10.10.1 0.0.0.255 192.2.1.5 0.0.0.255
---------------------------------------
以下のようにinterface vlan 10 に in で適用した
access-listの場合、[1]のaccess-listは問題ないと思うのですが、[2]のようなaccess-listは必要なのでしょうか?
10.10.10.1 から192.2.1.5へ通信がきた場合も[2]の設定を
入れていないと通信が落とされるのでしょうか?
もしかしたら、10.10.10.1から通信がきた場合も、
物理インターフェースを通過してinterface vlan 10 へ
入る際にはaccess-listが有効になってしまうのではと
考えています。
10.10.10.1 からの通信はこのaccess-listが設定されている
機器のinterface vlan 10 以外のインターフェースに着信して、
interface vlan 10 へ抜けていきます。
---------------------------------------
interface vlan 10
ip address 192.2.1.1 255.255.255.0
access-group 100 in
[1]access-list 100 permit ip 192.2.1.5 0.0.0.255 10.10.10.1 0.0.0.255
[2]access-list 100 permit ip 10.10.10.1 0.0.0.255 192.2.1.5 0.0.0.255
---------------------------------------
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
全体的に質問の意図が読み取れていないのですが、まず根本的なところを。
引用:「問題ない」というのはどういう状況を意味していますか?
引用:
以下のようにinterface vlan 10 に in で適用した
access-listの場合、[1]のaccess-listは問題ないと思うのですが、[2]のようなaccess-listは必要なのでしょうか?
magna250
投稿数: 12
投稿数: 12
[1]のaccess-listについては余計な情報でした。
すみません。忘れていただいて構いません。
ご質問させていただきたいのは10.10.10.1 から192.2.1.5へ
通信がきた場合に[2]の設定が入っていないと通信が落とされるのでしょうか?
以下configは設定されている前提です。
---------------------------------------
interface vlan 10
ip address 192.2.1.1 255.255.255.0
access-group 100 in
[1]access-list 100 permit ip 192.2.1.5 0.0.0.255 10.10.10.1 0.0.0.255
---------------------------------------
すみません。忘れていただいて構いません。
ご質問させていただきたいのは10.10.10.1 から192.2.1.5へ
通信がきた場合に[2]の設定が入っていないと通信が落とされるのでしょうか?
以下configは設定されている前提です。
---------------------------------------
interface vlan 10
ip address 192.2.1.1 255.255.255.0
access-group 100 in
[1]access-list 100 permit ip 192.2.1.5 0.0.0.255 10.10.10.1 0.0.0.255
---------------------------------------
ゲスト
投稿数: 0
インターフェイスのaccess-listは「in」方向と「out」方向両方に設定可能です。
ご質問の答えとしては「落とされません」。
おそらく行きと戻りの通信を心配しているのかと思われますが、
10.10.10.1=>192.2.1.5であればVlan10から見ると「out」方向で192.2.1.5=>10.10.10.1が「in」方向の通信であると言えます。
そして「out」側のアクセスリストは未設定なのでall permit、
「in」側のアクセスリストは設定済みで通信が落とされることはないでしょう。
それよりもアクセスリストの構文がまちがっていますよ。。
セグメント単位であれば、
「access-list 100 permit ip 192.2.1.0 0.0.0.255 10.10.10.0 0.0.0.255」
1対1のアクセスリストなのであれば、
「access-list 100 permit ip host 192.2.1.5 host 10.10.10.1」
と書くのが正解ですね。
ご質問の答えとしては「落とされません」。
おそらく行きと戻りの通信を心配しているのかと思われますが、
10.10.10.1=>192.2.1.5であればVlan10から見ると「out」方向で192.2.1.5=>10.10.10.1が「in」方向の通信であると言えます。
そして「out」側のアクセスリストは未設定なのでall permit、
「in」側のアクセスリストは設定済みで通信が落とされることはないでしょう。
それよりもアクセスリストの構文がまちがっていますよ。。
セグメント単位であれば、
「access-list 100 permit ip 192.2.1.0 0.0.0.255 10.10.10.0 0.0.0.255」
1対1のアクセスリストなのであれば、
「access-list 100 permit ip host 192.2.1.5 host 10.10.10.1」
と書くのが正解ですね。
magna250
投稿数: 12
投稿数: 12
uewalddeさん
ご回答、有難うございます!
確かに構文が間違っていますね。。
失礼いたしました。
ご回答、有難うございます!
確かに構文が間違っていますね。。
失礼いたしました。
