問題ID:17954
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
LandG
投稿数: 58
投稿数: 58
お世話になります。
問題ID:17954について、お問い合わせになります。
CatA(config-ext-nacl)#permit ip host 192.168.2.2 192.168.2.0 0.0.0.255
上記の構文について、permit文ですが、許可しないアドレスの範囲になるのでしょうか。
許可をしないアドレスであったとしましても、何故denyではなく、permitなのでしょうか。
お手数ではございますが、ご教示頂けますと幸いでございます。
問題ID:17954について、お問い合わせになります。
CatA(config-ext-nacl)#permit ip host 192.168.2.2 192.168.2.0 0.0.0.255
上記の構文について、permit文ですが、許可しないアドレスの範囲になるのでしょうか。
許可をしないアドレスであったとしましても、何故denyではなく、permitなのでしょうか。
お手数ではございますが、ご教示頂けますと幸いでございます。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:設問を見ましたが、VLANアクセスマップですね。
ルートマップやVLANアクセスマップでは、対象となるトラフィックに、特定の動作をするよう指定します。ご質問のアクセスリストは上記の「対象となるトラフィック」を特定するためのものです。
ここで、条件指定の仕方について考えると
・一部のものを対象(それ以外は対象外)とする
・一部を例外とし、それ以外を対象とする
というパターンが思い浮かびます。
アクセスリストで表現すると、前者は
となります。それ以外の対象外のものは暗黙のdenyによってアクセスリストにマッチしなくなりますので。
後者は
となります。一部のものをdenyによって「このアクセスリストの対象外」とし、それ以外(全て)をpermitでマッチする対象としています。
そう考えると、CCNAレベルで時々ある誤解に行き着くかと思います。それは
「アクセスリストはセキュリティのためのものであり、denyされたものは通信できない」
と言うものです。
しかし、少し上でも触れましたが「アクセスリストは対象となるトラフィックを特定する」ものです。その特定したトラフィックに対して何をするかで挙動がかわるだけです。
インターフェースに適用する ip access-group コマンドは「マッチしたトラフィックだけを通す」コマンドですし、コンソール接続を制御するaccess-classもそうです。また、VLANアクセスマップやルートマップなど、「マッチしたものに、何かを施す」のときに使うことを考えると、対象とするアクセスリストの中でのpermit/denyは「アクセスリストにマッチするトラフィックの指定」方法でしかありません。
結局は、「マッチしたトラフィックをdropするかどうか決めるのはアクセスリストではなくその適用先」なんですね
問題ID:17954について、お問い合わせになります。
CatA(config-ext-nacl)#permit ip host 192.168.2.2 192.168.2.0 0.0.0.255
上記の構文について、permit文ですが、許可しないアドレスの範囲になるのでしょうか。
許可をしないアドレスであったとしましても、何故denyではなく、permitなのでしょうか。
ルートマップやVLANアクセスマップでは、対象となるトラフィックに、特定の動作をするよう指定します。ご質問のアクセスリストは上記の「対象となるトラフィック」を特定するためのものです。
ここで、条件指定の仕方について考えると
・一部のものを対象(それ以外は対象外)とする
・一部を例外とし、それ以外を対象とする
というパターンが思い浮かびます。
アクセスリストで表現すると、前者は
access-list 1 permit 一部のもの
後者は
access-list 2 deny 一部のもの
access-list 2 permit any
そう考えると、CCNAレベルで時々ある誤解に行き着くかと思います。それは
「アクセスリストはセキュリティのためのものであり、denyされたものは通信できない」
と言うものです。
しかし、少し上でも触れましたが「アクセスリストは対象となるトラフィックを特定する」ものです。その特定したトラフィックに対して何をするかで挙動がかわるだけです。
インターフェースに適用する ip access-group コマンドは「マッチしたトラフィックだけを通す」コマンドですし、コンソール接続を制御するaccess-classもそうです。また、VLANアクセスマップやルートマップなど、「マッチしたものに、何かを施す」のときに使うことを考えると、対象とするアクセスリストの中でのpermit/denyは「アクセスリストにマッチするトラフィックの指定」方法でしかありません。
結局は、「マッチしたトラフィックをdropするかどうか決めるのはアクセスリストではなくその適用先」なんですね
LandG
投稿数: 58
投稿数: 58
お世話になっております。ご連絡遅くなり、申し訳ございません。
ご回答を頂き、ありがとうございました。
指定されたアドレスの範囲とアクセスリストは対象となるトラフィックを特定するといった箇所に着目しましたら、今現在は何となくにて恐れ入りますが、理解できたような気がします。
ご回答を頂き、ありがとうございました。
指定されたアドレスの範囲とアクセスリストは対象となるトラフィックを特定するといった箇所に着目しましたら、今現在は何となくにて恐れ入りますが、理解できたような気がします。
antares01
投稿数: 690
投稿数: 690
CCNP SwitchのVLAN Access Map以外にも、CCNP Routeのroute-mapや類似の考え方のprefix-listなど、この先もACLの理解が必要なケースが多々あります。余計なお世話かもしれませんが、なんとなくで通り過ぎないでしっかりと理解してから進むことをお勧めします。
LandG
投稿数: 58
投稿数: 58
ご回答いただき、ありがとうございました。
仰る通り、何となくではなく今後に問題等を通じて、理解を深められたらと、思います。
仰る通り、何となくではなく今後に問題等を通じて、理解を深められたらと、思います。
