問題ID17954
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
syun040219
投稿数: 10
投稿数: 10
お世話になります。
VACLの問題で、
送信元が、192.168.2.2(PC -B)
宛先が、192.168.2.0/24
の物が破棄され、それ以外のvlan2の物は、通信出来るという解釈だったのですが、私の考えは間違っていました。どのように解釈したらよろしいでしょうか?
よろしくおねがい致します。
VACLの問題で、
送信元が、192.168.2.2(PC -B)
宛先が、192.168.2.0/24
の物が破棄され、それ以外のvlan2の物は、通信出来るという解釈だったのですが、私の考えは間違っていました。どのように解釈したらよろしいでしょうか?
よろしくおねがい致します。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
んーと
引用:ここでいう「通信できる」というのはどのような状況を指しますか?
例えば別の質問であった
https://ping-t.com/modules/forum/index.php?topic_id=3978
引用:というところは大丈夫ですか?
引用:
VACLの問題で、
送信元が、192.168.2.2(PC -B)
宛先が、192.168.2.0/24
の物が破棄され、それ以外のvlan2の物は、通信出来るという解釈だった
例えば別の質問であった
https://ping-t.com/modules/forum/index.php?topic_id=3978
引用:
なるほど戻りのルートが無いと言うことですね
syun040219
投稿数: 10
投稿数: 10
arashi1977ありがとうございます。
PC-Bが送信元で、宛先IPアドレスが192.168.2.0/24の範囲で、VLAN2のものが通信可能という解釈でした。
別の質問のやつは、例えばpingとかだと応答を送り返すときに宛先側にもデフォルトゲートウェイがないと、応答が帰ってこないということですかね?
PC-Bが送信元で、宛先IPアドレスが192.168.2.0/24の範囲で、VLAN2のものが通信可能という解釈でした。
別の質問のやつは、例えばpingとかだと応答を送り返すときに宛先側にもデフォルトゲートウェイがないと、応答が帰ってこないということですかね?
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:その「通信可能」というのがどういう意味を持つか、ということがポイントです。
引用:デフォルトゲートウェイに限らず「応答が帰ってこない」場合は「通信可能と言えるのか」という点を意識してみてください。
当初の疑問をもう一度確認しますね。
引用:
選択肢からVLAN2(PC-A,B,C)に関連するものを抜き出すと
・PC-AとPC-C間の疎通は出来ない(誤り)
→PC-AとPC-C間はVACL ccnp 20にマッチするので疎通できる(=VLAN2同士は通信できる)
「それ以外のvlan2の物は、通信出来る」は正しいですよね?
・PC-AとPC-B間の疎通は出来ない(正解)
→PC-Bからの(自発、または応答)パケットはVACL ccnp 10にマッチするので破棄され、疎通できない。
「送信元が、192.168.2.2(PC -B) 宛先が、192.168.2.0/24の物が破棄され」ているので、正しいですよね?
・PC-BとPC-C間の疎通は出来る(誤り)
→PC-Bからの(自発、または応答)パケットはVACL ccnp 10にマッチするので破棄され、疎通できない
「送信元が、192.168.2.2(PC -B) 宛先が、192.168.2.0/24の物が破棄され」ているので、正しいですよね?
では、syun040219 さんの「考えは間違って」いたというのは、どういうことをおっしゃっているのでしょうか?
PC-Bが送信元で、宛先IPアドレスが192.168.2.0/24の範囲で、VLAN2のものが通信可能という解釈でした。
引用:
別の質問のやつは、例えばpingとかだと応答を送り返すときに宛先側にもデフォルトゲートウェイがないと、応答が帰ってこないということですかね?
当初の疑問をもう一度確認しますね。
引用:
送信元が、192.168.2.2(PC -B)
宛先が、192.168.2.0/24
の物が破棄され、それ以外のvlan2の物は、通信出来るという解釈だったのですが、私の考えは間違っていました。
選択肢からVLAN2(PC-A,B,C)に関連するものを抜き出すと
・PC-AとPC-C間の疎通は出来ない(誤り)
→PC-AとPC-C間はVACL ccnp 20にマッチするので疎通できる(=VLAN2同士は通信できる)
「それ以外のvlan2の物は、通信出来る」は正しいですよね?
・PC-AとPC-B間の疎通は出来ない(正解)
→PC-Bからの(自発、または応答)パケットはVACL ccnp 10にマッチするので破棄され、疎通できない。
「送信元が、192.168.2.2(PC -B) 宛先が、192.168.2.0/24の物が破棄され」ているので、正しいですよね?
・PC-BとPC-C間の疎通は出来る(誤り)
→PC-Bからの(自発、または応答)パケットはVACL ccnp 10にマッチするので破棄され、疎通できない
「送信元が、192.168.2.2(PC -B) 宛先が、192.168.2.0/24の物が破棄され」ているので、正しいですよね?
では、syun040219 さんの「考えは間違って」いたというのは、どういうことをおっしゃっているのでしょうか?
syun040219
投稿数: 10
投稿数: 10
permit ip host 192.168.2.2 192.168.2.0.0 0.0.0.255
とあるのですが、暗黙のdeny?で、PC‐Cからのは条件に入っていないので、拒否られると考えていました。
とあるのですが、暗黙のdeny?で、PC‐Cからのは条件に入っていないので、拒否られると考えていました。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:やっとわかりました。
vlan access-mapの評価の仕方がわからない、ということなのですね。
基本的に条件とアクションで表現できるのは
・条件
- 該当する
- 該当しない
・アクション
- 破棄する
- 許可する
の組み合わせの4通りです。matchは条件をACLで書いた場合は
・ACLをpassしてきたものは破棄
・ACLをpassしてきたものは許可
の2パターンです。そしてACLのところでは
・ACLによって許可されたものが、以降の評価に使用される
となります。
結論としては、
・ACLでpermitされたものがvlan access-map ccnp 10の評価対象
です。そして、VACL 10は「drop」アクションが設定されているので「ACLでpermitされた(ACLによってフィルタされなかった)ものは破棄する」ということです。
暗黙のdenyにマッチするものは、VACLから見ると「事前にACLでフィルタしたので、drop対象外」として扱われているのです。
たとえ話をすれば
・砂利や小石が入った砂があります
・目の大きなザルで選り分けると、目より大きい石が残ります。それ以外は下に落ちます(大きい石だけがpermitで残った。ほかは暗黙のdenyによって石でも砂でも全部落ちる)
・ザルに残ったやつを「捨てる」、他のものは「使う」
のような感じです。
どうでしょうか?
permit ip host 192.168.2.2 192.168.2.0.0 0.0.0.255
とあるのですが、暗黙のdeny?で、PC‐Cからのは条件に入っていないので、拒否られると考えていました。
vlan access-mapの評価の仕方がわからない、ということなのですね。
基本的に条件とアクションで表現できるのは
・条件
- 該当する
- 該当しない
・アクション
- 破棄する
- 許可する
の組み合わせの4通りです。matchは条件をACLで書いた場合は
・ACLをpassしてきたものは破棄
・ACLをpassしてきたものは許可
の2パターンです。そしてACLのところでは
・ACLによって許可されたものが、以降の評価に使用される
となります。
結論としては、
・ACLでpermitされたものがvlan access-map ccnp 10の評価対象
です。そして、VACL 10は「drop」アクションが設定されているので「ACLでpermitされた(ACLによってフィルタされなかった)ものは破棄する」ということです。
暗黙のdenyにマッチするものは、VACLから見ると「事前にACLでフィルタしたので、drop対象外」として扱われているのです。
たとえ話をすれば
・砂利や小石が入った砂があります
・目の大きなザルで選り分けると、目より大きい石が残ります。それ以外は下に落ちます(大きい石だけがpermitで残った。ほかは暗黙のdenyによって石でも砂でも全部落ちる)
・ザルに残ったやつを「捨てる」、他のものは「使う」
のような感じです。
どうでしょうか?
syun040219
投稿数: 10
投稿数: 10
arashi1977 さん
やっと理解できました。ありがとうございました。
やっと理解できました。ありがとうございました。
