問題ID: 3337について

  • フォーラムは新サイトへ移行しました。
  • このフォーラムではゲスト投稿が禁止されています
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2010-5-4 22:32
hcm83681  長老 居住地: 秘密  投稿数: 89
いつもお世話になっております。

解説文の
・ACLを動的に変更する
についてですが、ステートテーブルを参照しACLは無視されるのでACLの変更は無いのではないでしょか?

ACL = access-list

と個人的には解釈していますが、もっと広い意味の「ステートテーブルも含んだACL」を意味しているのでしょうか?
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2010-5-5 15:53
pasta0245  半人前   投稿数: 7
シスコ技術者認定公式ガイドのP671に図が載っていたので、もしお持ちでしたらご覧ください。

以下説明文抜粋**********************
Cisco IOS Firewallはデータがインターフェイスを通過するときにダイナミックにACLを変更します。
この概念は一見わかりづらく思えますが、比較的単純な処理です。ファイアウォールは許可されたトラフィックを見て、既存のACLに新しい行を追加します。
フィルタはセッションの終了後に元の状態に戻ります。
************************************

これに載っている図と説明からみても、『ACL = access-list』という解釈であっていると思います。
私の個人的な解釈としては、『ファイアウォールは許可されたトラフィックを見て、既存のACLに新しい行を追加します。』
通過できるトラフィックをわかるようにしておくことで、トラブルシューティングを容易にするための動作なのかなと思いました。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2010-5-6 9:01
hcm83681  長老 居住地: 秘密  投稿数: 89
返信ありがとうございます。

図を確認して、動作確認してみました。

show running-configを確認してもaccess-listには変化ありませんでしたが、「show ip inspect sessions detail」で確認すると戻りのセッションがACLに追加された様子が分かりました。
(下記■結果の「In SID 172.16.2.2[23:23]=>192.168.1.2[54815:54815] on ACL 122 (19 matches))の部分)

■検証内容
192.168.1.2から172.16.2.2へのtelnetセッション。
公式本(p671)と同じ構成。

■結果
_________________________________________________________
R5#show ip inspect sessions detail
Established Sessions
Session 8417D148 (192.168.1.2:54815)=>(172.16.2.2:23) telnet SIS_OPEN
Created 00:11:40, Last heard 00:04:34
Bytes sent (initiator:responder) [52:55]
In SID 172.16.2.2[23:23]=>192.168.1.2[54815:54815] on ACL 122 (19 matches)
R5#
_________________________________________________________



このことが、"ダイナミック"にACLを変更することの所以かと思います。

ACLという言葉には、NVRAM上のACL(running-config情報)とRAM上のACL(ステート情報)を合わせてACLを意味する場合と、ただ単にrunning-configのACLを意味する場合があるのだと思います。私は今までaccess-listのことを意味していると思っていましたが、そうでもないようです。

Ping-tさんの言うところの"ACL"は両方のACLを合わせたものだと思います。

返信頂かなければこのように調べる機会が無かったので、このたびは本当に勉強になりました。ありがとうございました。

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.