問題ID: 3337について
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
hcm83681
居住地: 秘密
投稿数: 89
居住地: 秘密
投稿数: 89
いつもお世話になっております。
解説文の
・ACLを動的に変更する
についてですが、ステートテーブルを参照しACLは無視されるのでACLの変更は無いのではないでしょか?
ACL = access-list
と個人的には解釈していますが、もっと広い意味の「ステートテーブルも含んだACL」を意味しているのでしょうか?
解説文の
・ACLを動的に変更する
についてですが、ステートテーブルを参照しACLは無視されるのでACLの変更は無いのではないでしょか?
ACL = access-list
と個人的には解釈していますが、もっと広い意味の「ステートテーブルも含んだACL」を意味しているのでしょうか?
pasta0245
投稿数: 7
投稿数: 7
シスコ技術者認定公式ガイドのP671に図が載っていたので、もしお持ちでしたらご覧ください。
以下説明文抜粋**********************
Cisco IOS Firewallはデータがインターフェイスを通過するときにダイナミックにACLを変更します。
この概念は一見わかりづらく思えますが、比較的単純な処理です。ファイアウォールは許可されたトラフィックを見て、既存のACLに新しい行を追加します。
フィルタはセッションの終了後に元の状態に戻ります。
************************************
これに載っている図と説明からみても、『ACL = access-list』という解釈であっていると思います。
私の個人的な解釈としては、『ファイアウォールは許可されたトラフィックを見て、既存のACLに新しい行を追加します。』
通過できるトラフィックをわかるようにしておくことで、トラブルシューティングを容易にするための動作なのかなと思いました。
以下説明文抜粋**********************
Cisco IOS Firewallはデータがインターフェイスを通過するときにダイナミックにACLを変更します。
この概念は一見わかりづらく思えますが、比較的単純な処理です。ファイアウォールは許可されたトラフィックを見て、既存のACLに新しい行を追加します。
フィルタはセッションの終了後に元の状態に戻ります。
************************************
これに載っている図と説明からみても、『ACL = access-list』という解釈であっていると思います。
私の個人的な解釈としては、『ファイアウォールは許可されたトラフィックを見て、既存のACLに新しい行を追加します。』
通過できるトラフィックをわかるようにしておくことで、トラブルシューティングを容易にするための動作なのかなと思いました。
hcm83681
居住地: 秘密
投稿数: 89
居住地: 秘密
投稿数: 89
返信ありがとうございます。
図を確認して、動作確認してみました。
show running-configを確認してもaccess-listには変化ありませんでしたが、「show ip inspect sessions detail」で確認すると戻りのセッションがACLに追加された様子が分かりました。
(下記■結果の「In SID 172.16.2.2[23:23]=>192.168.1.2[54815:54815] on ACL 122 (19 matches))の部分)
■検証内容
192.168.1.2から172.16.2.2へのtelnetセッション。
公式本(p671)と同じ構成。
■結果
_________________________________________________________
R5#show ip inspect sessions detail
Established Sessions
Session 8417D148 (192.168.1.2:54815)=>(172.16.2.2:23) telnet SIS_OPEN
Created 00:11:40, Last heard 00:04:34
Bytes sent (initiator:responder) [52:55]
In SID 172.16.2.2[23:23]=>192.168.1.2[54815:54815] on ACL 122 (19 matches)
R5#
_________________________________________________________
このことが、"ダイナミック"にACLを変更することの所以かと思います。
ACLという言葉には、NVRAM上のACL(running-config情報)とRAM上のACL(ステート情報)を合わせてACLを意味する場合と、ただ単にrunning-configのACLを意味する場合があるのだと思います。私は今までaccess-listのことを意味していると思っていましたが、そうでもないようです。
Ping-tさんの言うところの"ACL"は両方のACLを合わせたものだと思います。
返信頂かなければこのように調べる機会が無かったので、このたびは本当に勉強になりました。ありがとうございました。
図を確認して、動作確認してみました。
show running-configを確認してもaccess-listには変化ありませんでしたが、「show ip inspect sessions detail」で確認すると戻りのセッションがACLに追加された様子が分かりました。
(下記■結果の「In SID 172.16.2.2[23:23]=>192.168.1.2[54815:54815] on ACL 122 (19 matches))の部分)
■検証内容
192.168.1.2から172.16.2.2へのtelnetセッション。
公式本(p671)と同じ構成。
■結果
_________________________________________________________
R5#show ip inspect sessions detail
Established Sessions
Session 8417D148 (192.168.1.2:54815)=>(172.16.2.2:23) telnet SIS_OPEN
Created 00:11:40, Last heard 00:04:34
Bytes sent (initiator:responder) [52:55]
In SID 172.16.2.2[23:23]=>192.168.1.2[54815:54815] on ACL 122 (19 matches)
R5#
_________________________________________________________
このことが、"ダイナミック"にACLを変更することの所以かと思います。
ACLという言葉には、NVRAM上のACL(running-config情報)とRAM上のACL(ステート情報)を合わせてACLを意味する場合と、ただ単にrunning-configのACLを意味する場合があるのだと思います。私は今までaccess-listのことを意味していると思っていましたが、そうでもないようです。
Ping-tさんの言うところの"ACL"は両方のACLを合わせたものだと思います。
返信頂かなければこのように調べる機会が無かったので、このたびは本当に勉強になりました。ありがとうございました。
