標準/拡張IPACL
IPACLについて学習
図解教本sec247
標準IPACLに関するコマンドとして正しい組み合わせはどれか。
⇒正解
Router(config)#access-list 8 permit 10.1.1.1 0.0.0.255
Router(config)#ip access-group 8 out
●標準IPACLの設定上の注意点
1.access-listコマンドで指定する番号は1-99、1300-1999の範囲で指定する。
2.標準IPACLは宛先近くのルータで設定、適用する。
3.アクセスリストを作成するモードとインタフェースに適用するモードに注意する。
●実際の設定例
[ネットワーク構成図]
PC_A-NW_A-[fa0/0]RT_A[s0/0]-NW_C-[s0/1]RT_B[fa0/0]-NW_D-PC_C
---IPアドレス設定---
NW_A=192.168.1.0/24
NW_C=192.168.3.0/24
MW_D=192.168.4.0/24
PC_A=192.168.1.1
PC_C=192.168.4.1
上記の構成図において、「PC_Aを送信元とするネットワークDへのアクセス及びPC_Cを送信元とするネットワークAへのアクセスを拒否し、その他のアクセスは全て許可する」という条件を満たす標準IPACLを作成する場合、ルータAとルータBの両方に設定を行う必要がある。
・ルータAの設定例
rA(config)#access-list 1 deny host 192.168.4.1 ←送信元PC_CからのパケットはNW_Aへのアクセス拒否。
rA(config)#access-list 1 permit any ←上記以外の条件は全て許可。
rA(config)#int FastEthernet 0/0
rA(config-if)#ip address 192.168.1.254 255.255.255.0
rA(config-if)#ip access-group 1 out ←作成したリストをアウトバウンドで適用する。
・ルータBの設定例
rB(config)#access-list 1 deny host 192.168.1.1 ←送信元PC_AからのパケットはNW_Aへのアクセス拒否。
rB(config)#access-list 1 permit any ←上記以外の条件は全て許可。
rB(config)#int FastEthernet 0/0
rB(config-if)#ip address 192.168.4.254 255.255.255.0
rB(config-if)#ip access-group 1 out ←作成したリストをアウトバウンドで適用する。
図解教本sec248
13.次のうちIPアドレス192.168.4.2を持つホストからのアクセスだけを拒否する標準IPACLはどれか。
C、D
Router(config)#access-list 7 deny 192.168.4.2 0.0.0.0
Router(config)#access-list 7 permit 0.0.0.0 255.255.255.255
Router(config)#access-list 7 deny host 192.168.4.2
Router(config)#access-list 7 permit any
正解
14.次のうち標準IPACLをインバウンドで適用するコマンドはどれか。
C Router(config-if)#access-group 19 in
不正解
正解はD Router(config-if)#ip access-group 19 in
デフォルトだとoutになるのでinを指定する。
15.次のうちaccess-list 10 permit host 192.168.10.3と同じACLはどれか。
B access-list permit 192.168.10.3 0.0.0.0
正解
16.次のうちaccess-list 1 permit anyの説明で正しいものはどれか。
A このリストには暗黙のdeny anyが存在する。
D このリストはaccess-list 1 permit 0.0.0.0 255.255.255.255と同じである。
正解
キーワードanyは「0.0.0.0 255.255.255.255」に該当する。
アクセスリストを1行でも作成すると暗黙のdeny anyが追加される。
17.次のうちaccess-list 100 permit deny anyの説明で正しいものはどれか。
?
不正解 正解は適切なアクセスリスト番号を使用していないため無効となる。
(標準IPACLは1-99と1300-1999の範囲のみ使用可)
18.次のうち標準IPACLの設定場所と方向について正しいものはどれか。
C 宛先近くのルータに設定し、インタフェース適用時には方向に注意する。
正解
図解教本sec249
以下の一連の拡張IPACLの説明として正しいものはどれか。
1.access-list 100 deny tcp host 192.168.5.2 any eq 23
2.access-list 100 deny icmp 192.168.7.0 0.0.0.255 host 192.168.4.1 echo
3.access-list 100 permit ip any any
⇒正解
2はICMPのPINGパケットについての設定を行っている。
3が存在しないと1,2を適用した場合に全パケットが拒否される。
●拡張IPACLの設定
1.access-listコマンドで拡張IPACLを作成する。
・access-list [番号] [permit/deny] [プロトコル] [送信元] [宛先] [オプション]
・access-list [番号] [permit/deny] [プロトコル] any any
2.作成した拡張IPACLを適切なインタフェースに適用する。
・ip access-group [作成した拡張IPACL番号] [in/out]
拡張IPACLの番号には100-199または2000-2699の範囲内の値を使用する。
送信元にはチェック条件として
[送信元アドレス] [ワイルドカードマスク] [ポート番号]
の形で指定する。
ポート番号はプロトコルにTCPかUDPを使った場合に指定する。
ポート番号はWELLKNOWNポートの番号のが使用される。
宛先のチェック条件として
[宛先アドレス] [ワイルドカードマスク] [ポート番号]
の形で指定する。
CCNAの学習に役立つ定番のおすすめ参考書
シスコ技術者認定教科書 CCNA 完全合格テキスト&問題集[対応試験]200-301
![シスコ技術者認定教科書 CCNA 完全合格テキスト&問題集[対応試験]200-301](https://ws-fe.amazon-adsystem.com/widgets/q?_encoding=UTF8&ASIN=4798165778&Format=_SL250_&ID=AsinImage&MarketPlace=JP&ServiceVersion=20070822&WS=1&tag=search-ccna-22&language=ja_JP)
徹底攻略Cisco CCNA問題集[200-301 CCNA]対応 (模擬問題、スマホ問題集付き)
![徹底攻略Cisco CCNA問題集[200-301 CCNA]対応 (模擬問題、スマホ問題集付き)](https://ws-fe.amazon-adsystem.com/widgets/q?_encoding=UTF8&ASIN=4295011282&Format=_SL250_&ID=AsinImage&MarketPlace=JP&ServiceVersion=20070822&WS=1&tag=search-ccna-22&language=ja_JP)
