名前付き拡張IPACLとACL
IPACLとACLについて学習
図解教本sec254
名前付き拡張IPACLの説明として正しいものはどれか。
⇒正解
はじめにip access-list extendedでアクセスリストの作成を宣言する。
一度使用した名前を他のアクセスリストで使うことはできない。
●名前付き拡張IPACLの設定
・ip access-list extendedコマンドで作成を宣言する。
ip access-list extended [番号/名前]
・チェック条件を宣言する。
[permit/deny] [プロトコル] [送信元] [宛先] [オプション]
例1(ping拒否)
deny icmp host 192.168.10.1 host 192.168.10.254 echo
例2(TELNET拒否)
deny tcp host 192.168.10.1 host 192.168.10.254 eq 23
例3(全許可)
permit ip any any
・作成したACLをインタフェースに適用する。
ip access-group [番号/名前] [in/out]
※番号は100-199の範囲で指定する。
※宣言後、プロンプトが(config-ext-nacl)に変化する。
●実際の設定例
[ネットワーク構成図]
PC_A-NW_A-[fa0/0]RT_A[s0/0]-NW_C-[s0/1]RT_B[fa0/0]-NW_D-PC_C
---IPアドレス設定---
NW_A=192.168.1.0/24
NW_C=192.168.3.0/24
MW_D=192.168.4.0/24
PC_A=192.168.1.1
PC_C=192.168.4.1
上記の構成図において、「送信元PC_Aから宛先PC_Cへのpingパケット、TELNETを拒否し、その他のアクセスは全て許可する」という名前付き拡張IPACLを作成する。
・ルータAの設定例
rA(config)#access-list extended TEST
←名前付き拡張IPACLの使用を宣言。
rA(config-ext-nacl)#deny icmp host 192.168.1.1 host 192.168.4.1 echo
←送信元PC_AからPC_Cへのping拒否。
rA(config-ext-nacl)#deny tcp host 192.168.1.1 host 192.168.4.1 eq 23
←送信元PC_AからPC_CへのTELNET拒否。
rA(config-ext-nacl)#permit ip any any
←それ以外のアクセスを許可。
rA(config-ext-nacl)#exit
rA(config)#int FastEthetnet 0/0
rA(config-ext-nacl)#ip access-group TEST in
←作成したACLをインバウンドで適用する。
図解教本sec255
ルータで作成した全てのACLを確認するコマンドはどれか。
⇒正解 show access-lists
●アクセスリスト検証コマンド
1.show ip interface=ACLを適用したインタフェースの状態を確認する。
2.show ip access-lists=作成したIPACLだけを確認する。
3.show access-lists=作成した全プロトコルのACLを確認する。
●実際の例
1.ACLを適用したインタフェースの状態を確認する。
Router#show ip interface
FastEthernet 0/1 is up , line protocol is up
Internet address is 172.16.6.254/24
(略)
Outgoing access list is 2
←アクセスリスト2がアウトバウンドに適用されている。
Inbound access list is not set
CCNAの学習に役立つ定番のおすすめ参考書
シスコ技術者認定教科書 CCNA 完全合格テキスト&問題集[対応試験]200-301
徹底攻略Cisco CCNA問題集[200-301 CCNA]対応 (模擬問題、スマホ問題集付き)