名前付き拡張IPACLとACL

IPACLとACLについて学習

図解教本sec254

名前付き拡張IPACLの説明として正しいものはどれか。
⇒正解
はじめにip access-list extendedでアクセスリストの作成を宣言する。
一度使用した名前を他のアクセスリストで使うことはできない。

●名前付き拡張IPACLの設定
・ip access-list extendedコマンドで作成を宣言する。
ip access-list extended [番号/名前]

・チェック条件を宣言する。
[permit/deny] [プロトコル] [送信元] [宛先] [オプション]
例1（ping拒否）
deny icmp host 192.168.10.1 host 192.168.10.254 echo

例2（TELNET拒否）
deny tcp host 192.168.10.1 host 192.168.10.254 eq 23

例3（全許可）
permit ip any any

・作成したACLをインタフェースに適用する。
ip access-group [番号/名前] [in/out]

※番号は100-199の範囲で指定する。
※宣言後、プロンプトが(config-ext-nacl)に変化する。

●実際の設定例
[ネットワーク構成図]
PC_A-NW_A-[fa0/0]RT_A[s0/0]-NW_C-[s0/1]RT_B[fa0/0]-NW_D-PC_C

---IPアドレス設定---
NW_A=192.168.1.0/24
NW_C=192.168.3.0/24
MW_D=192.168.4.0/24
PC_A=192.168.1.1
PC_C=192.168.4.1

上記の構成図において、「送信元PC_Aから宛先PC_Cへのpingパケット、TELNETを拒否し、その他のアクセスは全て許可する」という名前付き拡張IPACLを作成する。

・ルータAの設定例
rA(config)#access-list extended TEST
←名前付き拡張IPACLの使用を宣言。

rA(config-ext-nacl)#deny icmp host 192.168.1.1 host 192.168.4.1 echo
←送信元PC_AからPC_Cへのping拒否。

rA(config-ext-nacl)#deny tcp host 192.168.1.1 host 192.168.4.1 eq 23
←送信元PC_AからPC_CへのTELNET拒否。

rA(config-ext-nacl)#permit ip any any
←それ以外のアクセスを許可。

rA(config-ext-nacl)#exit

rA(config)#int FastEthetnet 0/0

rA(config-ext-nacl)#ip access-group TEST in
←作成したACLをインバウンドで適用する。

図解教本sec255

ルータで作成した全てのACLを確認するコマンドはどれか。
⇒正解　show access-lists

●アクセスリスト検証コマンド
１．show ip interface＝ACLを適用したインタフェースの状態を確認する。
２．show ip access-lists＝作成したIPACLだけを確認する。
３．show access-lists＝作成した全プロトコルのACLを確認する。

●実際の例

１．ACLを適用したインタフェースの状態を確認する。

Router#show ip interface

FastEthernet 0/1 is up , line protocol is up
Internet address is 172.16.6.254/24
（略）
Outgoing access list is 2
←アクセスリスト2がアウトバウンドに適用されている。
Inbound access list is not set

CCNAの学習に役立つ定番のおすすめ参考書

シスコ技術者認定教科書 CCNA 完全合格テキスト&問題集[対応試験]200-301

徹底攻略Cisco CCNA問題集[200-301 CCNA]対応 (模擬問題、スマホ問題集付き)

CCNA(Ciscoのネットワーク技術者入門資格試験)の教科書と問題集はまだ買うな！失敗しない勉強法とIT業界の指南書【CCNA200-301対応！】: 15個の資格試験を1発で合格した男の「インフラエンジニア登竜門資格」独学勉強法と黒歴史を徹底公開！ IT業界超入門書

1週間でCCNAの基礎が学べる本