ネットワーク基礎
ネットワーク基礎

test5

 

 

特定のホストによるネットワーク アクセスの許可

次の図は、特定のホストによるネットワークへのアクセスが許可されていることを示しています。Host B から発信された NetA 宛てのトラフィックはすべて許可されますが、NetB から発信された NetA 宛ての他のトラフィックはすべて拒否されます。

ACLsamples-1.gif

R1 の表に掲載されている出力は、このホストがネットワークへのアクセスをどのように許可されるかを示しています。この出力は、次のことを示しています。

  • この設定では、IP アドレス 192.168.10.1 を持つホストだけが、R1 の Ethernet 0 インターフェイスを通過することを許可されています。

  • このホストは、NetA の IP サービスにアクセスできます。

  • NetB 内のその他のホストは NetA にアクセスできません。

  • この ACL には deny 文が設定されていません。

デフォルトでは、すべての ACL の最後に暗黙的な deny all 句が存在します。明示的に許可されていないトラフィックはすべて拒否されます。

R1

 
hostname R1
!
interface ethernet0
ip access-group 1 in
!
access-list 1 permit host 192.168.10.1

注:この ACL では、HostB から送信されたパケットを除き、NetB から NetA への IP パケットがフィルタリングされます。ただし、NetA から Host B へのパケットは許可されます。

注:access-list 1 permit 192.168.10.1 0.0.0.0 という ACL を作成する方法でも、同じルールを設定できます。

特定のホストによるネットワーク アクセスの拒否

次の図は、Host B から発信された NetA 宛てのトラフィックが拒否されているのに対し、NetB から発信された NetA 宛ての他のトラフィックがすべて許可されていることを示しています。

ACLsamples-3.gif

次の設定では、ホスト 192.168.10.1/32 からのパケットが R1 の Ethernet 0 を通過することは拒否されていますが、その他のパケットはすべては許可されています。すべての ACL には暗黙的な deny all 句が存在するので、その他すべてのパケットを明示的に許可するには、access list 1 permit any コマンドを使用する必要があります。

R1

 
hostname R1
!
interface ethernet0
ip access-group 1 in
!
access-list 1 deny host 192.168.10.1
access-list 1 permit any

注:文の順序は、ACL の動作にとって非常に重要です。次のコマンドに示すように、エントリの順序を逆にすると、最初の行がすべてのパケットの送信元アドレスに一致してしまいます。そのため、この ACL では、ホスト 192.168.10.1/32 による NetA へのアクセスをブロックできません。

access-list 1 permit any
   access-list 1 deny host 192.168.10.1

連続した IP アドレスの範囲へのアクセスの許可

次の図は、ネットワーク アドレス 192.168.10.0/24 を持つ NetB 内のすべてのホストが、NetA 内のネットワーク 192.168.200.0/24 にアクセスできることを示しています。

ACLsamples-2.gif

次の設定では、ネットワーク 192.168.10.0/24 内の送信元アドレスとネットワーク 192.168.200.0/24 内の宛先アドレスが指定された IP ヘッダーを持つ IP パケットは、NetA にアクセスすることを許可されています。ACL の最後には暗黙的な deny all 句が存在するので、その他のトラフィックはすべて R1 の Ethernet 0 の内側に通過することを拒否されます。

R1

 
hostname R1
!
interface ethernet0
ip access-group 101 in
!
access-list 101 permit ip 192.168.10.0  0.0.0.255
  192.168.200.0  0.0.0.255

注:コマンド access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.200.0 0.0.0.255 に含まれる「0.0.0.255」は、マスクが 255.255.255.0 に設定されたネットワーク 192.168.10.0 の逆マスクです。ACL では、ネットワーク アドレスの何ビットを照合する必要があるかを指定するために、逆マスクが使用されます。上の表に示す ACL では、192.168.10.0/24 ネットワーク内の送信元アドレスと 192.168.200.0/24 ネットワーク内の宛先アドレスが指定されたすべてのホストが許可されています。

ネットワーク アドレスのマスクの詳細と、ACL に必要な逆マスクの算出方法については、『IP アクセス リストの設定』の「マスク」セクションを参照してください。

 

 

 

 

 

「test5」をウィキ内検索
最終更新:2011年10月27日 07:47
ツールボックス

下から選んでください:

新しいページを作成する
ヘルプ / FAQ もご覧ください。