【職業訓練】【CCNA】【13日目】シミュレーションをすると実機の意味が・・・
13日目です。
(本日は11日目に行うはずだった実機演習を含みます。)
本日は
・ACLについて
を学んだあと
・Cisco Packet Tracerによるシミュレーション
を行いました。
ソフト自体は↓でDL出来ます。
単語リスト
ACL(Access Control List)
・通信アクセスを制御するためのリスト。ネットワーク管理者がリストを定義し、そのリストに沿ってパケットの通行許可、拒否を行う。
・ルータのインターフェースに設定する。
・パケットにはインバウンド、アウトバンドがあり、そのどちらにでもリストをつけることが出来るが、1つの通信方向(バウンド)に一つのリストだけ。
・標準ACLと拡張ACLがある
・番号付きACLと名前付きACLがある。
・暗黙のdeny anyというルールがある。
インバウンド
外から中に向けて通信(受信)すること
アウトバンド
中から外に向けて通信(受信)すること
標準ACL
パケットの送信元IPアドレスをチェックしてフィルタリングするACLのこと。
名前付き標準ACLと番号付き標準ACLがある。
構文(コンソールで設定する際に使用)
ACLの作成
(config)# access-list number [ permit | deny ] source wildcard
コマンド引数 | 説明 |
number | 標準ACLの番号を 1 ~ 99、1300 ~ 1999 の範囲で指定。通常は 1 ~ 99 を使用していき、全て使用した場合1300 ~ 1999を使用するので1300以降は一般的に使用しない。 |
permit | deny | パケット許可する場合は permit、拒否する場合は deny |
source | 送信元IPアドレス |
wildcard | ワイルドカードマスクを指定。指定しない場合「0.0.0.0」が適用される。 |
例:access-list 1 permit 192.168.1.0 0.0.0.255 など
次に作成したACLをインターフェースに設定
(config-if)# ip access-group number [ in | out ]
コマンド引数 | 説明 |
number | インターフェースに適用するACLの番号 |
in | インバウンドパケットにACLのフィルタリング |
out | アウトバンドパケットにACLのフィルタリング |
例 :ip access-group 1 out など
拡張ASL
送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号等をチェックするACL。
名前付き標準ACLと番号付き標準ACLがある。
構文
(config)# access-list number
[ permit | deny ] protocol source wildcard port
dest wildcard port [ established | log | log-input ]
コード引数 | 説明 |
number | 拡張ACLの番号を 100 ~ 199、2000 ~ 2699 の範囲で指定。通常は100 ~ 199を使用して100 ~ 199 全てを使用した際に2000 ~ 2699 を使用するので2000以降はあまり使用されない。 |
permit | deny | パケット許可、拒否をする。 |
protocol | プロトコル名を指定。( 例 : ip / icmp / tcp / udpなど ) |
source | 送信元IPアドレス |
wildcard | sourceのワイルドカードマスク |
port | 以下の演算子の後にポート番号を指定する。 ・ eq ( equal = 等しい) ・ neq ( not equal = 等しくない) ・ gt ( greater than = より大きい ) ・ lt ( less than = より小さい ) ・ range ( ポート番号の範囲 ) |
destination | 宛先IPアドレス |
wildcard | distinationのワイルドカードマスク |
established | このキーワードをACLで指定すること、ACKまたはRSTビットの立っているパケットが ACLの合致対象となる。つまりこれはインバウンドのTCPトラフィックのみ対象とする |
log | ACLの条件文の最後にこのキーワードを指定することで、その条件文に合致するパケットがあれば ログが出力される。トラフィックの監視、分析、またはトラブルシューティングの際に役立つが、 このキーワードを指定した条件文が多数がある場合、機器の負荷が高くなる。 |
log-input | 入力インターフェイスと送信元MACアドレス(該当する場合)も含まれる。 |
例:access-list 100 permit 192.168.1.0 0.0.0.255 10.1.0.250 0.0.0.0 など
インターフェースに適用方法は同様なので割愛。
暗黙のdeny any
自動的に最終行にdeny any(全てを拒否する)が付加されます。なので最後に許可する条件文を付加しなければなりません。
ACLの処理順序
条件文(ステートメント)は、1行目から順番にチェックされていきます。ステートメントに合致した時点で処理は止まるのでそれ以降のステートメントはチェックされません。
・適用場所
あくまで参考
標準ACLは宛先に近い場所
拡張ACLは送信元に近い場所
【11日目の補習(休んだ日の講義を空いている時間で手伝って頂き学習しました)】
実機セッティング
・PCにはTera termをインストールしておく
・PCはファイアウォールをオフ。
・ciscoスイッチとルータ、PCをストレートケーブル、クロスケーブルでセッティング。
・手動(スタティック)でipアドレスを割り振りしておく。
・ロールオーバーケーブルでPCからスイッチとルータのコンソールに接続。
・スイッチとルータそれぞれににホストネーム、ipアドレス、パスワードをセット
・Telnetでコンソールからではなくipでスイッチとルータに接続することが出来るか試す。
・基本pingを打ってすべてがつながるか確認。
コマンドリスト
ping <192.168.1.1>
interface <fa0/0>
ip add <192.168.1.1> <255.255.255.255>
no shutdown
exit
end
line console 0
password <>
login
enable
configure terminal
show runnning-config
enable password <>
enable secret <>
line vty 0 4
router rip
network 192.168.1.1
version 2
no auto-summary
passive-interface <fa0/0>
timers basic 30 180 180 240
後で調べること
コマンドを詳しく調べる
後で調べる単語
ルート再配布
シミュレーションでは構築されたネットワークに様々な設定をしていく形で
勉強しました。
ACLをつけていったのでそれを載せていけたらと思います。