アクセスリストによる通信制御 ~設定編~
前の授業でアクセスリストの基礎を教えましたので、今回は、アクセスリストの設定偏ということで、授業をしていこうと思います。前回の授業を受けていない方は、こちらから受けてくださいね。
Contents
お勉強構成
今回、お勉強で使う構成はこんな感じです。お持ちのネットワーク機器で構成を組んでみてください。ちなみに今回のお勉強で使用しているルータは、いつもと同様、『Cisco1812J』となります。
【Amazon】
 |
CISCO Cisco 1812J 固定構成型 セキュアブロードバンドアクセスルータ CISCO1812-J/K9 中古価格 |
【楽天】
 |
価格:4,980円 |
基本設定
それでは、基本設定をしていきましょう。アクセスリストのお勉強がしたいので、ルーティングの設定は簡単にスタティックルートを使用していきます。スタティックルートの設定がわからない方は、こちらからお勉強ください。
インターフェイス設定
まずは、インターフェイスの設定をしていきましょう。上記の物理/論理構成図を参考に設定していきます。
【RT1】
RT1(config)#interface Loopback0
RT1(config-if)#ip address 10.100.10.1 255.255.255.0
RT1(config-if)#exit
RT1(config)#interface FastEthernet0
RT1(config-if)#ip address 10.10.10.1 255.255.255.0
RT1(config-if)#no shutdown
RT1(config-if)#exit
【RT2】
RT2(config)#interface FastEthernet0
RT2(config-if)#ip address 10.10.10.2 255.255.255.0
RT2(config-if)#no shutdown
RT2(config-if)#exit
RT1(config)#interface FastEthernet1
RT1(config-if)#ip address 10.10.20.2 255.255.255.0
RT1(config-if)#no shutdown
RT1(config-if)#exit
【RT3】
RT3(config)#interface FastEthernet0
RT3(config-if)#ip address 10.10.20.3 255.255.255.0
RT3(config-if)#no shutdown
RT3(config-if)#exit
RT3(config)#interface Vlan 10
RT3(config-if)#ip address 10.100.30.254 255.255.255.0
RT3(config-if)#exit
RT3(config)#interface FastEthernet2
RT3(config-if)#switchport access vlan 10
上記の設定がちゃんとできたら、LANケーブルを接続しステータスの確認を以下のコマンドで実施しておきましょう。
スタティックルートの設定
次にスタティックルートの設定です。なるべく簡単にしたいので、RT1とRT3はデフォルトルートを使用して、RT2はそれぞれのLoopbackインターフェイス向けのスタティックルートを設定していきます。
【RT1】
ip route 0.0.0.0 0.0.0.0 10.10.10.2
【RT2】
ip route 10.100.10.0 255.255.255.0 10.10.10.1
ip route 10.100.30.0 255.255.255.0 10.10.20.3
【RT3】
ip route 0.0.0.0 0.0.0.0 10.10.20.2
スタティックルートも設定が完了したら『show ip route』で。ルーティングテーブルを確認しておきましょう。1つ1つ確認しながら進めていくことが大切ですよ!
設定したスタティックルートが正確に反映されていたらOKです。これで、RT1のLoopback0からRT3のLoopback0までの到達性が確保されました。ここまで準備が出来たら、いよいよアクセスリストの設定をしていきます。
アクセスリストの設定
アクセスリストには2種類ありましたね。そう。『標準アクセスリスト』と『拡張アクセスリスト』です。この2種類の設定について見ていきましょう。
標準アクセスリスト
それでは、まず標準アクセスリストの設定をしてみたいと思います。標準アクセスリストは、送信元のフィルタとなり、なるべく宛先のそばでフィルタをかけるのが推奨されます。今回は、RT1のLoopback0(10.100.10.0/24)からの通信を拒否するようにRT3のVlan10のインターフェイスにかけてみたいと思います。
【RT3】
access-list 1 deny 10.100.10.0 0.0.0.255
access-list 1 permit any
!
interface Vlan10
ip access-group 1 out
access-list1を作成し、最初に『10.100.10.0/24』からの通信を拒否するように定義し、次にそれ以外の通信は全て許可する設定となっています。その標準アクセスリストをVlan10のout(アウト)方向にあてています。これにより、Vlan10向けの通信に対する設定が完了となります。
疎通確認
RT1にログインして、FastEthernet0(10.10.10.1)からと、Loopback0(10.100.10.1)からの通信試験を行うと以下のような結果になっていればOKです。
【FastEthernet0を送信元に疎通試験した結果】
RT1#ping 10.100.30.1 source fastEthernet 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.100.30.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
RT1#
【Loopback0を送信元に疎通試験した結果】
RT1#ping 10.100.30.1 source loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.100.30.1, timeout is 2 seconds:
Packet sent with a source address of 10.100.10.1
U.U.U
Success rate is 0 percent (0/5)
RT1#
疎通確認の結果、Loopback0(10.100.10.1)から10.100.30.1への通信だけが不可となっていることが確認できたでしょうか?『U.U.U』と表示されていれば、これは「Unreachable」という意味なのでOKとなります。
アクセスリストのログ確認
それでは、疎通確認を実行した結果をshowコマンドで確認が出来るので、見てみましょう。疎通確認を実行した結果が以下のようになっているはずです。ただし、今回は、ルータで勉強しているのでアクセスリストのログに『match』が表示されていますが、L3SWなどで検証されるとルーティングがハードウェアで処理されてしまうので、カウントアップされません。ご注意ください。
RT3#show access-lists
Standard IP access list 1
10 deny 10.100.10.0, wildcard bits 0.0.0.255 (5 matches)
20 permit any (5 matches)
RT3#
拡張アクセスリスト
次に拡張アクセスリストのお勉強になります。拡張アクセスリストは、標準のアクセスリストよりも細かく設定が出来るので、送信元の近いところで設定することが出来ます。
今回は、先程の標準アクセスリストと同じような設定にしたいので、RT3に接続されているパソコン(10.100.30.1)からRT1のLoopback0(10.100.10.0/24)向けの通信を拒否するように設定してみたいと思います。設定する場所は、RT3のFastEthernet0のout(アウト)方向とします。
【RT3】
access-list 101 deny ip host 10.100.30.1 10.100.10.0 0.0.0.255
access-list 101 permit ip any any
!
interface FastEthernet0
ip access-group 101 out
疎通確認
設定が終わったので疎通確認を実行してみましょう。RT1のFastEthernet0(10.10.10.1)とLoopback0(10.100.10.1)を送信元にして、RT3に接続されているパソコン(10.100.30.1)に向けて疎通確認を実施した結果が、以下のようになっていればOKです。
【FastEthernet0を送信元に疎通試験した結果】
RT1#ping 10.100.30.1 source fastEthernet 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.100.30.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
RT1#
【Loopback0を送信元に疎通試験した結果】
RT1#ping 10.100.30.1 source loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.100.30.1, timeout is 2 seconds:
Packet sent with a source address of 10.100.10.1
…..
Success rate is 0 percent (0/5)
RT1#
疎通確認の結果、標準アクセスリストと同様、Loopback0(10.100.10.1)から10.100.30.1への通信だけが不可となっていることが確認できたでしょうか?『…..』と表示されていれば、これは通信の「タイムアウト」という意味なのでOKとなります。
アクセスリストのログ確認
それでは、標準アクセスリストと同様に『show access-lists』でログを確認しておきましょう。以下のような結果になっていれば、ちゃんと通信フィルタが出来たことになります。
RT3#show access-lists
Extended IP access list 101
10 deny ip host 10.100.30.1 10.100.10.0 0.0.0.255 (5 matches)
20 permit ip any any (5 matches)
RT3#
もし、同様の結果になっていなかった場合は、フィルタのアドレスやアクセスリストをかけるインターフェイス、方向などを再度チェックしてみてください。ちなみにLoopbackアドレスなどを宛先にすると自発パケットとなってしまい、うまくフィルタがあたらないことがあります。ご注意を。
まとめ
アクセスリストの設定編はいかがだったでしょうか?今回は基本的な設定しか教えられませんでしたが、また次回以降でもうちょっと複雑な設定方法についても授業していこうと思いますので、楽しみにしていてくださいね!
最後に、資格取得取得のための本を紹介させていただきます。教科書だけ読んでもCiscoの資格は取得できません。しかし、問題集だけでも意味がわからず進まないものです。まずは、黒本の教科書をサラッと読んで、問題集に取り掛かる。問題を解いていく中でわからないことが出てきたら教科書を振り返る。こんなやり方が一番効率的だと思います。
徹底攻略Cisco CCENT/CCNA Routing & Switching教科書
 |
徹底攻略Cisco CCENT/CCNA Routing & Switching教科書ICND1編[100-105J][200-125J]V3.0対応【電子書籍】[ 株式会社ソキウス・ジャパン ] 価格:4,104円 |
徹底攻略Cisco CCENT/CCNA Routing & Switching問題集 ICND1編
 |
徹底攻略Cisco CCENT/CCNA Routing&Switching問題集 ICND1編[100-105J][200-125J]V3.0対応【電子書籍】[ 株式会社ソキウス・ジャパン ] 価格:2,970円 |
徹底攻略Cisco CCENT/CCNA Routing & Switching問題集 ICND2編
 |
徹底攻略Cisco CCNA Routing&Switching問題集ICND2 [200-105J][200-125J]V3.0対 [ ソキウス・ジャパン ] 価格:2,970円 |
Follow me!
