拡張アクセスリストについて学習する:ネットワークの基礎を学習する CCNA対策講座(28)(2/2 ページ)
本連載では、シスコシステムズ(以下シスコ)が提供するシスコ技術者認定(Cisco Career Certification)から、ネットワーク技術者を認定する資格、CCNA(Cisco Certified Network Associate)を解説します。2007年12月に改訂された新試験(640-802J)に対応しています。
正解
c
解説
Webアクセスはトランスポート層にtcpを使用し、well-knownポート番号が「80」番のプロトコルです。ポート番号80番に等しいものを選択する必要があります。従って選択肢cが正解です。
拡張アクセスリストの設定例
例えば、以下のような条件を満たす拡張アクセスリストを作成するとします。
- 「172.16.4.0」サブネット内のホストから「172.16.3.1」へのtelnetアクセスを拒否
- 管理者である「172.16.4.1」から「172.16.3.1」へのtelnetアクセスは許可する
- ほかのすべてのトラフィックを許可
以下の順番で拡張アクセスリストの設定を行います。
● 1. 管理者である「172.16.4.1」から「172.16.3.1」へのtelnetアクセスは許可する
Router(config)#access-list 100 permit tcp host 172.16.4.1 host 172.16.3.1 eq 23
- telnetはトランスポート層にtcpを使用
- 1台のホストアドレスを指定する場合は「ホストアドレス 0.0.0.0」または「host ホストアドレス」
● 2. 「172.16.4.0」サブネット内のホストから「172.16.3.1」へのtelnetアクセスを拒否
Router(config)#access-list 100 deny tcp 172.16.4.0 0.0.0.255 host 172.16.3.1 eq 23
この条件を1行目に書いてしまうと、管理者である 172.16.4.1 も含まれてtelnetアクセスは拒否されてしまいます。アクセスリストの条件文は上から順番にチェックされ、条件に一致したら処理から抜けます。それ以降の条件は参照されなくなります。
● 3. ほかのすべてのトラフィックを許可
Router(config)#access-list 100 permit ip any any
アクセスリストを1行でも作成すると、最終行にはすべてを拒否する暗黙のdeny anyが存在します。ほかのすべてのトラフィックを許可するには条件が必要です。プロトコルにipを指定することによって、ip以上のすべての階層のプロトコルのトラフィックが許可されます。
● 4. インターフェイスに適用
Router(config-if)#ip access-group 100 in
確認問題3
問題
管理者端末 172.16.1.1 からWebサーバ(10.10.10.10)へのアクセスを許可し、172.16.1.0 サブネット内のホストからWebサーバ(10.10.10.10)へのアクセスを拒否したいとします。なお、そのほかのすべてのトラフィックは許可とします。
このアクセスリストを fa0/0 のアウトバウンドで適用するとき、拡張アクセスリストとして正しいものを1つ選択してください。
a.Router(config)#access-list 102 permit udp host 172.16.1.1 host 10.10.10.10 eq 80Router(config)#access-list 102 deny udp 172.16.1.0 0.0.0.255 host 10.10.10.10 eq 80Router(config)#int fa0/0Router(config-if)#ip access-group 102 outRouter(config)#access-list 102 deny udp 172.16.1.0 0.0.0.255 host 10.10.10.10 eq 80Router(config)#int fa0/0Router(config-if)#ip access-group 102 out
b.Router(config)#access-list 1 permit tcp host 172.16.1.1 host 10.10.10.10 eq 80Router(config)#access-list 1 deny tcp 172.16.1.0 0.0.0.255 host 10.10.10.10 eq 80Router(config)#access-list 1 permit ip any anyRouter(config)#int fa0/0Router(config-if)#ip access-group 1 outRouter(config)#access-list 1 deny tcp 172.16.1.0 0.0.0.255 host 10.10.10.10 eq 80Router(config)#access-list 1 permit ip any anyRouter(config)#int fa0/0Router(config-if)#ip access-group 1 out
c.Router(config)#access-list 100 deny tcp 172.16.1.0 0.0.0.255 host 10.10.10.10 eq 80Router(config)#access-list 100 permit tcp host 172.16.1.1 host 10.10.10.10 eq 80Router(config)#access-list 100 permit ip any anyRouter(config)#int fa0/0Router(config-if)#ip access-group 100 outRouter(config)#access-list 100 permit tcp host 172.16.1.1 host 10.10.10.10 eq 80Router(config)#access-list 100 permit ip any anyRouter(config)#int fa0/0Router(config-if)#ip access-group 100 out
d.Router(config)#access-list 102 permit tcp host 172.16.1.1 host 10.10.10.10 eq 80Router(config)#access-list 102 deny tcp 172.16.1.0 0.0.0.255 host 10.10.10.10 eq 80Router(config)#access-list 102 permit ip any anyRouter(config)#int fa0/0Router(config-if)#ip access-group 102 outRouter(config)#access-list 102 deny tcp 172.16.1.0 0.0.0.255 host 10.10.10.10 eq 80Router(config)#access-list 102 permit ip any anyRouter(config)#int fa0/0Router(config-if)#ip access-group 102 out
正解
d
解説
拡張アクセスリストの構文は、
Router(config)#access-list <拡張アクセスリスト番号> {permit/deny} <送信元IPアドレス> <送信元ワイルドカードマスク> <送信元ポート番号> <宛先IPアドレス> <宛先ワイルドカードマスク> <宛先ポート番号> <オプション>
です。Webアクセスはトランスポート層のプロトコルにtcpを使用し、ポート番号は80番ですので、選択肢dが正解です。
選択肢aはトランスポート層のプロトコルがudpに設定されており、ほかのすべてのトラフィックを許可する構文もないため、誤りです。選択肢bは拡張アクセスリストの番号が違います。選択肢cは記載する順序が間違っているので、管理者端末 172.16.1.1 からWebサーバ(10.10.10.10)へのアクセスも拒否されてしまいます。
筆者プロフィール
齋藤理恵(さいとうりえ)
グローバル ナレッジ ネットワーク ソリューション本部に在籍。Cisco認定トレーナー。トレーナー歴は11年。マイクロソフト、サン・マイクロシステムズ、シスコシステムズなどIT業界でトレーナーとして活動。現在は、グローバル ナレッジ ネットワークで、Cisco認定トレーニングコース(CCNA、CCNP)、ネットワーク系オリジナルコースを中心に講師を担当している。グローバル ナレッジ ネットワーク講師寄稿記事一覧はこちら。
Copyright © ITmedia, Inc. All Rights Reserved.