のっちの人生仕切り直し!

26才(現在27才)が一回人生を仕切り直して始めていくブログです。

【職業訓練】【CCNA】【13日目】シミュレーションをすると実機の意味が・・・

13日目です。

(本日は11日目に行うはずだった実機演習を含みます。)

 

 

本日は

 

・ACLについて

を学んだあと

・Cisco Packet Tracerによるシミュレーション

 

を行いました。

 

ソフト自体は↓でDL出来ます。

www.filehorse.com

 

 

単語リスト

ACL(Access Control List)

・通信アクセスを制御するためのリスト。ネットワーク管理者がリストを定義し、そのリストに沿ってパケットの通行許可、拒否を行う。

 

・ルータのインターフェースに設定する。

 

・パケットにはインバウンド、アウトバンドがあり、そのどちらにでもリストをつけることが出来るが、1つの通信方向(バウンド)に一つのリストだけ。

 

・標準ACLと拡張ACLがある

 

・番号付きACLと名前付きACLがある。

 

・暗黙のdeny anyというルールがある。

 

インバウンド

外から中に向けて通信(受信)すること

 

アウトバンド

中から外に向けて通信(受信)すること

 

標準ACL

パケットの送信元IPアドレスをチェックしてフィルタリングするACLのこと。

名前付き標準ACLと番号付き標準ACLがある。

 

構文(コンソールで設定する際に使用)

 

ACLの作成

(config)# access-list number [ permit | deny ] source wildcard

コマンド引数 説明
number 標準ACLの番号を 1 ~ 99、1300 ~ 1999 の範囲で指定。通常は 1 ~ 99 を使用していき、全て使用した場合1300 ~ 1999を使用するので1300以降は一般的に使用しない。
permit | deny パケット許可する場合は permit、拒否する場合は deny
source 送信元IPアドレス
wildcard ワイルドカードマスクを指定。指定しない場合「0.0.0.0」が適用される。

例:access-list 1 permit 192.168.1.0 0.0.0.255 など

 

 

次に作成したACLをインターフェースに設定

(config-if)# ip access-group number [ in | out ]

コマンド引数 説明
number インターフェースに適用するACLの番号
in インバウンドパケットにACLのフィルタリング
out アウトバンドパケットにACLのフィルタリング

例 :ip access-group 1 out など

 

 

拡張ASL

送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号等をチェックするACL。

名前付き標準ACLと番号付き標準ACLがある。

 

構文

(config)# access-list number

[ permit | deny ] protocol source wildcard port

dest wildcard port [ established | log | log-input ]

コード引数 説明
number 拡張ACLの番号を 100 ~ 199、2000 ~ 2699 の範囲で指定。通常は100 ~ 199を使用して100 ~ 199 全てを使用した際に2000 ~ 2699 を使用するので2000以降はあまり使用されない。
permit | deny パケット許可、拒否をする。
protocol プロトコル名を指定。( 例 : ip / icmp / tcp / udpなど )
source 送信元IPアドレス
wildcard sourceのワイルドカードマスク
port 以下の演算子の後にポート番号を指定する。
 ・ eq ( equal = 等しい)
 ・ neq ( not equal = 等しくない)
 ・ gt ( greater than = より大きい )
 ・ lt ( less than = より小さい )
 ・ range ( ポート番号の範囲 )
destination 宛先IPアドレス
wildcard distinationのワイルドカードマスク
established このキーワードをACLで指定すること、ACKまたはRSTビットの立っているパケットが
ACLの合致対象となる。つまりこれはインバウンドのTCPトラフィックのみ対象とする
log ACLの条件文の最後にこのキーワードを指定することで、その条件文に合致するパケットがあれば
ログが出力される。トラフィックの監視、分析、またはトラブルシューティングの際に役立つが、
このキーワードを指定した条件文が多数がある場合、機器の負荷が高くなる。
log-input 入力インターフェイスと送信元MACアドレス(該当する場合)も含まれる。

 例:access-list 100 permit 192.168.1.0 0.0.0.255 10.1.0.250 0.0.0.0 など

 

インターフェースに適用方法は同様なので割愛。

 

 

暗黙のdeny any

自動的に最終行にdeny any(全てを拒否する)が付加されます。なので最後に許可する条件文を付加しなければなりません。

 

ACLの処理順序

条件文(ステートメント)は、1行目から順番にチェックされていきます。ステートメントに合致した時点で処理は止まるのでそれ以降のステートメントはチェックされません。

 

・適用場所

 あくまで参考

標準ACLは宛先に近い場所

拡張ACLは送信元に近い場所

 

 

【11日目の補習(休んだ日の講義を空いている時間で手伝って頂き学習しました)】

実機セッティング

・PCにはTera termをインストールしておく

 

・PCはファイアウォールをオフ。

 

・ciscoスイッチとルータ、PCをストレートケーブル、クロスケーブルでセッティング。

 

・手動(スタティック)でipアドレスを割り振りしておく。

 

・ロールオーバーケーブルでPCからスイッチとルータのコンソールに接続。

 

・スイッチとルータそれぞれににホストネーム、ipアドレス、パスワードをセット

 

・Telnetでコンソールからではなくipでスイッチとルータに接続することが出来るか試す。

 

・基本pingを打ってすべてがつながるか確認。

 

コマンドリスト

 

ping <192.168.1.1>

interface <fa0/0>

ip add <192.168.1.1> <255.255.255.255>

no shutdown

exit

end

line console 0

password <>

login

enable

configure terminal

show runnning-config

enable password <>

enable secret <>

line vty 0 4

router rip

network 192.168.1.1

version 2

no auto-summary

passive-interface <fa0/0>

timers basic 30 180 180 240

 

 

 

 後で調べること

コマンドを詳しく調べる

 

 

後で調べる単語

ルート再配布

 

 

シミュレーションでは構築されたネットワークに様々な設定をしていく形で

勉強しました。

ACLをつけていったのでそれを載せていけたらと思います。