[CCNA超入門]アクセスリストを使った制御の設定(超基礎) PartⅥ

アクセスリストの定義を修正する

ここでは既にルーティングなどの設定はされているものとします。

◆R2のfa0/0のInbound方向にアクセスリストを設定

◆下記のアクセスリストを設定する
全てのホストから192.168.1.0/24へのtelnet拒否
全てのホストから192.168.2.0/24へのtelnet拒否
全てのホストから192.168.3.0/24へのtelnet拒否
全てのホストから192.168.4.0/24へのtelnet拒否
全てのホストから192.168.5.0/24へのtelnet拒否

R2#conf t
R2(config)#access-list 100 deny tcp any 192.168.0.0 0.0.0.255 
eq telnet
R2(config)#access-list 100 deny tcp any 192.168.1.0 0.0.0.255 
eq telnet
R2(config)#access-list 100 deny tcp any 192.168.2.0 0.0.0.255 
eq telnet
R2(config)#access-list 100 deny tcp any 192.168.3.0 0.0.0.255 
eq telnet
R2(config)#access-list 100 deny tcp any 192.168.4.0 0.0.0.255 
eq telnet
R2(config)#access-list 100 deny tcp any 192.168.5.0 0.0.0.255 
eq telnet
R2(config)#access-list 100 permit ip any any
R2(config)#int fa0/0
R2(config-if)#ip access-group 100 in
R2(config-if)#end
R2#

◆R2に設定されている全てのアクセスリストを表示

R2#show access-lists
Extended IP access list 100
    10 deny tcp any 192.168.0.0 0.0.0.255 eq telnet
    20 deny tcp any 192.168.1.0 0.0.0.255 eq telnet
    30 deny tcp any 192.168.2.0 0.0.0.255 eq telnet
    40 deny tcp any 192.168.3.0 0.0.0.255 eq telnet
    50 deny tcp any 192.168.4.0 0.0.0.255 eq telnet
    60 deny tcp any 192.168.5.0 0.0.0.255 eq telnet
    70 permit ip any any (1472 matches)
R2#

下記の設定を消してみます。
30 deny tcp any 192.168.2.0 0.0.0.255 eq telnet

◆シーケンス番号30の設定を削除する

R2#conf t
R2(config)#ip access-list extended 100
R2(config-ext-nacl)#no 30
R2(config-ext-nacl)#end
R2#

◆シーケンス番号30の設定が存在しないことを確認
※deny tcp any 192.168.2.0 0.0.0.255 eq telnetが存在しない

R2#show access-lists
Extended IP access list 100
    10 deny tcp any 192.168.0.0 0.0.0.255 eq telnet
    20 deny tcp any 192.168.1.0 0.0.0.255 eq telnet
    40 deny tcp any 192.168.3.0 0.0.0.255 eq telnet
    50 deny tcp any 192.168.4.0 0.0.0.255 eq telnet
    60 deny tcp any 192.168.5.0 0.0.0.255 eq telnet
    70 permit ip any any (2254 matches)
R2#

次にシーケンス番号30で別の定義を追加してみます。

◆新しい定義をシーケンス番号30で追加する
全てのホストから192.168.30.0/24へのWebアクセスを拒否する設定を追加
※この図では192.168.30.0/24の構成は入っていませんが、便宜上存在するものとして設定しています。

R2#conf t
R2(config)#ip access-list extended 100
R2(config-ext-nacl)#30 deny tcp any 192.168.30.0 0.0.0.255 eq 80
R2(config-ext-nacl)#end
R2#

◆シーケンス番号30に新たな定義が追加されていることを確認

R2#show access-lists
Extended IP access list 100
    10 deny tcp any 192.168.0.0 0.0.0.255 eq telnet
    20 deny tcp any 192.168.1.0 0.0.0.255 eq telnet
    30 deny tcp any 192.168.30.0 0.0.0.255 eq www
    40 deny tcp any 192.168.3.0 0.0.0.255 eq telnet
    50 deny tcp any 192.168.4.0 0.0.0.255 eq telnet
    60 deny tcp any 192.168.5.0 0.0.0.255 eq telnet
    70 permit ip any any (3788 matches)
R2#

<<解説>>

・定義の追加、削除をする前にshow access-listsコマンドで現在の状態を確認
・修正するシーケンス番号および追加する番号を確認
・修正する場合は(config)#ip access-list standard/extended [番号]でモード移行
・移行したら(config-ext-nacl)# no [シーケンス番号]で削除できる
・(config-ext-nacl)# [シーケンス番号] 新たな定義でシーケンス番号の場所に追加できる

・現在設定されているアクセスリストの確認
R2#show access-lists
Extended IP access list 100
10 deny tcp any 192.168.0.0 0.0.0.255 eq telnet
20 deny tcp any 192.168.1.0 0.0.0.255 eq telnet
30 deny tcp any 192.168.2.0 0.0.0.255 eq telnet
   ~略~
R2#
show access-listsコマンドで確認します。
各定義の左にある数字がシーケンス番号です。
10から始まり10ずつ増えていきます。
番号の若いものから優先して制御していきます。

・修正方法
アクセスリストを番号100で作成したとします。
(config)#access-list 100 ~

今回の拡張アクセスリストを修正するにはまず下記の通りモードを移行します。
(config)#ip access-list extended 100

一つの定義を削除する場合
(config-ext-nacl)#no [シーケンス番号]

定義を追加(挿入)する場合
(config-ext-nacl)#[シーケンス番号] 新たな定義

アクセスリストの修正は少し難しいと思います。

修正後は必ずshow access-listsコマンドで確認するようにしましょう。

みんなのCisco TOPページへ

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク