Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

Similar documents
実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

一般的に使用される IP ACL の設定

実習 :VLSM を使用した IPv4 アドレスの設計と実装 トポロジ 学習目標 パート 1: ネットワーク要件の確認 パート 2:VLSM アドレス方式の設計 パート 3:IPv4 ネットワークのケーブル配線と設定 背景 / シナリオ 可変長サブネットマスク (VLSM) は IP アドレスの節約

実習 :VLAN 間ルーティングのトラブルシューティング トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 8 ページ

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

実習 : ダイナミック NAT とスタティック NAT の設定 トポロジ アドレステーブル デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ ゲートウェイ G0/ N/A S0/0/

2 1: OSI OSI,,,,,,,,, 4 TCP/IP TCP/IP, TCP, IP 2,, IP, IP. IP, ICMP, TCP, UDP, TELNET, FTP, HTTP TCP IP

シナリオ:DMZ の設定

ICND2-Road to ICND2- 前提知識 ICND 2では CCEN Tレベルの知識がある方 (ICND 1 試験の合格レベル ) を対象とし それ同等 の知識が必要になってきます 研修に参加されるまでに以下の項目を復習しておくことを お勧めします IP アドレスとサブネットマスク ホスト

連絡先

FQDN を使用した ACL の設定

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

実習 :DHCPv4 のトラブルシューティング トポロジ アドレステーブルデバイス インターフェイス IP アドレス サブネットマスク デフォルトゲートウェイ R1 G0/ N/A G0/

ルーティング 補足資料

ACLsamples.pdf

F コマンド

IT講習会

untitled

ip nat outside source list コマンドを使用した設定例

Microsoft Word - ID32.doc

IPv4 ACL の設定

IPv6 ACL の設定

IP アクセス リストの設定

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

詳細設定

F コマンド

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

ヤマハ ルーター ファイアウォール機能~説明資料~

IPv4 ACL の設定

マルチポイント GRE を介したレイヤ 2(L2omGRE)

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

VRF のデバイスへの設定 Telnet/SSH アクセス

IPv4 ACL の設定

IPv4 ACL の設定

Policy Based Routing:ポリシー ベース ルーティング

conf_example_260V2_inet_snat.pdf

実習 : スイッチのセキュリティ機能の設定 トポロジ アドレステーブルデバイス インターフェイス IP アドレス サブネットマスク デフォルトゲートウェイ R1 G0/ N/A S1 VLAN

9.pdf

1 Linux UNIX-PC LAN. UNIX. LAN. UNIX. 1.1 UNIX LAN. 1.2 Linux PC Linux. 1.3 studenta odd kumabari studentb even kumabari studentc odd kumabari student

情報通信の基礎

目 次 1 改 訂 履 歴 はじめに L2 ACL 基 本 設 定 L2 ACL の 作 成 L2 ACL のインタフェースまたは VLAN への 適 用 L2 ACL の 設 定 の 確 認 L3 AC

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

ヤマハ ルーター ファイアウォール機能~説明資料~

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

PfRv2 での Learn-List と PfR-Map の設定

LAN

IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

実習 : シングルエリアでの OSPFv3 の基本設定 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 11 ページ

VPN 接続の設定

シナリオ:サイトツーサイト VPN の設定

Managed Firewall NATユースケース

SMTP ルーティングの設定

Web 認証拡張機能簡易ドキュメント

適応型セキュリティ アプライ アンスの設定

橡sirahasi.PDF

Policy Based Routing:ポリシー ベース ルーティング

オペレーティング システムでの traceroute コマンドの使用

untitled

SMB スイッチ CLI に SSH を使用してアクセスするか、または Telnet で接続して下さい

AP-700/AP-4000 eazy setup

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

8. Windows の補足情報 コマンドの使用についての説明です Windows からのファイル直接印刷 Windows でコマンドを使用したファイル直接印刷の方法についての説明です この機能はネットワーク接続をしているときに使用できます この方法で印刷できるファイルは 本機が搭載しているエミュレ

NetLec17TCPIP1.ppt

III 1 R el A III 4 TCP/IP プロトコルと 関連する各種上位プロトコルの基礎を学ぶ 具体的には 各プロトコルを実装したコマンド ( アプリケーションプログラム ) を実行し 各プロトコルの機能等を確認する また 同じプロトコルを実装したコンピュータ間では OS

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

Net'Attest EPS設定例

FW Migration Guide (Single)

Si-R30取扱説明書

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

untitled

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

SRT/RTX/RT設定例集

適応型セキュリティ アプライ アンスの設定

ScreenOS Copyright (C) 2005 NOX Co., Ltd. All Rights Reserved. Version1.00

VNSTProductDes3.0-1_jp.pdf

付録

URL ACL(Enhanced)導入ガイド

パケットモニター (Wireshark) の使い方 第 1 版 1.Wireshark とは ネットワーク上 (LAN ケーブルに流れている ) のパケットを取得して その中の情報を画面に表示するソフトウェア (LAN アナライザーまたはパケットモニター ) の 1 つに Wiresh

RADIUS NAS-IP-Address アトリビュート 設定可能性

authentication command bounce-port ignore ~ auth-type

Mac OS X Server QuickTime Streaming Server 5.0 の管理(バージョン 10.3 以降用)

Microsoft PowerPoint ppt [互換モード]

はじめに IRASⅡ(IPsec Remote Access ServiceⅡ) は インターネット暗号化技術により お客様ネットワークにセキュアなリモ-トアクセス環境を提供いたします IRASⅡハードウェアクライアントでは Cisco Systems の IOS ルータ機能を利用します 本マニュア

untitled

SCREENOS NAT ScreenOS J-Series(JUNOS9.5 ) NAT ScreenOS J-Series(JUNOS9.5 ) NAT : Destination NAT Zone NAT Pool DIP IF NAT Pool Egress IF Loopback Grou

MPLS での traceroute コマンド

IPv6 リンクローカル アドレスについて

Microsoft PowerPoint - RM-PDU_IP設定方法.ppt

---> 1 <------IP configurationの1を選択 2. IP address: Subnet mask: > 2 < IP addressの1を選択 Enter IP address: 192.

ASA ネットワーク アドレス変換構成のトラブルシューティング

実習 :CCP を使用したルータの基本設定 トポロジ アドレステーブルデバイス インターフェイス IP アドレス サブネットマスク デフォルトゲートウェイ R1 G0/ N/A G0/ N/A

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

VPN の IP アドレス

wide94.dvi

設定例: 基本 ISDN 設定


tutorial.dvi

Transcription:

トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/0 172.22.34.65 255.255.255.224 N/A G0/1 172.22.34.97 255.255.255.240 N/A G0/2 172.22.34.1 255.255.255.192 N/A Server NIC 172.22.34.62 255.255.255.192 172.22.34.1 PC1 NIC 172.22.34.66 255.255.255.224 172.22.34.65 PC2 NIC 172.22.34.98 255.255.255.240 172.22.34.97 学習目標 パート 1: 番号付き拡張 ACL の設定 適用 および確認 パート 2: 名前付き拡張 ACL の設定 適用 および確認 背景 / シナリオ 2 人の社員がサーバによって提供されるサービスにアクセスする必要があります PC1 は FTP アクセスだけを必要とし PC2 は Web アクセスだけを必要としています どちらのコンピュータもサーバに ping できますが 互いにはできません 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 5 ページ

パート 1: 番号付き拡張 ACL を設定 適用 および確認する 手順 1: FTP および ICMP を許可するように ACL を設定します a. R1 で グローバルコンフィギュレーションモードから次のコマンドを入力して 拡張アクセスリストの最初の有効な番号を決定します R1(config)# access-list? <1-99> IP standard access list <100-199> IP extended access list b. コマンドに 100 を追加し その後に疑問符を付けます R1(config)# access-list 100? deny Specify packets to reject permit Specify packets to forward remark Access list entry comment c. FTP トラフィックを許可するには permit を入力して 疑問符を付けます R1(config)# access-list 100 permit? ahp Authentication Header Protocol eigrp Cisco's EIGRP routing protocol esp Encapsulation Security Payload gre Cisco's GRE tunneling icmp Internet Control Message Protocol ip Any Internet Protocol ospf OSPF routing protocol tcp Transmission Control Protocol udp User Datagram Protocol d. この ACL では FTP と ICMP が許可されます ICMP は上記のとおりですが FTP は TCP を使用するので リストされていません したがって TCP を入力します ACL のヘルプを絞り込むには tcp を入力します R1(config)# access-list 100 permit tcp? A.B.C.D Source address any Any source host host A single source host e. host キーワードを使用して PC1 だけをフィルタリングすることも 任意の (any) ホストを許可することもできます この場合 172.22.34.64/27 ネットワークに属するアドレスを持つデバイスが許可されます ネットワークアドレスを入力して その後に疑問符を入力します R1(config)# access-list 100 permit tcp 172.22.34.64? A.B.C.D Source wildcard bits f. サブネットマスクのバイナリの逆を求めるワイルドカードマスクを計算します 11111111.11111111.11111111.11100000 = 255.255.255.224 00000000.00000000.00000000.00011111 = 0.0.0.31 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2 / 5 ページ

g. ワイルドカードマスクを入力して その後に疑問符を入力します R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31? A.B.C.D Destination address any Any destination host eq Match only packets on a given port number gt Match only packets with a greater port number host A single destination host lt Match only packets with a lower port number neq Match only packets not on a given port number range Match only packets in the range of port numbers h. 宛先アドレスを設定します このシナリオでは 単一の宛先 ( サーバ ) へのトラフィックをフィルタリングします host キーワードを入力して その後にサーバの IP アドレスを入力します R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62? dscp Match packets with given dscp value eq Match only packets on a given port number established established gt Match only packets with a greater port number lt Match only packets with a lower port number neq Match only packets not on a given port number precedence Match packets with given precedence value range Match only packets in the range of port numbers <cr> i. オプションの 1 つは <cr>( キャリッジリターン ) です 言い換えると Enter キーを押すと 文はすべての TCP トラフィックを許可します ただし この例では FTP トラフィックだけを許可するので eq キーワードの後に疑問符を続けて 利用可能なオプションを表示します 次に ftp と入力し Enter キーを押します R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq? <0-65535> Port number ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) telnet Telnet (23) www World Wide Web (HTTP, 80) R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp j. PC1 から Server への ICMP(ping など ) トラフィックを許可するために 2 番目のアクセスリスト文を作成します アクセスリスト番号は同じままであり 特定のタイプの ICMP トラフィックを指定する必要がないことに注意してください R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 k. 他のすべてのトラフィックは デフォルトで拒否されます 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 3 / 5 ページ

手順 2: ACL を正しいインターフェイスに適用して トラフィックをフィルタリングします R1 から見て ACL 100 が適用されるトラフィックは ギガビットイーサネット 0/0 インターフェイスに接続されているネットワークからのインバウンドです インターフェイスコンフィギュレーションモードを開始し ACL を適用します R1(config)# interface gigabitethernet 0/0 R1(config-if)# ip access-group 100 in 手順 3: ACL の実装を確認します a. PC1 から Server に ping します ping が失敗した場合は 続行する前に IP アドレスを確認します b. PC1 から Server に FTP します ユーザ名とパスワードは両方とも cisco です PC> ftp 172.22.34.62 c. Server の FTP サービスを終了します ftp> quit d. PC1 から PC2 に ping します トラフィックが明示的に許可されないので 宛先ホストに到達不能です パート 2: 拡張名前付き ACL の設定 適用 および確認 手順 1: HTTP アクセスと ICMP を許可するように ACL を設定します a. 名前付き ACL は ip キーワードで始まります R1 のグローバルコンフィギュレーションモードから 次のコマンドを入力し 疑問符を続けます R1(config)# ip access-list? extended Extended Access List standard Standard Access List b. 名前付き標準 ACL および拡張 ACL を設定できます このアクセスリストは 発信元と宛先の両方の IP アドレスをフィルタリングするので 拡張する必要があります 名前として HTTP_ONLY と入力します (Packet Tracer 採点のために 名前は大文字と小文字が区別されます ) R1(config)# ip access-list extended HTTP_ONLY c. プロンプトの表示が変わります 名前付き拡張 ACL コンフィギュレーションモードになります PC2 LAN 上のすべてのデバイスは TCP アクセスを必要とします ネットワークアドレスを入力して その後に疑問符を入力します R1(config-ext-nacl)# permit tcp 172.22.34.96? A.B.C.D Source wildcard bits d. ワイルドカードを計算する別の方法として 255.255.255.255 からサブネットマスクを引きます 255.255.255.255-255.255.255.240 ----------------- = 0. 0. 0. 15 R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15? e. パート 1 で行ったようにサーバのアドレスを指定し www トラフィックをフィルタリングすることによって 文を終了します R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 4 / 5 ページ

f. PC2 から Server への ICMP(ping など ) トラフィックを許可するために 2 番目のアクセスリスト文を作成します 注 : プロンプトは同じままであり 特定のタイプの ICMP トラフィックを指定する必要はありません R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62 g. 他のすべてのトラフィックは デフォルトで拒否されます 名前付き拡張 ACL コンフィギュレーションモードを終了します 手順 2: ACL を正しいインターフェイスに適用して トラフィックをフィルタリングします R1 から見て アクセスリスト HTTP_ONLY が適用されるトラフィックは ギガビットイーサネット 0/1 インターフェイスに接続されているネットワークからのインバウンドです インターフェイスコンフィギュレーションモードを開始し ACL を適用します R1(config)# interface gigabitethernet 0/1 R1(config-if)# ip access-group HTTP_ONLY in 手順 3: ACL の実装を確認します a. PC2 から Server に ping します ping が失敗した場合は 続行する前に IP アドレスを確認します b. PC2 から Server に FTP します 接続は失敗するはずです c. PC2 で Web ブラウザを開き URL として Server の IP アドレスを入力します 接続は成功するはずです 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 5 / 5 ページ

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック