ルーティング 補足資料



Similar documents
目 次 1 改 訂 履 歴 はじめに L2 ACL 基 本 設 定 L2 ACL の 作 成 L2 ACL のインタフェースまたは VLAN への 適 用 L2 ACL の 設 定 の 確 認 L3 AC

2/5ページ 5 L2スイッチにVLAN20を 作 成 し fa0/1ポートと 関 連 付 けを 行 う 際 不 要 なコマンドを 選 びなさい 1. switch(config)#vlan switch(config-if)#switchport mode trunk 3. switc

端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス /32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス /

ACLsamples.pdf

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

目 次 1. Web メールのご 利 用 について Web メール 画 面 のフロー 図 Web メールへのアクセス ログイン 画 面 ログイン 後 (メール 一 覧 画 面 ) 画 面 共 通 項 目

ACL設定ガイド 第2版

技術報告会原稿フォーマット

ユーザーマニュアル

KINGSOFT Office 2016 動 作 環 境 対 応 日 本 語 版 版 共 通 利 用 上 記 動 作 以 上 以 上 空 容 量 以 上 他 接 続 環 境 推 奨 必 要 2

プロキシサーバー 概 要 プロキシサーバーは 頻 繁 にアクセスされる Web ページの 内 容 をキャッシュ することで ネットワークトラフィックを 削 減 し エンドユーザーに 対 するレスポ ンスの 高 速 化 を 行 います Internet Explorer などのブラウザでもデータをキャ

ユーザーガイド

Microsoft Word - PPTP-manual_MacOS_.doc

迷惑メールフィルタリングコントロールパネル利用者マニュアル

一般的に使用される IP ACL の設定

<95CA8E A4F C B A C E786C7378>

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

C.1 共 有 フォルダ 接 続 操 作 の 概 要 アクセスが 許 可 されている 研 究 データ 交 換 システムの 個 人 用 共 有 フォルダまたは メーリングリストの 共 有 フォルダに 接 続 して フォルダを 作 成 したり ファイル をアップロードまたはダウンロードしたりすることがで

Untitled

AirStationPro初期設定

エンドポイントにおける Web コントロール 概要ガイド

conf_example_260V2_inet_snat.pdf

Microsoft Word - 新ユーザー専用ページ機能詳細・マニュアル.doc

WEBメールシステム 操作手順書

Microsoft Word - ML_ListManager_10j.doc

実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

目 次. WEB メールへのログイン.... メール 送 信 手 順.... メール 受 信 手 順 アドレス 帳 の 操 作 手 順 フォルダーの 操 作 手 順 メール 発 信 者 登 録 署 名 登 録 手 順 基 本 的 な 設 定

2. F-Secure の 画 面 を 開 く (1)デスクトップのタスクトレイから F-Secure のアイコンをクリックします F-Secure の 状 態 によっては アイコンに [ ]マークが 表 示 されています タスクトレイにアイコンが 見 つからない 場 合 Windows7) スター

iStorage ソフトウェア VMware vSphere Web Client Plug-in インストールガイド

データコピーとは データコピーは 古 い NAS のデータを 新 しい HDL-Z シリーズに 簡 単 にコピーできます 環 境 例 本 製 品 は 以 下 の 用 途 の 際 に 最 適 です 古 い HDL-Z シリーズから 新 しい HDL-Z シリーズへのコピー 古 い HDL-Z シリーズ

預 金 を 確 保 しつつ 資 金 調 達 手 段 も 確 保 する 収 益 性 を 示 す 指 標 として 営 業 利 益 率 を 採 用 し 営 業 利 益 率 の 目 安 となる 数 値 を 公 表 する 株 主 の 皆 様 への 還 元 については 持 続 的 な 成 長 による 配 当 可

目 次 1 はじめに 本 マニュアルの 目 的 注 意 事 項 ご 利 用 のイメージ の 設 定 フロー 概 略 5 3 スマートフォン (Android 6.0) の 設 定 例 接 続 設 定 例 (Sony XPERI

平成15・16年度の建設工事入札参加資格の認定について

ルーティングベースIPsecVPN設定手順書

治 験 実 施 管 理 システム NMGCP 向 け Excel 形 式 プロトコール 作 成 手 順 書 V4.0.3 対 応 版 第 1 版 株 式 会 社 富 士 通 アドバンストエンジニアリング All Rights Reserved,Copyright 株 式 会 社 富 士 通 アドバン

Windows 7ファイル送信方法 SMB編

ACL によるネットワーク セキュリティの設定

情 報 教 育 センタ ー 1 の 設 定 説 明 は で 行 います. 他 のバージョンの を 利 用 されたい 方 は 適 宜 読 み 替 えてください. ft での 設 定 なります. の 起 動 を 起 動 します.この 時 点 で, 次 の 新 しいプロファイル 画 面 が 表 示 される

FortiOS v5. 基 本 設 定 手 順 書 目 次 改 訂 履 歴... はじめに... FortiGate 基 本 設 定 ログイン ローカル 側 インターフェース 設 定 GUI 言 語 設 定 GUI ログイン 日 本 語

DN6(R04).vin

エラー 時 のリダイレクトと 同 じテクニックを 用 いて ロードマスターは URL 内 のプロトコ ルを 書 き 換 えることを 許 しています これは HTTP より HTTPS へ のプロトコル 変 換 を 強 制 させるために 役 立 つオプションです 例 えば クライアントが 貴 社 のウ

Transcription:

アクセスコントロールリスト 補 足 資 料 アクセスコントロールリスト(ACL=Access Control List)は,Cisco IOS (Internetwork Operating System: シスコルータ スイッチで 用 いられる OS) のパケットフィルタであり,パケット 転 送 の 許 可 禁 止 を 指 定 す ることで,ファイアウォールの 構 築 を 行 う. ACL は 下 記 の 条 件 をもとにパケットのフィルタリングを 行 う. 送 信 元 IP アドレス + ワイルドカードマスク 宛 先 IP アドレス + ワイルドカードマスク プロトコル (IP, TCP, UDP, ICMP, etc.) 送 信 元 ポート 番 号 宛 先 ポート 番 号 パケットを 送 信 受 信 するインターフェースと,パケットの 方 向 (in / out) ワイルドカードマスク 送 信 元 IP アドレス, 宛 先 IP アドレスを 指 定 する 際, 複 数 の IP アドレスをまとめて 指 定 するのに 用 いる. IP アドレスを 32 ビットの 2 進 数 表 記 にした 際,チェックを 行 うビットは 0,チェックを 行 わないビット は 1 とし,8 ビット 毎 にドットで 区 切 った 10 進 数 4 つで 表 す. 例 : 172.21.39.0 ~ 172.21.39.255 を 判 定 する 場 合 1 0 1 0 1 1 0 0. 0 0 0 1 0 1 0 1. 0 0 1 0 0 1 1 1. 0 0 0 0 0 0 0 0 --------------------------------------------------------------- ------------------- 最 後 の 8 ビットは 何 でも 良 い 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0. 1 1 1 1 1 1 1 1 = 0. 0. 0. 255 ワイルドカードマスク 任 意 の IP アドレスに 適 合 させる 場 合,0.0.0.0 255.255.255.255 とする.any と 書 いても 良 い. 単 一 の IP アドレスのみに 適 合 させる 場 合,<IP アドレス> 0.0.0.0 とする.host <IP アドレス>と 書 いて も 良 い. ACL の 判 定 順 序 暗 黙 の Deny ACL は, 条 件 に 適 合 したパケットについて, 転 送 許 可 (permit, allow, accept, pass, etc.)か, 拒 否 (deny, reject, drop, etc.)の,どちらかの 操 作 を 行 う. 複 数 の 条 件 がある 場 合 は, 上 から 順 に 判 定 を 行 い, 最 初 に 適 合 した 条 件 の 操 作 を 実 行 する.それより 下 の 条 件 部 は 判 定 されない. 最 後 の 条 件 まで 判 定 を 行 っても 条 件 に 適 合 しなかった 場 合 は,そのパケットは 破 棄 される( 暗 黙 の deny).

Cisco IOS での access-list の 設 定 Cisco IOS での ACL の 設 定 について 記 す. ACL には, 標 準 ACL と 拡 張 ACL の 2 種 類 がある. 標 準 ACL は 送 信 元 IP アドレス( ワイルドカードマ スク)のみで permit/deny の 判 断 を 行 い, 拡 張 ACL は 送 信 元 宛 先 IP アドレス プロトコル ポート 番 号 などの 情 報 に 基 づいて 判 断 を 行 う.ここでは, 拡 張 ACL について 説 明 を 行 う. [ 拡 張 ACL 書 式 ] access-list リスト 番 号 アクション プロトコル ( 続 き) 送 信 元 IP アドレス 送 信 元 ワイルドカードマスク [eq 送 信 元 ポート 番 号 ] ( 続 き) 宛 先 IP アドレス 宛 先 ワイルドカードマスク [eq 宛 先 ポート 番 号 ] ( 続 き) [established] [icmp type] [icmp code] : [] 内 は 省 略 することができる. リスト 番 号 は,ひとまとまりのアクセスリストに 対 して 同 じ 番 号 (100~199)を 付 与 する (1~99: 標 準 ACL 送 信 元 IP のみで 判 断,100~199: 拡 張 ACL IP TCP UDP ヘッダ) アクション permit ( 許 可 ) or deny( 拒 否 ) プロトコル ip(すべての IP パケット),tcp,udp,icmp ポート 番 号 UDP TCP の 時 のみ 有 効.ポート 番 号 を 指 定. 省 略 した 場 合 ポート 番 号 の 検 査 は 行 わない (すべてのポート 番 号 が 該 当 する). established TCP の 時 のみ 有 効.ACK フラグのあるパケットを 照 合. icmp type ICMP の 時 のみ 有 効.ICMP タイプ 番 号 を 指 定. icmp code ICMP の 時 のみ 有 効.ICMP コード 番 号 を 指 定. [ 設 定 したリスト(ACL)をインターフェースに 適 用 ] ACL を 定 義 しただけでは,ACL は 機 能 しない. 実 際 に 機 能 させるために, 設 定 したアクセスリストをル ータのどのインターフェースに 適 用 するか 設 定 する. 設 定 を 行 うことで,そのインターフェースからパケッ トが 送 信 または 受 信 される 際 にアクセスリストにより 転 送 破 棄 の 動 作 が 行 われる. [I/F への 適 用 書 式 ] interface インターフェース 名 ip access-group リスト 番 号 {in out} インターフェース 名 fastethernet0 などのルータのインターフェース 名 を 指 定 リスト 番 号 適 用 する ACL のリスト 番 号 を 指 定 in 指 定 したインターフェースからパケットを 受 信 する 際 に 適 用 out 指 定 したインターフェースからパケットを 送 信 する 際 に 適 用

例 1:ウイルスに 感 染 したホスト 192.168.0.200 を 外 部 に 接 続 させない. アクセス 許 可 192.168.0.200 (fe:fastethernet の 略 ) access-list 101 deny ip 192.168.0.200 0.0.0.0 0.0.0.0 255.255.255.255 access-list 101 permit ip 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 access-list 101 deny ip any any any と 書 いても 良 い 暗 黙 の deny があるので 書 かなくても 良 い ( 設 定 削 除 no access-list 101, no ) 例 2: 内 部 からの Web アクセスのみを 許 可 し.それ 以 外 は 許 可 しない( 外 部 から 発 信 されるパケットは 全 て 不 許 可 ). Webアクセスのみ 許 可 access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 80 access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 443 access-list 102 permit tcp any eq 80 192.168.0.0 0.0.0.255 access-list 102 permit tcp any eq 443 192.168.0.0 0.0.0.255 ACL 102 は, 下 記 の 一 行 でも 良 い access-list 102 permit tcp any 192.168.0.0 0.0.0.255 established ip access-group 102 in

練 習 問 題 (1) 下 図 のネットワークにおいて, 内 部 ネットワーク 内 のクライアントからは Web アクセスのみを 許 可 し, サーバにはアクセス 制 限 をかけないアクセスリストを 設 定 せよ. 外 部 からのアクセスはサーバへは 制 限 なし で 許 可 し,それ 以 外 のホストへは 不 許 可 とする. 任 意 のアクセス 許 可 Webアクセスのみ 許 可 192.168.0.200 サーバ サーバからは 任 意 のアクセスを 許 可 それ 以 外 のクライアントからはポート 80,443 宛 の TCP を 許 可 それ 以 外 は 拒 否 ( 暗 黙 の deny) アクセスリスト 設 定 access-list 101 permit ip 192.168.0.200 0.0.0.0 0.0.0.0 255.255.255.255 access-list 101 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 80 access-list 101 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 443 access-list 102 permit ip 0.0.0.0 255.255.255.255 192.168.0.200 0.0.0.0 access-list 102 permit tcp 0.0.0.0 255.255.255.255 eq 80 192.168.0.0 0.0.0.255 access-list 102 permit tcp 0.0.0.0 255.255.255.255 eq 443 192.168.0.0 0.0.0.255 ip access-group 102 in サーバへは 任 意 のアクセスを 許 可 それ 以 外 のクライアントへはポート 80,443 を 送 信 元 とする TCP を 許 可 それ 以 外 は 拒 否 ( 暗 黙 の deny) 追 加 問 題 (1) においてウイルスに 感 染 した PC は 一 切 外 部 へ 遮 断 する 設 定 を 追 加 するにはどのようにした らよいか?( 感 染 PC の IP アドレスを 192.168.0.150 とする) access-list 101 deny ip 192.168.0.150 0.0.0.0 0.0.0.0 255.255.255.255 ACL 101 の 冒 頭 に 追 加 access-list 101 permit ip 192.168.0.200 0.0.0.0 0.0.0.0 255.255.255.255 access-list 101 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 80 access-list 101 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 443

(2) 下 図 のネットワークにおいて,16 台 のサーバ 群 のみ 外 部 から 任 意 のアクセスを 許 可 し,それ 以 外 の 外 部 からネットワーク 内 へのパケットを 拒 否 する 設 定 を 行 う. 内 部 からのアクセス 制 限 は 考 えなくて よい. 任 意 のアクセス 許 可 サーバ 以 外 は 外 部 から 進 入 禁 止 サーバ 群 (16 台 ) 192.168.0.128 ~ 192.168.0.143 access-list 101 permit ip 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 ワイルドカードマスクをうまく 利 用 する 192.168.0.128 の 最 後 の 4 ビットは 何 でもよい. 128 10000000 の 下 位 4 ビットが 0 または 1 1000xxxx (x は 0 または 1 のいずれか) 10000000 ~ 10001111 128 ~ 143 追 加 問 題 (2) において,サーバ 群 のうち 192.168.0.132~192.168.0.135 の 4 台 をメンテナンスのため 外 部 からアクセスを 不 許 可 としたい 場 合 は,どのようにしたらよいか. access-list 101 deny ip 0.0.0.0 255.255.255.255 192.168.0.132 0.0.0.3 access-list 101 permit ip 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 ACL 101 の 冒 頭 に 追 加 (2) において,サーバ 群 と 外 部 の 間 で DNS,Web,メールのアクセスのみ 相 互 にやりとりし,そ れ 以 外 のアクセスを 許 可 しない 設 定 を 行 うにはどのようにしたらよいか. ACL 101 を 下 記 の access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 eq 80 ように 書 き 換 える access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 eq 443 access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 eq 25 access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 eq 53 access-list 101 permit udp 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 eq 53

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック