Contents
名前付きアクセスリスト(標準)を使って通信を制御する
ここでは既にルーティングなどの設定はされているものとします。
◆R2のfa0/0のInbound方向にアクセスリストを設定
◆PC-1からPC-2へPingが通ることを確認
PC-1> ping 192.168.200.100 -c3 84 bytes from 192.168.200.100 icmp_seq=1 ttl=60 time=67.525 ms 84 bytes from 192.168.200.100 icmp_seq=2 ttl=60 time=81.772 ms 84 bytes from 192.168.200.100 icmp_seq=3 ttl=60 time=60.141 ms
◆名前付き標準アクセスリストでPC-1の通信を制御する
R2#conf t R2(config)#ip access-list standard PC-1_deny R2(config-std-nacl)#deny host 192.168.100.100 R2(config-std-nacl)#permit any R2(config-std-nacl)#exi R2(config)#int fa0/0 R2(config-if)#ip access-group PC-1_deny in R2(config-if)#end R2#
◆PC-1からPC-2へのPingが通らなくなったことを確認
PC-1> ping 192.168.200.100 -c 3 *192.168.1.2 icmp_seq=1 ttl=254 time=30.995 ms (ICMP type:3, code:13, Communication administratively prohibited) *192.168.1.2 icmp_seq=2 ttl=254 time=21.680 ms (ICMP type:3, code:13, Communication administratively prohibited) *192.168.1.2 icmp_seq=3 ttl=254 time=23.245 ms (ICMP type:3, code:13, Communication administratively prohibited) PC-1>
<<解説>>
・名前付きアクセスリストの構文は少し番号のアクセスリストと異なる。
・でもほぼ同じなので整理して覚えれば簡単
・構文
(config)#ip access-list standard [アクセスリスト名]
(config-std-nacl)#deny/permit host [IPアドレス]
(config)#ip access-list standard PC-1_deny
(config-std-nacl)#deny host 192.168.100.100
今までご紹介した3つの記事ではいずれもアクセスリストは下記の構文から始まっています。
(config)#access-list [番号] ~
・PartⅠ
・PartⅡ
・PartⅢ
名前付きアクセスリストの場合は下記の構文から始まります。
(config)#ip access-list standard/extended [名前] ~
また名前付きアクセスリストを作成するとプロンプトが下記の様に変化します。
(config-std-nacl)#
作成した名前付きアクセスリストを適用する場合は、
今まで同様インタフェースモードで適用します。
番号では無くアクセスリスト名で適用します。
(config-if)#ip access-group [アクセスリスト名] in/out
まずはアクセスリストの番号で設定する方法をマスターしてから、
次に名前付きアクセスリストの方法を覚えると良いと思います。