Contents
名前付きアクセスリスト(拡張)を使って通信を制御する
ここでは既にルーティングなどの設定はされているものとします。
◆R2のfa0/0のInbound方向にアクセスリストを設定
◆R1からR5へtelnetが可能なことを確認
R1#telnet 192.168.5.2 Trying 192.168.5.2 ... Open R5>
◆R2に名前付き拡張アクセスリストを設定
全てのNWから192.168.5.0/24へtelnetを拒否する
R2#conf t R2(config)#ip access-list extended telnet_deny R2(config-ext-nacl)#deny tcp any 192.168.5.0 0.0.0.255 eq telnet R2(config-ext-nacl)#permit ip any any R2(config-ext-nacl)#exi R2(config)#int fa0/0 R2(config-if)#ip access-group telnet_deny in R2(config-if)#end R2#
◆R2からR5へtelnetログインが拒否されていることを確認
R1#telnet 192.168.5.2 Trying 192.168.5.2 ... % Destination unreachable; gateway or host down R1#
<<解説>>
・番号付きアクセスリストをマスターしてから名前付きアクセスリストを覚える
基本は前回の名前付き標準アクセスリストと同じです。
・構文
・(config)#ip access-list extended [名前] ~
(config)#ip access-list extended telnet_denyという名前付き拡張アクセスリストを作成
・(config-ext-nacl)#deny/permit [送信元アドレス][WM] [送信先アドレス][WM] eq [プロトコル名/ポート番号]
※WM = ワイルドカードマスク
※eq = equal (最も使われるのがeqになります)
(config-ext-nacl)#deny tcp any 192.168.5.0 0.0.0.255 eq telnet
・(config-if)#ip access-group [名前] in/out
(config-if)#ip access-group telnet_deny in
インタフェースに名前付きアクセスリストを適用させます。
PartⅠ~ PartⅤを順番に覚えていけば全く難しくないと思います。