PR:試験対策にクラムメディアのWeb問題集

2005年07月26日

アクセスリストの検証

アクセスリストの検証は重要な作業である。
設定を誤ると必要なパケットを破棄してしまい、トラブルの原因になるためである。


以下の図のネットワークを作成。

ByCCNAバーチャルラボ UltimateNetworkVisualizer4


インターフェイスに適用されているアクセスリストの確認
FastEthernet0/0のインバウンドに設定されている。
Router#show ip interface
(途中抜粋)
FastEthernet0/0 is up, line protocol is up
Internet address is 192.168.1.254/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1514 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is 105
Proxy ARP is enabled
Security level is default
Split horizon is enabled


アクセスリスト105の内容を表示
Router#show access-list 105
Extended IP access list 105
permit ip host 192.168.1.1 any
permit ip host 192.168.1.2 host 172.16.1.1
permit ip host 192.168.1.3 host 172.16.1.2

3つの条件にヒットしないパケットは暗黙のDenyですべて拒否される



ルータに設定してあるすべてのアクセスリストを表示
Router#show ip access-list
Extended IP access list 105

permit ip host 192.168.1.1 any
permit ip host 192.168.1.2 host 172.16.1.1
permit ip host 192.168.1.3 host 172.16.1.2
Extended IP access list 110
permit ip 0.0.0.1 255.255.255.0 any


アクセスリスト110は、設定ミスをそのまま放置しているために出力された。



posted by GETCCNA at 23:53 | Comment(0) | TrackBack(0) | CCNA用語【あ〜お】

2005年07月20日

【アクセスリスト】拡張アクセスリストの設定

拡張アクセスリストの設定について

以下の図のネットワークを作成。

ByCCNAバーチャルラボ UltimateNetworkVisualizer4

拡張アクセスリストは、標準アクセスリストの送信元IPアドレスのみを条件として指定するのではなく、プロトコル、送信先アドレスとワイルドカードマスク、送信先ポート、宛先アドレスとワイルドカードマスク、宛先ポート、を条件として指定することが出来る。

設定は、グローバルコンフィグレーションモードにて、

access-list number [permit | deny] protocol source[mask] operator port distination[mask] established log

のように記述する。

number・・・アクセスリストの番号(100〜199)
permit | deny・・・permit(許可) deny(拒否)
protocol・・・プロトコル種別(TCP、UDP、IPなどなど)
source[mask]・・・送信元IPアドレスとワイルドカードマスク
operator port・・・特定のアプリを選択するときに使用する。operatorには、eq(等しい)、neq(等しくない)、lt(より小さい)、gt(より大きい)を指定し、portには、アプリのポート番号又はポート名(FTPやTELNETなど)を指定する。
distination[mask]・・・宛先IPアドレスとワイルドカードマスク
established・・・インバウンドのときのみ有効で、TCPのACKビットが1のセグメントをすべて許可する。
log・・・条件に該当するパケットがあったとき、管理者用のログに記録する。



例:
上図のネットワークにおいて、
1.HostAから172.16.1.0/24へのアクセスはすべて許可
2.HostBから172.16.1.0/24へのアクセスはHostDのみ許可
3.HostCから172.16.1.0/24へのアクセスはHostEのみ許可

の条件でアクセスリストを作成する。

●アクセスリストの作成
グローバルコンフィグレーションモードにてアクセスリストを作成。
Router(config)#access-list 110 permit ip host 192.168.1.1 0.0.0.0 255.255.255.255
Router(config)#access-list 110 permit ip host 192.168.1.2 host 172.16.1.1
Router(config)#access-list 110 permit ip host 192.168.1.2 172.16.1.1 0.0.0.0
Router(config)#access-list 110 permit ip host 192.168.1.3 172.16.1.2 0.0.0.0
Router(config)#exit
Router#show access-list
Extended IP access list 110
permit ip host 192.168.1.1 any
permit ip host 192.168.1.2 host 172.16.1.1
permit ip host 192.168.1.3 host 172.16.1.2
Router#


●HostAからHostD及びHostEへPing
正常にPingが通っていることを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>


●ルータのFastEthernet0/0のインバウンドにアクセスリスト110を適用
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 110 in
Router(config-if)#


●HostAからHostD及びHostEへPing
正常にPingが通っていることを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>


●HostBからHostD及びHostEへPing
HostEからのPingの応答がないことを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>


●HostCからHostD及びHostEへPing
HostDからのPingの応答がないことを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>



posted by GETCCNA at 23:12 | Comment(0) | TrackBack(0) | CCNA用語【あ〜お】

2005年07月12日

【アクセスリスト】標準アクセスリストの設定

標準アクセスリストの設定

標準アクセスリストは、アクセスリストナンバーが1〜99の範囲で、送信元のIPアドレスのみを条件として指定する。


ByCCNAバーチャルラボ UltimateNetworkVisualizer4

上の図のような簡単なネットワークを作成して、標準アクセスリストの動作を確認。

【条件】
HostAとHostBのパケットを拒否しHostGへの通信不可にする。

〜通信の確認〜
HostAからHostGへPing
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>
アクセスリストの作成 ナンバー15で作成
Router(config)#access-list 15 deny 192.168.1.1 0.0.0.0
Router(config)#access-list 15 deny 192.168.1.2 0.0.0.0
Router(config)#access-list 15 permit 0.0.0.0 255.255.255.255
最後の行にすべてを許可する命令を入れるのは、アクセスリストには暗黙の拒否があり、アクセスリストと一致しなかったパケットはすべて拒否されてしまうため。

アクセスリストの確認
Router#show access-list 15
Standard IP access list 15
deny 192.168.1.1
deny 192.168.1.2
permit 0.0.0.0, wildcard bits 255.255.255.255
Router#


インターフェイスにアクセスリストを適用
今回は、F0/1のアウトバウンド(パケットがインターフェイスから出て行くとき)で設定。

Router(config)#interface fastethernet 0/1
Router(config-if)#ip access-group 15 out


〜通信の確認〜
HostAからHostGへPing
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>
通信が拒否されている。


posted by GETCCNA at 23:50 | Comment(1) | TrackBack(0) | CCNA用語【あ〜お】

2005年07月07日

アクセスリストの概要

アクセスリストの概要について

アクセスリストとは、ネットワークへのアクセスを制御するための条件文で、

・パケットのフィルタリング
・トラフィックの分類
・ルーティングアップデートのフィルタリング
・NATによる変換対象アドレスの定義
・DDRのinterestingトラフィック指定

がある。

ここでは、代表的なパケットフィルタリングを例に簡単に説明する。

●パケットフィルタリング
パケットフィルタリングとは、ルータのインターフェイスを出入りするパケットを制御(アクセスの禁止/許可)する機能のことで、特定のユーザー、特定のサブネットワーク、各種ネットワークサービス(プロトコルやポートなど)を制御する。

パケットがルータに入ってくることをインバウンド、パケットがルータから出て行くことをアウトバウンドといい、インバウンドにアクセスリストが割り当てられていたら、パケットを受信したとき、アウトバウンドに割り当てられていたら、パケットを送信するときに、パケットの中身をチェックする。

●アクセスリストの種類
アクセスリストは、標準アクセスリストと拡張アクセスリストがある。

標準アクセスリストは、アクセスリスト番号1〜99番まで使用することができる。パケットのチェックは、送信元IPアドレスのみチェックしてプロトコルやポート番号などはチェックしない。

拡張アクセスリストは、アクセス番号100〜199番まで使用することができる。パケットのチェックは、送信元IPアドレス以外に、あて先IPアドレス、プロトコル、ポート番号などトラフィック制御の際に細かい判断が出来る。

●アクセスリストの動作
アクセスリストは、上から順番にチェックされる。
-----------------------------
192.168.1.0 → 許可
192.168.1.2 → 拒否
-----------------------------

上記のようにアクセスリストが設定してあった場合、192.168.1.2の通信は、本来ならば拒否されなければいけないが、1行目で許可が出ているので、拒否されない。拒否などの限定的な条件は上の方に記述したほうがよい。

暗黙の拒否について、アクセスリストの最後に必ずある(実際には見えない)もので、アクセスリストにマッチしないものはすべて拒否すると言う意味。なので、アクセスリストを作成する際には、十分に注意すること。


posted by GETCCNA at 22:51 | Comment(0) | TrackBack(0) | CCNA用語【あ〜お】

2005年05月21日

イーサネットフレームフォーマット

Ethernetフレームのフォーマットについて

Ethernetフレームのフォーマットにはいろいろな種類があるが、一番重要なのが、TCP/TPで使われているEthenet ver2だろうと思われる。

8バイト 6バイト 6バイト 2バイト 46〜1500バイト 4バイト
プリアンブル 送信元
MACアドレス
送信先
MACアドレス
タイプ データ FCS


プリアンブル
通信を行う時に機器同士でタイミングを調整するために使う。
例えで言うなら、楽器を演奏するときに、足でリズムを取ったり、手拍子したりする感じ。
尚、プリアンブルは8バイトと書いてあるが、実際には先頭から7バイトがプリアンブルで残りの1バイトがSFD(Start Frame Delimeter)といって、この次からEthernetフレームが始まるという印になっている。

送信先MACアドレス

送信元MACアドレス

タイプ
パケットの種類。IPの場合は0800、ARPの場合は0806と決まっている。
そのほかのタイプフィールドの一覧は
http://www.cavebear.com/CaveBear/Ethernet/
を参照

データ
ネットワーク層のデータが入る。どのようなデータが入っているかは、タイプフィールドによって決まる。

FCS
Frame Check Sequence
フレームを受け取った機器側でデータが壊れていないか確認するためのデータ。


posted by GETCCNA at 00:01 | Comment(0) | TrackBack(0) | CCNA用語【あ〜お】

2004年12月31日

アドミニストレイティブディスタンス

Cisco CCNA問題集640-801/811+821対応より

アドミニストレイティブディスタンスとは、ルーティングテーブルのエントリの情報源を評価するための値のことで、値が低いほど高信頼性になります。また、この値は変更することが可能です。

posted by GETCCNA at 02:25 | Comment(0) | TrackBack(0) | CCNA用語【あ〜お】

2004年12月12日

ウインドウサイズ

TCPの機能を語る上で忘れてはならないのが、ウインドウサイズだと思います。続きを読む

posted by GETCCNA at 15:31 | Comment(0) | TrackBack(0) | CCNA用語【あ〜お】
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。