- 締切済み
CiscoのACLのかけかたについて
よろしくお願いします。 Catalyst3550などのACLのかけかたで方向が混乱してしまいます。 行いたい内容は、 vlan30 <---> vlan10 :OK vlan30 <---> vlan20 :NG とした場合以下の設定は間違っていますよね?? ---> interface Vlan10 ip address 192.168.10.1 255.255.255.0 interface Vlan20 ip address 192.168.20.1 255.255.255.0 interface Vlan30 ip address 192.168.30.1 255.255.255.0 ip access-group v-30 in ip access-list extended v-30 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 deny ip any any <--- この場合は、 ip access-group v-30 out とするか、 ip access-group v-30 in で、 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 にするべきですよね?? 方向の考え方は、 in は入ってくるパケットで out は出て行くパッケトでよろしいでしょうか? なので、 in を使うとき、送信元は相手セグメント・送信先は自セグメント out を使うとき、送信元は自セグメント・送信先は相手セグメント という認識であっていますでしょうか? ※拡張ACLの場合 よろしくお願い致します。
- kenta_2002
- お礼率44% (16/36)
- ネットワーク
- 回答数1
- ありがとう数3
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- teltel
- ベストアンサー率48% (41/84)
-> ・・・ <-で囲んである記載例のかけ方で合ってますよ。 ↓この部分の考え方はあってますが、 >方向の考え方は、 >in は入ってくるパケットで out は出て行くパッケトでよろしいでしょうか? ↓この部分は逆になります。 >in を使うとき、送信元は相手セグメント・送信先は自セグメント >out を使うとき、送信元は自セグメント・送信先は相手セグメント >という認識であっていますでしょうか? というのはVLAN30のIFにACLを当てるケースでは、VLAN30のネットワークからVLAN30-IFにパケットが入ってくることになるからです。 ご存知のACLの一つ目に書くアドレスはソースアドレスになるので、VLAN30内のネットワークを指定すれば良いです。
