- ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:access-classコマンドってなぜ別にあるのでしょうか?)
access-classコマンドの使い方とは?
このQ&Aのポイント
- access-classコマンドは、拡張アクセスリストによるネットワークトラフィックの絞り込みを設定するためのコマンドです。
- このコマンドは、特定のアクセスリスト番号に一致するトラフィックだけを許可または拒否するように設定します。
- access-classコマンドを使用することで、特定のネットワークセグメントやホストへのアクセスを制限することができます。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
こんにちは。 >ip access-group 101 inとした場合と何か違いがあるのでしょうか? ですが、 vty には ip access-group を設定することはできません。 ip access-group は物理回線に設定するコマンドです。
その他の回答 (1)
- koonell
- ベストアンサー率63% (53/83)
回答No.1
access-listは作成するだけでは、動作せず、 各インターフェイスなどに適用する必要があります。 telnet接続(line vty)にアクセスリストを適用するためのコマンドが access-classです。 access-list 101 deny tcp host 192.168.1.100 any eq telnet access-list 101 permit ip any any ! line vty 0 4 login access-class 101 in でもOKです。 ちなみに、ciscoルータへはtelnet以外にsshでの接続もすることができます。 その際に、192.168.1.100からの接続を拒否するには、 22番ポートへの接続をdenyするアクセスリストが必要になります。
質問者
お礼
ありがとうございます。 ip access-group 101 inとした場合と何か違いがあるのでしょうか?
質問者
補足
すいません。 理解できたような気がします。 ルータへのTelnetの着信などを制限できるということですね。 そしてVTYインターフェースにだけアクセスリストを適用しておけば 物理インターフェースなどがたくさんあっても個々に着信制限をするひつようがないと。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
お礼
ありがとうございます。 vty回線にアクセスリストを適用するのと 物理回線に23番ポート拒否のアクセスリストを適用するのでは 何か違うのでしょうか? そのあたりがよくわからないのですが。
補足
ありがとうございます。 vty回線にアクセスリストを適用するというのが よくわかりません。 普通にインターフェースにアクセスリストを適用するなら LANポートに入ってくるときにフィルタリングされるとか、LANポートを出て行くときにフィルタリングされるとイメージがわくのですが。 telnetであるルータにログインしていて、そこからpingなどコマンド操作をして出て行くパケットに対してアクセスリストを 適用するということでしょうか? そうであれば適用する標準アクセスリストの送信元というのはtelnetで接続しにいっているアクセス元ということでしょうか?