- 締切済み
Ciscoアクセスリストについて教えて下さい
アクセスリスト設定で悩んでますので、回答(Config)をお願いします。 (vlan100)---[L3SW]---(vlan200) 許可----> <----拒否 ■ACL要望 vlan100からvlan200に対しては全ての通信を許可 vlan200からvlan100に対しては全ての通信を拒否(但し、vlan100に対しての応答は許可) ■L3SW(Cisco3750 Version 12.2(25r)SEC)設定 vlan100(192.168.100.1/24) vlan200(192.168.200.1/24) Routingはripを使用
- kikinenepapa
- お礼率0% (0/4)
- その他([技術者向] コンピューター)
- 回答数4
- ありがとう数0
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- qaaq
- ベストアンサー率36% (146/404)
ちゃんと勉強しました? TCPを使用する通信には、方向(通信元や通信先)があるので、接続要求を遮断事ができるけど、 例えば、UDPにはそんなものがないんですよ。(そのくらい知ってるよね) 結局条件が適当すぎて回答を得られないですね。 # もうちょっとACLで出来る事/出来ない事、各プロトコルの動作を勉強しましょう ルータはどうやって、『接続要求やその応答』って知るのか考えてみて下さい。 その方法が特定できれば、それをブロックするACLを書くのは簡単でしょう。 これをすべての通信に対して*一個ずつ*検討&設定すればいいのです。
こういうのは、どうですか。 SVIを使う手。 interface vlan100 ip access-group 1 in ip access-group 1 out interface vlan200 ip access-group 2 in ip access-group 2 out access-list 1 permit 192.168.100.0 0.0.0.255 access-list 2 deny host any any 上手く行くか、試したことはありませんが、この方法が良いかと思い投稿しました。
- yokohamahope
- ベストアンサー率40% (782/1955)
No.1です。 ご質問の内容は理解しているつもりです。 その上で、L3SWを通過するフレームには’応答’を意味するフラグ等の情報が無いため、アクセスリストでコントロールすることは不可能と考えるものです。 例えば、応用プログラム間通信の場合にはデータ中に’要求’と’応答’の区分を設けたりする設計もあり千差万別で、ネットワーク層ではコントロールできないことになります。 要は何を以て’応答’かが判らないということです。
- yokohamahope
- ベストアンサー率40% (782/1955)
私のプアーなスキルで考えますと。 >(但し、vlan100に対しての応答は許可) 依頼に対して応答があるとすれば、どれが依頼でどれが応答かの情報はどこにもないので、この要望は実現不可能ではないでしょうか。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
補足
>(但し、vlan100に対しての応答は許可) 説明不足で申し訳ありません。 補足しますと・・・ vlan100の端末からvlan200端末に対しての要求は応答(ping、ftp、tftp、http等全てのプロトコル) 例えばvlan100の端末からvlan200の端末に対してping要求した場合はvlan200の端末がping応答 例えばvlan100の端末からvlan200のFTPサ-バに対してget、put可能 vlan200からvlan100に対しての要求は全て拒否 例えばvlan200の端末からvlan100の端末に対してping要求した場合は拒否