実習やった:拡張ACL
・下図のネットワークで、PC→スイッチのTELNETを拒否する設定を行う。
前回は、送信元IPアドレスでアクセス制御する標準ACLをやりましたが、
今回は、送信元IPアドレス、宛先IPアドレス、プロトコル、ポート番号などを指定して
より細かくアクセス制御を行える「拡張ACL」の実習です。
★手順
PC、各種パスワード、各インターフェースの設定を行う
スイッチとルータをストレートケーブルでつなぐ
↓
スイッチを以下のように設定する
(config)#hostname SERVER
(config)#interface vlan 1
(config-if)#ip address 192.168.3.1 255.255.255.0
(config-if)#no shutdown
(config)#ip default-gateway 192.168.3.254
拡張ACLの構文は以下の通り。
(config)#access-list [番号] [permit | deny] [プロトコル] [送信元IPアドレス] [送信元ワイルドカードマスク] [宛先IPアドレス] [宛先ワイルドカードマスク] eq [ポート番号]
(config)#access-list [番号] permit ip any any
これに習ってリストを作成すると
↑拡張アクセスリストは100〜199まで使用可。1〜99は標準アクセスリストの分です。
さて、リストの適用ですが、どこに適用したらよいのか。
標準アクセスリストの時は、宛先に一番近いところでしたが、
拡張アクセスリストでは、それとは逆の送信元に一番近いところに適用するのがベストです!
理由は、
●送信元・宛先・ポート番号まで指定しているので、最短距離でブロックが可能だから。
●捨てるパケットのためにルータに無駄なルーティングをさせないため。
なので、この場合、適用する場所はどこかと聞かれたら・・・
R1のf0がベストです!
↑設定。
すると、PC→telnet(23番ポート)へのトライは・・・
失敗。設定は有効ですね。
でもこの段階ではPC→R1→R2とtelnetまたぎで行くと入れちゃいます。
R1→R2のtelnetは拒否されてないので。
あとブラウザからスイッチにアクセスもできます。
httpでアクセスしており、80番ポートは拒否されてないので。
さらに
PCのIPアドレスを192.168.1.1から192.168.1.2に変えちゃうと。
↓
やっぱりtelnetできちゃいます。
.1は拒否設定してるけど.2はしてないもんね。
ちなみに、PC→スイッチのhttpアクセスを拒否された場合の画面ですけど。
