ユーザ用ツール

サイト用ツール


サイドバー

目次

ホーム










.

vendor:cisco:acl


ホーム#ベンダー機器

Cisco ACLの基礎知識と設定例

Cisco ACLの基礎知識

ACLタイプ 番号 備考
IP標準アクセスリスト 1~99, 1300~1999 送信元だけを指定
IP拡張アクセスリスト 100~199, 2000~2699 送信元、送信先、サービス等を指定可能


設定例

物理インターフェイスにACLを適用する例

Cisco 物理インターフェイスにACLを適用する例

access-list 10 permit 10.10.10.2  0.0.0.0           ! 送信元が、10.10.10.2

int fa0/0
  ip access-group 10 in


VLAN 間ルーティングをフィルタ

VLAN20 に入ってくる、送信元が 10.10.10.0/24 のパケットは全部破棄

ip access-list standard vlan20-list
 deny 10.10.10.0 0.0.0.255           ! 送信元が、10.10.10.0/24
 permit any

Interface Vlan10
 ip address 10.10.10.1 255.255.255.0

Interface Vlan20
 ip address 10.20.20.1 255.255.255.0
 ip access-group vlan20-list out

Cisco VLAN 間ルーティングをフィルタ

inやoutは インターフェースVLAN から見た方向ではなく、内部のルーティング機能から見た方向
VLAN20からVLAN10への INのACLがないので、戻りはすべて許可

Cisco の L3 で VLAN 間ルーティングをフィルタしたい - pudding - diary(2012-11-08)


VLANインターフェースにACL

10.10.10.0/24から、宛先10.20.20.0/24や10.30.30.0/24を拒否

ip access-list extended vlna10-list
  deny ip any  10.20.20.0 0.255.255.255     !どこからでも、宛先10.20.20.0/24 を拒否
  deny ip any  10.30.30.0 0.255.255.255     !どこからでも、宛先10.30.30.0/24 を拒否
  permit ip any any

Interface Vlan10
 ip address 10.10.10.1 255.255.255.0
 ip access-group vlan10-list in

Interface Vlan20
 ip address 10.20.20.1 255.255.255.0

Interface Vlan30
 ip address 10.30.30.1 255.255.255.0

Cisco VLANインターフェースにACL

inやoutは インターフェースVLAN から見た方向ではなく、内部のルーティング機能から見た方向

【図解】VLAN間ルーティングを禁止する設計, 設定 〜ACL,SVI,VRFでの制御の構成例〜 | SEの道標


VRFを利用した機器へのtelnet/ssh制限(in vrf-also)

ip access-list standard  mgmt_nw
  permit 192.168.0.0 0.0.255.255

!
line vty 0 4
  access-class mgmt_nw in vrf-also
  password cisco
  login
  transport input all
line vty 5 15
  access-class mgmt_nw in vrf-also
  password cisco
  login
  transport input all










ホーム#ベンダー機器


vendor/cisco/acl.txt · 最終更新: 2020/12/21 19:14 by kurihara

ページ用ツール