ユーザ用ツール

サイト用ツール


vendor:cisco:acl


ホーム#ベンダー機器

Cisco ACLの基礎知識と設定例

Cisco ACLの基礎知識

ACLタイプ番号備考
IP標準アクセスリスト 1~99, 1300~1999 送信元だけを指定
IP拡張アクセスリスト 100~199, 2000~2699 送信元、送信先、サービス等を指定可能


設定例

VLAN 間ルーティングをフィルタ

VLAN20 に入ってくる、送信元が 10.10.10.0/24 のパケットは全部破棄

ip access-list standard vlan20-list
 deny 10.10.10.0 0.0.0.255           ! 送信元
 permit any

Interface Vlan10
 ip address 10.10.10.1 255.255.255.0

Interface Vlan20
 ip address 10.20.20.1 255.255.255.0
 ip access-group vlan20-list out
VLAN10 ---> ルーティング ----> VLAN 20
         ACL in       ACL out

■戻りの通信
VLAN10 <--- ルーティング <---- VLAN 20
        ACL out         ACL in

VLAN20からVLAN10への INのACLがないので、戻りはすべて許可

Cisco の L3 で VLAN 間ルーティングをフィルタしたい - pudding - diary(2012-11-08)


VLANインターフェースにACL

10.10.10.0/24から、宛先10.20.20.0/24や10.30.30.0/24を拒否

ip access-list extended vlna10-list
  deny ip any  10.20.20.0 0.255.255.255     !どこからでも、宛先10.20.20.0/24 を拒否
  deny ip any  10.30.30.0 0.255.255.255     !どこからでも、宛先10.30.30.0/24 を拒否
  permit ip any any

Interface Vlan10
 ip address 10.10.10.1 255.255.255.0
 ip access-group vlan10-list in

Interface Vlan20
 ip address 10.20.20.1 255.255.255.0

Interface Vlan30
 ip address 10.30.30.1 255.255.255.0
VLAN10 ---> ルーティング ----> VLAN 20, VLAN30
         ACL in     ACL out

【図解】VLAN間ルーティングを禁止する設計, 設定 〜ACL,SVI,VRFでの制御の構成例〜 | SEの道標


VRFを利用した機器へのtelnet/ssh制限(in vrf-also)

ip access-list standard  mgmt_nw
  permit 192.168.0.0 0.0.255.255

!
line vty 0 4
  access-class mgmt_nw in vrf-also
  password cisco
  login
  transport input all
line vty 5 15
  access-class mgmt_nw in vrf-also
  password cisco
  login
  transport input all






関連ページ





ホーム#ベンダー機器


vendor/cisco/acl.txt · 最終更新: 2019/08/08 01:32 by kurihara

ページ用ツール