ダイナミック アクセスリストの設定
- カテゴリ:
- Cisco
今回はダイナミックアクセスリストの設定を確認します。設定そのものはそれほど複雑ではないのですが、よく理解してから設定しないと混乱します。
R1は直接R2に接続され、R2は直接R3に接続されています。
R1(config)#do sh ip int b Interface IP-Address OK? Method Status Protocol FastEthernet0/0 12.12.12.1 YES manual up up Loopback0 17.17.1.1 YES NVRAM up up R2(config)#do sh ip int b Interface IP-Address OK? Method Status Protocol FastEthernet0/0 12.12.12.2 YES manual up up Serial1/2 23.23.23.2 YES manual up up Loopback0 17.17.2.2 YES NVRAM up up R3(config)#do sh ip int b Interface IP-Address OK? Method Status Protocol Serial1/3 23.23.23.3 YES manual up up Loopback0 17.17.3.3 YES NVRAM up up |
3台全てのインターフェースでEIGRPを有効にしました。
R1(config)#do sh ip rou ei 17.0.0.0/24 is subnetted, 3 subnets D 17.17.2.0 [90/156160] via 12.12.12.2, 00:02:30, FastEthernet0/0 D 17.17.3.0 [90/2300416] via 12.12.12.2, 00:02:19, FastEthernet0/0 23.0.0.0/24 is subnetted, 1 subnets D 23.23.23.0 [90/2172416] via 12.12.12.2, 00:02:30, FastEthernet0/0 |
今回はR1からR3へのTELNET接続をダイナミックアクセスリスト使って行います。まずTELNETの設定をユーザ名 cisco、パスワード ciscoで行ないます。
R3(config)#username cisco password cisco R3(config)#line vty 0 4 R3(config-line)#login local |
R1からの接続を確認します。
R1(config)#do telnet 17.17.3.3 Trying 17.17.3.3 ... Open 〜略〜 Username: cisco Password: R3> |
R2でアクセスリストを設定します。まずはEIGRPのみを通し、それ以外全てを拒否するリストDYNAMIC_LISTを作成します。
R2(config)#ip access-list extended DYNAMIC_LIST R2(config-ext-nacl)#10 permit eigrp any any R2(config-ext-nacl)#100 deny ip any any R2(config-ext-nacl)#do sh ip acce Extended IP access list DYNAMIC_LIST 10 permit eigrp any any 100 deny ip any any |
これをR1に直結するF0/0で利用します。
R2(config-ext-nacl)#int f0/0 R2(config-if)#ip access-group DYNAMIC_LIST in R2(config-if)#do sh ip int f0/0 | i Inbound Inbound access list is DYNAMIC_LIST |
この時点では当然ながらTELNETは拒否されます。
R1(config)#do telnet 17.17.3.3 Trying 17.17.3.3 ... % Destination unreachable; gateway or host down |
これからダイナミックアクセスリストの設定を行います。ここではR2へのTELNETが成功した場合に、R3へのTELNETが許可されるという形で進めます。
R2に対してのTELNETをユーザ名 ccie、パスワード ccieで許可します。
R2(config-if)#username ccie pass ccie R2(config)#line vty 0 4 R2(config-line)#login local R2(config-line)#ip access-list extended DYNAMIC_LIST R2(config-ext-nacl)#20 permit tcp any host 17.17.2.2 eq telnet R2(config-ext-nacl)#do sh ip acce Extended IP access list DYNAMIC_LIST 10 permit eigrp any any (267 matches) 20 permit tcp any host 17.17.2.2 eq telnet 100 deny ip any any (3 matches) |
R1より接続出来ることを確認します。
R1(config)#do telnet 17.17.2.2 Trying 17.17.2.2 ... Open 〜略〜 R2> |
ダイナミックアクセスリストをTELNETと名前を指定して作成します。
R2(config-line)#ip access-list extended DYNAMIC_LIST R2(config-ext-nacl)#30 dynamic TELNET permit tcp any host 17.17.3.3 eq telnet R2(config-ext-nacl)#do sh ip acce Extended IP access list DYNAMIC_LIST 10 permit eigrp any any (2955 matches) 20 permit tcp any host 17.17.2.2 eq telnet (285 matches) 30 Dynamic TELNET permit tcp any host 17.17.3.3 eq telnet 100 deny ip any any (3 matches) |
TELNETで有効にするためにline vtyに対して、autocommandコマンドを指定します。
R2(config)#line vty 0 4 R2(config-line)#autocommand access-enable host timeout 10 |
R1からR2にTELNETで接続します。するとログイン後、自動的にログアウトします。
R1(config)#do telnet 17.17.2.2 Trying 17.17.2.2 ... Open 〜略〜 Password: [Connection to 17.17.2.2 closed by foreign host] |
ここでR2のアクセスリストを確認するとR1からR3へのTELNETが有効になっていることが確認できます。
R2(config-ext-nacl)#do sh ip acce Extended IP access list DYNAMIC_LIST 10 permit eigrp any any (2991 matches) 20 permit tcp any host 17.17.2.2 eq telnet (351 matches) 30 Dynamic TELNET permit tcp any host 17.17.3.3 eq telnet permit tcp host 12.12.12.1 host 17.17.3.3 eq telnet 100 deny ip any any (3 matches) |
この状態でR1からR3へのTELNET接続が可能であることを確認しています。
R1(config)#do telnet 17.17.3.3 Trying 17.17.3.3 ... Open 〜略〜 Password: R3> |
コメント