Router - みる会図書館


検索対象: UNIX MAGAZINE 2001年3月号
5件見つかりました。

1. UNIX MAGAZINE 2001年3月号

ータの基礎 ( 6 ) 図 13 アクセスリストの更新 Router#configure terminal Enter conf iguration commands , one per line . Router (config) #show running—config interface EthernetO/O Cisco) レ End with CNTL/Z . description UN 工 X magazine sample configuration ip address 202.244.164.13 255 . 255.255.0 ip broadcast—address 202.244.164.255 IP access¯group 100 in IP access-group 100 out Router(config)#access—1ist 101 icmp any any ( 新たなアクセスリストをリスト番号 101 で作成 ) Router(config)#interface ethernet 0 / 0 Router(config—if)#ip access-group 101 in Router(config—if)#ip access-group 101 out Router(config—if)#AZ Router (config) #show running—config interface EthernetO/O ←リスト 100 からリスト 101 に変更 description UN 工 X magazine sample configuration ip address 202 . 244.164.13 255 .255.255.0 ip broadcast—address 202 .244.164.255 ip access¯group 101 in ip access—group 101 out 図 14 アクセスリストの削除 Router#configure terminal Enter configuration commands , one per line . Router(config)#no access—list 100 Router(config)#exit Router#show access—list 100 Router# End with CNTL/Z . セスリスト (extended)) を指定し、作成するグループの 名前を入力します。すると、アクセスリスト専用の入力モ ードになるので、適切なエントリを指定していきます ( 図 15 ) 。 仮想ターミナルへのアクセス制限 ■ UNIX MAGAZINE 2001.3 class コマンドて指定します。 として作成しておき、そのアクセスリスト番号を access- あらかじめ許可するネットワークの情報をアクセスリスト ります。これには、 access-class コマンドを使います。 対するネットワークからのアクセスを制御したいことがあ セキュリティ上の理由により、イ瓦想ターミナル ( vty ) に 図 16 の例では、ます、標準アクセスリストて許可する ネットワークはたはホスト ) を指定します (a-l)o そし て、 vty の 0 ~ 4 に対し、アクセス番号 12 に指定したネッ トワークからのアクセスだけを許可しています (a-2)0 現在のイ反想ターミナルの状態は、 show line コマンド て市忍できます。図 17 の、、 AccI " のカラムが、アクセス あんか リスト番号を示しています。 ティー ) をよく飲んでいるのですが、先日重大な事件が発 研究室の学生のうち、何人かが缶入り糸工茶食炸ト ( ミルク 生しました。 77

2. UNIX MAGAZINE 2001年3月号

新・倉敷芸術科学大学のネットワーク構築・・・ 6 図 15 名前によるアクセスリストの言聢 (a) access-list configuration モード Router(config)#no ip access—list ex mynetlist Router(config)#ip access—list standard mynetlist Router(config—std—nacI)#permit 202.244.160.0 0.0.31.255 Router(config—std—nacI)#permit 203.178.152.0 0.0.0.255 Router(config—std—nac1)#exit Router(config)# (b) 名前にもとづいて設定されたアクセスリスト ip access—list standard mynetlist permit 202.244.160.0 0 . 0.31.255 permit 203.178.152.0 0.0.0.255 図 16 仮想ターミナルへのアクセス帋 (a) アクセス言聢 Router(config)#access—1ist 12 permit 202.244.164.0 0.0.0.255 ← ( 1 ) Router(config)#1ine vty 0 4 Router(config—1ine)#access—c1ass 12 in Router(config—1ine)#AZ (b) ネットワークからのアクセス fs03. kusa. ac ・ jp% telnet 202.244.164.13 Trying 202.244.164.13. telnet : Unab1e tO connect tO remote host : Connection refused fs03. kusa. ac ・ jp% 図 17 仮想ターミナルの状態を表示 Router#show 1 土Ⅱ e Tx/Rx Tty Typ * 0 CTY 65 AUX 9600 / 9600 * 66 VTY 67 VTY 68 VTY 69 VTY 70 VTY Line(s) not mode —or— with no hardware support : 1 async 1 ー 64 Router# ←② OVerrU11S 0 / 0 0 / 0 0 / 0 0 / 0 0 / 0 0 / 0 0 / 0 Noise 2 0 0 0 0 0 0 A Modem Roty AccO AccI Uses 0 0 28 0 0 0 0 一つ ~ っ 4 CN っ ~ 2 イよ -1 亠イよ -1 宀 -1 一 正月休みを終えて、ひさしぶりに研究室に出てきたと 私も学生日罸に、脇に置いてあったコーヒーを PC のキー ころ、部屋中にはのかに紅茶の香りか漂っています ( ただ ポードにぶちまけて壊した経験がありますが、誰も気づか し、牛乳が腐った強烈な臭いに負けていましたか ) 。さき すに固体になるまで放置されていたというのは聞いたこと に来ていた学生に訊くと、研究室の共通机の上に、、かびが がありません。 び " になった紅茶花伝がこびりついているというのです。 けっきよく、缶を倒した犯人は判明していませんが、今 ・・・なんたることか、無線 LAN の基地局 後は飲みかけのドリンクを放置しておくことを、、罪 " に問 見てみると、 や Ethernet スイッチ、各種のケープル、ディスプレイ うというお触れか研究室に発せられたのはいうまでもあり カ個体と化した紅茶て糊付けされたように固定されていま ません。皆さんも十分に気をつけましよう。 にばやし・かずまさ倉敷芸彳斗学大学 ) 78 UNIX MAGAZINE 2001.3

3. UNIX MAGAZINE 2001年3月号

ータの基礎 ( 6 ) 図 7 port オ諚列 203 . 178. 153. 18 203. 178. 153.18 203 . 178. 153.18 tcp host 203.178.153.18 any eq 554 ! (Rea1) 203. 178. 153.18 1ist —list —list 1ist 1ist 1ist 1ist 1ist 1ist 1ist acceSS— acceSS— C e S S ー access— acceSS— access— acceSS— access acceSS access— 100 100 100 100 100 100 100 100 100 100 permit permit permit permit permit permit permit permit permit permit tcp any host tcp any host tcp any host tcp any host tcp host 203.178.153 udp host 203.178.153 Cisco) レ WWW eq 22 ! (ssh) 1755 ! (Windows Media) eq 554 ! (Rea1) eq 7070 ! (ReaI) eq 7070 ! (Rea1) eq tcp any host 203.178.153.18 tcp host 203.178.153.18 any eq 1755 ! (Windows Media) . 18 any udp host 203 .178.153.18 any range 6970 7170 ! (Rea1) 図 8 established キ諚の例 access—list 100 permit 図 9 in と out access-list 100 permit tcp any 203.178.153.0 0.0.0. . 18 any range 1024 5000 ! (Windows Media) 255 established tcp any 202 . 244.160.0 0 . 0.31.255 established Router#configure terminal Router (config—if) #no ip access—group 100 in Router(config)#interface ethernet 0 / 0 Enter configuration commands , line . Router#configure terminal 図 10 Ⅱ 0 ip access-group の実彳デ列 Router(config—if)#AZ Router(config—if)#ip access—group 100 out Router(config—if)#ip access—group 100 in Router(config)#interface ethernet 0 / 0 Enter configuration commands , one per 1ine . End with CNTL/Z . End with CNTL/Z . RST ピットの状態を石忍します。こ窈旨定により、内部 ネットワークから外部ネットワークへの通信は許可し、外 部から内部ネットワークへの通信は禁止する設定か可能に なります。 インターフェイスへのアクセスリストの適用 UNIX MAGAZINE 2001.3 ip access-group コマンドによる設定を無効にするに トに対するものがあります ( 図 9 ) 。 と、そのインターフェイスから出力される (out) バケッ ンターフェイスに入力される ( ⅲ ) バケットに対するもの インターフェイスへのアクセスリストの適用は、そのイ アクセスリスト番号を指定します。 イスを指定し、その後に ip access-group コマンドで 用するには、 configure モードで設定対象のインターフェ 設定したアクセスリストをインターフェイスに対して適 は、インターフェイスの拓疋で no ip access-group コマンドに続けて無効にするアクセスリスト番号を指定し ます ( 図 10 ) 。 アクセスリストの状態表示 75 アクセスリストのカウンタだけをゼロに戻すことができま す。引数としてアクセスリスト番号を指定すれば、特定の は、 clear access-list counters コマンドを夫彳丁しま ト数がカウントされています。この値をクリアしたいとき アクセスリストの表示には、リストに一致したバケッ 意されています。 トだけを表示する show ip access-list コマンドも用 行します ( 図 11 ) 。このほかに、 IP 関連のアクセスリス は、 EXEC モードで show access-list コマンドを実 現在設定されているアクセスリストを確認したいとき

4. UNIX MAGAZINE 2001年3月号

新・倉敷芸術科学大学のネットワーク構築・・・ 6 図 11 show access-list コマンドの実彳テ list 90 list 80 list 10 —list Extended IP access Standard IP access permit 202.244.160.0 Standard IP access permit any Standard IP access Router#show list 100 permit 202.244.160.0 , wildcard bits 0.0.31.255 permit tcp any 202.244.160.0 0.0.31.255 established ( 6 matches) permit tcp host 203.178.153.18 any eq 7070 permit tcp any host 203.178.153.18 eq 7070 deny udp any any ( 2 matches) permit udp any any range 7000 9000 permit icmp any any ( 6 matches) Extended IP access list 100 Router#show access—list 100 Router#c1ear access—list counters 100 図 12 アクセスリストのカウンタをゼロに戻す Router# permit ip any any ( 2754 matches) deny tcp any any ( 650 matches) permit tcp any host 202.244.161.109 eq w ( 699 matches) permit tcp any 202.244.160.0 0.0.31.255 established ( 5886 matches) permit tcp host 203.178.153.18 any eq 7070 ( 22 matches) permit tcp any host 203.178.153.18 eq 7070 ( 22 matches) deny udp any any ( 232 matches) permit udp any any range 7000 9000 ( 1430 matches) permit icmp any any ( 1354 matches) アクセスリストの変更と削除 す ( 図 12 ) 。 ■ さきほども述べたように、設定するアクセスリスト・エ ントリの順番には未があります。各工ントリは、入力さ れた順にリストの末尾に追加されていきます。つまり、ア クセスリストの作成後にエントリを 1 つだけ削除したり、 希望する位置にエントリを追加するようなことはできませ ん。 アクセスリストの内容を変更する場合は、すでに設定し たアクセスリストをいったん削除し、あらためて作成しな おす必があります。 アクセスリストか有効な状態で、いきなりリストを削除 すると、デフォルトの設定でアクセスか禁止 (deny) され てしまったり、経路が失われてしまうことがあります。さ らに、変更か有効になるまでのあいだ、ネットワークに悪 景以セキュリティが脆弱になるなど ) をおよはすことも 76 あります。 そのような場合には、旧いアクセスリストを変更するの ではなく、異なる番号で一碚にを変更した新しいアクセスリ ストを作成し、インターフェイスやレーティング設正で指 定しているアクセスリスト番号だけを入れ替えるガ去がよ くとられます ( 図 13 ) 。 すでに設定されている、ある番号のアクセスリストをす べて削除する場合は、 no access-list アクセスリスト番 号 " のように access-list コマンドの先頭に、Ⅱ 0 " を追加 し削除したいアクセスリスト番号を指定します ( 図 14 ) 。 名前によるアクセスリストの設定 UNIX MAGAZINE 2001.3 ストの不頁 ( 標準アクセスリスト (standard) か拡張アク ip access-list コマンドの引数に作成するアクセスリ ています。 クセスリストに名前を付けてグルーフイヒできるようになっ IOS 11.2 以降では、アクセスリスト番号ではなく、ア

5. UNIX MAGAZINE 2001年3月号

Cisco ル 図 1 標準アクセスリストの書式 access—list access-list-number { deny ー permit } 図 2 拡張アクセスリストの書式 access—list access-list-number { deny ー permit } 7 ℃カ ocol so 几 e so 社尾 e -3 〃 dca des れ 0 0 れ des 佖 0 れ一を ca 、 [ 盟7 、 ecedence . 図 3 →殳的なアクセスリスト (a) 言聢作業列 so 社几 e [ so 社尾 e - 社 dc 佖 ] Router#configure terminal Enter configuration commands , one per line. End with CNTL/Z. Router(config)#access—1ist 100 permit tcp any 202.244.160.0 0.0.0.255 Router(config)#exit Rout e r# (b) 標準アクセスリスト access—list 10 permit any access—list 80 permit 0 . 0 . 0 . 0 access—list 90 permit 202 .244.160.0 0.0.31.255 (c) 拡張アクセスリスト ータの基礎 ( 6 ) 1ist 1ist 1ist —1ist 1ist 1ist —list acceSS acceSS— access access— access— acceSS— しか使えません。 permit permit 110 deny permit 110 permit deny permit 110 110 110 110 110 ICIIIP any a-ny udp 203.178.152.0 0.0.0.255 202.244.160.0 0.0.0.255 udp any any tcp any 202.244.160.0 0.0.31.255 established tcp host 202.244.160.10 202.244.160.0 0 . 0.31.255 eq telnet IP any any tcp any any 図 4 標準アクセスリストでの deny 効果 標準アクセスリストでは 1 ~ 99 か 1300 ~ 1999 のあい だの数字が、由長アクセスリストでは 100 ~ 199 か 2000 ~ 2699 のあいだの数字がアクセスリスト番号として利用 できます。 つまり、設定されているアクセスリストの番号をみれ は、それカ材票準アクセスリストか拡張アクセスリストかを 区別することもできるわけです。 deny と permit アクセスリスト番号に続く、 {deny ー permit}" では、 これ以降の条件に一致するエントリに対し、禁止 (deny) または許可 (permit) のいすれかを指定します。 アクセスリストは指定された順番に言叫面されるため、イ ンターフェイスに対するフィルタリングの設定などでは、 まず許可 (permit) するものを列挙し、最後にその他すべ て (any) を禁止 (deny) するガ去がよく使われます。 UNIX MAGAZINE 2001.3 access—list 1 permit 192 . 5 .34.0 0.0.0.255 access—list 1 permit 128 .88 . 0.0 0.0.255.255 access—list 1 permit 36 . 0.0.0 0.255.255.255 注 : 何も書かなくても、はかのすべての組合をは deny になる 標準アクセスリストの場合は、とくに何も指定しなくて も、許可されていないすべてのアクセスを禁止したのと同 し効果か碍られます ( 図 4 ) 。 protocol 長アクセスリストの protocol の部分では、 elgrp 、 gre 、 lcmp 、 lgmp 、 lgrp 、 IP 、 1P1mp 、 ospf 、 tcp 、 udp などのプロトコル名カ甘旨定できます。 nos 、 あらかしめ登録されていないプロトコル (RSVP ( プロ トコル番号 46 ) など ) を指定したい場合は、 0 ~ 255 のあ いだの IP プロトコル番号を茁欝旨定します ( 図 5 ) 。 73