• ベストアンサー

ciscoルータのaccess-listについて(アドレスの否定)

ACLについて勉強をしています。ネットワークも初心者でCiscoの事も 全くの初心者です。 早速質問なのですが、 拡張ACLの設定で送信元・宛先アドレスに否定の設定はできるのでしょうか? Linuxのiptablesでは、送信元・送信先アドレスには「アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。」事が出来るのですが、ACLでのこの対応はないのでしょうか。 実装可能なのか、可能ならその方法を教えてください。 宜しくお願い致します。

質問者が選んだベストアンサー

  • ベストアンサー
  • Elgado
  • ベストアンサー率43% (174/404)
回答No.1

ありません。 CiscoのACLはACLの行中で動作についてのPermit,Deny。 ACLの記述順に処理。 ACL最終行に暗黙のDeny。 等の規則があるので、それらを利用すれば、アドレス空間のところどころに適用したとしても そう煩雑にはならないと思います。

zero_00
質問者

お礼

回答ありがとうございます。やはりPermitかDenyで偽指定を記述する しかないのですね・・・。 このことを踏まえ頑張って行きます! ありがとうございます。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • Ciscoルータのアクセスリストについて

    ciscoルータのアクセスリストの設定に関して質問なのですが、sourceのポートの指定の必要性がいまいちわかりません。クライアントをはじく事は出来ませんし、サーバからの送信をはじくのであれば、クライアントからのそもそものリクエストを弾けばいいと思うのですが・・・ 使い道がわかりません 仕様ですか?

  • Ciscoルータについて。

    初めまして、既出かもしれませんが 探しきれなかったので、ご教授を願いたいです。 私の家のインターネット環境は 回線事業者がNTT西日本 フレッツ光プレミアムファミリータイプで ISPがASAHI-NETです。 ASAHI-NETからは 固定のグロ-バルIPアドレスを 一つ割り当てて頂いております。 ネットワーク機器は NTT西日本からレンタルさせて頂いております ONUとCTUがございます。 CTU以外にCTUからは、自分で用意した フォンの無線ルータ、自作パソコン、サーバを 各LANケーブルで、繋いでおります。 CTUはルータであるかと思いますが NTT西日本の推奨では無くなり サポートも受けれなくなりますが CTU以外のルータを、使ってみたいと言う気持ちがございます。 ※勿論、CTUへのGUIログインも出来なくなる事は、承知の上です。 そこでルータの選定は 個人的に現在、ネットワークエンジニアを志しておりまして CCNAを取得しようと奮闘中でございます。 ですので、勉強も兼ねてCiscoルータを CTUの代替ルータとして使いたいと考えております。 ※Ciscoルータは、ヤフオクなどで 2500シリーズ or 2600シリーズを用意しようかと思います。 次に疑問点なのですが フレッツ光プレミアムファミリータイプを、使用するにあたって ルータは必ず、CTUでなければならないのでしょうか? 次に設定方法ですが Ciscoルータに、ダイナミックNATの設定と オーヴァーロードの設定を施し LAN内のコンピュータは全て ASAHI-NETから割り振られたグローバルIPアドレスに変換して インターネットへ繋げる様(ACLの設定)にすれば 良いかと思いますが これで宜しいのでしょうか? そしてONUとCTUの接続方法は ONUとCiscoルータのfastethernet 0/0をLANケーブルで繋ぎ fastethernet 0/0に、ASAHI-NETから割り振られた グローバルIPアドレスを、設定すれば良いのでしょうか? 質問が多岐に渡り、非常に申し訳ございませんが どなたか、ご教授を頂けます様 何卒、宜しくお願い申し上げます。

  • CISCOルータのIPアドレスの確認方法。

    CISCOルータ自身のIPアドレスの取得方法が知りたいです。ブラウザから設定をしたいので、IPアドレスを知りたいのですが、そういったコマンドはあるでしょうか?(初心者すぎで、トンチンカンなことを言っているかもしれません) ターミナルソフト?で特権モードに入るまではできたのですが…。

  • CISCO Switchでのルーティング

    CISCO3560におけるルーティングの設定で質問させて下さい。 特定の送信元から送られてきた通信だけ、特定の機器に飛ぶようにルーティングを設定する方法を教えて下さい。 Cisco3560は既にospfで回っており、例えば、10.200.0.0/16宛の通信の通常時のネクストホップは決まっている。 この状態で、Cisco3560に、送信元10.100.2.2から届いた通信だけ 10.100.1.1へ飛ぶようにstaticで経路を切るにはどうすればいいでしょうか? また、同じCISCOであれば、ルーターとスイッチで設定すべきconfigは同じでしょうか?? (バージョンによる違いはあるかもしれませんが、基本的に同じなのでしょうか?)

  • CiscoのACLのかけかたについて

    よろしくお願いします。 Catalyst3550などのACLのかけかたで方向が混乱してしまいます。 行いたい内容は、 vlan30 <---> vlan10 :OK vlan30 <---> vlan20 :NG とした場合以下の設定は間違っていますよね?? ---> interface Vlan10 ip address 192.168.10.1 255.255.255.0 interface Vlan20 ip address 192.168.20.1 255.255.255.0 interface Vlan30 ip address 192.168.30.1 255.255.255.0 ip access-group v-30 in ip access-list extended v-30 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 deny ip any any <--- この場合は、 ip access-group v-30 out とするか、 ip access-group v-30 in で、 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 にするべきですよね?? 方向の考え方は、 in は入ってくるパケットで out は出て行くパッケトでよろしいでしょうか? なので、 in を使うとき、送信元は相手セグメント・送信先は自セグメント out を使うとき、送信元は自セグメント・送信先は相手セグメント という認識であっていますでしょうか? ※拡張ACLの場合 よろしくお願い致します。

  • WimaxルーターとCiscoルーターの接続

    【困っていること】 現在PCからwifiでWimaxルーターに接続しています。 CiscoルータとLinuxサーバの勉強のためPCとWimaxルーターの間に Cisco1812を中継させたのですがインターネットに接続ができません。 何か足りていない設定はありますでしょうか? 変更後構成でPCからWimaxルーターまでpingはOKです。 クレードルはありません。 【機器情報】 Wimaxルータ:NAD11        ip address 192.168.179.1 255.255.255.0 Ciscoルーター:Cisco1812        ip route 0.0.0.0 0.0.0.0 192.168.179.1        ip nat inside source static 192.168.0.2 192.168.179.2 ⎿WANポート:イーサネットコンバータ(MZK-MF300D)接続         ip address 192.168.179.254 255.255.255.0         ip nat outside ⎿LANポート:LANケーブル接続         ip address 192.168.0.1 255.255.255.0        ip nat inside PC    :LANケーブル接続         ip address 192.168.0.2 255.255.255.0       【変更前構成】 Wimaxルータ(NAD11)     │    無線(Wifi)     │    PC 【変更後構成】 Wimaxルータ(NAD11)     │    無線(Wifi)     │ イーサネットコンバータ(MZK-MF300D)     │   Cisco1812     │   有線LAN     │    PC

  • Ciscoのルータの勉強法

    CCNAなどの資格には興味はさして無いのですが、仕事で基本的な設定をしなければならなくなりました。実機を購入してCiscoのドキュメントとネット検索である程度できるかな?と思いましたが、やはり書籍世代で書籍が欲しいところです。しかし、CCNAなどの資格試験対策本ばかりで、実際的な書籍はありません。CCNAなどの資格試験の勉強が無駄だとは決して思いませんが、昔Linuxを教えてもらった方は、本職でしたがLPICは持っておられませんでした。Linuxと比較するのはおかしいですが、実機操作がある程度できてからCCNAの資格もチャレンジしたいと思っています。上に書いたような勉強法である程度までは学習できるでしょうか?それとも、CCNA資格勉強を先にすべきでしょうか?一応参考書の1巻は買いましたが、最初はネットワーク関係でした。これはLinuxや他のネットワーク系の勉強でやっているので、概ね理解しています。なので、CCNA独自のところからやって行こうと思いますが、聞けば、その有名な黒い本ではCCNA試験とかけ離れているとの事。ベンダー試験なので、ある程度実機操作とリンクしているのではないか?と思います。そこで、良く聞くクラムメディアです。確かに的中率とかを自慢していますが、考えようによってはCiscoの求めているスキルを網羅しているのではないか?とも思えます、単純に資格取得の為に丸暗記するのはNGだとしても、その問題集を元にネットで調べると言う手法はある意味効率的で実際的なのではないか?とも思えるのですが。企業でチームでルータを設定するのではなく、小規模なところの基本的な設定だけが求められるので、どう言った勉強法が良いのかご教示下さい。私は個人事業主で、請け負っています。Ciscoのルータが触れるのなら、その方面の仕事が取れます。よろしくお願いします。

  • 宛先アドレスが違う

    最近携帯に迷惑メールが来るようになったのですが、 宛先アドレスが私のメールアドレスとは違うものになっています。 送信元アドレスが偽装できるというのは聞いた事がありますが、 宛先も偽装できるのでしょうか? というか宛先を偽装する意味がよく分らないですが・・・

  • Cisco 拡張ACLについて

    お世話になります。 現在、CiscoのACLを勉強しているのですが、どうしても以下の違いが分かりません。 1) access-list 170 permit tcp any any eq 1099 2) access-list 170 permit tcp any eq 1099 any 上記1)は理解できるのですが、なぜ2)が必要なのか、2)がどのような意味を成しているのか、なぜ必要なのかが理解できないのです。 2)は、送信元のポート番号が1099、送信先はanyという意味なのでしょうか? お手数ですが、ご回答頂けると幸いです。

  • 先日、Cisco 851のルータを知り合いから譲って頂きました。

    先日、Cisco 851のルータを知り合いから譲って頂きました。 PCをDHCPで設定して、ルータのLANとPCをストレートケーブルで接続しました。 PCのIPアドレス 192.168.0.100 サブネットマスク 255.255.255.0で割り振られました。 しかし、ルータのアドレスを友人が忘れてしまった為、teratermから接続する事が出来ません。 この場合は、コンソールケーブルを入手してコンソールからルータに接続して設定変更をしなければいけないのでしょうか? ストレートケーブルのみで設定出来る方法があれば教えて下さい。  

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する