助け合いフォーラム
この問題はプレミアムコンテンツです。
inとoutの挙動がいまいち理解できません
本問では以下の通り、E0のout方向にACLを適用していますが、これはE0から発信されるパケットをチェックされる=192.168.100.0/24から発信されるパケットをチェックされる?という理解で合っていますでしょうか。
outはそのインターフェースから発信されるパケットをチェックする ということであれば、標準ACLは送信元のみ指定可能なので、宛先と送信元がごっちゃになってよく分からなくなってしましました、、
(イメージ)
送信元=192.168.100.0/24(E0のNW)
宛先=192.168.2.0/24(ACLでは送信元になっているが、パケットの処理としては宛先になる??)
access-list 1 deny 192.168.2.0 0.0.0.255
interface Ethernet 0
ip access-group 1 out
何点かつまずきポイントがあると思いますが、段階を追って理解していけば確実な得点源になるので頑張っていきましょう。
-
まずは問題文や解説から重要なポイントがどこか把握できるようにしましょう。
「out/送信」の場合はルーターの中心から外側へ矢印を引く、「in/受信」の場合は外側からルーターの中心へ矢印を引くイメージです。
「E0 out」は「E0から送信されるパケット」なので、「人事部/経理部/営業部」から「サーバ」の方向の通信となります。 -
提示された設定に誤りがあるとすれば、どのような設定が正しいか考えてみましょう。
題意より、人事部からサーバへのアクセスを禁止したいのだろう、と想像が出来ます。
したがって本来あるべき設定は最終行にpermitを加える必要があります。
access-list 1 deny 192.168.2.0 0.0.0.255
access-list 1 permit any
interface Ethernet 0
ip access-group 1 out
問題文では最終行にpermitがないので、人事部だけでなく、すべての部門からのアクセスが禁止される状態となっています。
- より自信をつけたい場合は、標準アクセスリストと拡張アクセスリストの両面で考えてみましょう。
もし本件を拡張アクセスリストで実現する場合は次のような設定が考えられます。
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.100.0 255.255.255.0
access-list 100 permit ip any any
コメント
この投稿に対して返信しませんか?
h harumax
2024/02/24 00:32
詳細な解説ありがとうございます。(返信が遅れ申し訳ありません) 実際に自分でルータに矢印(線)を引いてみたところ、今までモヤモヤしたものがすっきりしました! outの場合はルーターの中心から外側へ矢印を引き、inの場合は外側からルーターの中心へ矢印を引く、これを意識して他の問題も解いてみましたが、驚くほど理解が進みました。大変ありがとうごございます! 引き続き頑張ります。