IPv4アクセスリスト

問題集の図や読み上げで把握が難しい部分などを補足します。
対象ページ:307から338

なお、CSR 1000vを利用したアクセスリスト設定例を紹介しています。
今回の章の前後で実際に体験されると理解が深まると思います。

問題3

対象ページ:321

解答に説明図があります。
対象行は「【標準ACL】」から「チェック」までです。
図では、標準ACLがチェックする対象が、送信元IPアドレスのみであることが表現されています。

問題4

対象ページ:322

解答に説明図があります。
対象行は「【拡張ACL】」から「チェック」までです。
問題3と同様に、拡張ACLがチェックする対象が説明されています。
標準ACLの対象が送信元IPアドレスのみであるのに対し、拡張ACLは、送信元IPアドレス、送信先IPアドレス、プロトコル、TCP/UDPの送信元ポートと宛先ポートも対象にできます。

問題4

対象ページ:321

解答に表があります。
表は「【代表的な番号付きACL】」から「IPX拡張900~999」までの行です。
PDFからテキストへの変換で把握しにくくなるため、以下に表を記載します。

プロトコル・種類 ACL番号
IPv4標準 1~99、1300~1999
IPv4拡張 100~199、2000~2699
AppleTalk 600~699
IPX標準 800~899
IPX拡張 900~999

問題6

対象ページ:323

解答にインバウンドACLとアウトバウンドACLの説明図があります。

インバウンドACL

対象行は「【インバウンドACLの動作】」から1番目の「・拒否条件に一致 ⇒ パケット破棄」までです。
図を説明します。
ルータを中心にしたネットワーク構成図です。インバウンドACLを設定したルータが、どのようにパケットを処理するか記載されています。

  • ACL照合タイミング:パケット受信時
  • 許可条件に一致 ⇒ ルーティングテーブルを参照し、出力IF決定
  • 拒否条件に一致 ⇒ パケット破棄
アウトバウンドACL

対象行は2番目の「【インバウンドACLの動作】」から2番目の「・拒否条件に一致 ⇒ パケット破棄」までです。
インバウンドと同様に、アウトバウンドACLを設定したルータが、どのようにパケットを処理するか記載されています。

  • ACL照合タイミング:ルーティングテーブルを参照した後のパケット送信時
  • 許可条件に一致 ⇒ パケット転送
  • 拒否条件に一致 ⇒ パケット破棄

問題7

対象ページ:324

解答に説明図があります。
対象行は「【ACLの適用】」から1番目の「Fa0/0 Fa0/1」までです。
図の前の行で説明があるとおり、以下が図で表現されています。

  • IPv4とIPv6は異なるプロトコルのため、同じインターフェースに適用できる
  • IPv4の標準ACLと拡張ACLは同じプロトコルのため、同じインターフェースに適用できない

問題9

対象ページ:326

解答にワイルドカードマスクの説明図があります。
対象行は「10101100.00010000.00000001.00000101  00000000.00000000.00000000.00000000」から「全ビットをチェックする」までです。
0.0.0.0を2進数表記にすると、32bitすべてが0になります。ワイルドカードマスクは0の部分をチェックするので、172.16.1.5のすべてがチェック対象であることが表現されています。

問題10

対象ページ:327

解答にワイルドカードマスクの説明図が2つあります。

0.0.0.255の場合

対象行はページ先頭の「10101100.00010000.00000001.00000000  00000000.00000000.00000000.11111111」から「先頭24ビットをチェックする」までです。
0.0.0.255を2進表記にすると、第1オクテットから第3オクテットつまり先頭24bitが0、第4オクテットつまり後尾8bitが1になります。ワイルドカードマスクは0の部分をチェックするので、172.16.1.0の場合は、第1オクテットから第3オクテットつまり「172.16.1」がチェック対象になります。

ANYの場合

対象行は「00000000.00000000.00000000.00000000 11111111.11111111.11111111.11111111」から「全ビットを無視する」までです。
ANYの場合、ワイルドカードマスクは255.255.255.255になります。255.255.255.255を2進表記にすると、32bitすべてが1になります。ワイルドカードマスクは1の部分は無視するので、何もチェックしません。その表記は「0.0.0.0 255.255.255.255」となります。

問題12

対象ページ:329

PDFからテキストの変換でわかりにくくなる箇所を説明します。
対象行は「チェックする(一致) チェックしない(任意)」です。
この行は前の行の説明です。「チェックする(一致)」は前の行のワイルドカード「00000000.00000000.00000000.0000」に、「チェックしない(任意)」は「1111」に対応しています。

問題15

対象ページ:312

問題の図を説明します。
対象行は「R2 R1」から「172.16.20.0/24 Fa0/1」までです。
図を説明します。
ルータのアイコンが2つ、スイッチのアイコンが1つ、雲のかたちのアイコン(インターネット)が1つあります。ルータはR1、R2と名付けられています。
R2には2本の線があり、1本の線には、172.16.30.0/24と記載されています。もう一つの線はスイッチと接続されています。
スイッチには172.16.20.0/24と記載されています。スイッチにも2本の線があり、一つの線はR2、もう一つの線はR1と接続されています。
R1には3本の線があります。1本の線はスイッチと接続され、R1側にFa0/0と記載されています。2本目の線は雲のかたちのアイコンと接続され、S0/0と記載されています。3本目の線の先には、172.16.10.0/24と記載され、R1側にはFa0/1と記載されています。

対象ページ:330

解答に説明図があります。
対象行は「標準ACL」から「(172.16.10.0から)」までです。
問題と同じネットワーク構成図を利用して、今回の正答Eのコマンドを適用した場合の動作が表現されています。
R1からインターネット方向へパケットが出ていくとき、R1に適用されたACLに従って、拒否されたり、許可されたりします。今回のACLでは次の順番で適用されます。

  1. 172.16.30.0が送信元のパケットのみ拒否
  2. 全てのパケットを許可。上の定義があるため、172.16.30.0以外の全てとなります。
  3. 暗黙のdeny(暗黙の拒否)によって、全て拒否。ただし、上の全てを許可する定義が先にあるため、ここは適用されません。

問題16

対象ページ:331

PDFからテキストの変換で、わかりにくくなる部分を説明します。3か所あります。

1か所目

対象行は「0 ………00000000」から「7 ………00000111」まです。
途中にある「第3オクテット上位5ビットまで共通」は、「0 ………00000000」から「7 ………00000111」までを対象にした補足です。上位5ビットまでが全て0で共通していることを説明しています。

2か所目

対象行はページ末尾の2行「1行のステートメントに集約(上位5ビットまで共通)」と「access-list 10 permit 172.16.0.0 0.0.7.255」です。
これらの行は、その上の8行「access-list 10 permit 172.16.0.0 0.0.0.255」から「access-list 10 permit 172.16.7.0 0.0.0.255」を対象にした説明です。

3か所目

対象行は「2行のステートメントに集約(上位6ビットまで共通)」から「access-list 10 permit 172.16.4.0 0.0.3.255」までの3行です。
2か所目と同様、これらは、その上の8行「access-list 10 permit 172.16.0.0 0.0.0.255」から「access-list 10 permit 172.16.7.0 0.0.0.255」を対象にした説明です。
8行のうち、上4行は「access-list 10 permit 172.16.0.0 0.0.3.255」に、下4行は「access-list 10 permit 172.16.4.0 0.0.3.255」に集約できます。

問題19

対象ページ:315

問題にネットワーク構成図があります。
対象行は最初の「Fa0/0」から「10.1.0.0/23 10.1.10.0/30 10.1.10.4/30」までです。
図を説明します。
アイコンについて、ルータが3つ、スイッチが4つ、PCが8つ、サーバが1つあります。ルータはRT1、RT2、RT3と名付けられています。各スイッチには、それぞれのネットワークセグメントのみが記載されています。
RT1には3つの線(ネットワーク)があります。1つ目の線にはスイッチが接続され、RT1側にはFa0/0と記載されています。そのスイッチには10.1.0.0/23と記載され、2つのPCが接続されています。
RT1の2つ目の線も同様に、スイッチが接続され、RT1側にはFa0/1と記載されています。そのスイッチには10.1.2.0/23と記載され、2つのPCが接続されています。
RT1の3つ目の線には、RT2が接続され、RT1側にはS0/0と記載されています。RT1とRT2間には10.1.10.0/30と記載されています。

RT2にも3つの線(ネットワーク)があります。1つ目の線には、先ほどのRT1が接続され、RT2側にはS0/0と記載されています。これは、RT1の3つ目の線の対向になります。
RT2の2つ目の線には、スイッチが接続され、RT2側にはFa0/1と記載されています。そのスイッチには10.1.4.0/23と記載され、2つのPCが接続されています。
RT2の3つ目の線には、RT3が接続され、RT2側にはS0/1と記載されています。RT2とRT3間には10.1.10.4/30と記載されています。

RT3にも3つの線(ネットワーク)があります。1つ目の線には、先ほどのRT2が接続され、RT3側にはS0/0と記載されています。これは、RT2の2つ目の線の対向になります。
RT3の2つ目の線には、スイッチが接続され、RT3側にはFa0/1と記載されています。そのスイッチには10.1.6.0/23と記載され、2つのPCが接続されています。
RT3の3つ目の線には、サーバが接続され、RT3側にはFa0/0と記載されています。サーバには、10.1.8.1/23と記載されています。

問題21

対象ページ:335

PDFからテキストの変換で、わかりにくくなる部分を説明します。記号が誤変換しています。
対象行は「R1#show access-listsv」から「cシーケンス番号(IOS12.3より自動的に付与される)」まです。

  • 「R1#show access-listsv」の末尾「v」はEnter記号の誤変換です。
  • 行の途中の「番号付き標準ACL」や「名前付き標準ACL」の頭の「b」は左矢印の誤変換です。つまり、その左側の説明です。
  • 「cシーケンス番号」の行頭「c」は上矢印の誤変換です。つまり、上の行の説明です。

問題22

対象ページ:336

PDFからテキストの変換で、わかりにくくなる部分を説明します。問題21と同様に、記号が誤変換しています。
対象行は「Router#show ip interface s0/0v」から「Inbound access list is not set bインバウンドにACL適用はない」まです。

  • 「Router#show ip interface s0/0v」の末尾「v」はEnter記号の誤変換です。
  • 行の途中の「アウトバウンド」や「インバウンド」の頭の「b」は左矢印の誤変換です。

問題24

対象ページ:337

問題の出力の範囲を補足しておきます。
出力は「RT1#show ip access-lists」から「output omitted」までで30行ほどあります。

対象ページ:337

PDFからテキストの変換で、わかりにくくなる部分を説明します。問題21と同様に、記号が誤変換しています。
対象行は「RT1(config)#interface fa 0  b「fastethernet 0」でもOK」です。
行の途中の「fastethernet 0」の頭の「b」は左矢印の誤変換です。

なお、今回の問題も出力の把握の前に、問題の選択肢を把握したほうが、効率がよいです。

問題25

対象ページ:337

解答に説明図があります。
対象行は「【ダイナミックACL】」から「ユーザA サーバ」までです。
ユーザAとルータとサーバで構成された図を利用して、ダイナミックACLが次の順番で動作する様子が説明されています。

  1. ユーザAはルータにTELNET
  2. ルータはユーザAを認証
  3. ユーザAはルータを経由してサーバへ、一定時間アクセスが許可されます
(ここがページの最後です。更新日:2018年6月3日)