IPv4アクセスリスト設定

IPv4アクセスリスト設定

IPv4の標準アクセスリストを設定し、動作を検証します。
CSR 1000Vの基本設定と相互接続が完了した環境で検証します。

R1とR2の環境を整理しておきます。
R1とR2は、GigabitEthernet1同士、192.168.1.0/24のネットワークで直接接続されています。
R1のIPは192.168.1.101です。R2のIPは192.168.1.102です。

暗黙のDENY

R2へ標準アクセスリストを設定します。暗黙のDENYを検証するため、存在しないネットワーク(10.1.0.0/16)を許可するアクセスリストを利用します。
送信元が10.1.0.0/16のセグメントを許可するアクセスリスト5を作成し、R2のGigabitEthernet1のインバウンドに適用します。特権モードからは、以下のように入力します。

R2# conf t　「ENTER」
R2(config)# access-list 5 permit 10.1.0.0 0.0.255.255　「ENTER」← アクセスリスト5を作成。
R2(config)# interface GigabitEthernet1　「ENTER」 ← インターフェイスの設定モードへ移行
R2(config-if)# ip access-group 5 in　「ENTER」インバウンドに適用
R2(config-if)# end　「ENTER」
R2#wr ← 設定保存。

設定したアクセスリストは「show ip access-lists」や「show access-lists」で確認できます。

R2#show ip access-lists 「ENTER」← 次の行から実行結果が表示されます。

Standard IP access list 5
    10 permit 10.1.0.0, wildcard bits 0.0.255.255

実行結果の2行目の10で始まる行が作成されたアクセスリストです。

R1からR2へPINGを実行します。

R1#ping 192.168.1.102 「ENTER」← 次の行から実行結果が表示されます。

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.102, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

実行結果の3行目が「U.U.U」になっています。「U.U.U」は対象に到達できない場合に表示されます。
PINGが成功しない原因は暗黙のDENYです。アクセスリストを適用すると全てを拒否する「暗黙のDENY」が適用されるため、許可するセグメントは記載する必要があります。
今回は192.168.1.0/24などが許可されていないため、PINGが失敗しています。

アクセスリストの設定と確認

R2のアクセスリスト5へ追加設定します。送信元が192.168.1.0/24のセグメントを許可するアクセスリストです。
特権モードからは、以下のように入力します。

R2# conf t　「ENTER」
R2(config)# access-list 5 permit 192.168.1.0 0.0.0.255　「ENTER」← さきほどのアクセスリスト5を利用します。
R2(config-if)# end　「ENTER」
R2#wr ← 設定保存。

アクセスリスト5に追加されたことを確認します。

R2#show ip access-lists 「ENTER」← 次の行から実行結果が表示されます。

Standard IP access list 5
    10 permit 10.1.0.0, wildcard bits 0.0.255.255
    20 permit 192.168.1.0, wildcard bits 0.0.0.255

実行結果の3行目の20で始まる行が追加されたアクセスリストです。

R1からR2へPINGを実行します。

R1#ping 192.168.1.102 「ENTER」← 次の行から実行結果が表示されます。

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.102, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 ms

実行結果の3行目がPING成功を表す「!!!!!」になっていることを確認します。

再度、R2で「show ip access-lists」を確認します。
R2#show ip access-lists 「ENTER」← 次の行から実行結果が表示されます。

Standard IP access list 5
    10 permit 10.1.0.0, wildcard bits 0.0.255.255
    20 permit 192.168.1.0, wildcard bits 0.0.0.255 (5 matches)

実行結果の3行目の20で始まる行の末尾に (5 matches)が追加されています。
ここには、アクセスリストを利用した回数が表示されます。
CiscoのPINGはデフォルトで5回実行されるため、R1からR2へPINGを実行するたびに、5ずつ増えていきます。

設定を元に戻す

他の検証ではアクセスリストで混乱する場合があるため、設定を検証前に戻しておきます。以下は設定したアクセスリストを消すコマンドです。

R2(config)#no ip access-list standard 5「ENTER」

「show ip access-lists」でアクセスリストが存在しない（何も表示されない）ことを確認します。