HOME > コンテンツリスト > ラボ・シナリオ for CCNA > [ < 前へ 次へ > ]

番号付き拡張IPアクセスリストを設定する (ICMP)

※ 前の「シナリオ」の続きとして記載しています。
ラボ・シナリオで使用するネットワーク構成図
  1. RT-A に適用されているアクセスリストを確認しなさい。
    2. < RT-A >
RT-A# sh run | section int
interface FastEthernet0/0
 ip address 192.168.2.2 255.255.255.0
 ip access-group 100 in
 duplex auto
 speed auto
interface FastEthernet0/1
 ip address 192.168.3.2 255.255.255.0
 duplex auto
 speed auto
interface Serial0/0/0
 no ip address
 shutdown
interface Serial0/0/1
 no ip address
 shutdown
RT-A#
  2. RT-A の F0/0 へのアクセスリストの適用を解除しなさい。
    3. < RT-A >
RT-A# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
RT-A(config)# int f0/0
RT-A(config-if)# no ip access-group 100 in
RT-A(config-if)#
  3. F0/0 へのアクセスリストの適用が解除されたことを確認しなさい。
    4. < RT-A >
RT-A(config-if)# do sh ip int f0/0 | section access list
  Outgoing access list is not set
  Inbound  access list is not set
RT-A(config-if)#
  4. RT-A で、現在作成済みのアクセスリストを確認しなさい。
    5. < RT-A >
RT-A(config-if)# do sh access-lists
Extended IP access list 100
    10 permit ip host 192.168.1.10 host 192.168.3.10
    20 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
    30 permit ip any any (19 matches)
RT-A(config-if)#
  5. RT-A で、192.168.1.10 から 192.168.3.0/24 への ping のみを拒否するアクセスリストを新たに作成し、F0/0 に適用しなさい。
    6. < RT-A >
RT-A(config-if)# access-list 101 deny icmp host 192.168.1.10 192.168.3.0 0.0.0.255 echo
RT-A(config)# access-list 101 permit ip any any
RT-A(config)# int f0/0
RT-A(config-if)# ip access-group 101 in
RT-A(config-if)#
    ping は icmp のエコー要求 (echo) とエコー応答 (echo-reply) を使用します。エコー応答はエコー要求に対する返事なので、エコー要求さえ拒否すればよく、エコー応答は拒否する必要はありません。

  6. sh access-lists コマンドで、設定したアクセスリストを確認しなさい
    7. < RT-A >
RT-A(config-if)# do sh access-lists
Extended IP access list 100
    10 permit ip host 192.168.1.10 host 192.168.3.10
    20 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
    30 permit ip any any (24 matches)
Extended IP access list 101
    10 deny icmp host 192.168.1.10 192.168.3.0 0.0.0.255 echo
    20 permit ip any any (1 matches)
RT-A(config-if)#
  7. PC-A と PC-B から PC-C へ ping を実行しなさい。
    8. < PC-A >
C:\> ping 192.168.3.10

192.168.3.10 に ping を送信しています 32 バイトのデータ:
192.168.1.1 からの応答: 宛先ネットワークに到達できません。
192.168.1.1 からの応答: 宛先ネットワークに到達できません。
192.168.1.1 からの応答: 宛先ネットワークに到達できません。
192.168.1.1 からの応答: 宛先ネットワークに到達できません。

192.168.3.10 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、

C:>

    < PC-B >
C:\> ping 192.168.3.10

192.168.3.10 に ping を送信しています 32 バイトのデータ:
192.168.3.10 からの応答: バイト数 =32 時間 =5ms TTL=126
192.168.3.10 からの応答: バイト数 =32 時間 =2ms TTL=126
192.168.3.10 からの応答: バイト数 =32 時間 =2ms TTL=126
192.168.3.10 からの応答: バイト数 =32 時間 =2ms TTL=126

192.168.3.10 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 2ms、最大 = 5ms、平均 = 2ms

C:>
    192.168.1.10 (PC-A) 発の ping はアクセスリストの一行目で拒否され、192.168.1.11 (PC-B) 発の ping はアクセスリストの一行目には一致しないので、二行目をチェックし、二行目で一致するため、この条件文で許可されます。
    access-list 100 deny icmp host 192.168.1.10 192.168.3.0 0.0.0.255 echo  ← 192.168.1.10 発
access-list 100 permit ip any any                                       ← 192.168.1.11 発