このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。
ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」ボタンから演習で使用するファイルのダウンロードができます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。
演習ファイルのダウンロード
ACL(ICMP)
拡張IPアクセスリストを使用すれば、ICMP通信を制御することができます。
拡張IPアクセスリストの構文は以下のようになります。
Router(config)#access-list {番号} {permit | deny} {プロトコル} {送信元IP} {送信元ワイルドカードマスク} {宛先IP} {宛先ワイルドカードマスク} [オプション]
プロトコルのところで「icmp」を指定します。
基本設定
まず、R1ルータのホスト名とIPv4アドレスなどの基本設定を行います。
●R1のコンフィグ
enable
conf t
hostname R1
int g0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
int g0/1
ip address 192.168.2.1 255.255.255.0
no shutdown
end
copy run start拡張アクセスリストの作成と適用
宛先が「192.168.1.0/24」ネットワークへのICMP Echo要求を禁止し、その他のトラフィックは通す設定を行ってみます。
●R1ルータのアクセスリストの設定
R1(config)#access-list 100 deny icmp any 192.168.1.0 0.0.0.255 echo
R1(config)#access-list 100 permit ip any any
R1(config)#int g0/0
R1(config-if)#ip access-group 100 out
拡張アクセスリストの検証
PC2からPC1へPingを行います。
C:>ping 192.168.1.10
PC2からPC1へのPingは失敗します。それは、拡張IPアクセスリストによって、ICMPエコー要求がブロックされたからです。
それでは、R1からPC1にPingを行った場合は、どうなるでしょうか?
●R1ルータからPC1へのPingの出力
R1#ping 192.168.1.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.10, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 msルータ1からPC1へのPingは、成功します。
続きは、次の「ACL(ルータの発行コマンドの注意)」でルータから発行するコマンドにおける注意点について解説します。
演習ファイルのダウンロード
ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」ボタンから演習で使用するファイルのダウンロードができます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。