このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。

 ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」ボタンから演習で使用するファイルのダウンロードができます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。

演習ファイルのダウンロード

ACL(ICMP)

拡張IPアクセスリストを使用すれば、ICMP通信を制御することができます。

拡張IPアクセスリストの構文は以下のようになります。

Router(config)#access-list {番号} {permit | deny} {プロトコル} {送信元IP} {送信元ワイルドカードマスク} {宛先IP} {宛先ワイルドカードマスク} [オプション]

プロトコルのところで「icmp」を指定します。

基本設定

まず、R1ルータのホスト名とIPv4アドレスなどの基本設定を行います。

●R1のコンフィグ
enable
conf t
hostname R1
int g0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
int g0/1
ip address 192.168.2.1 255.255.255.0
no shutdown
end
copy run start

拡張アクセスリストの作成と適用

 宛先が「192.168.1.0/24」ネットワークへのICMP Echo要求を禁止し、その他のトラフィックは通す設定を行ってみます。

●R1ルータのアクセスリストの設定

R1(config)#access-list 100 deny icmp any 192.168.1.0 0.0.0.255 echo
R1(config)#access-list 100 permit ip any any

R1(config)#int g0/0
R1(config-if)#ip access-group 100 out

拡張アクセスリストの検証

PC2からPC1へPingを行います。

C:>ping 192.168.1.10

 PC2からPC1へのPingは失敗します。それは、拡張IPアクセスリストによって、ICMPエコー要求がブロックされたからです。

それでは、R1からPC1にPingを行った場合は、どうなるでしょうか?

●R1ルータからPC1へのPingの出力

R1#ping 192.168.1.10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.10, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

ルータ1からPC1へのPingは、成功します。

 続きは、次の「ACL(ルータの発行コマンドの注意)」でルータから発行するコマンドにおける注意点について解説します。

演習ファイルのダウンロード

 ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」ボタンから演習で使用するファイルのダウンロードができます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。