アクセスリストの書き方
アクセスリストの書き方ある特定のネットワークへのルーティングを行う場合, そのネットワークへ至る経路途中に存在する全ての ネットワークからのアクセスを許容するよう, アクセスリストに記載する必要がある.
例えば以下のように, ネットワーク A から C へのルーティングを ルータ1 で設定する場合を考える.
(ネットワークA)--[ルータ1]--(ネットワークB)--[ルータ2]--(ネットワークC)このときルータ1のアクセスリストは以下のように設定する.
# access-list (アクセスグループ番号) permit ip (ネットワークAアドレス) (マスク) (ネットワークBアドレス) (マスク) # access-list (アクセスグループ番号) permit ip (ネットワークBアドレス) (マスク) (ネットワークAアドレス) (マスク) # access-list (アクセスグループ番号) permit ip (ネットワークAアドレス) (マスク) (ネットワークCアドレス) (マスク) # access-list (アクセスグループ番号) permit ip (ネットワークCアドレス) (マスク) (ネットワークAアドレス) (マスク)
以下では現在 ringo で行っている設定を解説する.
設定の詳細デフォルトルートは HINES である. 8 号館サブネットと Super SINET を経由して HINES から ISAS (宇宙航空研究開発機構 宇宙科学研究本部) への接続すること を除き, 全て許容する.
! ポートの設定 # interface Vlan5 # ip address 133.50.160.22 255.255.254.0 # ip access-group 105 in
! ルーティング設定 # ip route 0.0.0.0 0.0.0.0 133.50.160.1
! アクセス制御 # access-list 105 permit ip any any ! 基本的に全て通し # access-list 105 deny ip any 133.74.0.0 0.0.255.255 ! ISAS への接続は遮断
ISAS (133.74.0.0/16) へは Super SINET を経由して接続する. ネットワークの構成は以下のとおり.
133.87.45.0/24 133.87.45.1
(8号館サブネット)----[ringo]----(ISAS サブネット)----[北大 Super SINET ルータ]----(ISASネットワーク)
133.74.135.2 133.74.135.0/24 133.74.135.1 133.74.0.0/16
! ポートの設定 # interface Vlan2 # ip address 133.74.135.2 255.255.255.0 # ip access-group 102 in
! ルーティング設定 # ip route 133.74.0.0 255.255.0.0 133.74.135.1
! アクセス制御 (133.74.135.0/24 から 133.74.0.0.16 へのアクセスリストも作成する) # access-list 102 permit ip 133.87.45.0 0.0.0.255 133.74.0.0 0.0.255.255 # access-list 102 permit ip 133.74.0.0 0.0.255.255 133.87.45.0 0.0.0.255 # access-list 102 permit ip 133.87.45.0 0.0.0.255 133.74.135.0 0.0.0.255 # access-list 102 permit ip 133.74.135.0 0.0.0.255 133.87.45.0 0.0.0.255 # access-list 102 permit ip 133.74.135.0 0.0.0.255 133.74.0.0 0.0.255.255 # access-list 102 permit ip 133.74.0.0 0.0.255.255 133.74.135.0 0.0.0.255
国立環境研究所から環境研落石観測所への 8 号館サブネットをバイパスした接続の設定である. ネットワークの構成は以下のとおり.
133.87.45.60 133.87.45.248/30 133.87.45.248
(環境研/HINES)--[ringo]--(8 号館サブネット)--[azul]--(8 号館"サブ"サブネット)--[ルータ]--(落石観測所)
133.87.45.1 133.87.45.0/24
! ルーティング設定 # ip route 133.87.45.248 255.255.255.252 133.87.45.60
NORTH (北海道地域ネットワーク) と BOREO (北海道学術ネットワーク) を経由して, 8 号館サブネットと名寄市木原天文台との接続設定である. ネットワークの構成は以下のとおり.
133.87.45.0/24 133.87.45.1
(8号館サブネット)----[ringo]----(NORTH サブネット)----[ルータ]---- /
202.19.252.18 202.19.252.16/29 202.19.252.17
============================================================================
192.168.187.40/30
/ ----(BOREO)----[ルータ]----(BOREO)----[ルータ]----(木原天文台ネットワーク)
192.168.186.32/30 202.19.252.33 202.19.252.32/28
! ポートの設定 # interface Vlan4 # ip address 202.19.252.18 255.255.255.248 # ip access-group 104 in
! ルーティング設定 # ip route 202.19.252.32 255.255.255.240 202.19.252.17
! アクセス制御 # access-list 104 permit ip 202.19.252.32 0.0.0.15 133.87.45.0 0.0.0.255 # access-list 104 permit ip 133.87.45.0 0.0.0.255 202.19.252.32 0.0.0.15 # access-list 104 permit ip 202.19.252.16 0.0.0.7 133.87.45.0 0.0.0.255 # access-list 104 permit ip 133.87.45.0 0.0.0.255 202.19.252.16 0.0.0.7 # access-list 104 permit ip 192.168.186.32 0.0.0.3 133.87.45.0 0.0.0.255 # access-list 104 permit ip 133.87.45.0 0.0.0.255 192.168.186.32 0.0.0.3 # access-list 104 permit ip 192.168.187.40 0.0.0.3 133.87.45.0 0.0.0.255 # access-list 104 permit ip 133.87.45.0 0.0.0.255 192.168.187.40 0.0.0.3
最終更新日: 2006/02/22 小高正嗣
Copyright © 2006- EPcore. All rights reserved.