![[dir]Free/ OpenSource Software](https://logo-imagecluster.img.mixi.jp/photo/comm/52/51/105251_162s.jpg){kind=logo}
TFTPサーバを使用したACLの再設定として
下記のような手順で設定をしています。
cisco#
cisco#conf t
Enter configuration commands, one per line. End with CNTL/Z.
cisco(config)#no access-list 111
cisco(config)#
cisco(config)#interface FastEthernet0/2
cisco(config-if)#no ip access-group 111 out
cisco(config-if)#exit
cisco(config)#exit
cisco#write
Building configuration...
[OK]
cisco#copy tftp running-config
この後、
show access-list 111
で設定が入っている事を確認して再設定(修正)をした
ACLの動作確認を取ります。
今まで上記の方法で再設定をしてきましたが
今回、この方法で設定がうまく反映されていなかったので質問をしたいと思います。
ACLを変更した際、反映されるタイミングはいつなのでしょうか?
show access-listで
修正された行には(28 matches)と言うようにマッチングしている記録が見えました。
その他のACLには変更をしていませんし、
今回設定したACLと関わりがあるACLは無いと言う前提(成りすまし拒否位しかしてい
ません)で
192.168.10.0/24から192.168.2.72から79までのsshとtelnetの許可設定を追加しまし
た。
下記1行になります。
access-list 111 permit tcp 192.168.10.0 0.0.0.255 192.168.2.72 0.0.0.7 range
ssh telnet log
当然ながらこの行より前にマッチングする行はありません。
記述の仕方が間違っているのか、
反映の仕方が悪いのか、
ACLの行数が多いのがいけないのか、
現用機なので再起動はしておりません。
自分が見る限りでは設定に問題があるとは思わないのですが
ACLを設定する上で何か気をつけなければいけない事などもありましたら
教えて頂ければ幸いです。
下記のような手順で設定をしています。
cisco#
cisco#conf t
Enter configuration commands, one per line. End with CNTL/Z.
cisco(config)#no access-list 111
cisco(config)#
cisco(config)#interface FastEthernet0/2
cisco(config-if)#no ip access-group 111 out
cisco(config-if)#exit
cisco(config)#exit
cisco#write
Building configuration...
[OK]
cisco#copy tftp running-config
この後、
show access-list 111
で設定が入っている事を確認して再設定(修正)をした
ACLの動作確認を取ります。
今まで上記の方法で再設定をしてきましたが
今回、この方法で設定がうまく反映されていなかったので質問をしたいと思います。
ACLを変更した際、反映されるタイミングはいつなのでしょうか?
show access-listで
修正された行には(28 matches)と言うようにマッチングしている記録が見えました。
その他のACLには変更をしていませんし、
今回設定したACLと関わりがあるACLは無いと言う前提(成りすまし拒否位しかしてい
ません)で
192.168.10.0/24から192.168.2.72から79までのsshとtelnetの許可設定を追加しまし
た。
下記1行になります。
access-list 111 permit tcp 192.168.10.0 0.0.0.255 192.168.2.72 0.0.0.7 range
ssh telnet log
当然ながらこの行より前にマッチングする行はありません。
記述の仕方が間違っているのか、
反映の仕方が悪いのか、
ACLの行数が多いのがいけないのか、
現用機なので再起動はしておりません。
自分が見る限りでは設定に問題があるとは思わないのですが
ACLを設定する上で何か気をつけなければいけない事などもありましたら
教えて頂ければ幸いです。
|
|
|
|
コメント(17)
>ご回答いただいたみなさん
回答する側に立場になれば、
これがどんなに曖昧な質問なのかは一目瞭然でした。
もっと詳細に書きたかったのですが、
ACLの行数が多い事、その他、色々と注釈をつけていかなければいけなかったので
なるべく短縮して質問したのが失敗でした。
ご迷惑をおかけしてすいませんでした。
原因は「ルータのCONFIG」ではなく「ホスト」側にありました。
(ちょっとだけ言い訳させていただくと)
質問をした段階では
ホスト側の設定確認を取りつらかった事。
パケットをダンプする環境を作るのに手間が多かった事。
があり、ついついルータのACL修正が問題であると思い込んでいました。
動作確認が非常にしづらい状況でした。)
>☆よーいち☆ さん
各コマンドのログと言う事ですが、
あるパケットがどのACLの行にマッチングしたのかを確認するためのコマンドと言うのはありますでしょうか?
「show access-list 番号」による「( xx matches)」しか私には思いつかないのですが、
何か他にありましたら、教えていただけませんでしょうか?
>embryoさん
matchが記録される事は特に不都合だとは感じていませんが
matchを消す方法を知らなかったので教えていただき非常に助かりました。
「弾かれたコマンドが見えない」と言う事ですが
弾かれたコマンドって見えていると思うんですが、
私が思う「弾かれたコマンド」とembryoさんが考える「弾かれたコマンド」
と言うのは違うのでしょうか?
弾かれるとエラーで出力されています。
>みゆきさん
tftpサーバに保存してあるCONFIGの見直しは
今回、何度となく行いましたが、失敗したため、質問をさせてもらいました。
ただ、みゆきさんの仰る通り、思い込みで、大丈夫だと思っている事は
多々ありましたので今後も、より一層、気をつけていこうと思います。
コメントありがとうございました。
>Neun(ノイン)。さん
「Configを投入した際のlog」と言うのは具体的にはどういったログでしょうか?
勉強不足で、ちょっと分かりませんでした。
それとTeratermからCONFIGを投入するにしても
一旦、ACLを消去しないと、ACLを途中の行に追加する事は出来ないと認識しているのですが
追加する方法があるという事でしょうか?
CONFIGのバックアップも10世代以上前のものもバックアップしてあります。
またCONFIGの更新履歴を取っておりますが、その他に取っておいたほうが良いものがありますでしょうか?
>ゆにさん
ホスト側のネットワーク設定に問題があることが分かり問題が解決しました。
今回、コメントありがとうございました。
回答する側に立場になれば、
これがどんなに曖昧な質問なのかは一目瞭然でした。
もっと詳細に書きたかったのですが、
ACLの行数が多い事、その他、色々と注釈をつけていかなければいけなかったので
なるべく短縮して質問したのが失敗でした。
ご迷惑をおかけしてすいませんでした。
原因は「ルータのCONFIG」ではなく「ホスト」側にありました。
(ちょっとだけ言い訳させていただくと)
質問をした段階では
ホスト側の設定確認を取りつらかった事。
パケットをダンプする環境を作るのに手間が多かった事。
があり、ついついルータのACL修正が問題であると思い込んでいました。
動作確認が非常にしづらい状況でした。)
>☆よーいち☆ さん
各コマンドのログと言う事ですが、
あるパケットがどのACLの行にマッチングしたのかを確認するためのコマンドと言うのはありますでしょうか?
「show access-list 番号」による「( xx matches)」しか私には思いつかないのですが、
何か他にありましたら、教えていただけませんでしょうか?
>embryoさん
matchが記録される事は特に不都合だとは感じていませんが
matchを消す方法を知らなかったので教えていただき非常に助かりました。
「弾かれたコマンドが見えない」と言う事ですが
弾かれたコマンドって見えていると思うんですが、
私が思う「弾かれたコマンド」とembryoさんが考える「弾かれたコマンド」
と言うのは違うのでしょうか?
弾かれるとエラーで出力されています。
>みゆきさん
tftpサーバに保存してあるCONFIGの見直しは
今回、何度となく行いましたが、失敗したため、質問をさせてもらいました。
ただ、みゆきさんの仰る通り、思い込みで、大丈夫だと思っている事は
多々ありましたので今後も、より一層、気をつけていこうと思います。
コメントありがとうございました。
>Neun(ノイン)。さん
「Configを投入した際のlog」と言うのは具体的にはどういったログでしょうか?
勉強不足で、ちょっと分かりませんでした。
それとTeratermからCONFIGを投入するにしても
一旦、ACLを消去しないと、ACLを途中の行に追加する事は出来ないと認識しているのですが
追加する方法があるという事でしょうか?
CONFIGのバックアップも10世代以上前のものもバックアップしてあります。
またCONFIGの更新履歴を取っておりますが、その他に取っておいたほうが良いものがありますでしょうか?
>ゆにさん
ホスト側のネットワーク設定に問題があることが分かり問題が解決しました。
今回、コメントありがとうございました。
はじめまして。
僕はいつも下記の要領でアクセスリスト書き換えてますよ。
1.access-list 111とaccess-list 112のように同様のやつを
2つ作成しておく。
2.現用でaccess-list 111を適用している場合には、追加・
修正分を含めaccess-list 112を作り直す。
3.最後に適用interfaceでip access-group 111 in ⇒ip access-group 112 in
として切替える。
次にまた変更するときは、111側を作り直して...と同じ要領で交互にやってます。これならすぐに元に戻せるので便利だと思いますよ。アドバイスになれば幸いです。
僕はいつも下記の要領でアクセスリスト書き換えてますよ。
1.access-list 111とaccess-list 112のように同様のやつを
2つ作成しておく。
2.現用でaccess-list 111を適用している場合には、追加・
修正分を含めaccess-list 112を作り直す。
3.最後に適用interfaceでip access-group 111 in ⇒ip access-group 112 in
として切替える。
次にまた変更するときは、111側を作り直して...と同じ要領で交互にやってます。これならすぐに元に戻せるので便利だと思いますよ。アドバイスになれば幸いです。
もともとの質問にはあまり関係ないのですが、ACLの付け替えって、昔、次のような順番でって習ったんですが、最近のはどうなんでしょうか?
その1.interface につけられているACLをはずす
(cisco(config-if)#no ip access-group 111 out)
その2.ACL本体をはずす
(cisco(config)#no access-list 111 )
その3.ACL本体をいれる。
(cisco(config)# access-list 111 xxx )
その4.ACLをインターフェースに適用する
(cisco(config-if)#ip access-group 111 out)
その1.interface につけられているACLをはずす
(cisco(config-if)#no ip access-group 111 out)
その2.ACL本体をはずす
(cisco(config)#no access-list 111 )
その3.ACL本体をいれる。
(cisco(config)# access-list 111 xxx )
その4.ACLをインターフェースに適用する
(cisco(config-if)#ip access-group 111 out)
はじめまして。
ちょっと便乗で質問させてください。
show access-lists 110 でACLをみたときmatchが表示されるのは
わかるのですが、これは適用された行全てにおいて表示されるという
ものではないのでしょうか。
私のところではdenyの行しか表示されず、permitに関しては一切
matchがありません。
これですと全て弾かれているように思えますがpermitの行に従い通信
はできています。
また別の機器では適用されたと思われる行はpermit、denyに関わらず
match表示があります。
IOSのバージョンの問題でしょうか。ちなみに12.2(25)SEです。
googleで検索をかけてみたんですがそれらしい記事が見当たらずこ
ちらで質問させていただきました。
ご容赦ください。
ちょっと便乗で質問させてください。
show access-lists 110 でACLをみたときmatchが表示されるのは
わかるのですが、これは適用された行全てにおいて表示されるという
ものではないのでしょうか。
私のところではdenyの行しか表示されず、permitに関しては一切
matchがありません。
これですと全て弾かれているように思えますがpermitの行に従い通信
はできています。
また別の機器では適用されたと思われる行はpermit、denyに関わらず
match表示があります。
IOSのバージョンの問題でしょうか。ちなみに12.2(25)SEです。
googleで検索をかけてみたんですがそれらしい記事が見当たらずこ
ちらで質問させていただきました。
ご容赦ください。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
CISCO 更新情報
-
最新のイベント
-
まだ何もありません
-
-
最新のアンケート
-
まだ何もありません
-
