2018-03-06 03:27 PM 2019-03-22 07:16 AM 更新
お世話になっております。
アクセスリストを使用して下記のような設定をしていたとします。
ip access-list extended EXTERNAL-INTERNET
remark *** WEB ***
permit tcp host 192.168.1.5 any eq 443
!
上記アクセスリストでは、送信元IPアドレス192.168.1.5、あて先IPアドレスAny、TCP443の通信のみ許可されますが、許可されていない内部クライアントがTCP443通信をした場合、ルータがFINパケットを送ってTCPセッションがクローズする動作は正しいでしょうか?
AGE OUTが正しいようにも思いますがいかがでしょうか。
解決済! 解決策の投稿を見る。
2018-03-22 03:32 PM
こんにちわ。
CCIE 受験に失敗し、失意の中、勉強中にこの書き込みをみました。
気になったので、試験してみたのですが、ルータからは、FIN パケットは送らないですね。
ACLで、reject後、icmp unreachableを返す動作のようです。
*Mar 22 05:30:43.761: IP: s=172.16.0.1 (Ethernet1/0), d=192.168.0.1, len 44, input feature
*Mar 22 05:30:43.761: TCP src=11005, dst=21, seq=1038004755, ack=0, win=16000 SYN, packet consumed, Access List(42), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Mar 22 05:30:51.761: IP: s=172.16.0.1 (Ethernet1/0), d=192.168.0.1, len 44, access denied
*Mar 22 05:30:51.761: TCP src=11005, dst=21, seq=1038004755, ack=0, win=16000 SYN
*Mar 22 05:30:51.761: FIBipv4-packet-proc: route packet from Ethernet1/0 src 172.16.0.1 dst 192.168.0.1
*Mar 22 05:30:51.761: FIBfwd-proc: packet routed by adj to Ethernet0/0 192.168.0.1
*Mar 22 05:30:51.761: FIBipv4-packet-proc: packet routing succeeded
*Mar 22 05:30:51.761: FIBipv4-packet-proc: route packet from (local) src 172.16.0.2 dst 172.16.0.1
*Mar 22 05:30:51.761: FIBfwd-proc: packet routed by adj to Ethernet1/0 172.16.0.1
*Mar 22 05:30:51.761: IP: s=172.16.0.2 (local), d=172.16.0.1 (Ethernet1/0), len 56, sending
*Mar 22 05:30:51.761: ICMP type=3, code=13
2018-03-22 03:32 PM
こんにちわ。
CCIE 受験に失敗し、失意の中、勉強中にこの書き込みをみました。
気になったので、試験してみたのですが、ルータからは、FIN パケットは送らないですね。
ACLで、reject後、icmp unreachableを返す動作のようです。
*Mar 22 05:30:43.761: IP: s=172.16.0.1 (Ethernet1/0), d=192.168.0.1, len 44, input feature
*Mar 22 05:30:43.761: TCP src=11005, dst=21, seq=1038004755, ack=0, win=16000 SYN, packet consumed, Access List(42), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Mar 22 05:30:51.761: IP: s=172.16.0.1 (Ethernet1/0), d=192.168.0.1, len 44, access denied
*Mar 22 05:30:51.761: TCP src=11005, dst=21, seq=1038004755, ack=0, win=16000 SYN
*Mar 22 05:30:51.761: FIBipv4-packet-proc: route packet from Ethernet1/0 src 172.16.0.1 dst 192.168.0.1
*Mar 22 05:30:51.761: FIBfwd-proc: packet routed by adj to Ethernet0/0 192.168.0.1
*Mar 22 05:30:51.761: FIBipv4-packet-proc: packet routing succeeded
*Mar 22 05:30:51.761: FIBipv4-packet-proc: route packet from (local) src 172.16.0.2 dst 172.16.0.1
*Mar 22 05:30:51.761: FIBfwd-proc: packet routed by adj to Ethernet1/0 172.16.0.1
*Mar 22 05:30:51.761: IP: s=172.16.0.2 (local), d=172.16.0.1 (Ethernet1/0), len 56, sending
*Mar 22 05:30:51.761: ICMP type=3, code=13
2018-03-22 10:44 PM
shimazaki_05様
詳細な動作検証結果をお教え下さり誠にありがとうございました。とても参考になりました。
CCIEを目指す方は、些細なことでも検証されるんですね。その努力の積み重ねがCCIE取得の近道になるよう心から願っております。
この度は誠にありがとうございました。
2018-03-23 01:10 PM
こんにちわ
解決してよかったです!
また、激励のお言葉ありがとうございます。
次回は、パスするよう継続して勉強を続けたいと思います。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます