購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
2840
閲覧回数
5
いいね!
3
返信

ルーティングの内部挙動とACLについて

shadowjapan
Level 1
Level 1

‎2022-12-29 02:07 PM

はじめまして

LAN_PC---ルータ(またはL3)---WAN_サーバー

という構成で、ルータのWAN側IFにすべてを拒否する制御ACLをin/out両方かけても、

LAN_PCからルータのWAN_サーバー側のIFにpingをしたところ、応答が帰ってきました。

ルータをL3にして、SVIを作成し同じようにACLをかけても、同じ挙動でした。

inのACLでdenyされると思ったのですが、ルータ自身内でもっているIPへの通信はACLにかからないのでしょうか。

 

ラベル:
0 いいね!
3件の返信3

cja56910tf
VIP
VIP

‎2022-12-29 10:16 PM

こんばんは。

ルータ・L3ともにですが、インターフェースの入力(in)方向で適用したACLは、そのインターフェースへの着信パケットに対して評価されます。
ご記載の内容ではLAN側インターフェースにはACLが適用されていませんので、LAN側インターフェースに着信したパケットに対してWAN側インターフェースに適用した入力方向のACLは評価されません。

LAN_PCからルータのWAN_サーバー側のインターフェースへのpingは応答がありますが、WAN_サーバへのPingは出力方向(out)ACLで破棄されると思います。


なお、より正確な確認・回答には下記情報が必要になります。
・LAN_PCとWAN_サーバのIPアドレス/サブネットマスク/GW
・ルータのLAN側とWAN側I/FのIPアドレス/サブネットマスク
・ルータのコンフィグ(show running-config)
・pingの実行結果のスクリーンショット

0 いいね!

shadowjapan
Level 1
Level 1
cja56910tfに対する応答

‎2022-12-30 02:51 AM

ありがとうございます

休日に入ったため、現時点で分かる構成です。

LAN_PCとWAN_サーバのIPアドレス/サブネットマスク/GW
LAN_PC---192.168.100.10/24 GW---192.168.100.254
WAN_サーバ---192.168.101.2/24 GW---192.168.101.254

Ping結果はWAN側
LAN_PCから192.168.101.254---応答あり
LAN_PCから192.168.101.2---応答なし
です。

 


ルータ構成の一部
interface GigabitEthernet0/0
ip address 192.168.100.254 255.255.255.0

no shutdown
interface GigabitEthernet0/1
ip address 192.168.101.254 255.255.255.0
ip access-group IN_ACL in
ip access-group OUT_ACL out
no shutdown


ip access-list extended IN_ACL
deny ip any any log
ip access-list extended OUT_ACL
deny ip any any log


L3構成の一部
interface Vlan100
ip address 192.168.100.254 255.255.255.0
no shutdown

interface Vlan101
ip address 192.168.101.254 255.255.255.0
ip access-group IN_ACL in
ip access-group OUT_ACL out
no shutdown

interface GigabitEthernet0/0
switchport mode access
switchport access vlan 100
no shutdown


interface GigabitEthernet0/1
switchport mode access
switchport access vlan 101
no shutdown

ip access-list extended IN_ACL
deny ip any any log
ip access-list extended OUT_ACL
deny ip any any log

 

LAN_PCからWAN_サーバが通信できないのは、ACLで拒否していると理解できます。
LAN_PCから192.168.101.254への通信が可能なのが、特にSVIの場合不思議でした。
パケット処理の順序としてLAN側インターフェースに着信→WAN側インターフェースまたはSVIに着信して応答を返していると思っていました。

SVIでも、関連付けた物理インターフェースに着信した場合のみにin方向のACLが評価されるのでしょうか。

0 いいね!

cja56910tf
VIP
VIP
shadowjapanに対する応答

‎2022-12-30 10:32 AM

こんにちは。
各種情報の提供ありがとうございます。

内容を見る限り、装置処理/Ping結果は期待動作だと思います。

192.168.101.254(WAN側I/F)へのPingは、LAN側I/Fに着信した後にルーティング処理されて自装置保有IPへ到達になりますので内部処理に相当します。
ACLが評価されるのは外部側からACLを適用したI/Fにパケットが着信した時になります。

下記サイトも参考になると思いますのでご覧下さい。

https://www.infraexpert.com/study/nat7.htm
https://infrastructure-engineer.com/tcpip-basic-0004/

本投稿が役立ったようであれば、"いいね"または"ベストソリューション"をいただけると嬉しく思います。

Customers Also Viewed These Support Documents