解決済み: Access-listのdeny anyについて

kazuyuki.kuga · ‎2010-12-01

こんにちは。いつも勉強させてもらっています。

基本的な質問で申し訳けないですが、Access-listでdeny anyを設定するのはどのような時でしょうか？

通常は最後の行に書くと思いますが、暗黙のdenyがあるので特に必須の設定ではないと思うのですが間違っていないでしょうか？

どうぞよろしくお願いします。

snakayama · ‎2010-12-01

こんにちは。

Kazuyuki Kuga さんの言われるように、パケットのフィルタリングに対しては暗黙の deny があるので必須ではありませんが、access-list に log、log-input オプションを設定して deny any any にマッチしたパケットロギングしたい時、show access-list で deny any any にマッチしたパケットのカウンターを確認したい時には必要となるかと思います。

ご参考になれば幸いです。

元の投稿で解決策を見る

t-yamashita · ‎2010-12-01

こんにちは。

snakayama 様のご回答を支持します。

これらの理由から、explicit deny（明示的に書く deny）は必須ではないですが、Cisco 社は推奨しています。

ご参考まで。

元の投稿で解決策を見る

snakayama · ‎2010-12-01

こんにちは。

Kazuyuki Kuga さんの言われるように、パケットのフィルタリングに対しては暗黙の deny があるので必須ではありませんが、access-list に log、log-input オプションを設定して deny any any にマッチしたパケットロギングしたい時、show access-list で deny any any にマッチしたパケットのカウンターを確認したい時には必要となるかと思います。

ご参考になれば幸いです。

t-yamashita · ‎2010-12-01

こんにちは。

snakayama 様のご回答を支持します。

これらの理由から、explicit deny（明示的に書く deny）は必須ではないですが、Cisco 社は推奨しています。

ご参考まで。

kazuyuki.kuga · ‎2010-12-01

snakayama様、t-yamashita様

早速のご回答ありがとうございました。大変勉強になりました。

deny anyを意識して設定するようにします。

お二人から回答をいただけて感激です。

今後ともよろしくお願いします。