ACL
- ホスト10.1.1.1からパケットのみ拒否するACL1を作成
(config)#access-list 1deny 10.1.1.1(または host 10.1.1.1)
(config)#access-list 1 permit any
(または、0.0.0.0 255.255.255.255) - 10.1.1.0/24からのパケットのみ許可するACL2を作成
(config)#access-list 2 permit 10.1.1.0 0.0.0.255 - ホスト10.1.1.1からのパケットのみを拒否し、マッチするパケットがあればログを作成しコンソールメッセージに送信するACL3を作成
(config)#access-list 3 deny host 10.1.1.1 log
(config)#access-list 3 permit 0.0.0.0 255.255.255.255 - 10.1.1.10/24に対してHTTPセッションを許可するACL100を作成
(config)#access-list 100 permit tcp any 10.1.1.0 0.0.0.255 eq 80(or eq www) - ネットワーク10.1.1.0/24のホストからサーバ172.16.1.1へTelnetアクセスを拒否するACL102を作成
(config)#access-list 102 deny tcp 10.1.1.0 0.0.0.255 host 172.16.1.1 eq 23(or eq telnet)
(config)#access-list 102 permit ip any any - ネットワーク10.1.1.0/24からのホストからのpingトラフィックを許可するACL103を作成
(config)#access-list 103 permit icmp 10.1.1.0 0.0.0.255 any echo - TCPセッションを開始できるのは内部ネットワークからのみに制限するためのACL104を作成
(config)#access-list 104 permit tcp any any established - パケット着信時にACLのフィルタリングテストを実行
(config-if)#ip access-group 1 in - パケット送信時にACLのフィルタリングテストを実行
(config-if)#ip access-group 1 out - 10.1.1.0/24からのパケットのみを拒否するACL[Filter]を作成し、Serial0/0インターフェイスから送出時にフィルタリングテストを実行
(config)#ip access-list standard Filter
(config-std-nacl)#deny 10.1.1.0 0.0.0.255
(config-std-nacl)#permit any
(config-std-nacl)#interface serial0/0
(config-if)#ip access-group Filter out - 営業部(10.1.1.0/24)から技術部(10.2.2.0/24)へのSMTPのみを拒否するACL[SMTP-Filter]を作成し、fa0/0インターフェイスの着信時にフィルタリングテストを実行
(config)#ip access-list extended SMTP-Filter
(config-ext-nacl)#deny tcp 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 eq 25
(config-ext-nacl)#interface fa0/0
(config-ext-nacl)#ip access-group SMTP-Filter in - ACL1に10.2.2.0/24からのパケットを許可するステートメント(シーケンス番号15)の追加
(config)#ip access-list standard 1
(config-std-nacl)#15 permit 10.2.2.0 0.0.0.255 - すべてのACLを表示
#show access-lists - ACL100のみを表示
#show access-lists 100 - ACLの適用と方向を確認
#show ip interface - ACLのカウンタをクリア
#clear access-list counters - ACL1を消去
(config)#no access-list 1 - インターフェイスに適用したアウトバウンドのACL100を解除
(config-if)#no access-group 100 out
VTYアクセス制御
- ルータに対するTelnetアクセスを10.1.1.1からのみ許可するVTYアクセス制御(ACL1)の設定
(config)#access-list 1 permit 10.1.1.1(または、host 10.1.1.1)
(config)#line vty 0 4
(config-line)#access-class 1 in - ルータに対するTelnetユーザーが、192.168.1.0/24へTelnet接続するのを拒否するVTYアクセス(ACL2)の設定
(config)#access-list 2 deny 192.168.1.0/2 0.0.0.255
(config)#access-list 2 permit any
(config)#line vty 0 4
(config-line)#access-class 2 out
スタティックNAT
- スタティックNAT変換の設定(内部ローカルアドレス:10.1.1.1,内部グローバルアドレス:1.1.1.1,内部NW:fa0/0,外部NW:s0/0)
(config)#ip nat inside source static 10.1.1.1 1.1.1.1
(config)#interface fa0/0
(config-if)#ip nat inside
(config-if)#interface s0/0
(config-if)#ip nat outside
ダイナミックNAT
- NATアドレスプールを作成(プール名:NAT,プール範囲1.1.1.1~1.1.1.10,マスク:255.255.255.0)
(config)#ip nat pool NAT 1.1.1.1 1.1.1.10 netmask 255.255.255.0 (またはprefix-length 24) - プール「NAT」とACL1をマッピングし、ダイナミックNATを有効化
(config)#ip nat inside source list 1 pool NAT - ダイナミックNAT変換の設定(プール名:NAT,プール範囲:1.1.1.1~1.1.1.7,マスク:255.255.255.248,返還対象となる送信元アドレス:10.1.1.0/24,ACL:1,内部NW:fa0/0,外部NW:S0/0)
(config)#ip nat pool NAT 1.1.1.1 1.1.1.7 netmask 255.255.255.248
(config)#access-list 1 permit 10.1.1.0 0.0.0.255
(config)#ip nat inside source list 1 pool NAT
(config)#interface fa0/0
(config-if)#ip nat inside
(config-if)#interface s0/0
(config-if)#ip nat outside - 外部インターフェースを使用したPATの設定(変換対象: 10.1.1.0/24,ACL1,内部:fa0/0,外部:s0/0)
(config)#access-list 1 permit 10.1.1.0 0.0.0.0.255
(config)#ip nat inside source list 1 interface s0/0 overload
(config)#interface fa0/0
(config-if)#ip nat inside
(config-if)#interface s0/0
(config-if)#ip nat outside
NAT
- TCPプロトコルをNATテーブルからタイムアウトしないように設定
(config)#ip nat translation tcp-timeout never
NATの検証
- NATテーブルの情報の表示
#show ip nat translations - 内部、外部インターフェースを確認
#show ip interface - アドレス変換の統計情報の表示
#show ip nat statistics - NATに関するコマンド(NAT,ACL,プール,インターフェイス)の設定の確認
#show running-config - すべてのダイナミック変換エントリをクリア
#clear ip nat translation * - 内部トランスレーションを含むダイナミック変換エントリをクリア
#clear ip nat translation inside - NATのデバッグを有効化
#debug ip nat
HDLC
- シリアルリンクのカプセル化タイプをHDLCに設定
(config-if)#encapsulation hdlc
PPP
- シリアルリンクのカプセル化タイプをPPPに設定
(config-if)#encapsulation ppp - シリアルリンクのカプセル化PPPで、CHAP認証を有効化
(config-if)#encapsulation ppp
(config-if)#ppp authentication chap - CentralルータのSerial0/0インターフェイス(10.1.1.1/24)に対して、BranchルータとCHAP認証(パスワード:cisco)を実行してシリアル接続
(config)#hostname Central
(config)#username Branch password cisco
(config)#interface s0/0
(config-if)#ip address 10.1.1.1 255.255.255.0
(config-if)#encapsulation ppp
(config-if)#ppp authentication chap
(config-if)#no shutdown - Serial0/0インターフェイスの情報(リンク状態,カプセル化タイプ、帯域幅など)の表示
#show interface serial0/0 - PPP CHAP認証の実行の様子の表示
#debug ppp authentication
IPv6
- IPv6トラフィックの転送を有効化
(config)#ipv6 unicast-routing - ipv6アドレスの設定(プレフィクス:2001:410:0:1::/64,インターフェイスID:1)
(config-if)#ipv6 address 2001:410:0:1::1/64 - ipv6アドレスの設定(プレフィクス:2001:410:0:2::/64,インターフェイスID:1 EUI64を使用)
(config-if)#ipv6 address 2001:410:0:2::/64 eui-64 - インターフェイスのIPv6に関する情報の表示
#show ipv6 interface - IPv6ルーティングテーブルの表示
#show ipv6 route - RIPngの設定(タグ:1,動作させるインターフェイス:fa0/0とSerial0/0)
(config)#interface fa0/0
(config-if)#ipv6 rip 1 enable
(config-if)#interface s0/0
(config-if)#ipv6 rip 1 enable - RIPngプロセスに関する情報の表示
#show ipv6 rip - Ipv6ルーティングプロトコルのステータス表示
#show ipv6 protocols - 手動トンネルの設定(トンネルIF:0,IPv6アドレス:2001:410:a::1/64,送信元IP:192.168.1.1 宛先IP:192.168.1.2)
(config)#interface tunnel 0
(config-if)#ipv6 address 2001:410:1::1/64
(config-if)#tunnel source 192.168.1.1
(config-if)#tunnel destination 192.168.1.2
(config-if)#tunnel mode ipv6ip