コンテンツへスキップ

スイッチのコマンドまとめ3

ACL

  • ホスト10.1.1.1からパケットのみ拒否するACL1を作成
    (config)#access-list 1deny 10.1.1.1(または host 10.1.1.1)
    (config)#access-list 1 permit any
    (または、0.0.0.0 255.255.255.255)
  • 10.1.1.0/24からのパケットのみ許可するACL2を作成
    (config)#access-list 2 permit 10.1.1.0 0.0.0.255
  • ホスト10.1.1.1からのパケットのみを拒否し、マッチするパケットがあればログを作成しコンソールメッセージに送信するACL3を作成
    (config)#access-list 3 deny host 10.1.1.1 log
    (config)#access-list 3 permit 0.0.0.0 255.255.255.255
  • 10.1.1.10/24に対してHTTPセッションを許可するACL100を作成
    (config)#access-list 100 permit tcp any 10.1.1.0 0.0.0.255 eq 80(or eq www)
  • ネットワーク10.1.1.0/24のホストからサーバ172.16.1.1へTelnetアクセスを拒否するACL102を作成
    (config)#access-list 102 deny tcp 10.1.1.0 0.0.0.255 host 172.16.1.1 eq 23(or eq telnet)
    (config)#access-list 102 permit ip any any
  • ネットワーク10.1.1.0/24からのホストからのpingトラフィックを許可するACL103を作成
    (config)#access-list 103 permit icmp 10.1.1.0 0.0.0.255 any echo
  • TCPセッションを開始できるのは内部ネットワークからのみに制限するためのACL104を作成
    (config)#access-list 104 permit tcp any any established
  • パケット着信時にACLのフィルタリングテストを実行
    (config-if)#ip access-group 1 in
  • パケット送信時にACLのフィルタリングテストを実行
    (config-if)#ip access-group 1 out
  • 10.1.1.0/24からのパケットのみを拒否するACL[Filter]を作成し、Serial0/0インターフェイスから送出時にフィルタリングテストを実行
    (config)#ip access-list standard Filter
    (config-std-nacl)#deny 10.1.1.0 0.0.0.255
    (config-std-nacl)#permit any
    (config-std-nacl)#interface serial0/0
    (config-if)#ip access-group Filter out
  • 営業部(10.1.1.0/24)から技術部(10.2.2.0/24)へのSMTPのみを拒否するACL[SMTP-Filter]を作成し、fa0/0インターフェイスの着信時にフィルタリングテストを実行
    (config)#ip access-list extended SMTP-Filter
    (config-ext-nacl)#deny tcp 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 eq 25
    (config-ext-nacl)#interface fa0/0
    (config-ext-nacl)#ip access-group SMTP-Filter in
  • ACL1に10.2.2.0/24からのパケットを許可するステートメント(シーケンス番号15)の追加
    (config)#ip access-list standard 1
    (config-std-nacl)#15 permit 10.2.2.0 0.0.0.255
  • すべてのACLを表示
    #show access-lists
  • ACL100のみを表示
    #show access-lists 100
  • ACLの適用と方向を確認
    #show ip interface
  • ACLのカウンタをクリア
    #clear access-list counters
  • ACL1を消去
    (config)#no access-list 1
  • インターフェイスに適用したアウトバウンドのACL100を解除
    (config-if)#no access-group 100 out

VTYアクセス制御

  • ルータに対するTelnetアクセスを10.1.1.1からのみ許可するVTYアクセス制御(ACL1)の設定
    (config)#access-list 1 permit 10.1.1.1(または、host 10.1.1.1)
    (config)#line vty 0 4
    (config-line)#access-class 1 in
  • ルータに対するTelnetユーザーが、192.168.1.0/24へTelnet接続するのを拒否するVTYアクセス(ACL2)の設定
    (config)#access-list 2 deny 192.168.1.0/2 0.0.0.255
    (config)#access-list 2 permit any
    (config)#line vty 0 4
    (config-line)#access-class 2 out

スタティックNAT

  • スタティックNAT変換の設定(内部ローカルアドレス:10.1.1.1,内部グローバルアドレス:1.1.1.1,内部NW:fa0/0,外部NW:s0/0)
    (config)#ip nat inside source static 10.1.1.1 1.1.1.1
    (config)#interface fa0/0
    (config-if)#ip nat inside
    (config-if)#interface s0/0
    (config-if)#ip nat outside

ダイナミックNAT

  • NATアドレスプールを作成(プール名:NAT,プール範囲1.1.1.1~1.1.1.10,マスク:255.255.255.0)
    (config)#ip nat pool NAT 1.1.1.1 1.1.1.10 netmask 255.255.255.0 (またはprefix-length 24)
  • プール「NAT」とACL1をマッピングし、ダイナミックNATを有効化
    (config)#ip nat inside source list 1 pool NAT
  • ダイナミックNAT変換の設定(プール名:NAT,プール範囲:1.1.1.1~1.1.1.7,マスク:255.255.255.248,返還対象となる送信元アドレス:10.1.1.0/24,ACL:1,内部NW:fa0/0,外部NW:S0/0)
    (config)#ip nat pool NAT 1.1.1.1 1.1.1.7 netmask 255.255.255.248
    (config)#access-list 1 permit 10.1.1.0 0.0.0.255
    (config)#ip nat inside source list 1 pool NAT
    (config)#interface fa0/0
    (config-if)#ip nat inside
    (config-if)#interface s0/0
    (config-if)#ip nat outside
  • 外部インターフェースを使用したPATの設定(変換対象: 10.1.1.0/24,ACL1,内部:fa0/0,外部:s0/0)
    (config)#access-list 1 permit 10.1.1.0 0.0.0.0.255
    (config)#ip nat inside source list 1 interface s0/0 overload
    (config)#interface fa0/0
    (config-if)#ip nat inside
    (config-if)#interface s0/0
    (config-if)#ip nat outside

NAT

  • TCPプロトコルをNATテーブルからタイムアウトしないように設定
    (config)#ip nat translation tcp-timeout never

NATの検証

  • NATテーブルの情報の表示
    #show ip nat translations
  • 内部、外部インターフェースを確認
    #show ip interface
  • アドレス変換の統計情報の表示
    #show ip nat statistics
  • NATに関するコマンド(NAT,ACL,プール,インターフェイス)の設定の確認
    #show running-config
  • すべてのダイナミック変換エントリをクリア
    #clear ip nat translation *
  • 内部トランスレーションを含むダイナミック変換エントリをクリア
    #clear ip nat translation inside
  • NATのデバッグを有効化
    #debug ip nat

HDLC

  • シリアルリンクのカプセル化タイプをHDLCに設定
    (config-if)#encapsulation hdlc

PPP

  • シリアルリンクのカプセル化タイプをPPPに設定
    (config-if)#encapsulation ppp
  • シリアルリンクのカプセル化PPPで、CHAP認証を有効化
    (config-if)#encapsulation ppp
    (config-if)#ppp authentication chap
  • CentralルータのSerial0/0インターフェイス(10.1.1.1/24)に対して、BranchルータとCHAP認証(パスワード:cisco)を実行してシリアル接続
    (config)#hostname Central
    (config)#username Branch password cisco
    (config)#interface s0/0
    (config-if)#ip address 10.1.1.1 255.255.255.0
    (config-if)#encapsulation ppp
    (config-if)#ppp authentication chap
    (config-if)#no shutdown
  • Serial0/0インターフェイスの情報(リンク状態,カプセル化タイプ、帯域幅など)の表示
    #show interface serial0/0
  • PPP CHAP認証の実行の様子の表示
    #debug ppp authentication

IPv6

  • IPv6トラフィックの転送を有効化
    (config)#ipv6 unicast-routing
  • ipv6アドレスの設定(プレフィクス:2001:410:0:1::/64,インターフェイスID:1)
    (config-if)#ipv6 address 2001:410:0:1::1/64
  • ipv6アドレスの設定(プレフィクス:2001:410:0:2::/64,インターフェイスID:1 EUI64を使用)
    (config-if)#ipv6 address 2001:410:0:2::/64 eui-64
  • インターフェイスのIPv6に関する情報の表示
    #show ipv6 interface
  • IPv6ルーティングテーブルの表示
    #show ipv6 route
  • RIPngの設定(タグ:1,動作させるインターフェイス:fa0/0とSerial0/0)
    (config)#interface fa0/0
    (config-if)#ipv6 rip 1 enable
    (config-if)#interface s0/0
    (config-if)#ipv6 rip 1 enable
  • RIPngプロセスに関する情報の表示
    #show ipv6 rip
  • Ipv6ルーティングプロトコルのステータス表示
    #show ipv6 protocols
  • 手動トンネルの設定(トンネルIF:0,IPv6アドレス:2001:410:a::1/64,送信元IP:192.168.1.1 宛先IP:192.168.1.2)
    (config)#interface tunnel 0
    (config-if)#ipv6 address 2001:410:1::1/64
    (config-if)#tunnel source 192.168.1.1
    (config-if)#tunnel destination 192.168.1.2
    (config-if)#tunnel mode ipv6ip

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です