ネットワーク初心者のネットワーク構築(2)
前回に引き続き、ネットワークを構築したいと思う。使用した機器(ルータ1台(Cisco 1812-J)、スイッチ2台(Catalyst 2960G))と簡単な接続図は、以下の通り。目標は、異なるLANの接続を拒否するようなネットワークの構築として、Pingが通ることを確認した。尚、どちらのLANもインターネットに接続できるように設定したい。
前提として
今回の内容は、前回の設定に対して設定を加えた。そのため、前提条件として、PC1~4が相互に接続できる環境とする。
ルーターの設定
今回は、ルーターのみの設定となる。Ciscoのルーターには、ACL(Access Control List)と呼ばれる、特定のIPアドレスだけ通過させるような条件を記述できる(ファイヤーウォールみたいなもの)。上の図であれば、左側のLANには右側のLANを接続させないようにするため、右側の192.168.20.XのIPアドレスを拒否(deny)するようにACLリストに設定する。
いま、始めの図における右側のLANがFE0ポート(下)、左側のLANがFE1ポート(上)に接続されている。
まず、左側のLANとしては、インターネットに接続できる(FE1を通過する)が、右側のLANを通したくないので、FE0に対して設定を行う。
(1)設定モードに入る
Router> en Router# configure terminal
(2)2つ目のACLを記述する
Router(config)# access-list 2 deny host 192.168.10.1 Router(config)# access-list 2 deny host 192.168.10.2 Router(config)# access-list 2 permit host 192.168.20.1 Router(config)# access-list 2 permit host 192.168.20.2
(3)FE0ポートにアウトバウンドACLを適用する
Router(config)# int fastethernet 0 Router(config-if)# ip access-group 2 out Router(config-if)# exit
次に、右側のLANとしては、インターネットに接続できる(FE0を通過する)が、左側のLANを通したくないので、FE1に対して設定を行う。
(1)設定モードに入る
Router> en Router# configure terminal
(2)1つ目のACLを記述する
Router(config)# access-list 1 deny host 192.168.20.1 Router(config)# access-list 1 deny host 192.168.20.2 Router(config)# access-list 1 permit host 192.168.10.1 Router(config)# access-list 1 permit host 192.168.10.2
(3)FE1ポートにアウトバウンドACLを適用する
Router(config)# int fastethernet 1 Router(config-if)# ip access-group 1 out Router(config-if)# exit
最後に次のコマンドで設定を確認する。
Router# show running-config
以下のような出力があればOK。
接続確認(Pingを投げる)
PC2からPC1へのPing(接続許可)
PC2からPC3へのPing(接続拒否)
PC2からPC4へのPing(接続拒否)
PC3からPC1へのPing(接続拒否)
PC3からPC2へのPing(接続拒否)
PC3からPC4へのPing(接続許可)