ネットワーク初心者のネットワーク構築(2)

前回に引き続き、ネットワークを構築したいと思う。使用した機器(ルータ1台(Cisco 1812-J)、スイッチ2台(Catalyst 2960G))と簡単な接続図は、以下の通り。目標は、異なるLANの接続を拒否するようなネットワークの構築として、Pingが通ることを確認した。尚、どちらのLANもインターネットに接続できるように設定したい。



前提として

今回の内容は、前回の設定に対して設定を加えた。そのため、前提条件として、PC1~4が相互に接続できる環境とする。


ルーターの設定

今回は、ルーターのみの設定となる。Ciscoルーターには、ACLAccess Control List)と呼ばれる、特定のIPアドレスだけ通過させるような条件を記述できる(ファイヤーウォールみたいなもの)。上の図であれば、左側のLANには右側のLANを接続させないようにするため、右側の192.168.20.XのIPアドレスを拒否(deny)するようにACLリストに設定する。

いま、始めの図における右側のLANがFE0ポート(下)、左側のLANがFE1ポート(上)に接続されている。
まず、左側のLANとしては、インターネットに接続できる(FE1を通過する)が、右側のLANを通したくないので、FE0に対して設定を行う。
(1)設定モードに入る
Router> en
Router# configure terminal
(2)2つ目のACLを記述する
Router(config)# access-list 2 deny host 192.168.10.1
Router(config)# access-list 2 deny host 192.168.10.2
Router(config)# access-list 2 permit host 192.168.20.1
Router(config)# access-list 2 permit host 192.168.20.2
(3)FE0ポートにアウトバウンドACLを適用する
Router(config)# int fastethernet 0
Router(config-if)# ip access-group 2 out
Router(config-if)# exit
次に、右側のLANとしては、インターネットに接続できる(FE0を通過する)が、左側のLANを通したくないので、FE1に対して設定を行う。
(1)設定モードに入る
Router> en
Router# configure terminal
(2)1つ目のACLを記述する
Router(config)# access-list 1 deny host 192.168.20.1
Router(config)# access-list 1 deny host 192.168.20.2
Router(config)# access-list 1 permit host 192.168.10.1
Router(config)# access-list 1 permit host 192.168.10.2
(3)FE1ポートにアウトバウンドACLを適用する
Router(config)# int fastethernet 1
Router(config-if)# ip access-group 1 out
Router(config-if)# exit
最後に次のコマンドで設定を確認する。
Router# show running-config
以下のような出力があればOK。




接続確認(Pingを投げる)

PC2からPC1へのPing(接続許可)

PC2からPC3へのPing(接続拒否)

PC2からPC4へのPing(接続拒否)

PC3からPC1へのPing(接続拒否)

PC3からPC2へのPing(接続拒否)

PC3からPC4へのPing(接続許可)




余談

元々、PC3からPC1,2へは接続できないが、PC1,2からPC3への接続が可能であるようなネットワークの構築方法を探していた。調べを進めるうちに、困難であることがわかったので、始めの図の左側のLANと右側のLANとで、接続ができないようなネットワークの構築として、一段落つくとする。