Cisco アクセスリスト設定（デュアルスタック）簡単設定！

cisco(ios)のアクセスリスト設定コマンドと動作確認をメモります。
IPv4、IPv6を共存させるデュアルスタックの設定となるので設定を覚えましょう。

今回はTelnetで適用するコンフィグを作成したので参考にしてください。
一度、設定をするとすぐに覚えられますのでしっかり頭に入れてくださいね。

簡単なアクセスリストを作成してみる。

ルータA

lo0:3.3.3.3/32
lo0:2002:c0a8:FFFF:FFFF::3/128

ルータB

lo0:1.1.1.1/32
lo0:2002:c0a8:FFFF:FFFF::1/128

※ルータBはルータAのLo0以外からのtelnetアクセスを拒否するアクセスリストを設定

ルータBの設定例

ルータBのアクセスリストはルータAのループバックをsourceとしたアクセスのみ許可するように作成します。

アクセスリスト作成

ip access-list extended TELNET
permit ip host 3.3.3.3 any
deny ip any any

IPV6アクセスリスト作成

ipv6 access-list TELNETv6
permit ipv6 host 2002:c0a8:FFFF:FFFF::3 any
deny ipv6 any any

line vty 0 4
exec-timeout 0 0
password hogehoge
ipv6 access-class TELNETv6 in　　　←telnetへアクセスリストを付与
ip access-class TELNET in　　　←telnetへアクセスリストを付与
login

ルータB向けにtelnet実施

ルータA

ルータA#telnet 2002:c0a8:FFFF:FFFF::1
Trying 2002:c0a8:FFFF:FFFF::1 ...
% Connection refused by remote host　　←アクセスが拒否された

ルータB
※ルータBでアクセスが拒否されたことを確認

ルータB#show ipv6 access-list
IPv6 access list telnet-permit
permit ipv6 host 2002:c0a8:FFFF:FFFF::3 any sequence 10
deny ipv6 any any (1 match) sequence 20

ルータB向けにsourceをloopbackとしてtelnetを実施

ルータA

ルータA#telnet 2002:c0a8:FFFF:FFFF::1 source-interface loopback 0
Trying 2002:c0a8:FFFF:FFFF::1 ... Open  ←アクセス許可

ルータB

※ルータBでアクセスが許可されたことを確認

ルータB#sh ipv6 access-list
IPv6 access list telnet-permit
permit ipv6 host 2002:c0a8:FFFF:FFFF::3 any (2 matches) sequence 10
deny ipv6 any any (1 match) sequence 20

ipv6もアクセスリストの挙動は同じ。
あとは検証機などで動作確認を実施してください。

検証機などない場合はGNS3のインストールマニュアル作成するので試してください。

まとめ

アクセスリストは初心者にとっては最初の難関とも言える所でしょうか。
実際じぶんがそうでした。。。

設定だけをしても、頭には入らないので動作確認もして行きながらアクセスリストの設定を覚えていきましょう。

それでは！