Cisco labo11

【Cisco】初心者ネットワーク勉強会＠秋葉原UDX
2021/
FORSE 1

【Cisco】初心者ネットワーク勉強会＠秋葉原UDX
FORSE
アジェンダ
0900～0905 今日出来るようになる事
0905～0915 EIGRPの構成確認、事前準備、物理結線
0915～0930 ルーティングの有効化
0930～0945 正常時の疎通確認
0945～1000 showコマンドで確認
1000～1005 CCNA試験対策（トラブル発生）講師がいたずらします
1005～1030 pingが失敗するので直してください
1030～1035 終わりの挨拶
参加いただきありがとうございます!!!
メモ
持ち物:PC×4、サーバー、ルータ×4、LAN線×10、
シリアルケーブル×4
今日、出来るようになる事
標準ACLと拡張ACLの設定
・ACL（アクセスコントロールリスト）とは
通信を制御するためのリストのことで、パケット通過の許可・拒否を設定すること
が出来る。
リストの1行目から確認していき、最初に条件が一致した行が適用される。
リストの最終行には、自動で「暗黙のDeny」が追加される。
（参考URL:https://www.infraexpert.com/study/aclz1.html）
2

FOR SE
【Cisco】ラボ＃１１システム論理構成図
#Fa0
.1
RT-1 RT-2
3
PC1
192.168.10.10
PC2
192.168.20.10
#Gi0
.1
#Gi0
.2
#Fa0
.2
#Gi8
.2
#Gi8
.1
172.16.10.0/30
192.168.201.0/24
192.168.202.0/24
Server1
192.168.201.100
Server2
192.168.202.100
送信元送信先プロトコル許可／拒否
1 PCセグメント
ー
ルータ
telnet
(port 22)
拒否
×
2
会計システム
セグメント
人事システム
セグメント
IP通信
拒否
×
3
経理部
会計システム
セグメント
IP通信
許可
〇
4 経理部
人事システム
セグメント
http、https
（port80 443）
許可
〇
5 経理部
人事システム
セグメント
http、https
以外
拒否
×
6 人事部
人事システム
セグメント
IP通信
許可
〇
7 人事部
会計システム
セグメント
http、https
（port80 443）
許可
〇
8 人事部
会計システム
セグメント
http、https
以外
拒否
×
以下の通信要件を満たしてください
１．ユーザがルータ設定変更しないように、PCセグメントから
ルータへのtelnet拒否
２．サーバがお互いに通信出来ないように通信拒否
Server1（会計セグメント）、Server2（人事セグメント）はそれぞれ
別ベンダーが保守
３．PC1→Server1は全て許可
PC1→Server2はhttp、https通信のみを許可。以外の通信（FTP、SSH）は拒否
PC2→Server2は全て許可
PC2→Server1はhttp、https通信のみを許可。以外の通信（FTP、SSH）は拒否
経理部
人事部
人事システム
会計システム

FOR SE
【Cisco】ラボ＃１１システム物理構成図
#Fa0
.1
RT-1 RT-2 RT-3
4
PC1
192.168.10.10
PC2
192.168.20.10
PC3
192.168.30.10
PC4
192.168.40.10
RT-4
#Gi0
.1
#Gi0
.2
#Gi0
.3
#Gi0
.4
#Fa0
.2
#Fa0
.3
#Fa0
.4
サーバ
192.168.201.100
192.168.202.100
192.168.203.100
192.168.204.100
#Gi8
.4
#Gi8
.3
#Gi8
.2
#Gi8
.1
172.16.30.0/30
172.16.10.0/30
192.168.201.0/24 192.168.202.0/24 192.168.203.0/24 192.168.204.0/24

【Cisco】ラボ＃１１ PC設定変更
FORSE
PCのIPアドレスを設定する
PC1:192.168.10.10
PC2:192.168.20.10
PC3:192.168.30.10
PC4:192.168.40.10
デフォルトゲートウェイを設定する
PC1:192.168.10.1
PC2:192.168.20.2
PC3:192.168.30.3
PC4:192.168.40.4
5
IPアドレスを変更する。
「スタートメニュー」→「設定」(歯車マーク)→「ネットワークとイン
ターネット」→
「イーサネット」→「アダプターのオプションを変更する」→「イーサ
ネット」→
「インターネットプロトコルバージョン 4 (TCP/IPv4)」→「プロパ
ティ」→
「次の IPアドレスを使う」→「IPアドレス」を「192.168.x.10」に設
定
「サブネットマスク」を「255.255.255.0」に設定
「デフォルトゲートウェイ」を「192.168.x.x」

【Cisco】ラボ＃１１ルータの設定1
FORSE 6
手順１
ルータは起動に時間がかかります
セットアップモードが起動したら、noと入力、もしくはcttl+c
手順2 メッセージが表示され、Enterキーを押します。Router>のプロンプトが表示されます
手順3 特権モードに移行します。Router#のプロンプトが表示されます
手順4 グローバルコンフィグレーションモードに移行し,ホスト名を変更します。Router(config)#
が表示されます
手順5 telnetでルータにログイン出来るようにする
手順6 構成図p4を参考に結線する
--- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]:no
Press RETURN to get started!
Router>
Router>enable
Router#
Router#configure terminal
Router(config)#hostname RT-1
RT-1(config)#no ip domain lookup
RT-1(config)#line console 0
RT-1(config-line)#logging synchronous
RT-1(config-line)#end
RT-1 #configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RT-1(config)#line vty 0 4
RT-1(config-line)#password cisco
RT-1(config-line)#transport input telnet
RT-1(config-line)#login
RT-1(config-line)#exit
RT-1(config)#enable password cisco
RT-1(config)#end

【Cisco】ラボ＃１１ルータの設定2 (RT-1, 2)
FORSE 7
手順7 IPアドレスとスタティックルートを設定する (RT-1) 手順7 IPアドレスとスタティックルートを設定する (RT-2)
RT-1#
RT-1#configure terminal
RT-1(config)#vlan 10
RT-1(config-vlan)#exit
RT-1(config)#interface vlan10
RT-1(config-if)#ip address 192.168.10.1 255.255.255.0
RT-1(config-if)#no shutdown
RT-1(config-if)#exit
RT-1(config)#interface gigabitEthernet 0
RT-1(config-if)#switchport access vlan 10
RT-1(config-if)# switchport mode access
RT-1(config)#interface fastEthernet 0
RT-1(config)#ip route 192.168.20.0 255.255.255.0 172.16.10.2
RT-1(config)#end
RT-2#
RT-2(config)#end

【Cisco】ラボ＃１１ルータの設定2 (RT-3, 4)
FORSE 8
手順7 IPアドレスとスタティックルートを設定する (RT-3) 手順7 IPアドレスとスタティックルートを設定する (RT-4)
RT-3#
RT-3(config)#end
RT-4#
RT-4(config)#end

【Cisco】ラボ＃１１ルータの確認
FORSE 9
手順8 確認する
・VLANを確認
・インターフェースとIPアドレスを確認
・スタティックルートを確認
RT-1#show vlan-switch
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gi1, Gi2, Gi3, Gi4, Gi5, Gi6
Gi7
10 VLAN0010 active Gi0
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
RT-1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Async3 unassigned YES unset down down
BRI0 unassigned YES unset administratively down down
BRI0:1 unassigned YES unset administratively down down
BRI0:2 unassigned YES unset administratively down down
FastEthernet0 192.168.201.1 YES manual up up
GigabitEthernet0 unassigned YES unset up up
GigabitEthernet1 unassigned YES unset down down
GigabitEthernet8 172.16.10.1 YES manual up up
Vlan1 unassigned YES unset down down
Vlan10 192.168.10.1 YES manual up up
RT-1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.16.10.0/30 is directly connected, GigabitEthernet8
L 172.16.10.1/32 is directly connected, GigabitEthernet8
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.10.0/24 is directly connected, Vlan10
L 192.168.10.1/32 is directly connected, Vlan10
S 192.168.20.0/24 [1/0] via 172.16.10.2
S 192.168.202.0/24 [1/0] via 172.16.10.2

【Cisco】ラボ＃１１ルータの確認
FORSE 10
手順9 疎通確認する
・PC→サーバーへPing (コマンドプロンプト)
PC1、PC2→「192.168.201.100」「192.168.202.100」
PC3、PC4→「192.168.203.100」「192.168.204.100」
・PC→サーバー
PC1、PC2→「http:// 192.168.201.100」「http:// 192.168.202.100」
PC3、PC4→「http:// 192.168.203.100」「http:// 192.168.204.100」
※確認出来たらブラウザのキャッシュを消去する
「shift」＋「ctrl」＋「Delete」キー
・サーバー→サーバーにping
①teratermでサーバーにログインする
→新しい接続
→TCP/IP、SSHを選択し、
自分側サーバーのIPを入力
例）1番の方:192.168.201.100
②SSH認証
ユーザー名:root
パスフレーズ:P@ssw0rd
③Pingを送る
サーバー1→サーバー2 「192.168.202.100」
サーバー2→サーバー1 「192.168.201.100」
サーバー3→サーバー4 「192.168.204.100」
サーバー4→サーバー3 「192.168.203.100」
↑奇数側にアクセスした際の画面 ↑偶数側にアクセスした際の画面

【Cisco】ラボ＃１１標準ACL設定前の確認
FORSE 11
・標準ACLとは
送信元IPをチェックして通信を許可／拒否する
名前付き標準ACLと番号付き標準ACLがある
・インターフェースへの適用方向
ACLをインバウンドとアウトバウンドどちらで適用するかで動作が異なる
インバウンド（in）:通信がインターフェースに入ってくる時にACLを適用
アウトバウンド（out）:通信がインターフェースから出ていく時にACLを適用
要件１．ユーザがルータ設定変更しないように、PCセグメントからルータへのtelnet拒否
・ルーターにtelnet PC1、PC2→RT-1, RT-2
PC3、PC4→RT-3, RT-4
１．teratermから確認
ファイル→新しい接続→TCP/IP、telnetを選択し、IPを入力
２．Powershellから確認
¥>Test-NetConnection (ルーターのIP) -Port 23
trueになっていること

【Cisco】ラボ＃１１標準ACLの設定 (PC→ルーターtelnet拒否)
FORSE 12
・アクセスリストの内容を確認
・適用したインターフェースとin/outを確認
手順10 【RT-1、RT-2】標準ACLを作成し、インターフェースに適用する
手順10 【RT-3、RT-4】
RT-1#show access-list 1
Standard IP access list 1
10 deny 192.168.10.0, wildcard bits 0.0.0.255
20 deny 192.168.20.0, wildcard bits 0.0.0.255
30 permit any
RT-1(config)#access-list 1 deny 192.168.10.0 0.0.0.255
RT-1(config)#access-list 1 permit any
RT-1(config-line)#access-class 1 in
RT-1#show run | section line vty
line vty 0 4
access-class 1 in
password cisco
login
transport input telnet
RT-3(config)#access-list 1 permit any
RT-3(config-line)#access-class 1 in

【Cisco】ラボ＃１１標準ACLの確認 (PC→ルーターtelnet拒否)
SE 13
FOR
・powershellで確認
確認ポイント
・PingSucceeded がTrueになっている
・TcpTestSucceeded がFalseになっている
→pingは通るがtelnetは出来ない
手順12 疎通確認する
・ルーターにping（コマンドプロンプト）
・ルーターにtelnet（teraterm）
¥>Test-NetConnection (ルーターのIP) -Port 23

【Cisco】ラボ＃１１拡張ACLの設定
FORSE 14
手順13 【RT-3】
手順13 【RT-4】
要件
２．サーバがお互いに通信出来ないように通信拒否
３．PC1→Server2のhttp通信、PC2→Server1へのhttp通信を拒否
手順13 【RT-1】拡張ACLを作成し、インターフェースに適用する
手順13 【RT-2】
RT-1(config)#ip access-list extended Server-Filter
RT-1(config-ext-nacl)#deny ip host 192.168.201.100 host
192.168.202.100
RT-1(config-ext-nacl)#permit ip any any
RT-1(config-ext-nacl)#exit
RT-1(config)#ip access-list extended PC-Filter
RT-1(config-ext-nacl)#deny tcp host 192.168.10.10 host
192.168.202.100 eq 80
192.168.201.100
192.168.201.100 eq 80
192.168.203.100
192.168.203.100 eq 80
192.168.204.100
192.168.204.100 eq 80

【Cisco】ラボ＃１１拡張ACLの設定・確認
SE 15
FOR
手順【全員共通】インターフェースに適用する
手順確認する
RT-1#show access-list
Standard IP access list 1
10 deny 192.168.10.0, wildcard bits 0.0.0.255 (16 matches)
20 deny 192.168.20.0, wildcard bits 0.0.0.255 (10 matches)
30 permit any
Extended IP access list PC-Filter
10 deny tcp host 192.168.10.10 host 192.168.202.100 eq www
20 permit ip any any
Extended IP access list Server-Filter
10 deny ip host 192.168.201.100 host 192.168.202.100
20 permit ip any any (8 matches)
RT-1#show ip interface fastEthernet 0 | include access list
Outgoing access list is not set
Inbound access list is Server-Filter
RT-1(config-if)#ip access-group Server-Filter in
RT-1(config-if)#ip access-group PC-Filter in
RT-1(config-if)#end
RT-1#show run | section interface FastEthernet0
interface FastEthernet0
ip address 192.168.201.1 255.255.255.0
ip access-group Server-Filter in
duplex auto
speed auto
RT-1#show run | section interface GigabitEthernet0
interface GigabitEthernet0
switchport access vlan 10
no ip address
ip access-group PC-Filter in
RT-1#

【Cisco】ラボ＃１１拡張ACLの確認
SE 16
FOR
確認①サーバがお互いに通信出来ないように通信拒否出来ているか
・サーバー→サーバーにping（サーバーのteraterm）
サーバー1→サーバー2 「192.168.202.100」
サーバー2→サーバー1 「192.168.201.100」
サーバー3→サーバー4 「192.168.204.100」
サーバー4→サーバー3 「192.168.203.100」
→通らない
確認②PC→相手側サーバーへのhttp通信を拒否出来ているか
・PC→サーバーへPing (コマンドプロンプト)
PC1、PC2→「192.168.201.100」「192.168.202.100」
PC3、PC4→「192.168.203.100」「192.168.204.100」
→どちらも通る
・PC→サーバーのブラウザ
PC1、PC2→「http:// 192.168.201.100」「http:// 192.168.202.100」
PC3、PC4→「http:// 192.168.203.100」「http:// 192.168.204.100」
→相手側は見れない

Cisco labo11

More Related Content

Featured

Cisco labo11