|
◆ ルーティングプロトコルのトラフィックの許可
ルーティングプロトコルを動作させているインターフェース上で「 Inbound 」でACLを適用する場合には
ルーティングプロトコルのパケットがフィルタリングされないように以下のACLで許可する必要があります。
◆ RIPのトラフィックを許可するACL
| Cisco(config)# access-list 101 permit udp any any eq rip |
◆ EIGRPのトラフィックを許可するACL
| Cisco(config)# access-list 101 permit eigrp any any |
◆ OSPFのトラフィックを許可するACL
| Cisco(config)# access-list 101 permit ospf any any |
◆ BGPのトラフィックを許可するACL( 2行セットで必要 )
Cisco(config)# access-list 101 permit tcp any any eq 179
Cisco(config)# access-list 101 permit tcp any eq 179 any
|
BGPはTCP上で動作、RIPはUDP上で動作、EIGRPとOSPFはIP上で動作するプロトコルです。
| TCP / UDP |
ポート番号 |
プロトコル |
| TCP |
179 |
BGP |
| UDP |
520 |
RIP |
| IP |
プロトコル番号 |
プロトコル |
| IP |
88 |
EIGRP |
| IP |
89 |
OSPF |
なお、トンネリングプロトコルの「GRE」トラフィックを IN で許可したい場合は、以下を定義して適用。
GREは、EIGRPやOSPFと同様にIPプロトコル上で動作します。使用するIPプロトコル番号は「47」です。
| Cisco(config)# access-list 101 permit gre any any |
ちなみに、PINGの応答、traceの応答を受信できるようにするためには、以下のACLを定義して適用します。
Cisco(config)# access-list 101 permit icmp any any echo-reply
Cisco(config)# access-list 101 permit icmp any any time-exceeded
Cisco(config)# access-list 101 permit icmp any any unreachable
|
|