ネットワーク3分シンキング

カモフラ
(管理人)

ネットワーク(特にCisco)が大好きな皆様へCCNA/CCNP/CCIE試験で問われる【お題】をQuiz形式で出題致します。また、本ブログではCiscoさんが無償で提供する【Packet Tracer】や【GNS3】を利用しての簡単なシュミレーションと実際の業務で役立つワンポイントなども織り混ぜながら、皆さんが楽しめるコンテンツ(３分でサクッと読める内容)となります。

本日のお題 :
本日の回答 :
おすすめの書籍 :
Cisco人気ブログのご紹介 :

本日のお題 :

インターネット経由でユーザが ”週末の9:00-17:00の間だけ” 特別セールス用の「Webサーバ」にアクセスできるNWを作りたいと考えています。下記のNW構成図とR2のステータスを参考に本件を実現するためのベストアンサーを答えなさい。

A : 標準 ACL
B : 拡張 ACL
C : 名前付き ACL
D : 時間ベース ACL

R1 コンフィグ
hostname R1
!
interface Loopback1
ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet1/0
ip address 192.168.2.1 255.255.255.0
!
router ospf 1
network 1.1.1.1 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0
!
line con 0
line aux 0
line vty 0 4
login
!
!
!
!
!
!
!
!
!
!
!
!
end

R2 コンフィグ
hostname R2
!
interface Loopback1
ip address 2.2.2.2 255.255.255.255
!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
ip nat inside
!
interface FastEthernet1/0
ip address 100.100.100.100 255.255.255.240
ip access-group WebAccess in
ip nat outside
!
router ospf 1
network 2.2.2.2 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip nat outside source static tcp 100.100.100.100 443 192.168.2.100 443 extendable add-route
!
ip access-list extended WebAccess
permit tcp any any eq 443 time-range weekend_0900-1700
deny tcp any any eq 443
permit ip any any
!
time-range weekend_0900-1700
periodic weekend 9:00 to 17:00
!
end

【君もヒーローになれる】IT業界に強いエンジニア特化型(優良転職サイト)で最高のキャリアを手に入れよう！

エンジニアに特化したオススメ転職サービスを厳選【きっとアナタにとって最適な企業/仕事が見つかります】

IT業界で高年収(安定)・ヤリガイ(刺激)を求めている皆様を応援するサイト【就活/転職/未経験からのチャレンジ】

IT業界への就活/転職活動に不安を感じる方向けに【後悔しない活動】のやり方を徹底解説致します。

本日の回答 :

正解は【D】になります。

回答のポイントは「”時間をコントロールできる” ACLタイプ」を正しく理解する必要があります。構成図 R2のshowコマンドを確認する限り、土曜日の14:48分の時点で拡張ACL(シーケンス番号 10)が ”active” というステータスとなり、外部からWebサーバへのHTTPSアクセスが可能となっています。機能的には拡張 ACL に似ていますが、時間に基づくアクセス制御を行うためには「時間ベース ACL(time-range)」を選択することが正解となります。

IPアクセスリストの設定とフィルタリング

このドキュメントでは、さまざまなタイプのIPアクセスコントロールリスト(ACL)と、ネットワークトラフィックをフィルタリングする方法について説明します。

今回のケースでは省略していますが、「時間ベース ACL」をセットする前に最も重要なポイントは、時間設定の範囲はルータのシステムクロックに基づきます。すなわち、この機能はルータが Network Time Protocol（NTP; ネットワークタイムプロトコル）などと同期した場合に最適に動作します。(システムクロックの時刻が狂うとACLが発動する時間軸もずれてしまうのでご注意ください)

「時間ベース ACLなんてどんなNW環境で使っているの？」と思う方も多いかと思いますが、今回のケースのように時間をトリガーとしてACLを動的に変化させたい場面は意外とあります。一番わかりやすいケースは「週末のセールス」など特別なタイミングで通信を許可させたい場合となりますが、他には開発環境へのアクセスを「Daytime(月-金)の日中帯のみ」に許可とし、社員が不要に環境へアクセスできないように制御したりするなど、いろいろと活用されています。エンタープライズNWではあまり馴染みがない「時間ベース ACL」ですが、ACL を使って特定の時間でアクセスをコントロールする手法について今回はご紹介させていただきました。

【TOEIC 800点は通過点】正しい学習で簡単に理想の英語力を習得する方法

お金と時間を費やす事なくTOEIC 800点レベルの英語力が誰でも簡単に習得できる方法を共有します

IT業界へ転職(高年収/内定)と市場価値の上げ方を徹底解説

IT業界への転職活動は今がチャンスです。高年収/内定の狙い方や市場価値の上げ方について解説致します

Cisco人気ブログのご紹介 :

イケてるエンジニアになる方法！「ネットワーク【３分】シンキング」は Cisco好きな皆さんへ転職時に役立つ「実践スキル」を提供いたします！

CCNA/CCNP取得で転職時に年収500万を狙う(イケてるエンジニアになる方法を徹底解説！)

もう量産型ザクとはいわせない "Cisco Packet Tracer" を活用してCCNA/CCNP取得時に"イケてるエンジニア"になろう！

Cisco Packet Tracerを活用してCCNA/CCNP取得時に1UPなエンジニアになろう

年収500万を超えたいなら"CCNPはインフラエンジニア/MUSTな資格"というお話

問題集でCCNP資格を取得するだけではあなたの市場評価は低いです。高年収/評価を勝ち取る方法とは？

CCNP 筆記試験(300-410)/受験される方へワンポイント【現役CCIE 監修】

新CCNP試験(300-410) 攻略のアップデートと注意点を徹底解説致します。

CCIE 筆記試験(350-401 Pass!!!)/受験される方へワンポイント【現役CCIE 監修】

CCIE/CCNP共通試験(350-401) 受験のアップデートと注意点を徹底解説致します。

CCIE ラボ試験をパスするために覚悟する事【現役 CCIE解説】

Cisco最高峰試験(CCIEラボ)に合格するためには不屈の覚悟と精神力が必要な理由を解説します

皆様からのご質問について

本サイトでは皆様からご質問を受け付けております。ご質問には必ずご回答させていただきますので、まずは本ブログサイトの”お問い合わせ“より、ご連絡をお願い致します。

ネットワーク【3分】シンキング – 週末の特定時間だけアクセスできるNWを作りたい！(Time-Based ACLのお話)

本日のお題 :

本日の回答 :

おすすめの書籍 :

Cisco人気ブログのご紹介 :

コメント