« SH-02Eの再起動 | トップページ | ちょいとしたつぶやき[241] »

エンジニア備忘録[39]

こんにちわ。

アクセスリスト設定の作業メモ。

クライアントがDHCPでIPアドレスを取得しているセグメントに
初めてアクセスリストを適用する場合に注意が必要。

たとえばこんな設定をしたとする。

==============================================

fastethernet 1
ip address 192.168.1.1 255.255.255.0
ip helper-address 10.1.1.1
ip access-group 100 in

access-list 100 ip 192.168.1.0 0.0.0.255 host 10.1.1.1
access-list 100 ip 192.168.1.0 0.0.0.255 host 10.1.1.2

==============================================

てっきりこれでDHCPが取れると思っていましたが
世の中そんな甘くはない!!

なぜか・・・

IP取得してない端末が外に行こうと思っても
暗黙のdenyでdropされてしまうから。

上記の設定だと
送信元が192.168.1.0~192.168.1.255のアドレスは
10.1.1.1と10.1.1.2にipで通信出来ますってだけで
それ以外は暗黙のdenyで切られてしまうわけですね。

んじゃ、どうするかというと下記の設定を入れることで
DHCPでIPアドレスを取得することが出来るようになる。

==============================================

R(config)#ip access-list extended 100

R(config-ext-nacl)#30 permit udp any any eq 67
R(config-ext-nacl)#40 permit udp any any eq 68

もしくは

R(config-ext-nacl)#30 permit udp any any eq bootps
R(config-ext-nacl)#40 permit udp any any eq bootpc

==============================================

とりあえず上記設定を入れて問題なくDHCPでIP取得が
出来るようになりました。

よくよく考えれば簡単なことなんだけど、
なかなか忘れがちなポイントだわ、これは。

せっかくなのでチェックをお願いします☆
↓↓↓↓↓
人気ブログランキングへ

|

« SH-02Eの再起動 | トップページ | ちょいとしたつぶやき[241] »

エンジニア備忘録」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: エンジニア備忘録[39]:

« SH-02Eの再起動 | トップページ | ちょいとしたつぶやき[241] »