回答編集履歴
1
書式の修正
test
CHANGED
|
@@ -1,12 +1,12 @@
|
|
|
1
1
|
>なぜルータのACLでは防ぐことができないのか教えていただきたいです。
|
|
2
2
|
このACLがVACLのような特殊なACLではなく、CCNAなどで習う普通のACL (RACL = Router ACL) である前提でお答えします。
|
|
3
3
|
|
|
4
|
-
ACLで防げない理由ですが、
|
|
4
|
+
ACLで防げない理由ですが、**その攻撃トラフィックはルーティングされないため**です。
|
|
5
5
|
|
|
6
|
-
ACLは、SVIやルーテッドポートなどのL3インターフェースに`ip access-group <ACL> in`や`
|
|
6
|
+
ACLは、SVIやルーテッドポートなどのL3インターフェースに`ip access-group <ACL> in`や`ip access-group <ACL> out`のように設定します。
|
|
7
7
|
つまり、ACLはL3インターフェース自身に着信する場合か、ルーティングされる場合のみに評価されます。
|
|
8
8
|
|
|
9
9
|
ダブルタギングの場合は、ルーティングを使わずにVLANを超える攻撃です。
|
|
10
10
|
この攻撃トラフィックは、ルーティングを行うことなく外側のVLAN Tagを外し、内側のVLAN Tagでスイッチングされます。
|
|
11
|
-
ルーティングされることなく攻撃が成立するため、原則としてはACLは防御手段にならないと理解しています。
|
|
11
|
+
**ルーティングされることなく攻撃が成立するため、原則としてはACLは防御手段にならない**と理解しています。
|
|
12
12
|
|