CiscoL3スイッチにテルネットできない

よろしくお願いいたします。
現在L3スイッチ(TEST)とL2スイッチ(TEST2)がありTESTのFa0/1がTEST2にトランク設定しています。TESTのFa0/2からPCが接続されています。VLAN100が設定されています。

PCからTEST・TEST2にPingはとびます。
PCからTEST2にはTELNETできますが、TESTにはTELNETできません。
コンフィグで拡張アクセスリストでTELNETは許可されていてVLAN100のInに設定されています。
この状態でTESTにTELNETできないのはコンフィグの設定なのかなと思うのですが
原因がわかりません。どうかご教授願います。

PCは192.168.1.15です。


!
hostname TEST
!
no aaa new-model
clock timezone JST 9
system mtu routing 1500
vtp domain A
vtp mode transparent
ip subnet-zero
ip routing
no ip domain-lookup
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 100
name TEST
!
interface FastEthernet0/1
description /// to TEST2 ///
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 100
switchport mode access
!
interface Vlan1
no ip address
no ip route-cache cef
no ip route-cache
no ip mroute-cache
shutdown
!
interface Vlan100
ip address 192.168.1.254 255.255.255.0
ip access-group 200 in
no ip route-cache cef
no ip route-cache
no ip mroute-cache
!
ip classless
no ip http server
ip http secure-server
!
!
access-list 200 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 200 permit tcp any eq telnet any
access-list 200 permit icmp any any
access-list 200 deny ip any any
!
control-plane
!
line con 0
password 7 -----------
login
line vty 0 4
password 7 --------
login
line vty 5 15
password 7 -----------
login
!
end

No.3 ベストアンサー 回答者： graniph2011 回答日時： 2011/06/14 23:36

なるほど。

TESTはL3だったんですね。
コンフィグだけみてL2と勘違いしてしまいました。


(1)
>今設定されているACLは、TESTを経由する通信に適用されるものではなく、
>TEST自身に対してアクセスする時に適用されるものです
vtpmodeでサーバを選択した場合、クライアントのVlanインターフェースにも
適用されるのでしょうか？vtpモードなど関係なく各L2スイッチにアクセスリストは
設定しないといけないのでしょうか？

　⇒VTPモードがサーバになることと、ACLは全く関係ありません。
　　L2スイッチにACLを適用したいのならば各L2にアクセスリストを設定しないといけません。

　　また、先の回答でも述べましたが、L2スイッチのVlanインターフェースにACLを適用することは無意味です。
　　TELNETを制御するのであればACLをvtyにアクセスクラスとして適用するほうが自然です。

(2)
L3スイッチでVlanインターフェースへアクセスリストを設定した場合でも、
TESTを経由する通信にアクセスリストは適用されないのでしょうか？

　⇒TESTがL3スイッチで、通信がTESTのVlanインターフェースを経由した場合、そのVLANに適用したACLは動作します。

vlan10にACLが記載されていた場合

PC(vlan10)---[TEST]---PC(vlan20)　　⇒適用される

PC(vlan10)---[TEST]---PC(vlan10)　　⇒適用されない

No.2 回答者： graniph2011 回答日時： 2011/06/13 22:50

補足します。

access-list 200 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 200 permit tcp any eq telnet any
access-list 200 permit icmp any any
access-list 200 deny ip any any

試しに今設定されている上記ACLを消して

access-list 200 deny ip any any

の1行だけにしてTEST2へpingなり、telnetなり実施してみてください。
可能であると思います。

CatalystのL2スイッチの特徴として、access-listはポートではなくVlanインターフェースに適用されます。

[TEST]はL3スイッチではなく単にカスケードされているL2スイッチに過ぎないので、PCからの通信はTESTのVlanインターフェースを経由しません。

今設定されているACLは、TESTを経由する通信に適用されるものではなく、TEST自身に対してアクセスする時に適用されるものです。

この回答へのお礼

回答ありがとうございました。
こちらの質問にのせたコンフィグですが記入漏れがありました。
せっかく教えていただいているのにミスしてしまい申し訳ございません。
以下のコンフィグを踏まえたうえで再度質問をさせてください。
interface GigabitEthernet0/1
description /// to TEST3///
no switchport
ip address 192.168.2.2 255.255.255.0
!
router eigrp 10
redistribute static
network 192.168.1.0
network 192.168.2.0 0.0.0.255
no auto-summary
!
ip classless
no ip http server
ip http secure-server

(1)
>今設定されているACLは、TESTを経由する通信に適用されるものではなく、
>TEST自身に対してアクセスする時に適用されるものです
vtpmodeでサーバを選択した場合、クライアントのVlanインターフェースにも
適用されるのでしょうか？vtpモードなど関係なく各L2スイッチにアクセスリストは
設定しないといけないのでしょうか？

(2)
L3スイッチでVlanインターフェースへアクセスリストを設定した場合でも、
TESTを経由する通信にアクセスリストは適用されないのでしょうか？

よろしくお願いいたします。

お礼日時：2011/06/14 14:21

No.1 回答者： graniph2011 回答日時： 2011/06/10 17:31

ポート番号が逆。

× access-list 200 permit tcp any eq telnet any

◯ access-list 200 permit tcp any any eq telnet

この回答へのお礼

ありがとうございます。
早速コンフィグを見直してみたところ間違っておりました。
しかしこの間違った設定でなぜ直接つながっているスイッチには
テルネットできずそこから先のスイッチにはテルネットできるのか理解できません。
もう少し教えていただけないでしょうか?
よろしくお願いいたします。

お礼日時：2011/06/13 12:01