アクセスリストについて

アクセスリストでプロトコル”ＧＲＥ”のみをpermit指定して、残りはdeny anyで許可しない
アクセスリストを作ったとします。

それをＧＲＥトンネルを張っているＲ１の（Ｒ１、Ｒ２の間で張っているとする）ＩＦにin方向で
設定した場合、Ｒ２の配下(ＰＣ(2))からＲ１の配下（ＰＣ(1)）へのpingは届くでしょうか？

ＰＣ(1)------R1(ACL in適応)----【GRE】-----R2-----ＰＣ(2)

icmpが拒否されるので破棄されてしまいますか？
それともトンネルを通るのでGREパケットとして通過出来ますか？
ＡＣＬを適応するＩＦによって違いはありますか？
例えば、Ｒ１のTunnel IFにＡＣＬを適応したのなら通る
Ｒ１の物理ＩＦに適応したら通らない　等

以上、宜しくお願いします。

No.1 回答者： maesen 回答日時： 2014/04/15 18:07

＞設定した場合、Ｒ２の配下(ＰＣ(2))からＲ１の配下（ＰＣ(1)）へのpingは届くでしょうか？

その他の疎外要因が無いことが前提ですが、これは届きます。

＞それともトンネルを通るのでGREパケットとして通過出来ますか？

これが正解です。

＞ＡＣＬを適応するＩＦによって違いはありますか？

もちろんあります。

＞例えば、Ｒ１のTunnel IFにＡＣＬを適応したのなら通る

これは逆で、Tunnel IFにGREのみを通すACLを適用したら何も通信出来なくなります。
(例外)
R1-R2のトンネルの中でさらにPC1-PC2間でGREのトンネルを設定すれば別ですが。

＞Ｒ１の物理ＩＦに適応したら通らない　等

物理IF上に設定したIPアドレスでR1とR2が通信するのか、
PPPoEなどを仮想IFで使用しているのかなどの設定に依存します。

ただ、今回のケースだけを考えるならどちらでも通ることになります。