15.1. IPv4 アクセスリストの登録
入力書式 ip access-list ACCESS-LIST {deny | permit}
{icmp [[type ICMP-TYPE [code ICMP-CODE]] | ICMP-MESSAGE] | ip | tcp [FLAGS] | udp | protocol-number }
src {SRC-ADDRESS | any}
[sport {OPERATOR SRC-PORT | range MIN-SRC-PORT MAX-SRC-PORT | any}]
dest {DEST-ADDRESS | any}
[dport {OPERATOR DEST-PORT | range MIN-DEST-PORT MAX-DEST-PORT | any}]
no ip access-list ACCESS-LIST {deny | permit}
{icmp [[type ICMP-TYPE [code ICMP-CODE]] | ICMP-MESSAGE] | ip | tcp [FLAGS] | udp | protocol-number }
src {SRC-ADDRESS | any}
[sport {OPERATOR SRC-PORT | range MIN-SRC-PORT MAX-SRC-PORT | any}]
dest {DEST-ADDRESS | any}
[dport {OPERATOR DEST-PORT | range MIN-DEST-PORT MAX-DEST-PORT | any}]]
設定パラメータ ACCESS-LIST : アクセスリスト名
(32文字以内の空白及び制御文字を含まない文字列)
{deny | permit} : アクセスタイプ
deny : 禁止 permit : 許可
<<プロトコル>>(以下のプロトコルから選択)
icmp : ICMP
ip : 全IPv4プロトコル tcp : TCP
udp : UDP protocol-number : 1~255
<< 以下はプロトコルがicmpの時のみ有効 >>
ICMP-TYPE : ICMP type( 0~255 ) ICMP-CODE : ICMP code( 0~255 )
ICMP-MESSAGE : ICMPメッセージ名(下記のいずれか)
administratively-prohibited / dod-host-prohibited / dod-net-prohibited / echo / echo-reply /
general-parameter-problem / host-isolated / host-precedence-unreachable / host-redirect / host-tos-redirect / host-tos-unreachable /
host-unknown / host-unreachable / information-reply / information-request / mask-reply / mask-request / net-redirect / net-tos-redirect /
net-tos-unreachable / net-unreachable / network-unknown / option-missing / packet-too-big / parameter-problem / port-unreachable / precedence-unreachable /
protocol-unreachable / reassembly-timeout / redirect / router-advertisement / router-solicitation / source-quench / source-route-failed / time-exceeded / timestamp-reply / timestamp-request/ ttl-exceeded / unreachable
<< 以下はプロトコルが tcp/udp の時のみ有効 >>
OPERATOR : ポート番号指定時は以下のオペレータを併用
lt (less than)、gt (greater than)、eq (equal)
neq (not equal)、range SRC-PORT : 送信元ポート番号( 1~65535 ) 省略時は全ポート番号anyが対象
ポート番号指定時は以下のオペレータを併用
lt (less than)、gt (greater than)、eq (equal)、neq (not equal)
MIN-SRC-PORT : rangeオペレータ使用時のポート番号の最小値( 1~65535 ) MAX-SRC-PORT : rangeオペレータ使用時のポート番号の最大値( 1~65535 ) DEST-PORT : 宛先ポート番号( 1~65535 )
省略時は全ポート番号anyが対象
ポート番号指定時は以下のオペレータを併用
IPv4アクセスリストコンフィグ
lt (less than)、gt (greater than)、eq (equal)、neq (not equal)
MIN-DEST-PORT : rangeオペレータ使用時のポート番号の最小値( 1~65535 ) MAX-DEST-PORT : rangeオペレータ使用時のポート番号の最大値( 1~65535 )
<< 以下はプロトコルが tcp の時のみ有効 >>
FLAGS : TCPヘッダの制御フラグを指定
( ack / fin / psh / rst / syn / urg ) SRC-ADDRESS : 送信元IPv4アドレス
IPv4アドレス/ネットマスク 0~32 any : すべてのIPv4アドレス DEST-ADDRESS : 宛先IPv4アドレス
IPv4アドレス/ネットマスク( 0~32 ) any : すべてのIPv4アドレス 説明 アクセスリストを登録します。
ひとつのアクセスリストに複数エントリ登録した場合、登録した順に評価されます。
アクセスリストの削除時、アクセスリスト名のみが指定された場合は、そのアクセスリス トに属するすべてのエントリを削除します。アクセスリスト名以外のパラメータも指定さ れた場合は、そのパラメータにマッチするエントリのみを削除します。なお、アクセスリ スト名の省略はできません。
初期値 なし
モード グローバルコンフィグモード
ノート なし
入力例 ip access-list ac1 permit ip src 5.5.5.0/24 dest any
ip access-list ac3 deny tcp src any sport range 20 200 dest any dport any ip access-list ac3 deny icmp type 3 code 0 src 172.28.52.131/32 dest 172.28.52.133/32
15.2. IPv4 ダイナミックアクセスリストの登録
入力書式 ip access-list dynamic DYNAMIC-ACCESS-LIST {deny | permit} {icmp | tcp | udp } src {SRC-ADDRESS | any}
[sport {OPERATOR SRC-PORT | range MIN-SRC-PORT MAX-SRC-PORT | any}]
dest {DEST-ADDRESS | any}
[dport {OPERATOR DEST-PORT | range MIN-DEST-PORT MAX-DEST-PORT | any}]
no ip access-list dynamic DYNAMIC-ACCESS-LIST [{deny | permit} {icmp | tcp | udp } src {SRC-ADDRESS | any}
[sport {operator SRC-PORT | range MIN-SRC-PORT MAX-SRC-PORT | any}]
dest {DEST-ADDRESS | any}
[dport {operator DEST-PORT | range MIN-DEST-PORT MAX-DEST-PORT | any}]]
設定パラメータ DYNAMIC-ACCESS-LIST : ダイナミックアクセスリスト名
32文字以内の空白及び制御文字を含まない文字列 {deny | permit} : アクセスタイプ
deny : 禁止 permit : 許可
<<プロトコル>>(以下のプロトコルから選択)
icmp : ICMP tcp : TCP udp : UDP SRC-ADDRESS : 送信元IPv4アドレス
IPv4アドレス/ネットマスク( 0~32 ) any : すべてのIPv4アドレス DEST-ADDRESS : 宛先IPv4アドレス
IPv4アドレス/ネットマスク( 0~32 ) any : すべてのIPv4アドレス
<< 以下はプロトコルが tcp/udp の時のみ有効 >>
OPERATOR : ポート番号指定時は以下のオペレータを併用
IPv4アクセスリストコンフィグ
lt (less than)、gt (greater than)、eq (equal)
neq (not equal)、range SRC-PORT : 送信元ポート番号( 1~65535 ) 省略時は全ポート番号anyが対象
ポート番号指定時は以下のオペレータを併用
lt (less than)、gt (greater than)、eq (equal)、neq (not equal)
MIN-SRC-PORT : rangeオペレータ使用時のポート番号の最小値( 1~65535 ) MAX-SRC-PORT : rangeオペレータ使用時のポート番号の最大値( 1~65535 ) DEST-PORT : 宛先ポート番号( 1~65535 )
省略時は全ポート番号anyが対象
ポート番号指定時は以下のオペレータを併用
lt (less than)、gt (greater than)、eq (equal)、neq (not equal)
MIN-DEST-PORT : rangeオペレータ使用時のポート番号の最小値( 1~65535 ) MAX-DEST-PORT : rangeオペレータ使用時のポート番号の最大値( 1~65535 ) 説明 ダイナミックアクセスリストを登録します。プロトコル一覧からの選択、またはアクセス
リストの指定により、ダイナミックアクセスリストを適用するアプリケーションを指定で きます。アクセスリストの指定を使うと、IPアドレスやポート番号、ICMPタイプによる アクセス制限が可能となります。
ひとつのダイナミックアクセスリストに複数エントリ登録した場合、登録した順に評価さ れます。ダイナミックアクセスリストの削除時、ダイナミックアクセスリスト名のみが指 定された場合は、そのダイナミックアクセスリストに属するすべてのエントリを削除しま す。ダイナミックアクセスリスト名以外のパラメータも指定された場合は、そのパラメー タにマッチするエントリのみを削除します。なお、アクセスリスト名の省略はできません。
初期値 なし
モード グローバルコンフィグモード
ノート なし
入力例 ip access-list dynamic ac1 permit tcp src 192.168.0.0/24 sport any dest any ip access-list dynamic ac2 permit udp src any dest any
ポリシールーティング