ip access-list Global Configurationモード コマンドは、IPアクセス設定モードを有効にしてレイヤ3のACLを 作成します。ACLを削除するには、このコマンドのno形式を使用します。
構文
ip access-list 名前 no ip access-list 名前 パラ メ ー タ
■ 名前:ACLの名前を指定します。
デ フ ォ ル ト 設定
すべてのACLのデフォルトは、deny-allです。
コ マン ド モー ド
Global Configurationモード コ マン ド の使用法
定義する規則の種類に応じて、最大1018のルールをデバイスに定義できます。
例
以下のコマンドは、IP ACLを作成します。
Console(config)# ip access-list ip-acl1 Console(config-ip-al)#
permit ( IP )
permit IP-Access List Configuration(IPアクセスリスト設定)モードコマンドは、permitステートメントで 定義された条件が一致する場合にトラフィックを許可します。
構文
permit {any | プロトコル} {any| {送信元送信元ワイルドカード}} {any| {宛先宛先ワイルドカード}}
[dscp DSCP番号 | ip-precedence IP優先順位]
permit-icmp {any| {送信元 送信元ワイルドカード}} {any| {宛先 宛先ワイルドカード}} {any| ICMPの種類}
{any| ICMPコード} [dscp 番号 | ip-precedence 番号]
permit-igmp {any| {送信元 送信元ワイルドカード}} {any| {宛先 宛先ワイルドカード}} {any| IGMPの種類}
[dscp 番号 | ip-precedence 番号]
permit-tcp {any | { 送信元 送信元ワイルドカード}} {any| 送信元ポート} {any|{ 宛先 宛先ワイルドカード}}
{any| 宛先ポート} [dscp 番号 | ip-precedence 番号] [flags フラグのリスト]
permit-udp {any| { 送信元 送信元ワイルドカード}} {any| 送信元ポート} {any| {宛先 宛先ワイルドカード}}
{any| 宛先ポート} [dscp 番号 | ip-precedence 番号] パラ メ ー タ
■ 送信元:パケットの送信元IPアドレスを指定します。anyを指定すると、IPアドレスが0.0.0.0、マスク
が255.255.255.255になります。
■ 送信元ワイルドカード:送信元IPアドレスに適用するワイルドカードを指定します。無視するビット 位置に1を使用します。anyを指定すると、IPアドレスが0.0.0.0、マスクが255.255.255.255になります。
■ 宛先:パケットの宛先IPアドレスを指定します。anyを指定すると、IPアドレスが0.0.0.0、マスクが
255.255.255.255になります。
■ 宛先ワイルドカード:宛先IPアドレスに適用するワイルドカードを指定します。無視するビット位置 に1を使用します。anyを指定すると、IPアドレスが0.0.0.0、マスクが255.255.255.255になります。
■ プロトコル:IPプロトコルの略称または番号を指定します。(範囲:0~255)
以下の表に、指定できるプロトコルを一覧表示します。
■ DSCP:DSCP番号とパケットのDSCP値とのマッチングを示します。
■ ip-precedence:IP優先順位とパケットのip優先順位の値とのマッチングを示します。
■ ICMPの種類:ICMPパケットのフィルタリングに使用するICMPメッセージを指定します。値を入力す
るか、以下の値の1つを指定します:echo-reply、destination-unreachable、source-quench、redirect、
alternate-host-address、echo-request、router-advertisement、router-solicitation、time-exceeded、
parameter-problem、timestamp、timestamp-reply、information-request、information-reply、 address-mask-request、address-mask-reply、traceroute、datagram-conversion-error、mobile-host-redirect、 ipv6-where-are-you、ipv6-i-am-here、mobile-registration-request、mobile-registration-reply、 domain-name-request、domain-name-reply、skip and photuris (範囲:0~255)
■ ICMPコード:ICMPパケットのフィルタリングに使用するICMPメッセージ コードを指定します。ICMP
メッセージの種類によってフィルタリングされるICMPパケットは、ICMPメッセージコードでもフィ ルタリングされます。(範囲:0~255)
IPプ ロ ト コ ル 略称 プ ロ ト コ ル番号
Internet Control Message Protocol icmp 1
Internet Group Management Protocol igmp 2
IP in IP (encapsulation) Protocol ipinip 4
Transmission Control Protocol tcp 6
Exterior Gateway Protocol egp 8
Interior Gateway Protocol igp 9
User Datagram Protocol udp 17
Host Monitoring Protocol hmp 20
Reliable Data Protocol rdp 27
Inter-Domain Policy Routing Protocol idpr 35
Ipv6 Protocol ipv6 41
Routing Header for IPv6 ipv6-route 43
Fragment Header for IPv6 ipv6-frag 44
Inter-Domain Routing Protocol idrp 45
Reservation Protocol rsvp 46
General Routing Encapsulation gre 47
Encapsulating Security Payload (50) esp 50
Authentication Header ah 51
ICMP for IPv6Protocol ipv6-icmp 58
EIGRP Routing Protocol eigrp 88
Open Shortest Path Protocol ospf 89
Protocol Independent Multicast pim 103
Layer Two Tunneling Protocol l2tp 115
ISIS over IPv4 Protocol isis 124
(任意のIPプ ロ ト コ ル) any (25504)
■ IGMPの種類:IGMPパケットは、IGMPメッセージの種類によってフィルタリングされます。番号を入 力するか、以下の値のどれか1つを指定します:dvmrp、host-query、host-report、pimまたはtrace、 host-report-v2、host-leave-v2、host-report-v3(範囲:0~255)
■ 宛先ポート:UDP/TCP宛先ポートを指定します。(範囲:0~65535)
■ 送信元ポート:UDP/TCP送信元ポートを指定します。(範囲:0~65535)
■ フラグのリスト:トリガされるTCPフラグのリストを指定します。フラグが設定されている場合、「+」
のプレフィックスが付きます。フラグが設定されていない場合、「-」のプレフィックスが付きます。可 能な値は、+urg、+ack、+psh、+rst、+syn、+fin、-urg、-ack、-psh、-rst、-syn、および-finです。こ れらのフラグは1つの文字列に連結されます。たとえば、+fin-ackのようになります。
デ フ ォ ル ト 設定
IPv4 ACLは定義されていません。
コ マン ド モー ド
IP-Access List Configurationモード
コ マン ド の使用法
ip access-list Global Configurationモードコマンドを使用して、IP-Access List Configurationモードを有効にし ます。
ACE(Access Control Element)がACLに追加される前は、すべてのパケットが許可されます。ACEが追加さ れた後は暗黙のdeny-any-any条件がリストの末尾に存在するため、permitステートメントで定義された条件 に一致しないパケットは拒否されます。
例
以下のコマンドは、IP ACLのpermitステートメントを定義します。
Console(config)# ip access-list ip-acl1
Console(config-ip-al)# permit rsvp 192.1.1.1 0.0.0.0 any dscp 56
deny ( IP )
deny IP-Access List Configurationモードコマンドは、denyステートメントで定義された条件が一致する場合 にトラフィックを拒否します。
構文
deny [disable-port] {any | プロトコル} {any| {送信元送信元ワイルドカード}} {any| {宛先宛先ワイルド
カード}} [dscp DSCP番号 | ip-precedence IP優先順位]
deny {any | protocol} {any | {source 送信元ワイルドカード}} {any | {destination 宛先ワイルドカード}}
[dscp DSCP番号 | ip-precedence IP優先順位]
deny-icmp {any | {source 送信元ワイルドカード}} {any | {destination 宛先ワイルドカード}} {any | ICMPの 種類} {any | ICMPコード} [dscp 番号 | ip-precedence 番号]
deny-igmp {any | {source 送信元ワイルドカード}} {any | {destination 宛先ワイルドカード}} {any | IGMPの 種類} [dscp 番号 | ip-precedence 番号]
パラ メ ー タ
■ disable-port:定義されている条件が一致する場合にポートを無効にするように指定します。
■ 送信元:パケットの送信元のIPアドレスまたはホスト名を指定します。anyを指定すると、IPアドレス
が0.0.0.0、マスクが255.255.255.255になります。
■ 送信元ワイルドカード:ビット位置に1をセットすることで、ワイルドカード ビットを指定します。
anyを指定すると、IPアドレスが0.0.0.0、マスクが255.255.255.255になります。
■ 宛先:パケットの宛先のIPアドレスまたはホスト名を指定します。anyを指定すると、IPアドレスが 0.0.0.0、マスクが255.255.255.255になります。
■ 宛先ワイルドカード:ビット位置に1をセットすることで、ワイルドカードビットを指定します。any を指定すると、IPアドレスが0.0.0.0、マスクが255.255.255.255になります。
■ プロトコル:IPプロトコルの略称または番号を指定します。
以下の表に、指定できるプロトコルを一覧表示します。
IPプ ロ ト コ ル 略称 プ ロ ト コ ル番号
Internet Control Message Protocol icmp 1
Internet Group Management Protocol igmp 2
IP in IP (encapsulation) Protocol ipinip 4
Transmission Control Protocol tcp 6
Exterior Gateway Protocol egp 8
Interior Gateway Protocol igp 9
User Datagram Protocol udp 17
Host Monitoring Protocol hmp 20
Reliable Data Protocol rdp 27
Inter-Domain Policy Routing Protocol idpr 35
Ipv6 Protocol ipv6 41
Routing Header for IPv6 ipv6-route 43
■ dscp:DSCP番号とパケットのDSCP値とのマッチングを示します。
■ ip-precedence:IP優先順位とパケットのIP優先順位の値とのマッチングを示します。
デ フ ォ ル ト 設定
このコマンドにデフォルトの設定はありません。
コ マン ド モー ド
IP-Access List Configurationモード
コ マン ド の使用法
ip access-list Global Configurationモードコマンドを使用して、IP-Access List Configurationモードを有効にし ます。
ACE(Access Control Element)がACLに追加される前は、すべてのパケットが許可されます。ACEが追加さ
れた後は暗黙のdeny-any-any条件がリストの末尾に存在するため、定義された条件に一致しないパケット は拒否されます。
例
以下のコマンドは、IP ACLのpermitステートメントを定義します。
Fragment Header for IPv6 ipv6-frag 44
Inter-Domain Routing Protocol idrp 45
Reservation Protocol rsvp 46
General Routing Encapsulation gre 47
Encapsulating Security Payload (50) esp 50
Authentication Header ah 51
ICMP for IPv6 ipv6-icmp 58
EIGRP rOuting Protocol eigrp 88
Open Shortest Path Protocol ospf 89
Protocol Independent Multicast pim 103
Layer Two Tunneling Protocol l2tp 115
ISIS over IPv4 isis 124
(任意のIPプ ロ ト コル) any (25504)
IPプ ロ ト コ ル 略称 プ ロ ト コ ル番号
Console(config)# ip access-list ip-acl1
Console(config-ip-al)# deny rsvp 192.1.1.1 0.0.0.255 any