ip access-list

ドキュメント内 コマンド ライン インタフェース リファレンス ガイド (Page 49-55)

ip access-list Global Configurationモード コマンドは、IPアクセス設定モードを有効にしてレイヤ3のACLを 作成します。ACLを削除するには、このコマンドのno形式を使用します。

構文

ip access-list 名前 no ip access-list 名前 パラ メ ー タ

■ 名前:ACLの名前を指定します。

デ フ ォ ル ト 設定

すべてのACLのデフォルトは、deny-allです。

コ マン ド モー ド

Global Configurationモード コ マン ド の使用法

定義する規則の種類に応じて、最大1018のルールをデバイスに定義できます。

以下のコマンドは、IP ACLを作成します。

Console(config)# ip access-list ip-acl1 Console(config-ip-al)#

permitIP

permit IP-Access List Configuration(IPアクセスリスト設定)モードコマンドは、permitステートメントで 定義された条件が一致する場合にトラフィックを許可します。

構文

permit {any | プロトコル} {any| {送信元送信元ワイルドカード}} {any| {宛先宛先ワイルドカード}}

[dscp DSCP番号 | ip-precedence IP優先順位]

permit-icmp {any| {送信元 送信元ワイルドカード}} {any| {宛先 宛先ワイルドカード}} {any| ICMPの種類}

{any| ICMPコード} [dscp 番号 | ip-precedence 番号]

permit-igmp {any| {送信元 送信元ワイルドカード}} {any| {宛先 宛先ワイルドカード}} {any| IGMPの種類}

[dscp 番号 | ip-precedence 番号]

permit-tcp {any | { 送信元 送信元ワイルドカード}} {any| 送信元ポート} {any|{ 宛先 宛先ワイルドカード}}

{any| 宛先ポート} [dscp 番号 | ip-precedence 番号] [flags フラグのリスト]

permit-udp {any| { 送信元 送信元ワイルドカード}} {any| 送信元ポート} {any| {宛先 宛先ワイルドカード}}

{any| 宛先ポート} [dscp 番号 | ip-precedence 番号] パラ メ ー タ

■ 送信元:パケットの送信元IPアドレスを指定します。anyを指定すると、IPアドレスが0.0.0.0、マスク

が255.255.255.255になります。

■ 送信元ワイルドカード:送信元IPアドレスに適用するワイルドカードを指定します。無視するビット 位置に1を使用します。anyを指定すると、IPアドレスが0.0.0.0、マスクが255.255.255.255になります。

宛先:パケットの宛先IPアドレスを指定します。anyを指定すると、IPアドレスが0.0.0.0、マスクが

255.255.255.255になります。

■ 宛先ワイルドカード:宛先IPアドレスに適用するワイルドカードを指定します。無視するビット位置 に1を使用します。anyを指定すると、IPアドレスが0.0.0.0、マスクが255.255.255.255になります。

プロトコル:IPプロトコルの略称または番号を指定します。(範囲:0~255)

以下の表に、指定できるプロトコルを一覧表示します。

DSCP:DSCP番号とパケットのDSCP値とのマッチングを示します。

ip-precedence:IP優先順位とパケットのip優先順位の値とのマッチングを示します。

■ ICMPの種類:ICMPパケットのフィルタリングに使用するICMPメッセージを指定します。値を入力す

るか、以下の値の1つを指定します:echo-reply、destination-unreachable、source-quench、redirect、

alternate-host-address、echo-request、router-advertisement、router-solicitation、time-exceeded、

parameter-problemtimestamptimestamp-replyinformation-requestinformation-replyaddress-mask-requestaddress-mask-replytraceroutedatagram-conversion-errormobile-host-redirectipv6-where-are-youipv6-i-am-heremobile-registration-requestmobile-registration-replydomain-name-request、domain-name-reply、skip and photuris (範囲:0~255)

ICMPコード:ICMPパケットのフィルタリングに使用するICMPメッセージ コードを指定します。ICMP

メッセージの種類によってフィルタリングされるICMPパケットは、ICMPメッセージコードでもフィ ルタリングされます。(範囲:0~255)

IPプ ロ ト コ ル 略称 プ ロ ト コ ル番号

Internet Control Message Protocol icmp 1

Internet Group Management Protocol igmp 2

IP in IP (encapsulation) Protocol ipinip 4

Transmission Control Protocol tcp 6

Exterior Gateway Protocol egp 8

Interior Gateway Protocol igp 9

User Datagram Protocol udp 17

Host Monitoring Protocol hmp 20

Reliable Data Protocol rdp 27

Inter-Domain Policy Routing Protocol idpr 35

Ipv6 Protocol ipv6 41

Routing Header for IPv6 ipv6-route 43

Fragment Header for IPv6 ipv6-frag 44

Inter-Domain Routing Protocol idrp 45

Reservation Protocol rsvp 46

General Routing Encapsulation gre 47

Encapsulating Security Payload (50) esp 50

Authentication Header ah 51

ICMP for IPv6Protocol ipv6-icmp 58

EIGRP Routing Protocol eigrp 88

Open Shortest Path Protocol ospf 89

Protocol Independent Multicast pim 103

Layer Two Tunneling Protocol l2tp 115

ISIS over IPv4 Protocol isis 124

(任意のIPプ ロ ト コ ル) any 25504

IGMPの種類:IGMPパケットは、IGMPメッセージの種類によってフィルタリングされます。番号を入 力するか、以下の値のどれか1つを指定します:dvmrphost-queryhost-reportpimまたはtracehost-report-v2host-leave-v2host-report-v3(範囲:0~255)

宛先ポート:UDP/TCP宛先ポートを指定します。(範囲:0~65535)

送信元ポート:UDP/TCP送信元ポートを指定します。(範囲:065535

■ フラグのリスト:トリガされるTCPフラグのリストを指定します。フラグが設定されている場合、「+」

のプレフィックスが付きます。フラグが設定されていない場合、「-」のプレフィックスが付きます。可 能な値は、+urg、+ack、+psh、+rst、+syn、+fin、-urg、-ack、-psh、-rst、-syn、および-finです。こ れらのフラグは1つの文字列に連結されます。たとえば、+fin-ackのようになります。

デ フ ォ ル ト 設定

IPv4 ACLは定義されていません。

コ マン ド モー ド

IP-Access List Configurationモード

コ マン ド の使用法

ip access-list Global Configurationモードコマンドを使用して、IP-Access List Configurationモードを有効にし ます。

ACE(Access Control Element)がACLに追加される前は、すべてのパケットが許可されます。ACEが追加さ れた後は暗黙のdeny-any-any条件がリストの末尾に存在するため、permitステートメントで定義された条件 に一致しないパケットは拒否されます。

以下のコマンドは、IP ACLのpermitステートメントを定義します。

Console(config)# ip access-list ip-acl1

Console(config-ip-al)# permit rsvp 192.1.1.1 0.0.0.0 any dscp 56

denyIP

deny IP-Access List Configurationモードコマンドは、denyステートメントで定義された条件が一致する場合 にトラフィックを拒否します。

構文

deny [disable-port] {any | プロトコル} {any| {送信元送信元ワイルドカード}} {any| {宛先宛先ワイルド

カード}} [dscp DSCP番号 | ip-precedence IP優先順位]

deny {any | protocol} {any | {source 送信元ワイルドカード}} {any | {destination 宛先ワイルドカード}}

[dscp DSCP番号 | ip-precedence IP優先順位]

deny-icmp {any | {source 送信元ワイルドカード}} {any | {destination 宛先ワイルドカード}} {any | ICMPの 種類} {any | ICMPコード} [dscp 番号 | ip-precedence 番号]

deny-igmp {any | {source 送信元ワイルドカード}} {any | {destination 宛先ワイルドカード}} {any | IGMPの 種類} [dscp 番号 | ip-precedence 番号]

パラ メ ー タ

disable-port:定義されている条件が一致する場合にポートを無効にするように指定します。

■ 送信元:パケットの送信元のIPアドレスまたはホスト名を指定します。anyを指定すると、IPアドレス

が0.0.0.0、マスクが255.255.255.255になります。

■ 送信元ワイルドカード:ビット位置に1をセットすることで、ワイルドカード ビットを指定します。

anyを指定すると、IPアドレスが0.0.0.0、マスクが255.255.255.255になります。

■ 宛先:パケットの宛先のIPアドレスまたはホスト名を指定します。anyを指定すると、IPアドレスが 0.0.0.0、マスクが255.255.255.255になります。

■ 宛先ワイルドカード:ビット位置に1をセットすることで、ワイルドカードビットを指定します。any を指定すると、IPアドレスが0.0.0.0、マスクが255.255.255.255になります。

プロトコル:IPプロトコルの略称または番号を指定します。

以下の表に、指定できるプロトコルを一覧表示します。

IPプ ロ ト コ ル 略称 プ ロ ト コ ル番号

Internet Control Message Protocol icmp 1

Internet Group Management Protocol igmp 2

IP in IP (encapsulation) Protocol ipinip 4

Transmission Control Protocol tcp 6

Exterior Gateway Protocol egp 8

Interior Gateway Protocol igp 9

User Datagram Protocol udp 17

Host Monitoring Protocol hmp 20

Reliable Data Protocol rdp 27

Inter-Domain Policy Routing Protocol idpr 35

Ipv6 Protocol ipv6 41

Routing Header for IPv6 ipv6-route 43

dscpDSCP番号とパケットのDSCP値とのマッチングを示します。

ip-precedence:IP優先順位とパケットのIP優先順位の値とのマッチングを示します。

デ フ ォ ル ト 設定

このコマンドにデフォルトの設定はありません。

コ マン ド モー ド

IP-Access List Configurationモード

コ マン ド の使用法

ip access-list Global Configurationモードコマンドを使用して、IP-Access List Configurationモードを有効にし ます。

ACE(Access Control Element)がACLに追加される前は、すべてのパケットが許可されます。ACEが追加さ

れた後は暗黙のdeny-any-any条件がリストの末尾に存在するため、定義された条件に一致しないパケット は拒否されます。

以下のコマンドは、IP ACLのpermitステートメントを定義します。

Fragment Header for IPv6 ipv6-frag 44

Inter-Domain Routing Protocol idrp 45

Reservation Protocol rsvp 46

General Routing Encapsulation gre 47

Encapsulating Security Payload (50) esp 50

Authentication Header ah 51

ICMP for IPv6 ipv6-icmp 58

EIGRP rOuting Protocol eigrp 88

Open Shortest Path Protocol ospf 89

Protocol Independent Multicast pim 103

Layer Two Tunneling Protocol l2tp 115

ISIS over IPv4 isis 124

(任意のIPプ ロ ト コル) any 25504

IPプ ロ ト コ ル 略称 プ ロ ト コ ル番号

Console(config)# ip access-list ip-acl1

Console(config-ip-al)# deny rsvp 192.1.1.1 0.0.0.255 any

ドキュメント内 コマンド ライン インタフェース リファレンス ガイド (Page 49-55)

関連したドキュメント