management access-list Global Configurationモードコマンドは、管理アクセス リストを設定し、Management
Access-list Configuration(管理アクセスリスト設定)コマンドモードに入ります。アクセスリストを削除
するには、このコマンドのno形式を使用します。
構文
management access-list 名前 no management access-list 名前
パラ メ ー タ
■ 名前:アクセスリスト名(範囲:1~32文字)
デ フ ォ ル ト 設定
このコマンドにデフォルトの設定はありません。
コ マン ド モー ド
Global Configurationモード コ マン ド の使用法
このコマンドを使用して、管理アクセス リストを設定します。このコマンドは、permit(管理)およびdeny
(管理)コマンドを使用して、許可および拒否アクセスルールを定義するManagement Access-list Configuration モードに入ります。
一致基準が定義されない場合、デフォルトは拒否(deny)です。
アクセスリストのコンテキストを再入力すると、アクセスリストの末尾に新しいルールが入力されます。
management access-classコマンドを使用して、アクティブなアクセス リストを選択します。
アクティブな管理リストを更新または削除することはできません。
管理ACLには、IPアドレスまたはコンソール インタフェースを持つポート、VLAN、ポート チャネルなど の有効な管理インタフェースが必要です。管理ACLは、管理設定または表示用デバイスに対してのみアク セスが制限されます。
例
以下のコマンドは、mlistという管理アクセス リストを作成し、管理Ethernetインタフェース1/e1と2/e9を設 定して、新しいアクセスリストをアクティブにします。
以下のコマンドは、mlistという管理アクセスリストを作成し、Ethernetインタフェース1/e1と2/e9以外のす べてのインタフェースを管理インタフェースに設定して、新しいアクセス リストをアクティブにします。
permit (管理)
permit Management Access-list Configurationモードコマンドは許可ルールを定義します。
構文
permit [ethernet インタフェース番号 | vlanVLANのID | port-channelポート チャネル番号] [serviceサービス]
permit ip-source IPアドレス [mask マスク | プレフィックス長] [ethernet インタフェース番号 | vlan VLANの
ID | port-channel ポートチャネル番号 | ] [service サービス]
パラ メ ー タ
■ インタフェース番号:有効なEthernetポート番号。
■ VLANのID:有効なVLAN番号。
■ ポートチャネル番号:有効なポートチャネルのインデックス。
■ IPアドレス:有効な送信元IPアドレス。
■ マスク:送信元IPアドレスの有効なネットワーク マスク。
■ プレフィックス長:送信元IPアドレスのプレフィックスを構成するビット数。プレフィックス長の前 Console(config)# management access-list mlist
Console(config-macl)# permit ethernet 1/e1 Console(config-macl)# permit ethernet 2/e9 Console(config-macl)# exit
Console(config)# management access-class mlist
Console(config)# management access-list mlist Console(config-macl)# deny ethernet 1/e1 Console(config-macl)# deny ethernet 2/e9 Console(config-macl)# permit
Console(config-macl)# exit
Console(config)# management access-class mlist
コ マン ド の使用法
IPアドレスが適切なインタフェース上で定義されている場合にのみ、Ethernet、VLAN、およびポート チャ ネルのパラメータを使用するルールが有効になります。
システムは、最大128の管理アクセスルールをサポートします。
例
以下のコマンドは、mlistアクセスリスト内のすべてのポートを許可します。
deny (管理)
deny Management Access-list Configurationモードコマンドは拒否ルールを定義します。
構文
deny [ethernet インタフェース番号 | vlanVLANのID | port-channelポート チャネル番号] [serviceサービス]
deny ip-source IPアドレス [mask マスク | プレフィックス長] [ethernet インタフェース番号 | vlan VLANの ID | port-channel ポート チャネル番号 | ] [service サービス]
パラ メ ー タ
■ インタフェース番号:有効なEthernetポート番号。
■ VLANのID:有効なVLANの番号。
■ ポートチャネル番号:有効なポートチャネル番号。
■ IPアドレス:有効な送信元IPアドレス。
■ マスク:送信元IPアドレスの有効なネットワーク マスク。
■ プレフィックス長:送信元IPアドレスのプレフィックスを構成するビット数を指定します。プレフィッ クス長の前にはスラッシュ(/)を付ける必要があります。(範囲:0~32)
■ サービス:サービスの種類。使用可能な値は、telnet、ssh、http、https、およびsnmpです。
デ フ ォ ル ト 設定
このコマンドにデフォルトの設定はありません。
コ マン ド モー ド
Management Access-list Configurationモード コ マン ド の使用法
IPアドレスが適切なインタフェース上で定義されている場合にのみ、Ethernet、VLAN、およびポート チャ ネルのパラメータを使用するルールが有効になります。
システムは、最大128の管理アクセス ルールをサポートします。
Console(config)# management access-list mlist Console(config-macl)# permit
例
以下のコマンドは、mlistというアクセス リスト内のすべてのポートを拒否します。