[index] CentreCOM x610シリーズ コマンドリファレンス 5.4.7
モード: 名前付き拡張IPアクセスリストモード
カテゴリー: トラフィック制御 / アクセスリスト
(config-ip-ext-acl)# [<1-65535>] {deny|permit} {ip|any} SRCIP DSTIP [log]
(config-ip-ext-acl)# [<1-65535>] {deny|permit} {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT] [log]
(config-ip-ext-acl)# [<1-65535>] {deny|permit} icmp SRCIP DSTIP [icmp-type ICMPTYPE] [log]
(config-ip-ext-acl)# no <1-65535>
(config-ip-ext-acl)# no {deny|permit} {ip|any} SRCIP DSTIP [log]
(config-ip-ext-acl)# no {deny|permit} {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT] [log]
(config-ip-ext-acl)# no {deny|permit} icmp SRCIP DSTIP [icmp-type ICMPTYPE] [log]
対象名前付き拡張IPアクセスリスト(シーケンス番号対応)にエントリーを新規追加または変更する。
no形式で実行した場合は指定したエントリーを削除する。
名前付き拡張IPアクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号によって指定したエントリーの並び順に行われる。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。
<1-65535> |
シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。エントリーの新規追加時にシーケンス番号を省略した場合は、リストの最後尾にエントリーが追加され、既存の最後尾エントリーより大きい直近の10の倍数が新規エントリーの番号として自動採番される(最初にシーケンス番号なしで作成したエントリーの番号は10になる。また、最後尾エントリーの番号が99の状態でシーケンス番号を指定せずに新規エントリーを追加した場合は100になる)。なお、設定を保存して再起動した場合、各エントリーのシーケンス番号は保持されず、10, 20, 30のような10刻みの値に変更される | ||||
deny|permit |
条件に合致した場合のアクション。拒否(deny)、許可(permit)のどちらかを指定する | ||||
ip|any |
すべてのIPパケットを対象とする場合(上位プロトコルタイプを気にしない場合)に指定する。ipとanyは同義 | ||||
tcp|udp |
それぞれ、TCP、UDPパケットだけを対象とする場合に指定する。tcp、udpを指定した場合は、始点・終点ポート番号を指定することができる(どちらか一方でも、また指定しなくてもよい) | ||||
icmp |
ICMPパケットだけを対象とする場合に指定する。icmpを指定した場合は、ICMPメッセージタイプも指定することができる(指定しなくてもよい) | ||||
SRCIP |
始点IPアドレス。次のいずれかの形式で指定する | ||||
A.B.C.D/M |
IPアドレスとマスク長。この形式の場合、IPアドレスの先頭からマスク長で指定されたビット数だけが比較対象となる | ||||
any |
すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義 | ||||
SRCPORT |
始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は「比較演算子 数値」の形式で指定する。比較演算子には次の4種類がある | ||||
eq <0-65535> |
~と等しい(EQual to)。たとえば、「eq 80」はポート80とマッチする | ||||
lt <0-65535> |
~より小さい(Less Than)。たとえば、「lt 1024」は「ポート1024より小さい」の意味で、ポート0~1023にマッチする | ||||
gt <0-65535> |
~より大きい(Greater Than)。たとえば、「gt 32767」は「ポート32767より大きい」の意味で、ポート32768~65535にマッチする | ||||
ne <0-65535> |
~と等しくない(Not Equal to)。たとえば、「ne 22」はポート22以外とマッチする | ||||
DSTIP |
終点IPアドレス。指定方法はSRCIPと同じ。 | ||||
DSTPORT |
終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。 | ||||
icmp-type ICMPTYPE := |
icmp-type {<0-0>|<3-5>|<8-8>|<11-18>} |
||||
ICMPメッセージタイプ。上位プロトコルタイプとしてicmpを指定したときだけ有効。省略時はすべてのメッセージタイプが対象になる。0(Echo Reply)、3(Destination Unreachable)、4(Source Quench)、5(Redirect)、8(Echo)、11(Time Exceeded)、12(Parameter Problem)、13(Timestamp)、14(Timestamp Reply)、15(Information Request)、16(Information Reply)、17(Address Mask Request)、18(Address Mark Reply)のいずれかを指定する | |||||
log |
条件に合致したときログに記録を残したい場合に指定する |
■ 172.16.10.5からのマルチキャストだけを許可し、その他は拒否する名前付き拡張IPアクセスリスト「only105」を作成する。
awplus(config)# access-list extended only105 ↓ awplus(config-ip-ext-acl)# permit ip 172.16.10.5 any ↓
■ 名前付き拡張IPアクセスリストの末尾には「deny any any any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。
■ 現状、拡張IPアクセスリストは、PIM-SMのランデブーポイント(RP)におけるRegisterメッセージのフィルタリング(ip pim accept-register listコマンド)でしか使用しない。そのため、TCP/UDPのポート番号やICMPメッセージタイプなどの条件は、指定はできるが実際には使用されない。
access-list extended(list) (グローバルコンフィグモード)
|
+- access-list extended(seq entry)(名前付き拡張IPアクセスリストモード)
access-list(extended)(グローバルコンフィグモード)
ip pim accept-register list(グローバルコンフィグモード)
show access-list(非特権EXECモード)
show ip access-list(非特権EXECモード)
(C) 2011 - 2017 アライドテレシスホールディングス株式会社
PN: 613-001613 Rev.R