[index] CentreCOM x610シリーズ コマンドリファレンス 5.4.7
モード: グローバルコンフィグモード
カテゴリー: トラフィック制御 / アクセスリスト
(config)# [no] access-list extended LISTNAME {deny|permit} {ip|any} SRCIP DSTIP [log]
(config)# [no] access-list extended LISTNAME {deny|permit} {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT] [log]
(config)# [no] access-list extended LISTNAME {deny|permit} icmp SRCIP DSTIP [icmp-type ICMPTYPE] [log]
名前付き拡張IPアクセスリストにエントリーを追加する。
no形式で実行した場合は、名前付き拡張IPアクセスリストから指定したエントリーを削除する。
名前付き拡張IPアクセスリストは、条件となるIPアドレスを2つ指定できるアクセスリスト。始点IPアドレスと終点IPアドレスに基づくアクセス制御やトラフィック分類が本来の用途だが、現状ではPIM-SMのランデブーポイント(RP)におけるRegisterメッセージのフィルタリング(ip pim accept-register listコマンド)でしか使用しない。
Note本コマンドでは、分類条件としてプロトコルやポート番号、ICMPメッセージタイプなどを指定することもできるが、現状これらは使用されない。
LISTNAME |
IPアクセスリスト名。63文字以下。大文字小文字を区別する | ||||
deny|permit |
条件に合致した場合のアクション。拒否(deny)、許可(permit)のどちらかを指定する | ||||
ip|any |
すべてのIPパケットを対象とする場合(上位プロトコルタイプを気にしない場合)に指定する。ipとanyは同義 | ||||
tcp|udp |
それぞれ、TCP、UDPパケットだけを対象とする場合に指定する。tcp、udpを指定した場合は、始点・終点ポート番号を指定することができる(どちらか一方でも、また指定しなくてもよい) | ||||
icmp |
ICMPパケットだけを対象とする場合に指定する。icmpを指定した場合は、ICMPメッセージタイプも指定することができる(指定しなくてもよい) | ||||
SRCIP |
始点IPアドレス。次のいずれかの形式で指定する | ||||
A.B.C.D/M |
IPアドレスとマスク長。この形式の場合、IPアドレスの先頭からマスク長で指定されたビット数だけが比較対象となる | ||||
any |
すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義 | ||||
SRCPORT |
始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は「比較演算子 数値」の形式で指定する。比較演算子には次の4種類がある | ||||
eq <0-65535> |
~と等しい(EQual to)。たとえば、「eq 80」はポート80とマッチする | ||||
lt <0-65535> |
~より小さい(Less Than)。たとえば、「lt 1024」は「ポート1024より小さい」の意味で、ポート0~1023にマッチする | ||||
gt <0-65535> |
~より大きい(Greater Than)。たとえば、「gt 32767」は「ポート32767より大きい」の意味で、ポート32768~65535にマッチする | ||||
ne <0-65535> |
~と等しくない(Not Equal to)。たとえば、「ne 22」はポート22以外とマッチする | ||||
DSTIP |
終点IPアドレス。指定方法はSRCIPと同じ。 | ||||
DSTPORT |
終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。 | ||||
icmp-type ICMPTYPE := |
icmp-type {<0-0>|<3-5>|<8-8>|<11-18>} |
||||
| ICMPメッセージタイプ。上位プロトコルタイプとしてicmpを指定したときだけ有効。省略時はすべてのメッセージタイプが対象になる。0(Echo Reply)、3(Destination Unreachable)、4(Source Quench)、5(Redirect)、8(Echo)、11(Time Exceeded)、12(Parameter Problem)、13(Timestamp)、14(Timestamp Reply)、15(Information Request)、16(Information Reply)、17(Address Mask Request)、18(Address Mark Reply)のいずれかを指定する | |||||
log |
条件に合致したときログに記録を残したい場合に指定する | ||||
■ 172.16.10.5からのマルチキャストだけを許可し、その他は拒否する拡張IPアクセスリスト「only105」を作成する。
awplus(config)# access-list extended only105 permit ip 172.16.10.5 any ↓
■ 名前付き拡張IPアクセスリストの末尾には「deny any any any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。
■ 現状、拡張IPアクセスリストは、PIM-SMのランデブーポイント(RP)におけるRegisterメッセージのフィルタリング(ip pim accept-register listコマンド)でしか使用しない。そのため、TCP/UDPのポート番号やICMPメッセージタイプなどの条件は、指定はできるが実際には使用されない。
configure terminal (特権EXECモード)
|
+- access-list extended(グローバルコンフィグモード)
access-list(extended)(グローバルコンフィグモード)
ip pim accept-register list(グローバルコンフィグモード)
show access-list(非特権EXECモード)
show ip access-list(非特権EXECモード)
(C) 2011 - 2017 アライドテレシスホールディングス株式会社
PN: 613-001613 Rev.R