access-list extended(seq entry)

モード: 名前付き拡張IPアクセスリストモード
カテゴリー: トラフィック制御 / アクセスリスト


(config-ip-ext-acl)# [<1-65535>] {deny|permit} {ip|any} SRCIP DSTIP [log]

(config-ip-ext-acl)# [<1-65535>] {deny|permit} {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT] [log]

(config-ip-ext-acl)# [<1-65535>] {deny|permit} icmp SRCIP DSTIP [icmp-type ICMPTYPE] [log]

(config-ip-ext-acl)# no <1-65535>

(config-ip-ext-acl)# no {deny|permit} {ip|any} SRCIP DSTIP [log]

(config-ip-ext-acl)# no {deny|permit} {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT] [log]

(config-ip-ext-acl)# no {deny|permit} icmp SRCIP DSTIP [icmp-type ICMPTYPE] [log]


対象名前付き拡張IPアクセスリスト(シーケンス番号対応)にエントリーを新規追加または変更する。
no形式で実行した場合は指定したエントリーを削除する。

名前付き拡張IPアクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号によって指定したエントリーの並び順に行われる。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。


パラメーター

<1-65535> シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。エントリーの新規追加時にシーケンス番号を省略した場合は、リストの最後尾にエントリーが追加され、既存の最後尾エントリーより大きい直近の4の倍数が新規エントリーの番号として自動採番される(最初にシーケンス番号なしで作成したエントリーの番号は4になる。また、最後尾エントリーの番号が99の状態でシーケンス番号を指定せずに新規エントリーを追加した場合は100になる)。なお、設定を保存して再起動した場合、各エントリーのシーケンス番号は保持されず、4, 8, 12のような4刻みの値に変更される
deny|permit 条件に合致した場合のアクション。拒否(deny)、許可(permit)のどちらかを指定する
ip|any すべてのIPパケットを対象とする場合(上位プロトコルタイプを気にしない場合)に指定する。ipとanyは同義
tcp|udp それぞれ、TCP、UDPパケットだけを対象とする場合に指定する。tcp、udpを指定した場合は、始点・終点ポート番号を指定することができる(どちらか一方でも、また指定しなくてもよい)
icmp ICMPパケットだけを対象とする場合に指定する。icmpを指定した場合は、ICMPメッセージタイプも指定することができる(指定しなくてもよい)
SRCIP 始点IPアドレス。次のいずれかの形式で指定する
A.B.C.D/M IPアドレスとマスク長。この形式の場合、IPアドレスの先頭からマスク長で指定されたビット数だけが比較対象となる
any すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義
SRCPORT 始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は「比較演算子 数値」の形式で指定する。比較演算子には次の4種類がある
eq <0-65535> ~と等しい(EQual to)。たとえば、「eq 80」はポート80とマッチする
lt <0-65535> ~より小さい(Less Than)。たとえば、「lt 1024」は「ポート1024より小さい」の意味で、ポート0~1023にマッチする
gt <0-65535> ~より大きい(Greater Than)。たとえば、「gt 32767」は「ポート32767より大きい」の意味で、ポート32768~65535にマッチする
ne <0-65535> ~と等しくない(Not Equal to)。たとえば、「ne 22」はポート22以外とマッチする
DSTIP 終点IPアドレス。指定方法はSRCIPと同じ。
DSTPORT 終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。
icmp-type ICMPTYPE := icmp-type {<0-0>|<3-5>|<8-8>|<11-18>}
ICMPメッセージタイプ。上位プロトコルタイプとしてicmpを指定したときだけ有効。省略時はすべてのメッセージタイプが対象になる。0(Echo Reply)、3(Destination Unreachable)、4(Source Quench)、5(Redirect)、8(Echo)、11(Time Exceeded)、12(Parameter Problem)、13(Timestamp)、14(Timestamp Reply)、15(Information Request)、16(Information Reply)、17(Address Mask Request)、18(Address Mark Reply)のいずれかを指定する
log 条件に合致したときログに記録を残したい場合に指定する


使用例

■ 172.16.10.5からのマルチキャストだけを許可し、その他は拒否する名前付き拡張IPアクセスリスト「only105」を作成する。

awplus(config)# access-list extended only105
awplus(config-ip-ext-acl)# permit ip 172.16.10.5 any


注意・補足事項

■ 名前付き拡張IPアクセスリストの末尾には「deny any any any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。
■ 現状、拡張IPアクセスリストは、PIM-SMのランデブーポイント(RP)におけるRegisterメッセージのフィルタリング(ip pim accept-register listコマンド)でしか使用しない。そのため、TCP/UDPのポート番号やICMPメッセージタイプなどの条件は、指定はできるが実際には使用されない。


コマンドツリー

access-list extended(list) (グローバルコンフィグモード)
    |
    +- access-list extended(seq entry)(名前付き拡張IPアクセスリストモード)

関連コマンド

access-list(extended)(グローバルコンフィグモード)
ip pim accept-register list(グローバルコンフィグモード)
show access-list(非特権EXECモード)
show ip access-list(非特権EXECモード)



(C) 2012 - 2021 アライドテレシスホールディングス株式会社

PN: 613-001763 Rev.AQ