[index] CentreCOM IE200シリーズ コマンドリファレンス 5.5.1
モード: 番号付き標準IPアクセスリストモード
カテゴリー: トラフィック制御 / アクセスリスト
(config-ip-std-acl)# [<1-65535>] {deny|permit} SRCIP
(config-ip-std-acl)# no <1-65535>
(config-ip-std-acl)# no {deny|permit} SRCIP
対象番号付き標準IPアクセスリスト(シーケンス番号対応)にエントリーを新規追加または変更する。
no形式で実行した場合は指定したエントリーを削除する。
番号付き標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号によって指定したエントリーの並び順に行われる。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われるか結果(permitかdeny)が返され、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。
<1-65535> |
シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。エントリーの新規追加時にシーケンス番号を省略した場合は、リストの最後尾にエントリーが追加され、既存の最後尾エントリーより大きい直近の4の倍数が新規エントリーの番号として自動採番される(最初にシーケンス番号なしで作成したエントリーの番号は4になる。また、最後尾エントリーの番号が99の状態でシーケンス番号を指定せずに新規エントリーを追加した場合は100になる)。なお、設定を保存して再起動した場合、各エントリーのシーケンス番号は保持されず、4, 8, 12のような4刻みの値に変更される | ||||
deny|permit |
条件に合致した場合のアクション。拒否(deny)、許可(permit)のどちらかを指定する | ||||
SRCIP |
IPアドレス(通常始点IPアドレス)。次のいずれかの形式で指定する | ||||
A.B.C.D [W.X.Y.Z] |
IPアドレスとワイルドカードマスク。W.X.Y.Zはワイルドカードマスク(リバースマスクまたはORマスクともいう)といい、対象アドレスとA.B.C.Dの比較時に無視したいビット(ワイルドカードとして扱いたいビット)を指定する。比較対象ビットを指定する通常のマスク(ANDマスク)の各ビットを反転させたものと考えればよい。たとえば、192.168.10.0/24の範囲(192.168.10.0~192.168.10.255)にマッチさせたい場合、先頭24ビットを比較対象にするということは、末尾8ビットを無視すればよいので、「0.0.0.255」を指定する。「0.0.0.0」を指定した場合は対象アドレスとA.B.C.Dが完全一致したときだけマッチする(「host A.B.C.D」と同義)。また、省略時も「0.0.0.0」と見なされる。なお、ワイルドカードマスクは「0.0.255.255」のような末尾指定のみ有効(「A.B.C.D/M」形式の動作と同等)。「0.0.255.0」のように中間指定した場合は「0.0.255.255」と同等の動作となる。よって、「192.168.0.0 0.0.255.0」の該当範囲は「192.168.0.0/16」(192.168.0.0~192.168.255.255)となる | ||||
host A.B.C.D |
A.B.C.Dが単一ホストアドレスであることを示す指定。「A.B.C.D 0.0.0.0」や「A.B.C.D」と同義 | ||||
any |
すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0 255.255.255.255」と同義 | ||||
■ IPアドレスの先頭3オクテットが「192.168.10」の場合にこれを拒否(deny)し、それ以外を許可(permit)する番号付き標準IPアクセスリスト「1」を作成する。
awplus(config)# access-list 1 ↓ awplus(config-ip-std-acl)# deny 192.168.10.0 0.0.0.255 ↓ awplus(config-ip-std-acl)# permit any ↓
■ 番号付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。
■ 通常のマスク(ANDマスク)が「w.x.y.z」(w、x、y、zはそれぞれ0~255の数値)であると仮定した場合、ワイルドカードマスク(ORマスク)「W.X.Y.Z」のW、X、Y、Zは、それぞれ「W = 255 - w」、「X = 255 - x」、「Y = 255 - y」、「Z = 255 - z」で求められる。
たとえば、通常のマスク「255.255.255.0」に対応するワイルドカードマスクは「0.0.0.255」であり、通常のマスク「255.255.255.248」に対応するワイルドカードマスクは「0.0.0.7」となる。
■ SNMPアクセス制御を使用するときは、denyアクションが動作しない。
access-list(standard)(list) (グローバルコンフィグモード)
|
+- access-list(standard)(seq entry)(番号付き標準IPアクセスリストモード)
access-list standard(グローバルコンフィグモード)
ip igmp access-group(インターフェースモード)
show access-list(非特権EXECモード)
show ip access-list(非特権EXECモード)
snmp-server community(グローバルコンフィグモード)
vty access-class(グローバルコンフィグモード)
(C) 2016 - 2021 アライドテレシスホールディングス株式会社
PN: 613-002310 Rev.AB