access-list(extended)
- モード
- グローバルコンフィグモード
- カテゴリー
- トラフィック制御 / アクセスリスト
構文
(config)# [no] access-list {<100-199>|<2000-2699>} {deny|permit} ip SRCIP DSTIP
コマンド説明
番号付き拡張IPアクセスリストにエントリーを追加する。no形式で実行した場合は、番号付き拡張IPアクセスリストからエントリーを削除する。
番号付き拡張IPアクセスリストは、条件となるIPアドレスを2つ指定できるアクセスリスト。始点IPアドレスと終点IPアドレスに基づくアクセス制御やトラフィック分類が本来の用途だが、現状ではPIM-SMのランデブーポイント(RP)におけるRegisterメッセージのフィルタリング(ip pim accept-register listコマンド)と、MSDPにおけるSA(Source-Active)メッセージのフィルタリング(ip msdp peer rp-filterコマンド、ip msdp peer sg-filterコマンド)でしか使用しない。
番号付き拡張IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われる。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。
パラメーター
<100-199>|<2000-2699>- アクセスリスト番号。100~199と2000~2699が拡張IPアクセスリストの番号となる
deny|permit- 条件に合致した場合のアクション。拒否(deny)、許可(permit)のどちらかを指定する
SRCIP- 始点IPアドレス。次のいずれかの形式で指定する
A.B.C.D W.X.Y.Z- IPアドレスとワイルドカードマスク。W.X.Y.Zはワイルドカードマスク(リバースマスクまたはORマスクともいう)といい、対象アドレスとA.B.C.Dの比較時に無視したいビット(ワイルドカードとして扱いたいビット)を指定する。比較対象ビットを指定する通常のマスク(ANDマスク)の各ビットを反転させたものと考えればよい。たとえば、192.168.10.0/24の範囲(192.168.10.0~192.168.10.255)にマッチさせたい場合、先頭24ビットを比較対象にするということは、末尾8ビットを無視すればよいので、「0.0.0.255」を指定する。「0.0.0.0」を指定した場合は対象アドレスとA.B.C.Dが完全一致したときだけマッチする(「host A.B.C.D」と同義)
host A.B.C.D- A.B.C.Dが単一ホストアドレスであることを示す指定。「A.B.C.D 0.0.0.0」と同義
any- すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0 255.255.255.255」と同義
DSTIP- 終点IPアドレス。指定方法はSRCIPと同じ
使用例
172.16.10.100からのマルチキャストを拒否する番号付き拡張IPアクセスリスト「100」を作成する。awplus(config)# access-list 100 deny ip host 172.16.10.100 any awplus(config)# access-list 100 permit ip any any
注意・補足事項
番号付き拡張IPアクセスリストの末尾には「deny ip any any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。現状、拡張IPアクセスリストは、PIM-SMのランデブーポイント(RP)におけるRegisterメッセージのフィルタリング(ip pim accept-register listコマンド)と、MSDPにおけるSA(Source-Active)メッセージのフィルタリング(ip msdp peer rp-filterコマンド、ip msdp peer sg-filterコマンド)でしか使用しない。
通常のマスク(ANDマスク)が「w.x.y.z」(w、x、y、zはそれぞれ0~255の数値)であると仮定した場合、ワイルドカードマスク(ORマスク)「W.X.Y.Z」のW、X、Y、Zは、それぞれ「W = 255 - w」、「X = 255 - x」、「Y = 255 - y」、「Z = 255 - z」で求められる。
たとえば、通常のマスク「255.255.255.0」に対応するワイルドカードマスクは「0.0.0.255」であり、通常のマスク「255.255.255.248」に対応するワイルドカードマスクは「0.0.0.7」となる。