access-list(standard)
- モード
- グローバルコンフィグモード
- カテゴリー
- トラフィック制御 / アクセスリスト
構文
(config)# [no] access-list {<1-99>|<1300-1999>} {deny|permit} SRCIP
コマンド説明
番号付き標準IPアクセスリストにエントリーを追加する。no形式で実行した場合は、番号付き標準IPアクセスリストからエントリーを削除する。
番号付き標準IPアクセスリストは、条件となるIPアドレスを1つだけ指定できるアクセスリスト。
番号付き標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われる。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われるか結果(permitかdeny)が返され、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。
なお、ルートマップのmatch節で番号付き標準IPアクセスリストを使用するときは、結果が「permit」ならルートマップの該当エントリーにマッチしたと見なされ、結果が「deny」の場合はマッチしたと見なされない。
パラメーター
<1-99>|<1300-1999>- アクセスリスト番号。1~99と1300~1999が標準IPアクセスリストの番号となる
deny|permit- 条件に合致した場合のアクション。拒否(deny)、許可(permit)のどちらかを指定する
SRCIP- IPアドレス(通常始点IPアドレス)または経路エントリーの宛先プレフィックス(アドレス部分)。次のいずれかの形式で指定する
A.B.C.D [W.X.Y.Z]- IPアドレスとワイルドカードマスク。W.X.Y.Zはワイルドカードマスク(リバースマスクまたはORマスクともいう)といい、対象アドレスとA.B.C.Dの比較時に無視したいビット(ワイルドカードとして扱いたいビット)を指定する。比較対象ビットを指定する通常のマスク(ANDマスク)の各ビットを反転させたものと考えればよい。たとえば、192.168.10.0/24の範囲(192.168.10.0~192.168.10.255)にマッチさせたい場合、先頭24ビットを比較対象にするということは、末尾8ビットを無視すればよいので、「0.0.0.255」を指定する。「0.0.0.0」を指定した場合は対象アドレスとA.B.C.Dが完全一致したときだけマッチする(「host A.B.C.D」と同義)。また、省略時も「0.0.0.0」と見なされる
host A.B.C.D- A.B.C.Dが単一ホストアドレスであることを示す指定。「A.B.C.D 0.0.0.0」や「A.B.C.D」と同義
any- すべてのIPアドレスまたはプレフィックスに合致させる場合に指定する。「0.0.0.0 255.255.255.255」と同義
使用例
IPアドレスの先頭3オクテットが「192.168.10」の場合にこれを拒否(deny)し、それ以外を許可(permit)する番号付き標準IPアクセスリスト「1」を作成する。awplus(config)# access-list 1 deny 192.168.10.0 0.0.0.255 awplus(config)# access-list 1 permit any
注意・補足事項
番号付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。本コマンドを経路エントリーのフィルタリングに用いる場合、宛先プレフィックスのアドレス部分だけが比較対象となり、プレフィックス長(サブネットマスクの長さ)は比較対象にならない。経路エントリー「192.168.10.0/28」を例にするなら、「192.168.10.0」の部分に対してマッチングを行うことはできるが、「/28」の部分に対してマッチングを行うことはできない。
本コマンドを経路エントリーのフィルタリングに用いる場合、「0.0.0.0 0.0.0.0」や「0.0.0.0」、「host 0.0.0.0」はデフォルト経路(0.0.0.0/0)の指定となるが、「0.0.0.0 255.255.255.255」はすべての経路エントリー(anyと同じ)を指定することになるので注意。
通常のマスク(ANDマスク)が「w.x.y.z」(w、x、y、zはそれぞれ0~255の数値)であると仮定した場合、ワイルドカードマスク(ORマスク)「W.X.Y.Z」のW、X、Y、Zは、それぞれ「W = 255 - w」、「X = 255 - x」、「Y = 255 - y」、「Z = 255 - z」で求められる。
たとえば、通常のマスク「255.255.255.0」に対応するワイルドカードマスクは「0.0.0.255」であり、通常のマスク「255.255.255.248」に対応するワイルドカードマスクは「0.0.0.7」となる。
SNMPアクセス制御を使用するときは、denyアクションが動作しない。