[index] CentreCOM ARX640S コマンドリファレンス 5.1.5
モード: 標準IPアクセスリストモード
カテゴリー: ファイアウォール / IPフィルター
(config-acl-ip)# [dynamic] ACTION SRCIP [log] [sequence <1-65535>]
(config-acl-ip)# no sequence <1-65535>
(config-acl-ip)# no [dynamic] ACTION SRCIP [log]
対象標準IPアクセスリストにエントリーを追加する。または、既存エントリーを変更する。
no形式で実行した場合は指定したエントリーを削除する。
標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号順に行われる。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。
dynamic |
条件に合致した場合にパケットフローの情報を登録し、戻りのパケットを通す | ||||
ACTION |
条件に合致した場合のアクション。以下から選択する | ||||
deny |
パケットを破棄する | ||||
permit |
パケットを許可する | ||||
SRCIP |
IPアドレス(通常始点IPアドレス)または経路エントリーの宛先プレフィックス。次のいずれかの形式で指定する | ||||
host A.B.C.D |
IPアドレス | ||||
A.B.C.D/M [exact-match] |
IPアドレスとマスク長。マスク長Mは、対象アドレスとA.B.C.Dの先頭何ビットを比較するかを指定する。なお、経路エントリーをフィルタリングする場合、マスク長Mは経路エントリーのプレフィックス長とも比較される。exact-matchオプションを指定した場合は、プレフィックス長がMのときだけマッチする。exact-matchオプションを指定しなかった場合は、プレフィックス長がM以上(M〜32)のときにマッチする。exact-matchオプションは、経路エントリーをフィルタリング対象とする場合にだけ有効 | ||||
any |
すべてのIPアドレスまたはプレフィックスに合致させる場合に指定する。「0.0.0.0/0」と同義 | ||||
log |
条件に合致したときログに記録を残したい場合に指定する(本オプションで記録されるログはnoticeレベルになる) | ||||
sequence <1-65535> |
シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。既存エントリーと同じ番号を指定した場合は、既存エントリーの内容を書き換える。エントリーの新規作成時に省略した場合は、リストの最後にエントリーが追加され、シーケンス番号は既存の最後尾エントリーの番号+10になる(最初のエントリーは10になる)。本パラメーターはコマンド行の先頭、末尾のどちらにでも置ける | ||||
■ 標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。
■ no形式でエントリーを削除しても、他のエントリーのシーケンス番号は変更されない(削除されたエントリーのシーケンス番号が空きになる)。シーケンス番号を振りなおすにはaccess-list ip resequenceコマンドを使う。
■ exact-matchオプションは、OSPF、BGPの経路フィルタリング時のみ有効(RIPの経路フィルタリングではサポート対象外)。
■ 本コマンドを経路エントリーのフィルタリングに用いる場合、「0.0.0.0/0 exact-match」はデフォルト経路(0.0.0.0/0)の指定となるが、「0.0.0.0/0」(exact-matchの指定なし)はすべての経路エントリー(anyと同じ)を指定することになるので注意。
access-list ip standard(list) (グローバルコンフィグモード)
|
+- access-list ip standard(rule entry)(標準IPアクセスリストモード)
access-list ip resequence(グローバルコンフィグモード)
show access-list ip(特権EXECモード)
(C) 2011 - 2014 アライドテレシスホールディングス株式会社
PN: 613-001491 Rev.E