[index] CentreCOM x610シリーズ コマンドリファレンス 5.4.1

access-list(hardware ip)

モード: グローバルコンフィグモード
カテゴリー: トラフィック制御 / アクセスリスト


(config)# access-list <3000-3699> ACTION ip SRCIP DSTIP

(config)# access-list <3000-3699> ACTION {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT]

(config)# access-list <3000-3699> ACTION icmp SRCIP DSTIP [icmp-type ICMPTYPE]

(config)# access-list <3000-3699> ACTION proto <1-255> SRCIP DSTIP

(config)# no access-list <3000-3699>


ハードウェアIPアクセスリストを新規作成または変更する。
no形式で実行した場合は指定したハードウェアIPアクセスリストを削除する。

ハードウェアIPアクセスリストは、スイッチチップ(ASIC)でIPパケットのフィルタリングやトラフィック分類を行うためのアクセスリスト。

他のアクセスリストとは異なり、「リスト」とはいうもののエントリーは1つしか持てない。


パラメーター

<3000-3699> アクセスリスト番号。3000〜3699がハードウェアIPアクセスリストの番号となる
ACTION 条件に合致した場合のアクション。以下から選択する
deny パケットを破棄する
permit パケットを許可(通常転送)する
copy-to-cpu パケットを許可(通常転送)した上で、パケットのコピーをCPUにも転送する
send-to-cpu パケットを破棄した上で、パケットのコピーをCPUにだけ転送する
copy-to-mirror パケットを許可(通常転送)した上で、パケットのコピーをミラーポートから出力する。あらかじめ、mirror interfaceコマンドでミラーポートを設定しておく必要がある。なお、本アクションを使用する場合、mirror interfaceコマンドではソースポートとしてダミーポート(リンクダウンさせたままで使用しないポート)を1ポートだけ指定すること(トラフィックの向きは無視されるのでどのように指定してもよい)
ip すべてのIPパケットを対象とする場合(上位プロトコルタイプを気にしない場合)に指定する
tcp|udp それぞれ、TCP、UDPパケットだけを対象とする場合に指定する。tcp、udpを指定した場合は、始点・終点ポート番号を指定することができる(どちらか一方でも、また指定しなくてもよい)
icmp ICMPパケットだけを対象とする場合に指定する。icmpを指定した場合は、ICMPメッセージタイプも指定することができる(指定しなくてもよい)
proto <1-255> 特定の上位プロトコルタイプ(IPヘッダーのプロトコルタイプフィールドの値)を持つパケットだけを対象とする場合に指定する。IPプロトコルタイプは10進数で指定する
SRCIP 始点IPアドレス。次のいずれかの形式で指定する
A.B.C.D/M IPアドレスとマスク長。この形式の場合、IPアドレスの先頭からマスク長で指定されたビット数だけが比較対象となる
A.B.C.D W.X.Y.Z IPアドレスとワイルドカードマスク。W.X.Y.Zはワイルドカードマスク(リバースマスクまたはORマスクともいう)といい、対象アドレスとA.B.C.Dの比較時に無視したいビット(ワイルドカードとして扱いたいビット)を指定する。比較対象ビットを指定する通常のマスク(ANDマスク)の各ビットを反転させたものと考えればよい。たとえば、192.168.10.0/24の範囲(192.168.10.0〜192.168.10.255)にマッチさせたい場合、先頭24ビットを比較対象にするということは、末尾8ビットを無視すればよいので、「0.0.0.255」を指定する。「0.0.0.0」を指定した場合は対象アドレスとA.B.C.Dが完全一致したときだけマッチする(「A.B.C.D/32」や「host A.B.C.D」と同義)
host A.B.C.D A.B.C.Dが単一ホストアドレスであることを示す指定。「A.B.C.D/32」や「A.B.C.D 0.0.0.0」と同義
any すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」や「0.0.0.0 255.255.255.255」と同義
SRCPORT 始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は「比較演算子 数値」または「range 下限数値 上限数値」の形式で指定する。具体的には次の5つの指定方法がある
eq <0-65535> 〜と等しい(EQual to)。たとえば、「eq 80」はポート80とマッチする
lt <0-65535> 〜より小さい(Less Than)。たとえば、「lt 1024」は「ポート1024より小さい」の意味で、ポート0〜1023にマッチする
gt <0-65535> 〜より大きい(Greater Than)。たとえば、「gt 32767」は「ポート32767より大きい」の意味で、ポート32768〜65535にマッチする
ne <0-65535> 〜と等しくない(Not Equal to)。たとえば、「ne 22」はポート22以外とマッチする
range <0-65535> <0-65535> 任意の範囲を指定。たとえば、「range 0 80」はポート0〜80にマッチする
DSTIP 終点IPアドレス。指定方法はSRCIPと同じ。
DSTPORT 終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。
icmp-type ICMPTYPE := icmp-type {<0-0>|<3-5>|<8-8>|<11-18>}
ICMPメッセージタイプ。上位プロトコルタイプとしてicmpを指定したときだけ有効。省略時はすべてのメッセージタイプが対象になる。0(Echo Reply)、3(Destination Unreachable)、4(Source Quench)、5(Redirect)、8(Echo)、11(Time Exceeded)、12(Parameter Problem)、13(Timestamp)、14(Timestamp Reply)、15(Information Request)、16(Information Reply)、17(Address Mask Request)、18(Address Mark Reply)のいずれかを指定する


使用例

■ 172.16.10.1へのTelnet接続を禁止するハードウェアIPアクセスリスト3000を作成する。

awplus(config)# access-list 3000 deny tcp any 172.16.10.1/32 eq 23


これはワイルドカードマスクを利用して次のように指定しても同じ。

awplus(config)# access-list 3000 deny tcp any 172.16.10.1 0.0.0.0 eq 23


また、hostキーワードを利用して次のように指定しても同じ。

awplus(config)# access-list 3000 deny tcp any host 172.16.10.1 eq 23


■ ハードウェアIPアクセスリスト3000を削除する。

awplus(config)# no access-list 3000



注意・補足事項

■ 通常のマスク(ANDマスク)が「w.x.y.z」(w、x、y、zはそれぞれ0〜255の数値)であると仮定した場合、ワイルドカードマスク(ORマスク)「W.X.Y.Z」のW、X、Y、Zは、それぞれ「W = 255 - w」、「X = 255 - x」、「Y = 255 - y」、「Z = 255 - z」で求められる。
たとえば、通常のマスク「255.255.255.0」に対応するワイルドカードマスクは「0.0.0.255」であり、通常のマスク「255.255.255.248」に対応するワイルドカードマスクは「0.0.0.7」となる。


コマンドツリー

configure terminal (特権EXECモード)
    |
    +- access-list(hardware ip)(グローバルコンフィグモード)


関連コマンド

access-list(hardware mac)(グローバルコンフィグモード)
access-group(インターフェースモード)
match access-group(クラスマップモード)
mirror interface(インターフェースモード)
show access-list(特権EXECモード)
show interface access-group(非特権EXECモード)



(C) 2011 アライドテレシスホールディングス株式会社

PN: 613-001613 Rev.A