[index] CentreCOM x610シリーズ コマンドリファレンス 5.4.1
モード: グローバルコンフィグモード
カテゴリー: トラフィック制御 / アクセスリスト
(config)# [no] access-list {<1-99>|<1300-1999>} {deny|permit} SRCIP
番号付き標準IPアクセスリストにエントリーを追加する。
no形式で実行した場合は、番号付き標準IPアクセスリストからエントリーを削除する。
番号付き標準IPアクセスリストは、条件となるIPアドレスを1つだけ指定できるアクセスリスト。始点IPアドレスに基づくアクセス制御やトラフィック分類が本来の用途だが、経路制御プロトコルによってやりとりされる経路情報をフィルタリングするときにも使う。また、マルチキャスト関連機能において、設定対象のグループアドレスを範囲指定する場合にも使用する。
番号付き標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われる。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われるか結果(permitかdeny)が返され、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。
なお、ルートマップのmatch節で番号付き標準IPアクセスリストを使用するときは、結果が「permit」ならルートマップの該当エントリーにマッチしたと見なされ、結果が「deny」の場合はマッチしたと見なされない。
<1-99>|<1300-1999> |
アクセスリスト番号。1〜99と1300〜1999が標準IPアクセスリストの番号となる | ||||
deny|permit |
条件に合致した場合のアクション。拒否(deny)、許可(permit)のどちらかを指定する | ||||
SRCIP |
IPアドレス(通常始点IPアドレス)または経路エントリーの宛先プレフィックス(アドレス部分)。次のいずれかの形式で指定する | ||||
A.B.C.D [W.X.Y.Z] |
IPアドレスとワイルドカードマスク。W.X.Y.Zはワイルドカードマスク(リバースマスクまたはORマスクともいう)といい、対象アドレスとA.B.C.Dの比較時に無視したいビット(ワイルドカードとして扱いたいビット)を指定する。比較対象ビットを指定する通常のマスク(ANDマスク)の各ビットを反転させたものと考えればよい。たとえば、192.168.10.0/24の範囲(192.168.10.0〜192.168.10.255)にマッチさせたい場合、先頭24ビットを比較対象にするということは、末尾8ビットを無視すればよいので、「0.0.0.255」を指定する。「0.0.0.0」を指定した場合は対象アドレスとA.B.C.Dが完全一致したときだけマッチする(「host A.B.C.D」と同義)。また、省略時も「0.0.0.0」と見なされる | ||||
host A.B.C.D |
A.B.C.Dが単一ホストアドレスであることを示す指定。「A.B.C.D 0.0.0.0」や「A.B.C.D」と同義 | ||||
any |
すべてのIPアドレスまたはプレフィックスに合致させる場合に指定する。「0.0.0.0 255.255.255.255」と同義 | ||||
■ IPアドレスや経路エントリー(アドレス部分)の先頭3オクテットが「192.168.10」の場合にこれを拒否(deny)し、それ以外を許可(permit)する番号付き標準IPアクセスリスト「1」を作成する。
awplus(config)# access-list 1 deny 192.168.10.0 0.0.0.255 ↓ awplus(config)# access-list 1 permit any ↓ |
■ 番号付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。
■ 本コマンドを経路エントリーのフィルタリングに用いる場合、宛先プレフィックスのアドレス部分だけが比較対象となり、プレフィックス長(サブネットマスクの長さ)は比較対象にならない。経路エントリー「192.168.10.0/28」を例にするなら、「192.168.10.0」の部分に対してマッチングを行うことはできるが、「/28」の部分に対してマッチングを行うことはできない。
■ 本コマンドを経路エントリーのフィルタリングに用いる場合、「0.0.0.0 0.0.0.0」や「0.0.0.0」、「host 0.0.0.0」はデフォルト経路(0.0.0.0/0)の指定となるが、「0.0.0.0 255.255.255.255」はすべての経路エントリー(anyと同じ)を指定することになるので注意。
■ 通常のマスク(ANDマスク)が「w.x.y.z」(w、x、y、zはそれぞれ0〜255の数値)であると仮定した場合、ワイルドカードマスク(ORマスク)「W.X.Y.Z」のW、X、Y、Zは、それぞれ「W = 255 - w」、「X = 255 - x」、「Y = 255 - y」、「Z = 255 - z」で求められる。
たとえば、通常のマスク「255.255.255.0」に対応するワイルドカードマスクは「0.0.0.255」であり、通常のマスク「255.255.255.248」に対応するワイルドカードマスクは「0.0.0.7」となる。
configure terminal (特権EXECモード)
|
+- access-list(standard)(グローバルコンフィグモード)
access-list standard(グローバルコンフィグモード)
area filter-list(OSPFモード)
distribute-list(RIPモード)
ip igmp access-group(インターフェースモード)
ip igmp immediate-leave(インターフェースモード)
ip igmp limit(グローバルコンフィグモード)
ip igmp limit(インターフェースモード)
ip pim cisco-register-checksum(グローバルコンフィグモード)
ip pim neighbor-filter(インターフェースモード)
ip pim rp-address(グローバルコンフィグモード)
ip pim rp-candidate(グローバルコンフィグモード)
ip pim spt-threshold(グローバルコンフィグモード)
match ip address(ルートマップモード)
match ip next-hop(ルートマップモード)
ntp access-group(グローバルコンフィグモード)
offset-list(RIPモード)
show access-list(特権EXECモード)
show ip access-list(特権EXECモード)
snmp-server community(グローバルコンフィグモード)
(C) 2011 アライドテレシスホールディングス株式会社
PN: 613-001613 Rev.A