access-list extended

モード: グローバルコンフィグモード
カテゴリー: トラフィック制御 / アクセスリスト


(config)# [no] access-list extended LISTNAME {deny|permit} {ip|any} SRCIP DSTIP [log]

(config)# [no] access-list extended LISTNAME {deny|permit} {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT] [log]

(config)# [no] access-list extended LISTNAME {deny|permit} icmp SRCIP DSTIP [icmp-type ICMPTYPE] [log]


名前付き拡張IPアクセスリストにエントリーを追加する。
no形式で実行した場合は、名前付き拡張IPアクセスリストから指定したエントリーを削除する。

名前付き拡張IPアクセスリストは、条件となるIPアドレスを2つ指定できるアクセスリスト。始点IPアドレスと終点IPアドレスに基づくアクセス制御やトラフィック分類が本来の用途だが、現状ではPIM-SMのランデブーポイント(RP)におけるRegisterメッセージのフィルタリング(ip pim accept-register listコマンド)でしか使用しない。

Note
本コマンドでは、分類条件としてプロトコルやポート番号、ICMPメッセージタイプなどを指定することもできるが、現状これらは使用されない。

名前付き拡張IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われる。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。


パラメーター

LISTNAME IPアクセスリスト名。63文字以下。大文字小文字を区別する
deny|permit 条件に合致した場合のアクション。拒否(deny)、許可(permit)のどちらかを指定する
ip|any すべてのIPパケットを対象とする場合(上位プロトコルタイプを気にしない場合)に指定する。ipとanyは同義
tcp|udp それぞれ、TCP、UDPパケットだけを対象とする場合に指定する。tcp、udpを指定した場合は、始点・終点ポート番号を指定することができる(どちらか一方でも、また指定しなくてもよい)
icmp ICMPパケットだけを対象とする場合に指定する。icmpを指定した場合は、ICMPメッセージタイプも指定することができる(指定しなくてもよい)
SRCIP 始点IPアドレス。次のいずれかの形式で指定する
A.B.C.D/M IPアドレスとマスク長。この形式の場合、IPアドレスの先頭からマスク長で指定されたビット数だけが比較対象となる
any すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義
SRCPORT 始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は「比較演算子 数値」の形式で指定する。比較演算子には次の4種類がある
eq <0-65535> ~と等しい(EQual to)。たとえば、「eq 80」はポート80とマッチする
lt <0-65535> ~より小さい(Less Than)。たとえば、「lt 1024」は「ポート1024より小さい」の意味で、ポート0~1023にマッチする
gt <0-65535> ~より大きい(Greater Than)。たとえば、「gt 32767」は「ポート32767より大きい」の意味で、ポート32768~65535にマッチする
ne <0-65535> ~と等しくない(Not Equal to)。たとえば、「ne 22」はポート22以外とマッチする
DSTIP 終点IPアドレス。指定方法はSRCIPと同じ。
DSTPORT 終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。
icmp-type ICMPTYPE := icmp-type {<0-0>|<3-5>|<8-8>|<11-18>}
ICMPメッセージタイプ。上位プロトコルタイプとしてicmpを指定したときだけ有効。省略時はすべてのメッセージタイプが対象になる。0(Echo Reply)、3(Destination Unreachable)、4(Source Quench)、5(Redirect)、8(Echo)、11(Time Exceeded)、12(Parameter Problem)、13(Timestamp)、14(Timestamp Reply)、15(Information Request)、16(Information Reply)、17(Address Mask Request)、18(Address Mark Reply)のいずれかを指定する
log 条件に合致したときログに記録を残したい場合に指定する


使用例

■ 172.16.10.5からのマルチキャストだけを許可し、その他は拒否する拡張IPアクセスリスト「only105」を作成する。

awplus(config)# access-list extended only105 permit ip 172.16.10.5 any


注意・補足事項

■ 名前付き拡張IPアクセスリストの末尾には「deny any any any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。

■ 現状、拡張IPアクセスリストは、PIM-SMのランデブーポイント(RP)におけるRegisterメッセージのフィルタリング(ip pim accept-register listコマンド)でしか使用しない。そのため、TCP/UDPのポート番号やICMPメッセージタイプなどの条件は、指定はできるが実際には使用されない。


コマンドツリー

configure terminal (特権EXECモード)
    |
    +- access-list extended(グローバルコンフィグモード)

関連コマンド

access-list(extended)(グローバルコンフィグモード)
ip pim accept-register list(グローバルコンフィグモード)
show access-list(非特権EXECモード)
show ip access-list(非特権EXECモード)



(C) 2015 - 2017 アライドテレシスホールディングス株式会社

PN: 613-002105 Rev.L