access-list standard

モード: グローバルコンフィグモード
カテゴリー: トラフィック制御 / アクセスリスト


(config)# [no] access-list standard LISTNAME {deny|permit} SRCIP


名前付き標準IPアクセスリストにエントリーを追加する。
no形式で実行した場合は、名前付き標準IPアクセスリストから指定したエントリーを削除する。

名前付き標準IPアクセスリストは、条件となるIPアドレスを1つだけ指定できるアクセスリスト。始点IPアドレスに基づくアクセス制御やトラフィック分類が本来の用途だが、経路制御プロトコルによってやりとりされる経路情報をフィルタリングするときにも使う。また、マルチキャスト関連機能において、設定対象のグループアドレスを範囲指定する場合にも使用する。

名前付き標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われる。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われるか結果(permitかdeny)が返され、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。

なお、ルートマップのmatch節で名前付き標準IPアクセスリストを使用するときは、結果が「permit」ならルートマップの該当エントリーにマッチしたと見なされ、結果が「deny」の場合はマッチしたと見なされない。


パラメーター

LISTNAME IPアクセスリスト名。63文字以下。大文字小文字を区別する
deny|permit 条件に合致した場合のアクション。拒否(deny)、許可(permit)のどちらかを指定する
SRCIP IPアドレス(通常始点IPアドレス)または経路エントリーの宛先プレフィックス。次のいずれかの形式で指定する
A.B.C.D/M [exact-match] IPアドレスとマスク長。マスク長Mは、対象アドレスとA.B.C.Dの先頭何ビットを比較するかを指定する。なお、経路エントリーをフィルタリングする場合、マスク長Mは経路エントリーのプレフィックス長とも比較される。exact-matchオプションを指定した場合は、プレフィックス長がMのときだけマッチする。exact-matchオプションを指定しなかった場合は、プレフィックス長がM以上(M~32)のときにマッチする。exact-matchオプションは、経路エントリーをフィルタリング対象とする場合にだけ有効
any すべてのIPアドレスまたはプレフィックスに合致させる場合に指定する。「0.0.0.0/0」と同義


使用例

■ 192.168.10.2と192.168.20.2にだけアクセスを許可する。

awplus(config)# access-list standard n1 permit 192.168.10.2/32
awplus(config)# access-list standard n1 permit 192.168.20.2/32

■ 192.168.30.0/24からのアクセスを拒否し、その他は許可する。
awplus(config)# access-list standard n2 deny 192.168.30.0/24
awplus(config)# access-list standard n2 permit any

■ 宛先プレフィックス(アドレス部分)の先頭オクテットが「10」で、プレフィックス長が8~32ビットの経路エントリーを破棄し、その他は許可する。
awplus(config)# access-list standard n1 deny 10.0.0.0/8
awplus(config)# access-list standard n1 permit any

■ 宛先プレフィックス(アドレス部分)の先頭25ビットが「192.168.10.128」で、プレフィックス長が25ビットの経路エントリーを破棄し、その他は許可する。具体的には「192.168.10.128/25」と完全一致する経路エントリーだけを破棄する。
awplus(config)# access-list standard n5 deny 192.168.10.128/25 exact-match
awplus(config)# access-list standard n5 permit any


注意・補足事項

■ 名前付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。

■ 本コマンドを経路エントリーのフィルタリングに用いる場合、「0.0.0.0/0 exact-match」はデフォルト経路(0.0.0.0/0)の指定となるが、「0.0.0.0/0」(exact-matchの指定なし)はすべての経路エントリー(anyと同じ)を指定することになるので注意。


コマンドツリー

configure terminal (特権EXECモード)
    |
    +- access-list standard(グローバルコンフィグモード)

関連コマンド

access-list(standard)(グローバルコンフィグモード)
area filter-list(OSPFモード)
distribute-list(OSPFモード)
distribute-list(RIPモード)
ip igmp access-group(インターフェースモード)
ip igmp immediate-leave(インターフェースモード)
ip igmp limit(インターフェースモード)
ip igmp limit(グローバルコンフィグモード)
ip igmp ssm(グローバルコンフィグモード)
ip igmp ssm-map static(グローバルコンフィグモード)
ip pim cisco-register-checksum(グローバルコンフィグモード)
ip pim neighbor-filter(インターフェースモード)
ip pim rp-address(グローバルコンフィグモード)
ip pim rp-candidate(グローバルコンフィグモード)
ip pim spt-threshold(グローバルコンフィグモード)
ip pim ssm(グローバルコンフィグモード)
match ip address(ルートマップモード)
match ip next-hop(ルートマップモード)
offset-list(RIPモード)
show access-list(非特権EXECモード)
show ip access-list(非特権EXECモード)



(C) 2015 - 2017 アライドテレシスホールディングス株式会社

PN: 613-002105 Rev.L