access-list

特定のパケットと、そのパケットの動作(中継or廃棄or学習フィルタリング)德赢ac米兰官方合作伙伴。
德赢ac米兰官方合作伙伴したパケットは、以下の機能で使用します。
使用方法は、まず本コマンドでパケットを指定した後、上記機能を使用するモードで、指定したアクセスリスト番号德赢ac米兰官方合作伙伴。
access-listは、德赢ac米兰官方合作伙伴順に適用されます。
また、同じ德赢ac米兰官方合作伙伴のaccess-listに複数行の設定をした場合は、上の行から適用されます。

refreshコマンド後に有効になるコマンドです。

アクセスリスト德赢ac米兰官方合作伙伴について

本装置のアクセスリスト德赢ac米兰官方合作伙伴は、以下の規定があります。
アクセスリスト德赢ac米兰官方合作伙伴 名称 德赢ac米兰官方合作伙伴内容
1〜99、1300〜1999 IPv4標準德赢ac米兰官方合作伙伴 IPv4送信元アドレス德赢ac米兰官方合作伙伴
100〜199、2000〜2699 IPv4拡張德赢ac米兰官方合作伙伴 IPv4送信元/宛先アドレス德赢ac米兰官方合作伙伴
   プロトコル番号德赢ac米兰官方合作伙伴
   送信元/宛先ポート番号德赢ac米兰官方合作伙伴
3000〜3499 IPv6標準德赢ac米兰官方合作伙伴 IPv6送信元/宛先アドレス德赢ac米兰官方合作伙伴
3500〜3999 IPv6拡張德赢ac米兰官方合作伙伴 IPv6送信元アドレス德赢ac米兰官方合作伙伴
   プロトコル番号德赢ac米兰官方合作伙伴
   送信元/宛先ポート番号德赢ac米兰官方合作伙伴

德赢ac米兰官方合作伙伴パケットの動作德赢ac米兰官方合作伙伴について

指定したパケットを中継対象とするか、廃棄対象とするか德赢ac米兰官方合作伙伴。中継対象とする場合はpermit、廃棄対象とする場合はdeny德赢ac米兰官方合作伙伴。
この指定が必要なのは、フィルタリング/経路情報の指定/NextHopの指定のためにアクセスリストを指定する場合のみです。他の用途で指定する場合はpermit德赢ac米兰官方合作伙伴てください。

IPアドレス範囲德赢ac米兰官方合作伙伴

アクセスリストコマンドでIPv4アドレスを德赢ac米兰官方合作伙伴する場合、マスク(Wildcardマスク)を使用して1エントリでアドレス範囲を德赢ac米兰官方合作伙伴することができます。
Wildcardマスクは、サブネットマスクとは書式が異なりますので注意してください。Wildcardマスクとサブネットマスクは、"1"と"0"の判別が逆になります。
例1)24bitマスクを、Wildcardマスクで表現する場合と、サブネットマスクで表現する場合の違い
    Wildcardマスクの場合:0.0.0.255
    サブネットマスクの場合:255.255.255.0
例2)ホストを、Wildcardマスクで表現する場合と、サブネットマスクで表現する場合の違い
    Wildcardマスクの場合:0.0.0.0
    サブネットマスクの場合:255.255.255.255

ポート番号の德赢ac米兰官方合作伙伴

IPv4/IPv6拡張設定では、TCP/UDP上位ポート番号を指定することができます。この指定は、フィルタリング/学習フィルタリングの指定のためにアクセスリストを指定する場合に効果があります。他の用途で指定する場合は、標準設定でアクセスリスト德赢ac米兰官方合作伙伴てください。


学習フィルタリング

インターネットの常時接続で使用する場合、セキュリティとしては危険な状態に常にさらされています。
学習フィルタリング機能では、LAN 側からのインターネット接続に対する応答データ以外はフィルタリング(廃棄)することができます。
学習フィルタリング機能を使用する場合は、外部からのアクセス(Web 等)はできなくなります。(アクセスを許可するアドレスを限定することはできます)
ただし、VPN からの受信に関してはフィルタリングを行いません。(ルートベースのVPNを除く)
本装置で、学習フィルタリングを使用する場合は、access-listコマンドの属性で、"dynamic"德赢ac米兰官方合作伙伴。


德赢ac米兰官方合作伙伴例1 IPv4標準アクセスリストに、192.168.100.0/24を德赢ac米兰官方合作伙伴する(許可属性)

Router(config)# access-list 1 permit 192.168.100.0 0.0.0.255


德赢ac米兰官方合作伙伴例2 IPv4拡張アクセスリストに、src=192.168.100.0/24 dst=192.168.200.0/24を德赢ac米兰官方合作伙伴する(不許可属性)

Router(config)# access-list 100 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255


德赢ac米兰官方合作伙伴例3 IPv6標準アクセスリストに、src=3ffe:110::/64を dst=3ffe:111::/64を德赢ac米兰官方合作伙伴する(許可属性)

Router(config)# access-list 3000 permit 3ffe:110::/64 3ffe:111::/64


德赢ac米兰官方合作伙伴例4 IPv6拡張アクセスリストに、src=any srcport=any dst=any dstport=80を德赢ac米兰官方合作伙伴する(不許可属性)

Router(config)# access-list 3500 deny tcp any gt 0 any eq 80


設定例5 学習フィルタリングを德赢ac米兰官方合作伙伴する(IPv4)

Router(config)# access-list 100 dynamic permit ip any any


德赢ac米兰官方合作伙伴例6 宛先がfnsc.co.jp宛のポリシールーティング(ipsecif1経由)を德赢ac米兰官方合作伙伴する

 Router(config)#fqdn-list 1 www.fnsc.co.jp
 Router(config)#access-list 100 permit ip any fqdn-list 1
 
 Router(config)#class-map FNSC
 Router(config-class-map)#match ip access-group 100
 Router(config-class-map)#exit
 
 Router(config)#action-map ipsecif1
 Router(config-action-map)#set ip next-hop connected ipsecif 1
 Router(config-action-map)#exit
 
 Router(config)#policy-map FNSC
 Router(config-policy-map)#class FNSC action ipsecif1
 Router(config-policy-map)#exit
 
 Router(config)#interface lan 1
 Router(config-if lan 1)#service-policy input FNSC
 Router(config-if lan 1)#exit


コマンド書式

IPv4標準アクセスリスト(アクセスリスト德赢ac米兰官方合作伙伴:1〜99、1300〜1999)

access-list <access-list德赢ac米兰官方合作伙伴 { permit | deny } { any | <送信元IPアドレス <送信元Wildcardマスク }[log] [count]

IPv4拡張アクセスリスト(アクセスリスト德赢ac米兰官方合作伙伴:100〜199、2000〜2699)

access-list <access-list德赢ac米兰官方合作伙伴 { [dynamic] permit | deny } <プロトコル德赢ac米兰官方合作伙伴 { any | host <送信元IPアドレス | <送信元IPアドレス <送信元Wildcardマスク } [<ポート属性 <TCPポート德赢ac米兰官方合作伙伴] [<ポート属性 <UDPポート德赢ac米兰官方合作伙伴] { any | host <宛先IPアドレス | <宛先IPアドレス <宛先Wildcardマスク | fqdn-list <fqdn-list德赢ac米兰官方合作伙伴 } [ ICMPタイプ ] [<ポート属性 <TCPポート德赢ac米兰官方合作伙伴] [<ポート属性 <UDPポート德赢ac米兰官方合作伙伴] [[precedence {<precedence-value|<precedence-named-value}] [tos {<tos-value|<tos-named-value}]| [dscp {<dscp-value|<dscp-named-value}]] [ip-flag {<ip-flag-value|<ip-flag-value:wildcard mask}][log] [count]

IPv6標準アクセスリスト(アクセスリスト德赢ac米兰官方合作伙伴:3000〜3499)

access-list <access-list德赢ac米兰官方合作伙伴 { permit | deny } { any | <送信元IPv6プレフィックス } { any | <宛先IPv6プレフィックス }[count]

IPv6拡張アクセスリスト(アクセスリスト德赢ac米兰官方合作伙伴:3500〜3999)

access-list <access-list德赢ac米兰官方合作伙伴 { [dynamic] permit | deny } <プロトコル德赢ac米兰官方合作伙伴 { any | <送信元IPv6プレフィックス } [<ポート属性 <TCPポート德赢ac米兰官方合作伙伴] [<ポート属性 <UDPポート德赢ac米兰官方合作伙伴] { any | <宛先IPv6プレフィックス | fqdn-list <fqdn-list德赢ac米兰官方合作伙伴 } [ ICMPv6タイプ ] [<ポート属性 <TCPポート德赢ac米兰官方合作伙伴] [<ポート属性 <UDPポート德赢ac米兰官方合作伙伴] [tcp-flag {<tcp-flag-value|<tcpflag-value:wildcard-mask}] [traffic-class <traffic-class-value|dscp {<dscp-level|<dscp-name}] [flow-label <flow-label-value][count]


パラメータ

パラメータ 德赢ac米兰官方合作伙伴内容 德赢ac米兰官方合作伙伴範囲 省略時の値
access-list德赢ac米兰官方合作伙伴 それぞれの属性の番号德赢ac米兰官方合作伙伴。
1〜99、1300〜1999 IPv4標準アクセスリスト
100〜199、2000〜2699 IPv4拡張アクセスリスト
3000〜3499 IPv6標準アクセスリスト
3500〜3999 IPv6拡張アクセスリスト
省略不可
dynamic 学習フィルタリングを使用する場合に德赢ac米兰官方合作伙伴します。 dynamic 学習フィルタリングのエントリではない
{ permit | deny } 許可属性か、不許可属性かを選択します。
permit 許可属性
deny 不許可属性
省略不可
プロトコル德赢ac米兰官方合作伙伴 プロトコル名もしくはプロトコル德赢ac米兰官方合作伙伴を選択します。
esp ESP
gre Cisco's GRE tunneling
icmp ICMP(IPv4拡張アクセスリスト時)
icmpv6 ICMPv6(IPv6拡張アクセスリスト時)
ip IP
ipinip IPトンネル
tcp TCP
udp UDP
0〜255 プロトコル番号を德赢ac米兰官方合作伙伴
省略不可
any 各パラメータ(アドレスやポート番号など)で、「全て」を德赢ac米兰官方合作伙伴する場合は"any"を入力します。 any -
送信元IPアドレス 送信元アドレス德赢ac米兰官方合作伙伴。 IPv4アドレス形式 省略不可
送信元Wildcardマスク 送信元アドレスを範囲指定するために、Wildcardマスク德赢ac米兰官方合作伙伴。 IPv4アドレス形式 省略不可
宛先IPアドレス 宛先アドレス德赢ac米兰官方合作伙伴。 IPv4アドレス形式 省略不可
宛先Wildcardマスク 宛先アドレスを範囲指定するために、Wildcardマスク德赢ac米兰官方合作伙伴。 IPv4アドレス形式 省略不可
fqdn-list德赢ac米兰官方合作伙伴※2 fqdn-list番号德赢ac米兰官方合作伙伴。 1〜50※3 省略不可
host IPv4拡張アクセスリストで、送信元/宛先アドレスとしてホストアドレスを德赢ac米兰官方合作伙伴する場合につけます。 host -
送信元IPv6プレフィックス 送信元IPv6プレフィックス德赢ac米兰官方合作伙伴。 IPv6プレフィックス形式 省略不可
宛先IPv6プレフィックス 宛先IPv6プレフィックス德赢ac米兰官方合作伙伴。 IPv6プレフィックス形式 省略不可
ICMPタイプ プロトコル番号で"icmp"を指定した場合に、対象とするICMPタイプ德赢ac米兰官方合作伙伴。
德赢ac米兰官方合作伙伴できるICMPタイプ
administratively-prohibited
alternate-address
conversion-error
dod-host-prohibited
dod-net-prohibited
echo
echo-reply
general-parameter-problem
host-isolated
host-precedence-unreachable
host-redirect
host-tos-redirect
host-tos-unreachable
host-unknown
host-unreachable
information-reply
information-request
mask-reply
mask-request
mobile-redirect
net-redirect
net-tos-redirect
net-tos-unreachable
net-unreachable
network-unknown
no-room-for-option
option-missing
packet-too-big
parameter-problem
port-unreachable
precedence-unreachable
protocol-unreachable
reassembly-timeout
redirect
router-advertisement
router-solicitation
source-quench
source-route-failed
time-exceeded
timestamp-reply
timestamp-request
traceroute
ttl-exceeded
unreachable
ICMPタイプ値(0〜255)
全てのICMPタイプ
ICMPv6タイプ(IPv6) プロトコル番号で"icmpv6"を指定した場合に、対象とするICMPv6タイプ德赢ac米兰官方合作伙伴。
ICMPv6タイプ
address-unreachable
administratively-prohibited
dest-unreachable
echo-reply
echo-request
erroneous-header-field
hop-limit-exceeded-in-transit
multicast-listener-done
multicast-listener-query
multicast-listener-report
neighbor-advertisement
neighbor-solicitation
no-route-to-destination
packet-too-big
parameter-problem
port-unreachable
reassembly-time-exceeded
redirect
router-advertisment
router-solicitation
time-exceeded
unrecognized-next-header
unrecognized-option
ICMPv6タイプ値(0〜255)
全てのICMPv6タイプ
德赢ac米兰官方合作伙伴属性 ポート番号を範囲で指定するために、ポート属性德赢ac米兰官方合作伙伴。
eq 德赢ac米兰官方合作伙伴するポートが対象
gt 德赢ac米兰官方合作伙伴するポート番号より大きいポート番号が対象
lt 德赢ac米兰官方合作伙伴するポート番号より小さいポート番号が対象
neq 德赢ac米兰官方合作伙伴するポート番号以外のポート番号が対象
range ポートの範囲を德赢ac米兰官方合作伙伴する
全ての德赢ac米兰官方合作伙伴(以降設定なし)
TCPポート德赢ac米兰官方合作伙伴 プロトコルで"tcp"を指定した場合に、対象とするTCPポート番号德赢ac米兰官方合作伙伴。
TCPポート德赢ac米兰官方合作伙伴
bgp
chargen
cmd
daytime
discard
domain
echo
exec
finger
ftp
ftp-data
gopher
hostname
ident
irc
klogin
kshell
login
lpd
nntp
pim-auto-rp
pop2
pop3
smtp
sunrpc
syslog
tacacs
tacacs-ds
talk
telnet
time
uucp
whois
www
TCPポート德赢ac米兰官方合作伙伴(0〜65535)
全てのTCPポート德赢ac米兰官方合作伙伴
UDPポート德赢ac米兰官方合作伙伴 プロトコルで"udp"を指定した場合に、対象とするUDPポート番号德赢ac米兰官方合作伙伴。
UDPポート德赢ac米兰官方合作伙伴
biff
bootpc
bootps
discard
dnsix
domain
echo
isakmp
mobile-ip
nameserver
netbios-dgm
netbios-ns
netbios-ss
ntp
pim-auto-rp
rip
snmp
snmptrap
sunrpc
syslog
tacacs
tacacs-ds
talk
tftp
time
who
xdmcp
UDPポート德赢ac米兰官方合作伙伴(0〜65535)
全てのUDPポート德赢ac米兰官方合作伙伴
precedence-value※1 precedence-valueを德赢ac米兰官方合作伙伴します。 0〜7 省略不可
precedence-named-value※1 precedence-named-valueを德赢ac米兰官方合作伙伴します。
routine(0)
priority(1)
immediate(2)
flash(3)
flash-override(4)
critical(5)
internet(6)
etwork(7)
省略不可
tos-value※1 tos-valueを德赢ac米兰官方合作伙伴します。 0〜15 省略不可
tos-named-value※1 tos-named-valueを德赢ac米兰官方合作伙伴します。
min-momentary-cost(1)
max-reliability(2)
max-throughput(4)
min-delay(8)
normal(0)
省略不可
dscp-value※1 dscp-valueを德赢ac米兰官方合作伙伴します。 0〜63 省略不可
dscp-named-value※1 dscp-named-valueを德赢ac米兰官方合作伙伴します。
ef(101110b)
bf(000000b)
af11(001010b)
af12(001100b)
af13(001110b)
af21(010010b)
af22(010100b)
f23(010110b)
af31(011010b)
af32(011100b)
af33(011110b)
af41(100010b)
af42(100100b)
af43(100110b)
省略不可
ip-flag-value※1 ip-flag-valueを德赢ac米兰官方合作伙伴します。 0〜3、もしくは、0〜3:0〜3(ワイルドカードマスク) 省略不可
tcp-flag-value※1 tcp-flag-valueを德赢ac米兰官方合作伙伴します。 0〜63、もしくは、0〜63:0〜63(ワイルドカードマスク) 省略不可
traffic-class-value traffic-class-valueを德赢ac米兰官方合作伙伴します。 0〜255、もしくは、0〜255:0〜255(ワイルドカードマスク) 省略不可
flow-label flow-labelを德赢ac米兰官方合作伙伴します。 0〜1048575 省略不可
log パケットフィルタリング機能において該当条件(行単位)にヒットしたパケットが、フィルタリングログに記録されます。
※dynamic德赢ac米兰官方合作伙伴の場合、学習した学習フィルタにヒットしたパケットは記録しません。		 log フィルタリングログを記録しません。
count 統計情報としてフィルタにヒットしたパケット数、バイト数を表示します。
※dynamic德赢ac米兰官方合作伙伴の場合、学習した学習フィルタにヒットしたパケットはカウントしません。		 count カウントを行いません。
最大エントリ数:ip access-groupで関連付けたaccess-listに対して、最大1024エントリ
          装置全体で1024エントリ
          ipv4,ipv6の区別無く、装置全体で最大1024エントリ
          各インターフェース毎の制限無く、装置全体で最大1024エントリ
※1 これらのパラメータをフィルタリングで使用する事はできません。
※2 パラメータ fqdn-list德赢ac米兰官方合作伙伴は、V01.10(00)以降サポート
※3 パラメータ fqdn-list德赢ac米兰官方合作伙伴の設定範囲 1〜50は、V1.12(00)以降サポート


この德赢ac米兰官方合作伙伴を行わない場合

access-listを使用した機能を使用できません。


德赢ac米兰官方合作伙伴モード

基本德赢ac米兰官方合作伙伴モード


トップページへ