access-list

特定のパケットと、そのパケットの動作(中継or廃棄or学習フィルタリング)milan米兰体育官网入口。
milan米兰体育官网入口したパケットは、以下の機能で使用します。refreshコマンド後に有効になるコマンドです。
使用方法は、まず本コマンドでパケットを指定した後、上記機能を使用するモードで、指定したアクセスリスト番号milan米兰体育官网入口。
access-listは、milan米兰体育官网入口順に適用されます。
また、同じmilan米兰体育官网入口のaccess-listに複数行の設定をした場合は、上の行から適用されます。

refreshコマンド後に有効になるコマンドです。

アクセスリストmilan米兰体育官网入口について

本装置のアクセスリストmilan米兰体育官网入口は、以下の規定があります。
アクセスリストmilan米兰体育官网入口 名称 設定内容
1〜99、1300〜1999 IPv4標準設定 IPv4送信元アドレスmilan米兰体育官网入口
100〜199、2000〜2699 IPv4拡張設定 IPv4送信元/宛先アドレスmilan米兰体育官网入口
   プロトコル番号milan米兰体育官网入口
   送信元/宛先ポート番号milan米兰体育官网入口
3000〜3499 IPv6標準設定 IPv6送信元/宛先アドレスmilan米兰体育官网入口
3500〜3999 IPv6拡張設定 IPv6送信元アドレスmilan米兰体育官网入口
   プロトコル番号milan米兰体育官网入口
   送信元/宛先ポート番号milan米兰体育官网入口

milan米兰体育官网入口パケットの動作milan米兰体育官网入口について

指定したパケットを中継対象とするか、廃棄対象とするかmilan米兰体育官网入口。中継対象とする場合はpermit、廃棄対象とする場合はdenymilan米兰体育官网入口。
この指定が必要なのは、フィルタリング/経路情報の指定/NextHopの指定のためにアクセスリストを指定する場合のみです。他の用途で指定する場合はpermitmilan米兰体育官网入口てください。

IPアドレス範囲milan米兰体育官网入口

アクセスリストコマンドでIPv4アドレスをmilan米兰体育官网入口する場合、マスク(Wildcardマスク)を使用して1エントリでアドレス範囲をmilan米兰体育官网入口することができます。
Wildcardマスクは、サブネットマスクとは書式が異なりますので注意してください。Wildcardマスクとサブネットマスクは、"1"と"0"の判別が逆になります。
例1)24bitマスクを、Wildcardマスクで表現する場合と、サブネットマスクで表現する場合の違い
    Wildcardマスクの場合:0.0.0.255
    サブネットマスクの場合:255.255.255.0
例2)ホストを、Wildcardマスクで表現する場合と、サブネットマスクで表現する場合の違い
    Wildcardマスクの場合:0.0.0.0
    サブネットマスクの場合:255.255.255.255

ポート番号のmilan米兰体育官网入口

IPv4/IPv6拡張設定では、TCP/UDP上位ポート番号を指定することができます。この指定は、フィルタリング/学習フィルタリングの指定のためにアクセスリストを指定する場合に効果があります。他の用途で指定する場合は、標準設定でアクセスリストmilan米兰体育官网入口てください。


学習milan米兰体育官网入口

インターネットの常時接続で使用する場合、セキュリティとしては危険な状態に常にさらされています。
学習milan米兰体育官网入口機能では、LAN 側からのインターネット接続に対する応答データ以外はmilan米兰体育官网入口(廃棄)することができます。
学習milan米兰体育官网入口機能を使用する場合は、外部からのアクセス(Web 等)はできなくなります。(アクセスを許可するアドレスを限定することはできます)
ただし、VPN からの受信に関してはmilan米兰体育官网入口を行いません。
本装置で、学習フィルタリングを使用する場合は、access-listコマンドの属性で、"dynamic"milan米兰体育官网入口。


設定例1 IPv4標準アクセスリストに、192.168.100.0/24を設定する(許可属性)

Router(config)# access-list 1 permit 192.168.100.0 0.0.0.255


設定例2 IPv4拡張アクセスリストに、src=192.168.100.0/24 dst=192.168.200.0/24を設定する(不許可属性)

Router(config)# access-list 100 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255


設定例3 IPv6標準アクセスリストに、src=3ffe:110::/64を dst=3ffe:111::/64を設定する(許可属性)

Router(config)# access-list 3000 permit 3ffe:110::/64 3ffe:111::/64


設定例4 IPv6拡張アクセスリストに、src=any srcport=any dst=any dstport=80を設定する(不許可属性)

Router(config)# access-list 3500 deny tcp any gt 0 any eq 80


設定例5 学習フィルタリングをmilan米兰体育官网入口する(IPv4)

Router(config)# access-list 100 dynamic permit ip any any


コマンド書式

IPv4標準アクセスリスト(アクセスリストmilan米兰体育官网入口:1〜99、1300〜1999)

access-list <access-listmilan米兰体育官网入口 { permit | deny } { any | <送信元IPアドレス <送信元Wildcardマスク }[log] [count]

IPv4拡張アクセスリスト(アクセスリストmilan米兰体育官网入口:100〜199、2000〜2699)

access-list <access-listmilan米兰体育官网入口 { [dynamic] permit | deny } <プロトコルmilan米兰体育官网入口 { any | host <送信元IPアドレス | <送信元IPアドレス <送信元Wildcardマスク } [<ポート属性 <TCPポートmilan米兰体育官网入口] [<ポート属性 <UDPポートmilan米兰体育官网入口] { any | host <宛先IPアドレス | <宛先IPアドレス <宛先Wildcardマスク } [ ICMPタイプ ] [<ポート属性 <TCPポートmilan米兰体育官网入口] [<ポート属性 <UDPポートmilan米兰体育官网入口] [[precedence {<precedence-value|<precedence-named-value}] [tos {<tos-value|<tos-named-value}]| [dscp {<dscp-value|<dscp-named-value}]] [ip-flag {<ip-flag-value|<ip-flag-value:wildcard mask}][log] [count]

IPv6標準アクセスリスト(アクセスリストmilan米兰体育官网入口:3000〜3499)

access-list <access-listmilan米兰体育官网入口 { permit | deny } { any | <送信元IPv6プレフィックス } { any | <宛先IPv6プレフィックス }[count]

IPv6拡張アクセスリスト(アクセスリストmilan米兰体育官网入口:3500〜3999)

access-list <access-listmilan米兰体育官网入口 { [dynamic] permit | deny } <プロトコルmilan米兰体育官网入口 { any | <送信元IPv6プレフィックス } [<ポート属性 <TCPポートmilan米兰体育官网入口] [<ポート属性 <UDPポートmilan米兰体育官网入口] { any | <宛先IPv6プレフィックス } [ ICMPv6タイプ ] [<ポート属性 <TCPポートmilan米兰体育官网入口] [<ポート属性 <UDPポートmilan米兰体育官网入口] [tcp-flag {<tcp-flag-value|<tcpflag-value:wildcard-mask}] [traffic-class <traffic-class-value|dscp {<dscp-level|<dscp-name}] [flow-label <flow-label-value][count]


パラメータ

パラメータ 設定内容 設定範囲 省略時の値
access-listmilan米兰体育官网入口 それぞれの属性の番号milan米兰体育官网入口。
1〜99、1300〜1999 IPv4標準アクセスリスト
100〜199、2000〜2699 IPv4拡張アクセスリスト
3000〜3499 IPv6標準アクセスリスト
3500〜3999 IPv6拡張アクセスリスト
省略不可
dynamic 学習フィルタリングを使用する場合にmilan米兰体育官网入口します。 dynamic 学習milan米兰体育官网入口のエントリではない
{ permit | deny } 許可属性か、不許可属性かを選択します。
permit 許可属性
deny 不許可属性
省略不可
プロトコルmilan米兰体育官网入口 プロトコル名もしくはプロトコルmilan米兰体育官网入口を選択します。
gre Cisco's GRE tunneling
icmp ICMP(IPv4拡張アクセスリスト時)
icmpv6 ICMPv6(IPv6拡張アクセスリスト時)
ip IP
ipinip IPトンネル
tcp TCP
udp UDP
0〜255 プロトコル番号をmilan米兰体育官网入口
省略不可
any 各パラメータ(アドレスやポート番号など)で、「全て」をmilan米兰体育官网入口する場合は"any"を入力します。 any -
送信元IPアドレス 送信元アドレスmilan米兰体育官网入口。 IPv4アドレス形式 省略不可
送信元Wildcardマスク 送信元アドレスを範囲指定するために、Wildcardマスクmilan米兰体育官网入口。 IPv4アドレス形式 省略不可
宛先IPアドレス 宛先アドレスmilan米兰体育官网入口。 IPv4アドレス形式 省略不可
宛先Wildcardマスク 宛先アドレスを範囲指定するために、Wildcardマスクmilan米兰体育官网入口。 IPv4アドレス形式 省略不可
host IPv4拡張アクセスリストで、送信元/宛先アドレスとしてホストアドレスをmilan米兰体育官网入口する場合につけます。 host -
送信元IPv6プレフィックス 送信元IPv6プレフィックスmilan米兰体育官网入口。 IPv6プレフィックス形式 省略不可
宛先IPv6プレフィックス 宛先IPv6プレフィックスmilan米兰体育官网入口。 IPv6プレフィックス形式 省略不可
ICMPタイプ プロトコル番号で"icmp"を指定した場合に、対象とするICMPタイプmilan米兰体育官网入口。
milan米兰体育官网入口できるICMPタイプ
administratively-prohibited
alternate-address
conversion-error
dod-host-prohibited
dod-net-prohibited
echo
echo-reply
general-parameter-problem
host-isolated
host-precedence-unreachable
host-redirect
host-tos-redirect
host-tos-unreachable
host-unknown
host-unreachable
information-reply
information-request
mask-reply
mask-request
mobile-redirect
net-redirect
net-tos-redirect
net-tos-unreachable
net-unreachable
network-unknown
no-room-for-option
option-missing
packet-too-big
parameter-problem
port-unreachable
precedence-unreachable
protocol-unreachable
reassembly-timeout
redirect
router-advertisement
router-solicitation
source-quench
source-route-failed
time-exceeded
timestamp-reply
timestamp-request
traceroute
ttl-exceeded
unreachable
ICMPタイプ値(0〜255)
全てのICMPタイプ
ICMPv6タイプ(IPv6) プロトコル番号で"icmpv6"を指定した場合に、対象とするICMPv6タイプmilan米兰体育官网入口。
ICMPv6タイプ
address-unreachable
administratively-prohibited
dest-unreachable
echo-reply
echo-request
erroneous-header-field
hop-limit-exceeded-in-transit
multicast-listener-done
multicast-listener-query
multicast-listener-report
neighbor-advertisement
neighbor-solicitation
no-route-to-destination
packet-too-big
parameter-problem
port-unreachable
reassembly-time-exceeded
redirect
router-advertisment
router-solicitation
time-exceeded
unrecognized-next-header
unrecognized-option
ICMPv6タイプ値(0〜255)
全てのICMPv6タイプ
milan米兰体育官网入口属性 ポート番号を範囲で指定するために、ポート属性milan米兰体育官网入口。
eq milan米兰体育官网入口するポートが対象
gt milan米兰体育官网入口するポート番号より大きいポート番号が対象
lt milan米兰体育官网入口するポート番号より小さいポート番号が対象
neq milan米兰体育官网入口するポート番号以外のポート番号が対象
range ポートの範囲をmilan米兰体育官网入口する
全てのmilan米兰体育官网入口(以降設定なし)
TCPポートmilan米兰体育官网入口 プロトコルで"tcp"を指定した場合に、対象とするTCPポート番号milan米兰体育官网入口。
TCPポートmilan米兰体育官网入口
bgp
chargen
cmd
daytime
discard
domain
echo
exec
finger
ftp
ftp-data
gopher
hostname
ident
irc
klogin
kshell
login
lpd
nntp
pim-auto-rp
pop2
pop3
smtp
sunrpc
syslog
tacacs
tacacs-ds
talk
telnet
time
uucp
whois
www
TCPポートmilan米兰体育官网入口(0〜65535)
全てのTCPポートmilan米兰体育官网入口
UDPポートmilan米兰体育官网入口 プロトコルで"udp"を指定した場合に、対象とするUDPポート番号milan米兰体育官网入口。
UDPポートmilan米兰体育官网入口
biff
bootpc
bootps
discard
dnsix
domain
echo
isakmp
mobile-ip
nameserver
netbios-dgm
netbios-ns
netbios-ss
ntp
pim-auto-rp
rip
snmp
snmptrap
sunrpc
syslog
tacacs
tacacs-ds
talk
tftp
time
who
xdmcp
UDPポートmilan米兰体育官网入口(0〜65535)
全てのUDPポートmilan米兰体育官网入口
precedence-value precedence-valueを設定します。 0〜7 省略不可
precedence-named-value precedence-named-valueを設定します。
routine(0)
priority(1)
immediate(2)
flash(3)
flash-override(4)
critical(5)
internet(6)
etwork(7)
省略不可
tos-value tos-valueを設定します。 0〜15 省略不可
tos-named-value tos-named-valueを設定します。
min-momentary-cost(1)
max-reliability(2)
max-throughput(4)
min-delay(8)
normal(0)
省略不可
dscp-value dscp-valueを設定します。 0〜63 省略不可
dscp-named-value dscp-named-valueを設定します。
ef(101110b)
bf(000000b)
af11(001010b)
af12(001100b)
af13(001110b)
af21(010010b)
af22(010100b)
f23(010110b)
af31(011010b)
af32(011100b)
af33(011110b)
af41(100010b)
af42(100100b)
af43(100110b)
省略不可
ip-flag-value ip-flag-valueを設定します。 0〜3、もしくは、0〜3:0〜3(ワイルドカードマスク) 省略不可
tcp-flag-value tcp-flag-valueを設定します。 0〜63、もしくは、0〜63:0〜63(ワイルドカードマスク) 省略不可
traffic-class-value traffic-class-valueを設定します。 0〜255、もしくは、0〜255:0〜255(ワイルドカードマスク) 省略不可
flow-label flow-labelを設定します。 0〜1048575 省略不可
log パケットmilan米兰体育官网入口機能において該当条件(行単位)にヒットしたパケットが、milan米兰体育官网入口ログに記録されます。
※dynamicmilan米兰体育官网入口の場合、学習した学習フィルタにヒットしたパケットは記録しません。		 log milan米兰体育官网入口ログを記録しません。
count 統計情報としてフィルタにヒットしたパケット数、バイト数を表示します。
※dynamicmilan米兰体育官网入口の場合、学習した学習フィルタにヒットしたパケットはカウントしません。		 count カウントを行いません。
最大エントリ数:ip access-groupで関連付けたaccess-listに対して、最大1024エントリ
          装置全体で1024エントリ
          ipv4,ipv6の区別無く、装置全体で最大1024エントリ
          各インターフェース毎の制限無く、装置全体で最大1024エントリ
※:これらのパラメータをmilan米兰体育官网入口で使用する事はできません。


この設定を行わない場合

access-listを使用した機能を使用できません。


設定モード

基本設定モード


トップページへ