コンフィグレーションコマンドレファレンス

access-list

IPv4フィルタとして動作するアクセスリストを設定します。IPv4フィルタとして動作するアクセスリストには種類が二つあります。IPv4アドレスフィルタと，IPv4パケットフィルタです。IPv4アドレスフィルタでは，IPv4アドレスに基づいてフィルタします。IPv4パケットフィルタでは，送信元IPv4アドレス，宛先IPv4アドレス，VLAN ID，ユーザ優先度，ToSフィールドの値，ポート番号，TCPフラグ，ICMPタイプおよびICMPコードに基づいてフィルタします。

アクセスリストの一つのIDで複数個のフィルタ条件が指定できますが，イーサネットインタフェースおよびVLANインタフェースに適用する場合は最大127個となります。IPv4，IPv6，MACのアクセスリストを最大1024リスト作成できます。remarkは，アクセスリストおよびQoSフローリスト合わせて，装置当たり最大1024指定できます。

［入力形式］

情報の設定・変更

補足説明の設定

access-list <access list number> remark <remark>

IPv4アドレスフィルタの設定

access-list <access list number> [<sequence>] {deny | permit} {<ipv4> [<ipv4 wildcard>] | host <ipv4> | any}

IPv4パケットフィルタの設定

• 上位プロトコルがTCP，UDP，ICMPおよびIGMP以外の場合
  access-list <access list number> [<sequence>] {deny | permit} {ip | <protocol>} {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
  
• 上位プロトコルがTCPの場合
  access-list <access list number> [<sequence>] {deny | permit} tcp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any}[{eq <source port> | range <source port start> <source port end>}] {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{eq <destination port> | range <destination port start> <destination port end>}] [ack] [fin] [psh] [rst] [syn] [urg] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
  
• 上位プロトコルがUDPの場合
  access-list <access list number> [<sequence>] {deny | permit} udp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any}[{eq <source port> | range <source port start> <source port end>}] {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{eq <destination port> | range <destination port start> <destination port end>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
  
• 上位プロトコルがICMPの場合
  access-list <access list number> [<sequence>] {deny | permit} icmp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{<icmp type> [<icmp code>] | <icmp message>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
  
• 上位プロトコルがIGMPの場合
  access-list <access list number> [<sequence>] {deny | permit} igmp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
  

情報の削除

no access-list <access list number>

［入力モード］

(config)

［パラメータ］

<access list number>

アクセスリストを識別するための識別子を指定します。

本識別子はアクセスリストを参照するために使います。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   1〜199または1300〜2699（10進数）を指定します。
   1〜99または1300〜1999（10進数）は，IPv4アドレスフィルタ専用の識別子です。
   100〜199または2000〜2699（10進数）は，IPv4パケットフィルタ専用の識別子です。
   

remark <remark>

アクセスリストの補足説明を設定します。

一つのIDに対して一行だけ設定可能です。再度入力した場合は上書きになります。

1. 本パラメータ省略時の初期値
   初期値はNULLです。
   
2. 値の設定範囲
   64文字以内の文字列をダブルクォート（"）で囲んで設定します。入力可能な文字は，英数字と特殊文字です。入力文字列にスペースなどの特殊文字を含まない場合，文字列をダブルクォート（"）で囲まなくても設定できます。詳細は,「パラメータに指定できる値」の「■任意の文字列」を参照してください。
   

<sequence>

フィルタ条件の適用順序を指定します。

1. 本パラメータ省略時の初期値
   アクセスリスト内に条件がない場合，初期値は10です。
   条件を設定してある場合，設定してある適用順序の最大値+10です。
   ただし，適用順序の最大値が4294967284より大きい値の場合は省略できません。
   
2. 値の設定範囲
   1〜4294967294（10進数）を指定します。
   

{deny | permit}

フィルタ条件に一致した場合のフィルタ動作を指定します。

denyを指定した場合，アクセスを拒否します。

permitを指定した場合，アクセスを許可します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   denyまたはpermitを指定します。
   

{<ipv4> [<ipv4 wildcard>] | host <ipv4> | any}

IPv4アドレスを指定します。

すべてのIPv4アドレスを指定する場合はanyを指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   <ipv4> [<ipv4 wildcard>]または，host <ipv4>，anyを指定します。
   <ipv4>にはIPv4アドレスを指定します。
   [<ipv4 wildcard>]にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。省略した場合は<ipv4>の完全一致をフィルタ条件とします。
   host <ipv4>を入力した場合は<ipv4>の完全一致をフィルタ条件とします。
   anyを指定すると，IPv4アドレスをフィルタ条件とはしません。
   IPv4アドレス（nnn.nnn.nnn.nnn）：0.0.0.0〜255.255.255.255
   

{ip | <protocol> | icmp | igmp | tcp | udp}

IPv4パケットの上位プロトコル条件を指定します。

ただし，すべてのプロトコルを対象とする場合はipを指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   0〜255（10進数）またはプロトコル名称を指定します。
   指定可能なプロトコル名称は「表23-1　指定可能なプロトコル名称（IPv4）」を参照してください。
   

{<source ipv4> <source ipv4 wildcard>| host <source ipv4> | any}

送信元IPv4アドレスを指定します。

すべての送信元IPv4アドレスを指定する場合はanyを指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   <source ipv4> <source ipv4 wildcard>，host <source ipv4>またはanyを指定します。
   <source ipv4>には送信元IPv4アドレスを指定します。
   <source ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。
   host <source ipv4>を入力した場合は<source ipv4>の完全一致をフィルタ条件とします。
   anyを指定すると，送信元IPv4アドレスをフィルタ条件とはしません。
   IPv4アドレス(nnn.nnn.nnn.nnn)：0.0.0.0 〜 255.255.255.255
   

{eq <source port> | range <source port start> <source port end>}

送信元ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜65535（10進数）または，ポート名称を指定します。
   指定可能なポート名称は「表23-2　TCPで指定可能なポート名称」および「表23-3　UDPで指定可能なポート名称（IPv4）」を参照してください。
   eqを指定した場合は，<source port>の完全一致をフィルタ条件とします。
   rangeを指定した場合は，<source port start>から<source port end>の範囲をフィルタ条件とします。
   <source port end>は<source port start>より大きいポート番号を指定してください。
   

{<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any}

宛先IPv4アドレスを指定します。

すべての宛先IPv4アドレスを指定する場合はanyを指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   <destination ipv4> <destination ipv4 wildcard>，host <destination ipv4>またはanyを指定します。
   <destination ipv4>には宛先IPv4アドレスを指定します。
   <destination ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。
   host <destination ipv4>を入力した場合は，<destination ipv4>の完全一致をフィルタ条件とします。
   anyを指定すると，宛先IPv4アドレスをフィルタ条件とはしません。
   IPv4アドレス（nnn.nnn.nnn.nnn）：0.0.0.0 〜 255.255.255.255
   

{eq <destination port> | range <destination port start> <destination port end>}

宛先ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜65535（10進数）またはポート名称を指定します。
   指定可能なポート名称は「表23-2　TCPで指定可能なポート名称」および「表23-3　UDPで指定可能なポート名称（IPv4）」を参照してください。
   eqを指定した場合は，<destination port>の完全一致をフィルタ条件とします。
   rangeを指定した場合は，<destination port start>から<destination port end>の範囲をフィルタ条件とします。
   <destination port end>は<destination port start>より大きいポート番号を指定してください。
   

tos <tos>

本パラメータは，ToSフィールドのビット3〜6の4ビットであるtos値を指定します。

受信パケットのToSフィールドのビット3〜6の4ビットと比較します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜15（10進数）またはtos名称を指定します。
   指定可能なtos名称は「表23-4　指定可能なtos名称」を参照してください。
   

precedence <precedence>

本パラメータは，ToSフィールドの上位3ビットであるprecedence値を指定します。

受信パケットのToSフィールド上位3ビットと比較します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜7（10進数）またはprecedence名称を指定します。
   指定可能なprecedence名称は「表23-5　指定可能なprecedence名称」を参照してください。
   

dscp <dscp>

本パラメータは，ToSフィールドの上位6ビットであるDSCP値を指定します。

受信パケットのToSフィールド上位6ビットと比較します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜63（10進数）またはDSCP名称を指定します。
   指定可能なDSCP名称は「表23-6　指定可能なDSCP名称」を参照してください。
   

ack

TCPヘッダのACKフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

fin

TCPヘッダのFINフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

psh

TCPヘッダのPSHフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

rst

TCPヘッダのRSTフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

syn

TCPヘッダのSYNフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

urg

TCPヘッダのURGフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

<icmp type>

ICMPタイプを指定します。

プロトコルがICMPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜255（10進数）を指定します。
   

<icmp code>

ICMPコードを指定します。

プロトコルがICMPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜255（10進数）を指定します。
   

<icmp message>

ICMPメッセージ名称を指定します。

プロトコルがICMPだけのオプションです。

指定可能なICMPメッセージ名称は「表23-9　ICMPで指定可能なメッセージ名称（IPv4）」を参照してください。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

vlan <vlan id>

VLAN IDを指定します。

本パラメータはイーサネットインタフェースに適用した場合だけ有効です。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   「パラメータに指定できる値」を参照してください。
   

user-priority <priority>

ユーザ優先度を指定します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜7（10進数）を指定します。
   

［コマンド省略時の動作］

なし

［通信への影響］

アクセスリストをインタフェースに適用した状態でエントリを追加または変更すると，エントリがインタフェースに適用されるまでの間，該当インタフェースで受信したパケットが一時的に廃棄される場合があります。

［設定値の反映契機］

設定値変更後，すぐに運用に反映されます。

［注意事項］

1. IPv4アドレスフィルタでは，対応するIPホストアドレスを指定するときにマスクを省略すると，0.0.0.0がマスクとして使用されます。
2. ip access-list standardで指定した1-99または1300-1999の<access list number>と同じリストを操作できます。
3. ip access-list extendedで指定した100-199または2000-2699の<access list number>と同じリストを操作できます。
4. IPv4アドレスワイルドカードマスク，送信元アドレスワイルドカードマスクおよび宛先アドレスワイルドカードマスクに255.255.255.255と入力したときはanyと表示します。
5. IPv4アドレス，送信元アドレスおよび宛先アドレスにnnn.nnn.nnn.nnn 0.0.0.0と入力したときはhost nnn.nnn.nnn.nnnと表示します。

［関連コマンド］

ip access-group

ip access-list resequence

[目次][前へ][次へ]

Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.