コンフィグレーションコマンドレファレンス Vol.1


deny(ip access-list extended)

IPv4パケットフィルタでのアクセスを拒否する条件を指定します。

[入力形式]

情報の設定・変更
  • 上位プロトコルがTCP,UDP,ICMPおよびIGMP以外の場合

    [<sequence>] deny {ip | <protocol>} {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]

  • 上位プロトコルがTCPの場合

    [<sequence>] deny tcp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any}[{eq <source port> | range <source port start> <source port end>}] {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{eq <destination port> | range <destination port start> <destination port end>}] [ack] [fin] [psh] [rst] [syn] [urg] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]

  • 上位プロトコルがUDPの場合

    [<sequence>] deny udp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any}[{eq <source port> | range <source port start> <source port end>}] {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{eq <destination port> | range <destination port start> <destination port end>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]

  • 上位プロトコルがICMPの場合

    [<sequence>] deny icmp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{<icmp type> [<icmp code>] | <icmp message>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]

  • 上位プロトコルがIGMPの場合

    [<sequence>] deny igmp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]

情報の削除

no <sequence>

[入力モード]

(config-ext-nacl)

[パラメータ]

<sequence>

フィルタ条件の適用順序を指定します。

  1. 本パラメータ省略時の初期値

    アクセスリスト内に条件がない場合,初期値は10です。

    条件を設定してある場合,設定してある適用順序の最大値+10です。

    ただし,適用順序の最大値が4294967284より大きい値の場合は省略できません。

  2. 値の設定範囲

    1〜4294967294(10進数)を指定します。

{ip | <protocol> | icmp | igmp | tcp | udp}

IPv4パケットの上位プロトコル条件を指定します。

ただし,すべてのプロトコルを対象とする場合はipを指定します。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    0〜255(10進数)またはプロトコル名称を指定します。

    指定可能なプロトコル名称は「表25‒1 指定可能なプロトコル名称(IPv4)」を参照してください。

{<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any}

送信元IPv4アドレスを指定します。

すべての送信元IPv4アドレスを指定する場合はanyを指定します。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    <source ipv4> <source ipv4 wildcard>,host <source ipv4>またはanyを指定します。

    <source ipv4>には送信元IPv4アドレスを指定します。

    <source ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。

    host <source ipv4>を入力した場合は<source ipv4>の完全一致をフィルタ条件とします。

    anyを指定すると,送信元IPv4アドレスをフィルタ条件とはしません。

    IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0 〜 255.255.255.255

{eq <source port> | range <source port start> <source port end>}

送信元ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜65535(10進数)またはポート名称を指定します。

    指定可能なポート名称は「表25‒3 TCPで指定可能なポート名称」および「表25‒4 UDPで指定可能なポート名称(IPv4)」を参照してください。

    eqを指定した場合は,<source port>の完全一致をフィルタ条件とします。

    rangeを指定した場合は,<source port start>から<source port end>の範囲をフィルタ条件とします。

    <source port end>は<source port start>より大きいポート番号を指定してください。

{<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any}

宛先IPv4アドレスを指定します。

すべての宛先IPv4アドレスを指定する場合はanyを指定します。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    <destination ipv4> <destination ipv4 wildcard>,host <destination ipv4>またはanyを指定します。

    <destination ipv4>には宛先IPv4アドレスを指定します。

    <destination ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。

    host <destination ipv4>を入力した場合は<destination ipv4>の完全一致をフィルタ条件とします。

    anyを指定すると,宛先IPv4アドレスをフィルタ条件とはしません。

    IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0 〜 255.255.255.255

{eq <destination port> | range <destination port start> <destination port end>}

宛先ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜65535(10進数)またはポート名称を指定します。

    指定可能なポート名称は「表25‒3 TCPで指定可能なポート名称」および「表25‒4 UDPで指定可能なポート名称(IPv4)」を参照してください。

    eqを指定した場合は,<destination port>の完全一致をフィルタ条件とします。

    rangeを指定した場合は,<destination port start>から<destination port end>の範囲をフィルタ条件とします。

    <destination port end>は<destination port start>より大きいポート番号を指定してください。

tos <tos>

本パラメータは,ToSフィールドのビット3〜6の4ビットであるtos値を指定します。

受信パケットのToSフィールドのビット3〜6の4ビットと比較します。

[図データ]

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜15(10進数)またはtos名称を指定します。

    指定可能なtos名称は「表25‒6 指定可能なtos名称」を参照してください。

precedence <precedence>

本パラメータは,ToSフィールドの上位3ビットであるprecedence値を指定します。

受信パケットのToSフィールド上位3ビットと比較します。

[図データ]

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜7(10進数)またはprecedence名称を指定します。

    指定可能なprecedence名称は「表25‒7 指定可能なprecedence名称」を参照してください。

dscp <dscp>

本パラメータは,ToSフィールドの上位6ビットであるDSCP値を指定します。

受信パケットのToSフィールド上位6ビットと比較します。

[図データ]

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜63(10進数)またはDSCP名称を指定します。

    指定可能なDSCP名称は「表25‒8 指定可能なDSCP名称」を参照してください。

ack

TCPヘッダのACKフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

fin

TCPヘッダのFINフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

psh

TCPヘッダのPSHフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

rst

TCPヘッダのRSTフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

syn

TCPヘッダのSYNフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

urg

TCPヘッダのURGフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

<icmp type>

ICMPタイプを指定します。

プロトコルがICMPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜255(10進数)を指定します。

<icmp code>

ICMPコードを指定します。

プロトコルがICMPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜255(10進数)を指定します。

<icmp message>

ICMPメッセージ名称を指定します。

プロトコルがICMPだけのオプションです。

指定可能なICMPメッセージ名称は「表25‒11 ICMPで指定可能なメッセージ名称(IPv4)」を参照してください。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

vlan <vlan id>

VLAN IDを指定します。

本パラメータはイーサネットインタフェースに適用した場合だけ有効です。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    パラメータに指定できる値」を参照してください。

user-priority <priority>

ユーザ優先度を指定します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜7(10進数)を指定します。

[コマンド省略時の動作]

なし

[通信への影響]

アクセスリストをインタフェースに適用した状態でエントリを追加または変更すると,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信したパケットが一時的に廃棄される場合があります。

[設定値の反映契機]

設定値変更後,すぐに運用に反映されます。

[注意事項]

  1. 送信元アドレスワイルドカードマスクおよび宛先アドレスワイルドカードマスクに255.255.255.255と入力したときはanyと表示します。

  2. 送信元アドレスおよび宛先アドレスにnnn.nnn.nnn.nnn 0.0.0.0と入力したときはhost nnn.nnn.nnn.nnnと表示します。

  3. <protocol>にプロトコル名称ahまたは51(10進数)を検出条件としたフィルタ検出はできません。

[関連コマンド]

access-list

ip access-group

ip access-list resequence

permit(ip access-list extended)

remark