permit(ip access-list extended)
IPv4パケットフィルタでのアクセスを許可する条件を指定します。
[入力形式]
- 情報の設定・変更
-
[<sequence>] permit {フィルタ条件} [動作指定]
- フィルタ条件
-
-
上位プロトコルがTCP,UDP,ICMPおよびIGMP以外の場合
{ip | <protocol>} {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
-
上位プロトコルがTCPの場合
tcp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any}[{eq <source port> | range <source port start> <source port end>}] {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{eq <destination port> | range <destination port start> <destination port end>}] [ack] [fin] [psh] [rst] [syn] [urg] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
-
上位プロトコルがUDPの場合
udp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any}[{eq <source port> | range <source port start> <source port end>}] {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{eq <destination port> | range <destination port start> <destination port end>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
-
上位プロトコルがICMPの場合
icmp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{<icmp type> [<icmp code>] | <icmp message>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
-
上位プロトコルがIGMPの場合
igmp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
-
- 動作指定
-
action policy-mirror-list <destination interface list name>
- 動作指定【SL-L3A】
-
action {policy-list <policy list no.> | policy-mirror-list <destination interface list name>}
- 情報の削除
-
no <sequence>
[入力モード]
(config-ext-nacl)
[パラメータ]
- <sequence>
-
フィルタ条件の適用順序を指定します。
-
本パラメータ省略時の初期値
アクセスリスト内に条件がない場合,初期値は10です。
条件を設定してある場合,設定してある適用順序の最大値+10です。
ただし,適用順序の最大値が4294967284より大きい値の場合は省略できません。
-
値の設定範囲
1〜4294967294(10進数)を指定します。
-
フィルタ条件パラメータ
- {ip | <protocol> | icmp | igmp | tcp | udp}
-
IPv4パケットの上位プロトコル条件を指定します。
ただし,すべてのプロトコルを対象とする場合はipを指定します。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
0〜255(10進数)またはプロトコル名称を指定します。
指定可能なプロトコル名称は「表25‒1 指定可能なプロトコル名称(IPv4)」を参照してください。
-
- {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any}
-
送信元IPv4アドレスを指定します。
すべての送信元IPv4アドレスを指定する場合はanyを指定します。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
<source ipv4> <source ipv4 wildcard>,host <source ipv4>またはanyを指定します。
<source ipv4>には送信元IPv4アドレスを指定します。
<source ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。
host <source ipv4>を入力した場合は<source ipv4>の完全一致をフィルタ条件とします。
anyを指定すると,送信元IPv4アドレスをフィルタ条件とはしません。
IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0 〜 255.255.255.255
-
- {eq <source port> | range <source port start> <source port end>}
-
送信元ポート番号を指定します。
プロトコルがTCPおよびUDPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜65535(10進数)またはポート名称を指定します。
指定可能なポート名称は「表25‒3 TCPで指定可能なポート名称」および「表25‒4 UDPで指定可能なポート名称(IPv4)」を参照してください。
eqを指定した場合は,<source port>の完全一致をフィルタ条件とします。
rangeを指定した場合は,<source port start>から<source port end>の範囲をフィルタ条件とします。
<source port end>は<source port start>より大きいポート番号を指定してください。
-
- {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any}
-
宛先IPv4アドレスを指定します。
すべての宛先IPv4アドレスを指定する場合はanyを指定します。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
<destination ipv4> <destination ipv4 wildcard>,host <destination ipv4>またはanyを指定します。
<destination ipv4>には宛先IPv4アドレスを指定します。
<destination ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。
host <destination ipv4>を入力した場合は<destination ipv4>の完全一致をフィルタ条件とします。
anyを指定すると,宛先IPv4アドレスをフィルタ条件とはしません。
IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0 〜 255.255.255.255
-
- {eq <destination port> | range <destination port start> <destination port end>}
-
宛先ポート番号を指定します。
プロトコルがTCPおよびUDPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜65535(10進数)またはポート名称を指定します。
指定可能なポート名称は「表25‒3 TCPで指定可能なポート名称」および「表25‒4 UDPで指定可能なポート名称(IPv4)」を参照してください。
eqを指定した場合は,<destination port>の完全一致をフィルタ条件とします。
rangeを指定した場合は,<destination port start>から<destination port end>の範囲をフィルタ条件とします。
<destination port end>は<destination port start>より大きいポート番号を指定してください。
-
- tos <tos>
-
本パラメータは,ToSフィールドのビット3〜6の4ビットであるtos値を指定します。
受信パケットのToSフィールドのビット3〜6の4ビットと比較します。
![[図データ]](./GRAPHICS/ZUQOS010.GIF)
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜15(10進数)またはtos名称を指定します。
指定可能なtos名称は「表25‒6 指定可能なtos名称」を参照してください。
-
- precedence <precedence>
-
本パラメータは,ToSフィールドの上位3ビットであるprecedence値を指定します。
受信パケットのToSフィールド上位3ビットと比較します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜7(10進数)またはprecedence名称を指定します。
指定可能なprecedence名称は「表25‒7 指定可能なprecedence名称」を参照してください。
-
- dscp <dscp>
-
本パラメータは,ToSフィールドの上位6ビットであるDSCP値を指定します。
受信パケットのToSフィールド上位6ビットと比較します。
![[図データ]](./GRAPHICS/ZUQOS020.GIF)
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜63(10進数)または,DSCP名称を指定します。
指定可能なDSCP名称は「表25‒8 指定可能なDSCP名称」を参照してください。
-
- ack
-
TCPヘッダのACKフラグが1のパケットの検出を指定します。
プロトコルがTCPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- fin
-
TCPヘッダのFINフラグが1のパケットの検出を指定します。
プロトコルがTCPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- psh
-
TCPヘッダのPSHフラグが1のパケットの検出を指定します。
プロトコルがTCPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- rst
-
TCPヘッダのRSTフラグが1のパケットの検出を指定します。
プロトコルがTCPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- syn
-
TCPヘッダのSYNフラグが1のパケットの検出を指定します。
プロトコルがTCPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- urg
-
TCPヘッダのURGフラグが1のパケットの検出を指定します。
プロトコルがTCPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- <icmp type>
-
ICMPタイプを指定します。
プロトコルがICMPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜255(10進数)を指定します。
-
- <icmp code>
-
ICMPコードを指定します。
プロトコルがICMPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜255(10進数)を指定します。
-
- <icmp message>
-
ICMPメッセージ名称を指定します。
プロトコルがICMPだけのオプションです。
指定可能なICMPメッセージ名称は「表25‒11 ICMPで指定可能なメッセージ名称(IPv4)」を参照してください。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- vlan <vlan id>
-
VLAN IDを指定します。
本パラメータはイーサネットインタフェースに適用した場合だけ有効です。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
「パラメータに指定できる値」を参照してください。
-
- user-priority <priority>
-
ユーザ優先度を指定します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜7(10進数)を指定します。
-
動作パラメータ
- action
-
動作パラメータを設定,変更する場合は,必ず本パラメータを動作パラメータ全体の先頭に設定してください。
-
本パラメータ省略時の初期値
なし(動作指定をする場合は省略できません)
-
値の設定範囲
なし
-
- policy-list <policy list no.>【SL-L3A】
-
ポリシーベースルーティングのリスト番号を指定します。
-
本パラメータ省略時の初期値
なし(ポリシーベースルーティングを使用しません)
-
値の設定範囲
policy-listコマンドで設定済みのポリシーベースルーティングのリスト番号を指定します。
-
- policy-mirror-list <destination interface list name>
-
ポリシーベースミラーリングの送信先インタフェースリスト名を指定します。
-
本パラメータ省略時の初期値
なし(ポリシーベースミラーリングを使用しません)
-
値の設定範囲
destination-interface-listコマンドで設定済みの送信先インタフェースリスト名を指定します。
-
[コマンド省略時の動作]
なし
[通信への影響]
アクセスリストをインタフェースに適用した状態でエントリを追加または変更すると,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信したパケットが一時的に廃棄される場合があります。
[設定値の反映契機]
設定値変更後,すぐに運用に反映されます。
[注意事項]
-
送信元アドレスワイルドカードマスクおよび宛先アドレスワイルドカードマスクに255.255.255.255と入力したときはanyと表示します。
-
送信元アドレスおよび宛先アドレスにnnn.nnn.nnn.nnn 0.0.0.0と入力したときはhost nnn.nnn.nnn.nnnと表示します。
-
<protocol>にプロトコル名称ahまたは51(10進数)を検出条件としたフィルタ検出はできません。
-
動作パラメータにポリシーベースルーティングを指定する場合,フィルタ条件に設定する送信元IPv4アドレスおよび宛先IPv4アドレスに次のアドレスは指定できません。【SL-L3A】
-
送信元IPv4アドレス
マルチキャストアドレス,内部ループバックアドレス
-
宛先IPv4アドレス
マルチキャストアドレス,制限付きブロードキャストアドレス,内部ループバックアドレス
-
[関連コマンド]
access-list
ip access-group
ip access-list resequence
deny(ip access-list extended)
remark
policy-list【SL-L3A】
destination-interface-list