コンフィグレーションコマンドレファレンス Vol.1

access-list

IPv4フィルタとして動作するアクセスリストを設定します。IPv4フィルタとして動作するアクセスリストには種類が二つあります。IPv4アドレスフィルタと，IPv4パケットフィルタです。IPv4アドレスフィルタでは，IPv4アドレスに基づいてフィルタします。IPv4パケットフィルタでは，送信元IPv4アドレス，宛先IPv4アドレス，VLAN ID，ユーザ優先度，ToSフィールドの値，ポート番号，TCPフラグ，ICMPタイプおよびICMPコードに基づいてフィルタします。

アクセスリストの一つのIDで複数個のフィルタ条件が指定できます。

装置当たり，IPv4，IPv6，MACのアクセスリストを最大1024リスト作成できます。

IPv4アドレスフィルタおよびIPv4パケットフィルタごとにフィルタ条件を最大2048エントリ作成できます。

remarkは，アクセスリストおよびQosフローリスト合わせて，装置当たり最大1024指定できます。

アクセスリストについては，「■アクセスリスト作成数」を参照してください。

ポリシーベースルーティングのパラメータは，フィルタ動作にpermitを指定した場合に指定できます。なお，該当するアクセスリストを，アクセスグループコマンドでインタフェースに適用する場合は，VLANインタフェースのInbound（受信側）を指定してください。【OS-L3CA】

［入力形式］

情報の設定・変更

補足説明の設定

access-list <access list number> remark <remark>

IPv4アドレスフィルタの設定

access-list <access list number> [<sequence>] {deny | permit} {<ipv4> [<ipv4 wildcard>] | host <ipv4> | any}

IPv4パケットフィルタの設定

access-list <access list number> [<sequence>] permit {フィルタ条件} [動作指定]

access-list <access list number> [<sequence>] deny {フィルタ条件}

　フィルタ条件

• 上位プロトコルがTCP，UDP，ICMPおよびIGMP以外の場合
  {deny | permit} {ip | <protocol>} {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
  
• 上位プロトコルがTCPの場合
  {deny | permit} tcp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any}[{eq <source port> | range <source port start> <source port end>}] {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{eq <destination port> | range <destination port start> <destination port end>}] [ack] [fin] [psh] [rst] [syn] [urg] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
  
• 上位プロトコルがUDPの場合
  {deny | permit} udp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any}[{eq <source port> | range <source port start> <source port end>}] {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{eq <destination port> | range <destination port start> <destination port end>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
  
• 上位プロトコルがICMPの場合
  {deny | permit} icmp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{<icmp type> [<icmp code>] | <icmp message>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
  
• 上位プロトコルがIGMPの場合
  {deny | permit} igmp {<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]
  

　動作指定【OS-L3CA】

action policy-list <policy list no.>

情報の削除

no access-list <access list number>

［入力モード］

(config)

［パラメータ］

<access list number>

アクセスリストを識別するための識別子を指定します。

本識別子はアクセスリストを参照するために使います。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   1〜199または1300〜2699（10進数）を指定します。
   1〜99または1300〜1999（10進数）は，IPv4アドレスフィルタ専用の識別子です。
   100〜199または2000〜2699（10進数）は，IPv4パケットフィルタ専用の識別子です。
   

remark <remark>

アクセスリストの補足説明を設定します。

一つのIDに対して一行だけ設定可能です。再度入力した場合は上書きになります。

1. 本パラメータ省略時の初期値
   初期値はNULLです。
   
2. 値の設定範囲
   64文字以内の文字列をダブルクォート（"）で囲んで設定します。入力可能な文字は，英数字と特殊文字です。入力文字列にスペースなどの特殊文字を含まない場合，文字列をダブルクォート（"）で囲まなくても設定できます。詳細は,「パラメータに指定できる値」の「■任意の文字列」を参照してください。
   

<sequence>

フィルタ条件の適用順序を指定します。

1. 本パラメータ省略時の初期値
   アクセスリスト内に条件がない場合，初期値は10です。
   条件を設定してある場合，設定してある適用順序の最大値+10です。
   ただし，適用順序の最大値が4294967284より大きい値の場合は省略できません。
   
2. 値の設定範囲
   1〜4294967294（10進数）を指定します。
   

フィルタ条件パラメータ

{deny | permit}

フィルタ条件に一致した場合のフィルタ動作を指定します。

denyを指定した場合，アクセスを拒否します。

permitを指定した場合，アクセスを許可します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   denyまたはpermitを指定します。
   

{<ipv4> [<ipv4 wildcard>] | host <ipv4> | any}

IPv4アドレスを指定します。

すべてのIPv4アドレスを指定する場合はanyを指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   <ipv4> [<ipv4 wildcard>]または，host <ipv4>，anyを指定します。
   <ipv4>にはIPv4アドレスを指定します。
   [<ipv4 wildcard>]にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。省略した場合は<ipv4>の完全一致をフィルタ条件とします。
   host <ipv4>を入力した場合は<ipv4>の完全一致をフィルタ条件とします。
   anyを指定すると，IPv4アドレスをフィルタ条件とはしません。
   IPv4アドレス（nnn.nnn.nnn.nnn）：0.0.0.0〜255.255.255.255
   

{ip | <protocol> | icmp | igmp | tcp | udp}

IPv4パケットの上位プロトコル条件を指定します。

ただし，すべてのプロトコルを対象とする場合はipを指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   0〜255（10進数）またはプロトコル名称を指定します。
   指定可能なプロトコル名称は「表26-1　指定可能なプロトコル名称（IPv4）」を参照してください。
   

{<source ipv4> <source ipv4 wildcard>| host <source ipv4> | any}

送信元IPv4アドレスを指定します。

すべての送信元IPv4アドレスを指定する場合はanyを指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   <source ipv4> <source ipv4 wildcard>，host <source ipv4>またはanyを指定します。
   <source ipv4>には送信元IPv4アドレスを指定します。
   <source ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。
   host <source ipv4>を入力した場合は<source ipv4>の完全一致をフィルタ条件とします。
   anyを指定すると，送信元IPv4アドレスをフィルタ条件とはしません。
   IPv4アドレス(nnn.nnn.nnn.nnn)：0.0.0.0 〜 255.255.255.255
   

{eq <source port> | range <source port start> <source port end>}

送信元ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜65535（10進数）または，ポート名称を指定します。
   指定可能なポート名称は「表26-3　TCPで指定可能なポート名称」および「表26-4　UDPで指定可能なポート名称（IPv4）」を参照してください。
   eqを指定した場合は，<source port>の完全一致をフィルタ条件とします。
   rangeを指定した場合は，<source port start>から<source port end>の範囲をフィルタ条件とします。
   <source port end>は<source port start>より大きいポート番号を指定してください。
   

{<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any}

宛先IPv4アドレスを指定します。

すべての宛先IPv4アドレスを指定する場合はanyを指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   <destination ipv4> <destination ipv4 wildcard>，host <destination ipv4>またはanyを指定します。
   <destination ipv4>には宛先IPv4アドレスを指定します。
   <destination ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。
   host <destination ipv4>を入力した場合は，<destination ipv4>の完全一致をフィルタ条件とします。
   anyを指定すると，宛先IPv4アドレスをフィルタ条件とはしません。
   IPv4アドレス（nnn.nnn.nnn.nnn）：0.0.0.0 〜 255.255.255.255
   

{eq <destination port> | range <destination port start> <destination port end>}

宛先ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜65535（10進数）またはポート名称を指定します。
   指定可能なポート名称は「表26-3　TCPで指定可能なポート名称」および「表26-4　UDPで指定可能なポート名称（IPv4）」を参照してください。
   eqを指定した場合は，<destination port>の完全一致をフィルタ条件とします。
   rangeを指定した場合は，<destination port start>から<destination port end>の範囲をフィルタ条件とします。
   <destination port end>は<destination port start>より大きいポート番号を指定してください。
   

tos <tos>

本パラメータは，ToSフィールドのビット3〜6の4ビットであるtos値を指定します。

受信パケットのToSフィールドのビット3〜6の4ビットと比較します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜15（10進数）またはtos名称を指定します。
   指定可能なtos名称は「表26-6　指定可能なtos名称」を参照してください。
   

precedence <precedence>

本パラメータは，ToSフィールドの上位3ビットであるprecedence値を指定します。

受信パケットのToSフィールド上位3ビットと比較します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜7（10進数）またはprecedence名称を指定します。
   指定可能なprecedence名称は「表26-7　指定可能なprecedence名称」を参照してください。
   

dscp <dscp>

本パラメータは，ToSフィールドの上位6ビットであるDSCP値を指定します。

受信パケットのToSフィールド上位6ビットと比較します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜63（10進数）またはDSCP名称を指定します。
   指定可能なDSCP名称は「表26-8　指定可能なDSCP名称」を参照してください。
   

ack

TCPヘッダのACKフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

fin

TCPヘッダのFINフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

psh

TCPヘッダのPSHフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

rst

TCPヘッダのRSTフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

syn

TCPヘッダのSYNフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

urg

TCPヘッダのURGフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

<icmp type>

ICMPタイプを指定します。

プロトコルがICMPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜255（10進数）を指定します。
   

<icmp code>

ICMPコードを指定します。

プロトコルがICMPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜255（10進数）を指定します。
   

<icmp message>

ICMPメッセージ名称を指定します。

プロトコルがICMPだけのオプションです。

指定可能なICMPメッセージ名称は「表26-11　ICMPで指定可能なメッセージ名称（IPv4）」を参照してください。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

vlan <vlan id>

VLAN IDを指定します。

本パラメータはイーサネットインタフェースに適用した場合だけ有効です。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   「パラメータに指定できる値」を参照してください。
   

user-priority <priority>

ユーザ優先度を指定します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜7（10進数）を指定します。
   

動作パラメータ【OS-L3CA】

action

動作パラメータを設定，変更する場合は，必ず本パラメータを動作パラメータ全体の先頭に設定してください。

1. 本パラメータ省略時の初期値
   なし（動作指定をする場合は省略できません）
   
2. 値の設定範囲
   なし
   

policy-list <policy list no.>

ポリシーベースルーティングのリスト番号を指定します。

1. 本パラメータ省略時の初期値
   なし（ポリシーベースルーティングを使用しません）
   
2. 値の設定範囲
   policy-listコマンドで設定済みのポリシーベースルーティングのリスト番号を指定します。
   

［コマンド省略時の動作］

なし

［通信への影響］

アクセスリストをインタフェースに適用した状態でエントリを追加または変更すると，エントリがインタフェースに適用されるまでの間，該当インタフェースで受信したパケットが一時的に廃棄される場合があります。

［設定値の反映契機］

設定値変更後，すぐに運用に反映されます。

［注意事項］

1. IPv4アドレスフィルタでは，対応するIPホストアドレスを指定するときにマスクを省略すると，0.0.0.0がマスクとして使用されます。
2. ip access-list standardで指定した1-99または1300-1999の<access list number>と同じリストを操作できます。
3. ip access-list extendedで指定した100-199または2000-2699の<access list number>と同じリストを操作できます。
4. IPv4アドレスワイルドカードマスク，送信元アドレスワイルドカードマスクおよび宛先アドレスワイルドカードマスクに255.255.255.255と入力したときはanyと表示します。
5. IPv4アドレス，送信元アドレスおよび宛先アドレスにnnn.nnn.nnn.nnn 0.0.0.0と入力したときはhost nnn.nnn.nnn.nnnと表示します。
6. <protocol>にプロトコル名称ahまたは51（10進数）を検出条件としたフィルタ検出はできません。
7. 動作パラメータにポリシーベースルーティングを指定する場合，フィルタ条件に設定する送信元IPv4アドレスおよび宛先IPv4アドレスに次のアドレスは指定できません。【OS-L3CA】

• 送信元IPv4アドレス
  マルチキャストアドレス，内部ループバックアドレス
  
• 宛先IPv4アドレス
  マルチキャストアドレス，制限付きブロードキャストアドレス，内部ループバックアドレス
  

［関連コマンド］

ip access-group

ip access-list resequence

policy-list【OS-L3CA】

[目次][前へ][次へ]

All Rights Reserved, Copyright(C), 2014, 2019, ALAXALA Networks, Corp.