コンフィグレーションコマンドレファレンス Vol.2
IPv4フィルタとして動作するアクセスリストを設定します。IPv4フィルタとして動作するアクセスリストには種類が二つあります。IPv4アドレスフィルタと,IPv4パケットフィルタです。IPv4アドレスフィルタでは,IPv4アドレスに基づいてフィルタします。IPv4パケットフィルタでは,送信元IPv4アドレス,宛先IPv4アドレス,VLAN ID,ユーザ優先度,フラグメントパケット,ToSフィールドの値,ポート番号,TCPフラグ,ICMPタイプ,ICMPコードおよびIGMPタイプに基づいてフィルタします。
フラグメントパケットを検出条件に指定する場合は入力形式が異なるので注意してください。入力形式のフラグメントパケットの場合を参照してください。
アクセスリストの一つのIDで複数個のフィルタ条件が指定できます。
装置当たり,作成できるアクセスリスト数およびフィルタ条件数については「■アクセスリスト作成数」を参照してください。
ポリシーベースルーティングのパラメータは,フィルタ動作にpermitを指定した場合に指定できます。なお,該当アクセスリストを,アクセスグループコマンドでインタフェースに適用する際は,VLANインタフェースのInbound(受信側)を指定し,かつ中継種別にレイヤ3中継を指定してください。
ポリシーベーススイッチングのパラメータは,フィルタ動作にpermitを指定した場合に指定できます。なお,該当アクセスリストをアクセスグループコマンドでインタフェースに適用する際は,イーサネットインタフェースのInbound(受信側)を指定してください。
[入力形式]
- 情報の設定・変更
- 補足説明の設定
- access-list <access list number> remark <remark>
- IPv4アドレスフィルタの設定
- access-list <access list number> [<sequence>] permit {<ipv4> [<ipv4 wildcard>] | host <ipv4> | any}
- access-list <access list number> [<sequence>] deny {<ipv4> [<ipv4 wildcard>] | host <ipv4> | any} [動作指定]
- 動作指定
- action log
- IPv4パケットフィルタの設定
- access-list <access list number> [<sequence>] permit {フィルタ条件} [動作指定]
- access-list <access list number> [<sequence>] deny {フィルタ条件} [動作指定]
- フィルタ条件
- 上位プロトコルがTCP,UDP,ICMPおよびIGMP以外の場合
{deny | permit} {ip | <protocol>} {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>} ] [user-priority <priority>]
- 上位プロトコルがTCPの場合
{deny | permit} tcp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [{{eq | neq} <destination port> | range <destination port start> <destination port end>}] [{[established] | [{ack | +ack | -ack}] [{fin | +fin | -fin}] [{psh | +psh | -psh}] [{rst | +rst | -rst}] [{syn | +syn | -syn}] [{urg | +urg | -urg}]}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>]
- 上位プロトコルがUDPの場合
{deny | permit} udp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [{{eq | neq} <destination port> | range <destination port start> <destination port end>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>} ] [user-priority <priority>]
- 上位プロトコルがICMPの場合
{deny | permit} icmp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [{<icmp type> [<icmp code>] | <icmp message>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>]
- 上位プロトコルがIGMPの場合
{deny | permit} igmp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [<igmp type>][{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>} ] [user-priority <priority>]
- フラグメントパケット指定の場合
{deny | permit} {ip | <protocol> | icmp | igmp | tcp | udp} {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [fragments] [vlan {<vlan id> | <vlan id list name>} ] [user-priority <priority>]
- 動作指定
- permit {フィルタ条件}の場合
action {policy interface vlan <vlan id> next-hop <next hop ipv4> | policy-list <policy list no.> | policy-switch-list <policy switch list no.>}
- deny {フィルタ条件}の場合
action log
- 情報の削除
- no access-list <access list number>
[入力モード]
(config)
[パラメータ]
- <access list number>
- アクセスリストを識別するための識別子を指定します。
- 本識別子はアクセスリストを参照するために使います。
- 本パラメータ省略時の初期値
省略できません
- 値の設定範囲
1〜199または1300〜2699(10進数)を指定します。
1〜99または1300〜1999(10進数)は,IPv4アドレスフィルタ専用の識別子です。
100〜199または2000〜2699(10進数)は,IPv4パケットフィルタ専用の識別子です。
- remark <remark>
- アクセスリストの補足説明を設定します。
- 一つのIDに対して一行だけ設定可能です。再度入力した場合は上書きになります。
- 本パラメータ省略時の初期値
初期値はNULLです。
- 値の設定範囲
64文字以内の文字列をダブルクォート(")で囲んで設定します。入力可能な文字は,英数字と特殊文字です。入力文字列にスペースなどの特殊文字を含まない場合,文字列をダブルクォート(")で囲まなくても設定できます。詳細は,「パラメータに指定できる値」の「■任意の文字列」を参照してください。
- <sequence>
- フィルタ条件の適用順序を指定します。
- 本パラメータ省略時の初期値
アクセスリスト内に条件がない場合,初期値は10です。
条件を設定してある場合,設定してある適用順序の最大値+10です。
ただし,適用順序の最大値が4294967284より大きい値の場合は省略できません。
- 値の設定範囲
1〜4294967294(10進数)を指定します。
フィルタ条件パラメータ
- {deny | permit}
- フィルタ条件に一致した場合のフィルタ動作を指定します。
- denyを指定した場合,アクセスを拒否します。
- permitを指定した場合,アクセスを許可します。
- 本パラメータ省略時の初期値
省略できません
- 値の設定範囲
denyまたはpermitを指定します。
- {<ipv4> [<ipv4 wildcard>] | host <ipv4> | any}
- IPv4アドレスを指定します。
- すべてのIPv4アドレスを指定する場合はanyを指定します。
- 本パラメータ省略時の初期値
省略できません
- 値の設定範囲
<ipv4> [<ipv4 wildcard>]または,host <ipv4>,anyを指定します。
<ipv4>にはIPv4アドレスを指定します。
[<ipv4 wildcard>]にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。省略した場合は<ipv4>の完全一致をフィルタ条件とします。
host <ipv4>を入力した場合は<ipv4>の完全一致をフィルタ条件とします。
anyを指定すると,IPv4アドレスをフィルタ条件とはしません。
IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0〜255.255.255.255
- {ip | <protocol> | icmp | igmp | tcp | udp}
- IPv4パケットの上位プロトコル条件を指定します。
- ただし,すべてのプロトコルを対象とする場合はipを指定します。
- 本パラメータ省略時の初期値
省略できません
- 値の設定範囲
0〜255(10進数)またはプロトコル名称を指定します。
指定可能なプロトコル名称は「表4-1 指定可能なプロトコル名称(IPv4)」を参照してください。
- {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>}
- 送信元IPv4アドレスを指定します。
- すべての送信元IPv4アドレスを指定する場合はanyを指定します。
- 本パラメータ省略時の初期値
省略できません
- 値の設定範囲
<source ipv4> <source ipv4 wildcard>,host <source ipv4>,any,own-address <source ipv4 wildcard>,host own-address,ownまたはrange-address <source ipv4 start> <source ipv4 end>を指定します。
<source ipv4>には送信元IPv4アドレスを指定します。
<source ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。
host <source ipv4>を入力した場合は<source ipv4>の完全一致をフィルタ条件とします。
anyを指定すると,送信元IPv4アドレスをフィルタ条件とはしません。
own-addressおよびownは,VLANインタフェースに対してのaccess-groupコマンドだけ有効になります。
range-addressはイーサネットインタフェースまたはVLANインタフェースに対してのaccess-groupコマンドだけ有効になります。
own-addressを指定した場合は,対象インタフェースに設定されているIPv4アドレスを送信元IPv4アドレスとしてフィルタ条件にします。
ownを指定した場合は,対象インタフェースに設定されているIPv4アドレスのネットワークアドレス部をフィルタ条件にします。ホストアドレス部は任意としてフィルタ条件にします。
なお,own-addressおよびownを指定したインタフェースがマルチホームの場合は,プライマリIPv4アドレスが対象になります。
range-addressを指定した場合は,<source ipv4 start>から<source ipv4 end>の範囲をフィルタ条件とします。
<source ipv4 end>は<source ipv4 start>より大きいIPv4アドレスを指定してください。
IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0 〜 255.255.255.255
- {{eq | neq} <source port> | range <source port start> <source port end>}
- 送信元ポート番号を指定します。
- プロトコルがTCPおよびUDPだけのオプションです。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
0〜65535(10進数),またはポート名称を指定します。
指定可能なポート名称は「表4-3 TCPで指定可能なポート名称」および「表4-4 UDPで指定可能なポート名称(IPv4)」を参照してください。
eqを指定した場合は,<source port>の完全一致をフィルタ条件とします。
neqを指定した場合は,<source port>以外をフィルタ条件とします。
rangeを指定した場合は,<source port start>から<source port end>の範囲をフィルタ条件とします。
<source port end>は<source port start>より大きいポート番号を指定してください。
- {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>}
- 宛先IPv4アドレスを指定します。
- すべての宛先IPv4アドレスを指定する場合はanyを指定します。
- 本パラメータ省略時の初期値
省略できません
- 値の設定範囲
<destination ipv4> <destination ipv4 wildcard>,host <destination ipv4>,any,own-address <destination ipv4 wildcard>,host own-address,ownまたはrange-address <destination ipv4 start> <destination ipv4 end>を指定します。
<destination ipv4>には宛先IPv4アドレスを指定します。
<destination ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。
host <destination ipv4>を入力した場合は,<destination ipv4>の完全一致をフィルタ条件とします。
anyを指定すると,宛先IPv4アドレスをフィルタ条件とはしません。
own-addressおよびownは,VLANインタフェースに対してのaccess-groupコマンドだけ有効になります。
range-addressはイーサネットインタフェースまたはVLANインタフェースに対してのaccess-groupコマンドだけ有効になります。
own-addressを指定した場合は,対象インタフェースに設定されているIPv4アドレスを宛先IPv4アドレスとしてフィルタ条件にします。
ownを指定した場合は,対象インタフェースに設定されているIPv4アドレスのネットワークアドレス部をフィルタ条件にします。ホストアドレス部は任意としてフィルタ条件にします。
なお,own-addressおよびownを指定したインタフェースがマルチホームの場合はプライマリIPv4アドレスが対象になります。
range-addressを指定した場合は<destination ipv4 start>から<destination ipv4 end>の範囲をフィルタ条件とします。
<destination ipv4 end>は<destination ipv4 start>より大きいIPv4アドレスを指定してください。
IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0 〜 255.255.255.255
- {{eq | neq} <destination port> | range <destination port start> <destination port end>}
- 宛先ポート番号を指定します。
- プロトコルがTCPおよびUDPだけのオプションです。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
0〜65535(10進数)またはポート名称を指定します。
指定可能なポート名称は「表4-3 TCPで指定可能なポート名称」および「表4-4 UDPで指定可能なポート名称(IPv4)」を参照してください。
eqを指定した場合は,<destination port>の完全一致をフィルタ条件とします。
neqを指定した場合は,<destination port>以外をフィルタ条件とします。
rangeを指定した場合は,<destination port start>から<destination port end>の範囲をフィルタ条件とします。
<destination port end>は<destination port start>より大きいポート番号を指定してください。
- tos <tos>
- 本パラメータは,ToSフィールドのビット3〜6の4ビットであるtos値を指定します。
- 受信パケットのToSフィールドのビット3〜6の4ビットと比較します。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
0〜15(10進数)またはtos名称を指定します。
指定可能なtos名称は「表4-6 指定可能なtos名称」を参照してください。
- precedence <precedence>
- 本パラメータは,ToSフィールドの上位3ビットであるprecedence値を指定します。
- 受信パケットのToSフィールド上位3ビットと比較します。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
0〜7(10進数)またはprecedence名称を指定します。
指定可能なprecedence名称は「表4-7 指定可能なprecedence名称」を参照してください。
- dscp <dscp>
- 本パラメータは,ToSフィールドの上位6ビットであるDSCP値を指定します。
- 受信パケットのToSフィールド上位6ビットと比較します。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
0〜63(10進数)またはDSCP名称を指定します。
指定可能なDSCP名称は「表4-8 指定可能なDSCP名称」を参照してください。
- established
- TCPヘッダのACKフラグまたはRSTフラグが1のパケットの検出を指定します。
- プロトコルがTCPだけのオプションです。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
なし
- {ack | +ack | -ack}
- TCPヘッダのACKフラグの検出を指定します。
- プロトコルがTCPだけのオプションです。
- ackまたは+ackはACKフラグが1のパケット,-ackはACKフラグが0のパケットとなります。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
なし
- {fin | +fin | -fin}
- TCPヘッダのFINフラグの検出を指定します。
- プロトコルがTCPだけのオプションです。
- finまたは+finはFINフラグが1のパケット,-finはFINフラグが0のパケットとなります。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
なし
- {psh | +psh | -psh}
- TCPヘッダのPSHフラグの検出を指定します。
- プロトコルがTCPだけのオプションです。
- pshまたは+pshはPSHフラグが1のパケット,-pshはPSHフラグが0のパケットとなります。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
なし
- {rst | +rst | -rst}
- TCPヘッダのRSTフラグの検出を指定します。
- プロトコルがTCPだけのオプションです。
- rstまたは+rstはRSTフラグが1のパケット,-rstはRSTフラグが0のパケットとなります。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
なし
- {syn | +syn | -syn}
- TCPヘッダのSYNフラグの検出を指定します。
- プロトコルがTCPだけのオプションです。
- synまたは+synはSYNフラグが1のパケット,-synはSYNフラグが0のパケットとなります。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
なし
- {urg | +urg | -urg}
- TCPヘッダのURGフラグの検出を指定します。
- プロトコルがTCPだけのオプションです。
- urgまたは+urgはURGフラグが1のパケット,-urgはURGフラグが0のパケットとなります。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
なし
- <icmp type>
- ICMPタイプを指定します。
- プロトコルがICMPだけのオプションです。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
0〜255(10進数)を指定します。
- <icmp code>
- ICMPコードを指定します。
- プロトコルがICMPだけのオプションです。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
0〜255(10進数)を指定します。
- <icmp message>
- ICMPメッセージ名称を指定します。
- プロトコルがICMPだけのオプションです。
- 指定可能なICMPメッセージ名称は「表4-11 ICMPで指定可能なメッセージ名称(IPv4)」を参照してください。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
なし
- <igmp type>
- IGMPタイプを指定します。
- プロトコルがIGMPだけのオプションです。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
0〜255(10進数)を指定します。
- fragments
- 2番目以降のフラグメントパケットを指定します。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
なし
- vlan {<vlan id> | <vlan id list name>}
- VLAN IDまたはVLANリスト名称を指定します。
- 本パラメータはイーサネットインタフェースに適用した場合だけ有効です。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
VLAN IDまたはVLANリスト名称を指定します。
VLAN IDについては,「パラメータに指定できる値」を参照してください。
- user-priority <priority>
- ユーザ優先度を指定します。
- 本パラメータ省略時の初期値
なし(検出条件としません)
- 値の設定範囲
0〜7(10進数)を指定します。
動作パラメータ
- action
- 動作パラメータを設定,変更する場合は,必ず本パラメータを動作パラメータ全体の先頭に設定してください。
- 本パラメータ省略時の初期値
なし(動作指定をする場合は省略できません)
- 値の設定範囲
なし
- policy interface vlan <vlan id> next-hop <next hop ipv4>
- ポリシーベースルーティングの出力先を指定します。
- 本パラメータ省略時の初期値
なし(ポリシーベースルーティングを使用しません)
- 値の設定範囲
<vlan id>
VLAN IDについては,「パラメータに指定できる値」を参照してください。
<next hop ipv4>
ネクストホップIPv4アドレスを指定します。
指定した送信先インタフェースに接続するネットワーク内のアドレスを指定してください。ただし,指定した送信先インタフェースに接続するネットワークへのダイレクトブロードキャスト,および指定した送信先インタフェースに設定しているアドレスは指定できません。
- policy-list <policy list no.>
- ポリシーベースルーティングのリスト番号を指定します。
- 本パラメータ省略時の初期値
なし(ポリシーベースルーティングを使用しません)
- 値の設定範囲
policy-listコマンドで設定済みのポリシーベースルーティングのリスト番号を指定します。
- policy-switch-list <policy switch list no.>
- ポリシーベーススイッチングのリスト番号を指定します。
- 本パラメータ省略時の初期値
なし(ポリシーベーススイッチングを使用しません)
- 値の設定範囲
policy-switch-listコマンドで設定済みのポリシーベーススイッチングのリスト番号を指定します。
- log
- 指定したアクセスリストで廃棄したパケットをアクセスリストロギングの対象とします。
- 本パラメータ省略時の初期値
なし(アクセスリストロギングを使用しません)
- 値の設定範囲
なし
[コマンド省略時の動作]
なし
[通信への影響]
アクセスリストをインタフェースに適用した状態でエントリを追加または変更すると,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信したパケットが一時的に廃棄される場合があります。
[設定値の反映契機]
設定値変更後,すぐに運用に反映されます。
[注意事項]
- IPv4アドレスフィルタでは,対応するIPホストアドレスを指定するときにマスクを省略すると,0.0.0.0がマスクとして使用されます。
- ip access-list standardで指定した1-99または1300-1999の<access list number>と同じリストを操作できます。
- ip access-list extendedで指定した100-199または2000-2699の<access list number>と同じリストを操作できます。
- IPv4アドレスワイルドカードマスク,送信元アドレスワイルドカードマスクおよび宛先アドレスワイルドカードマスクに255.255.255.255と入力したときはanyと表示します。
- IPv4アドレス,送信元アドレスおよび宛先アドレスにnnn.nnn.nnn.nnn 0.0.0.0と入力したときはhost nnn.nnn.nnn.nnnと表示します。
- 動作パラメータにポリシーベースルーティングを指定する場合,フィルタ条件に設定する送信元IPv4アドレスおよび宛先IPv4アドレスに次のアドレスは指定できません。
- 送信元IPv4アドレス
- マルチキャストアドレス,内部ループバックアドレス
- 宛先IPv4アドレス
- マルチキャストアドレス,制限付きブロードキャストアドレス,内部ループバックアドレス
- 動作パラメータにポリシーベーススイッチングを指定する場合,指定したポリシーベーススイッチングのリストで設定しているVLAN IDをフィルタ条件パラメータのvlanに指定してください。このとき,VLANリスト名称では指定できません。
- 動作指定にlogを指定したアクセスリストを設定する場合,system hardware-modeのaccess-logを設定してください。
[関連コマンド]
ip access-group
ip access-list resequence
vlan-list
policy-list
policy-switch-list
All Rights Reserved, Copyright(C), 2006, 2018, ALAXALA Networks, Corp.