コンフィグレーションコマンドレファレンス Vol.2

permit(ip access-list extended)

IPv4パケットフィルタでのアクセスを許可する条件を指定します。

+foパラメータをフロー検出条件とする場合,レイヤ4ヘッダ条件はフロー検出条件に指定できません。

[入力形式]

情報の設定・変更
[<sequence>] permit <target flow> [<action specification>]
情報の削除
no <sequence>

<target flow>:

+foパラメータなしで,上位プロトコルがTCP,UDP,ICMPおよびIGMP以外の場合
{ip | <protocol>} {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own-prefix | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own-prefix | range-address <destination ipv4 start> <destination ipv4 end>} [{[tos <tos>] [precedence {<precedence> | range <precedence start> <precedence end>}] | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [-fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]
+foパラメータなしで,上位プロトコルがTCPの場合
tcp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own-prefix | range-address <source ipv4 start> <source ipv4 end>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own-prefix | range-address <destination ipv4 start> <destination ipv4 end>} [{{eq | neq} <destination port> | range <destination port start> <destination port end>}] [{[established] | [{+ack | -ack}] [{+fin | -fin}] [{+psh | -psh}] [{+rst | -rst}] [{+syn | -syn}] [{+urg | -urg}]}] [{[tos <tos>] [precedence {<precedence> | range <precedence start> <precedence end>}] | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [-fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]
+foパラメータなしで,上位プロトコルがUDPの場合
udp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own-prefix | range-address <source ipv4 start> <source ipv4 end>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own-prefix | range-address <destination ipv4 start> <destination ipv4 end>} [{{eq | neq} <destination port> | range <destination port start> <destination port end>}] [{[tos <tos>] [precedence {<precedence> | range <precedence start> <precedence end>}] | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [-fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]
+foパラメータなしで,上位プロトコルがICMPの場合
icmp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own-prefix | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own-prefix | range-address <destination ipv4 start> <destination ipv4 end>} [{{<icmp type> | range <icmp type start> <icmp type end>} [<icmp code>] | <icmp message>}] [{[tos <tos>] [precedence {<precedence> | range <precedence start> <precedence end>}] | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [-fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]
+foパラメータなしで,上位プロトコルがIGMPの場合
igmp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own-prefix | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own-prefix | range-address <destination ipv4 start> <destination ipv4 end>} [<igmp type>] [{[tos <tos>] [precedence {<precedence> | range <precedence start> <precedence end>}] | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [-fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]
+foパラメータありの場合
{ip | <protocol> | icmp | igmp | tcp | udp} {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own-prefix | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own-prefix | range-address <destination ipv4 start> <destination ipv4 end>} [{[tos <tos>] [precedence {<precedence> | range <precedence start> <precedence end>}] | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [+fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]

<action specification>:

action {policy-list <policy list name> | policy-mirror-list <destination interface list name>}

[入力モード]

(config-ext-nacl)

[パラメータ]

<sequence>

フロー検出条件の適用順序であるシーケンス番号を指定します。

  1. 本パラメータ省略時の初期値

    アクセスリスト内に条件がない場合,初期値は10です。

    条件を指定してある場合,指定してあるシーケンス番号の最大値+10です。

    ただし,シーケンス番号の最大値が4294967284より大きい値を指定した場合は省略できません。

  2. 値の設定範囲

    1〜4294967294(10進数)を指定します。

<target flow>パラメータ
{ip | <protocol> | icmp | igmp | tcp | udp}

IPv4パケットの上位プロトコル条件を指定します。ただし,すべてのプロトコルを対象とする場合はipを指定します。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    0〜255(10進数)またはプロトコル名称を指定します。

    指定できるプロトコル名称は「表7‒3 指定可能なプロトコル名称(IPv4)」を参照してください。

{{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own-prefix | range-address <source ipv4 start> <source ipv4 end>}

送信元IPv4アドレスを指定します。

host <source ipv4>を指定すると,<source ipv4>の完全一致をフロー検出条件とします。

すべての送信元IPv4アドレスを指定する場合はanyを指定します。anyを指定すると,送信元IPv4アドレスをフロー検出条件とはしません。

own-addressを指定すると,対象インタフェースに設定されているIPv4アドレスを送信元IPv4アドレスとしてフロー検出条件にします。

own-prefixを指定すると,対象インタフェースに設定されているIPv4アドレスのネットワークアドレス部をフロー検出条件にします。ホストアドレス部は任意とします。

なお,own-addressおよびown-prefixを指定したインタフェースがマルチホームの場合は,プライマリIPv4アドレスが対象になります。

range-addressを指定すると,<source ipv4 start>から<source ipv4 end>の範囲をフロー検出条件とします。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    <source ipv4>には送信元IPv4アドレスを指定します。

    <source ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。

    <source ipv4 end>には<source ipv4 start>より大きいIPv4アドレスを指定してください。

    IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0〜255.255.255.255

{{eq | neq} <source port> | range <source port start> <source port end>}

送信元ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

eqを指定すると,<source port>の完全一致をフロー検出条件とします。

neqを指定すると,<source port>以外をフロー検出条件とします。

rangeを指定すると,<source port start>から<source port end>の範囲をフロー検出条件とします。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜65535(10進数)またはポート名称を指定します。

    指定できるポート名称は「表7‒5 TCPで指定可能なポート名称」および「表7‒6 UDPで指定可能なポート名称(IPv4)」を参照してください。

    <source port end>には<source port start>より大きいポート番号を指定してください。

{{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own-prefix | range-address <destination ipv4 start> <destination ipv4 end>}

宛先IPv4アドレスを指定します。

host <destination ipv4>を指定すると,<destination ipv4>の完全一致をフロー検出条件とします。

すべての宛先IPv4アドレスを指定する場合はanyを指定します。anyを指定すると,宛先IPv4アドレスをフロー検出条件とはしません。

own-addressを指定すると,対象インタフェースに設定されているIPv4アドレスを宛先IPv4アドレスとしてフロー検出条件にします。

own-prefixを指定すると,対象インタフェースに設定されているIPv4アドレスのネットワークアドレス部をフロー検出条件にします。ホストアドレス部は任意とします。

なお,own-addressおよびown-prefixを指定したインタフェースがマルチホームの場合は,プライマリIPv4アドレスが対象になります。

range-addressを指定すると,<destination ipv4 start>から<destination ipv4 end>の範囲をフロー検出条件とします。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    <destination ipv4>には宛先IPv4アドレスを指定します。

    <destination ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。

    <destination ipv4 end>には<destination ipv4 start>より大きいIPv4アドレスを指定してください。

    IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0〜255.255.255.255

{{eq | neq} <destination port> | range <destination port start> <destination port end>}

宛先ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

eqを指定すると,<destination port>の完全一致をフロー検出条件とします。

neqを指定すると,<destination port>以外をフロー検出条件とします。

rangeを指定すると,<destination port start>から<destination port end>の範囲をフロー検出条件とします。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜65535(10進数)またはポート名称を指定します。

    指定できるポート名称は「表7‒5 TCPで指定可能なポート名称」および「表7‒6 UDPで指定可能なポート名称(IPv4)」を参照してください。

    <destination port end>には<destination port start>より大きいポート番号を指定してください。

tos <tos>

ToSフィールドのビット3〜6の4ビットであるtos値を指定します。

パケットのToSフィールドのビット3〜6の4ビットと比較します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜15(10進数)またはtos名称を指定します。

    指定できるtos名称は「表7‒8 指定可能なtos名称」を参照してください。

precedence {<precedence> | range <precedence start> <precedence end>}

ToSフィールドの上位3ビットであるprecedence値を指定します。

rangeを指定すると,<precedence start>から<precedence end>の範囲をフロー検出条件とします。

パケットのToSフィールド上位3ビットと比較します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜7(10進数)またはprecedence名称を指定します。

    指定できるprecedence名称は「表7‒9 指定可能なprecedence名称」を参照してください。

    rangeを指定する場合,<precedence start>と<precedence end>にはprecedence値を指定し,<precedence end>には<precedence start>より大きいprecedence値を指定してください。

dscp {<dscp> | range <dscp start> <dscp end>}

ToSフィールドの上位6ビットであるDSCP値を指定します。

rangeを指定すると,<dscp start>から<dscp end>の範囲をフロー検出条件とします。

パケットのToSフィールド上位6ビットと比較します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜63(10進数)またはDSCP名称を指定します。

    指定できるDSCP名称は「表7‒10 指定可能なDSCP名称」を参照してください。

    rangeを指定する場合,<dscp start>と<dscp end>にはDSCP値を指定し,<dscp end>には<dscp start>より大きいDSCP値を指定してください。

established

TCPヘッダのACKフラグまたはRSTフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

{+ack | -ack}

TCPヘッダのACKフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

+ackはACKフラグが1のパケット,-ackはACKフラグが0のパケットとなります。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

{+fin | -fin}

TCPヘッダのFINフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

+finはFINフラグが1のパケット,-finはFINフラグが0のパケットとなります。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

{+psh | -psh}

TCPヘッダのPSHフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

+pshはPSHフラグが1のパケット,-pshはPSHフラグが0のパケットとなります。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

{+rst | -rst}

TCPヘッダのRSTフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

+rstはRSTフラグが1のパケット,-rstはRSTフラグが0のパケットとなります。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

{+syn | -syn}

TCPヘッダのSYNフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

+synはSYNフラグが1のパケット,-synはSYNフラグが0のパケットとなります。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

{+urg | -urg}

TCPヘッダのURGフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

+urgはURGフラグが1のパケット,-urgはURGフラグが0のパケットとなります。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

{<icmp type> | range <icmp type start> <icmp type end>}

ICMPタイプを指定します。

rangeを指定すると,<icmp type start>から<icmp type end>の範囲をフロー検出条件とします。

プロトコルがICMPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜255(10進数)を指定します。

    <icmp type end>には<icmp type start>より大きいICMPタイプを指定してください。

<icmp code>

ICMPコードを指定します。

プロトコルがICMPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜255(10進数)を指定します。

<icmp message>

ICMPメッセージ名称を指定します。

プロトコルがICMPだけのオプションです。

指定できるICMPメッセージ名称は「表7‒13 ICMPで指定可能なメッセージ名称(IPv4)」を参照してください。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

<igmp type>

IGMPタイプを指定します。

プロトコルがIGMPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜255(10進数)を指定します。

length {upper | lower} <length>

IPユーザデータ長の上限値または下限値を指定します。

upper:上限値を指定します。<length>以下のパケットをフロー検出条件とします。

lower:下限値を指定します。<length>以上のパケットをフロー検出条件とします。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜65535(10進数)を指定します。

{+mf | -mf}

Flagsフィールドの下位1ビットであるMFフラグの値を指定します。

+mfはMFフラグが1のパケット,-mfはMFフラグが0のパケットをフロー検出条件とします。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

{+fo | -fo}

Fragment Offsetフィールドの値を指定します。

+foはFragment Offsetフィールドの値が0以外のパケット,-foはFragment Offsetフィールドの値が0のパケットをフロー検出条件とします。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

interface <interface type> <interface number>

入出力フレームが属するインタフェースを指定します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    <interface type> <interface number>には,次に示すインタフェース種別グループに対応するインタフェース名およびインタフェース番号を指定できます。詳細は,「パラメータに指定できる値」の「■インタフェースの指定方法」を参照してください。

    ・イーサネットサブインタフェース

    ・ポートチャネルサブインタフェース

    ・VLANインタフェース

untagged

Untaggedフレームの検出を指定します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

user-priority {<priority> | range <priority start> <priority end>}

ユーザ優先度を指定します。

rangeを指定すると,<priority start>から<priority end>の範囲をフロー検出条件とします。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜7(10進数)を指定します。

    <priority end>には<priority start>より大きいユーザ優先度を指定してください。

<action specification>パラメータ
action

フロー検出したパケットの動作を指定します。<action specification>パラメータ全体の先頭に指定してください。

  1. 本パラメータ省略時の初期値

    なし(動作を指定しません)

  2. 値の設定範囲

    なし

policy-list <policy list name>

ポリシーベースルーティングリスト名を指定します。

  1. 本パラメータ省略時の初期値

    なし(ポリシーベースルーティングを使用しません)

  2. 値の設定範囲

    ip policy-listコマンドで設定済みのポリシーベースルーティングリスト名を指定します。

policy-mirror-list <destination interface list name>

ポリシーベースミラーリングの送信先インタフェースリスト名を指定します。

  1. 本パラメータ省略時の初期値

    なし(ポリシーベースミラーリングを使用しません)

  2. 値の設定範囲

    destination-interface-listコマンドで設定済みの送信先インタフェースリスト名を指定します。

[コマンド省略時の動作]

なし

[通信への影響]

アクセスリストをインタフェースに適用した状態でエントリを変更すると,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信したパケットが一時的に廃棄される場合があります。

[設定値の反映契機]

設定値変更後,すぐに運用に反映されます。

[注意事項]

  1. 送信元アドレスワイルドカードマスクおよび宛先アドレスワイルドカードマスクに255.255.255.255と入力したときはanyと表示します。

  2. 送信元アドレスワイルドカードマスクおよび宛先アドレスワイルドカードマスクに0.0.0.0と入力したときはhost nnn.nnn.nnn.nnn,host own-addressと表示します。

  3. ポリシーベースルーティングを指定する場合,フロー検出条件に指定する送信元IPv4アドレスおよび宛先IPv4アドレスに次のアドレスは指定できません。

    送信元IPv4アドレス

    マルチキャストアドレス

    宛先IPv4アドレス

    マルチキャストアドレス,制限付きブロードキャストアドレス,host own-addressパラメータ

[関連コマンド]

ip access-group
ip access-list resequence
deny (ip access-list extended)
remark
ip policy-list
destination-interface-list

[商品名称に関する表示]

All Rights Reserved, Copyright(C), 2014, 2021, ALAXALA Networks, Corp.