名前付き拡張ACLを設定する « 前項


コマンド

名前付き拡張ACLの作成
ip access-list extended [ name (word) ]
デフォルト
コマンドモード
無効
グローバルコンフィギュレーションモード
条件の指定
[ シーケンス番号 ] [ permit | deny ] [ protocol ] [ source_IP ] [ wildcard ] [ 演算子 ] [ source_port ] [ dest_IP ] [ wildcard ]
[ 演算子 ] [ dest_port ] [ established ] [log]
デフォルト
コマンドモード
使用ガイド
無効
ACLコンフィギュレーションモード
シーケンス番号は省略可能 省略した場合は10毎にシーケンス番号が振られる
シーケンス番号の順にACLが処理され、最後まで設定したACLに一致しないパケットは暗黙のdenyによって破棄される
permit | deny・・・   許可 | 拒否
protocol ・・・     プロトコル名を指定(ip/icmp/tcp/udpなど)
source_IP・・・     送信元アドレスを指定 any指定で全ての送信元アドレスを対象
wildcard ・・・      ワイルドカードマスクを指定
演算子・・・       ポート番号の前に指定 eq(等しい)/neq(等しくない)/gt(より大きい)/lt(より小さい)/range(範囲指定)
source_port・・・    送信元ポート番号指定(0~65535) 省略で全ポート対象 ※プロトコル名指定も可能
dest_IP ・・・      宛先アドレスを指定 any指定で全ての宛先アドレスを対象
dest_port・・・     宛先ポート番号指定(0~65535) 省略で全ポート対象 ※プロトコル名指定も可能
established・・・    ACKまたはRSTビットの立っているパケットがACLの合致対象となる
log・・・        ACL条件に合致したパケットがある場合にログを出力する
ACLのインターフェイスへの適用
ip access-group [ ACL_name(word) ] [ in | out ]
デフォルト
コマンドモード
使用ガイド
 
無効
インターフェースコンフィギュレーションモード
物理インタフェース及びVLANインタフェースに設定可能
inとoutは排他利用

初期値

    無効

想定シナリオ

1番ポートに着信する宛先アドレスが192.168.1.0/23のHTTPパケットを遮断する
1番ポートに着信する宛先アドレスが192.168.2.0/24のHTTPSパケットを透過する
1番ポートに着信する送信元アドレスが192.168.3.0/25のUDPパケットを遮断する
パケットがACLに合致した際にログを出力する

設定例

FXC#
FXC(config)#
FXC(config-ext-nacl)#
FXC(config-ext-nacl)#
FXC(config-ext-nacl)#
FXC(config-ext-nacl)#

FXC(config-ext-nacl)#
FXC(config)#
FXC(config-if-GigabitEthernet 0/1)#
FXC(config-if-GigabitEthernet 0/1)#
configure terminal
ip access-list extended ACL_1
deny tcp any 192.168.1.0 0.0.1.255 eq 80 log
permit tcp any 192.168.2.0 0.0.0.255 eq 443 log
deny udp 192.168.3.0 0.0.0.63 any log
permit ip any any

exit
interface gigabitEthernet 0/1
ip access-group ACL_1 in

名前付き拡張ACL(ACL_1)を作成
パケットを遮断するルールを作成
パケットを透過するルールを作成
パケットを遮断するルールを作成
全パケット許可するルールを作成
(暗黙のdenyのため明示的に許可する設定が必要)

1番ポートを選択
パケット着信時のルールとしてACL_1を指定

備考

なし

関連コマンド

ACLステータス確認
  show access-lists