名前付き拡張ACLを設定する « 前項
コマンド
名前付き拡張ACLの作成
ip access-list extended [ name (word) ] | |
デフォルト コマンドモード |
無効 グローバルコンフィギュレーションモード |
条件の指定
[ シーケンス番号 ] [ permit | deny ] [ protocol ] [
source_IP ] [ wildcard ] [ 演算子 ] [ source_port ] [
dest_IP ] [ wildcard ] [ 演算子 ] [ dest_port ] [ established ] [log] |
|
コマンドモード 使用ガイド |
無効 ACLコンフィギュレーションモード シーケンス番号は省略可能 省略した場合は10毎にシーケンス番号が振られる protocol ・・・ プロトコル名を指定(ip/icmp/tcp/udpなど) source_IP・・・ 送信元アドレスを指定 any指定で全ての送信元アドレスを対象 wildcard ・・・ ワイルドカードマスクを指定 dest_IP ・・・ 宛先アドレスを指定 any指定で全ての宛先アドレスを対象 dest_port・・・ 宛先ポート番号指定(0~65535) 省略で全ポート対象 ※プロトコル名指定も可能 established・・・ ACKまたはRSTビットの立っているパケットがACLの合致対象となる log・・・ ACL条件に合致したパケットがある場合にログを出力する |
ACLのインターフェイスへの適用
ip access-group [ ACL_name(word) ] [ in | out ] | |
デフォルト コマンドモード 使用ガイド |
無効 インターフェースコンフィギュレーションモード 物理インタフェース及びVLANインタフェースに設定可能 inとoutは排他利用 |
初期値
-
無効
想定シナリオ
1番ポートに着信する宛先アドレスが192.168.1.0/23のHTTPパケットを遮断する
1番ポートに着信する宛先アドレスが192.168.2.0/24のHTTPSパケットを透過する
1番ポートに着信する送信元アドレスが192.168.3.0/25のUDPパケットを遮断する
パケットがACLに合致した際にログを出力する
設定例
FXC(config)# FXC(config-ext-nacl)# FXC(config-ext-nacl)# FXC(config-ext-nacl)# FXC(config-ext-nacl)# FXC(config-ext-nacl)# FXC(config)# FXC(config-if-GigabitEthernet 0/1)# FXC(config-if-GigabitEthernet 0/1)# |
configure terminal ip access-list extended ACL_1 permit ip any any exit interface gigabitEthernet 0/1 ip access-group ACL_1 in |
名前付き拡張ACL(ACL_1)を作成 パケットを遮断するルールを作成 パケットを透過するルールを作成 パケットを遮断するルールを作成 (暗黙のdenyのため明示的に許可する設定が必要) 1番ポートを選択 パケット着信時のルールとしてACL_1を指定 |