11.2.23 拡張IPアクセスリストの生成

[書式]

ip-access-list list-id action protocol src-info dst-info
ip-access-list extended name action protocol src-info dst-info
no ip-access-list list-id action protocol src-info dst-info
no ip-access-list extended name action protocol src-info dst-info

[パラメーター]

list-id

:

<100 - 199>|<2000 - 2699>

拡張IPアクセスリストID

name

:

アクセスリストの名前 (32文字以下で大文字小文字を区別する。数字のみの文字列は設定できない。)

action

:

アクセス条件に対する動作

設定値	説明
deny	アクセス条件に対する動作を"拒否"する
permit	アクセス条件に対する動作を"許可"する

protocol

:

対象とするプロトコル種別

設定値	説明
<0 - 255>	IPヘッダのプロトコル番号
any	すべてのIPv4パケット
tcp	TCPパケット
udp	UDPパケット

src-info

:

条件とする送信元IPv4アドレス情報

設定値	説明
A.B.C.D E.F.G.H	ワイルドカードビット(E.F.G.H)付きのIPv4アドレス(A.B.C.D)で指定する
any	送信元IPv4アドレス情報を設定しない(すべてのIPを受け入れる)

dst-info

:

条件とする送信先IPv4アドレス情報

指定方法は送信元IPv4アドレス情報(src-info)と同じ

[入力モード]

グローバルコンフィグレーションモード

[説明]

拡張IPアクセスリストを生成する。

拡張IPアクセスリストは、標準IPアクセスリストより詳細な情報で(一部のプロトコル＋宛先情報)でフィルタリングしたい場合に有効である。

リストの生成には、定義されたIDを指定する方法と、任意の名称をつける方法の2通りがある。

トラフィック分類条件に適用させる場合は、クラスマップモードでmatch access-groupコマンドを実行すること。

同一IDに対し、登録数が30になるまで設定を繰り返すことができる。

[ノート]

本コマンドを実行するには、QoSを有効にしておくこと。

登録数の上限を超えた場合や、既に登録済みの内容を指定した場合は、エラーとなる。

拡張IPアクセスリストのIDは、MACアクセスリストのIDと共有する。MACアクセスリストで指定IDを使用している場合は、エラーとなる。

[設定例]

送信元192.168.1.0/24および192.168.2.0/24のセグメントから、10.1.1.1への通信を許可する拡張IPアクセスリスト #100を作成する

SWX2300(config)#ip-access-list 100 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1
SWX2300(config)#ip-access-list 100 permit any 192.168.2.0 0.0.0.255 host 10.1.1.1

送信元192.168.1.0/24および192.168.2.0/24のセグメントから、10.1.1.1への通信を許可する拡張IPアクセスリストTESTを作成する

SWX2300(config)#ip-access-list extended TEST permit any 192.168.1.0 0.0.0.255 host 10.1.1.1
SWX2300(config)#ip-access-list extended TEST permit any 192.168.2.0 0.0.0.255 host 10.1.1.1

拡張IPアクセスリスト #100から送信元192.168.1.0/24を削除する

SWX2300(config)#no ip-access-list 100 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1

拡張IPアクセスリストTESTから送信元192.168.1.0/24を削除する

SWX2300(config)#no ip-access-list extended TEST permit any 192.168.1.0 0.0.0.255 host 10.1.1.1