ext-ip-acl-id | : | <100-199>, <2000-2699> | ||||||||||
拡張IPv4アクセスリストのID | ||||||||||||
action | : | アクセス条件に対する動作を指定する | ||||||||||
|
||||||||||||
protocol | : | 対象とするプロトコル種別を指定する | ||||||||||
|
||||||||||||
src-info | : | 条件とする送信元IPv4アドレス情報を設定する | ||||||||||
|
||||||||||||
src-port | : | <0-65535> | ||||||||||
PROTOCOLにtcp, udpを指定した場合、条件とする送信元ポート番号<0-65535>を指定する。省略することも可能
|
||||||||||||
dst-info | : | 条件とする宛先IPv4アドレス情報を設定する | ||||||||||
|
||||||||||||
dst-port | : | <0-65535> | ||||||||||
PROTOCOLにtcp, udpを指定した場合、条件とする宛先ポート番号<0-65535>を指定する。省略することも可能
|
なし
グローバルコンフィグレーションモード
拡張IPv4アクセスリストを生成する。
標準IPv4アクセスリストより詳細な情報で(一部のプロトコル+宛先情報)でフィルタリングしたい場合に有効。
生成したアクセスリストには、複数(MAX:39件)の条件を設定することができる。
生成した拡張IPアクセスリストを適用させる場合は、インターフェースモードのip access-groupコマンドを使用する。
no access-list ext-ip-acl-id action protocol src-info [src-port] dst-info [dst-port]形式は、条件全てが一致する拡張IPv4アクセスリストを削除する。
no access-list ext-ip-acl-id形式は、ext-ip-acl-idが一致する拡張IPv4アクセスリストを削除する。
LAN/SFPポートに適用しているアクセスリストは、no形式で削除することはできない。必ず適用を解除してから削除すること。
拡張IPv4アクセスリストのIDは、MACアクセスリストのIDと共有する。このため、MACアクセスリストで指定IDを使用している場合は、コマンド異常として扱われる。
src-port, dst-port 共に、rangeで範囲が指定できるが、このように範囲を指定した拡張IPv4アクセスリストはシステム全体で一つだけip access-groupコマンドでインターフェースに適用できる。
送信元192.168.1.0/24のセグメントから、172.16.1.1への通信を許可する拡張IPv4アクセスリスト #100を作成する。
SWX2300(config)#access-list 100 permit any 192.168.1.0 0.0.0.255 host 172.16.1.1
拡張IPアクセスリスト #100を削除する。
SWX2300(config)#no access-list 100