13.2.26 拡張IPv4アクセスリストの生成

[書式]


[パラメーター]

list-id : <100 - 199>|<2000 - 2699>
拡張IPv4アクセスリストID
name : アクセスリスト名 (32文字以下で大文字小文字を区別する。数字のみの文字列は設定できない。)
 
action : アクセス条件に対する動作
設定値 説明
deny アクセス条件に対する動作を"拒否"する
permit アクセス条件に対する動作を"許可"する
protocol : 対象とするプロトコル種別
設定値 説明
<0 - 255> IPヘッダのプロトコル番号
any すべてのIPv4パケット
tcp TCPパケット
udp UDPパケット
src-info : 条件とする送信元IPv4アドレス情報
設定値 説明
A.B.C.D E.F.G.H ワイルドカードビット(E.F.G.H)付きのIPv4アドレス(A.B.C.D)で指定する
any 送信元IPv4アドレス情報を設定しない(すべてのIPv4アドレスを受け入れる)
dst-info : 条件とする送信先IPv4アドレス情報

指定方法は送信元IPv4アドレス情報(src-info)と同じ

[入力モード]

グローバルコンフィグレーションモード

[説明]

拡張IPv4アクセスリストを生成する。

拡張IPv4アクセスリストは、標準IPv4アクセスリストより詳細な情報で(一部のプロトコル+宛先情報)でフィルタリングしたい場合に有効である。

リストの生成には、定義されたIDを指定する方法と、任意の名称をつける方法の2通りがある。

トラフィック分類条件に適用させる場合は、クラスマップモードでmatch access-groupコマンドを実行すること。

同一IDに対し、登録数が30になるまで設定を繰り返すことができる。

[ノート]

本コマンドを実行するには、QoSを有効にしておくこと。

登録数の上限を超えた場合や、既に登録済みの内容を指定した場合は、エラーとなる。

拡張IPv4アクセスリストのIDは、MACアクセスリストのIDと共有する。MACアクセスリストで指定IDを使用している場合は、エラーとなる。

[設定例]

送信元192.168.1.0/24および192.168.2.0/24のセグメントから、10.1.1.1への通信を許可する拡張IPv4アクセスリスト #100を作成する
SWX2300(config)#ip-access-list 100 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1
SWX2300(config)#ip-access-list 100 permit any 192.168.2.0 0.0.0.255 host 10.1.1.1
送信元192.168.1.0/24および192.168.2.0/24のセグメントから、10.1.1.1への通信を許可する拡張IPv4アクセスリスト"TEST"を作成する
SWX2300(config)#ip-access-list extended TEST permit any 192.168.1.0 0.0.0.255 host 10.1.1.1
SWX2300(config)#ip-access-list extended TEST permit any 192.168.2.0 0.0.0.255 host 10.1.1.1
拡張IPv4アクセスリスト #100から送信元192.168.1.0/24を削除する
SWX2300(config)#no ip-access-list 100 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1
拡張IPv4アクセスリスト"TEST"から送信元192.168.1.0/24を削除する
SWX2300(config)#no ip-access-list extended TEST permit any 192.168.1.0 0.0.0.255 host 10.1.1.1