アクセスリストはグローバルコンフィグレーションモードで作成してから、適用するインタフェースのインタフェースコンフィグレーションモードで適用する
1つのステートメントの定義もされていないアクセスリストをインタフェースに適用すると、全てのトラフィックの通過を許可してしまう
1つのアクセスリストには少なくとも1つのpermitステートメントが必要
トラフィックは必ず一番上のアクセスリストのステートメントから照合されていくので、ヒットする可能性の高いステートメントから先に配置していく
全てのアクセスリストの末尾には「implicit deny any (暗黙の全否定)」が有効になっている。いかなるステートメントにもヒットしなかったトラフィックはすべて拒否される
Ciscoの経験法則では、標準アクセスリストは宛先に最も近いところに、拡張アクセスリストは送信元に最も近いところに設定する。
作成したアクセスリストをTelnetに適用する場合は、インタフェースに適用するコマンドと異なる。
Router(config)#line vty 0 4
Router(config-line)#access-class
<アクセスリスト番号> {in | out}
show < ip | ipx > interface :インタフェースに適用されているアクセスリスト番号をプロトコル毎に表示。show interface では表示しない。
show running-config :アクセスリストがどのインタフェースに適用されているかを表示
show access-lists :アクセスリストの内容を表示
show < ip | ipx > access-list :プロトコル毎のアクセスリストの内容を表示
Router(config)#access-list <アクセスリスト番号>
{permit | deny} <発信元IPアドレス> {
発信元ワイルドカード }
Router(config)#interface ethernet 0
Router(config-if)#ip access-group <アクセスリスト番号>
{in | out}
{ 発信元ワイルドカード } 省略可能だが指定しないと
ワイルドカード 0.0.0.0 が適用される。
2進数に展開したとき、0のビットは合致しなければならないポジションであることを示す。1のビットは「問わない」(0でも1でも可)ことを示す
{in | out} を指定しないとデフォルトでoutになる
<発信元アドレス> と { 発信元ワイルドカード } の省略形 (IPアクセスリストで共通)
Router(config)#access-list <アクセスリスト番号>
{permit | deny} <プロトコル> <発信元IPアドレス>
<発信元ワイルドカード> <宛先アドレス>
<宛先ワイルドカード> {ポート番号}
{established} {log}
Router(config)#interface ethernet 0
Router(config-if)#ip access-group <アクセスリスト番号>
{in | out}
<プロトコル> には、IP/TCP/UDP/ICMP/GRE/IGRP などを指定します。
{ 発信元ワイルドカード } は省略不可
{ポート番号} は lt (less than、より小さい)、 gt (greater than、より大きい)、 eq (equal to、と等しい)、 neq (not equal to、と等しくない) のいずれかに続けてプロトコルポート番号を指定する
{established} はインバウンドTCPに対してのみ使われる。確立済み接続をパケットが使う場合(ACKビットを設定するなど)に、TCPトラフィックを通過可能にする
{log} を設定するとそのアクセスリストがヒットする度にコンソールにメッセージを送る
Router(config)#access-list { standard | extended } <アクセスリスト名>
Router(config { std- | ext- }nacl)#{permit | deny} <test
conditions>
Router(config)#interface ethernet 0
Router(config-if)#ip access-group <アクセスリスト名>
{in | out}
<test conditions> は、standard を選択したらIP標準アクセスリスト、extendedを選択すればIP拡張アクセスリストのシンタックスに準ずる
Router(config)#access-list <アクセスリスト番号>
{permit | deny} <発信元IPXネットワーク番号>.{発信元ノード番号
{ワイルドカードマスク}} {<宛先IPXネットワーク番号>.{宛先ノード番号
{ワイルドカードマスク}}}
Router(config)#interface ethernet 0
Router(config-if)#ipx access-group <アクセスリスト番号>
{in | out}
発信元や宛先のIPXネットワーク番号 に 「-1」を指定するとそれは全てのネットワークを示す。(IPXアクセスリストで共通)
Router(config)#access-list <アクセスリスト番号>
{permit | deny} <発信元IPXネットワーク番号>.{発信元ノード番号
{ワイルドカードマスク}} <発信元ソケット番号>
<宛先IPXネットワーク番号>.{宛先ノード番号
{ワイルドカードマスク}} <宛先ソケット番号>
{ log }
Router(config)#interface ethernet 0
Router(config-if)#ipx access-group <アクセスリスト番号>
{in | out}
ネットワーク番号0はローカルネットワークを表し、-1はすべてのネットワークを表します。上位桁の0は省略できます。たとえば000000AAはAAとすることができます。 以下にIPXプロトコル番号とソケット番号の例をいくつか示します。
IPXプロトコル番号(10進表記)IPXプロトコル(パケットタイプ)
-1 | ワイルドカード;すべてのパケットタイプに対応 |
0 | すべてのプロトコルに対応;ソケット番号でパケットの タイプを決定 |
1 | Routing Information Protocol (RIP) |
4 | Service Advertisement Protocol (SAP) |
5 | Sequenced Packet Exchange (SPX) |
17 | NetWare Core Protocol (NCP) |
20 | IPX NetBIOS |
IPXソケット番号(16進表記)IPXプロトコル(ソケット)
0 | すべてのソケット |
451 | NetWare Core Protocol (NCP) process |
452 | Service Advertisement Protocol (SAP) process |
453 | Routing Information Protocol (RIP) process |
455 | Novell NetBIOS process |
456 | Novell diagnostic packet |
457 | Novell serialization socket |
4000-7FFF | Dynamic sockets; ワークステーションがファイルサーバその他のネットワークサーバと通信するために使われる。 |
8000-FFFF | Novell社に指定されたWell-known sockets |
Router(config)#access-list <アクセスリスト番号>
{permit | deny} <発信元IPXネットワーク番号>.{発信元ノード番号
{ワイルドカードマスク}} <サービスタイプ番号
{サーバ名}>
Router(config)#interface ethernet 0
Router(config-if)#ipx { output-sap-filter | input-sap-filter }
<アクセスリスト番号>
参照:Ciscoデバイス相互接続入門-CCNA試験番号640-507対応(ソフトバンク)/