- 差分 を表示
- ソース を表示
- Ciscoコマンド集/A/access-list へ行く。
6: 2009-03-26 (木) 13:35:37 staff | 現: 2009-08-04 (火) 16:02:28 staff_mita | ||
---|---|---|---|
Line 1: | Line 1: | ||
- | TITLE:拡張IPアクセスリストを作成する | + | TITLE:IPアクセスリストを作成する |
#norelated | #norelated | ||
#navi(Ciscoコマンド集) | #navi(Ciscoコマンド集) | ||
Line 11: | Line 11: | ||
:デフォルト|無効 | :デフォルト|無効 | ||
- | :IOS| | + | :IOS|10.0 |
:試験レベル| &tag(CCNA); | :試験レベル| &tag(CCNA); | ||
- | :構文|access-list '''番号''' { permit | deny } '''プロトコル''' '''送信元''' [オプション] '''宛先''' [オプション] | + | :構文| |
+ | ''標準アクセスリスト'' | ||
+ | access-list '''番号''' { permit | deny } '''source-address''' ['''wild card'''] [ log ] | ||
+ | ''拡張アクセスリスト'' | ||
+ | access-list '''番号''' { permit | deny } '''protocol''' '''source-address''' ['''wild card'''] ['''option source-port'''] '''destination-address''' ['''wild card'''] ['''option destination-port'''] ['''option'''] | ||
#footnotes(nohr); | #footnotes(nohr); | ||
Line 22: | Line 26: | ||
:使用例| | :使用例| | ||
+ | 標準アクセスリスト | ||
+ | #pre(soft){{ | ||
+ | Router(config)#access-list 1 deny host 192.168.2.3 | ||
+ | Router(config)#access-list 1 deny 192.168.3.0 0.0.0.0 log | ||
+ | Router(config)#access-list 1 permit any | ||
+ | }} | ||
+ | 拡張アクセスリスト | ||
#pre(soft){{ | #pre(soft){{ | ||
Router(config)#access-list 100 deny ip host 192.168.1.1 host 192.168.5.1 | Router(config)#access-list 100 deny ip host 192.168.1.1 host 192.168.5.1 | ||
Line 33: | Line 44: | ||
|70||c | |70||c | ||
|''パラメータ''|''意味''| | |''パラメータ''|''意味''| | ||
- | |'''番号''' |100〜199(2000〜2699)の範囲内で指定する。()内はIOS12.0以降で使用可能。| | + | |'''番号''' |標準アクセスリストは、1〜99(1300〜1999)の範囲内で指定する。&br;拡張アクセスリストは、100〜199(2000〜2699)の範囲内で指定する。&br;'''()内はIOS12.0以降で使用可能。'''| |
- | |'''プロトコル''' |プロトコルを指定する。| | + | |'''protocol''' |プロトコルを指定する。| |
- | |'''送信元''' |'''送信元IPアドレス''' ['''ワイルドカードマスク'''] ['''ポート番号'''] で指定する。'''ポート番号'''は'''プロトコルに'''TCP、UDPを指定した場合にwell-knownポート番号の値を使用する。ワイルドカードマスクの詳細は[[標準IPアクセスリスト>http://ping-t.com/modules/cisco/?Cisco%A5%B3%A5%DE%A5%F3%A5%C9%BD%B8%2F%A3%C1%2Faccess-list%28%C9%B8%BD%E0IP%A5%A2%A5%AF%A5%BB%A5%B9%A5%EA%A5%B9%A5%C8%29%A1%A6%A1%A6%A1%A6%A1%A6%A1%A6%C9%B8%BD%E0IP%A5%A2%A5%AF%A5%BB%A5%B9%A5%EA%A5%B9%A5%C8%A4%F2%BA%EE%C0%AE%A4%B9%A4%EB]]の項を参照のこと。| | + | |'''source-address''' |送信元のIPアドレスやネットワークアドレスを指定する。&br;なお、アドレス指定では無く''any''とすると''全てのネットワーク''が該当する。| |
- | |'''宛先'''|'''宛先IPアドレス''' ['''ワイルドカードマスク'''] ['''ポート番号'''] で指定する。'''ポート番号'''は'''プロトコルに'''TCP、UDPを指定した場合にwell-knownポート番号の値を使用する。ワイルドカードマスクの詳細は[[標準IPアクセスリスト>http://ping-t.com/modules/cisco/?Cisco%A5%B3%A5%DE%A5%F3%A5%C9%BD%B8%2F%A3%C1%2Faccess-list%28%C9%B8%BD%E0IP%A5%A2%A5%AF%A5%BB%A5%B9%A5%EA%A5%B9%A5%C8%29%A1%A6%A1%A6%A1%A6%A1%A6%A1%A6%C9%B8%BD%E0IP%A5%A2%A5%AF%A5%BB%A5%B9%A5%EA%A5%B9%A5%C8%A4%F2%BA%EE%C0%AE%A4%B9%A4%EB]]の項を参照のこと。| | + | |'''destination-address'''|宛先のIPアドレスやネットワークアドレスを指定する。&br;なお、アドレス指定では無く''any''とすると''全てのネットワーク''が該当する。| |
- | |'''オプション'''|echo(エコー要求)、echo-reply(エコー応答):'''プロトコル'''にICMPを指定した場合に指定できるオプションである。&br;log:条件文に当てはまる情報をログとして記録したい場合に指定する。| | + | |'''wild card-mask'''|アドレスに対するワイルドカードマスクを指定する。何も指定しない場合は、デフォルトで0.0.0.0が使用され、hostに置き換え可能である。&br;つまり「host 192.168.2.3」と「192.168.2.3 0.0.0.0」が同じ意味になる。| |
- | プロトコルにTCPやUDPを使いポート番号を指定する際に、下記のパラメータを使用する。 | + | |'''source-port'''/&br;'''destinaton-port'''|'''protocol'''にtcpやudpを使いポート番号を指定する事でより詳細な制御を行う事が出来る。&br;各パラメーターに関しては別途記載。| |
- | ・lt(=lower than:〜より小さい) | + | |'''option'''|'''protocol'''に応じた様々なオプションを設定する。| |
- | ・gt(=greater than:〜より大きい) | + | //|'''log'''|この条件文に当てはまる情報をログとして記録したい場合に指定する。| |
- | ・eq(=equal:〜と等しい) | + | |
- | ・neq(=not equal:〜と等しくない) | + | |
- | *ポート番号「23」は「telnet」と置き換え可能である。 | + | :source-port/destinaton-portについて| |
+ | '''protocol'''に''tcp''や''udp''を指定した場合、さらにポート番号の指定が可能になります。 | ||
+ | ポート番号を指定する事によって、より詳細な通信制御が可能になります。 | ||
+ | ポート番号を指定する際、'''source-port'''や'''destinaton-port'''に以下のパラメーラを指定します。 | ||
+ | |70||c | ||
+ | |''パラメータ''|''意味''| | ||
+ | |lt|lower than:〜より小さい| | ||
+ | |gt|greater than:〜より大きい| | ||
+ | |eq|equal:〜と等しい| | ||
+ | |neq|not equal:〜と等しくない| | ||
+ | //|echo|| | ||
+ | //|echo-reply|| | ||
+ | |||
+ | tcpプロトコルの中でもtelnet通信のみ制御をかける場合。 | ||
+ | #pre(soft){{ | ||
+ | Router(config)#access-list 100 deny tcp host 192.168.6.1 host 192.168.5.1 eq 23 | ||
+ | }} | ||
+ | |||
+ | なお、ポート番号が「23」であれば「telnet」と言った様にキーワードへ置き換え可能です。 | ||
+ | 以下に代表的なものを記載します。 | ||
+ | |70||c | ||
+ | |'''ポート番号'''|'''キーワード'''| | ||
+ | |20|ftp-date| | ||
+ | |21|ftp| | ||
+ | |23|telnet| | ||
+ | |25|smtp| | ||
+ | |80|www| | ||
+ | |110|pop3| | ||
+ | |||
+ | 実機上でヘルプコマンドを使用すると、置き換え可能なポート番号が表示されます。 | ||
+ | #pre(soft){{ | ||
+ | Router(config)#access-list 100 deny tcp host 192.168.1.1 host 192.168.2.1 eq ? | ||
+ | <0-65535> Port number | ||
+ | bgp Border Gateway Protocol (179) | ||
+ | chargen Character generator (19) | ||
+ | cmd Remote commands (rcmd, 514) | ||
+ | daytime Daytime (13) | ||
+ | discard Discard (9) | ||
+ | domain Domain Name Service (53) | ||
+ | echo Echo (7) | ||
+ | exec Exec (rsh, 512) | ||
+ | finger Finger (79) | ||
+ | ftp File Transfer Protocol (21) | ||
+ | ftp-data FTP data connections (20) | ||
+ | gopher Gopher (70) | ||
+ | hostname NIC hostname server (101) | ||
+ | ident Ident Protocol (113) | ||
+ | irc Internet Relay Chat (194) | ||
+ | klogin Kerberos login (543) | ||
+ | kshell Kerberos shell (544) | ||
+ | login Login (rlogin, 513) | ||
+ | lpd Printer service (515) | ||
+ | nntp Network News Transport Protocol (119) | ||
+ | pim-auto-rp PIM Auto-RP (496) | ||
+ | pop2 Post Office Protocol v2 (109) | ||
+ | pop3 Post Office Protocol v3 (110) | ||
+ | smtp Simple Mail Transport Protocol (25) | ||
+ | sunrpc Sun Remote Procedure Call (111) | ||
+ | syslog Syslog (514) | ||
+ | tacacs TAC Access Control System (49) | ||
+ | talk Talk (517) | ||
+ | telnet Telnet (23) | ||
+ | time Time (37) | ||
+ | uucp Unix-to-Unix Copy Program (540) | ||
+ | whois Nicname (43) | ||
+ | www World Wide Web (HTTP, 80) | ||
+ | }} | ||
+ | |||
+ | :optionについて| | ||
+ | '''protocol'''に応じて様々なオプションを定義する事が出来ます。 | ||
+ | 以下は、実機にて''tcp'',''udp'',''icmp''のオプションをヘルプ表示した結果になります。 | ||
+ | TCPプロトコルのACLオプション一覧 | ||
+ | #pre(soft){{ | ||
+ | Router(config)#access-list 100 deny tcp host 192.168.1.1 host 192.168.1.2 eq 23 ? | ||
+ | ack Match on the ACK bit | ||
+ | dscp Match packets with given dscp value | ||
+ | established Match established connections | ||
+ | fin Match on the FIN bit | ||
+ | log Log matches against this entry | ||
+ | log-input Log matches against this entry, including input interface | ||
+ | precedence Match packets with given precedence value | ||
+ | psh Match on the PSH bit | ||
+ | rst Match on the RST bit | ||
+ | syn Match on the SYN bit | ||
+ | time-range Specify a time-range | ||
+ | tos Match packets with given TOS value | ||
+ | urg Match on the URG bit | ||
+ | <cr> | ||
+ | }} | ||
+ | |||
+ | UDPプロトコルのACLオプション一覧 | ||
+ | #pre(soft){{ | ||
+ | Router(config)#access-list 100 deny udp host 192.168.1.1 host 192.168.1.2 eq 23 ? | ||
+ | dscp Match packets with given dscp value | ||
+ | log Log matches against this entry | ||
+ | log-input Log matches against this entry, including input interface | ||
+ | precedence Match packets with given precedence value | ||
+ | time-range Specify a time-range | ||
+ | tos Match packets with given TOS value | ||
+ | <cr> | ||
+ | }} | ||
+ | |||
+ | ICMPプロトコルのACLオプション一覧 | ||
+ | #pre(soft){{ | ||
+ | Router(config)#access-list 100 deny icmp host 192.168.1.1 host 192.168.1.2 ? | ||
+ | <0-255> ICMP message type | ||
+ | administratively-prohibited Administratively prohibited | ||
+ | alternate-address Alternate address | ||
+ | conversion-error Datagram conversion | ||
+ | dod-host-prohibited Host prohibited | ||
+ | dod-net-prohibited Net prohibited | ||
+ | dscp Match packets with given dscp value | ||
+ | echo Echo (ping) | ||
+ | echo-reply Echo reply | ||
+ | fragments Check non-initial fragments | ||
+ | general-parameter-problem Parameter problem | ||
+ | host-isolated Host isolated | ||
+ | host-precedence-unreachable Host unreachable for precedence | ||
+ | host-redirect Host redirect | ||
+ | host-tos-redirect Host redirect for TOS | ||
+ | host-tos-unreachable Host unreachable for TOS | ||
+ | host-unknown Host unknown | ||
+ | host-unreachable Host unreachable | ||
+ | information-reply Information replies | ||
+ | information-request Information requests | ||
+ | log Log matches against this entry | ||
+ | log-input Log matches against this entry, including input | ||
+ | interface | ||
+ | mask-reply Mask replies | ||
+ | mask-request Mask requests | ||
+ | mobile-redirect Mobile host redirect | ||
+ | net-redirect Network redirect | ||
+ | net-tos-redirect Net redirect for TOS | ||
+ | net-tos-unreachable Network unreachable for TOS | ||
+ | net-unreachable Net unreachable | ||
+ | network-unknown Network unknown | ||
+ | no-room-for-option Parameter required but no room | ||
+ | option-missing Parameter required but not present | ||
+ | packet-too-big Fragmentation needed and DF set | ||
+ | parameter-problem All parameter problems | ||
+ | port-unreachable Port unreachable | ||
+ | precedence Match packets with given precedence value | ||
+ | precedence-unreachable Precedence cutoff | ||
+ | protocol-unreachable Protocol unreachable | ||
+ | reassembly-timeout Reassembly timeout | ||
+ | redirect All redirects | ||
+ | router-advertisement Router discovery advertisements | ||
+ | router-solicitation Router discovery solicitations | ||
+ | source-quench Source quenches | ||
+ | source-route-failed Source route failed | ||
+ | time-exceeded All time exceededs | ||
+ | time-range Specify a time-range | ||
+ | timestamp-reply Timestamp replies | ||
+ | timestamp-request Timestamp requests | ||
+ | tos Match packets with given TOS value | ||
+ | traceroute Traceroute | ||
+ | ttl-exceeded TTL exceeded | ||
+ | unreachable All unreachables | ||
+ | <cr> | ||
+ | }} | ||
#footnotes(nohr); | #footnotes(nohr); | ||
Line 49: | Line 220: | ||
#footnotes(nohr); | #footnotes(nohr); | ||
- | :参考リンク|[[Google検索>Google検索:"access-list" ( cisco | ccna | ccnp | ccie ) -"cisco-records" -"ISBN" -"ISBN4"]] | + | :参考リンク|[[ネットワークエンジニアとして アクセスコントロールリスト>http://www.infraexpert.com/study/acl.htm]] |
+ | [[IANA well-known ports>http://www.iana.org/assignments/port-numbers]] | ||
+ | [[Google検索>Google検索:"access-list" ( cisco | ccna | ccnp | ccie ) -"cisco-records" -"ISBN" -"ISBN4"]] | ||
:タグ|&tag(アクセスリスト,,,,,); | :タグ|&tag(アクセスリスト,,,,,); |
- Ciscoコマンド集/A/access-list のバックアップ一覧
- Ciscoコマンド集/A/access-list のバックアップの現在との差分(No. All)
Counter: 82015,
today: 1,
yesterday: 1