お知らせ
>新サイトへ移行しました
[
新規
|
一覧
|
検索
|
最新
|
ヘルプ
]
Ciscoコマンド集/A/access-listのソース
Ciscoコマンド集 Wiki
Ciscoコマンド集
/
A
/
access-list
のソース
[
差分
|
バックアップ
|
リロード
] [
リンク元
]
[ ]
差分
を表示
Ciscoコマンド集/A/access-list
へ行く。
« Prev
TITLE:IPアクセスリストを作成する #norelated #navi(Ciscoコマンド集) ***&basename(nolink); [#e1de26e0] :機種| &tag(Router(K)); :モード| &tag(Global(M)); :デフォルト|無効 :IOS|10.0 :試験レベル| &tag(CCNA); :構文| ''標準アクセスリスト'' access-list '''番号''' { permit | deny } '''source-address''' ['''wild card'''] [ log ] ''拡張アクセスリスト'' access-list '''番号''' { permit | deny } '''protocol''' '''source-address''' ['''wild card'''] ['''option source-port'''] '''destination-address''' ['''wild card'''] ['''option destination-port'''] ['''option'''] #footnotes(nohr); :使用例| 標準アクセスリスト #pre(soft){{ Router(config)#access-list 1 deny host 192.168.2.3 Router(config)#access-list 1 deny 192.168.3.0 0.0.0.0 log Router(config)#access-list 1 permit any }} 拡張アクセスリスト #pre(soft){{ Router(config)#access-list 100 deny ip host 192.168.1.1 host 192.168.5.1 Router(config)#access-list 100 deny tcp 192.168.6.0 0.0.0.255 host 192.168.5.1 eq 23 Router(config)#access-list 100 permit tcp any 172.16.42.254 0.0.0.0 eq 80 Router(config)#access-list 100 permit ip any any }} #footnotes(nohr); :解説| |70||c |''パラメータ''|''意味''| |'''番号''' |標準アクセスリストは、1〜99(1300〜1999)の範囲内で指定する。&br;拡張アクセスリストは、100〜199(2000〜2699)の範囲内で指定する。&br;'''()内はIOS12.0以降で使用可能。'''| |'''protocol''' |プロトコルを指定する。| |'''source-address''' |送信元のIPアドレスやネットワークアドレスを指定する。&br;なお、アドレス指定では無く''any''とすると''全てのネットワーク''が該当する。| |'''destination-address'''|宛先のIPアドレスやネットワークアドレスを指定する。&br;なお、アドレス指定では無く''any''とすると''全てのネットワーク''が該当する。| |'''wild card-mask'''|アドレスに対するワイルドカードマスクを指定する。何も指定しない場合は、デフォルトで0.0.0.0が使用され、hostに置き換え可能である。&br;つまり「host 192.168.2.3」と「192.168.2.3 0.0.0.0」が同じ意味になる。| |'''source-port'''/&br;'''destinaton-port'''|'''protocol'''にtcpやudpを使いポート番号を指定する事でより詳細な制御を行う事が出来る。&br;各パラメーターに関しては別途記載。| |'''option'''|'''protocol'''に応じた様々なオプションを設定する。| //|'''log'''|この条件文に当てはまる情報をログとして記録したい場合に指定する。| :source-port/destinaton-portについて| '''protocol'''に''tcp''や''udp''を指定した場合、さらにポート番号の指定が可能になります。 ポート番号を指定する事によって、より詳細な通信制御が可能になります。 ポート番号を指定する際、'''source-port'''や'''destinaton-port'''に以下のパラメーラを指定します。 |70||c |''パラメータ''|''意味''| |lt|lower than:〜より小さい| |gt|greater than:〜より大きい| |eq|equal:〜と等しい| |neq|not equal:〜と等しくない| //|echo|| //|echo-reply|| tcpプロトコルの中でもtelnet通信のみ制御をかける場合。 #pre(soft){{ Router(config)#access-list 100 deny tcp host 192.168.6.1 host 192.168.5.1 eq 23 }} なお、ポート番号が「23」であれば「telnet」と言った様にキーワードへ置き換え可能です。 以下に代表的なものを記載します。 |70||c |'''ポート番号'''|'''キーワード'''| |20|ftp-date| |21|ftp| |23|telnet| |25|smtp| |80|www| |110|pop3| 実機上でヘルプコマンドを使用すると、置き換え可能なポート番号が表示されます。 #pre(soft){{ Router(config)#access-list 100 deny tcp host 192.168.1.1 host 192.168.2.1 eq ? <0-65535> Port number bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514) daytime Daytime (13) discard Discard (9) domain Domain Name Service (53) echo Echo (7) exec Exec (rsh, 512) finger Finger (79) ftp File Transfer Protocol (21) ftp-data FTP data connections (20) gopher Gopher (70) hostname NIC hostname server (101) ident Ident Protocol (113) irc Internet Relay Chat (194) klogin Kerberos login (543) kshell Kerberos shell (544) login Login (rlogin, 513) lpd Printer service (515) nntp Network News Transport Protocol (119) pim-auto-rp PIM Auto-RP (496) pop2 Post Office Protocol v2 (109) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) sunrpc Sun Remote Procedure Call (111) syslog Syslog (514) tacacs TAC Access Control System (49) talk Talk (517) telnet Telnet (23) time Time (37) uucp Unix-to-Unix Copy Program (540) whois Nicname (43) www World Wide Web (HTTP, 80) }} :optionについて| '''protocol'''に応じて様々なオプションを定義する事が出来ます。 以下は、実機にて''tcp'',''udp'',''icmp''のオプションをヘルプ表示した結果になります。 TCPプロトコルのACLオプション一覧 #pre(soft){{ Router(config)#access-list 100 deny tcp host 192.168.1.1 host 192.168.1.2 eq 23 ? ack Match on the ACK bit dscp Match packets with given dscp value established Match established connections fin Match on the FIN bit log Log matches against this entry log-input Log matches against this entry, including input interface precedence Match packets with given precedence value psh Match on the PSH bit rst Match on the RST bit syn Match on the SYN bit time-range Specify a time-range tos Match packets with given TOS value urg Match on the URG bit <cr> }} UDPプロトコルのACLオプション一覧 #pre(soft){{ Router(config)#access-list 100 deny udp host 192.168.1.1 host 192.168.1.2 eq 23 ? dscp Match packets with given dscp value log Log matches against this entry log-input Log matches against this entry, including input interface precedence Match packets with given precedence value time-range Specify a time-range tos Match packets with given TOS value <cr> }} ICMPプロトコルのACLオプション一覧 #pre(soft){{ Router(config)#access-list 100 deny icmp host 192.168.1.1 host 192.168.1.2 ? <0-255> ICMP message type administratively-prohibited Administratively prohibited alternate-address Alternate address conversion-error Datagram conversion dod-host-prohibited Host prohibited dod-net-prohibited Net prohibited dscp Match packets with given dscp value echo Echo (ping) echo-reply Echo reply fragments Check non-initial fragments general-parameter-problem Parameter problem host-isolated Host isolated host-precedence-unreachable Host unreachable for precedence host-redirect Host redirect host-tos-redirect Host redirect for TOS host-tos-unreachable Host unreachable for TOS host-unknown Host unknown host-unreachable Host unreachable information-reply Information replies information-request Information requests log Log matches against this entry log-input Log matches against this entry, including input interface mask-reply Mask replies mask-request Mask requests mobile-redirect Mobile host redirect net-redirect Network redirect net-tos-redirect Net redirect for TOS net-tos-unreachable Network unreachable for TOS net-unreachable Net unreachable network-unknown Network unknown no-room-for-option Parameter required but no room option-missing Parameter required but not present packet-too-big Fragmentation needed and DF set parameter-problem All parameter problems port-unreachable Port unreachable precedence Match packets with given precedence value precedence-unreachable Precedence cutoff protocol-unreachable Protocol unreachable reassembly-timeout Reassembly timeout redirect All redirects router-advertisement Router discovery advertisements router-solicitation Router discovery solicitations source-quench Source quenches source-route-failed Source route failed time-exceeded All time exceededs time-range Specify a time-range timestamp-reply Timestamp replies timestamp-request Timestamp requests tos Match packets with given TOS value traceroute Traceroute ttl-exceeded TTL exceeded unreachable All unreachables <cr> }} #footnotes(nohr); :Tips| #footnotes(nohr); :参考リンク|[[ネットワークエンジニアとして アクセスコントロールリスト>http://www.infraexpert.com/study/acl.htm]] [[IANA well-known ports>http://www.iana.org/assignments/port-numbers]] [[Google検索>Google検索:"access-list" ( cisco | ccna | ccnp | ccie ) -"cisco-records" -"ISBN" -"ISBN4"]] :タグ|&tag(アクセスリスト,,,,,);
« Prev
Ciscoコマンド集/A/access-list のバックアップ一覧
Ciscoコマンド集/A/access-list のバックアップソース(No. All)
1: 2007-10-31 (水) 18:38:50
staff
2: 2007-11-04 (日) 18:05:43
staff
3: 2007-11-04 (日) 18:05:43
staff
4: 2008-12-18 (木) 21:37:48
staff
5: 2008-12-19 (金) 18:52:04
staff
6: 2009-03-26 (木) 13:35:37
staff
現: 2009-08-04 (火) 16:02:28
staff_mita
Counter: 81912, today: 1, yesterday: 1
Go Page Top
Copyright (c) 2020 Ping-t All rights reserved.
ログイン
ユーザ名 or E-Mailアドレス:
パスワード:
IDとパスワードを記憶
Contact
会社概要
特定商取引法に基づく表示
在宅スタッフ募集