#access-list

標準ACL・・・送信元IPでフィルタリング

◆　番号付き標準ACLの作成 (config)# access-list number [ permit | deny ] source wildcard

number

　標準ACLの番号を 1 ～ 99、1300 ～ 1999 の範囲で指定する。通常は 1 ～ 99 を使用していき、　1 ～ 99 全てを使用した場合1300 ～ 1999 を使用するので、1300以降は一般的に使用されない。同じACLにする場合は、条件文を2行目以降も同じACL番号にします。1行に1番号ではありません。

permit | deny

　許可は permit、拒否は deny キーワードを使用。

◆　ACLのインターフェースへの適用 (config-if)# ip access-group number [ in | out ]

------------

拡張ACL・・・送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号等をチェックするACLです。

◆　番号付き拡張ACLの作成 (config)# access-list number [ permit | deny ] protocol source wildcard port destination wildcard port [ established | log ]

number

　拡張ACLの番号を 100 ～ 199、2000 ～ 2699 の範囲で指定する。通常は 100 ～ 199 を使用して、　100 ～ 199 全てを使用した場合に 2000 ～ 2699 を使用するので2000以降はあまり使用されない。同じACLにする場合は、条件文を2行目以降も同じACL番号にします。1行に1番号ではありません。

protocol　

プロトコル名を指定する。（ 例 ： ip / icmp / tcp / udp )

port

　以下の演算子の後にポート番号を指定する。最も使用されるキーワードが eq です。

　eq （ equal = 等しい）

　neq （ not equal = 等しくない）

　gt （ greater than = より大きい ）

　lt （ less than = より小さい ）

　range （ ポート番号の範囲 ）

◆　ACLのインターフェースへの適用 (config-if)# ip access-group number [ in | out ]

例＞

　「192.168.1.1」 から 「10.1.1.1」 へのIP通信を許可

access-list 100 permit ip host 192.168.1.1 host 10.1.1.1

　「192.168.1.0/24」 から 「10.1.1.0/24」 へのIP通信を許可

access-list 100 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255

　「192.168.1.0/24」 から 「10.1.1.1」 へのIP通信を拒否

access-list 100 deny ip 192.168.1.0 0.0.0.255 host 10.1.1.1

　「192.168.1.0/24」 から全ての宛先へのIP通信を拒否

access-list 100 deny ip 192.168.1.0 0.0.0.255 any

　全ての送信元から 「10.1.1.1」 へのHTTP通信を許可

access-list 100 permit tcp any host 10.1.1.1 eq 80

　「10.1.1.1」 のWebサーバから全ての宛先への通信を許可

access-list 100 permit tcp host 10.1.1.1 eq 80 any

　「192.168.0.0/24」 から 「10.1.1.1」 へのTFTP通信を拒否

access-list 100 deny udp 192.168.0.0 0.0.0.255 host 10.1.1.1 eq 69

　「192.168.1.0/24」 から 「10.1.1.1」 へのtelnet通信を拒否

access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.1 eq 23

　全てのICMP通信を許可

　access-list 100 permit icmp any any

　「192.168.1.1」 から 「10.1.1.0/24」 へのICMP通信を許可

access-list 100 permit icmp host 192.168.1.1 10.1.1.0 0.0.0.255

　全てのIP通信を許可

access-list 100 permit ip any any

　全てのIP通信を拒否