IPv4 アクセス リストの拒否条件を設定するには、deny IP アクセス リスト コンフィギュレーション モード コマンドを使用します。拒否条件は、アクセス コントロール エントリ(ACE)とも呼ばれます。アクセス コントロール エントリを削除するには、コマンドの no 形式を使用します。
構文
deny protocol {any | source source-wildcard} {any | destination destination-wildcard} [ace-priority priority] [dscp number | precedence number] [time-range time-range-name] [disable-port|log-input ]
deny icmp {any | source source-wildcard} {any | destination destination-wildcard} [any | icmp-type] [any | icmp-code]][ace-priority priority] [dscp number | precedence number][time-range time-range-name] [disable-port |log-input ]
deny igmp {any | source source-wildcard} {any | destination destination-wildcard}[igmp-type][ace-priority priority] [dscp number | precedence number][time-range time-range-name] [disable-port |log-input ]
deny tcp {any | source source-wildcard} {any|source-port/port-range}{any | destination destination-wildcard} {any|destination-port/port-range} [ace-priority priority] [dscp number | precedence number][match-all list-of-flags][time-range time-range-name] [disable-port |log-input ]
deny udp {any | source source-wildcard} {any|source-port/port-range} {any | destination destination-wildcard} {any|destination-port/port-range} [ace-priority priority] [dscp number | precedence number][time-range time-range-name] [disable-port |log-input ]
no deny protocol {any | source source-wildcard} {any | destination destination-wildcard} [dscp number | precedence number][time-range time-range-name] [disable-port |log-input ]
no deny icmp {any | source source-wildcard} {any | destination destination-wildcard} [any | icmp-type] [any | icmp-code]] [dscp number | precedence number][time-range time-range-name] [disable-port |log-input ]
no deny igmp {any | source source-wildcard} {any | destination destination-wildcard}[igmp-type] [dscp number | precedence number][time-range time-range-name] [disable-port |log-input ]
no deny tcp {any | source source-wildcard} {any|source-port/port-range}{any | destination destination-wildcard} {any|destination-port/port-range} [dscp number | precedence number][match-all list-of-flags] [time-range time-range-name] [disable-port |log-input ]
no deny udp {any | source source-wildcard} {any|source-port/port-range} {any | destination destination-wildcard} {any|destination-port/port-range} [dscp number | precedence number][time-range time-range-name] [disable-port |log-input ]
パラメータ
-
protocol:IP プロトコルの名前または番号。利用可能なプロトコル名は、icmp、igmp、ip、tcp、egp、igp、udp、hmp、rdp、idpr、ipv6、ipv6:rout、ipv6:frag、idrp、rsvp、gre、esp、ah、ipv6:icmp、eigrp、ospf、ipinip、pim、l2tp、isis
です。任意のプロトコルを照合するには、Ip キーワードを使用します。(範囲:0 ~ 255)
-
source:パケットの送信元 IP アドレス。
-
source-wildcard:送信元 IP アドレスに適用されるワイルドカード ビット。無視するビット位置に使用します。
-
destination:パケットの宛先 IP アドレス。
-
destination-wildcard:宛先 IP アドレスに適用されるワイルドカード ビット。無視するビット位置に使用します。
-
priority:アクセスコントロールリスト(ACL)内のアクセス コントロール エントリ(ACE)の優先順位を指定します。「1」の値が最も高い優先順位を表し、「2147483647」の値が最も低い優先順位を表します(範囲:1 ~ 2147483647)。
-
dscp number:DSCP 値を指定します。
-
precedence number:IP プレシデンス値を指定します。
-
icmp-type:ICMP パケットのフィルタリングに ICMP メッセージ タイプを指定します。番号または次の値のいずれかを入力します。echo-reply、destination-unreachable、source-quench、redirect、alternate-host-address、echo-request、router-advertisement、router-solicitation、time-exceeded、parameter-problem、timestamp、timestamp-reply、information-request、information-reply、address-mask-request、address-mask-reply、traceroute、datagram-conversion-error、mobile-host-redirect、mobile-registration-request、mobile-registration-reply、domain-name-request、domain-name-reply、skip、photuris。(範囲:0
~ 255)
-
icmp-code:ICMP パケットのフィルタリングに ICMP メッセージ コードを指定します。(範囲:0 ~ 255)
-
igmp-type:IGMP パケットは、IGMP メッセージ タイプでフィルタ処理できます。番号または次の値のいずれかを入力します。host-query、host-report、dvmrp、pim、cisco-trace、host-report-v2、host-leave-v2、host-report-v3。(範囲:0
~ 255)
-
destination-port:UDP/TCP 宛先ポートを指定します。ポートの範囲を入力するには、ハイフンを使用します。例:20 - 21。TCP の場合は番号か次の値のいずれかを入力します。bgp (179)、chargen (19)、daytime (13)、discard
(9)、domain (53)、drip (3949)、echo (7)、finger (79)、ftp (21)、ftp-data (20)、gopher (70)、hostname (42)、irc (194)、klogin (543)、kshell
(544)、lpd (515)、nntp (119)、pop2 (109)、pop3 (110)、smtp (25)、sunrpc (1110)、syslog (514)、tacacs-ds (49)、talk (517)、telnet (23)、time
(37)、uucp (117)、whois (43)、www (80)。UDP の場合は、番号または次の値の 1 つを入力します:biff (512)、bootpc (68)、bootps (67)、discard (9)、dnsix (90)、domain
(53)、echo (7)、mobile-ip (434)、nameserver (42)、netbios-dgm (138)、netbios-ns (137)、non500-isakmp (4500)、ntp (123)、rip (520)、snmp
(161)、snmptrap (162)、sunrpc (111)、syslog (514)、tacacs-ds (49)、talk (517)、tftp (69)、time (37)、who (513)、xdmcp (177)。(範囲:0 ~
65535)
-
source-port:UDP/TCP 送信元ポートを指定します。定義済みポート名は、destination-port パラメータで定義されます。(範囲:0 ~ 65535)
-
match-all list-of-flags:発生する必要のある TCP フラグのリスト。フラグのセットが必要な場合は、「+」を先頭に付けます。フラグのセット解除が必要な場合は、「-」を先頭に付けます。使用可能なオプションは +urg、+ack、+psh、+rst、+syn、+fin、-urg、-ack、-psh、-rst、-syn
および -fin です。フラグは、1 つの文字列に連結されます。例:+fin-ack。
-
time-range-name:この許可ステートメントに適用される時間範囲の名前。(範囲:1 ~ 32)
-
disable-port:この条件に一致する場合、イーサネット インターフェイスは無効になります。
-
log-input:エントリに一致するパケットに関する情報 syslog メッセージを送信するように指定します。転送またはドロップはハードウェアで、ロギングはソフトウェアで実行されます。したがって、log-input キーワードを含む ACE と一致するパケットが多数存在する場合、ソフトウェアはハードウェアの処理速度に追いつくことができないため、一部のパケットはロギングされない場合があります。
デフォルト設定
定義されている IPv4 アクセス リストはありません。
コマンド モード
IP アクセスリスト コンフィギュレーション モード
使用上のガイドライン
ACL で定義可能な TCP/UDP 範囲の数は制限されています。ある範囲のポートが ACE の送信元ポートに使用されている場合、別の ACE の送信元ポートにも使用されていれば再びカウントされません。ポートの範囲が ACE の宛先ポートに使用される場合、別の
ACE の宛先ポートに使用されていても、再カウントはされません。
ある範囲のポートが送信元ポートに使用されている場合、宛先ポートにも使用されていれば再びカウントされます。
ace-priority を省略した場合、ルールの優先順位は現在の最優先 ACE(現在の ACL 内)+ 20 に設定されます。ace-priority は、ACL ごとに一意である必要があります。ユーザがすでに存在する優先順位を入力した場合、コマンドは拒否されます。
例
switchxxxxxx(config)# ip access-list extended server
switchxxxxxx(config-ip-al)# deny ip 176.212.0.0 00.255.255 any