Cisco IOS XE セキュリティ コンフィギュレーショ ン ガイド:データ プレーンのセキュリティ保護
IP アクセス リストの作成とインターフェイス への適用
IP アクセス リストの作成とインターフェイスへの適用
発行日;2012/02/01 | 英語版ドキュメント(2011/04/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

IP アクセス リストの作成とインターフェイスへの適用

機能情報の確認

目次

IP アクセス リストの作成とインターフェイスへの適用に関する情報

IP アドレス リストを作成する際に役立つヒント

アクセス リストの注釈

その他の IP アクセス リスト機能

IP アクセス リストを作成してインターフェイスに適用する方法

送信元アドレスに基づいてフィルタする標準アクセス リストの作成

送信元アドレスに基づいてフィルタする名前付きアクセス リストの作成

送信元アドレスに基づいてフィルタする番号付きアクセス リストの作成

拡張アクセス リストの作成

名前付き拡張アクセス リストの作成

番号付き拡張アクセス リストの作成

インターフェイスへのアクセス リストの適用

IP アクセス リストの設定例

送信元アドレス(ホスト)のフィルタ:例

送信元アドレス(サブネット)に基づくフィルタ:例

送信元アドレス、宛先アドレス、および IP プロトコルに基づくフィルタ:例

番号付きアクセス リストを使用した送信元アドレス(ホストおよびサブネット)に基づくフィルタ:例

サブネットに対する Telnet アクセスの回避:例

ポート番号を使用した TCP および ICMP に基づくフィルタ:例

SMTP(電子メール)と確立済み TCP 接続の許可:例

ポート名に基づくフィルタによる Web へのアクセス回避:例

送信元アドレスに基づくフィルタと許可および拒否されたパケットのロギング:例

デバッグの出力の制限:例

その他の関連資料

関連マニュアル

標準

MIB

RFC

シスコのテクニカル サポート

IP アクセス リストの作成に関する機能情報

IP アクセス リストの作成とインターフェイスへの適用

IP アクセス リストには、ネットワークを保護し、Quality of Service(QoS; サービス品質)係数の設定や debug コマンド出力の制限などのセキュリティ以外の目標を達成する際に多数の利点があります。ここでは、標準、拡張、名前付き、および番号付き IP アクセス リストの作成方法について説明します。アクセス リストは、名前または番号で参照できます。標準アクセス リストは、IP パケットの送信元アドレスのみに基づいてフィルタできます。拡張アクセス リストは、IP パケットの送信元アドレス、宛先アドレス、および他のフィールドに基づいてフィルタできます。

アクセス リストの作成後に有効にするには、何かに適用する必要があります。ここでは、アクセス リストをインターフェイスに適用する方法について説明します。ただし、アクセス リストにはその他にも多数の用途があり、このモジュールで参照していますが、他のモジュールでも説明しています。多様なテクノロジーについては、他のコンフィギュレーション ガイドを参照してください。

機能情報の確認

最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「IP アクセス リストの作成に関する機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

IP アクセス リストの作成とインターフェイスへの適用に関する情報

IP アクセス リストを作成する前に、次の概念を理解する必要があります。

「IP アドレス リストを作成する際に役立つヒント」

「アクセス リストの注釈」

「その他の IP アクセス リスト機能」

IP アドレス リストを作成する際に役立つヒント

意図しない結果を回避し、より効率的なアクセス リストを作成するために役立つヒントを紹介します。

アクセス リストを作成してから、インターフェイス(または別の対象)に適用します。その理由は、存在しないアクセス リストをインターフェイスに適用してから、アクセス リストを設定すると、最初のステートメントが有効になり、それに続く暗黙的な deny ステートメントによって即時のアクセスに問題が発生するおそれがあるためです。

アクセス リストを設定してから適用するもう 1 つの理由は、空のアクセス リストが適用されたインターフェイスはすべてのトラフィックを許可するためです。

すべてのアクセス リストには、少なくとも 1 つの permit ステートメントが必要です。permit がないと、すべてのパケットは拒否され、トラフィックはまったく通過しません。

ASR 1000 は、ACL の検索に TCAM(ハードウェア)を使用するハードウェアベースのプラットフォームです。そのため、アクセス リストで ACE が出現する場所は、パフォーマンスに影響を及ぼしません。つまり、ACE の検索処理は、ACE が ACL に含まれる位置と関係がありません。

ネットワークまたはサブネットのより具体的な参照が、より全般的な参照よりも前に出現するように、アクセス リストを構成します。

パケットは、ACL の最初の ACE に一致します。したがって、 permit ip any any はすべてのパケットに一致し、以降のすべての ACES は無視されます。

すべてのアクセス リストは暗黙的な deny ステートメントで終わりますが、明示的な deny ステートメント(たとえば deny ip any any など)を使用することを推奨します。ほとんどのプラットフォームでは、 show access-list コマンドを発行して拒否されるパケット数を表示し、アクセス リストが許可していないパケットに関する詳細情報を調査できます。明示的な deny ステートメントで拒否されたパケットのみがカウントされます。これは、明示的な deny ステートメントによって、より詳細なデータが生成されるためです。

アクセス リストの作成中、または作成後に、エントリを削除する場合があります。

名前付き アクセス リストからはエントリを削除できます。 no permit または no deny コマンドを使用して、該当するエントリを削除します。

個々のステートメントの用途をひと目で確認および理解しやすくするために、 remark コマンドを使用して、ステートメントの前後に役立つ注記を書き込むことができます。

特定のホストまたはネットワークに対するアクセスを拒否し、そのネットワークまたはホストの誰かがアクセスしようとしたかどうかを検出する場合、対応する deny ステートメントを指定した log キーワードを含めます。それによって、その送信元からの拒否されたパケットがログに記録されます。

このヒントは、アクセス リストの配置に適用されます。リソースを保存しようとすると、インバウンド アクセス リストでは常にフィルタ条件を適用した 後に 、ルーティング テーブルの検索を行います。アウトバウンド アクセス リストではフィルタ条件を適用する 前に 、ルーティング テーブルの検索を行います。

アクセス リストの注釈

名前付き IP アクセス リストのエントリについて、コメント(注釈)を含めることができます。アクセス リストの注釈は、アクセス リスト エントリの前後にあるオプションのコメントです。ひと目でエントリの内容がわかるので、コマンド構文でエントリの目的を解釈する必要はありません。各注釈は 100 文字以下に制限されています。

注釈は、 permit または deny ステートメントの前または後に指定できます。各注釈が指すステートメントが明確になるように、注釈の挿入位置には一貫性を持たせる必要があります。関連する permit または deny ステートメントの前にある注釈と後にある注釈が混在すると、混乱する可能性があります。

次の注釈は、後続の deny ステートメントの実行内容に関するユーザにわかりやすい説明の例です。

ip access-list extended telnetting
remark Do not allow host1 subnet to telnet out
deny tcp host 172.69.2.88 any eq telnet

その他の IP アクセス リスト機能

標準または拡張アクセス リストを作成する基本手順以外に、次のようにアクセス リストを強化できます。これらの各方法の詳細については、「 Refining an Access List 」モジュールを参照してください。

拡張アクセス リストの permit ステートメントまたは deny ステートメントを有効にする日時を指定し、アクセス リストを細かくし、絶対的または定期的な期間に限定することができます。

名前付きまたは番号付きアクセス リストの作成後は、エントリを追加したり、エントリの順序を変更したりできます(これはアクセス リストのシーケンス番号再割り当てとも呼ばれます)。

パケットの非初期フラグメントについてフィルタすることで、パケットをフィルタするときにより細かい精度を達成できます。

IP アクセス リストを作成してインターフェイスに適用する方法

ここでは、名前または番号を使用して、標準または拡張アクセス リストを作成する一般的な方法について説明します。アクセス リストには高い柔軟性があります。この作業では、単純に 1 つの permit コマンドと 1 つの deny コマンドを使用して、それぞれのコマンド構文を指定します。あとは、必要な permit および deny コマンドの数とその順序を決めるだけです。


) このモジュールの最初の 2 つの作業として、1 つのアクセス リストを作成します。適切に機能するように、アクセス リストを適用する必要があります。アクセス リストをインターフェイスに適用する場合、作業「インターフェイスへのアクセス リストの適用」を参照してください。


「送信元アドレスに基づいてフィルタする標準アクセス リストの作成」

「拡張アクセス リストの作成」

「インターフェイスへのアクセス リストの適用」

送信元アドレスに基づいてフィルタする標準アクセス リストの作成

送信元アドレスのみに基づいてフィルタする場合、簡易な標準アクセス リストで十分です。標準アクセス リストには名前付きと番号付きという 2 種類があります。名前付きアクセス リストを使用すると、番号よりも直感的な名前を使用してアクセス リストを特定できます。また、番号付きアクセス リストよりもサポートする機能が多数です。

「送信元アドレスに基づいてフィルタする名前付きアクセス リストの作成」

「送信元アドレスに基づいてフィルタする番号付きアクセス リストの作成」

送信元アドレスに基づいてフィルタする名前付きアクセス リストの作成

送信元アドレスのみに基づいてフィルタする必要がある場合、標準の名前付きアクセス リストを使用します。この作業では、1 つの permit ステートメントと 1 つの deny ステートメントを使用しますが、使用する実際のステートメントとその順序は、フィルタまたは許可する内容によって変わります。フィルタリングの目標を達成するように、 permit および deny ステートメントを定義します。

手順の概要

1. enable

2. configure terminal

3. ip access-list standard name

4. remark remark

5. deny { source [ source-wildcard ] | any } [ log ]

6. remark remark

7. permit { source [ source-wildcard ] | any } [ log ]

8. アクセス リストの基礎とする送信元ネットワークとホストの指定が完了するまで、ステップ 4 ~ 7 の手順を繰り返します。

9. end

10. show ip access-list

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip access-list standard name

 

Router(config)# ip access-list standard R&D

名前を使用して標準 IP アクセス リストを定義し、標準名前付きアクセス リストのコンフィギュレーション モードを開始します。

ステップ 4

remark remark

 

Router(config-std-nacl)# remark deny Sales network

(任意)アクセス リスト エントリに関してユーザにわかりやすいコメントを追加します。

注釈はアクセス リスト エントリの前または後に指定できます。

この例の注釈では、後続のエントリがインターフェイスに対する Sales ネットワークのアクセスを拒否することをネットワーク管理者に示しています(このアクセス リストは後でインターフェイスに適用される想定です)。

ステップ 5

deny { source [ source-wildcard ] | any } [ log ]

 

Router(config-std-nacl)# deny 172.16.0.0 0.0.255.255 log

(任意)送信元アドレスおよびワイルドカード マスクに基づいて、指定した送信元を拒否します。

source-wildcard を省略すると、0.0.0.0 というワイルドカード マスクが想定されます(つまり、すべての送信元アドレスに一致します)。

(任意) source source-wildcard の代わりに、キーワード any を使用して、送信元と 0.0.0.0 255.255.255.255 の送信元ワイルドカードを指定できます。

この例では、ネットワーク 172.16.0.0 のすべてのホストは、アクセス リストへの合格が拒否されます。

この例では、送信元アドレスを明示的に拒否し、 log キーワードを指定しているため、その送信元からのパケットが拒否されるとロギングされます。これは、ネットワークまたはホスト上の誰かがアクセスしようとしたことを通知する方法の 1 つです。

ステップ 6

remark remark

 

Router(config-std-nacl)# remark Give access to Tester’s host

(任意)アクセス リスト エントリに関してユーザにわかりやすいコメントを追加します。

注釈はアクセス リスト エントリの前または後に指定できます。

この注釈は、後続のエントリがインターフェイスに対する Tester のホスト アクセスを許可することをネットワーク管理者に示します。

ステップ 7

permit { source [ source-wildcard ] | any } [ log ]

 

Router(config-std-nacl)# permit 172.18.5.22 0.0.0.0

送信元アドレスおよびワイルドカード マスクに基づいて、指定した送信元を許可します。

各アクセス リストには、少なくとも 1 つの permit ステートメントが必要です。ただし、最初のエントリにする必要はありません。

source-wildcard を省略すると、0.0.0.0 というワイルドカード マスクが想定されます(つまり、すべての送信元アドレスに一致します)。

(任意) source source-wildcard の代わりに、キーワード any を使用して、送信元と 0.0.0.0 255.255.255.255 の送信元ワイルドカードを指定できます。

この例では、ホスト 172.18.5.22 がアクセス リストに合格できます。

ステップ 8

アクセス リストの基礎とする送信元の指定が完了するまで、ステップ 4 ~ 7 の手順を繰り返します。

明示的に許可されていないすべての送信元は、アクセス リストの末尾にある暗黙的な deny ステートメントで拒否されます。

ステップ 9

end

 

Router(config-std-nacl)# end

コンフィギュレーション モードを終了し、システム特権 EXEC モードに変更します。

ステップ 10

show ip access-list

 

Router# show ip access-list

(任意)現在の IP アクセス リストすべてのコンテンツが表示されます。

送信元アドレスに基づいてフィルタする番号付きアクセス リストの作成

送信元アドレスのみに基づいてフィルタする必要があり、名前付きアクセス リストを使用しない場合、標準の番号付きアクセス リストを設定します。

IP 標準アクセス リストには、1 ~ 99 または 1300 ~ 1999 の番号を付けます。この作業では、1 つの permit ステートメントと 1 つの deny ステートメントを使用しますが、使用する実際のステートメントとその順序は、フィルタまたは許可する内容によって変わります。フィルタリングの目標を達成するように、 permit および deny ステートメントを定義します。

手順の概要

1. enable

2. configure terminal

3. access-list access-list-number remark remark

4. access-list access-list-number permit { source [ source-wildcard ] | any } [ log ]

5. access-list access-list-number remark remark

6. access-list access-list-number deny { source [ source-wildcard ] | any } [ log ]

7. アクセス リストの基礎とする送信元の指定が完了するまで、ステップ 3 ~ 6 の手順を繰り返します。

8. end

9. show ip access-list

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

access-list access-list-number remark remark

 

Router(config)# access-list 1 remark Give access to Jones

(任意)アクセス リスト エントリに関してユーザにわかりやすいコメントを追加します。

最大 100 文字の注釈をアクセス リスト エントリの前または後に指定できます。

ステップ 4

access-list access-list-number permit { source [ source-wildcard ] | any } [ log ]

 

Router(config)# access-list 1 permit 172.16.5.22 0.0.0.0

送信元アドレスおよびワイルドカード マスクに基づいて、指定した送信元を許可します。

各アクセス リストには、少なくとも 1 つの permit ステートメントが必要です。ただし、最初のエントリにする必要はありません。

標準 IP アクセス リストには、1 ~ 99 または 1300 ~ 1999 の番号を付けます。

source-wildcard を省略すると、0.0.0.0 というワイルドカード マスクが想定されます(つまり、すべての送信元アドレスに一致します)。

(任意) source source-wildcard の代わりに、キーワード any を使用して、送信元と 0.0.0.0 255.255.255.255 の送信元ワイルドカードを指定できます。

この例では、ホスト 172.16.5.22 がアクセス リストに合格できます。

ステップ 5

access-list access-list-number remark remark

 

Router(config)# access-list 1 remark Don’t give access to Johnson and log any attempts

(任意)アクセス リスト エントリに関してユーザにわかりやすいコメントを追加します。

最大 100 文字の注釈をアクセス リスト エントリの前または後に指定できます。

ステップ 6

access-list access-list-number deny { source [ source-wildcard ] | any } [ log ]

 

Router(config)# access-list 1 deny 172.16.7.34 0.0.0.0

送信元アドレスおよびワイルドカード マスクに基づいて、指定した送信元を拒否します。

source-wildcard を省略すると、0.0.0.0 というワイルドカード マスクが想定されます(つまり、すべての送信元アドレスに一致します)。

(任意) source source-wildcard の代わりに、省略の any を使用して、送信元と 0.0.0.0 255.255.255.255 の送信元ワイルドカードを指定できます。

この例では、ホスト 172.16.7.34 はアクセス リストへの合格が拒否されます。

ステップ 7

アクセス リストの基礎とする送信元の指定が完了するまで、ステップ 3 ~ 6 の手順を繰り返します。

明示的に許可されていないすべての送信元は、アクセス リストの末尾にある暗黙的な deny ステートメントで拒否されます。

ステップ 8

end

 

Router(config-std-nacl)# end

コンフィギュレーション モードを終了し、システム特権 EXEC モードに変更します。

ステップ 9

show ip access-list

 

Router# show ip access-list

(任意)現在の IP アクセス リストすべてのコンテンツが表示されます。

拡張アクセス リストの作成

送信元アドレス以外の要素に基づいてフィルタする場合、拡張アクセス リストを作成する必要があります。拡張アクセス リストには名前付きと番号付きという 2 種類があります。名前付きアクセス リストを使用すると、番号よりも直感的な名前を使用してアクセス リストを特定できます。また、サポートする機能が多数です。

送信元アドレスまたは宛先アドレス以外の要素をフィルタする方法の詳細については、コマンド リファレンス マニュアルの構文の説明を参照してください。

「名前付き拡張アクセス リストの作成」

「番号付き拡張アクセス リストの作成」

名前付き拡張アクセス リストの作成

送信元アドレス、宛先アドレス、またはアドレスと他の IP フィールドの組み合わせに基づいてフィルタする場合、名前付き拡張アクセス リストを作成します。

手順の概要

1. enable

2. configure terminal

3. ip access-list extended name

4. remark remark

5. deny protocol source [ source-wildcard ] destination [ destination-wildcard ] [ option option-name ] [ precedence precedence ] [ tos tos ] [ established ] [ log | log-input ] [ time-range time-range-name ] [ fragments ]

6. remark remark

7. permit protocol source [ source-wildcard ] destination [ destination-wildcard ]] [ option option-name ] [ precedence precedence ] [ tos tos ] [ established ] [ log | log-input ] [ time-range time-range-name ] [ fragments ]

8. アクセス リストの基礎とするフィールドと値の指定が完了するまで、ステップ 4 ~ 7 の手順を繰り返します。

9. end

10. show ip access-list

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip access-list extended name

 

Router(config)# ip access-list extended nomarketing

名前を使用して拡張 IP アクセス リストを定義し、拡張名前付きアクセス リストのコンフィギュレーション モードを開始します。

ステップ 4

remark remark

 

Router(config-ext-nacl)# remark protect server by denying access from the Marketing network

(任意)アクセス リスト エントリに関してユーザにわかりやすいコメントを追加します。

注釈はアクセス リスト エントリの前または後に指定できます。

この例では、注釈によって、後続のエントリがインターフェイスに対する Sales ネットワーク アクセスを拒否することをネットワーク管理者に示します。

ステップ 5

deny protocol source [ source-wildcard ] destination [ destination-wildcard ] [ option option-name ] [ precedence precedence ] [ tos tos ] [ established ] [ log | log-input ] [ time-range time-range-name ] [ fragments ]

 

Router(config-ext-nacl)# deny ip 172.18.0.0 0.0.255.255 host 172.16.40.10 log

(任意)ステートメントに指定されたすべての条件に一致するすべてのパケットを拒否します。

source-wildcard または destination-wildcard を省略すると、0.0.0.0 のワイルドカード マスクが想定されます。つまり、それぞれ送信元アドレスまたは宛先アドレスの全ビットへの一致を意味します。

(任意) source source-wildcard または destination destination-wildcard の代わりに、キーワード any を使用して、アドレスと 0.0.0.0 255.255.255.255 の送信元ワイルドカードを指定できます。

(任意)キーワード host source を使用して、送信元と source 0.0.0.0 の送信元ワイルドカードを指定するか、省略の host destination を使用して、宛先と destination 0.0.0.0 の宛先ワイルドカードを指定します。

この例では、すべての送信元のパケットは、宛先ネットワーク 172.18.0.0 へのアクセスが拒否されます。アクセス リストによって許可または拒否されるパケットに関するロギング メッセージは、 logging facility コマンドに設定された設備に送信されます(たとえば、コンソール、端末、syslog)。つまり、パケットがアクセス リストに一致する場合は常に、パケットに関する情報を提供するロギング メッセージが設定された設備に送信されます。コンソールにロギングするメッセージのレベルは、 logging console コマンドで制御します。

ステップ 6

remark remark

 

Router(config-ext-nacl)# remark allow TCP from any source to any destination

(任意)アクセス リスト エントリに関してユーザにわかりやすいコメントを追加します。

注釈はアクセス リスト エントリの前または後に指定できます。

ステップ 7

permit protocol source [ source-wildcard ] destination [ destination-wildcard ] [ option option-name ] [ precedence precedence ] [ tos tos ] [ established ] [ log | log-input ] [ time-range time-range-name ] [ fragments ]

 

Router(config-ext-nacl)# permit tcp any any

ステートメントに指定されたすべての条件に一致するすべてのパケットを許可します。

各アクセス リストには、少なくとも 1 つの permit ステートメントが必要です。

source-wildcard または destination-wildcard を省略すると、0.0.0.0 のワイルドカード マスクが想定されます。つまり、それぞれ送信元アドレスまたは宛先アドレスの全ビットへの一致を意味します。

(任意) source source-wildcard または destination destination-wildcard の代わりに、キーワード any を使用して、アドレスと 0.0.0.0 255.255.255.255 の送信元ワイルドカードを指定できます。

この例では、任意の送信元から任意の宛先への TCP パケットが許可されています。

log-input キーワードを使用して、ロギング出力に入力インターフェイス、送信元 MAC アドレス、または仮想回線を含めます。

ステップ 8

アクセス リストの基礎とするフィールドと値の指定が完了するまで、ステップ 4 ~ 7 の手順を繰り返します。

明示的に許可されていないすべての送信元は、アクセス リストの末尾にある暗黙的な deny ステートメントで拒否されます。

ステップ 9

end

 

Router(config-ext-nacl)# end

コンフィギュレーション モードを終了し、システム特権 EXEC モードに変更します。

ステップ 10

show ip access-list

 

Router# show ip access-list

(任意)現在の IP アクセス リストすべてのコンテンツが表示されます。

番号付き拡張アクセス リストの作成

送信元アドレス、宛先アドレス、またはアドレスと他の IP フィールドの組み合わせに基づいてフィルタし、名前を使用しない場合、番号付き拡張アクセス リストを作成します。拡張 IP アクセス リストには、100 ~ 199 または 2000 ~ 2699 の番号を付けます。

手順の概要

1. enable

2. configure terminal

3. access-list access-list-number remark remark

4. access-list access-list-number permit protocol { source [ source-wildcard ] | any } { destination [ destination-wildcard ] | any } [ precedence precedence ] [ tos tos ] [ established ] [ log | log-input ] [ time-range time-range-name ] [ fragments ]

5. access-list access-list-number remark remark

6. access-list access-list-number deny protocol { source [ source-wildcard ] | any } { destination [ destination-wildcard ] | any } [ precedence precedence ] [ tos tos ] [ established ] [ log | log-input ] [ time-range time-range-name ] [ fragments ]

7. アクセス リストの基礎とするフィールドと値の指定が完了するまで、ステップ 3 ~ 6 の手順を繰り返します。

8. end

9. show ip access-list

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

access-list access-list-number remark remark

 

Router(config)# access-list 107 remark allow Telnet packets from any source to network 173.69.0.0 (headquarters)

(任意)アクセス リスト エントリに関してユーザにわかりやすいコメントを追加します。

最大 100 文字の注釈をアクセス リスト エントリの前または後に指定できます。

ステップ 4

access-list access-list-number permit protocol { source [ source-wildcard ] | any } { destination [ destination-wildcard ] | any } [ precedence precedence ] [ tos tos ] [ established ] [ log | log-input ] [ time-range time-range-name ] [ fragments ]

 

Router(config)# access-list 107 permit tcp any 173.69.0.0 0.0.255.255 eq telnet

ステートメントに指定されたすべての条件に一致するすべてのパケットを許可します。

各アクセス リストには、少なくとも 1 つの permit ステートメントが必要です。ただし、最初のエントリにする必要はありません。

拡張 IP アクセス リストには、100 ~ 199 または 2000 ~ 2699 の番号を付けます。

source-wildcard または destination-wildcard を省略すると、0.0.0.0 のワイルドカード マスクが想定されます。つまり、それぞれ送信元アドレスまたは宛先アドレスの全ビットへの一致を意味します。

(任意) source source-wildcard または destination destination-wildcard の代わりに、キーワード any を使用して、アドレスと 0.0.0.0 255.255.255.255 の送信元ワイルドカードを指定できます。

TCP と他のプロトコルでは、その他の構文も使用できます。複雑な構文の場合、コマンド リファレンスの access-list コマンドを参照してください。

ステップ 5

access-list access-list-number remark remark

 

Router(config)# access-list 107 remark deny all other TCP packets

(任意)アクセス リスト エントリに関してユーザにわかりやすいコメントを追加します。

最大 100 文字の注釈をアクセス リスト エントリの前または後に指定できます。

ステップ 6

access-list access-list-number deny protocol { source [ source-wildcard ] | any } { destination [ destination-wildcard ] | any } [ precedence precedence ] [ tos tos ] [ established ] [ log | log-input ] [ time-range time-range-name ] [ fragments ]

 

Router(config)# access-list 107 deny tcp any any

ステートメントに指定されたすべての条件に一致するすべてのパケットを拒否します。

source-wildcard または destination-wildcard を省略すると、0.0.0.0 のワイルドカード マスクが想定されます。つまり、それぞれ送信元アドレスまたは宛先アドレスの全ビットへの一致を意味します。

(任意) source source-wildcard または destination destination-wildcard の代わりに、キーワード any を使用して、アドレスと 0.0.0.0 255.255.255.255 の送信元ワイルドカードを指定できます。

ステップ 7

アクセス リストの基礎とするフィールドと値の指定が完了するまで、ステップ 3 ~ 6 の手順を繰り返します。

明示的に許可されていないすべての送信元は、アクセス リストの末尾にある暗黙的な deny ステートメントで拒否されます。

ステップ 8

end

 

Router(config)# end

コンフィギュレーション モードを終了し、システム特権 EXEC モードに変更します。

ステップ 9

show ip access-list

 

Router# show ip access-list

(任意)現在の IP アクセス リストすべてのコンテンツが表示されます。

インターフェイスへのアクセス リストの適用

インターフェイスにアクセス リストを適用するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. interface type slot / subslot / port[ . subinterface-number ]

4. ip access-group { access-list-number | access-list-name } { in | out }

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type slot / subslot / port [ . subinterface-number ]

 

Router(config)# interface gigabitethernet 0/0/0

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip access-group { access-list-number | access-list-name } { in | out }

 

Router(config-if)# ip access-group noncorp in

指定したアクセス リストを着信または発信インターフェイスに適用します。

送信元アドレスに基づいてフィルタする場合、一般的に、着信インターフェイスにアクセス リストを適用します。

送信元アドレスに基づくフィルタは、宛先の近くで適用すると、最も効率的です。

IP アクセス リストの設定例

ここでは、インターフェイスに適用されているか、コマンドから参照されている、名前付きおよび番号付きの標準および拡張の IP アクセス リストの例を紹介します。

「送信元アドレス(ホスト)のフィルタ:例」

「送信元アドレス(サブネット)に基づくフィルタ:例」

「送信元アドレス、宛先アドレス、および IP プロトコルに基づくフィルタ:例」

「番号付きアクセス リストを使用した送信元アドレス(ホストおよびサブネット)に基づくフィルタ:例」

「サブネットに対する Telnet アクセスの回避:例」

「ポート番号を使用した TCP および ICMP に基づくフィルタ:例」

「SMTP(電子メール)と確立済み TCP 接続の許可:例」

「ポート名に基づくフィルタによる Web へのアクセス回避:例」

「送信元アドレスに基づくフィルタと許可および拒否されたパケットのロギング:例」

「デバッグの出力の制限:例」

送信元アドレス(ホスト)のフィルタ:例

次の例では、Jones に属するワークステーションは、 gigabitethernet 0 に対するアクセスが許可され、Smith に属するワークステーションはアクセスが許可されません。

interface gigabitethernet0/0/0
ip access-group workstations in
!
ip access-list standard workstations
remark Permit only Jones workstation through
permit 172.16.2.88
remark Do not allow Smith workstation through
deny 172.16.3.13

送信元アドレス(サブネット)に基づくフィルタ:例

次の例では、Jones サブネットは gigabitethernet インターフェイス 0 へのアクセスが許可されていませんが、Main サブネットはアクセスが許可されています。

interface gigabitethernet0/0/0
ip access-group prevention in
!
ip access-list standard prevention
remark Do not allow Jones subnet through
deny 172.22.0.0 0.0.255.255
remark Allow Main subnet
permit 172.25.0.0 0.0.255.255

送信元アドレス、宛先アドレス、および IP プロトコルに基づくフィルタ:例

次の設定例は、2 つのアクセス リストを持つインターフェイスを示します。一方のリストは発信パケット、もう一方のリストは着信パケットに適用されます。Internet_filter という標準アクセス リストは、送信元アドレスに基づいて発信パケットをフィルタします。インターフェイスから発信が許可されるパケットは、送信元が 172.16.3.4 である必要があります。

marketing_group という拡張アクセス リストは、着信パケットをフィルタします。このアクセス リストは、任意の送信元からネットワーク 172.26.0.0 への Telnet パケットを許可し、その他すべての TCP パケットを拒否します。また、ICMP パケットはすべて許可します。1024 未満のポート番号を使用する、任意の送信元からネットワーク 172.26.0 0 への UDP パケットは拒否します。最後に、このアクセス リストはその他すべての IP パケットを拒否し、そのエントリによって許可または拒否されるパケットのロギングを実行します。

interface gigabitethernet0/0/0
ip address 172.20.5.1 255.255.255.0
ip access-group Internet_filter out
ip access-group marketing_group in
!
ip access-list standard Internet_filter
permit 172.16.3.4
ip access-list extended marketing_group
permit tcp any 172.26.0.0 0.0.255.255 eq telnet
deny tcp any any
permit icmp any any
deny udp any 172.26.0.0 0.0.255.255 lt 1024
deny ip any any

番号付きアクセス リストを使用した送信元アドレス(ホストおよびサブネット)に基づくフィルタ:例

次の例では、ネットワーク 10.0.0.0 は Class A ネットワークで、2 番目のオクテットでサブネットを指定します。つまり、サブネット マスクは 255.255.0.0 です。ネットワーク 10.0.0.0 アドレスの 3 番目および 4 番目のオクテットで特定のホストを指定します。Cisco IOS XE ソフトウェアは、アクセス リスト 2 を使用して、サブネット 48 上の 1 つのアドレスを受け入れ、そのサブネット上のその他のアドレスはすべて拒否します。最後の行は、その他すべてのネットワーク 10.0.0.0 サブネット上のアドレスを受け入れることを示します。

interface gigabitethernet0/0/0
ip access-group 2 in
!
access-list 2 permit 10.48.0.3
access-list 2 deny 10.48.0.0 0.0.255.255
access-list 2 permit 10.0.0.0 0.255.255.255

サブネットに対する Telnet アクセスの回避:例

次の例では、Jones サブネットは、gigabitethernet インターフェイス 0 からの Telnet の発信が許可されていません。

interface gigabitethernet0/0/0
ip access-group telnetting out
!
ip access-list extended telnetting
remark Do not allow Jones subnet to telnet out
deny tcp 172.20.0.0 0.0.255.255 any eq telnet
remark Allow Top subnet to telnet out
permit tcp 172.33.0.0 0.0.255.255 any eq telnet

ポート番号を使用した TCP および ICMP に基づくフィルタ:例

次の例で、goodports という拡張アクセス リストの最初の行は、宛先ポートが 1024 以上のすべての着信 TCP 接続を許可します。2 行目では、ホスト 172.28.1.2 の Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)ポートに対する着信 TCP 接続を許可します。最後の行では、エラー フィードバックの着信 ICMP メッセージを許可します。

interface gigabitethernet0/0/0
ip access-group goodports in
!
ip access-list extended goodports
permit tcp any 172.28.0.0 0.0.255.255 gt 1023
permit tcp any host 172.28.1.2 eq 25
permit icmp any 172.28.0.0 255.255.255.255

SMTP(電子メール)と確立済み TCP 接続の許可:例

インターネットに接続されているネットワークがあり、イーサネット上のホストでインターネット上の任意のホストに対して TCP 接続を構成するとします。ただし、専用のメール ホストのメール(SMTP)ポートを除き、IP ホストから gigabitethernet 上のホストに対する TCP 接続を構成できないようにします。

SMTP は接続の一方の終端では TCP ポート 25 を使用し、もう一方の終端ではランダムなポート番号を使用します。接続の存続中は、この同じ 2 つのポート番号が使用されます。インターネットから着信するメール パケットは、25 という宛先ポートを持ちます。アウトバウンド パケットは、ポート番号が予約されています。ルータの背後にあるセキュア システムは、ポート 25 でメール接続を常に受け入れるため、着信および発信サービスを個別に制御できます。アウトバウンド インターフェイスまたはインバウンド インターフェイスで、アクセス リストを設定できます。

次の例で、gigabitethernet ネットワークはアドレスが 172.18.0.0 の Class B ネットワークで、メール ホストのアドレスは 172.18.1.2 です。 established キーワードを使用するのは、TCP プロトコルで確立済み接続を指定する場合のみです。TCP データグラムに ACK または RST ビットが設定されている場合に一致が発生します。これは、パケットが既存の接続に属することを示します。

interface gigabitethernet0/0/0
ip access-group 102 in
!
access-list 102 permit tcp any 172.18.0.0 0.0.255.255 established
access-list 102 permit tcp any host 172.18.1.2 eq 25

ポート名に基づくフィルタによる Web へのアクセス回避:例

次の例では、Winter および Smith ワークステーションは Web アクセスが許可されていません。ネットワーク 172.20.0.0 上のその他のホストは Web アクセスが許可されています。

interface gigabitethernet0/0/0
ip access-group no_web out
!
ip access-list extended no_web
remark Do not allow Winter to browse the web
deny host 172.20.3.85 any eq http
remark Do not allow Smith to browse the web
deny host 172.20.3.13 any eq http
remark Allow others on our network to browse the web
permit 172.20.0.0 0.0.255.255 any eq http

送信元アドレスに基づくフィルタと許可および拒否されたパケットのロギング:例

次の例では、アクセス リスト 1 および 2 を定義します。いずれのリストもロギングが有効です。

interface gigabitethernet0/0/0
ip address 172.16.1.1 255.0.0.0
ip access-group 1 in
ip access-group 2 out
!
access-list 1 permit 172.25.0.0 0.0.255.255 log
access-list 1 deny 172.30.0.0 0.0.255.255 log
!
access-list 2 permit 172.27.3.4 log
access-list 2 deny 172.17.0.0 0.0.255.255 log
 

インターフェイスが 172.25.7.7 から 10 パケットを受信し、172.17.23.21 から 14 パケットを受信する場合、最初のログは次のようになります。

list 1 permit 172.25.7.7 1 packet
list 2 deny 172.17.23.21 1 packet
 

5 分後、コンソールは次のログを受信します。

list 1 permit 172.25.7.7 9 packets
list 2 deny 172.17.23.21 13 packets

デバッグの出力の制限:例

次の設定例では、アクセス リストを使用して、表示される debug コマンドの出力を制限します。デバッグの出力を制限すると、データ量が絞られ、目的のデータを探しやすくなるため、時間とリソースを節約できます。

ip access-list idaho
remark Displays only advertisements for LDP peer in idaho
permit host 10.0.0.44
 
Router# debug mpls ldp advertisements peer-acl idaho
 
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 172.17.0.33
 
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 172.16.0.31
 
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 172.22.0.33
 
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 192.168.0.1
 
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 192.168.0.3
 
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 192.168.1.33

その他の関連資料

ここでは、IP アクセス リストに関する関連資料について説明します。

関連マニュアル

内容
参照先

アクセス リスト エントリの順序

日または週の時刻に基づくアクセス リスト エントリ

非初期フラグメントを使用するパケット

Refining an IP Access List

IP オプション、TCP フラグ、または非隣接に基づくフィルタリング

Creating an IP Access List to Filter IP Options, TCP Flags, or Noncontiguous Ports

ロギング関連のパラメータの制御

http://www.cisco.com/web/about/security/intelligence/acl-logging.html

IP アクセス リストに関連するコマンドの説明

『Cisco IOS Security Command Reference』

標準

標準
タイトル

この機能によりサポートされた新規標準または改訂標準はありません。またこの機能による既存標準のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

IP アクセス リストの作成に関する機能情報

表 1 に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS XE ソフトウェア リリース群で特定の機能をサポートする Cisco IOS XE ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS XE ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 1 IP アクセス リストの作成に関する機能情報

機能名
リリース
機能の設定情報

注釈付きの IP アクセス リスト エントリ

Cisco IOS XE Release 2.1

この機能は、Cisco ASR 1000 シリーズの集約サービス ルータで導入されました。

この機能に関する詳細については、次の各項を参照してください。

「IP アドレス リストを作成する際に役立つヒント」

「アクセス リストの注釈」

「送信元アドレスに基づいてフィルタする標準アクセス リストの作成」

「拡張アクセス リストの作成」

「インターフェイスへのアクセス リストの適用」

この機能について導入または変更されたコマンドはありません。

標準 IP アクセス リストのロギング

Cisco IOS XE Release 2.1

この機能は、Cisco ASR 1000 シリーズの集約サービス ルータで導入されました。

この機能に関する詳細については、次の各項を参照してください。

「IP アドレス リストを作成する際に役立つヒント」

「送信元アドレスに基づいてフィルタする標準アクセス リストの作成」

「拡張アクセス リストの作成」

「インターフェイスへのアクセス リストの適用」

この機能について導入または変更されたコマンドはありません。

ACL パフォーマンスの強化

Cisco IOS XE Release 2.1

この機能は、Cisco ASR 1000 シリーズの集約サービス ルータで導入されました。

この機能に関する詳細については、次の各項を参照してください。

「IP アドレス リストを作成する際に役立つヒント」

「その他の IP アクセス リスト機能」

「送信元アドレスに基づいてフィルタする標準アクセス リストの作成」

「拡張アクセス リストの作成」

この機能について導入または変更されたコマンドはありません。

Copyright © 2006-2011, シスコシステムズ合同会社.
All rights reserved.