Cisco IOS XE セキュリティ コンフィギュレーショ ン ガイド:データ プレーンのセキュリティ保護
IP アクセス リスト エントリ シーケンス番号
IP アクセス リスト エントリ シーケンス番号
発行日;2012/02/01 | 英語版ドキュメント(2011/04/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

IP アクセス リスト エントリ シーケンス番号

機能情報の確認

目次

IP アクセス リスト エントリ シーケンス番号に関する制約事項

IP アクセス リストの概要

IP アクセス リストの目的

IP アクセス リストの機能

IP アクセス リストの処理とルール

IP アドレス リストを作成する際に役立つヒント

送信元アドレスおよび宛先アドレス

ワイルドカード マスクと暗黙的なワイルドカード マスク

トランスポート層の情報

IP アクセス リスト エントリ シーケンス番号

利点

シーケンス番号の動作

IP アクセス リストでのシーケンス番号の使用法

アクセス リスト エントリの順序付けとアクセス リストの変更

IP アクセス リスト エントリ シーケンス番号の設定例

アクセス リストのエントリの並べ替え:例

シーケンス番号を指定したエントリの追加:例

シーケンス番号のないエントリ:例

その他の関連資料

関連マニュアル

標準

MIB

RFC

シスコのテクニカル サポート

IP アクセス リスト エントリ シーケンス番号の機能情報

IP アクセス リスト エントリ シーケンス番号

permit ステートメントまたは deny ステートメントにシーケンス番号を適用し、名前付き IP アクセス リストで、該当するステートメントのリオーダー、追加、または削除を行うことができます。この機能により、IP アクセス リストを簡単に変更できるようになります。この機能が実装される前は、アクセス リストの最後にエントリを追加することしかできませんでした。そのため、末尾以外の任意の場所にステートメントを追加する必要があるときは、アクセス リスト全体を再設定する必要がありました。

機能情報の確認

最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「IP アクセス リスト エントリ シーケンス番号の機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

IP アクセス リスト エントリ シーケンス番号に関する制約事項

この機能は、ダイナミック アクセスリスト、再帰アクセスリスト、またはファイアウォール アクセスリストをサポートしていません。

また、名前付きアクセス リストよりも古くから存在する、旧式のスタイルで番号付けされたアクセス リストもサポートしていません。アクセス リストは番号で指定できるため、標準または拡張 Named Access List(NACL; 名前付きアクセス リスト)コンフィギュレーション モードでは番号を入力することができます。

IP アクセス リストの概要

IP アクセス リストでのエントリの並べ替えや追加を行う前に、次の概念について理解しておく必要があります。

「IP アクセス リストの目的」

「IP アクセス リストの機能」

「IP アクセス リスト エントリ シーケンス番号」

IP アクセス リストの目的

アクセス リストは、パケット フィルタリングを実行して、ネットワークを介して移動するパケットとその場所を制御します。この処理は、ネットワーク トラフィックを制限し、ユーザやデバイスによるネットワークへのアクセスを制限するのに役立ちます。アクセス リストの用途は多様なので、多くのコマンドの構文でアクセス リストが参照されています。アクセス リストを使用して、次のようなことを実行できます。

インターフェイスでの着信パケットのフィルタ

インターフェイスでの発信パケットのフィルタ

ルーティング アップデートのコンテンツの制限

アドレスまたはプロトコルに基づくデバッグ出力の制限

仮想端末回線アクセスの制御

輻輳回避、輻輳管理、プライオリティおよびカスタム キューイングなどの高度な機能に使用されるトラフィックの特定または分類

Dial-on-Demand Routing(DDR; ダイヤルオンデマンド ルーティング)呼び出しのトリガー

IP アクセス リストの機能

アクセス リストは、permit ステートメントと deny ステートメントで構成される順次リストです。これらのステートメントは、IP アドレス、場合によっては上位層 IP プロトコルに適用されます。アクセス リストには、参照に使用される名前があります。多くのソフトウェア コマンドは、構文の一部としてアクセス リストを受け取ります。

アクセス リストを設定して名前を付けることは可能ですが、アクセス リストを受け取るコマンドによってアクセス リストが参照されるまで、有効にはなりません。複数のコマンドから同じアクセス リストを参照できます。アクセス リストで、ルータに到達するトラフィック、またはルータ経由で送信されるトラフィックは制御できますが、ルータが送信元のトラフィックは制御できません。

IP アクセス リストの処理とルール

ソフトウェアは、アクセス リストの条件に対してフィルタされる各パケットの送信元アドレスや宛先アドレス、またはプロトコルをテストします。一度に 1 つの条件( permit または deny ステートメント)がテストされます。

パケットがアクセス リスト ステートメントに一致しないと、そのパケットはリスト内の次のステートメントに対してテストされます。

パケットとアクセス リスト ステートメントが一致すると、リスト内の残りのステートメントはスキップされ、パケットは一致したステートメントに指定されたとおりに許可または拒否されます。ソフトウェアがパケットを許可するか拒否するかは、パケットが一致する最初のエントリによって決定されます。つまり、一致すると、以降のエントリは考慮されません。

アクセス リストでアドレスまたはプロトコルが拒否されている場合、ソフトウェアはパケットを廃棄し、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)ホスト到達不能メッセージを返します。

一致する条件がない場合は、パケットはドロップされます。これは、各アクセス リストは暗黙の deny ステートメントで終了するためです。言い換えると、パケットが各ステートメントに対してテストされたときまでに許可されないと、このパケットは拒否されます。

最初に一致が見つかった後は条件のテストが終了するため、条件の順序は重要です。同じ permit ステートメントまたは deny ステートメントでも、順序が異なる場合、ある状況では通過し、別の状況では拒否されるパケットが生じる可能性があります。

コマンドで名前によってアクセス リストを参照し、アクセス リストが存在しない場合、すべてのパケットが通過します。

1 つのインターフェイス、1 つのプロトコル、1 つの方向につき、1 つのアクセス リストのみが許可されます。

インバウンド アクセス リストは、ルータに到達するパケットを処理します。着信パケットの処理後に、アウトバウンド インターフェイスへのルーティングが行われます。インバウンド アクセス リストが効率的なのは、フィルタリング テストで拒否されたことでパケットが廃棄される場合、ルーティング検索のオーバーヘッドが抑えられるためです。テストでパケットが許可される場合、ルーティングのために処理されます。インバウンド リストの場合、 許可 とは、インバウンド インターフェイスでパケットの受信後に処理が続行されることを示します。 拒否 とは、パケットが廃棄されることを示します。

アウトバウンド アクセス リストの場合、パケットの処理後にルータから送信されます。着信パケットはアウトバウンド インターフェイスにルーティングされてから、アウトバウンド アクセス リストで処理されます。アウトバウンド リストの場合、 許可 とは、出力バッファに対して送信されることを示し、 拒否 とは、パケットが廃棄されることを示します。

IP アドレス リストを作成する際に役立つヒント

アクセス リストは、インターフェイスに適用する前に作成します。インターフェイスに空のアクセス リストを適用すると、すべてのトラフィックが許可されます。

インターフェイスに適用する前にアクセス リストを設定するその他の理由として、存在しないアクセス リストをインターフェイスに適用してからアクセス リストを設定すると、最初のステートメントが実行され、それに続く暗黙の deny ステートメントにより即座にアクセスの問題が発生する可能性があることが挙げられます。

ネットワークまたはサブネットのより具体的な参照が、より全般的な参照よりも前に出現するように、アクセス リストを構成します。

個々のステートメントの用途をひと目で確認および理解しやすくするために、ステートメントの前後に役立つ注記を書き込むことができます。

送信元アドレスおよび宛先アドレス

送信元アドレスと宛先アドレスは、IP パケットの最も一般的な 2 つのフィールドで、アクセス リストの基礎となります。送信元アドレスを指定して、特定のネットワーキング デバイスまたはホストからのパケットを制御します。宛先アドレスを指定して、特定のネットワーキング デバイスまたはホストに送信されるパケットを制御します。

ワイルドカード マスクと暗黙的なワイルドカード マスク

アドレス フィルタリングでは、アクセス リスト エントリ内のアドレス ビットとアクセス リストに送信されるパケットを比較するときに、対応する IP アドレスを確認するか無視するかをソフトウェアに示すために、ワイルドカード マスクを使用します。ワイルドカード マスクを注意深く設定して、管理者は許可または拒否のテストに 1 つまたは複数の IP アドレスを選択できます。

IP アドレス ビット用のワイルドカード マスクでは、数値 1 と数値 0 を使用して、対応する IP アドレス ビットをソフトウェアで扱う方法を指定します。1 と 0 は、サブネット(ネットワーク)マスクで意味する内容が対照的なため、ワイルドカード マスクは逆マスクとも呼ばれます。

ワイルドカード マスク ビット 0 は、対応するビット値を 確認 することを示します。

ワイルドカード マスクのビット 1 は、対応するビット値を 無視 することを意味します。

アクセス リスト ステートメントの送信元アドレスまたは宛先アドレスでワイルドカード マスクを指定しない場合、0.0.0.0 というデフォルトのワイルドカード マスクが想定されます。

サブネット マスクでは、ネットワークとサブネットを示す隣接ビットをマスクにする必要がありますが、それとは異なり、ワイルドカード マスクではマスクに非隣接ビットを使用できます。

トランスポート層の情報

トランスポート層の情報(パケットが TCP、UDP、ICMP または IGMP パケットであるか、などの情報)に基づいてパケットをフィルタできます。

IP アクセス リスト エントリ シーケンス番号

利点

IP アクセス リスト エントリにシーケンス番号を適用する機能によって、アクセス リストの変更が簡易になります。IP アクセス リスト エントリ シーケンス番号機能の前には、アクセス リスト内のエントリの位置を指定する方法はありませんでした。以前は、既存のリストの途中にエントリ(ステートメント)を挿入する場合、目的の位置の後にあるすべてのエントリを削除してから、新しいエントリを追加し、削除したすべてのエントリを再入力する必要がありました。これは手間がかかり、エラーが起こりやすい方法です。

この新しい機能を使用すると、アクセス リスト エントリにシーケンス番号を追加し、順序を変更することができます。新しいエントリを追加するとき、アクセス リストの目的の位置に配置されるように、シーケンス番号を選択します。必要に応じて、アクセス リストの現在のエントリ順序を変更して、新しいエントリを挿入できる余地を作成します。

シーケンス番号の動作

以前のリリースとの下位互換性を保つため、シーケンス番号のないエントリが適用された場合には、最初のエントリにはシーケンス番号 10 が割り当てられます。連続してエントリを追加すると、シーケンス番号は 10 ずつ増分されます。最大シーケンス番号は 2147483647 です。生成したシーケンス番号がこの最大値を超えると、次のメッセージが表示されます。

Exceeded maximum sequence number.
 

シーケンス番号のないエントリを入力すると、アクセス リストの最後のシーケンス番号に 10 を加えたシーケンス番号が割り当てられ、リストの末尾に配置されます。

(シーケンス番号以外が)既存のエントリに一致するエントリを入力すると、何も変更されません。

既存のシーケンス番号を入力すると、次のエラー メッセージが表示されます。

Duplicate sequence number.
 

グローバル コンフィギュレーション モードで新しいアクセス リストを入力すると、そのアクセス リストのシーケンス番号が自動的に生成されます。

分散サポートが提供されます。Route Processor(RP; ルート プロセッサ)と Line Card(LC; ライン カード)にあるエントリのシーケンス番号は、常に同期されます。

シーケンス番号が Nonvolatile Generation(NVGEN; 不揮発性生成)されることはありません。つまり、シーケンス番号自体は保存されません。システムのリロード時には、設定されたシーケンス番号はデフォルトのシーケンス開始番号と増分に戻されます。この機能は、シーケンス番号をサポートしないソフトウェア リリースとの下位互換性を保つために提供されています。

この機能は、名前付きの標準および拡張 IP アクセス リストと連動します。アクセス リストの名前を番号として指定できるため、番号も使用できます。

IP アクセス リストでのシーケンス番号の使用法

ここでは、IP アクセス リストでのシーケンス番号の使用法について説明します。

「アクセス リスト エントリの順序付けとアクセス リストの変更」

アクセス リスト エントリの順序付けとアクセス リストの変更

ここでは、名前付き IP アクセス リストのエントリにシーケンス番号を割り当てる方法と、アクセス リストに対するエントリの追加または削除を行う方法を説明します。アクセス リストの変更を行うことを前提に説明します。この作業の背景について、次に示します。

ユーザは、理由なくアクセス リストを並べ替える必要はありません。一般に、並べ替えは任意です。この作業での並べ替えのステップは、機能の目的の 1 つであり、また機能の説明が必要と思われることから、必要に応じて説明します。

ステップ 5 では permit ステートメント、ステップ 6 では deny ステートメントを説明しますが、この順序で実行する必要はありません。

手順の概要

1. enable

2. configure terminal

3. ip access-list resequence access-list-name starting-sequence-number increment

4. ip access-list {standard | extended } access-list-name

5. sequence-number permit source source-wildcard

または

sequence-number
permit protocol source source-wildcard destination destination-wildcard [ precedence precedence ] [ tos tos ] [ log ] [ time-range time-range-name ] [ fragments ]

6. sequence-number deny source source-wildcard

または

sequence-number deny protocol source source-wildcard destination destination-wildcard [ precedence precedence ] [ tos tos ] [ log ] [ time-range time-range-name ] [ fragments ]

7. 必要に応じてステップ 5 およびステップ 6(またはいずれか)を繰り返し、目的とするシーケンス番号順にステートメントを追加します。エントリを削除するには、 no sequence-number コマンドを使用します。

8. end

9. show ip access-lists access-list-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip access-list resequence access-list-name starting-sequence-number increment

 

Router(config)# ip access-list resequence kmd1 100 15

開始シーケンス番号と、シーケンス番号の増分を使用して、指定した IP アクセス リストを並べ替えます。

この例では、kmd1 という名前のアクセス リストを並べ替えます。開始シーケンス番号は 100、増分は 15 です。

ステップ 4

ip access-list { standard | extended } access-list-name

 

Router(config)# ip access-list standard kmd1

名前で IP アクセス リストを指定し、名前付きアクセス リストのコンフィギュレーション モードを開始します。

standard を指定する場合は、その後に、標準アクセス リスト構文を使用して permit ステートメントまたは deny ステートメント(場合によっては両方)を指定します。

extended を指定する場合は、その後に、拡張アクセス リスト構文を使用して permit ステートメントまたは deny ステートメント(場合によっては両方)を指定します。

ステップ 5

sequence-number permit source source-wildcard

 

または

sequence-number permit protocol source source-wildcard destination destination-wildcard [ precedence precedence ] [ tos tos ] [ log ] [ time-range time-range-name ] [ fragments ]

 

Router(config-std-nacl)# 105 permit 10.5.5.5 0.0.0 255

名前付き IP アクセス リスト モードで permit ステートメントを指定します。

このアクセス リストでは permit ステートメントを最初に使用していますが、必要なステートメントの順序に応じて、 deny ステートメントが最初に使用される可能性もあります。

上位層プロトコル(ICMP、IGMP、TCP、および UDP)を許可するその他のコマンド構文については、 permit(IP) コマンド を参照してください。

エントリを削除するには、 no sequence-number コマンドを使用します。

プロンプトに示されるとおり、このアクセス リストは標準アクセス リストでした。ステップ 4 で extended を指定した場合は、このステップのプロンプトは Router(config-ext-nacl) となり、拡張 permit コマンド構文を使用します。

ステップ 6

sequence-number deny source source-wildcard

 

または

sequence-number deny protocol source source-wildcard destination destination-wildcard [ precedence precedence ] [ tos tos ] [ log ] [ time-range time-range-name ] [ fragments ]

 

Router(config-std-nacl)# 105 deny 10.6.6.7 0.0.0 255

(任意)名前付き IP アクセス リスト モードで deny ステートメントを指定します。

このアクセス リストでは permit ステートメントを最初に使用していますが、必要なステートメントの順序に応じて、 deny ステートメントが最初に使用される可能性もあります。

上位層プロトコル(ICMP、IGMP、TCP、および UDP)を許可するその他のコマンド構文については、 deny(IP) コマンドを参照してください。

エントリを削除するには、 no sequence-number コマンドを使用します。

プロンプトに示されるとおり、このアクセス リストは標準アクセス リストでした。ステップ 4 で extended を指定した場合は、このステップのプロンプトは Router(config-ext-nacl) となり、拡張 deny コマンド構文を使用します。

ステップ 7

必要に応じてステップ 5 およびステップ 6(またはいずれか)を繰り返し、目的とするシーケンス番号順にステートメントを追加します。エントリを削除するには、 no sequence-number コマンドを使用します。

アクセス リストは変更できます。

ステップ 8

end

 

Router(config-std-nacl)# end

(任意)コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 9

show ip access-lists access-list-name

 

Router# show ip access-lists kmd1

(任意)IP アクセス リストの内容を表示します。

アクセス リストに新しいエントリが含まれていることを確認するには、 show ip access-lists コマンドの出力を確認します。

Router# show ip access-lists kmd1
 
Standard IP access list kmd1
100 permit 10.4.4.0, wildcard bits 0.0.0.255
105 permit 10.5.5.0, wildcard bits 0.0.0.255
115 permit 10.0.0.0, wildcard bits 0.0.0.255
130 permit 10.5.5.0, wildcard bits 0.0.0.255
145 permit 10.0.0.0, wildcard bits 0.0.0.255

IP アクセス リスト エントリ シーケンス番号の設定例

ここでは、IP アクセス リストのエントリのシーケンス番号について、例を挙げて説明します。

「アクセス リストのエントリの並べ替え:例」

「シーケンス番号を指定したエントリの追加:例」

「シーケンス番号のないエントリ:例」

アクセス リストのエントリの並べ替え:例

次に、アクセス リストを並べ替える例を示します。開始値は 1、増分値は 2 です。後続のエントリはユーザ指定の増分値に基づいて並べられています。範囲は 1 ~ 2147483647 です。

シーケンス番号のないエントリが入力されると、デフォルトで、アクセス リストの最後のエントリのシーケンス番号に 10 を加えたシーケンス番号が割り当てられます。

Router# show access-list 150
 
Extended IP access list 150
10 permit ip host 10.3.3.3 host 172.16.5.34
20 permit icmp any any
30 permit tcp any host 10.3.3.3
40 permit ip host 10.4.4.4 any
50 Dynamic test permit ip any any
60 permit ip host 172.16.2.2 host 10.3.3.12
70 permit ip host 10.3.3.3 any log
80 permit tcp host 10.3.3.3 host 10.1.2.2
90 permit ip host 10.3.3.3 any
100 permit ip any any
 
Router(config)# ip access-list extended 150
Router(config)# ip access-list resequence 150 1 2
Router(config)# end
 
Router# show access-list 150
 
Extended IP access list 150
1 permit ip host 10.3.3.3 host 172.16.5.34
3 permit icmp any any
5 permit tcp any host 10.3.3.3
7 permit ip host 10.4.4.4 any
9 Dynamic test permit ip any any
11 permit ip host 172.16.2.2 host 10.3.3.12
13 permit ip host 10.3.3.3 any log
15 permit tcp host 10.3.3.3 host 10.1.2.2
17 permit ip host 10.3.3.3 any
19 permit ip any any

シーケンス番号を指定したエントリの追加:例

次に、指定のアクセス リスト新しいエントリを追加する例を示します。

Router# show ip access-list
 
Standard IP access list tryon
2 permit 10.4.4.2, wildcard bits 0.0.255.255
5 permit 10.0.0.44, wildcard bits 0.0.0.255
10 permit 10.0.0.1, wildcard bits 0.0.0.255
20 permit 10.0.0.2, wildcard bits 0.0.0.255
 
Router(config)# ip access-list standard tryon
 
Router(config-std-nacl)# 15 permit 10.5.5.5 0.0.0.255
 
Router# show ip access-list
 
Standard IP access list tryon
2 permit 10.4.0.0, wildcard bits 0.0.255.255
5 permit 10.0.0.0, wildcard bits 0.0.0.255
10 permit 10.0.0.0, wildcard bits 0.0.0.255
15 permit 10.5.5.0, wildcard bits 0.0.0.255
20 permit 10.0.0.0, wildcard bits 0.0.0.255

シーケンス番号のないエントリ:例

次に、シーケンス番号が指定されていないエントリをアクセス リストの末尾に追加する方法を示します。シーケンス番号のないエントリを追加すると、自動的にシーケンス番号が割り当てられ、アクセス リストの末尾に配置されます。デフォルトの増分値は 10 であるため、エントリには、既存のアクセス リストの最後のエントリのシーケンス番号に 10 を加えたシーケンス番号が割り当てられます。

Router(config)# ip access-list standard 1
 
Router(config-std-nacl)# permit 10.1.1.1 0.0.0.255
Router(config-std-nacl)# permit 10.2.2.2 0.0.0.255
Router(config-std-nacl)# permit 10.3.3.3 0.0.0.255
 
Router# show access-list
Standard IP access list 1
10 permit 0.0.0.0, wildcard bits 0.0.0.255
20 permit 0.0.0.0, wildcard bits 0.0.0.255
30 permit 0.0.0.0, wildcard bits 0.0.0.255
 
Router(config)# ip access-list standard 1
Router(config-std-nacl)# permit 10.4.4.4 0.0.0.255
Router(config-std-nacl)# end
 
Router# show access-list
 
Standard IP access list 1
10 permit 0.0.0.0, wildcard bits 0.0.0.255
20 permit 0.0.0.0, wildcard bits 0.0.0.255
30 permit 0.0.0.0, wildcard bits 0.0.0.255
40 permit 0.0.0.0, wildcard bits 0.0.0.255

その他の関連資料

関連マニュアル

内容
参照先

IP アクセス リストの設定

『Creating an IP Access List and Applying It to an Interface』

IP アクセス リスト コマンド

『Cisco IOS Security Command Reference』

標準

標準
タイトル

この機能によりサポートされた新規標準または改訂標準はありません。またこの機能による既存標準のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

IP アクセス リスト エントリ シーケンス番号の機能情報

表 1 に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS XE ソフトウェア リリース群で特定の機能をサポートする Cisco IOS XE ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS XE ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 1 IP アクセス リスト エントリ シーケンス番号の機能情報

機能名
リリース
機能情報

IP アクセス リスト エントリ シーケンス番号

Cisco IOS XE Release 2.1

この機能は、Cisco ASR 1000 シリーズの集約サービス ルータで導入されました。

この機能に関する詳細については、次の各項を参照してください。

「IP アクセス リストの目的」

「IP アクセス リストの機能」

「IP アクセス リスト エントリ シーケンス番号」

「アクセス リスト エントリの順序付けとアクセス リストの変更」

次のコマンドが導入または変更されました。 ip access-list resequence deny (IP) permit (IP)