Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
オブジェクト グループの設定
オブジェクト グループの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

オブジェクト グループの設定

オブジェクト グループの設定

オブジェクト グループに関する情報

オブジェクト グループのライセンス要件

オブジェクト グループのガイドラインと制限事項

オブジェクト グループの追加

プロトコル オブジェクト グループの追加

ネットワーク オブジェクト グループの追加

サービス オブジェクト グループの追加

ICMP タイプ オブジェクト グループの追加

オブジェクト グループの削除

オブジェクト グループの監視

オブジェクト グループのネスト

オブジェクト グループの機能履歴

アクセスリストでのオブジェクト グループの使用

アクセスリストでのオブジェクト グループの使用に関する情報

アクセスリストでのオブジェクト グループの使用のライセンス要件

アクセスリストでのオブジェクト グループの使用のガイドラインと制限事項

アクセスリストでのオブジェクト グループの設定

アクセスリストでのオブジェクト グループの使用の監視

アクセスリストでのオブジェクト グループの使用の設定例

アクセスリストでのオブジェクト グループの使用の機能履歴

アクセスリストへのコメントの追加

拡張アクセスリストのアクティベーションのスケジュール設定

アクセスリストのアクティベーションのスケジュール設定に関する情報

アクセスリストのアクティベーションのスケジュール設定におけるライセンス要件

アクセスリストのアクティベーションのスケジュール設定におけるガイドラインと制限事項

時間範囲の設定と適用

アクセスリストのアクティベーションのスケジュール設定例

アクセスリストのアクティベーションのスケジュール設定における機能履歴

オブジェクト グループの設定

モジュール、またはオブジェクト グループでアクセスリストを設定することで、アクセスリストの作成とメンテナンスを簡略化できます。この章では、オブジェクト グループを設定、構成、および表示する方法について説明します。次の項目を取り上げます。

「オブジェクト グループの設定」

「アクセスリストでのオブジェクト グループの使用」

「アクセスリストへのコメントの追加」

「拡張アクセスリストのアクティベーションのスケジュール設定」

オブジェクト グループの設定

この項は、次の内容で構成されています。

「オブジェクト グループに関する情報」

「オブジェクト グループのライセンス要件」

「オブジェクト グループのガイドラインと制限事項」

「オブジェクト グループの追加」

「オブジェクト グループの削除」

「オブジェクト グループの監視」

「オブジェクト グループのネスト」

「オブジェクト グループのネスト」

オブジェクト グループに関する情報

類似オブジェクトをグループにまとめると、オブジェクトごとに ACE を入力する代わりに、ACE でオブジェクト グループを使用できるようになります。次のタイプのオブジェクト グループを作成できます。

プロトコル

ネットワーク

サービス

ICMP のタイプ

たとえば、次の 3 つのオブジェクト グループを考えてみます。

MyServices:内部ネットワークへのアクセスが許可されるサービス要求の TCP/UDP ポート番号を含む。

TrustedHosts:最大範囲のサービスとサーバへのアクセスが許可されるホスト アドレスとネットワーク アドレスを含む。

PublicServers:最大のアクセスが提供されるサーバのホスト アドレスを含む。

上記のグループを作成すると、1 つの ACE を使用して、信頼できるホストが公開サーバのグループにサービス要求を許可することが可能になります。

オブジェクト グループを他のオブジェクト グループにネストすることもできます。


) ACE システム制限は、拡張アクセスリストに適用されます。ACE でオブジェクト グループを使用すると、入力する実際の ACE の数は少なくなりますが、拡張 ACE の数はオブジェクト グループがない場合と同じです。多くの場合、オブジェクト グループを使用すると、手動で追加した場合より多くの ACE が作成されます。これは、手動で ACE を作成した場合、オブジェクト グループで作成した場合より多くのアドレスを集約することになるためです。たとえば、100 の送信元を持つネットワーク オブジェクト グループ、100 の宛先を持つネットワーク オブジェクト グループ、5 つのポートを持つポート オブジェクト グループについて考えてみます。送信元から宛先までポートを許可すると、拡張アクセスリストで 50,000 ACE(5 x 100 x 100)が作成されることになります。


オブジェクト グループのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

オブジェクト グループのガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

「コンテキスト モードのガイドライン」

「ファイアウォール モードのガイドライン」

「IPv6 のガイドライン」

「その他のガイドラインと制限事項」

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

オブジェクト グループには、次のガイドラインと制限事項が適用されます。

オブジェクト グループには、固有の名前が必要となります。「Engineering」という名前のネットワーク オブジェクト グループと「Engineering」という名前のサービス オブジェクト グループを作成する場合、少なくとも 1 つのオブジェクト グループ名の最後に識別子(または「タグ」)を追加して、その名前を固有のものにする必要があります。たとえば、「Engineering_admins」と「Engnineering_hosts」という名前を使用すると、オブジェクト グループの名前を固有のものにして特定可能にすることができます。

オブジェクト グループを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定済みのコマンドは、コマンドの no 形式でオブジェクト グループを削除するまで消えません。

ホスト、プロトコル、またはサービスのようなオブジェクトをグループ化し、そのグループ名を使用して 1 つのコマンドを入力すると、そのグループの各項目にコマンドを適用できます。

オブジェクト グループ コマンドでグループを定義した後に任意のセキュリティ アプライアンス コマンドを使用すると、そのコマンドはそのグループの各項目に適用されます。この機能により、コンフィギュレーションのサイズを大幅に削減できます。


) 別のアクセスリストで使用されている場合は、オブジェクト グループを削除したり、オブジェクト グループを空にすることはできません。オブジェクト グループの削除の詳細については、「オブジェクト グループの削除」を参照してください。


オブジェクト グループを定義した後、次の例に示すように、適用可能なすべてのセキュリティ アプライアンス コマンドで、グループ名の前に object-group キーワードを使用する必要があります。

プロトコル オブジェクト グループの追加

プロトコル オブジェクト グループを追加または変更するには、この項の手順を実行します。グループを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定済みのコマンドは、コマンドの no 形式で削除するまで残ります。

詳細な手順

 

コマンド
目的

ステップ 1

object-group protocol obj _ grp_id
 
例:
hostname(config)# object-group protocol tcp_udp_icmp

プロトコル グループを追加します。 obj_grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

プロンプトがプロトコル コンフィギュレーション モードに変わります。

ステップ 2

description text
 
例:
hostname(config-protocol)# description New Group

(オプション)説明を追加します。説明には、最大 200 文字を使用できます。

ステップ 3

protocol-object protocol
 
例:
hostname(config-protocol)# protocol-object tcp
 

グループでプロトコルを定義します。プロトコルごとにコマンドを入力します。protocol は、指定の IP プロトコルの数値識別子(1 ~ 254)またはキーワード識別子(たとえば、 icmp tcp 、または udp )です。すべての IP プロトコルを含めるには、キーワード ip を使用します。指定できるプロトコルのリストについては、「プロトコルとアプリケーション」を参照してください。

TCP、UDP、および ICMP のプロトコル グループを作成するには、次のコマンドを入力します。

hostname (config)# object-group protocol tcp_udp_icmp
hostname (config-protocol)# protocol-object tcp
hostname (config-protocol)# protocol-object udp
hostname (config-protocol)# protocol-object icmp

ネットワーク オブジェクト グループの追加

ネットワーク オブジェクト グループは、アクセスリストのタイプに応じて、IPv4 アドレスおよび IPv6 アドレスをサポートします。IPv6 アクセスリストの詳細については、「IPv6 アクセスリストの追加」を参照してください。

ネットワーク オブジェクト グループを追加または変更するには、この項の手順を実行します。グループを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定済みのコマンドは、コマンドの no 形式で削除するまで残ります。

詳細な手順

 

コマンド
目的

ステップ 1

object-group network grp_id
 
例:
hostname(config)# object-group network admins

ネットワーク グループを追加します。

grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

プロンプトがプロトコル コンフィギュレーション モードに変わります。

ステップ 2

description text
 
例:
hostname(config-network)# Administrator Addresses

(オプション)説明を追加します。説明には、最大 200 文字を使用できます。

ステップ 3

network-object network {host ip_address | ip_address mask}
 
例:
hostname(config-network)# network-object host 10.1.1.4

グループでネットワークを定義します。ネットワークまたはアドレスごとにコマンドを入力します。

3 人の管理者の IP アドレスを含むネットワーク グループを作成するには、次のコマンドを入力します。

hostname (config)# object-group network admins
hostname (config-protocol)# description Administrator Addresses
hostname (config-protocol)# network-object host 10.1.1.4
hostname (config-protocol)# network-object host 10.1.1.78
hostname (config-protocol)# network-object host 10.1.1.34

サービス オブジェクト グループの追加

サービス オブジェクト グループを追加または変更するには、この項の手順を実行します。グループを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定済みのコマンドは、コマンドの no 形式で削除するまで残ります。

詳細な手順

 

コマンド
目的

ステップ 1

object-group service grp_id { tcp | udp | tcp-udp }
 
例:
hostname(config)# object-group service services1 tcp-udp

サービス グループを追加します。 grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

tcp udp 、または tcp-udp のいずれかのキーワードで、追加するサービス(ポート)のプロトコルを指定します。DNS(ポート 53)のように、同じポート番号で TCP と UDP の両方を使用している場合は、 tcp-udp キーワードを入力します。

プロンプトがサービス コンフィギュレーション モードに変わります。

ステップ 2

description text
 
例:
hostname(config-service)# description DNS Group

(オプション)説明を追加します。説明には、最大 200 文字を使用できます。

ステップ 3

port-object { eq port | range begin_port end_port }
 
例:
hostname(config-service)# port-object eq domain

グループでポートを定義します。ポートまたはポート範囲ごとにコマンドを入力します。使用できるキーワードおよび予約済みポート割り当てのリストについては、「プロトコルとアプリケーション」を参照してください。

DNS(TCP/UDP)、LDAP(TCP)、および RADIUS(UDP)が含まれたサービス グループを作成するには、次のコマンドを入力します。

hostname (config)# object-group service services1 tcp-udp
hostname (config-service)# description DNS Group
hostname (config-service)# port-object eq domain
 
hostname (config)# object-group service services2 udp
hostname (config-service)# description RADIUS Group
hostname (config-service)# port-object eq radius
hostname (config-service)# port-object eq radius-acct
 
hostname (config)# object-group service services3 tcp
hostname (config-service)# description LDAP Group
hostname (config-service)# port-object eq ldap

ICMP タイプ オブジェクト グループの追加

ICMP タイプ オブジェクト グループを追加または変更するには、この項の手順を実行します。グループを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定済みのコマンドは、コマンドの no 形式で削除するまで残ります。

詳細な手順

 

コマンド
目的

ステップ 1

object-group icmp-type grp_id
 
例:
hostname(config)# object-group icmp-type ping
 

ICMP タイプ オブジェクト グループを追加します。 grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

プロンプトが ICMP タイプ コンフィギュレーション モードに変わります。

ステップ 2

description text
 
例:
hostname(config-icmp-type)# description Ping Group

(オプション)説明を追加します。説明には、最大 200 文字を使用できます。

ステップ 3

 
icmp-object icmp-type
 
例:
hostname(config-icmp-type)# icmp-object echo-reply

ICMP タイプをグループで定義します。タイプごとにコマンドを入力します。ICMP タイプのリストについては、「ICMP タイプ」を参照してください。

次のコマンドを入力して、echo-reply および echo(ping 制御に使用)が含まれる ICMP タイプ グループを作成します。

hostname (config)# object-group icmp-type ping
hostname (config-service)# description Ping Group
hostname (config-service)# icmp-object echo
hostname (config-service)# icmp-object echo-reply
 

オブジェクト グループの削除

特定のオブジェクト グループまたは指定したタイプのすべてのオブジェクト グループを削除できますが、アクセスリストで使用されている場合は、そのオブジェクト グループを削除したり、空にすることはできません。

詳細な手順

 

ステップ 1

次のいずれかを実行します。

no object-group grp_id

 

:

hostname(config)# no object-group Engineering_host
 

指定のオブジェクト グループを削除します。 grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

clear object-group [ protocol | network | services | icmp-type ]

 

:

hostname(config)# clear-object group network

指定したタイプのすべてのオブジェクト グループを削除します。


) タイプを入力しない場合、すべてのオブジェクト グループが削除されます。


オブジェクト グループの監視

オブジェクト グループを監視するには、次のコマンドを入力します。

 

コマンド
目的
show access-list

オブジェクトをグループ化せずに個々のエントリに拡張されるアクセスリスト エントリを表示します。

show running-config object-group

現在のすべてのオブジェクト グループを表示します。

show running-config object-group grp_id

現在のオブジェクト グループをグループ ID ごとに表示します。

show running-config object-group grp_type

現在のオブジェクト グループをグループ タイプごとに表示します。

オブジェクト グループのネスト

オブジェクト グループを階層的にネストして、1 つのオブジェクト グループに同じタイプの他のオブジェクト グループを含めることができます。

オブジェクト グループを同じタイプの別のオブジェクト グループにネストするには、まず、ネストするグループを作成し(「オブジェクト グループの追加」を参照)、この項の手順を実行します。

詳細な手順

 

コマンド
目的

ステップ 1

object-group group {{ protocol | network | icmp-type } grp_id | service grp_id { tcp | udp | tcp-udp }}
 
:
hostname(config)# object-group network Engineering_group
 

下位に別のオブジェクト グループをネストする指定のオブジェクト グループ タイプを追加または編集します。

service _grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

ステップ 2

group-object group_id
 
:
hostname(config-network)# network-object host 10.1.1.5
hostname(config-network)# network-object host 10.1.1.7
hostname(config-network)# network-object host 10.1.1.9
 

指定したグループをステップ 1 で指定したオブジェクト グループの下位に追加します。ネストするグループは、同じタイプである必要があります。ネストしたグループ オブジェクトと通常のオブジェクトは、単一のオブジェクト グループ内でさまざまに組み合せることができます。

次のコマンドを入力して、さまざまな部門に所属する特権ユーザのネットワーク オブジェクト グループを作成します。

hostname (config)# object-group network eng
hostname (config-network)# network-object host 10.1.1.5
hostname (config-network)# network-object host 10.1.1.9
hostname (config-network)# network-object host 10.1.1.89
 
hostname (config)# object-group network hr
hostname (config-network)# network-object host 10.1.2.8
hostname (config-network)# network-object host 10.1.2.12
 
hostname (config)# object-group network finance
hostname (config-network)# network-object host 10.1.4.89
hostname (config-network)# network-object host 10.1.4.100
 

その後、3 つすべてのグループを次のようにネストします。

hostname (config)# object-group network admin
hostname (config-network)# group-object eng
hostname (config-network)# group-object hr
hostname (config-network)# group-object finance
 

ACE では次のように管理オブジェクト グループを指定するだけです。

hostname (config)# access-list ACL_IN extended permit ip object-group admin host 209.165.201.29

オブジェクト グループの機能履歴

表 16-1 に、この機能のリリース履歴の一覧を示します。

 

表 16-1 オブジェクト グループの機能履歴

機能名
リリース
機能情報

オブジェクト グループ

7.0

オブジェクト グループにより、アクセスリストの作成とメンテナンスが簡略化されます。

object-group protocol object-group network object-group service 、および object-group icmp_type コマンドが導入または変更されました。

アクセスリストでのオブジェクト グループの使用

ここでは、次の項目について説明します。

「アクセスリストでのオブジェクト グループの使用に関する情報」

「アクセスリストでのオブジェクト グループの使用のライセンス要件」

「アクセスリストでのオブジェクト グループの使用のガイドラインと制限事項」

「アクセスリストでのオブジェクト グループの設定」

「アクセスリストでのオブジェクト グループの使用の監視」

「アクセスリストでのオブジェクト グループの使用の設定例」

「アクセスリストでのオブジェクト グループの使用の機能履歴」

アクセスリストでのオブジェクト グループの使用に関する情報

オブジェクト グループをアクセスリストで使用し、通常のプロトコル( protocol )、ネットワーク( source_address mask など)、サービス( operator port )、または ICMP タイプ( icmp_type )の各パラメータを object-group grp_id パラメータで置き換えることができます。

アクセスリストでのオブジェクト グループの使用のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

アクセスリストでのオブジェクト グループの使用のガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

「コンテキスト モードのガイドライン」

「ファイアウォール モードのガイドライン」

「IPv6 のガイドライン」

「その他のガイドラインと制限事項」

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

アクセスリストでオブジェクト グループを使用する際には、次のガイドラインと制限事項が適用されます。

すべてのパラメータにオブジェクト グループを使用する必要はありません。たとえば、送信元アドレスにオブジェクト グループを使用しても、宛先アドレスはアドレスとマスクで指定できます。

アクセスリストでのオブジェクト グループの設定

access-list { tcp | udp } コマンドで使用可能なすべてのパラメータにオブジェクト グループを使用するには、次のコマンドを入力します。

 

コマンド
目的
access-list access_list_ name [ line line_number ] [ extended ] {deny | permit} { tcp | udp } object-group nw_grp_id [ object-group svc_grp_id ] object-group nw_grp_id [ object-group svc_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]] [ inactive | time-range time_range_name ]

 

hostname(config)# access-list 104 permit tcp object-group A object-group B inactive

アクセスリストでオブジェクト グループを設定します。

コマンド オプションの詳細なリストについては、『 Cisco Adaptive Security Appliance Command Reference 』の access list estended コマンドを参照してください。

アクセスリストでオブジェクト グループを使用するための詳細な設定例については、「アクセスリストのアクティベーションのスケジュール設定例」を参照してください。

アクセスリストでのオブジェクト グループの使用の監視

アクセスリストでのオブジェクト グループの使用を監視するには、次のコマンドを入力します。

 

コマンド
目的
show access-list

オブジェクトをグループ化せずに個々のエントリに拡張されるアクセスリスト エントリを表示します。

show object-group [ protocol | network | service | icmp-type | id grp_id ]

現在設定されているオブジェクト グループのリストを表示します。パラメータを指定しないでコマンドを入力すると、システムは設定されているオブジェクト グループをすべて表示します。

show running-config object-group

現在のすべてのオブジェクト グループを表示します。

show running-config object-group grp_id

現在のオブジェクト グループをグループ ID ごとに表示します。

show running-config object-group grp_type

現在のオブジェクト グループをグループ タイプごとに表示します。

次に、 show object-group コマンドの出力例を示します。

hostname# show object-group
object-group network ftp_servers
description: This is a group of FTP servers
network-object host 209.165.201.3
network-object host 209.165.201.4
object-group network TrustedHosts
network-object host 209.165.201.1
network-object 192.168.1.0 255.255.255.0
group-object ftp_servers

アクセスリストでのオブジェクト グループの使用の設定例

次に示す、オブジェクト グループを使用しない通常のアクセスリストでは、内部ネットワーク上のいくつかのホストがいくつかの Web サーバへのアクセスを禁止されます。他のトラフィックはすべて許可されます。

hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.4 host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.78 host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.89 host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.4 host 209.165.201.16 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.78 host 209.165.201.16 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.89 host 209.165.201.16 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.4 host 209.165.201.78 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.78 host 209.165.201.78 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.89 host 209.165.201.78 eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
 

2 つのネットワーク オブジェクト グループ(内部ホスト用に 1 つ、Web サーバ用に 1 つ)を作成すると、コンフィギュレーションが簡略化され、簡単に修正してホストを追加できるようになります。

hostname(config)# object-group network denied
hostname(config-network)# network-object host 10.1.1.4
hostname(config-network)# network-object host 10.1.1.78
hostname(config-network)# network-object host 10.1.1.89
 
hostname(config-network)# object-group network web
hostname(config-network)# network-object host 209.165.201.29
hostname(config-network)# network-object host 209.165.201.16
hostname(config-network)# network-object host 209.165.201.78
 
hostname(config-network)# access-list ACL_IN extended deny tcp object-group denied object-group web eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
 

アクセスリストでのオブジェクト グループの使用の機能履歴

表 16-2 に、この機能のリリース履歴の一覧を示します。

 

表 16-2 アクセスリストでのオブジェクト グループ の使用の機能履歴

機能名
リリース
機能情報

オブジェクト グループ

7.0

オブジェクト グループにより、アクセスリストの作成とメンテナンスが簡略化されます。

object-group protocol object-group network object-group service 、および object-group icmp_type コマンドが導入または変更されました。

アクセスリストへのコメントの追加

拡張アクセスリスト、EtherType アクセスリスト、IPv6 アクセスリスト、標準アクセスリスト、Webtype アクセスリストを含む任意のアクセスリストに、エントリについてのコメントを追加できます。コメントにより、アクセスリストが理解しやすくなります。

最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。

 

コマンド
目的
access-list access_list_name remark text
 
:
hostname(config)# access-list OUT remark - this is the inside admin address
 

 

最後に入力した access-list コマンドの後にコメントを追加します。

テキストは 100 文字まで指定できます。テキストの先頭にスペースを入力できます。末尾のスペースは無視されます。

いずれかの access-list コマンドの前にコメントを入力すると、コメントはアクセスリストの最初の行に表示されます。

no access-list access_list_name コマンドを使用してアクセスリストを削除すると、コメントもすべて削除されます。

各 ACE の前にコメントを追加できます。コメントはその場所でアクセスリストに表示されます。コメントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。

hostname(config)# access-list OUT remark - this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark - this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any
 

拡張アクセスリストのアクティベーションのスケジュール設定

この項は、次の内容で構成されています。

「アクセスリストのアクティベーションのスケジュール設定に関する情報」

「アクセスリストのアクティベーションのスケジュール設定におけるライセンス要件」

「アクセスリストのアクティベーションのスケジュール設定におけるガイドラインと制限事項」

「時間範囲の設定と適用」

「アクセスリストのアクティベーションのスケジュール設定例」

「アクセスリストのアクティベーションのスケジュール設定における機能履歴」

アクセスリストのアクティベーションのスケジュール設定に関する情報

ACE に時間範囲を適用することで、アクセスリストの各 ACE が、1 日および週の特定の時刻にアクティブになるようにスケジュールを設定できます。

アクセスリストのアクティベーションのスケジュール設定におけるライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

アクセスリストのアクティベーションのスケジュール設定におけるガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

「コンテキスト モードのガイドライン」

「ファイアウォール モードのガイドライン」

「IPv6 のガイドライン」

「その他のガイドラインと制限事項」

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

アクセスリストでオブジェクト グループを使用する際には、次のガイドラインと制限事項が適用されます。

ACL を非アクティブにするための指定の終了時刻の後、約 80 ~ 100 秒の遅延が発生する場合があります。たとえば、指定の終了時刻が 3:50 の場合、この 3:50 は終了時刻に含まれているため、コマンドは、3:51:00 ~ 3:51:59 の間に呼び出されます。コマンドが呼び出された後、セキュリティ アプライアンスは現在実行されているすべてのタスクを終了し、コマンドに ACL を無効にさせます。

time-range コマンドごとに、複数の定期的なエントリが許可されます。 time-range コマンドに absolute 値と periodic 値の両方が指定されている場合、 periodic コマンドは absolute の開始時刻になって初めて評価され、 absolute の終了時刻に達した後は評価されません。

時間範囲の設定と適用

時間範囲を追加して時間ベースのアクセスリストを実装できます。時間範囲を特定するには、この項の手順を実行します。

詳細な手順

 

コマンド
目的

ステップ 1

time-range name
 
:
hostname(config)# time range Sales
 

時間範囲の名前を特定します。

ステップ 2

次のいずれかを実行します。

periodic days-of-the-week time to [ days-of-the-week ] time
 
:
hostname(config-time-range)# periodic monday 7:59 to friday 17:01
 

定期的な時間範囲を指定します。

days-of-the-week には次の値を指定できます。

monday tuesday wednesday thursday friday saturday 、または sunday

daily

weekdays

weekend

time の形式は、 hh : mm です。たとえば、8:00 は午前 8 時になります。また、20:00 は午後 8 時になります。

absolute start time date [ end time date ]
 
:
hostname(config-time-range)# absolute start 7:59 2 january 2009

絶対的な時間範囲を指定します。

time の形式は、 hh : mm です。たとえば、8:00 は午前 8 時になります。また、20:00 は午後 8 時になります。

date の形式は、 day month year です。たとえば、 1 january 2006 と指定します。

ステップ 3

access-list access_list_ name [ extended ] {deny | permit}... [ time-range name ]
 
:
hostname(config)# access list Marketing extended deny tcp host 209.165.200.225 host 209.165 201.1 time-range Pacific_Coast

ACE へ時間範囲を適用します。


) ACE のロギングもイネーブルにするには、log キーワードを time-range キーワードの前に使用します。inactive キーワードを使用して ACE をディセーブルにする場合は、inactive キーワードを最後のキーワードとして使用します。


access-list コマンドの完全なシンタックスについては、「拡張アクセスリストの追加」を参照してください。

次の例では、「Sales」という名前のアクセスリストを「New_York_Minute」という名前の時間範囲にバインドしています。

hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host 209.165.201.1 time-range New_York_Minute

アクセスリストのアクティベーションのスケジュール設定例

次に、2006 年 1 月 1 日の午前 8 時に始まる絶対的な時間範囲の例を示します。終了時刻も終了日も指定されていないため、時間範囲は事実上無期限になります。

hostname(config)# time-range for2006
hostname(config-time-range)# absolute start 8:00 1 january 2006
 

次に、平日の午前 8 時~午後 6 時に毎週繰り返される定期的な時間範囲の例を示します。

hostname(config)# time-range workinghours
hostname(config-time-range)# periodic weekdays 8:00 to 18:00

アクセスリストのアクティベーションのスケジュール設定における機能履歴

表 16-3 に、この機能のリリース履歴の一覧を示します。

 

表 16-3 アクセスリストのアクティベーションのスケジュール設定における機能履歴

機能名
リリース
機能情報

アクセスリストのアクティベーションのスケジュール設定

7.0

アクセスリストの各 ACE が、1 日および週の特定の時刻にアクティブになるようにスケジュールを設定できます。

object-group protocol object-group network object-group service 、および object-group icmp_type コマンドが導入または変更されました。