Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
標準 アクセスリスト の追加
標準アクセスリストの追加
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

標準アクセスリストの追加

標準アクセスリストに関する情報

標準アクセスリストのライセンス要件

ガイドラインと制限事項

デフォルト設定

標準アクセスリストの追加

拡張アクセスリストの設定のタスク フロー

標準アクセスリストの追加

アクセスリストへのコメントの追加

次の作業

アクセスリストのモニタリング

標準アクセスリストの設定例

標準アクセスリストの機能履歴

標準アクセスリストに関する情報

標準アクセスリストでは、OSPF ルートの宛先 IP アドレスを指定します。このアクセスリストは、OSPF 再配布のルートマップに使用できます。標準アクセスリストをインターフェイスに適用してトラフィックを制御することはできません。

標準アクセスリストのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

「コンテキスト モードのガイドライン」

「ファイアウォール モードのガイドライン」

「IPv6 のガイドライン」

「その他のガイドラインと制限事項」

コンテキスト モードのガイドライン

シングルコンテキスト モードでだけサポートされます。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

標準アクセスリストには、次のガイドラインと制限事項が適用されます。

標準 ACL では、OSPF ルートの宛先 IP アドレス(送信元アドレスではない)を指定します。このアクセスリストは、OSPF 再配布のルートマップに使用できます。標準 ACL をインターフェイスに適用してトラフィックを制御することはできません。

アクセスリストの末尾に ACE を追加するには、同じアクセスリスト名を指定して別の access-list コマンドを入力します。

access-group コマンドで使用する場合、 deny キーワードを指定すると、パケットは適応型セキュリティ アプライアンスを通過できません。デフォルトでは、適応型セキュリティ アプライアンスは、ユーザが特にアクセスを許可しない限り、送信元インターフェイスのパケットをすべて拒否します。

送信元、ローカル、または宛先アドレスを指定する場合は、次のガイドラインを使用します。

4 つの部分からなるドット付き 10 進数形式の 32 ビットの数値を使用します。

キーワード any を 0.0.0.0.0.0.0.0 のアドレスおよびマスクの省略形として使用します。

host ip_address オプションを 255.255.255.255 のマスクの省略形として使用します。

ACE をディセーブルにするには、 access-list コマンドで inactive キーワードを指定します。

デフォルト設定

表 14-1 に、標準アクセスリスト パラメータのデフォルトの設定を示します。

 

表 14-1 標準アクセスリストのデフォルト パラメータ

パラメータ
デフォルト

deny

適応型セキュリティ アプライアンスは、ユーザが特にアクセスを許可しない限り、送信元インターフェイスのパケットをすべて拒否します。

アクセスリスト ロギングは、拒否されたパケットについてシステム ログ メッセージ 106023 を生成します。拒否されたパケットをログに記録するには、拒否パケットが存在している必要があります。

標準アクセスリストの追加

この項は、次の内容で構成されています。

「拡張アクセスリストの設定のタスク フロー」

「標準アクセスリストの追加」

「アクセスリストへのコメントの追加」

拡張アクセスリストの設定のタスク フロー

アクセスリストを作成して実装するには、次のガイドラインを使用します。

ACE を追加し、アクセスリスト名を適用して、アクセスリストを作成します。「標準アクセスリストの追加」を参照してください。

アクセスリストをインターフェイスに適用します。詳細については、「アクセス規則の設定」を参照してください。

標準アクセスリストの追加

OSPF ルートの宛先 IP アドレスを指定するアクセスリストを追加するには、次のコマンドを入力します。このアクセスリストは、OSPF 再配布のルートマップに使用できます。

 

コマンド
目的
hostname(config)# access-list access_list_name standard { deny | permit } { any | ip_address mask }

 

例:

hostname(config)# access-list OSPF standard permit 192.168.1.0 255.255.255.0

 

標準アクセスリスト エントリを追加します。アクセスリストの末尾にもう 1 つ ACE を追加するには、同じアクセスリスト名を指定して別の access-list コマンドを入力します。

access_list_name 引数には、アクセスリストの名前または番号を指定します。

any キーワードは、任意のユーザへのアクセスを指定します。

deny キーワードは、条件が一致した場合にアクセスを拒否します。

host ip_address 構文は、ホスト IP アドレスへのアクセスを指定します。

ip_address ip_mask 引数は、特定の IP アドレスおよびサブネット マスクへのアクセスを指定します。

line line-num オプションでは、ACE を挿入する行番号を指定します。

permit キーワードは、条件が一致した場合にアクセスを許可します。

ACE を削除するには、 no access-list コマンドを、コンフィギュレーションに表示されるコマンド構文のすべての文字列とともに入力します。

アクセスリストへのコメントの追加

拡張アクセスリスト、EtherType アクセスリスト、IPv6 アクセスリスト、標準アクセスリスト、Webtype アクセスリストを含む任意のアクセスリストに、エントリについてのコメントを追加できます。コメントにより、アクセスリストが理解しやすくなります。

最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。

 

コマンド
目的
access-list access_list_name remark text

 

例:

e :
hostname(config)# access-list OUT remark - this is the inside admin address
 

 

最後に入力した access-list コマンドの後にコメントを追加します。

テキストは 100 文字まで指定できます。テキストの先頭にスペースを入力できます。末尾のスペースは無視されます。

いずれかの access-list コマンドの前にコメントを入力すると、コメントはアクセスリストの最初の行に表示されます。

no access-list access_list_name コマンドを使用してアクセスリストを削除すると、コメントもすべて削除されます。

各 ACE の前にコメントを追加できます。コメントはその場所でアクセスリストに表示されます。コメントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。

hostname(config)# access-list OUT remark - this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark - this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

次の作業

アクセスリストをインターフェイスに適用します。詳細については、「アクセス規則の設定」を参照してください。

アクセスリストのモニタリング

アクセスリストをモニタするには、次のいずれかのタスクを実行します。

 

コマンド
目的
show access-list

アクセスリスト エントリを番号で表示します。

show running-config access-list

現在実行しているアクセスリスト コンフィギュレーションを表示します。

標準アクセスリストの設定例

次の例は、適応型セキュリティ アプライアンスを通過する IP トラフィックを拒否する方法を示しています。

hostname(config)# access-list 77 standard deny

 

次の例は、条件が一致した場合に適応型セキュリティ アプライアンスを通過する IP トラフィックを許可する方法を示しています。

hostname(config)# access-list 77 standard permit

 

次の例は、宛先アドレスを指定する方法を示しています。

hostname(config)# access-list 77 standard permit host 10.1.10.123

 

標準アクセスリストの機能履歴

表 14-2 に、この機能のリリース履歴の一覧を示します。

 

表 14-2 標準アクセスリストの機能履歴

機能名
リリース
機能情報

標準アクセスリスト

7.0

標準アクセスリストでは、OSPF ルートの宛先 IP アドレスを指定します。このアクセスリストは、OSPF 再配布のルートマップに使用できます。

この機能および access-list standard コマンドが導入されました。