Navbar-jp

Toolbar-jp

PDFGetAcro

ACL�ɂ��l�b�g���[�N �Z�L�����e�B�̐ݒ�

���̏͂ł́AAccess Control List�iACL;�A�N�Z�X���䃊�X�g�j���g�p���āACatalyst 3550�X�C�b�`�Ƀl�b�g���[�N �Z�L�����e�B��ݒ肷���@�ɂ‚��Đ������܂��BACL�́A�R�}���h��e�[�u���ł�access-list�i�A�N�Z�X ���X�g�j�ƕ\���܂��B

���̏͂Ő���������e�́A���̂Ƃ���ł��B

ACL�̊T�v

�p�P�b�g �t�B���^�����O���g�p����ƁA�l�b�g���[�N �g���t�B�b�N�𐧌�������A����̃��[�U��f�o�C�X�ɂ��l�b�g���[�N�̎g�p�𐧌����邱�Ƃ��ł��܂��BACL�̓��[�^��ʉ߂���g���t�B�b�N���t�B���^�����O���A����̃C���^�[�t�F�C�X�Ńp�P�b�g�����A�܂��́A���ۂ��܂��BACL�́A�p�P�b�g�ɓK�p����鋖�‚���ы��ۏ��������Ԃɕ��ׂ����̂ł��B�C���^�[�t�F�C�X�Ƀp�P�b�g�����M����ƁA�X�C�b�`�̓p�P�b�g�̃t�B�[���h���Y������ACL�Ɣ�r���AACL�Ŏw�肳��Ă�������Ɋ�Â��āA�p�P�b�g�ɑ΂��ē]�������‚���Ă��邩�ǂ��������؂��܂��B�p�P�b�g�́A�A�N�Z�X ���X�g���̏����ɑ΂���1�‚��ƒe�X�g����܂��B�ŏ��Ɍ��‚�������v�����ɂ���āA�p�P�b�g�����‚���邩�A�܂��͋��ۂ���邩�����܂�܂��B�X�C�b�`�́A�ŏ��̈�v�����‚���ƃe�X�g�‹����I������̂ŁA�A�N�Z�X ���X�g���̏����̏������d�v�ƂȂ�܂��B��v����������Ȃ��ꍇ�A�p�P�b�g�͋��ۂ���܂��B���񂪂Ȃ��ꍇ�A�X�C�b�`�̓p�P�b�g��]�����A���񂪂���ꍇ�̓p�P�b�g��p��܂��B

�]���A�X�C�b�`�̓��C��2�ł̂݉ғ����AVLAN�i���zLAN�j���Ńg���t�B�b�N���X�C�b�`���O���Ă��܂����B���A���[�^��VLAN�ԂŃg���t�B�b�N�����[�e�B���O���Ă��܂����BCatalyst 3550 �X�C�b�`�́A���C��3�X�C�b�`���O���g�p����VLAN�Ԃ̃p�P�b�g ���[�e�B���O�����������܂��B�X�C�b�`�Ńu���b�W���O���ꂽ�p�P�b�g�́A�O�����[�^�ɑ��M���ꂸ�ɓ������[�e�B���O����A�ēx�u���b�W���O����Ĉ���ɑ��M����܂��B�X�C�b�`�͂��̃v���Z�X���ɁAVLAN���Ńu���b�W���O�����p�P�b�g���܂߁A�X�C�b�`���O����邷�ׂẴp�P�b�g�̃A�N�Z�X�𐧌䂵�܂��B

�l�b�g���[�N�Ɋ�{�I�ȃZ�L�����e�B�𓱓��ꍇ�́A���[�^�܂��̓X�C�b�`�ɃA�N�Z�X ���X�g��ݒ肵�܂��BACL��ݒ肵�Ȃ��ƁA�X�C�b�`��ʉ߂��邷�ׂẴp�P�b�g���A�l�b�g���[�N���̂��ׂĂ̏ꏊ�ɓ]������邱�Ƃ�����܂��BACL���g�p����ƁA�l�b�g���[�N�̏ꏊ���ƂɃA�N�Z�X�”\�ȃz�X�g�𐧌䂵����A���[�^ �C���^�[�t�F�C�X�œ]���܂��̓u���b�N�����g���t�B�b�N�̎�ނ����肷�邱�Ƃ��ł��܂��B���Ƃ��΁A�d�q���[�� �g���t�B�b�N�̓]�������‚��āATelnet�g���t�B�b�N�̓]�����֎~���邱�Ƃ��”\�ł��BACL�����M�g���t�B�b�N�A���M�g���t�B�b�N�A�܂��͂��̗�����u���b�N����悤�ɐݒ肷�邱�Ƃ��ł��܂��B�������A���C��2�C���^�[�t�F�C�X�ł́AACL��K�p�ł���̂͒��M���ł��B

ACL�ɂ�ACE�����ԂɋL�q����Ă��܂��B�eACE�́A���ipermit�j�܂��͋��ہideny�j�A�����ACE�ƈ�v���邽�߂ɗv�������p�P�b�g�̕K�{�������w�肵�܂��B�����܂��������̈Ӗ��́AACL�̎g�p�󋵂ɉ����ĕς��܂��B

���̃X�C�b�`�ł͎���2�‚�ACL�^�C�v���T�|�[�g����܂��B

�T�|�[�g�����ACL

���̃X�C�b�`�́A�g���t�B�b�N���t�B���^�����O���邽�߁A���Ɏ���3��ނ�ACL���T�|�[�g���܂��B

�����X�C�b�`�Ń��[�^ACL��VLAN�}�b�v�𗼕�g�p���邱�Ƃ��ł��܂��B�������A��̓��[�^ACL�܂���VLAN�}�b�v���ݒ肳��Ă���X�C�b�`�Ń|�[�gACL���g�p���邱�Ƃ͂ł��܂���B

802.1Q�g���l�����O���C���^�[�t�F�C�X��ɐݒ肳��Ă���ꍇ�A���̃g���l�� �|�[�g�Ŏ�M���ꂽ802.1Q�J�v�Z����IP�p�P�b�g��MAC ACL�Ńt�B���^�����O���邱�Ƃ͉”\�ł����AIP ACL�ł̓t�B���^�����O�ł��܂���B�X�C�b�`��802.1Q�w�b�_�[���̃v���g�R����F���ł��Ȃ����߂ł��B���̐���́A���[�^ACL�A�|�[�gACL�AVLAN�}�b�v�ɓK�p����܂��B802.1Q�g���l�����O�̏ڍׂɂ‚��ẮA802.1Q����у��C��2�v���g�R�� �g���l�����O�̐ݒ����Q�Ƃ��Ă��������B

���̃X�C�b�`�́AQuality of Service�iQoS;�T�[�r�X�i���j����ACL���T�|�[�g���Ă��܂��B�ڍׂɂ‚��ẮAQoS ACL�Ɋ�Â��������Q�Ƃ��Ă��������B

���[�^ACL

VLAN�ւ̃��C��3�C���^�[�t�F�C�X�ł���Switch Virtual Interface�iSVI�j�A�������C��3�C���^�[�t�F�C�X�A����у��C��3 EtherChannel�C���^�[�t�F�C�X�ɁA���[�^ACL��K�p���邱�Ƃ��ł��܂��B���[�^ACL�̓C���^�[�t�F�C�X�̓���̕��i���M�܂��͔��M�j�ɑ΂��ēK�p����܂��B�e����1�‚���IP�A�N�Z�X ���X�g��K�p�ł��܂��B

1�‚�ACL���������C���^�[�t�F�C�X�̕����̋@�\�Ɏg�p���邱�Ƃ��ł��܂��B�܂��A1�‚̋@�\�ɕ�����ACL���g�p���邱�Ƃ��ł��܂��B1�‚̃��[�^ACL�𕡐��̋@�\�Ŏg�p����ꍇ�A���̃��[�^ACL�͕�����e�X�g����܂��B

�X�C�b�`�́A����̃C���^�[�t�F�C�X����ѕ��ɑ΂��Đݒ肳�ꂽ�@�\�Ɋ֘A�Â����Ă���ACL���e�X�g���܂��B�p�P�b�g���X�C�b�`�̃C���^�[�t�F�C�X�ɒ��M����ƁA���̃C���^�[�t�F�C�X�ɐݒ肳��Ă��邷�ׂĂ̒��M�@�\�ɑΉ�����ACL���e�X�g����܂��B�p�P�b�g�����[�e�B���O����Ă���l�N�X�g�z�b�v�ɓ]�������܂ł̊ԂɁA�o�̓C���^�[�t�F�C�X�ɐݒ肳�ꂽ���M�@�\�ɑΉ����邷�ׂĂ�ACL���e�X�g����܂��B

ACL�́AACL���̃G���g���Ƃ̈�v���ʂɊ�Â��āA�]�������‚܂��͋��ۂ��܂��B���Ƃ��΁A�A�N�Z�X ���X�g���g�p����ƁA�l�b�g���[�N�̓���̏ꏊ�ւ̃A�N�Z�X�����̃z�X�g�ɋ��‚��A�ʂ̃z�X�g�ɂ̓A�N�Z�X���֎~���邱�Ƃ��ł��܂��BACL�ɂ��l�b�g���[�N �g���t�B�b�N�̐����ł́A���[�^�ւ̓�͂ɓK�p����Ă���ACL�ɂ��A�z�X�gA�͐l�����l�b�g���[�N�ւ̃A�N�Z�X�����‚���܂����A�z�X�gB�͋��ۂ���܂��B

ACL�ɂ��l�b�g���[�N �g���t�B�b�N�̐���

�|�[�gACL

�X�C�b�`�̃��C��2�C���^�[�t�F�C�X�ɂ�ACL��K�p�ł��܂��B�|�[�gACL���g�p�ł���̂́A�����C���^�[�t�F�C�X�����ł��BEtherChannel�C���^�[�t�F�C�X�ł͎g�p�ł��܂���B�|�[�gACL���C���^�[�t�F�C�X�ɓK�p�ł���̂́A���M���ɑ΂��Ă݂̂ł��B���C��2�C���^�[�t�F�C�X�ł́A���̃A�N�Z�X ���X�g���T�|�[�g����Ă��܂��B

���[�^ACL�Ɠ��l�A�X�C�b�`�̓C���^�[�t�F�C�X�ɐݒ肳��Ă���@�\�Ɋ֘A�Â����Ă���ACL���e�X�g���A�p�P�b�g��ACL���̃G���g���ƈ�v���邩�ǂ����ɂ���āA�p�P�b�g�̓]�������‚܂��͋��ۂ��܂��B�������A���C��2�C���^�[�t�F�C�X�ŁAACL��K�p�ł���̂́A���M���ɑ΂��Ă݂̂ł��BACL�ɂ��l�b�g���[�N �g���t�B�b�N�̐����̗�ł́A���ׂẴ��[�N�X�e�[�V����������VLAN���ɂ���ꍇ�A���C��2�̓�͂ɓK�p����Ă���ACL�ɂ���āA�z�X�gA�͐l�����l�b�g���[�N�ւ̃A�N�Z�X�����‚���܂����A�z�X�gB�͓����l�b�g���[�N�ւ̃A�N�Z�X�����ۂ���܂��B

�|�[�gACL���g�����N �|�[�g�ɓK�p����ƁA���̃g�����N �|�[�g�ɂ��邷�ׂĂ�VLAN��ACL�ɂ��g���t�B�b�N�̃t�B���^�����O�����s����܂��B����VLAN������|�[�g�Ƀ|�[�gACL��K�p����ƁA�f�[�^VLAN�Ɖ���VLAN�̗���ł���ACL�ɂ��g���t�B�b�N�̃t�B���^�����O�����s����܂��B

�|�[�gACL���g�p����ƁAIP�A�N�Z�X ���X�g���g�p����IP�g���t�B�b�N���t�B���^�����O���AMAC�A�h���X���g�p���Ĕ�IP�g���t�B�b�N���t�B���^�����O�ł��܂��B�������C��2�C���^�[�t�F�C�X��IP�A�N�Z�X ���X�g��MAC�A�N�Z�X ���X�g�𗼕�K�p����ƁA���̃��C��2�C���^�[�t�F�C�X��IP�g���t�B�b�N�Ɣ�IP�g���t�B�b�N���t�B���^�����O�ł��܂��B

VLAN�}�b�v

VLAN�}�b�v���g�p����ƁA���ׂĂ��g���t�B�b�N�̃A�N�Z�X�𐧌�ł��܂��BVLAN�̓�����O���փ��[�e�B���O�����A�܂���VLAN���Ńu���b�W���O��������ׂẴp�P�b�g�ɑ΂��āA�X�C�b�`��VLAN�}�b�v��K�p�ł��܂��BVLAN�}�b�v�̓p�P�b�g�����S�Ƀt�B���^�����O���邽�߂ɕK���g�p����܂��B���[�^ACL�ƈقȂ�AVLAN�}�b�v�ŕ��i���M�܂��͔��M�j�͒�`����܂���B

VLAN�}�b�v��ݒ肷��ƁAIP�g���t�B�b�N�̃��C��3�A�h���X���r���邱�Ƃ��ł��܂��B���ׂĂ̔�IP�v���g�R���́AMAC VLAN�}�b�v���g�p����MAC�A�h���X�����EtherType�ɂ���ăA�N�Z�X���䂳��܂��iIP�g���t�B�b�N�ɂ́AMAC VLAN�}�b�v�ɂ��A�N�Z�X���䂪�s���܂����j�BVLAN�}�b�v�̓X�C�b�`��ʉ߂���p�P�b�g�ɂ̂ݓK�p�ł��܂��B�n�u�̃z�X�g�ԁA�܂��͂��̃X�C�b�`�ɐڑ����ꂽ�ʂ̃X�C�b�`�̃z�X�g�Ԃ�ʉ߂���g���t�B�b�N�ɂ́AVLAN�}�b�v��K�p�ł��܂���B

VLAN�}�b�v���g�p����ƁA�p�P�b�g�̓]���̓}�b�v�Ɏw�肳�ꂽ�A�N�V�����Ɋ�Â��ċ��‚܂��͋��ۂ���܂��BVLAN�}�b�v�ɂ��g���t�B�b�N�̐����ɁAVLAN�}�b�v��K�p���āA����^�C�v�̃g���t�B�b�N��VLAN 10�̃z�X�gA����]���ł��Ȃ��悤�ɐݒ肷���������܂��B

VLAN�}�b�v�ɂ��g���t�B�b�N�̐���

�������ꂽ�g���t�B�b�N����ѕ�������Ă��Ȃ��g���t�B�b�N�̏���

�l�b�g���[�N��ʉ߂���IP�p�P�b�g�͕����ł��܂��BIP�p�P�b�g�𕪊�����ƁA�p�P�b�g�̐擪���܂ރt���O�����g�ɂ̂݁ATCP�AUDP�|�[�g�ԍ��AICMP�^�C�v����уR�[�h�Ȃǂ̃��C��4��񂪊i�[����܂��B���̑��̂��ׂẴt���O�����g�ɂ́A���̏�񂪊i�[����܂���B

�ꕔ��ACE�ł̓��C��4��񂪊m�F����Ȃ����߁A���̂悤��ACE�͂��ׂẴp�P�b�g �t���O�����g�ɓK�p����܂��B���C��4�����e�X�g����ACE���A�������ꂽIP�p�P�b�g�̂قƂ�ǂ̃t���O�����g�ɒʏ�̕�@�œK�p���邱�Ƃ͂ł��܂���B���C��4��񂪊i�[����Ă��Ȃ��t���O�����g�ɑ΂��ă��C��4��񂪃e�X�g�����ꍇ�A��v�K���͎��̂悤�ɕύX����܂��B

���̃R�}���h�Őݒ肵�A3�‚̕����p�P�b�g�ɓK�p�����access-list 102�̗���ȉ��Ɏ����܂��B

Switch (config)# access-list 102 permit tcp any host 10.1.1.1 eq smtp

Switch (config)# access-list 102 deny tcp any host 10.1.1.2 eq telnet

Switch (config)# access-list 102 permit tcp any host 10.1.1.2

Switch (config)# access-list 102 deny tcp any any

IP ACL�̐ݒ�

���C��2�܂��̓��C��3�X�C�b�`�A���邢��VLAN�C���^�[�t�F�C�X���IP ACL��ݒ肷���@�́A���̃V�X�R�����[�^���ACL��ݒ肷���@�Ɠ����ł��B���̎菇���ȒP�Ɏ����܂��B���[�^ACL�̐ݒ�̏ڍׂɂ‚��ẮA�wCisco IP and IP Routing Configuration Guide for IOS�xRelease 12.1�́uConfiguring IP Services�v���Q�Ƃ��Ă��������B�R�}���h�̏ڍׂɂ‚��ẮA�wCisco IOS IP and IP Routing Command Reference for IOS�xRelease 12.1���Q�Ƃ��Ă��������BCatalyst 3550�X�C�b�`�ŃT�|�[�g����Ȃ�IOS�@�\�ɂ‚��ẮA�T�|�[�g����Ȃ��@�\���Q�Ƃ��Ă��������B

��̓I�ȓ��e�͎��̂Ƃ���ł��B

���[�^ACL�̃n�[�h�E�F�A����у\�t�g�E�F�A����

ACL�͎�Ƀn�[�h�E�F�A�ŏ�������܂����A�ꕔ�̃g���t�B�b�N��CPU�ɓ]�����ă\�t�g�E�F�A��������K�v������܂��B�\�t�g�E�F�A�œ]�������g���t�B�b�N�̓]�����x�́A�n�[�h�E�F�A�œ]�������g���t�B�b�N�ɔ�ׂđ啝�ɒቺ���܂��B����̃g���t�B�b�N �t���[�����M���O���ē]������ꍇ�A�]���̓n�[�h�E�F�A�ŏ�������܂����A���M���O�̓\�t�g�E�F�A�ŏ�������K�v������܂��B�n�[�h�E�F�A�ƃ\�t�g�E�F�A�ł̓p�P�b�g�����@�\���قȂ邽�߁A���M���O���ł��邷�ׂẴt���[�i���ƒt���[�Ƌ��ۃt���[�j�̍��v�ш敝�����ɑ傫���ꍇ�́A�]�����ꂽ�p�P�b�g�̈ꕔ�����M���O�ł��܂���B

���̏ꍇ�A�p�P�b�g��CPU�ɑ��M����܂��B

ACL�ɂ���đ����̃p�P�b�g��CPU�ɓ]�������ƁA�X�C�b�`�̃p�t�H�[�}���X���ቺ���邱�Ƃ�����܂��B

show ip access-lists�C�l�[�u��EXEC�R�}���h���͂����Ƃ��ɕ\��������v�̌��ɁA�n�[�h�E�F�A�ŃA�N�Z�X���䂳���p�P�b�g�͊܂܂�܂���B�n�[�h�E�F�A��ACL���������X�C�b�`�h �p�P�b�g����у��[�e�b�h �p�P�b�g�̊�{�I�ȓ��v�����擾����ꍇ�́Ashow access-lists hardware counters�C�l�[�u��EXEC�R�}���h���g�p���܂��B

IP ACL�́A���̂悤�ɏ�������܂��B

�T�|�[�g����Ȃ��@�\

Catalyst 3550�X�C�b�`�́A����Cisco IOS���[�^ACL�֘A�@�\���T�|�[�g���܂���B

�W������ъg��IP ACL�̍쐬

�����ł́A���[�^IP ACL�쐬�菇�̊T�v�������܂��BACL�͋��‚���ы��ۏ��������ɕ��ׂ����̂ł��B�p�P�b�g�́AACL���̏����ɑ΂���1�‚��ƒe�X�g����܂��B�ŏ��Ɍ��‚�������v�����ɂ���āA�p�P�b�g�����‚���邩�A�܂��͋��ۂ���邩�����܂�܂��B�ŏ��̈�v�����‚���ƃe�X�g�͏I������̂ŁA�����̏������d�v�ƂȂ�܂��B��v����������Ȃ��ꍇ�A�p�P�b�g�͋��ۂ���܂��B

ACL���g�p����菇�́A���̂Ƃ���ł��B

    2. �A�N�Z�X ���X�g�ԍ��܂��͖��O�A����уA�N�Z�X�������w�肵��ACL���쐬���܂��B
  1. ACL���C���^�[�t�F�C�X�܂��͒[�����ɓK�p���܂��B�W������ъg��IP ACL��VLAN�}�b�v�ɓK�p���邱�Ƃ��ł��܂��B

�\�t�g�E�F�A�͎��Ɏ����`����ACL�A�܂���IP�̃A�N�Z�X ���X�g���T�|�[�g���܂��B

�����ł́A�A�N�Z�X ���X�g�̏ڍׁA����уA�N�Z�X ���X�g���g�p����菇�ɂ‚��Đ������܂��B

�A�N�Z�X ���X�g�ԍ�

ACL��\���ԍ��́A�쐬���Ă���A�N�Z�X ���X�g�̃^�C�v�������܂��B�A�N�Z�X ���X�g�ԍ��ɁA�A�N�Z�X ���X�g�ԍ�����ёΉ�����A�N�Z�X���X�g �^�C�v�A�X�C�b�`�ł̃A�N�Z�X ���X�g�ɑ΂���T�|�[�g�̗L���������܂��BCatalyst 3550�X�C�b�`�ł́AIP�W�������IP�g���A�N�Z�X ���X�g���T�|�[�g����Ă��܂��i�ԍ���1�`199�A1300�`2699�j�B

�A�N�Z�X ���X�g�ԍ�

�A�N�Z�X ���X�g�ԍ�

�^�C�v

�T�|�[�g�̗L��

1�`99

IP�W���A�N�Z�X ���X�g

����

100�`199

IP�g���A�N�Z�X ���X�g

����

200�`299

�v���g�R�� �^�C�v�R�[�h �A�N�Z�X ���X�g

�Ȃ�

300�`399

DECnet�A�N�Z�X ���X�g

�Ȃ�

400�`499

XNS�W���A�N�Z�X ���X�g

�Ȃ�

500�`599

XNS�g���A�N�Z�X ���X�g

�Ȃ�

600�`699

AppleTalk�A�N�Z�X ���X�g

�Ȃ�

700�`799

48�r�b�gMAC�A�h���X �A�N�Z�X ���X�g

�Ȃ�

800�`899

IPX�W���A�N�Z�X ���X�g

�Ȃ�

900�`999

IPX�g���A�N�Z�X ���X�g

�Ȃ�

1000�`1099

IPX SAP�A�N�Z�X ���X�g

�Ȃ�

1100�`1199

�g��48�r�b�gMAC�A�h���X �A�N�Z�X ���X�g

�Ȃ�

1200�`1299

IPX�T�}���[ �A�h���X �A�N�Z�X ���X�g

�Ȃ�

1300�`1999

IP�W���A�N�Z�X ���X�g�i�g���͈́j

����

2000�`2699

IP�g���A�N�Z�X ���X�g�i�g���͈́j

����

�ԍ��w��W��ACL�̍쐬

�ԍ��w��̕W��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

access-listaccess-list-number
{deny | permit}
source [source-wildcard] [log]

���M���A�h���X����у��C���h�J�[�h���g�p���A�W��IP�A�N�Z�X ���X�g���`���܂��B

access-list-number��1�`99�܂���1300�`1999��10�i���ł��B

��������v����ꍇ�ɃA�N�Z�X�����ۂ��邩�A���‚��邩���w�肷�邽�߁Adeny�܂���permit���͂��܂��B

source�̓p�P�b�g�̑��M���ł���l�b�g���[�N�܂��̓z�X�g�̃A�h���X�ł��B���̂����ꂩ�Ŏw�肵�܂��B

  • �h�b�g�t��10�i�\�L�ɂ��32�r�b�g�̐��l
  • source��source-wildcard�̒l0.0.0.0 255.255.255.255�̒Z�k�`�ł���L�[���[�hany�Bsource-wildcard���͂���K�v�͂���܂���B
  • source��source-wildcard�̒lsource 0.0.0.0�̒Z�k�`�ł���host

�i�C�Ӂjsource-wildcard���w�肷��ƁA���M���Ƀ��C���h�J�[�h �r�b�g���K�p����܂��B

�i�C�Ӂjlog���w�肷��ƁA�G���g���ƈ�v����p�P�b�g�Ɋւ��郍�O�ʒm���b�Z�[�W���쐬����A�R���\�[���ɑ��M����܂��B

    • ���C��2�C���^�[�t�F�C�X�ɓK�p���ꂽACL�ŁAlog�L�[���[�h�͖�������܂��B

end

�C�l�[�u��EXEC���[�h�ɖ߂�܂��B

show access-lists [number | name]

�A�N�Z�X ���X�g�̐ݒ��\�����܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

ACL�S�̂��폜����ɂ́Ano access-listaccess-list-number�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�ԍ��w��̃A�N�Z�X ���X�g����́AACE���•ʂɍ폜�ł��܂���B

���ɁAIP�z�X�g171.69.198.102�ւ̃A�N�Z�X�����ۂ��Ă���ȊO�̃A�h���X�ւ̃A�N�Z�X�����‚��Ă��̌��ʂ�\������W��ACL�̍쐬��������܂��B

Switch (config)# access-list 2 deny host 171.69.198.102

Switch (config)# access-list 2 permit any

Switch(config)# end

Switch# show access-lists

Standard IP access list 2

deny 171.69.198.102

permit any

host��v�������w�肳�ꂽ�G���g���A�����0.0.0.0�̖����idont care�j�}�X�N���w�肳�ꂽ�G���g�����A���X�g�̐擪�i�[���ȊO�̖���[dont care]�}�X�N���w�肳�ꂽ�A���ׂẴG���g���̏�j�ɗ���悤�ɁA�W���A�N�Z�X ���X�g�̏����������������܂��B���������āAshow�R�}���h�̏o�͂���уR���t�B�M�����[�V���� �t�@�C���ŁAACE�͕K��������͂������Ԃɕ\������܂���B

�W��IP�A�N�Z�X ���X�g�ɂ���ċ��‚܂��͋��ۂ��ꂽ�p�P�b�g�Ɋւ��郍�O ���b�Z�[�W���A�X�C�b�`�̃\�t�g�E�F�A�ɂ���ĕ\������܂��B�‚܂�AACL�ƈ�v����p�P�b�g���������ꍇ�́A���̃p�P�b�g�Ɋւ��郍�O�ʒm���b�Z�[�W���R���\�[���ɑ��M����܂��B�R���\�[���ɕ\������郁�b�Z�[�W�̃��x���́ASyslog���b�Z�[�W�𐧌䂷�郍�M���O �R���\�[�� �R�}���h�Ő��䂳��܂��B

ACL���N�������ŏ��̃p�P�b�g�ɂ‚��ẮA���O ���b�Z�[�W�������ɕ\������܂����A����ȍ~�̃p�P�b�g�ɂ‚��ẮA5���Ԃ̎�W���Ԃ��o�߂��Ă���\���܂��̓��M���O����܂��B���O ���b�Z�[�W�ɂ̓A�N�Z�X ���X�g�ԍ��A�p�P�b�g�̋��‚܂��͋��ۂɊւ���󋵁A�p�P�b�g�̑��M��IP�A�h���X�A����ђ��O��5���Ԃɋ��‚܂��͋��ۂ��ꂽ���M������̃p�P�b�g����������܂��B

�쐬����ACL���A���܂��̓C���^�[�t�F�C�X�ɓK�p����K�v������܂��i�C���^�[�t�F�C�X�܂��͒[�����ւ�IP ACL�̓K�p���Q�Ɓj�B

�ԍ��w��g��ACL�̍쐬

�W��ACL�̏ꍇ�A��v��ɂ͑��M���A�h���X�݂̂��g�p����܂����A�g��ACL�̏ꍇ�́A��v�����ɑ��M���A�h���X����ш���A�h���X���g�p������A�I�v�V�����̃v���g�R�� �^�C�v�����g�p���Ă��ו��ɂ킽�鐧����s�����Ƃ��ł��܂��B�ԍ��w��̊g��ACL���쐬�������ACE��V���ɍ쐬����Ƃ��́A���X�g�̖����ɐV����ACE���z�u����邱�Ƃɒ��ӂ��Ă��������B���X�g���Ăѕ��בւ�����A�ԍ����w�肳�ꂽACL�̓���̈ʒu��ACE��lj��܂��͍폜���邱�Ƃ͂ł��܂���B

�ꕔ�̃v���g�R���ɂ́A��p�̃p�����[�^����уL�[���[�h���g�p���邱�Ƃ��ł��܂��B

�g��ACL�ł́A����IP�v���g�R�����T�|�[�g����Ă��܂��i�v���g�R�� �L�[���[�h�͊��ʓ��̑����Ŏ����Ă��܂��j�B

Authentication Header Protocol�iahp�j�AEnhanced Interior Gateway Routing Protocol�ieigrp�j�AEncapsulation Security Payload�iesp�j�AGeneric Routing Encapsulation�igre�j�AInternet Control Message Protocol�iicmp�j�AInternet Group Management Protocol�iigmp�j�AInterior Gateway Routing Protocol�iigrp�j�A�C�ӂ�Interior Protocol�iip�j�AIP in IP�g���l�����O�iipinip�j�AKA9Q NOS�݊�IP over IP�g���l�����O�inos�j�AOpen Shortest Path First���[�e�B���O�iospf�j�APayload Compression Protocol�ipcp�j�AProtocol Independent Multicast�ipim�j�ATransmission Control Protocol�itcp�j�A�܂���User Datagram Protocol�iudp�j

�e�v���g�R���Ɋ֘A����L�[���[�h�̏ڍׂɂ‚��ẮA�wCisco IP and IP Routing Command Reference IOS�xRelease 12.1���Q�Ƃ��Ă��������B

�T�|�[�g����Ă���p�����[�^�́ATCP�AUDP�AICMP�AIGMP�A�܂��͑���IP�́A�����ꂩ�̃J�e�S���ɃO���[�v�����ł��܂��B

�g��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

access-listaccess-list-number{deny | permit} protocol source source-wildcarddestination destination-wildcard[precedenceprecedence][tostos] [fragments] [log] [log-input] [time-rangetime-range-name] [dscpdscp]

    • dscp�l���͂����ꍇ�Atos�܂���precedence���͂��邱�Ƃ͂ł��܂���Bdscp���͂��Ȃ��ꍇ�́Atos��precedence�𗼕�Ƃ���͂��邱�Ƃ��ł��܂��B

�g��IP�A�N�Z�X ���X�g����уA�N�Z�X�������`���܂��B

access-list-number��100�`199�܂���2000�`2699��10�i���ł��B

��������v����ꍇ�Ƀp�P�b�g�����ۂ��邩���‚��邩���w�肷�邽�߁Adeny�܂���permit���͂��܂��B

protocol���w�肷��ꍇ�́AIP�v���g�R���̖��O�܂��͔ԍ����͂��܂��Bahp�Aeigrp�Aesp�Agre�Aicmp�Aigmp�Aigrp�Aip�Aipinip�Anos�Aospf�Apcp�Apim�Atcp�Audp�AIP�v���g�R���ԍ���\��0�`255�̐������g�p�ł��܂��B���ׂẴC���^�[�l�b�g �v���g�R���iICMP�ATCP�AUDP���܂ށj�ƈ�v������ꍇ�́A�L�[���[�hip���g�p���܂��B

    • ���̃X�e�b�v�ɂ́A�قƂ�ǂ�IP�v���g�R���Ɏg�p�”\�ȃI�v�V�������܂܂�܂��BTCP�AUDP�AICMP�AIGMP�̋�̓I�ȃp�����[�^�ɂ‚��ẮA�X�e�b�v2b�`2e���Q�Ƃ��Ă��������B

source�̓p�P�b�g�̑��M���ł���l�b�g���[�N�܂��̓z�X�g�̔ԍ��ł��B

source-wildcard���w�肷��ƁA���M���Ƀ��C���h�J�[�h �r�b�g���K�p����܂��B

destination�̓p�P�b�g�̈���ƂȂ�l�b�g���[�N�܂��̓z�X�g�̔ԍ��ł��B

destination-wildcard���w�肷��ƁA����Ƀ��C���h�J�[�h �r�b�g���K�p����܂��B

source�Asource-wildcard�Adestination�Adestination-wildcard�́A����3�‚̕�@�Ŏw�肷�邱�Ƃ��ł��܂��B

  • �h�b�g�t��10�i�\�L�ɂ��32�r�b�g�̐��l
  • 0.0.0.0 255.255.255.255��\���L�[���[�hany�i�C�ӂ̃z�X�g�j
  • �P��̃z�X�g0.0.0.0��\���L�[���[�hhost

���̑��̃L�[���[�h�͔C�ӂŁA�Ӗ��͎��̂Ƃ���ł��B

  • precedence �\ 0�`7�̔ԍ��܂��͖��O�Ŏw�肳�ꂽ�D�揇�ʂ��g�p���A�p�P�b�g���r���܂��B�g�p�ł��閼�O����єԍ��́Aroutine�i0�j�Apriority�i1�j�Aimmediate�i2�j�Aflash�i3�j�Aflash-override�i4�j�Acritical�i5�j�Ainternet�i6�j�Anetwork�i7�j�ł��B
  • fragments �\ �擪�ȊO�̃t���O�����g���m�F���܂��B
  • tos �\ 0�`15�̔ԍ��܂��͖��O�Ŏw�肳�ꂽToS���x�����g�p���Ĕ�r���܂��B�g�p�ł��閼�O����єԍ��́Anormal�i0�j�Amax-reliability�i2�j�Amax-throughput�i4�j�Amin-delay�i8�j�ł��B
  • log �\ �G���g���ƈ�v����p�P�b�g�Ɋւ��郍�O�ʒm���b�Z�[�W���쐬���A�R���\�[���ɑ��M���܂��B log-input���w�肷��ƁA���O �G���g���ɓ�̓C���^�[�t�F�C�X���lj�����܂��B���C��2�C���^�[�t�F�C�X�ɓK�p���ꂽACL�i�|�[�gACL�j�̃��M���O�̓T�|�[�g����܂���B
  • time-range �\ ���̃L�[���[�h�̐����ɂ‚��ẮAACL�ł̎��Ԕ͈͂̎g�p�@���Q�Ƃ��Ă��������B
  • dscp �\ 0�`63�̔ԍ��Ŏw�肳�ꂽDSCP�l���g�p���ăp�P�b�g���r���܂��B�^�╄�i?�j���g�p����ƁA�g�p�”\�Ȓl�̃��X�g���\������܂��B

�܂���

access-listaccess-list-number {deny | permit} protocolany any [precedenceprecedence] [tostos] [fragments] [log] [log-input] [time-rangetime-range-name] [dscpdscp]

�A�N�Z�X ���X�g �R���t�B�M�����[�V���� ���[�h�ŁA���M���Ƒ��M�����C���h�J�[�h�̒l0.0.0.0 255.255.255.255�̒Z�k�`���g�p���邩�A�܂��͈���ƈ��惏�C���h�J�[�h�̒l
0.0.0.0 255.255.255.255�̒Z�k�`���g�p���A�g��IP�A�N�Z�X ���X�g���`���܂��B

���M��/����A�h���X�ƃ��C���h�J�[�h�̑���ɁAany�L�[���[�h���g�p�ł��܂��B

�܂���

access-listaccess-list-number {deny | permit} protocolhostsourcehostdestination [precedenceprecedence] [tostos] [fragments] [log] [log-input] [time-rangetime-range-name] [dscpdscp]

���M���Ƒ��M�����C���h�J�[�h�̒lsource 0.0.0.0�̒Z�k�`���g�p���邩�A�܂��͈���ƈ��惏�C���h�J�[�h�̒ldestination 0.0.0.0�̒Z�k�`���g�p���A�g��IP�A�N�Z�X ���X�g���`���܂��B

���M���ƈ���̃��C���h�J�[�h�܂��̓}�X�N�̑���ɁAhost�L�[���[�h���g�p�ł��܂��B

access-listaccess-list-number {deny | permit} tcpsource source-wildcard[operator port] destination destination-wildcard[operator port] [established] [precedenceprecedence] [tostos] [fragments] [log] [log-input] [time-rangetime-range-name] [dscpdscp] [flag]

�i�C�Ӂj�g��TCP�A�N�Z�X ���X�g����уA�N�Z�X�������`���܂��B

TCP�̏ꍇ��tcp���͂��܂��B

���Ɏ�����O�������A�X�e�b�v2a�Ő�������p�����[�^�Ɠ����p�����[�^���g�p���܂��B

�i�C�Ӂjoperator�����port���͂���ƁA���M���|�[�g�isource source-wildcard�̌�ɓ�͂����ꍇ�j�܂��͈���|�[�g�idestination destination-wildcard�̌�ɓ�͂����ꍇ�j����r����܂��B�g�p�”\�ȉ��Z�q��eq�i��v�j�Agt�i���傫���j�Alt�i�����j�Aneq�i�s��v�j�Arange�i��ܔ͈́j�Ȃǂł��B���Z�q�ɂ̓|�[�g�ԍ����w�肷��K�v������܂��irange�̏ꍇ��2�‚̃|�[�g�ԍ����X�y�[�X�ŋ�؂��Ďw�肷��K�v������܂��j�B

port�Ƀ|�[�g�ԍ���10�i���i0�`65535�j�Ƃ��ē�͂��邩�A�܂���TCP�|�[�g�����͂��܂��BTCP�|�[�g����\������ꍇ�́A�^�╄�i?�j���g�p���܂��B�܂��́wCisco IOS IP and IP Routing Command Reference for IOS�xRelease 12.1�́uConfiguring IP Services�v���Q�Ƃ��Ă��������BTCP���t�B���^�����O����Ƃ��́ATCP�|�[�g�̔ԍ��܂��͖��O�݂̂��g�p���܂��B

���̑��I�v�V�����̃L�[���[�h�̈Ӗ��͎��̂Ƃ���ł��B

  • established�\ �m�����ꂽ�ڑ��Ɣ�r���܂��B���̃L�[���[�h�́Aack�܂���rst�t���O���w�肵���ꍇ�̈�v�����@�\�Ɠ����ł��B
  • flag �\ �w�肳�ꂽTCP�w�b�_�[ �r�b�g����ɂ��Ĕ�r���܂��B��͂ł���t���O�́Aack�i�m�F�����j�Afin�i�I���j�Apsh�i�v�b�V���j�Arst�i���Z�b�g�j�Asyn�i����j�Aurg�i�ً}�j�ł��B

access-listaccess-list-number {deny | permit} udp source source-wildcard[operator port] destination destination-wildcard[operator port] [precedenceprecedence] [tostos] [fragments] [log] [log-input] [time-rangetime-range-name] [dscpdscp]

�i�C�Ӂj�g��UDP�A�N�Z�X ���X�g����уA�N�Z�X�������`���܂��B

UDP�̏ꍇ�́Audp���͂��܂��B

UDP�p�����[�^��TCP�Ɋւ��Đ�������Ă���p�����[�^�Ɠ����ł��B�������A[operator[port]]�|�[�g�ԍ��܂��̓|�[�g���́AUDP�|�[�g�̔ԍ��܂��͖��O�Ƃ��܂��BUDP�̏ꍇ�Aflag�����established�p�����[�^�͖���ł��B

access-listaccess-list-number {deny | permit} icmp source source-wildcard destination destination-wildcard[icmp-type |[[icmp-type icmp-code] | [icmp-message]] [precedenceprecedence] [tostos] [fragments] [log] [log-input] [time-rangetime-range-name] [dscpdscp]

�i�C�Ӂj�g��ICMP�A�N�Z�X ���X�g����уA�N�Z�X�������`���܂��B

ICMP�̏ꍇ�́Aicmp���͂��܂��B

ICMP�p�����[�^�̓X�e�b�v2a��IP�v���g�R���Ő�������Ă���p�����[�^�Ɠ����ł����AICMP���b�Z�[�W �^�C�v�ƃR�[�h �p�����[�^���lj�����Ă��܂��B�I�v�V�����̃L�[���[�h�͎��̈Ӗ��������܂��B

  • icmp-type �\ ICMP���b�Z�[�W �^�C�v���g�p���ăt�B���^�����O���܂��B0�`255�̒l���g�p�ł��܂��B
  • icmp-code �\ ICMP���b�Z�[�W �^�C�v����ɂ��ăt�B���^�����O���ꂽICMP�p�P�b�g���AICMP���b�Z�[�W �R�[�h����ɂ��ăt�B���^�����O���܂��B0�`255�̒l���g�p�ł��܂��B
  • icmp-message �\ ICMP���b�Z�[�W �^�C�v���܂���ICMP���b�Z�[�W�̃^�C�v����уR�[�h������ɂ��āAICMP�p�P�b�g���t�B���^�����O���܂��BICMP���b�Z�[�W �^�C�v����ICMP���b�Z�[�W�̃^�C�v����уR�[�h����\������ꍇ�́A�^�╄�i?�j���͂��܂��B�܂��́wCisco IOS IP and IP Routing Command Reference for IOS�xRelease 12.1�́uConfiguring IP Services�v���Q�Ƃ��Ă��������B

access-listaccess-list-number {deny | permit} igmp source source-wildcard destination destination-wildcard[igmp-type] [precedenceprecedence] [tostos] [fragments] [log] [log-input] [time-rangetime-range-name] [dscpdscp]

�i�C�Ӂj�g��IGMP�A�N�Z�X ���X�g����уA�N�Z�X�������`���܂��B

IGMP�̏ꍇ�́Aigmp���͂��܂��B

IGMP�p�����[�^�̓X�e�b�v2a��IP�v���g�R���Ő�������Ă���p�����[�^�Ɠ����ł����A���Ɏ����p�����[�^���lj�����Ă��܂��B

igmp-type �\ IGMP���b�Z�[�W �^�C�v�Ɣ�r����ɂ́A0�`15�̔ԍ��܂��̓��b�Z�[�W���idvmrp�Ahost-query�Ahost-report�Apim�A�܂���trace�j���͂��܂��B

show access-lists [number | name]

�A�N�Z�X ���X�g�̐ݒ���m�F���܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

�A�N�Z�X ���X�g�S�̂��폜����ɂ́Ano access-listaccess-list-number�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�ԍ��w��̃A�N�Z�X ���X�g����́AACE���•ʂɍ폜�ł��܂���B

���ɁA�l�b�g���[�N171.69.198.0���̔C�ӂ̃z�X�g����l�b�g���[�N172.20.52.0���̔C�ӂ̃z�X�g�ւ�Telnet�A�N�Z�X�����ۂ��A����ȊO�̃A�h���X�ւ̃A�N�Z�X�����‚���g���A�N�Z�X ���X�g���쐬�A�\�������������܂��ieq�L�[���[�h������A�h���X�̌�Ɏw�肷��ƁATelnet�ɑΉ�����TCP����|�[�g�ԍ����e�X�g����܂��j�B

Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet

Switch(config)# access-list 102 permit tcp any any

Switch(config)# end

Switch# show access-lists

Extended IP access list 102

deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet

permit tcp any any

ACL���쐬���ꂽ��ɒlj����ꂽACE�i�[�������͂��ꂽACE�Ȃǁj�́A���X�g�̖����ɔz�u����܂��B�ԍ����w�肳�ꂽ�A�N�Z�X ���X�g�̓���̈ʒu��ACE��lj��܂��͍폜���邱�Ƃ͂ł��܂���B

�쐬����ACL���A���܂��̓C���^�[�t�F�C�X�ɓK�p����K�v������܂��i�C���^�[�t�F�C�X�܂��͒[�����ւ�IP ACL�̓K�p���Q�Ɓj�B

���O�w��̕W������ъg��IP ACL�̍쐬

IP ACL�́A�ԍ��łȂ��p�����i���O�j�Ŏw�肷�邱�Ƃ��ł��܂��B���O�w���ACL���g�p����ƁA�ԍ��w��̃A�N�Z�X ���X�g���g�p����ꍇ����������IP�A�N�Z�X ���X�g���X�C�b�`�ɐݒ肷�邱�Ƃ��ł��܂��B�A�N�Z�X ���X�g��ԍ��łȂ����O�Ŏw�肷��ꍇ�́A���[�h����уR�}���h�\�����኱�قȂ�܂��B�������AIP�A�N�Z�X ���X�g���g�p���邷�ׂẴR�}���h�ŁA���O�w��̃A�N�Z�X ���X�g���g�p�ł���Ƃ͌���܂���B

���O�w���ACL��ݒ肷��O�ɁA���Ɏ������ӎ�������ѐ����������l�����Ă��������B

���O�w��̕W��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

ip access-list standardname

���O���g�p���ĕW��IP�A�N�Z�X ���X�g���`���A�A�N�Z�X ���X�g �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

    • ���O�ɂ�1�`99�̔ԍ����g�p�ł��܂��B

deny {source [source-wildcard] | host source | any} [log]

�܂���

permit{source [source-wildcard] | host source | any} [log]

�A�N�Z�X ���X�g �R���t�B�M�����[�V���� ���[�h�ŁA1�‚܂��͕����̏��������ۂ܂��͋��‚Ɏw�肵�A�p�P�b�g�̓]���܂��͔p������肵�܂��B

  • hostsource �\ ���M���Ƒ��M�����C���h�J�[�h�̒lsource 0.0.0.0
  • any �\ ���M���Ƒ��M�����C���h�J�[�h�̒l0.0.0.0 255.255.255.255
    • ���C��2�C���^�[�t�F�C�X�ɓK�p���ꂽACL�i�|�[�gACL�j�Ɋւ��āAlog�L�[���[�h�̓T�|�[�g����܂���B

end

�C�l�[�u��EXEC���[�h�ɖ߂�܂��B

show access-lists [number | name]

�A�N�Z�X ���X�g�̐ݒ��\�����܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

���O�w��̕W��ACL���폜����ɂ́Anoip access-list standardname�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

���O���g�p���Ċg��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

ip access-list extendedname

���O���g�p���Ċg��IP�A�N�Z�X ���X�g���`���A�A�N�Z�X ���X�g �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

    • ���O�ɂ�100�`199�̔ԍ����g�p�ł��܂��B

{deny | permit} protocol{source [source-wildcard] | host source | any} {destination [destination-wildcard] | host destination | any} [precedenceprecedence] [tostos] [established] [log] [time-rangetime-range-name]

�A�N�Z�X���X�g �R���t�B�M�����[�V���� ���[�h�ŁA���‚܂��͋��ۂ̏������w�肵�܂��Blog�L�[���[�h���g�p����ƁA�ᔽ���܂ރA�N�Z�X ���X�g�̃��O ���b�Z�[�W���擾�ł��܂��B

�v���g�R������т��̑��L�[���[�h�̒�`�ɂ‚��ẮA�ԍ��w��g��ACL�̍쐬���Q�Ƃ��Ă��������B

  • hostsource �\ ���M���Ƒ��M�����C���h�J�[�h�̒lsource 0.0.0.0
  • hostdestination �\ ����ƈ��惏�C���h�J�[�h�̒ldestination 0.0.0.0
  • any �\ ���M���Ƒ��M�����C���h�J�[�h�̒l�A�܂��͈���ƈ��惏�C���h�J�[�h�̒l�ł���
    0.0.0.0 255.255.255.255
    • ���C��2�C���^�[�t�F�C�X�ɓK�p���ꂽACL�i�|�[�gACL�j�Ɋւ��āAlog�L�[���[�h�̓T�|�[�g����܂���B

end

�C�l�[�u��EXEC���[�h�ɖ߂�܂��B

show access-lists [number | name]

�A�N�Z�X ���X�g�̐ݒ��\�����܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

���O�w��̊g��ACL���폜����ɂ́Anoip access-list extendedname�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

�W���܂��͊g��ACL���쐬����Ƃ��́AACL�̖����ɈÖٓI�ȋ��ۃX�e�[�g�����g���f�t�H���g�ő��݂��A����ȑO�̃X�e�[�g�����g�ň�v�����‚���Ȃ��������ׂẴp�P�b�g�ɓK�p����邱�Ƃɒ��ӂ��Ă��������B�W��ACL�ł́A�Ή�����IP�z�X�g �A�h���X�̃A�N�Z�X ���X�g���w�肷��Ƃ��Ƀ}�X�N���ȗ�����ƁA0.0.0.0���}�X�N�Ƃ��Ďg�p����܂��B

ACL���쐬������ɒlj����ꂽACE�́A���X�g�̖����ɔz�u����܂��B�����ACL�ł͑I��I��ACE�G���g����lj����邱�Ƃ͂ł��܂���B�������Ano permit�����no deny�A�N�Z�X���X�g �R���t�B�M�����[�V���� ���[�h �R�}���h���g�p����ƁA���O�w���ACL����G���g�����폜���邱�Ƃ��ł��܂��B���ɁA���O�w��̃A�N�Z�X ���X�gborder-list����ACE���•ʂɍ폜�����������܂��B

Switch(config)# ip access-list extended border-list

Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any

�ԍ��w���ACL�ł͂Ȃ��A���O�w���ACL���g�p���邱�ƂŁA���O�w���ACL����s���•ʂɍ폜���邱�Ƃ��”\�ƂȂ�܂��B

�쐬����ACL���A���܂��̓C���^�[�t�F�C�X�ɓK�p����K�v������܂��i�C���^�[�t�F�C�X�܂��͒[�����ւ�IP ACL�̓K�p���Q�Ɓj�B

ACL�ł̎��Ԕ͈͂̎g�p�@

�j���ю����Ɋ�Â��Ċg��ACL��I��I�ɓK�p����ɂ́Atime-range�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�ŏ��Ɏ��Ԕ͈̖͂��O���`���A���Ԕ͈͂̎����A��t�A�܂��͗j���ݒ肵�܂��B���ɁAACL��K�p����Ƃ��Ɏ��Ԕ͈͖����͂��A�A�N�Z�X ���X�g�ɐ�����K�p���܂��B���Ԕ͈͂��g�p���邱�ƂŁAACL�̋��ƒX�e�[�g�����g�܂��͋��ۃX�e�[�g�����g���L��Ȏ���i�w���ԓ��A�w��j��Ȃǁj���`���邱�Ƃ��ł��܂��Btime-range�L�[���[�h����ш�ɂ‚��ẮA�O�q���W������ъg��IP ACL�̍쐬��������O�w��̕W������ъg��IP ACL�̍쐬�ɋL�ڂ���Ă���A���O�w�肨��єԍ��w��̊g��ACL�Ɋւ���^�X�N�\���Q�Ƃ��Ă��������B

���Ԕ͈͂��g�p���闘�_�̂����A2�‚����Ɏ����܂��B

ACL��time-range�p�����[�^��ݒ肷��ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

time-rangetime-range-name

�쐬���鎞�Ԕ͈͂ɂ͈Ӗ��̂��閼�O�iworkhours�Ȃ�)�����蓖�āA���Ԕ͈̓R���t�B�M�����[�V���� ���[�h���J�n���܂��B���O�̐擪�ɂ͕������w�肵�A�r���ɃX�y�[�X�܂��͈�p�����܂߂Ȃ��悤�ɂ��܂��B

absolute [starttime date]
[endtime date]

�܂���

periodicday-of-the-week hh:mm to[day-of-the-week]hh:mm

�܂���

periodic {weekdays | weekend | daily} hh:mm to hh:mm

���Ԕ͈͂�K�p����֐����@�\���鎞�Ԃ��w�肵�܂��B

  • ���Ԕ͈͓��ł́Aabsolute�X�e�[�g�����g��1��Ɍ���g�p�ł��܂��B������absolute�X�e�[�g�����g��ݒ肵���ꍇ�́A�Ō�ɐݒ肳�ꂽ�X�e�[�g�����g�݂̂����s����܂��B
  • ������periodic�X�e�[�g�����g���͂ł��܂��B���Ƃ��΁A����ƏT���ňقȂ鎞�Ԃ�ݒ肷�邱�Ƃ��ł��܂��B

�ݒ����Q�Ƃ��Ă��������B

end

�C�l�[�u��EXEC���[�h�ɖ߂�܂��B

show time-range

�ݒ肵�����Ԕ͈͂��m�F���܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

�ݒ肳�ꂽ���Ԕ͈͂̐������폜����ɂ́Anotime-rangetime-range-name�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

�قȂ鎞���ɋ@�\����悤�ɐݒ肷�镡���̍��ڂ�����ꍇ�́A���̃X�e�b�v���J��Ԃ��܂��B

���ɁA�c�Ǝ��ԁiworkhours�j����щ�Ђ̋x�Ɠ��\�����Ԕ͈͂�ݒ肵�A���̐ݒ���m�F�����������܂��B

Switch(config)# time-range workhours

Switch(config-time-range)# periodic weekdays 8:00 to 12:00

Switch(config-time-range)# periodic weekdays 13:00 to 17:00

Switch(config-time-range)# exit

Switch(config)# time-range new_year_day_2000

Switch(config-time-range)# absolute start 00:00 1 Jan 2000 end 23:59 1 Jan 2000

Switch(config-time-range)# exit

Switch(config)# time-range thanksgiving_2000

Switch(config-time-range)# absolute start 00:00 22 Nov 2000 end 23:59 23 Nov 2000

Switch(config-time-range)# exit

Switch(config)# time-range christmas_2000

Switch(config-time-range)# absolute start 00:00 24 Dec 2000 end 23:50 25 Dec 2000

Switch(config-time-range)# end

Switch# show time-range

time-range entry: christmas_2000 (inactive)

absolute start 00:00 24 December 2000 end 23:50 25 December 2000

time-range entry: new_year_day_2000 (inactive)

absolute start 00:00 01 January 2000 end 23:59 01 January 2000

time-range entry: thanksgiving_2000 (inactive)

absolute start 00:00 22 November 2000 end 23:59 23 November 2000

time-range entry: workhours (inactive)

periodic weekdays 8:00 to 12:00

periodic weekdays 13:00 to 17:00

�K�p����鎞�Ԕ͈͂Ɋւ��ẮA�K�p��̊g��ACL���ɁA���Ԕ͈͖����w�肵�ċL�q����K�v������܂��B���ɁA��`���ꂽ�x��ɔC�ӂ̑��M������C�ӂ̈���ɑ��M�����TCP�g���t�B�b�N�����ۂ��A�c�Ǝ��Ԓ��ɂ��ׂĂ�TCP�g���t�B�b�N�����‚���g���A�N�Z�X ���X�g188���쐬�A�m�F�����������܂��B

Switch(config)# access-list 188 deny tcp any any time-range new_year_day_2000

Switch(config)# access-list 188 deny tcp any any time-range thanskgiving_2000

Switch(config)# access-list 188 deny tcp any any time-range christmas_2000

Switch(config)# access-list 188 permit tcp any any time-range workhours

Switch(config)# end

Switch# show access-lists

Extended IP access list 188

deny tcp any any time-range new_year_day_2000 (inactive)

deny tcp any any time-range thanskgiving_2000 (active)

deny tcp any any time-range christmas_2000 (inactive)

permit tcp any any time-range workhours (inactive)

���ɁA���O�w���ACL���g�p���āA�����g���t�B�b�N�����‚���ы��ۂ����������܂��B

Switch(config)# ip access-list extended deny_access

Switch(config-ext-nacl)# deny tcp any any time-range new_year_day_2000

Switch(config-ext-nacl)# deny tcp any any time-range thanksgiving_2000

Switch(config-ext-nacl)# deny tcp any any time-range christmas_2000

Switch(config-ext-nacl)# exit

Switch(config)# ip access-list extended may_access

Switch(config-ext-nacl)# permit tcp any any time-range workhours

Switch(config-ext-nacl)# end

Switch# show ip access-lists

Extended IP access list deny_access

deny tcp any any time-range new_year_day_2000 (inactive)

deny tcp any any time-range thanksgiving_2000 (inactive)

deny tcp any any time-range christmas_2000 (inactive)

Extended IP access list may_access

permit tcp any any time-range workhours (inactive)

ACL�ւ̃R�����g�̑}��

remark�L�[���[�h���g�p����ƁA�G���g���Ɋւ���R�����g�i���l�j��C�ӂ�IP�W������ъg��ACL�ɒlj����邱�Ƃ��ł��܂��B�R�����g��lj�����ƁAACL�̔c������ё��������ȒP�ɂȂ�܂��B�e�R�����g�s�ɂ́A�ő�100�����܂œ�͂ł��܂��B

�R�����g�͋��ƒX�e�[�g�����g�܂��͋��ۃX�e�[�g�����g�̑O��Ɏw��ł��܂��B�R�����g�ɑΉ����鋖�ƒX�e�[�g�����g�܂��͋��ۃX�e�[�g�����g�����m�ɂȂ�悤�ɁA�R�����g�̋L�q�ʒu�𓝈ꂷ��K�v������܂��B����������邽�߁A���Ƃ��΁A���ƒX�e�[�g�����g�܂��͋��ۃX�e�[�g�����g�̑O�ɋL�q����Ă���R�����g�ƁA��ɋL�q����Ă���R�����g�����݂��Ȃ��悤�ɂ��܂��B

�ԍ��w���IP�W��ACL�܂��͊g��ACL�ɃR�����g��lj�����ꍇ�́Aaccess-listaccess-list numberremarkremark�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�R�����g���폜����ɂ́A��L�̃R�}���h��no�`�����g�p���܂��B

���̗�ł́AJones�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋��‚���܂����ASmith�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋֎~����܂��B

Switch(config)# access-list 1 remark Permit only Jones workstation through

Switch(config)# access-list 1 permit 171.69.2.88

Switch(config)# access-list 1 remark Do not allow Smith workstation through

Switch(config)# access-list 1 deny 171.69.3.13

���O�w���IP ACL�ɃG���g������ꍇ�́Aremark�A�N�Z�X ���X�g �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�R�����g���폜����ɂ́A��L�̃R�}���h��no�`�����g�p���܂��B

���̗�ł́AJones�T�u�l�b�g�ł̔��MTelnet�̎g�p���֎~����܂��B

Switch(config)# ip access-list extended telnetting

Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out

Switch(config-ext-nacl)# deny tcp host 171.69.2.88 any eq telnet

�C���^�[�t�F�C�X�܂��͒[�����ւ�IP ACL�̓K�p

�쐬����IP ACL�́A1�‚܂��͕����̃C���^�[�t�F�C�X�܂��͒[�����ɓK�p�ł��܂��B���C��3�C���^�[�t�F�C�X�ɂ́A���M�ƒ��M�̂����ꂩ��ACL��K�p�ł��܂����A���C��2�C���^�[�t�F�C�X�ɓK�p�ł���̂͒��MACL�����ł��B�����ł́A�[�����ƃl�b�g���[�N �C���^�[�t�F�C�X�̗���ɃA�N�Z�X ���X�g��K�p�����@�ɂ‚��Đ������܂��B���̒��ӎ������l�����Ă��������B

ACL���̃A�h���X�Ɖ��z�[�����Ƃ̊Ԃ̒��M�ڑ�����є��M�ڑ��𐧌�����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

line[console | vty] line-number

�ݒ肷�����̉����w�肵�A�C�����C�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

  • console �\ �R���\�[���[�������w�肵�܂��B�R���\�[�� �|�[�g��DCE�ł��B
  • vty �\ �����[�g �R���\�[�� �A�N�Z�X�p�̉��z�[�����w�肵�܂��B

line-number�́A�A��������A�̔ԍ��̍ŏ��̉��ԍ��ŁA���^�C�v���w�肷��Ƃ��ɐݒ肷��K�v������܂��B�w��ł���͈͂�0�`16�ł��B

access-classaccess-list-number {in | out}

����̃A�N�Z�X ���X�g�̏������g�p���A���z�[�����i�f�o�C�X���j�Ƃ̊Ԃ̒��M�ڑ��܂��͔��M�ڑ��𐧌����܂��B

end

�C�l�[�u��EXEC���[�h�ɖ߂�܂��B

show running-config

�A�N�Z�X ���X�g�̐ݒ��\�����܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

�[�����Ɋւ���A�N�Z�X�������폜����ɂ́Ano access-classaccess-list-number {in | out}���C�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

���C��2�܂��̓��C��3�C���^�[�t�F�C�X�ւ̃A�N�Z�X�𐧌䂷�邽�߂�IP�A�h���X ���X�g��K�p����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

interfaceinterface-id

�ݒ肷�����̃C���^�[�t�F�C�X���w�肵�A�C���^�[�t�F�C�X �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

���̃C���^�[�t�F�C�X�́A���C��2�C���^�[�t�F�C�X�i�|�[�gACL�j�܂��̓��C��3�C���^�[�t�F�C�X�i���[�^ACL�j�ł��B

ip access-group{access-list-number | name} {in | out}

IP�A�N�Z�X ���X�g���g�p���A�w�肵���C���^�[�t�F�C�X�ւ̃A�N�Z�X�𐧌䂵�܂��B�W���܂��͊g����IP�A�N�Z�X�ԍ��܂��͖��O���͂��邱�Ƃ��ł��܂��B

    • out�L�[���[�h�́A���C��2�C���^�[�t�F�C�X�ɑ΂��Ė���ł��B�|�[�gACL�́A���M���Ɋւ��Ă̂݃T�|�[�g����܂��B

end

�C�l�[�u��EXEC���[�h�ɖ߂�܂��B

show running-config

�A�N�Z�X ���X�g�̐ݒ��\�����܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

�w�肳�ꂽ�A�N�Z�X �O���[�v���폜����ɂ́Ano ip access-group {access-list-number | name} {in | out}�C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

���ɁAGigabitEthernet 0/3�C���^�[�t�F�C�X�ɃA�N�Z�X ���X�g2��K�p���A�C���^�[�t�F�C�X�ɓ��p�P�b�g���t�B���^�����O�����������܂��B

Switch(config)# interface gigabitethernet0/3

Router(config-if)# ip access-group 2 in

���MACL�̏ꍇ�A�X�C�b�`�͎�M�����p�P�b�g��ACL�Əƍ����܂��BACL�ɂ���ăp�P�b�g�����‚��ꂽ�ꍇ�́A�p�P�b�g�̏��������s����܂��B���ۂ��ꂽ�ꍇ�A�p�P�b�g�͔p���܂��B

���MACL�̏ꍇ�i���C��3�C���^�[�t�F�C�X�̂݁j�A�X�C�b�`�͐���ΏۃC���^�[�t�F�C�X�ɒ��M���A���[�e�B���O���ꂽ�p�P�b�g��ACL�Əƍ����܂��B�p�P�b�g�����‚��ꂽ�ꍇ�A�p�P�b�g�͑��M����܂��B���ۂ��ꂽ�ꍇ�A�p�P�b�g�͔p���܂��B

ICMP���B�s�\���b�Z�[�W�𑗐M����悤�ɐݒ肳�ꂽ��̓C���^�[�t�F�C�X�Ńp�P�b�g���p��ꂽ�ꍇ�́A���̌�������̓C���^�[�t�F�C�X��ACL�܂��͔��M�C���^�[�t�F�C�X��ACL�̂�����ł����Ă��A�����̃��b�Z�[�W�����M����܂��BICMP���B�s�\���b�Z�[�W�͒ʏ�A��̓C���^�[�t�F�C�X1�‚ɂ‚��A0.5�b���Ƃ�1�‚�����������܂��B�������A���̐ݒ��ip icmp rate-limit unreachable�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���ĕύX���邱�Ƃ��ł��܂��B

����`��ACL���C���^�[�t�F�C�X�ɓK�p����ƁA�X�C�b�`��ACL���C���^�[�t�F�C�X�ɓK�p����Ă��Ȃ��Ɣ��f���ď������s���A���ׂẴp�P�b�g�����‚���Ă��܂��܂��B�l�b�g���[�N �Z�L�����e�B�̂��߁A����`��ACL���g�p����ꍇ�͒��ӂ��Ă��������B

IP ACL�̐ݒ��

�����ł́AIP ACL�̐ݒ��������܂��BACL�̕ҏW��@�ɂ‚��ẮA�wSecurity Configuration Guide�x�A����сwCisco IOS IP and IP Routing Configuration Guide for IOS�xRelease 12.1�́uIP Services�v���Q�Ƃ��Ă��������B

���[�^ACL�ɂ��g���t�B�b�N�̐����ɁA���K�̓l�b�g���[�N���\�z���ꂽ�I�t�B�X�‹��������܂��B���[�e�b�h �|�[�g0/2�ɐڑ����ꂽ�T�[�oA�ɂ́A���ׂĂ̏]�ƈ����A�N�Z�X�ł��闘�v�Ȃǂ̏�񂪊i�[����Ă��܂��B���[�e�b�h �|�[�g0/3�ɐڑ����ꂽ�T�[�oB�ɂ́A�@���̋��^�x�����f�[�^���i�[����Ă��܂��B�T�[�oA�ɂ͂��ׂẴ��[�U���A�N�Z�X�ł��܂����A�T�[�oB�ɃA�N�Z�X�ł��郆�[�U�͐�������Ă��܂��B

���[�^ACL���g�p���ď�L�̂悤�ɐݒ肷��ɂ́A���̂����ꂩ�̕�@���g�p���܂��B

���[�^ACL�ɂ��g���t�B�b�N�̐���

���̗�ł́A�W��ACL���g�p���ă|�[�g0/3����T�[�oB�ɒ��M����g���t�B�b�N���t�B���^�����O���A�o�����̑��M���A�h���X172.20.128.64�`172.20.128.95���瑗�M�����g���t�B�b�N�݂̂����‚��܂��B

Switch(config)# access-list 6 permit 172.20.128.64 0.0.0.31

Switch(config)# end

Switch# show access-lists

Standard IP access list 6

permit 172.20.128.64, wildcard bits 0.0.0.31

Switch(config)# interface gigabitethernet0/3

Switch(config-if)# ip access-group 6 out

����ACL�́A�w�肳�ꂽ���M���A�h���X�̃��[�e�b�h �|�[�g0/3���瑗�M�����g���t�B�b�N�ɓK�p����܂��B

���̗�ł́A�g��ACL���g�p���ăT�[�oB����|�[�g0/3�ɒ��M����g���t�B�b�N���t�B���^�����O���A�C�ӂ̑��M���A�h���X�i���̏ꍇ�̓T�[�oB�j����o�����̈���A�h���X172.20.128.64�`172.20.128.95�ɑ��M�����g���t�B�b�N�݂̂����‚��܂��B

Switch(config)# access-list 106 permit ip any 172.20.128.64 0.0.0.31

Switch(config)# end

Switch# show access-lists

Extended IP access list 106

permit ip any 172.20.128.64 0.0.0.31

Switch(config)# interface gigabitethernet0/3

Switch(config-if)# ip access-group 106 in

����ACL�́A���[�e�b�h �|�[�g0/3�ɒ��M����g���t�B�b�N�ɓK�p����A�w��̈���A�h���X�ɑ��M�����g���t�B�b�N�݂̂����‚��܂��B�g��ACL���g�p����ꍇ�́A���M������ш�����̑O�ɁA�v���g�R���iIP�j���͂���K�v������܂��B

�ԍ��w��ACL

���̗�̃l�b�g���[�N36.0.0.0�́A2�Ԃ߂̃I�N�e�b�g���T�u�l�b�g���w�肷��N���XA�l�b�g���[�N�ł��B�‚܂�A�T�u�l�b�g �}�X�N��255.255.0.0�ł��B�l�b�g���[�N36.0.0.0�A�h���X��3�Ԃ߂����4�Ԃ߂̃I�N�e�b�g�́A����̃z�X�g���w�肵�܂��B�A�N�Z�X ���X�g2���g�p����Ă��邽�߁A�T�u�l�b�g48�̃A�h���X��1�‹��‚���A�����T�u�l�b�g�̑��̃A�h���X�͂��ׂċ��ۂ���܂��B���̃A�N�Z�X ���X�g�̍ŏI�s�́A���̂��ׂẴl�b�g���[�N36.0.0.0�T�u�l�b�g��̃A�h���X�����‚���邱�Ƃ������܂��B����ACL�́AGigabitEthernet 0/1�C���^�[�t�F�C�X�ɓ��p�P�b�g�ɓK�p����܂��B

Switch(config)# access-list 2 permit 36.48.0.3

Switch(config)# access-list 2 deny 36.48.0.0 0.0.255.255

Switch(config)# access-list 2 permit 36.0.0.0 0.255.255.255

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group 2 in

�g��ACL

���̗�̐擪�s�́A1023�����傫������|�[�g�ւ̒��MTCP�ڑ������‚��܂��B2�Ԃ߂̍s�́A�z�X�g128.88.1.2��SMTP�|�[�g�ւ̒��MTCP�ڑ������‚��܂��B3�Ԃ߂̍s�́A�G���[ �t�B�[�h�o�b�N�p�̒��MICMP���b�Z�[�W�����‚��܂��B

Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 gt 1023

Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25

Switch(config)# access-list 102 permit icmp any any

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group 102 in

�g��ACL���g�p����ʂ̗�Ƃ��āA�C���^�[�l�b�g�ɐڑ����ꂽ�l�b�g���[�N��̔C�ӂ̃z�X�g�ɁA�C���^�[�l�b�g�̔C�ӂ̃z�X�g�ւ�TCP�ڑ���ݒ肷��ꍇ���l���܂��B�������AIP�z�X�g�ɂ́A��p���[�� �z�X�g�̃��[���iSMTP�j�|�[�g�ւ̐ڑ��������A�l�b�g���[�N��̃z�X�g�ւ�TCP�ڑ���ݒ肵�Ȃ����̂Ƃ��܂��B

SMTP�́A�ڑ��̈�[�ł�TCP�|�[�g25�A������[�ł̓����_���ȃ|�[�g�ԍ����g�p���܂��B�ڑ����Ă���Ԃ́A�����|�[�g�ԍ����g�p����܂��B�C���^�[�l�b�g���璅�M���郁�[�� �p�P�b�g�̈���|�[�g��25�ł��B���M�p�P�b�g�̃|�[�g�ԍ��͗\�񂳂�Ă��܂��B���[�^�̔w��ɒu���ꂽ���S�ȃV�X�e���ł́A��Ƀ|�[�g25�ł̃��[���ڑ����g�p����Ă��邽�߁A���M�T�[�r�X�Ɣ��M�T�[�r�X���•ʂɐ���ł��܂��BACL�͔��M�C���^�[�t�F�C�X�̓��ACL����ђ��M�C���^�[�t�F�C�X�̏o��ACL�Ƃ��Đݒ肳���K�v������܂��B

���̗�ł́A�l�b�g���[�N�̓A�h���X��128.88.0.0�̃N���XB�l�b�g���[�N�ŁA���[�� �z�X�g �A�h���X��128.88.1.2�ł��Bestablished�L�[���[�h�́A�m�����ꂽ�ڑ���\������TCP��p�̃L�[���[�h�ł��BTCP�f�[�^�O������ACK�܂���RST�r�b�g���ݒ肳��A�p�P�b�g����̐ڑ��ɑ����Ă��邱�Ƃ���������ƁA��v�Ƃ݂Ȃ���܂��BGigabitEthernet 0/1�C���^�[�t�F�C�X�́A���[�^���C���^�[�l�b�g�ɐڑ�����C���^�[�t�F�C�X�ł��B

Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established

Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group 102 in

���O�w��ACL

���̂悤�ɐݒ肷��ƁAinternet_filter�Ƃ������O�̕W��ACL�����marketing_group�Ƃ������O�̊g��ACL���쐬����܂��Binternet_filter ACL�́A���M���A�h���X1.2.3.4���瑗�M����邷�ׂẴg���t�B�b�N�����‚��܂��B

Switch(config)# ip access-list standard Internet_filter

Switch(config-ext-nacl)# permit 1.2.3.4

Switch(config-ext-nacl)# exit

marketing_group ACL�́A����A�h���X�ƈ��惏�C���h�J�[�h�̒l171.69.0.0 0.0.255.255�ւ̔C�ӂ�TCP Telnet�g���t�B�b�N�����‚��A���̑���TCP�g���t�B�b�N�����ۂ��܂��B�܂��A�C�ӂ�ICMP�g���t�B�b�N�����‚��A�C�ӂ̑��M������A����|�[�g��1024��菬����171.69.0.0�`179.69.255.255�̈���A�h���X�֑��M�����UDP�g���t�B�b�N�����ۂ��܂��B����ȊO�̂��ׂĂ�IP�g���t�B�b�N�͋��ۂ���A���ʂ��������O���\������܂��B

Switch(config)# ip access-list extended marketing_group

Switch(config-ext-nacl)# permit tcp any 171.69.0.0 0.0.255.255 eq telnet

Switch(config-ext-nacl)# deny tcp any any

Switch(config-ext-nacl)# permit icmp any any

Switch(config-ext-nacl)# deny udp any 171.69.0.0 0.0.255.255 lt 1024

Switch(config-ext-nacl)# deny ip any any log

Switch(config-ext-nacl)# exit

���Ɏ���ACL�́A���C��3�|�[�g�Ƃ��Đݒ肳�ꂽGigabitEthernet 0/5�|�[�g�ɓK�p����܂��BInternet_filter ACL�͒��M�g���t�B�b�N�ɁAmarketing_group ACL�͔��M�g���t�B�b�N�ɓK�p����܂��B

Switch(config)# interface gigabitethernet0/5

Switch(config-if)# no switchport

Switch(config-if)# ip address 2.0.5.1 255.255.255.0

Switch(config-if)# ip access-group Internet_filter out

Switch(config-if)# ip access-group marketing_group in

...

IP ACL�ɓK�p����鎞�Ԕ͈�

���̗�ł́A���j�����j��̌ߑO8���`�ߌ�6���̊ԁAIP��Hypertext Transfer Protocol�iHTTP�j�g���t�B�b�N�����ۂ���܂��BUDP�g���t�B�b�N�́A�y�j���ѓ�j��̐��߁`�ߌ�8���̊Ԃ̂݋��‚���܂��B

Switch(config)# time-range no-http

Switch(config)# periodic weekdays 8:00 to 18:00

!

Switch(config)# time-range udp-yes

Switch(config)# periodic weekend 12:00 to 20:00

!

Switch(config)# ip access-list extended strict

Switch(config-ext-nacl)# deny tcp any any eq www time-range no-http

Switch(config-ext-nacl)# permit udp any any time-range udp-yes

!

Switch(config-ext-nacl)# exit

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group strict in

�R�����g�t����IP ACL�G���g��

���Ɏ����ԍ��w��ACL�̗�ł́AJones�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋��‚���܂����ASmith�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋֎~����܂��B

Switch(config)# access-list 1 remark Permit only Jones workstation through

Switch(config)# access-list 1 permit 171.69.2.88

Switch(config)# access-list 1 remark Do not allow Smith workstation through

Switch(config)# access-list 1 deny 171.69.3.13

���Ɏ����ԍ��w��ACL�̗�ł́AWinter�����Smith���[�N�X�e�[�V�����ł�Web�{�����֎~����܂��B

Switch(config)# access-list 100 remark Do not allow Winter to browse the web

Switch(config)# access-list 100 deny host 171.69.3.85 any eq www

Switch(config)# access-list 100 remark Do not allow Smith to browse the web

Switch(config)# access-list 100 deny host 171.69.3.13 any eq www

���Ɏ������O�w��ACL�̗�ł́AJones�T�u�l�b�g�̃A�N�Z�X���֎~����܂��B

Switch(config)# ip access-list standard prevention

Switch(config-std-nacl)# remark Do not allow Jones subnet through

Switch(config-std-nacl)# deny 171.69.0.0 0.0.255.255

���Ɏ������O�w��ACL�̗�ł́AJones�T�u�l�b�g�ł̔��MTelnet�̎g�p���֎~����܂��B

Switch(config)# ip access-list extended telnetting

Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out

Switch(config-ext-nacl)# deny tcp 171.69.0.0 0.0.255.255 any eq telnet

ACL�̃��M���O

���[�^ACL�ł́A2��ނ̃��M���O���T�|�[�g����Ă��܂��Blog�L�[���[�h���w�肷��ƁA�G���g���ƈ�v����p�P�b�g�Ɋւ��郍�O�ʒm���b�Z�[�W���R���\�[���ɑ��M����܂��Blog-input�L�[���[�h���w�肷��ƁA���O �G���g���ɓ�̓C���^�[�t�F�C�X���lj�����܂��B

���̗�ł́A���O�w��̕W���A�N�Z�X ���X�gstan1��10.1.1.0 0.0.0.255����̃g���t�B�b�N�����ۂ��A���̑��̂��ׂĂ̑��M������̃g���t�B�b�N�����‚��܂��Blog�L�[���[�h���w�肳��Ă��܂��B

Switch(config)# ip access-list standard stan1

Switch(config-std-nacl)# deny 10.1.1.0 0.0.0.255 log

Switch(config-std-nacl)# permit any log

Switch(config-std-nacl)# exit

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group stan1 in

Switch(config-if)# end

Switch# show logging

Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)

Console logging: level debugging, 37 messages logged

Monitor logging: level debugging, 0 messages logged

Buffer logging: level debugging, 37 messages logged

File logging: disabled

Trap logging: level debugging, 39 message lines logged

Log Buffer (4096 bytes):

00:00:48: NTP: authentication delay calculation problems

�i�e�L�X�g�o�͂͏ȗ��j

00:09:34:%SEC-6-IPACCESSLOGS:list stan1 permitted 0.0.0.0 1 packet

00:09:59:%SEC-6-IPACCESSLOGS:list stan1 denied 10.1.1.15 1 packet

00:10:11:%SEC-6-IPACCESSLOGS:list stan1 permitted 0.0.0.0 1 packet

00:15:33:%SEC-6-IPACCESSLOGS:list stan1 denied 10.1.1.15 2009 packets

���ɁA���O�w��̊g���A�N�Z�X ���X�gext1�ɂ���āA�C�ӂ̑��M������10.1.1.0 0.0.0.255�ւ�ICMP�p�P�b�g�����‚��A���ׂĂ�UDP�p�P�b�g�����ۂ����������܂��B

Switch(config)# ip access-list extended ext1

Switch(config-ext-nacl)# permit icmp any 10.1.1.0 0.0.0.255 log

Switch(config-ext-nacl)# deny udp any any log

Switch(config-std-nacl)# exit

Switch(config)# interface gigabitethernet0/3

Switch(config-if)# ip access-group ext1 in

���ɁA�g��ACL�̃��O�̗�������܂��B

01:24:23:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 1 packet

01:25:14:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 7 packets

01:26:12:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 1 packet

01:31:33:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 8 packets

IP ACL�̂��ׂẴ��M���O �G���g����%SEC-6-IPACCESSLOG�ŊJ�n���܂��B�G���g���̌`���́A��v����ACL��A�N�Z�X �G���g���̎�ނɉ����Ď኱�قȂ�܂��B

���ɁAlog-input�L�[���[�h���w�肵���ꍇ�̏o�̓��b�Z�[�W�̗�������܂��B

00:04:21:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 (Vlan1 0001.42ef.a400) -> 10.1.1.61 (0/0), 1 packet

log�L�[���[�h���g�p���ē�����ނ̃p�P�b�g�Ɋւ��郍�O ���b�Z�[�W���쐬�����ꍇ�A���O ���b�Z�[�W�ɂ͓�̓C���^�[�t�F�C�X��񂪒lj�����܂���B

00:05:47:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 -> 10.1.1.61 (0/0), 1 packet

���O�w���MAC�g��ACL�̐ݒ�

VLAN����ѕ������C��2�C���^�[�t�F�C�X�Ŕ�IP�g���t�B�b�N���t�B���^�����O����ꍇ�́AMAC�A�h���X����і��O�w���MAC�g��ACL���g�p���܂��B�菇�ɂ‚��ẮA���̖��O�w��g��ACL�̏ꍇ�Ɠ��l�ł��B�A�N�Z�X ���X�g�̖��O�Ƃ��Ĕԍ����g�p���邱�Ƃ��ł��܂����A700�`799��MAC�A�N�Z�X ���X�g�ԍ��̓T�|�[�g����܂���B

mac access-list extended�R�}���h�ŃT�|�[�g����Ă����IP�v���g�R���̏ڍׂɂ‚��ẮA���̃����[�X�̃R�}���h ���t�@�����X���Q�Ƃ��Ă��������B

���O�w���MAC�g��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

mac access-list extendedname

���O���g�p����MAC�g���A�N�Z�X ���X�g���`���܂��B

{deny | permit} {any | hostsource MAC address | source MAC address mask} {any | hostdestination MAC address | destination MAC address mask} [typemask | lsap lsapmask | aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos]

�g��MAC�A�N�Z�X���X�g �R���t�B�M�����[�V���� ���[�h�ł́A������iany�j���M��MAC�A�h���X�A�}�X�N�t���̑��M��MAC�A�h���X�A�܂��͓���́ihost�j���M��MAC�A�h���X�A����т�����iany�j����MAC�A�h���X�A�}�X�N�t������MAC�A�h���X�A�܂��͓���̈���MAC�A�h���X�ɁApermit�܂���deny���w�肵�܂��B

�i�C�Ӂj���̃I�v�V�������͂��邱�Ƃ��ł��܂��B

  • typemask �\ Ethernet II�܂���SNAP�ŃJ�v�Z�������ꂽ�p�P�b�g�̔C�ӂ�EtherType�ԍ��B10�i���A16�i���A�܂���8�i���ŕ\�L�ł��܂��BEtherType�ɓK�p����������idont care�j�r�b�g�̔C�ӂ̃}�X�N���t������A��v�������s���܂��B
  • lsap lsap mask �\ 802.2�ŃJ�v�Z�������ꂽ�p�P�b�g��LSAP�ԍ��B10�i���A16�i���A�܂���8�i���ŕ\�L�ł��܂��B�����r�b�g�̔C�ӂ̃}�X�N���t������܂��B
  • aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp �\ ��IP�v���g�R���B
  • cos cos �\ �v���C�I���e�B��ݒ肷�邽�߂Ɏg�p�����A0�`7��IEEE 802.1Q Cost of Service�iCoS�j�ԍ��B

end

�C�l�[�u��EXEC���[�h�ɖ߂�܂��B

show access-lists [number | name]

�A�N�Z�X ���X�g�̐ݒ��\�����܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

ACL�S�̂��폜����ɂ́Ano mac access-list extendedname�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B���O�w���MAC�g��ACL����ACE���•ʂɍ폜���邱�Ƃ��ł��܂��B

���ɁADECnet Phase IV�Ƃ���EtherType�̃g���t�B�b�N�݂̂����ۂ��A���̑��̂��ׂẴ^�C�v�̃g���t�B�b�N�����‚���Amac1�Ƃ������O�̃A�N�Z�X ���X�g���쐬�A�\�������������܂��B

Switch(config)# mac access-list extended mac1

Switch(config-ext-macl)# deny any any decnet-iv

Switch(config-ext-macl)# permit any any

Switch(config-ext-macl)# end

Switch # show access-lists

Extended MAC access list mac1

deny any any decnet-iv

permit any any

���C��2�C���^�[�t�F�C�X�ւ�MAC ACL�̓K�p

MAC ACL���쐬���A��������C��2�C���^�[�t�F�C�X�ɓK�p����ƁA���̃C���^�[�t�F�C�X�ɒ��M�����IP�g���t�B�b�N���t�B���^�����O���邱�Ƃ��ł��܂��BMAC ACL��K�p����ꍇ�́A���̒��ӎ������l�����Ă��������B

���C��2�C���^�[�t�F�C�X�ւ̃A�N�Z�X�𐧌䂷�邽��MAC�A�N�Z�X���X�g��K�p����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

interfaceinterface-id

�ݒ肷�����̃C���^�[�t�F�C�X���w�肵�A�C���^�[�t�F�C�X �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

�C���^�[�t�F�C�X�͕������C��2�C���^�[�t�F�C�X�i�|�[�gACL�j�łȂ���΂Ȃ�܂���B

mac access-group{name} {in}

MAC�A�N�Z�X���X�g���g�p���A�w�肳�ꂽ�C���^�[�t�F�C�X�ւ̃A�N�Z�X�𐧌䂵�܂��B

    • �|�[�gACL�́A���M���Ɋւ��Ă̂݃T�|�[�g����܂��B

end

�C�l�[�u��EXEC���[�h�ɖ߂�܂��B

show mac access-group[interfaceinterface-id]

���̃C���^�[�t�F�C�X�܂��͂��ׂẴ��C��2�C���^�[�t�F�C�X�ɓK�p����Ă���MAC�A�N�Z�X ���X�g��\�����܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

�w�肳�ꂽ�A�N�Z�X �O���[�v���폜����ɂ́Ano mac access-group {name} in�C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

���ɁAGigabitEthernet 0/3�C���^�[�t�F�C�X�ɃA�N�Z�X ���X�g2��K�p���A�C���^�[�t�F�C�X�ɓ��p�P�b�g���t�B���^�����O�����������܂��B

Switch(config)# interface gigabitethernet0/3

Router(config-if)# mac access-group mac1 in

���MACL�̏ꍇ�A�X�C�b�`�͎�M�����p�P�b�g��ACL�Əƍ����܂��BACL�ɂ���ăp�P�b�g�����‚��ꂽ�ꍇ�́A�p�P�b�g�̏��������s����܂��B���ۂ��ꂽ�ꍇ�A�p�P�b�g�͔p���܂��B

����`��ACL���C���^�[�t�F�C�X�ɓK�p����ƁA�X�C�b�`��ACL���C���^�[�t�F�C�X�ɓK�p����Ă��Ȃ��Ɣ��f���ď������s���A���ׂẴp�P�b�g�����‚���Ă��܂��܂��B�l�b�g���[�N �Z�L�����e�B�̂��߁A����`��ACL���g�p����ꍇ�͒��ӂ��Ă��������B

VLAN�}�b�v�̐ݒ�

�����ł́AVLAN�}�b�v��ݒ肷���@�ɂ‚��Đ������܂��B���̕�@�́AVLAN���Ńt�B���^�����O�𐧌䂷��B��̕�@�ł��BVLAN�}�b�v�ɂ͕���܂���BVLAN�}�b�v���g�p���āA������̃g���t�B�b�N���t�B���^�����O����ɂ́A����̑��M���܂��͈���A�h���X���w�肳�ꂽACL��lj�����K�v������܂��BVLAN�}�b�v���ɊY���^�C�v�̃p�P�b�g�iIP�܂���MAC�j�ɑ΂���match�R�}���h�������݂���ꍇ�A�f�t�H���g�ł̓}�b�v���̂ǂ̃G���g���ɂ���v���Ȃ��p�P�b�g���p���܂��B�Y���^�C�v�̃p�P�b�g�ɑ΂���match�R�}���h�������݂��Ȃ��ꍇ�A�f�t�H���g�ł̓p�P�b�g���]������܂��B

VLAN�}�b�v���쐬����1�‚܂��͕�����VLAN�ɓK�p����ɂ́A���̎菇�����s���܂��B

    2. VLAN�ɓK�p����W��IP ACL�܂��͊g��IP ACL�A�܂��͖��O�w���MAC�g��ACL���쐬���܂��B�W������ъg��IP ACL�̍쐬��������O�w���MAC�g��ACL�̐ݒ����Q�Ƃ��Ă��������B
  1. VLAN ACL�}�b�v �G���g�����쐬����ɂ́Avlan access-map�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���͂��܂��B
  2. �A�N�Z�X�}�b�v �R���t�B�M�����[�V���� ���[�h�ł́Aaction�Ƃ���forward�i�f�t�H���g�j�܂���drop��C�ӂœ�͂ł��܂��B�܂��Amatch�R�}���h���͂��A��m��MAC�A�h���X�݂̂��i�[���ꂽIP�p�P�b�g�܂��͔�IP�p�P�b�g���w�肵����A1�‚܂��͕�����ACL�i�W���܂��͊g���j�ƃp�P�b�g���ƍ����邱�Ƃ��ł��܂��B
    4. �Y���^�C�v�̃p�P�b�g�iIP�܂���MAC�j�ɑ΂���match�R�}���h����VLAN�}�b�v�ɑ��݂���ꍇ�ł��A�p�P�b�g�����̃^�C�v�Ɉ�v���Ȃ��ꍇ�́A�f�t�H���g�Ńp�P�b�g���p���܂��B�Y���^�C�v�̃p�P�b�g�ɑ΂���match�R�}���h����VLAN�}�b�v���ɂȂ��A����ɑ΂���A�N�V�������w�肳��Ă��Ȃ��ꍇ�A�p�P�b�g�͓]������܂��B
  1. VLAN�}�b�v��1�‚܂��͕�����VLAN�ɓK�p����ɂ́Avlan filter�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

�����ł́A���̓��e�ɂ‚��Đ������܂��B

VLAN�}�b�v�ݒ莞�̒��ӎ���

VLAN�}�b�v�̐ݒ���s���Ƃ��́A���̒��ӎ����ɏ]���Ă��������B

VLAN�}�b�v�̍쐬

�eVLAN�}�b�v�͏��Ԃɕ��ׂ�ꂽ��A�̃G���g���ō\������܂��BVLAN�}�b�v �G���g�����쐬�A�lj��A�폜����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

vlan access-mapname[number]

VLAN�}�b�v���쐬���A���O����єԍ��i�C�Ӂj��t���܂��B�ԍ��́A�}�b�v���̃G���g���̏�����\�������ł��B

�������O��VLAN�}�b�v���쐬����ƁA10���‘�������ԍ������Ɋ��蓖�Ă��܂��B�}�b�v��ύX�܂��͍폜����Ƃ��́A�ړI�̃}�b�v �G���g���̔ԍ����͂��邱�Ƃ��ł��܂��B

���̃R�}���h���͂���ƁA�A�N�Z�X�}�b�v �R���t�B�M�����[�V���� ���[�h�ɕς��܂��B

action{drop|forward}

�i�C�Ӂj�}�b�v �G���g���ɑ΂���A�N�V������ݒ肵�܂��B�f�t�H���g�͓]���ł��B

match{ip |mac}address{name | number}[name | number]

1�‚܂��͕����̕W���܂��͊g���A�N�Z�X ���X�g�ɑ΂��ăp�P�b�g���r���܂��iIP�܂���MAC�A�h���X���g�p�j�B�p�P�b�g�̔�r�́A�Ή�����v���g�R�� �^�C�v�̃A�N�Z�X ���X�g�ɑ΂��Ă̂ݍs���܂��BIP�p�P�b�g�́A�W���܂��͊g��IP�A�N�Z�X ���X�g�ɑ΂��Ĕ�r����܂��B��IP�p�P�b�g�́A���O�w���MAC�g���A�N�Z�X ���X�g�ɑ΂��Ă̂ݔ�r����܂��B

end

�O���[�o�� �R���t�B�M�����[�V���� ���[�h�ɖ߂�܂��B

show running-config

�A�N�Z�X ���X�g�̐ݒ��\�����܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

�}�b�v���폜����ɂ́Ano vlan access-mapname�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

�}�b�v���̒P��̃V�[�P���X �G���g�����폜����ɂ́Ano vlan access-mapnamenumber�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

�f�t�H���g�̃A�N�V�����ł���]�����s���ɂ́Ano action�A�N�Z�X�}�b�v �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

VLAN�}�b�v�ł́A�����permit�܂���deny�L�[���[�h�͎g�p����܂���BVLAN�}�b�v���g�p���ăp�P�b�g�����ۂ���ɂ́A�p�P�b�g�Ɣ�r����ACL���쐬���A�A�N�V������p��ɐݒ肵�܂��BACL��permit�L�[���[�h���w�肵���ꍇ�͈�v�Ƃ݂Ȃ���܂��BACL��deny�L�[���[�h���w�肵���ꍇ�͈�v���Ȃ��Ƃ݂Ȃ���܂��B

ACL�����VLAN�}�b�v�̗�

���ɁA����̖ړI��ACL�����VLAN�}�b�v���쐬�����������܂��B

��1

�����ł́A�p�P�b�g�����ۂ���ACL�����VLAN�}�b�v���쐬�����������܂��B�ŏ��̃}�b�v�ł́Aip1ACL�iTCP�p�P�b�g�j�Ɉ�v���邷�ׂẴp�P�b�g���p���܂��B�ŏ��ɁA���ׂĂ�TCP�p�P�b�g�����‚��A����ȊO�̃p�P�b�g�����ׂċ��ۂ���ip1ACL���쐬���܂��BVLAN�}�b�v�ɂ�IP�p�P�b�g�ɑ΂���match�R�}���h�������݂��邽�߁A�f�t�H���g�ł͂ǂ�match�R�}���h���Ƃ���v���Ȃ����ׂĂ�IP�p�P�b�g���p���܂��B

Switch(config)# ip access-list extended ip1

Switch(config-ext-nacl)# permit tcp any any

Switch(config-ext-nacl)# exit

Switch(config)# vlan access-map map_1 10

Switch(config-access-map)# match ip address ip1

Switch(config-access-map)# action drop

���ɁA�p�P�b�g�����‚���VLAN�}�b�v���쐬�����������܂��BACL ip2��UDP�p�P�b�g�����‚��܂��Bip2 ACL�ƈ�v���邷�ׂẴp�P�b�g���]������܂��B

Switch(config)# ip access-list extended ip2

Switch(config-ext-nacl)# permit udp any any

Switch(config-ext-nacl)# exit

Switch(config)# vlan access-map map_1 20

Switch(config-access-map)# match ip address ip2

Switch(config-access-map)# action forward

���̃}�b�v�ł́A����ȑO�̂ǂ�ACL�Ƃ���v���Ȃ��������ׂĂ�IP�p�P�b�g�iTCP�ł�UDP�ł��Ȃ��p�P�b�g�j���p���܂��B

��2

���̗��VLAN�}�b�v�ł́A�f�t�H���g��IP�p�P�b�g���p���AMAC�p�P�b�g���]������܂��B�W����ACL 101�Ɩ��O�w��̊g���A�N�Z�X ���X�gigmp-match�����tcp-match�����̃}�b�v�Ƒg�ݍ��킹�Ďg�p����ƁA���̂悤�ɂȂ�܂��B

Switch(config)# access-list 101 permit udp any any

Switch(config)# ip access-list extended igmp-match

Switch(config-ext-nacl)# permit igmp any any

Switch(config)# ip access-list extended tcp-match

Switch(config-ext-nacl)# permit tcp any any

Switch(config-ext-nacl)# exit

Switch(config)# vlan access-map drop-ip-default 10

Switch(config-access-map)# match ip address 101

Switch(config-access-map)# action forward

Switch(config-access-map)# exit

Switch(config)# vlan access-map drop-ip-default 20

Switch(config-access-map)# match ip address igmp-match

Switch(config-access-map)# action drop

Switch(config-access-map)# exit

Switch(config)# vlan access-map drop-ip-default 30

Switch(config-access-map)# match ip address tcp-match

Switch(config-access-map)# action forward

��3

���̗��VLAN�}�b�v�ł́A�f�t�H���g��MAC�p�P�b�g���p���AIP�p�P�b�g���]������܂��BMAC�g���A�N�Z�X ���X�ggood-hosts�����good-protocols�Ƃ��̃}�b�v��g�ݍ��킹�Ďg�p����ƁA���̂悤�ɂȂ�܂��B

Switch(config)# mac access-list extended good-hosts

Switch(config-ext-macl)# permit host 000.0c00.0111 any

Switch(config-ext-macl)# permit host 000.0c00.0211 any

Switch(config-ext-nacl)# exit

Switch(config)# mac access-list extended good-protocols

Switch(config-ext-macl)# permit any any decnet-ip

Switch(config-ext-macl)# permit any any vines-ip

Switch(config-ext-nacl)# exit

Switch(config)# vlan access-map drop-mac-default 10

Switch(config-access-map)# match mac address good-hosts

Switch(config-access-map)# action forward

Switch(config-access-map)# exit

Switch(config)# vlan access-map drop-mac-default 20

Switch(config-access-map)# match mac address good-protocols

Switch(config-access-map)# action forward

��4

���̗��VLAN�}�b�v�ł́A�f�t�H���g�ł��ׂẴp�P�b�g�iIP����є�IP�j���p���܂��B��2����ї�3�̃A�N�Z�X ���X�gtcp-match�����good-hosts�����̃}�b�v�Ƒg�ݍ��킹�Ďg�p����ƁA���̂悤�ɂȂ�܂��B

Switch(config)# vlan access-map drop-all-default 10

Switch(config-access-map)# match ip address tcp-match

Switch(config-access-map)# action forward

Switch(config-access-map)# exit

Switch(config)# vlan access-map drop-all-default 20

Switch(config-access-map)# match mac address good-hosts

Switch(config-access-map)# action forward

VLAN�ւ�VLAN�}�b�v�̓K�p

1�‚�VLAN�}�b�v��1�‚܂��͕�����VLAN�ɓK�p����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�R�}���h

����

configure terminal

�O���[�o�� �R���t�B�M�����[�V���� ���[�h���J�n���܂��B

vlan filtermapnamevlan-listlist

VLAN�}�b�v��1�‚܂��͕�����VLAN ID�ɓK�p���܂��B

list�ɂ͒P���VLAN ID�i22�j�A�A�������͈́i10�`22�j�A�܂���VLAN ID����Ȃ�X�g�����O�i12�A22�A30�j���w��ł��܂��B�J���}��n�C�t���̑O��ɃX�y�[�X��}��邱�Ƃ��ł��܂��B

show running-config

�A�N�Z�X ���X�g�̐ݒ��\�����܂��B

copy running-config startup-config

�i�C�Ӂj�R���t�B�M�����[�V���� �t�@�C���ɐݒ��ۑ����܂��B

VLAN�}�b�v���폜����ɂ́Anovlan filtermapnamevlan-listlist�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

���ɁAVLAN�}�b�v1��VLAN 20�`22�ɓK�p�����������܂��B

Switch(config)# vlan filter map 1 vlan-list 20-22

�l�b�g���[�N�ł�VLAN�}�b�v�̎g�p�@

�����ł́AVLAN�}�b�v�̈�ʓI�Ȏg�p�@�ɂ‚��Đ������܂��B��̓I�ȓ��e�͎��̂Ƃ���ł��B

�z��N���[�[�b�g�̍\��

�z��N���[�[�b�g�\���ɂ�����Catalyst 3550�X�C�b�`�ł́A���[�e�B���O���C�l�[�u���łȂ��”\��������܂��B�������A���̍\���ł�VLAN�}�b�v�����QoS����ACL�̓T�|�[�g����Ă��܂��B�z��N���[�[�b�g�̍\���ł́A�z�X�gX����уz�X�gY�͈قȂ�VLAN���ɂ���A�z��N���[�[�b�g �X�C�b�`A����уX�C�b�`C�ɐڑ�����Ă���Ƒz�肵�Ă��܂��B�z�X�gX����z�X�gY�ւ̃g���t�B�b�N�́A���[�e�B���O���C�l�[�u���ɐݒ肳�ꂽ�X�C�b�`B�ɂ���čŏI�I�Ƀ��[�e�B���O����܂��B�z�X�gX����z�X�gY�ւ̃g���t�B�b�N�́A�g���t�B�b�N�̃G���g�� �|�C���g�ł���X�C�b�`A�ŃA�N�Z�X����ł��܂��B

�z��N���[�[�b�g�̍\��

HTTP�g���t�B�b�N���z�X�gX����z�X�gY�փX�C�b�`���O���Ȃ��ꍇ�́A�z�X�gX�iIP�A�h���X10.1.1.32�j����z�X�gY�iIP�A�h���X10.1.1.34�j�ւ�HTTP�g���t�B�b�N���X�C�b�`B�Ƀu���b�W���O���ꂸ�A���ׂăX�C�b�`A�Ŕp����悤�ɃX�C�b�`A��VLAN�}�b�v��ݒ肷�邱�Ƃ��ł��܂��B

�܂��AHTTP�|�[�g�ł��ׂĂ�TCP�g���t�B�b�N�����i��v�j����IP�A�N�Z�X ���X�ghttp���`���܂��B

Switch(config)# ip access-list extended http

Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www

Switch(config-ext-nacl)# exit

���ɁAhttp�A�N�Z�X ���X�g�ƈ�v����g���t�B�b�N���p���A���̑��̂��ׂĂ�IP�g���t�B�b�N���]�������悤�ɁAVLAN�A�N�Z�X�}�b�vmap2���쐬���܂��B

Switch(config)# vlan access-map map2 10

Switch(config-access-map)# match ip address http

Switch(config-access-map)# action drop

Switch(config-access-map)# exit

Switch(config)# ip access-list extended match_all

Switch(config-ext-nacl)# permit ip any any

Switch(config-ext-nacl)# exit

Switch(config)# vlan access-map map2 20

Switch(config-access-map)# match ip address match_all

Switch(config-access-map)# action forward

���ɁAVLAN�A�N�Z�X�}�b�vmap2��VLAN 1�ɓK�p���܂��B

Switch(config)# vlan filter map2 vlan 1

�ʂ�VLAN�ɂ���T�[�o�ւ̃A�N�Z�X����

�ʂ�VLAN�ɂ���T�[�o�ւ̃A�N�Z�X�𐧌��ł��܂��B���Ƃ��΁AVLAN10���̃T�[�o10.1.1.100�ɑ΂��ẮA���̂悤�ɃA�N�Z�X�𐧌�����K�v������܂��i�ʂ�VLAN�ɂ���T�[�o�ւ̃A�N�Z�X�������Q�Ɓj�B

�ʂ�VLAN�ɂ���T�[�o�ւ̃A�N�Z�X����

���̗�ł́A�T�u�l�b�g10.1.2.0/8���̃z�X�g�A�z�X�g10.1.1.4�A����уz�X�g10.1.1.8�̃A�N�Z�X�����ۂ��A���̑���IP�g���t�B�b�N�����‚���VLAN�}�b�vSERVER 1���쐬���āA�ʂ�VLAN���̃T�[�o�ւ̃A�N�Z�X�����ۂ����@�������Ă��܂��B�Ō�ɁAVLAN�}�b�vSERVER1��VLAN 10�ɓK�p���܂��B

    2. �Ή�����p�P�b�g�Ɣ�r����IP ACL���`���܂��B

Switch(config)# ip access-list extended SERVER1_ACL

Switch(config-ext-nacl))# permit ip 10.1.2.0 0.0.0.255 host 10.1.1.100

Switch(config-ext-nacl))# permit ip host 10.1.1.4 host 10.1.1.100

Switch(config-ext-nacl))# permit ip host 10.1.1.8 host 10.1.1.100

Switch(config-ext-nacl))# exit

  1. SERVER1_ACL�ƈ�v����IP�p�P�b�g��p��A��v���Ȃ�IP�p�P�b�g��]�����邱��ACL���g�p���āAVLAN�}�b�v���`���܂��B

Switch(config)# vlan access-map SERVER1_MAP

Switch(config-access-map)# match ip address SERVER1_ACL

Switch(config-access-map)# action drop

Switch(config)# vlan access-map SERVER1_MAP 20

Switch(config-access-map)# action forward

Switch(config-access-map)# exit

  1. VLAN 10��VLAN�}�b�v��K�p���܂��B

Switch(config)# vlan filter SERVER1_MAP vlan-list 10.

���[�^ACL��VLAN�}�b�v�Ƒg�ݍ��킹�Ďg�p�����@

�u���b�W���O���ꂽ�g���t�B�b�N����у��[�e�B���O���ꂽ�g���t�B�b�N�̗���ɑ΂��ăA�N�Z�X������s���ɂ́AVLAN�}�b�v��P�ƂŎg�p���邩�A�܂��̓��[�^ACL��VLAN�}�b�v��g�ݍ��킹�Ďg�p���܂��B��͂Əo�͗���̃��[�e�b�hVLAN�C���^�[�t�F�C�X�Ń��[�^ACL���`������A�u���b�W���O���ꂽ�g���t�B�b�N�̃A�N�Z�X�𐧌䂷��VLAN�}�b�v���`���邱�Ƃ��ł��܂��B

�p�P�b�g �t���[��ACL��VLAN�}�b�v��deny�R�}���h���ƈ�v�����ꍇ�A���[�^ACL�̐ݒ�Ɋ֌W�Ȃ��A�p�P�b�g �t���[�͋��ۂ���܂��B

�Y���^�C�v�̃p�P�b�g�iIP�܂���MAC�j�ɑ΂���match�R�}���h����VLAN�}�b�v�ɑ��݂���ꍇ�ł��A�p�P�b�g�����̃^�C�v�Ɉ�v���Ȃ��ꍇ�́A�f�t�H���g�Ńp�P�b�g���p���܂��BVLAN�}�b�v����match�R�}���h�����Ȃ��A�A�N�V�������w�肳��Ă��Ȃ��ꍇ�A�ǂ�VLAN�}�b�v �G���g���Ƃ���v���Ȃ��p�P�b�g�͓]������܂��B

�����ł́A���[�^ACL��VLAN�}�b�v�Ƒg�ݍ��킹�Ďg�p�����@�ɂ‚��Đ������܂��B

���[�^ACL��VLAN�}�b�v���g�p����ꍇ�̒��ӎ���

�����ɋL�ڂ��ꂽ���ӎ����́A���[�^ACL�����VLAN�}�b�v�𓯂�VLAN��Ŏg�p����K�v������ꍇ�ɓK�p����܂��B���[�^ACL�����VLAN�}�b�v���قȂ�VLAN�Ɋ��蓖�Ă�ꍇ�ɁA�����̒��ӎ����͓K�p����܂���B

�X�C�b�` �n�[�h�E�F�A�́A���i��͂���яo�́j���ƂɃZ�L�����e�BACL��1�񌟍����܂��B���������āA���[�^ACL�����VLAN�}�b�v�𓯂�VLAN�ɐݒ肷��ꍇ�́A�����𓝍�����K�v������܂��B���[�^ACL��VLAN�}�b�v�𓝍�����ƁAACE�̐����}�����邱�Ƃ�����܂��B

���[�^ACL�����VLAN�}�b�v�𓯂�VLAN�ɐݒ肷��K�v������ꍇ�́A���[�^ACL��VLAN�}�b�v�̗���̐ݒ�Ɋւ��钍�ӎ����ɏ]���Ă��������B

permit...
permit...
permit...
deny ip any any

�܂���

deny...
deny...
deny...
permit ip any any

���C��4�����܂�IP ACE��TCP/UDP/ICMP ACE������Ƃ�ACL���ɑ��݂��Afull flow���[�h���w�肷��K�v������Ƃ��́A���C��4 ACE�����X�g�̖����ɔz�u���܂��B���̌��ʁAIP�A�h���X�Ɋ�Â��g���t�B�b�N�̃t�B���^�����O���D�悳��܂��B

VLAN�ɓK�p����郋�[�^ACL��VLAN�}�b�v�̗�

�����ł́A���[�^ACL�����VLAN�}�b�v��VLAN�ɓK�p���A�X�C�b�`�h �p�P�b�g�A�u���b�W�h �p�P�b�g�A���[�e�b�h �p�P�b�g�A����у}���`�L���X�g �p�P�b�g�����������������܂��B���̐}�ł͂��ꂼ��̈���ɓ]�������p�P�b�g�������܂��B�p�P�b�g�̃p�X��VLAN�}�b�v��ACL���������ƌ�������|�C���g�ŁA�p�P�b�g��]�������ɔp��邱�Ƃ��ł��܂��B

ACL����уX�C�b�`�h �p�P�b�g

�X�C�b�`�h �p�P�b�g�ւ�ACL�̓K�p�ɁAVLAN���ŃX�C�b�`���O�����p�P�b�g��ACL��K�p�����@�������܂��B��փu���b�W���O�ɂ���ă��[�e�B���O�܂��͓]�����ꂸ�AVLAN���ŃX�C�b�`���O�����p�P�b�g�ɂ́A���VLAN��VLAN�}�b�v�݂̂��K�p����܂��B

�X�C�b�`�h �p�P�b�g�ւ�ACL�̓K�p

ACL����уu���b�W�h �p�P�b�g

�u���b�W�h �p�P�b�g�ւ�ACL�̓K�p�ɁA��փu���b�W�h �p�P�b�g��ACL��K�p�����@�������܂��B�u���b�W�h �p�P�b�g�̏ꍇ�́A���VLAN�Ƀ��C��2 ACL�݂̂��K�p����܂��B�܂��A��IP����є�ARP�p�P�b�g�݂̂���փu���b�W�h �p�P�b�g�ƂȂ�܂��B

�u���b�W�h �p�P�b�g�ւ�ACL�̓K�p

ACL����у��[�e�b�h �p�P�b�g

���[�e�b�h �p�P�b�g�ւ�ACL�̓K�p�ɁA���[�e�b�h �p�P�b�g��ACL��K�p�����@�������܂��B���[�e�b�h �p�P�b�g�̏ꍇ�AACL�͎��̏��ԂœK�p����܂��B

  1. ���VLAN��VLAN�}�b�v
  2. ��̓��[�^ACL
  3. �o�̓��[�^ACL
  4. �o��VLAN��VLAN�}�b�v
���[�e�b�h �p�P�b�g�ւ�ACL�̓K�p

ACL����у}���`�L���X�g �p�P�b�g

�}���`�L���X�g �p�P�b�g�ւ�ACL�̓K�p�ɁAIP�}���`�L���X�g�p�ɕ������ꂽ�p�P�b�g��ACL��K�p�����@�������܂��B���[�e�B���O�����}���`�L���X�g �p�P�b�g�ɂ́A2�‚̈قȂ�t�B���^���K�p����܂��B1�‚́A���悪���VLAN���̑��̃|�[�g�ł���ꍇ�Ɏg�p����A����1�‚́A���悪�p�P�b�g�̃��[�e�B���O��ł���ʂ�VLAN���ɂ���ꍇ�Ɏg�p����܂��B�p�P�b�g�͕����̏o��VLAN�Ƀ��[�e�B���O����܂����A���̏ꍇ�͈���VLAN���ƂɈقȂ郋�[�^�o��ACL�����VLAN�}�b�v���K�p����܂��B

�ŏI�I�ɁA�p�P�b�g�͈ꕔ�̏o��VLAN���ŋ��‚���A����ȊO��VLAN�ŋ��ۂ���܂��B�p�P�b�g�̃R�s�[���A���‚��ꂽ����ɓ]������܂��B�������A���VLAN�}�b�v�i�}���`�L���X�g �p�P�b�g�ւ�ACL�̓K�p��VLAN 10�}�b�v�j�ɂ���ăp�P�b�g���p����ꍇ�A�p�P�b�g�̃R�s�[�͈���ɑ��M����܂���B

�}���`�L���X�g �p�P�b�g�ւ�ACL�̓K�p

ACL���̕\��

�X�C�b�`�ɐݒ肳��Ă���ACL�A����уC���^�[�t�F�C�X��VLAN�ɓK�p���ꂽACL��\�����邱�Ƃ��ł��܂��B�܂��A�ݒ�̖����Ɋւ������ACL�Ɋ֘A�������\�[�X�̗��p�ɂ‚��Ă̏����\���ł��܂��B

�����Ő���������e�͎��̂Ƃ���ł��B

ACL�̐ݒ�̕\��

���ACL��\�����邱�Ƃ��ł��܂��Bip access-group�C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���āA���C��2�܂��̓��C�� 3�C���^�[�t�F�C�X��ACL��K�p�����ꍇ�́A���̃C���^�[�t�F�C�X�̃A�N�Z�X �O���[�v��\�����邱�Ƃ��ł��܂��B���C��2�C���^�[�t�F�C�X�ɓK�p���ꂽMAC ACL��\�����邱�Ƃ��ł��܂��B���̏���\������ɂ́A�C�l�[�u��EXEC�R�}���h���g�p���܂��i�A�N�Z�X ���X�g����уA�N�Z�X �O���[�v��\������R�}���h���Q�Ɓj�B

�A�N�Z�X ���X�g����уA�N�Z�X �O���[�v��\������R�}���h

�R�}���h

����

show access-lists [number | name]

�ŐV��IP�����MAC�A�h���X �A�N�Z�X ���X�g�̑S�̂₻�̈ꕔ�A�܂��͓���̃A�N�Z�X ���X�g�i�ԍ��w��܂��͖��O�w��j�̓��e��\�����܂��B

show ip access-lists[number | name]

�ŐV��IP�A�N�Z�X ���X�g�S�́A�܂��͓����IP�A�N�Z�X ���X�g�i�ԍ��w��܂��͖��O�w��j��\�����܂��B

show ip interfaceinterface-id

�C���^�[�t�F�C�X�̏ڍאݒ肨��уX�e�[�^�X��\�����܂��BIP���C�l�[�u���ł���C���^�[�t�F�C�X�ɁAip access-group�C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p����ACL��K�p�����ꍇ�́A�A�N�Z�X �O���[�v���\������܂��B

show running-config[interface interface-id]

�X�C�b�`�܂��͓���̃C���^�[�t�F�C�X�Ɋւ���R���t�B�M�����[�V���� �t�@�C���̓��e�i�ݒ肳�ꂽ���ׂĂ�MAC�����IP�A�N�Z�X ���X�g�A�C���^�[�t�F�C�X�ɓK�p����Ă���A�N�Z�X �O���[�v�Ȃǁj��\�����܂��B

show mac access-group[interfaceinterface-id]

���ׂẴ��C��2�C���^�[�t�F�C�X�܂��͎w�肳�ꂽ���C��2�C���^�[�t�F�C�X�ɓK�p����Ă���MAC�A�N�Z�X ���X�g��\�����܂��B

���ɁAshow access-lists�C�l�[�u��EXEC�R�}���h�����s���A���ׂĂ̕W��ACL����ъg��ACL��\�������������܂��B

Switch# show access-lists

Standard IP access list 1

permit 172.20.10.10

Standard IP access list 10

permit 12.12.12.12

Standard IP access list 12

deny 1.3.3.2

Standard IP access list 32

permit 172.20.20.20

Standard IP access list 34

permit 10.24.35.56

permit 23.45.56.34

Extended IP access list 120

permit eigrp host 12.3.6.5 host 25.36.1.24

Extended MAC access list mac1

���ɁAshow ip access-lists�C�l�[�u��EXEC�R�}���h�̏o�͗�������܂��BIP�W������ъg��ACL�݂̂��\������܂��B�O�q�̗�ŕ\�����ꂽ���O�w���MAC�g��ACL�́A���̗�ŕ\������܂���B

Switch# show ip access-lists

Standard IP access list 1

permit 172.20.10.10

Standard IP access list 10

permit 12.12.12.12

Standard IP access list 12

deny 1.3.3.2

Standard IP access list 32

permit 172.20.20.20

Standard IP access list 34

permit 10.24.35.56

permit 23.45.56.34

Extended IP access list 120

permit eigrp host 12.3.6.5 host 25.36.1.24

���ɁAshow mac access-group�C�l�[�u��EXEC�R�}���h�̏o�͗�������܂��B���̏o�͂ŁAMAC�A�N�Z�X ���X�g�imacl-e1�j���K�p����Ă���C���^�[�t�F�C�X��GigabitEthernet�C���^�[�t�F�C�X2�����ł��邱�Ƃ��킩��܂��B

Switch# show mac access-group

Interface GigabitEthernet0/1:

Inbound access-list is not set

Interface GigabitEthernet0/2:

Inbound access-list is macl_e1

Interface GigabitEthernet0/3:

Inbound access-list is not set

Interface GigabitEthernet0/4:

Inbound access-list is not set

Interface GigabitEthernet0/5:

Inbound access-list is not set

�i�e�L�X�g�o�͂͏ȗ��j

VLAN�A�N�Z�X�}�b�v�܂���VLAN�t�B���^�Ɋւ������\���ł��܂��BVLAN �}�b�v����\������ɂ́AVLAN�}�b�v����\������R�}���h�ɋL�ڂ��ꂽ�C�l�[�u��EXEC�R�}���h���g�p���܂��B

VLAN�}�b�v����\������R�}���h

�R�}���h

����

show vlan access-map[mapname]

���ׂĂ�VLAN�A�N�Z�X�}�b�v�܂��͎w�肳�ꂽ�A�N�Z�X�}�b�v�Ɋւ������\�����܂��B

show vlan filter [access-mapname |vlanvlan-id]

���ׂĂ�VLAN�t�B���^�Ɋւ�����A�܂��͎w�肳�ꂽVLAN��VLAN�A�N�Z�X�}�b�v�Ɋւ������\�����܂��B

���́Ashow vlan access-map�C�l�[�u��EXEC�R�}���h�̏o�͗�ł��B

Switch# show vlan access-map

Vlan access-map "map_1" 10

  Match clauses:

     ip address: ip1

  Action:

     drop

Vlan access-map "map_1" 20

  Match clauses:

     mac address: mac1

  Action:

     forward

���ɁAshow vlan filter�C�l�[�u��EXEC�R�}���h�̏o�͗�������܂��B

Switch# showvlanfilter

VLAN Map map_1 is filtering VLANs:

  20-22

ACL���\�[�X�̗��p������ѐݒ���̕\��

�X�C�b�`�̋@�\�}�l�[�W���́A�ݒ肳�ꂽACL�Ƀ��\�[�X�����蓖�Ă܂��B�ݒ�ɕK�v�Ȃ����̏\���ȃn�[�h�E�F�A ���\�[�X���Ȃ��ꍇ�A�܂��͐ݒ�ɖ�肪����ꍇ�́A�G���[ ���b�Z�[�W����������܂��B�R���\�[�����G���[ ���b�Z�[�W��M�p�ɐݒ肳��Ă��Ȃ��ꍇ�́Ashow fm�C�l�[�u��EXEC�R�}���h���g�p���ċ@�\�}�l�[�W���̃��b�Z�[�W��\�����A�C���^�[�t�F�C�X��ACL���������郊�\�[�X�ɂ‚��Ă̏����肷�邱�Ƃ��ł��܂��B�܂��Ashow tcam�C�l�[�u��EXEC�R�}���h���g�p����ƁA�X�C�b�`��Ternary Content Addressable Memory�iTCAM;3�ˆ�g�̃R���e���c �A�h���X�”\�������j�̗e�ʂɊւ���X�e�[�^�X������ł��܂��B

VLAN�}�b�v����\������R�}���h�ɁAACL�@�\�}�l�[�W������\������C�l�[�u��EXEC�R�}���h�������܂��B

VLAN�}�b�v����\������R�}���h

�R�}���h

����

show fm vlanvlan-id
�܂���
show fm interfaceinterface-id

�C���^�[�t�F�C�X�܂���VLAN�̋@�\�}�l�[�W�����i�n�[�h�E�F�A �|�[�g���x���܂���VLAN���x���̃C���^�[�t�F�C�X�ԍ��A�@�\�}�l�[�W���ɔ����������Ȃǁj��\�����܂��B

show fm vlan-label label-id
�܂���
show fm port-label label-id

�n�[�h�E�F�A�ɓK�������ݒ�ς�ACL�̋@�\�ȂǁA���ʃ��x���ɂ‚��Ă̏���\�����܂��BVLAN���x���̓��[�^ACL��VALN�}�b�v�Ɏg�p����A�|�[�g ���x���̓|�[�gACL�Ɏg�p����܂��BVLAN label-id�͈̔͂�0�`255�A�|�[�glabel-id�͈̔͂�0�`127�ł��B

show tcam{inacl|outacl}tcam-id {{port-labels [label-id]} |size |{statistics [entries |hits |labels |masks]} | {vlan-labels [label-id]}}

TCAM�̓��ACL�̈�܂��͏o��ACL�̈�ɂ‚��Ă̏���\�����܂��BTCAM ID�̗L��͈͂́A1�`3�ł��i�X�C�b�` ���f���ɂ���ĈقȂ�܂��j�B���̃R�}���h�Ɋւ��邻�̑��̃L�[���[�h�́A��ɃV�X�R�̋Z�p�T�|�[�g �X�^�b�t���g�p������̕\���Ɏg�p����܂��B

�����̃R�}���h�̏ڍׂɂ‚��ẮA���̃����[�X�̃R�}���h ���t�@�����X���Q�Ƃ��Ă��������B

�����ł́A����ACL���Ɋւ�����\����@�ɂ‚��Đ������܂��B

�ݒ�̖���

���[�^ACL�����łɐݒ肳��Ă���X�C�b�`�̃C���^�[�t�F�C�X�Ƀ|�[�gACL��K�p����ȂǁA���‚���Ă��Ȃ�ACL�ݒ���͂��悤�Ƃ���ƁA�G���[ ���b�Z�[�W�����O�ɋL�^����܂��B

���̗�ł́AGigabit�|�[�g1�����C��2�C���^�[�t�F�C�X�ł��B�A�N�Z�X ���X�gip3��K�p���悤�Ƃ���ƁA���łɃX�C�b�`�̃��C��3�C���^�[�t�F�C�X��ACL���K�p����Ă��邱�Ƃ������G���[ ���b�Z�[�W���\������܂��B

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group ip3 in

Switch(config-if)#

1d18h:%FM-3-CONFLICT:Port ACL ip3 conflicts with input router ACLs

ACL�̐ݒ�ɖ��������邩�ǂ����𔻒f���A���̃|�[�g�̃|�[�g���x���ԍ��𒲂ׂ�ɂ́A�C���^�[�t�F�C�X�ɑ΂���show fm interface�C�l�[�u��EXEC�R�}���h�����s���܂��B����ɏڍ׏���\������ɂ́A���̗�̂悤��show fm port-label�C�l�[�u��EXEC�R�}���h���͂��܂��B

Switch# show fm interface gigabitethernet0/1

Conflicts exist with layer 3 access groups.

Input Port Label:2

Switch# show fm port-label 2

Conflicts exist with layer 3 access groups.

Needed in CAM(s):1

Loaded into CAM(s):1

Sent to CPU by CAM(s):

Interfaces: Gi0/1

IP Access Group:ip3 0 VMRs

DHCP Broadcast Suppression Disabled.

MAC Access Group:(None) 0 VMRs

���̗�́A���C��2�C���^�[�t�F�C�X��AVL�����łɓK�p����Ă���X�C�b�`�ŁASVI�AVLAN 1��ACL 121��K�p���悤�Ƃ������ʂ������Ă��܂��B

Switch(config)# interface vlan 1

Switch(config-if)# ip access-group 121 in

Switch(config-if)#

1d18h:%FM-3-CONFLICT:Input router ACL 121 conflicts with port ACLs

show fm vlan���͂���Ɛݒ�̖������\������AVLAN label-ids�𔻒f���邱�Ƃ��ł��܂��B����ɏڍ׏���\������ɂ́Ashow fm vlan-label�R�}���h���͂��܂��B

Switch# show fm vlan 1

Conflicts exist with layer 2 access groups.

Input VLAN Label:1

Output VLAN Label:0 (default)

Priority:normal

Switch# show fm vlan-label 1

Conflicts exist with layer 2 access groups.

Input Features:

  Interfaces or VLANs: Vl1

  Priority:normal

  Vlan Map:(none)

  Access Group:121, 0 VMRs

  Multicast Boundary:(none), 0 VMRs

Output Features:

  Interfaces or VLANs:

  Priority:low

  Bridge Group Member:no

  Vlan Map:(none)

  Access Group:(none), 0 VMRs

�n�[�h�E�F�A�ł�ACL�ݒ�̓K����

�O�q�̂悤�ɁACatalyst 3550�X�C�b�`�ł�ACL�����́A�啔�����n�[�h�E�F�A�ŏ�������܂��B�������AACL�ݒ���i�[���邽�߂̃n�[�h�E�F�A�e�ʂ����E�ɒB�����ꍇ�́A�X�C�b�`�̃\�t�g�E�F�A�ɂ���āA�n�[�h�E�F�A���̐ݒ肪�P���ɂȂ�悤�ɒ�������܂��B�ݒ肪�P���ɂȂ�ƁA�ݒ肳�ꂽ�t�B���^�����O�����̈ꕔ�����s����Ȃ��Ȃ�A�ꕔ�܂��͂��ׂẴp�P�b�g��CPU�ɑ����āA�\�t�g�E�F�A�ɂ��t�B���^�����O����܂��B���̕�@�ŁA�ݒ肳�ꂽ���ׂẴt�B���^�����O���������s����܂����A�\�t�g�E�F�A�Ńt�B���^�����O���s����ƃp�t�H�[�}���X���啝�ɒቺ���܂��B

���Ƃ��΁AVLAN�C���^�[�t�F�C�X�ɓK�p������̓��[�^ACL�ƁA����VLAN�ɓK�p�����VLAN�}�b�v�̑g�ݍ��킹���n�[�h�E�F�A�ɓK�����Ȃ��ꍇ�́A���̂悤�ɂȂ�܂��B

�n�[�h�E�F�A�ɑ΂���ݒ�̓K�������͂��ׂă��O�ɋL�^����܂��Bshow fm�C�l�[�u��EXEC�R�}���h���g�p����ƁA�n�[�h�E�F�A�ɓK�����Ȃ��C���^�[�t�F�C�X�̐ݒ�܂���VLAN�̐ݒ肪���邩�ǂ����𔻕ʂ��邱�Ƃ��ł��܂��B

�|�[�gACL�̗�

���ɁA�g�p�”\��TCAM�X�y�[�X�ɑ΂��ă|�[�g �A�N�Z�X ���X�g���傫�������������܂��B

Switch(config-if)# interface gigabitethernet0/3

Switch(config-if)# ip access-group 100 in

Switch(config-if)#

00:04:58:%FM-3-UNLOADING:Unloading port label 3 feature from TCAM 1

�|�[�g ���x�����m�F������A���x�����C���^�[�t�F�C�X�Ɋ��蓖�Ă��Ă��邩�ǂ����𒲂ׂ�ꍇ�́Ashow fm interface�R�}���h���͂��܂��B

Switch# show fm interface gigabitethernet0/3

Input Port Label:3

���̗�ł́Ashow fm port-label 3�C�l�[�u��EXEC�R�}���h�̏o�͂���ACAM1�ɕK�v�ȃ��x��3��CAM 1�Ƀ��[�h���ꂸ�A�����CPU�ɑ��M����Ă��邱�Ƃ��킩��܂��B

Switch# show fm port-label 3

Needed in CAM(s):1

Loaded into CAM(s):

Sent to CPU by CAM(s):1

Interfaces: Gi0/3

IP Access Group:100 3400 VMRs

DHCP Broadcast Suppression Disabled.

MAC Access Group:(None) 2 VMRs

�X�C�b�`��TCAM�̐��̓X�C�b�` ���f���ɂ���ĈقȂ�܂��i1�`3�j�BTCAM�𕡐��‘������Ă���X�C�b�`�ŁA�����|�[�gACL�������̃C���^�[�t�F�C�X�ɓK�p����Ă���ꍇ�A�K�v��TCAM�̈ꕔ�i�S���ł͂Ȃ��j�ɐݒ肪�K�����Ȃ����Ƃ�����܂��B���̂悤�ȏꍇ�AACL���K�p���ꂽ�Ƃ��ɐ������ꂽ���O ���b�Z�[�W�ɁA����ACL�����[�h�ł��Ȃ�����TCAM���L�^����܂��B

Switch(config)# interface gigabitethernet0/10

Switch(config-if)# ip access-group 101 in

Switch(config-if)#

01:46:25:%FM-3-UNLOADING:Unloading port label 4 feature from TCAM 1

���x��4�ɑ΂���show fm port-label�R�}���h���͂���ƁA�eTCAM�ɋ@�\�����[�h����Ă��邩�ǂ������킩��܂��B

Switch# show fm port-label 4

Needed in CAM(s):1 3

Loaded into CAM(s):3

Sent to CPU by CAM(s):1

Interfaces: Gi0/3, Gi0/10

IP Access Group:101 379 VMRs

DHCP Broadcast Suppression Disabled.

MAC Access Group:(None) 2 VMRs

���̏o�͂́ACAM 1��3�Ń|�[�g ���x��4���K�v�Ƃ���Ă���̂ɁACAM 1�Ƀ|�[�g ���x��4���K�����Ă��Ȃ����Ƃ������Ă��܂��BCAM 1�ɑ��̃|�[�g ���x���̃G���g�������łɊ܂܂�CAM 3�����g�p�”\�ȋ󂫗e�ʂ����Ȃ����߂ł��B�܂��A���̏o�͂���ACAM 3�ɂ̓|�[�g ���x��4�����[�h����Ă�����̂́A���̃��x���̃|�[�gACL�̃G���g����CAM 1���烍�[�h����Ă��Ȃ����߁ACAM1�͂��̃��x���̃p�P�b�g��CPU�ɑ��M���Ă��邱�Ƃ��킩��܂��B

VLAN�܂��̓��[�^ACL�̗�

���ɁAVLAN 1�̋@�\�}�l�[�W������\�������������܂��B

Switch# show fm vlan 1

Input VLAN Label:1

Output VLAN Label:0 (default)

Priority:normal

���ɁAshow fm vlan-label�C�l�[�u��EXEC�R�}���h�̏o�͗�������܂��B��̓A�N�Z�X �O���[�v�̓����Ɏ��s�������Ƃ��킩��܂��B

Switch# show fm vlan-label 1

Unloaded due to merge failure or lack of space:

InputAccessGroup

Merge Fail:input

Input Features:

Interfaces or VLANs: Vl1

Priority:normal

Vlan Map:(none)

Access Group:131, 6788 VMRs

Multicast Boundary:(none), 0 VMRs

Output Features:

Interfaces or VLANs:

Priority:low

Bridge Group Member:no

Vlan Map:(none)

Access Group:(none), 0 VMRs

���ɁAshow fm vlan-label�C�l�[�u��EXEC�R�}���h�̏o�͗�������܂��B��̓A�N�Z�X �O���[�v�Ɏg�p�ł���\���ȋ󂫗e�ʂ��n�[�h�E�F�A�ɂȂ����Ƃ��킩��܂��B

Switch# show fm vlan-label 1

Unloaded due to merge failure or lack of space:

InputAccessGroup

Input Features:

Interfaces or VLANs: Vl1

Priority:normal

Vlan Map:(none)

Access Group:bigone, 11 VMRs

Multicast Boundary:(none), 0 VMRs

Output Features:

Interfaces or VLANs:

Priority:low

Bridge Group Member:no

Vlan Map:(none)

Access Group:(none), 0 VMRs

���ɁAshow fm vlan-label�C�l�[�u��EXEC�R�}���h�̗�������܂��B���̏o�͂���A���̃��x���̓�̓A�N�Z�X �O���[�v�܂��͏o�̓A�N�Z�X �O���[�v�ɑ΂��ď\���ȋ󂫗e�ʂ��Ȃ����Ƃ��킩��܂��i�A�N�Z�X �O���[�v��2�‚̈قȂ�C���^�[�t�F�C�X�ɐݒ肳��Ă��܂��B���x���͓�͂���яo�͂Ɋւ��ȕʂɊ��蓖�Ă��܂��j�B

Switch# show fm label 1

Unloaded due to merge failure or lack of space:

InputAccessGroup OutputAccessGroup

Input Features:

Interfaces or VLANs: Vl1

Priority:normal

Vlan Map:(none)

Access Group:bigone, 11 VMRs

Multicast Boundary:(none), 0 VMRs

Output Features:

Interfaces or VLANs: Vl2

Priority:normal

Bridge Group Member:no

Vlan Map:(none)

Access Group:bigtwo, 11 VMRs

TCAM�̗��p��

show tcam�C�l�[�u��EXEC�R�}���h���g�p����ƁAACL��ݒ肷��O���TCAM�̋󂫗e�ʂ�\��������A����̃C���^�[�t�F�C�X�܂���VLAN�Ɋ��蓖�Ă��Ă���TCAM���̗e�ʂ𒲂ׂ邱�Ƃ��ł��܂��B

TCAM����ACL����͂���Ă���̈�̍��v�T�C�Y��\������ɂ́Ashow tcam size���g�p���܂��B

Switch# show tcam inacl 1 size

Ingress ACL TCAM Size:6592 Entries

���܂��܂�TCAM�̈�Ɋ��蓖�Ă�e�ʂ�ύX����ꍇ�́Asdm prefer�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B���̃R�}���h���g�p���āAACL�A���[�e�B���O�A�܂��̓��C��2�X�C�b�`���O�Ɋ��蓖�Ă郊�\�[�X�𑝂₷���Ƃ��ł��܂��B

��͂܂��͏o�͂�TCAM�̈�ɑ΂���show tcam statistics�R�}���h���͂���ƁA�}�X�N����уG���g���̊��蓖�ėʂƎg�p�”\�ʂ��\������邽�߁A����TCAM�̈悪�ǂ̒��x���p����Ă��邩���킩��܂��B���Ɏ����̂́A���̃R�}���h�̏o�͗�ł��B

Switch# show tcam inacl 1 statistics

Ingress ACL TCAM#1:Number of active labels:3

Ingress ACL TCAM#1:Number of masks allocated: 14, available: 810

Ingress ACL TCAM#1:Number of entries allocated: 17, available:6575

�C���^�[�t�F�C�X�܂���VLAN�ւ�ACL�̐ݒ�Ɏg�p�ł���TCAM�̗ʂ𔻒f����ɂ́A�܂�show fm interface�R�}���h�܂���show fm vlan�R�}���h���g�p���܂��B�����̃R�}���h�̏o�͂���A���̃|�[�g�܂���VLAN��ACL�ݒ�Ɏg�p�����|�[�g ���x���܂���VLAN���x���𔻕ʂ��邱�Ƃ��ł��܂��B����ɁAshow tcam port-label�R�}���h�܂���show tcam vlan-label�R�}���h���g�p����ƁA���̃��x���Ɋ��蓖�Ă��Ă���TCAM�̗e�ʂ��\������܂��BVLAN���x���̓��[�^ACL��VLAN�}�b�v�ɁA�|�[�g ���x���̓|�[�gACL�Ɏg�p����܂��B

Switch# show fm vlan 1

Input VLAN Label:1

Output VLAN Label:0 (default)

Priority:normal

Switch# show tcam inacl 1 vlan-labels 1

Label Value : 8193(vlan label 1)

Number of entries :779

Entry List

----------

Mask Index :4

F7 00 00 00 00 00 00 00 00 80 FF C0 00 C0 FF FF 00 00

Entry Index :32 Timestamp:1

96 00 00 00 00 00 00 00 00 80 01 40 00 80 00 01 00 00 As Data(hex) :00260086

Mask Index :5

F7 00 00 00 00 00 00 00 00 80 FF C0 00 C0 00 00 FF FF

Entry Index :33 Timestamp:4

96 00 00 00 00 00 00 00 00 80 01 40 00 80 00 00 00 B3 As Data(hex) :00260086

Mask Index :6

F5 00 00 00 00 E0 00 00 00 80 FF C0 00 C0 00 00 00 00

Entry Index :48 Timestamp:1

94 00 00 00 00 E0 00 00 00 80 01 40 00 80 00 00 00 00 As Data(hex) :00210086

Mask Index :7

F7 00 00 00 00 00 00 00 00 80 FF C0 00 C0 00 00 00 00

Entry Index :49 Timestamp:4

96 00 00 00 00 00 00 00 00 80 01 40 00 80 00 00 00 00 As Data(hex) :00210086

Mask Index :8

F5 00 00 00 00 00 00 00 00 80 FF C0 00 C0 00 00 00 00

Entry Index :64 Timestamp:1

�i�e�L�X�g�o�͂͏ȗ��j

Toolbar-jp

All contents copyright (C) 1992--2004 Cisco Systems K.K.