 |
���̏͂ł́AAccess Control List�iACL;�A�N�Z�X���䃊�X�g�j���g�p���āACatalyst 3750�X�C�b�`�Ƀl�b�g���[�N �Z�L�����e�B��ݒ肷���@�ɂ��Đ������܂��BACL�́A�R�}���h��e�[�u���ł̓A�N�Z�X ���X�g�Ƃ��Ăт܂��B���ɖ��L���Ȃ�������A �X�C�b�` �Ƃ����p��̓X�^���h�A���� �X�C�b�`����уX�C�b�` �X�^�b�N���Ӗ����܂��B
���̏͂Ő���������e�́A���̂Ƃ���ł��B
�p�P�b�g �t�B���^�����O���g�p����ƁA�l�b�g���[�N �g���t�B�b�N�𐧌�������A����̃��[�U��f�o�C�X�ɂ��l�b�g���[�N�̎g�p�𐧌����邱�Ƃ��ł��܂��BACL�̓��[�^�܂��̓X�C�b�`��ʉ߂���g���t�B�b�N���t�B���^�����O���A����̃C���^�[�t�F�C�X�܂���VLAN�Ńp�P�b�g�����A�܂��͋��ۂ��܂��BACL�́A�p�P�b�g�ɓK�p����鋖����ы��ۏ��������Ԃɕ��ׂ����̂ł��B�C���^�[�t�F�C�X�Ƀp�P�b�g�����M����ƁA�X�C�b�`�̓p�P�b�g�̃t�B�[���h���Y������ACL�Ɣ�r���AACL�Ŏw�肳��Ă�������Ɋ�Â��āA�p�P�b�g�ɑ��ē]����������Ă��邩�ǂ����������܂��B�p�P�b�g�́A�A�N�Z�X ���X�g���̏����ɑ���1���e�X�g����܂��B�ŏ��Ɍ���������v�����ɂ���āA�p�P�b�g��������邩�A�܂��͋��ۂ���邩�����܂�܂��B�X�C�b�`�́A�ŏ��̈�v��������ƃe�X�g���I������̂ŁA�A�N�Z�X ���X�g���̏����̏������d�v�ƂȂ�܂��B��v����������Ȃ��ꍇ�A�p�P�b�g�͋��ۂ���܂��B���Ȃ��ꍇ�A�X�C�b�`�̓p�P�b�g��]�����A������ꍇ�̓p�P�b�g��p��܂��B�X�C�b�`�́AVLAN���Ńu���b�W���O�����p�P�b�g���܂߂āA�X�C�b�`���O����邷�ׂẴp�P�b�g�̃A�N�Z�X�𐧌�ł��܂��B
�l�b�g���[�N�Ɋ�{�I�ȃZ�L�����e�B���ꍇ�́A���[�^�܂��̓��C��3�X�C�b�`�ɃA�N�Z�X ���X�g��ݒ肵�܂��BACL��ݒ肵�Ȃ��ƁA�X�C�b�`��ʉ߂��邷�ׂẴp�P�b�g���A�l�b�g���[�N���̂��ׂĂ̏ꏊ�ɓ]������邱�Ƃ�����܂��BACL���g�p����ƁA�l�b�g���[�N�̏ꏊ���ƂɃA�N�Z�X�\�ȃz�X�g�𐧌䂵����A���[�^ �C���^�[�t�F�C�X�œ]���܂��̓u���b�N�����g���t�B�b�N�̎�ނ����肷�邱�Ƃ��ł��܂��B���Ƃ��A�d�q���[�� �g���t�B�b�N�̓]���������āATelnet�g���t�B�b�N�̓]�����֎~���邱�Ƃ��\�ł��BACL�𒅐M�g���t�B�b�N�A���M�g���t�B�b�N�A�܂��͂��̗�����u���b�N����悤�ɐݒ肷�邱�Ƃ��ł��܂��B
ACL�ɂ�Access Control Entry�iACE;�A�N�Z�X����G���g���j�����ԂɋL�q����Ă��܂��B�eACE�́A���i permit �j�܂��͋��ہi deny �j�A�����ACE�ƈ�v���邽�߂Ƀp�P�b�g���������K�v������������w�肵�܂��B ���� �܂��� ���� �̈Ӗ��́AACL�̎g�p�ɉ����ĕς��܂��B
�X�C�b�`��IP ACL����уC�[�T�l�b�g�iMAC[���f�B�A �A�N�Z�X����]�jACL���T�|�[�g���܂��B
���̃X�C�b�`�́AQuality of Service�iQoS;�T�[�r�X�i���j����ACL���T�|�[�g���Ă��܂��B�ڍׂɂ��ẮA QoS ACL�Ɋ�Â����� ���Q�Ƃ��Ă��������B
�����ł́A���̓��e�ɂ��Đ������܂��B
�g���t�B�b�N���t�B���^�����O���邽�߁A���Ɏ���3��ނ�ACL���T�|�[�g����Ă��܂��B
�����X�C�b�`��Ń��[�^ACL�A��̓|�[�gACL�A�����VLAN�}�b�v�p�ł��܂��B�������A�|�[�gACL�̓��[�^ACL�܂���VLAN�}�b�v�����D�悳��܂��B
VLAN�ւ̃��C��3�C���^�[�t�F�C�X�ł���SVI�A�������C��3�C���^�[�t�F�C�X�A����у��C��3 EtherChannel�C���^�[�t�F�C�X�ɁA���[�^ACL��K�p���邱�Ƃ��ł��܂��B���[�^ACL�̓C���^�[�t�F�C�X�̓���̕��i���M�܂��͔��M�j�ɑ��ēK�p����܂��B1�̃C���^�[�t�F�C�X�̕��ƂɁA���[�^ACL��1�K�p���邱�Ƃ��ł��܂��B
1��ACL���������C���^�[�t�F�C�X�̕����̋@�\�Ɏg�p���邱�Ƃ��ł��܂��B�܂��A1�̋@�\�ɕ�����ACL���g�p���邱�Ƃ��ł��܂��B1�̃��[�^ACL���̋@�\�Ŏg�p����ꍇ�A���̃��[�^ACL�͕�����A�ƍ�����܂��B
�X�C�b�`�́A����̃C���^�[�t�F�C�X����ѕ��ɑ��Đݒ肳�ꂽ�@�\�Ɋ֘A�Â����Ă���ACL���ƍ����܂��B�p�P�b�g���X�C�b�`�̃C���^�[�t�F�C�X�ɒ��M����ƁA���̃C���^�[�t�F�C�X�ɐݒ肳��Ă��邷�ׂĂ̒��M�@�\�ɑΉ�����ACL���ƍ�����܂��B�p�P�b�g�����[�e�B���O����Ă���l�N�X�g�z�b�v�ɓ]�������܂ł̊ԂɁA�o�̓C���^�[�t�F�C�X�ɐݒ肳�ꂽ���M�@�\�ɑΉ����邷�ׂĂ�ACL���ƍ�����܂��B
ACL��ACL���̃G���g���ƃp�P�b�g�̈�v���ʂɉ����āA�p�P�b�g�]���������邩�A���ۂ��邩�����߂܂��BACL���g�p����ƁA�l�b�g���[�N�S�̂܂��̓l�b�g���[�N�̈ꕔ�ɑ���A�N�Z�X���䂪�s���܂��B ACL�ɂ��l�b�g���[�N �g���t�B�b�N�̐��� �ł́A���[�^�ւ̓�͂ɓK�p����Ă���ACL�ɂ��A�z�X�gA�͐l�����l�b�g���[�N�ւ̃A�N�Z�X��������܂����A�z�X�gB�͋��ۂ���܂��B
�|�[�gACL�́A�X�C�b�`�̃��C��2�C���^�[�t�F�C�X�ɓK�p�����ACL�ł��B�|�[�gACL���g�p�ł���̂́A�����C���^�[�t�F�C�X�����ł��BEtherChannel�C���^�[�t�F�C�X�ł͎g�p�ł��܂���B�|�[�gACL���C���^�[�t�F�C�X�ɓK�p�ł���̂́A���M���ɑ��Ă݂̂ł��B���C��2�C���^�[�t�F�C�X�ł́A���̃A�N�Z�X ���X�g���T�|�[�g����Ă��܂��B
���[�^ACL�Ɠ��l�A�X�C�b�`�̓C���^�[�t�F�C�X�ɐݒ肳��Ă���@�\�Ɋ֘A�Â����Ă���ACL���e�X�g���A�p�P�b�g��ACL���̃G���g���ƈ�v���邩�ǂ����ɂ���āA�p�P�b�g�̓]�������܂��͋��ۂ��܂��B���C��2�C���^�[�t�F�C�X�ŁAACL��K�p�ł���̂́A���M���ɑ��Ă݂̂ł��B ACL�ɂ��l�b�g���[�N �g���t�B�b�N�̐��� �̗�ł́A���ׂẴ��[�N�X�e�[�V����������VLAN���ɂ���ꍇ�A���C��2�̓�͂ɓK�p����Ă���ACL�ɂ���āA�z�X�gA�͐l�����l�b�g���[�N�ւ̃A�N�Z�X��������܂����A�z�X�gB�͋��ۂ���܂��B
�|�[�gACL���g�����N �|�[�g�ɓK�p����ƁA���̃g�����N �|�[�g�ɂ��邷�ׂĂ�VLAN��ACL�ɂ��g���t�B�b�N�̃t�B���^�����O�����s����܂��B����VLAN������|�[�g�Ƀ|�[�gACL��K�p����ƁA�f�[�^VLAN�Ɖ���VLAN�̗���ł���ACL�ɂ��g���t�B�b�N�̃t�B���^�����O�����s����܂��B
�|�[�gACL���g�p����ƁAIP�A�N�Z�X ���X�g���g�p����IP�g���t�B�b�N���t�B���^�����O���AMAC�A�h���X���g�p���Ĕ�IP�g���t�B�b�N���t�B���^�����O�ł��܂��B�������C��2�C���^�[�t�F�C�X��IP�A�N�Z�X ���X�g��MAC�A�N�Z�X ���X�g�𗼕�K�p����ƁA���̃��C��2�C���^�[�t�F�C�X��IP�g���t�B�b�N�Ɣ�IP�g���t�B�b�N���t�B���^�����O�ł��܂��B
VLAN ACL�܂���VLAN�}�b�v�́A ���ׂĂ� �g���t�B�b�N���A�N�Z�X���䂷�邱�Ƃ��ł��܂��BVLAN�Ƃ̊ԂŃ��[�e�B���O�����A�܂��̓X�^�b�N��VLAN���Ńu���b�W���O����� ���ׂẴp�P�b�g �ɁAVLAN�}�b�v��K�p���邱�Ƃ��ł��܂��BVLAN�}�b�v�́A�Z�L�����e�B �p�P�b�g �t�B���^�����O�Ɏg�p����܂��BVLAN�}�b�v�͕��i���M�܂��͔��M�j���Ƃɒ�`����܂���B
VLAN�}�b�v��ݒ肷��ƁAIP�g���t�B�b�N�̃��C��3�A�h���X�Əƍ����邱�Ƃ��ł��܂��B���ׂĂ̔�IP�v���g�R���́AMAC VLAN�}�b�v���g�p����MAC�A�h���X�����EtherType�ɂ���ăA�N�Z�X���䂳��܂��iIP�g���t�B�b�N�ɂ́AMAC VLAN�}�b�v�ɂ��A�N�Z�X���䂪 �s���܂��� �j�BVLAN�}�b�v�̓X�C�b�`��ʉ߂���p�P�b�g�ɂ̂ݓK�p�ł��܂��B�n�u�̃z�X�g�ԁA�܂��͂��̃X�C�b�`�ɐڑ����ꂽ�ʂ̃X�C�b�`�̃z�X�g�Ԃ�ʉ߂���g���t�B�b�N�ɂ́AVLAN�}�b�v��K�p�ł��܂���B
VLAN�}�b�v���g�p����ƁA�}�b�v�Ɏw�肳�ꂽ�A�N�V�����Ɋ�Â��ăp�P�b�g�̓]�������܂��͋��ۂ���܂��B VLAN�}�b�v�ɂ��g���t�B�b�N�̐��� �ɁAVLAN�}�b�v��K�p���āA����̃g���t�B�b�N �^�C�v��VLAN 10�̃z�X�gA����]���ł��Ȃ��悤�ɐݒ肷���������܂��B1��VLAN�ɓK�p�ł���VLAN�}�b�v�́A1�����ł��B
�l�b�g���[�N��ʉ߂���IP�p�P�b�g�͕����ł��܂��BIP�p�P�b�g������ƁA�p�P�b�g�̐擪���܂ރt���O�����g�ɂ̂݁ATCP�AUDP�|�[�g�ԍ��AICMP�^�C�v����уR�[�h�Ȃǂ̃��C��4��i�[����܂��B���̑��̂��ׂẴt���O�����g�ɂ́A���̏�i�[����܂���B
�ꕔ��ACE�ł̓��C��4��m�F����Ȃ����߁A���̂悤��ACE�͂��ׂẴp�P�b�g �t���O�����g�ɓK�p����܂��B�ʏ�̕�@�ł́A���C��4�����e�X�g����ACE���A�������ꂽIP�p�P�b�g�̂قƂ�ǂ̃t���O�����g�ɓK�p�ł��܂���B���C��4��i�[����Ă��Ȃ��t���O�����g�ɑ��ă��C��4��e�X�g�����ꍇ�A��v�K���͎��̂悤�ɕύX����܂��B
���̃R�}���h�Őݒ肵�A3�̕����p�P�b�g�ɓK�p�����access-list 102�̗���ȉ��Ɏ����܂��B
Switch(config)# access-list 102 permit tcp any host 10.1.1.1 eq smtp
Switch(config)# access-list 102 deny tcp any host 10.1.1.2 eq telnet
Switch(config)# access-list 102 permit tcp any host 10.1.1.2
Switch(config)# access-list 102 deny tcp any any
�ŏ��̃t���O�����g�����ۂ���Ă��邽�߁A�z�X�g10.1.1.2�͊��S�ȃp�P�b�g���č\�z�ł��܂���B���������āA���ۂɂ̓p�P�b�gB�͋��ۂ���܂��B�������A�z�X�g10.1.1.2���p�P�b�g���č\�z���悤�Ƃ���Ƃ��A�����ꂽ�t���O�����g�ɂ���ăl�b�g���[�N�ш敝�Ƃ��̃z�X�g�̃��\�[�X�������܂��B
�X�C�b�` �X�^�b�N��ACL�T�|�[�g�@�\�́A�X�^���h�A���� �X�C�b�`�̏ꍇ�Ɠ����ł��BACL�̐ݒ���́A�X�^�b�N���̂��ׂẴX�C�b�`�ɓ`�d����܂��B�X�^�b�N �}�X�^�[���܂ރX�^�b�N���̂��ׂẴX�C�b�`�́A�����������A�n�[�h�E�F�A���v���O���~���O���܂��i�X�C�b�` �X�^�b�N�̏ڍׂɂ��ẮA �X�C�b�` �X�^�b�N�̊Ǘ� ���Q�Ɓj�B
�X�^�b�N �}�X�^�[�́A���Ɏ���ACL�@�\�����s���܂��B
�X�^�b�N �����o�[�́A���Ɏ���ACL�@�\�����s���܂��B
�X�^�b�N �}�X�^�[�ɏ�Q���������A�V�K�X�^�b�N �}�X�^�[���I�����ꂽ�ꍇ�A�V�K�ɑI�����ꂽ�}�X�^�[�̓o�b�N�A�b�v���ꂽ���s�R���t�B�M�����[�V��������͂������܂��i �X�C�b�` �X�^�b�N�̊Ǘ� ���Q�Ɓj�B���s�R���t�B�M�����[�V�����̈ꕔ�ł���ACL�ݒ���A���̎��ɉ�͂�������܂��B�V�K�X�^�b�N �}�X�^�[�́AACL�����X�^�b�N���̂��ׂẴX�C�b�`�ɔz�M���܂��B
�X�C�b�`��IP ACL��ݒ肷��菇�́A�V�X�R���X�C�b�`����у��[�^��IP ACL��ݒ肷��ꍇ�Ɠ����ł��B���̎菇���ȒP�ɐ������܂��BACL�̐ݒ�̏ڍׂɂ��ẮA�w Cisco IP and IP Routing Configuration Guide for IOS �xRelease 12.1�̏́uConfiguring IP Services�v���Q�Ƃ��Ă��������B�R�}���h�̏ڍׂɂ��ẮA�w Cisco IOS IP and IP Routing Command Reference for IOS �xRelease 12.1���Q�Ƃ��Ă��������B
�X�C�b�`�́A����Cisco IOS���[�^ACL�֘A�@�\���T�|�[�g���܂���B
�X�C�b�`���IP ACL���g�p����菇�́A���̂Ƃ���ł��B
�����ł́AIP ACL�ɂ��Đ������܂��BACL�͋�����ы��ۏ��������ɕ��ׂ����̂ł��B�p�P�b�g�́AACL���̏����ɑ���1���ƍ�����܂��B�ŏ��Ɍ���������v�����ɂ���āA�p�P�b�g��������邩�A�܂��͋��ۂ���邩�����܂�܂��B�ŏ��̈�v��������Ə����̃e�X�g���I������̂ŁA�����̏������d�v�ƂȂ�܂��B��v����������Ȃ��ꍇ�A�p�P�b�g�͋��ۂ���܂��B
�\�t�g�E�F�A�͎��Ɏ���ACL�^�C�v�A�܂���IP�̃A�N�Z�X ���X�g���T�|�[�g���܂��B
�����ł́A�A�N�Z�X ���X�g�̊T�v����э쐬��@�ɂ��Đ������܂��B
ACL��\���ԍ��́A�쐬���Ă���A�N�Z�X ���X�g�̃^�C�v�������܂��B �A�N�Z�X ���X�g�ԍ� �ɁA�A�N�Z�X ���X�g�ԍ�����ёΉ�����A�N�Z�X���X�g �^�C�v�A�X�C�b�`�ł̃A�N�Z�X ���X�g�ɑ���T�|�[�g�̗L���������܂��B�X�C�b�`�ł́AIP�W�������IP�g���A�N�Z�X ���X�g���T�|�[�g����Ă��܂��i�ԍ���1�`199�A1300�`2699�j�B
�ԍ��w��̕W��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
ACL�S�̂��폜����ɂ́A no access-list access-list-number �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�ԍ��w��̃A�N�Z�X ���X�g����́AACE���ʂɍ폜�ł��܂���B
���ɁAIP�z�X�g171.69.198.102�ւ̃A�N�Z�X�����ۂ��Ă���ȊO�̃A�h���X�ւ̃A�N�Z�X�������A���̌��ʂ�\������W��ACL�̍쐬��������܂��B
Switch (config)# access-list 2 deny host 171.69.198.102
Switch (config)# access-list 2 permit any
host ��v�������w�肳�ꂽ�G���g���A�����0.0.0.0�̖����i dont care �j�}�X�N���w�肳�ꂽ�G���g�����A���X�g�̐擪�i�[���ȊO�� ���� �}�X�N���w�肳�ꂽ�A���ׂẴG���g���̏�j�ɗ���悤�ɁA�W���A�N�Z�X ���X�g�̏����������������܂��B���������āA show �R�}���h�̏o�͂���уR���t�B�M�����[�V���� �t�@�C���ŁAACE�͕K��������͂������Ԃɕ\������܂���B
�W��IP�A�N�Z�X ���X�g�ɂ���ċ��܂��͋��ۂ��ꂽ�p�P�b�g�Ɋւ��郍�O ���b�Z�[�W���A�X�C�b�`�̃\�t�g�E�F�A�ɂ���ĕ\������܂��B�܂�AACL�ƈ�v����p�P�b�g���������ꍇ�́A���̃p�P�b�g�Ɋւ��郍�O�ʒm���b�Z�[�W���R���\�[���ɑ��M����܂��B�R���\�[���ɕ\������郁�b�Z�[�W�̃��x���́ASyslog���b�Z�[�W�𐧌䂷�郍�M���O �R���\�[�� �R�}���h�Ő��䂳��܂��B
ACL���N�������ŏ��̃p�P�b�g�ɂ��ẮA���O ���b�Z�[�W�������ɕ\������܂����A����ȍ~�̃p�P�b�g�ɂ��ẮA5���Ԃ̎�W���Ԃ��o�߂��Ă���\���܂��̓��M���O����܂��B���O ���b�Z�[�W�ɂ̓A�N�Z�X ���X�g�ԍ��A�p�P�b�g�̋��܂��͋��ۂɊւ���A�p�P�b�g�̑��M��IP�A�h���X�A����ђ��O��5���Ԃɋ��܂��͋��ۂ��ꂽ���M������̃p�P�b�g����������܂��B
�쐬�����ԍ��w��̕W��IP ACL�́A�[�����i �[�����ւ�IP ACL�̓K�p ���Q�Ɓj�A�C���^�[�t�F�C�X�i �C���^�[�t�F�C�X�ւ�IP ACL�̓K�p ���Q�Ɓj�A�܂���VLAN�i VLAN�}�b�v�̐ݒ� ���Q�Ɓj�ɓK�p�ł��܂��B
�W��ACL�̏ꍇ�A��v��ɂ͑��M���A�h���X�݂̂��g�p����܂����A�g��ACL�̏ꍇ�́A��v�����ɑ��M���A�h���X����ш���A�h���X���g�p������A�I�v�V�����̃v���g�R�� �^�C�v�����g�p���Ă��ו��ɂ킽�鐧����s�����Ƃ��ł��܂��B�ԍ��w��̊g��ACL���쐬�������ACE��V���ɍ쐬����Ƃ��́A���X�g�̖����ɐV����ACE���z�u����邱�Ƃɒ��ӂ��Ă��������B���X�g���Ăѕ��בւ�����A�ԍ����w�肳�ꂽACL�̓���̈ʒu��ACE��lj��܂��͍폜���邱�Ƃ͂ł��܂���B
�ꕔ�̃v���g�R���ɂ́A��p�̃p�����[�^����уL�[���[�h���g�p���邱�Ƃ��ł��܂��B
����IP�v���g�R�����T�|�[�g����܂��i�v���g�R�� �L�[���[�h�̓J�b�R���̑����j�B
Authentication Header Protocol�i ahp �j�AEnhanced Interior Gateway Routing Protocol�i eigrp �j�AEncapsulation Security Payload�i esp �j�AGeneric Routing Encapsulation�i gre �j�AInternet Control Message Protocol�i icmp �j�AInternet Group Management Protocol�i igmp �j�AInterior Gateway Routing Protocol�i igrp �j�A�C�ӂ�Interior Protocol�i ip �j�AIP in IP�g���l�����O�i ipinip �j�AKA9Q NOS�݊�IP over IP�g���l�����O�i nos �j�AOpen Shortest Path First���[�e�B���O�i ospf �j�APayload Compression Protocol�i pcp �j�AProtocol Independent Multicast�i pim �j�ATCP�i tcp �j�A�܂���UDP�i udp �j
�e�v���g�R���Ɋ֘A����L�[���[�h�̏ڍׂɂ��ẮA�w Cisco IP and IP Routing Command Reference IOS �xRelease 12.1���Q�Ƃ��Ă��������B
�T�|�[�g����Ă���p�����[�^�́ATCP�AUDP�AICMP�AIGMP�A�܂��͑���IP�́A�����ꂩ�̃J�e�S���ɃO���[�v�����ł��܂��B
|
access-list access-list-number { deny | permit } protocol source source-wildcard destination destination-wildcard [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [ log-input ] [ time-range time-range-name ] [ dscp dscp ] |
�g��IP�A�N�Z�X ���X�g����уA�N�Z�X�������`���܂��B access-list-number ��100�`199�܂���2000�`2699��10�i���ł��B ��������v����ꍇ�Ƀp�P�b�g�����ۂ��邩�����邩���w�肷�邽�߁A deny �܂��� permit ���͂��܂��B protocol �ɂ́AIP�v���g�R���̖��O�܂��͔ԍ��i ahp �A eigrp �A esp �A gre �A icmp �A igmp �A igrp �A ip �A ipinip �A nos �A ospf �A pcp �A pim �A tcp �A udp �j�A�܂���IP�v���g�R���ԍ���\��0�`255�̐������g�p�ł��܂��B���ׂẴC���^�[�l�b�g �v���g�R���iICMP�ATCP�AUDP���܂ށj�ƈ�v������ꍇ�́A�L�[���[�h ip ���g�p���܂��B 
source �̓p�P�b�g�̑��M���ł���l�b�g���[�N�܂��̓z�X�g�̔ԍ��ł��B source-wildcard ���w�肷��ƁA���M���Ƀ��C���h�J�[�h �r�b�g���K�p����܂��B destination �̓p�P�b�g�̈���ƂȂ�l�b�g���[�N�܂��̓z�X�g�̔ԍ��ł��B destination-wildcard ���w�肷��ƁA����Ƀ��C���h�J�[�h �r�b�g���K�p����܂��B source�Asource-wildcard�Adestination�Adestination-wildcard�́A����3�̕�@�Ŏw�肷�邱�Ƃ��ł��܂��B
���̑��̃L�[���[�h�͔C�ӂŁA�Ӗ��͎��̂Ƃ���ł��B
|
|
|
access-list access-list-number { deny | permit } protocol any any [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [ log-input ] [ time-range time-range-name ] [ dscp dscp ] |
�A�N�Z�X ���X�g �R���t�B�M�����[�V���� ���[�h�ŁA���M���Ƒ��M�����C���h�J�[�h�̒l0.0.0.0 255.255.255.255�̒Z�k�`���g�p���邩�A�܂��͈���ƈ��惏�C���h�J�[�h�̒l0.0.0.0 255.255.255.255�̒Z�k�`���g�p���A�g��IP�A�N�Z�X ���X�g���`���܂��B ���M��/����A�h���X�ƃ��C���h�J�[�h�̑���ɁA any �L�[���[�h���g�p�ł��܂��B |
|
|
access-list access-list-number { deny | permit } protocol host source host destination [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [ log-input ] [ time-range time-range-name ] [ dscp dscp ] |
���M���Ƒ��M�����C���h�J�[�h�̒l source 0.0.0.0�̒Z�k�`���g�p���邩�A�܂��͈���ƈ��惏�C���h�J�[�h�̒l destination 0.0.0.0�̒Z�k�`���g�p���A�g��IP�A�N�Z�X ���X�g���`���܂��B ���M���ƈ���̃��C���h�J�[�h�܂��̓}�X�N�̑���ɁA host �L�[���[�h���g�p�ł��܂��B |
|
|
access-list access-list-number { deny | permit } tcp source source-wildcard [ operator port ] destination destination-wildcard [ operator port ] [ established ] [ precedence precedence ] [ tos tos] [ fragments ] [ log ] [ log-input ] [ time-range time-range-name ] [ dscp dscp ] [ flag ] |
�i�C�Ӂj�g��TCP�A�N�Z�X ���X�g����уA�N�Z�X�������`���܂��B ���Ɏ�����O�������A�X�e�b�v2a�Ő�������p�����[�^�Ɠ����p�����[�^���g�p���܂��B �i�C�Ӂj operator ����� port ���͂���ƁA���M���|�[�g�i source source-wildcard �̌�ɓ�͂����ꍇ�j�܂��͈���|�[�g�i destination destination-wildcard �̌�ɓ�͂����ꍇ�j����r����܂��B�g�p�\�ȉ��Z�q�� eq �i�������j�A gt �i���傫���j�A lt �i��菬�����j�A neq �i�������Ȃ��j�A range �i��ܔ͈́j�Ȃǂł��B���Z�q�ɂ̓|�[�g�ԍ����w�肷��K�v������܂��i range �̏ꍇ��2�̃|�[�g�ԍ����X�y�[�X�ŋ���Ďw�肷��K�v������܂��j�B port �Ƀ|�[�g�ԍ���10�i���i0�`65535�j�Ƃ��ē�͂��邩�A�܂���TCP�|�[�g�����͂��܂��BTCP�|�[�g����\������ꍇ�́A�^�╄�i?�j���g�p���܂��B�܂��́w Cisco IOS IP and IP Routing Command Reference for IOS �xRelease 12.1�́uConfiguring IP Services�v���Q�Ƃ��Ă��������BTCP���t�B���^�����O����Ƃ��́ATCP�|�[�g�̔ԍ��܂��͖��O�݂̂��g�p���܂��B |
|
|
access-list access-list-number { deny | permit } udp source source-wildcard [ operator port ] destination destination-wildcard [ operator port ] [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [log-input] [ time-range time-range-name ] [ dscp dscp ] |
�i�C�Ӂj�g��UDP�A�N�Z�X ���X�g����уA�N�Z�X�������`���܂��B UDP�p�����[�^��TCP�Ɋւ��Đ�������Ă���p�����[�^�Ɠ����ł��B�������A[ operator [ port ]]�̃|�[�g�ԍ��܂��̓|�[�g���́AUDP�|�[�g�̔ԍ��܂��͖��O�Ƃ��܂��BUDP�̏ꍇ�A flag ����� established �p�����[�^�͖���ł��B |
|
|
access-list access-list-number { deny | permit } icmp s ource source-wildcard destination destination-wildcard [ icmp-type | [[ icmp-type icmp-code ] | [ icmp-message ]] [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [log-input] [ time-range time-range-name ] [ dscp dscp ] |
�i�C�Ӂj�g��ICMP�A�N�Z�X ���X�g����уA�N�Z�X�������`���܂��B ICMP�p�����[�^�̓X�e�b�v2a��IP�v���g�R���Ő�������Ă���p�����[�^�Ɠ����ł����AICMP���b�Z�[�W �^�C�v�ƃR�[�h �p�����[�^���lj�����Ă��܂��B�I�v�V�����̃L�[���[�h�̈Ӗ��͎��̂Ƃ���ł��B
|
|
|
access-list access-list-number { deny | permit } igmp source source-wildcard destination destination-wildcard [ igmp-type ] [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [log-input] [ time-range time-range-name ] [ dscp dscp ] |
�i�C�Ӂj�g��IGMP�A�N�Z�X ���X�g����уA�N�Z�X�������`���܂��B IGMP�p�����[�^�̓X�e�b�v2a��IP�v���g�R���Ő�������Ă���p�����[�^�Ɠ����ł����A���Ɏ����p�����[�^���lj�����Ă��܂��B igmp-type �\ IGMP���b�Z�[�W �^�C�v�Ɣ�r����ɂ́A0�`15�̔ԍ��܂��̓��b�Z�[�W���i dvmrp �A host-query �A host-report �A pim �A�܂��� trace �j���͂��܂��B |
|
�A�N�Z�X ���X�g�S�̂��폜����ɂ́A no access-list access-list-number �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�ԍ��w��̃A�N�Z�X ���X�g����́AACE���ʂɍ폜�ł��܂���B
���ɁA�l�b�g���[�N171.69.198.0���̔C�ӂ̃z�X�g����l�b�g���[�N172.20.52.0���̔C�ӂ̃z�X�g�ւ�Telnet�A�N�Z�X�����ۂ��A����ȊO�̃A�N�Z�X��������g���A�N�Z�X ���X�g���쐬�A�\�������������܂��i eq �L�[���[�h������A�h���X�̌�Ɏw�肷��ƁATelnet�ɑΉ�����TCP����|�[�g�ԍ����e�X�g����܂��j�B
Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
Switch(config)# access-list 102 permit tcp any any
deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
ACL���쐬���ꂽ��ɒlj����ꂽACE�i�[�������͂��ꂽACE�Ȃǁj�́A���X�g�̖����ɔz�u����܂��B�ԍ����w�肳�ꂽ�A�N�Z�X ���X�g�̓���̈ʒu��ACE��lj��܂��͍폜���邱�Ƃ͂ł��܂���B
�쐬�����ԍ��w��̊g��ACL�́A�[�����i �[�����ւ�IP ACL�̓K�p ���Q�Ɓj�A�C���^�[�t�F�C�X�i �C���^�[�t�F�C�X�ւ�IP ACL�̓K�p ���Q�Ɓj�A�܂���VLAN�i VLAN�}�b�v�̐ݒ� ���Q�Ɓj�ɓK�p�ł��܂��B
IP ACL�́A�ԍ��łȂ��p�����i���O�j�Ŏw�肷�邱�Ƃ��ł��܂��B���O�w���ACL���g�p����ƁA�ԍ��w��̃A�N�Z�X ���X�g�̏ꍇ��葽����IP�A�N�Z�X ���X�g�����[�^�ɐݒ�ł��܂��B�A�N�Z�X ���X�g��ԍ��łȂ����O�Ŏw�肷��ꍇ�́A���[�h����уR�}���h�\������قȂ�܂��B�������AIP�A�N�Z�X ���X�g���g�p���邷�ׂẴR�}���h�ŁA���O�w��̃A�N�Z�X ���X�g���g�p�ł���Ƃ͌���܂���B
���O�w���ACL��ݒ肷��O�ɁA���Ɏ������ӎ�������ѐ����������l�����Ă��������B
���O�w��̕W��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
���O�w��̕W��ACL���폜����ɂ́A no ip access-list standard name �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���O���g�p���Ċg��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
|
���O���g�p���Ċg��IP�A�N�Z�X ���X�g���`���A�A�N�Z�X ���X�g �R���t�B�M�����[�V���� ���[�h���J�n���܂��B |
||
|
{ deny | permit } protocol { source [ source-wildcard ] | host source | any } { destination [ destination-wildcard ] | host destination | any } [ precedence precedence ] [ tos tos ] [ established ] [ log ] [ time-range time-range-name ] |
�A�N�Z�X���X�g �R���t�B�M�����[�V���� ���[�h�ŁA���܂��͋��ۂ̏������w�肵�܂��B log �L�[���[�h���g�p����ƁA�ᔽ���܂ރA�N�Z�X ���X�g�̃��O ���b�Z�[�W���擾�ł��܂��B �v���g�R������т��̑��L�[���[�h�̒�`�ɂ��ẮA �ԍ��w��g��ACL�̍쐬 ���Q�Ƃ��Ă��������B |
|
���O�w��̊g��ACL���폜����ɂ́A no ip access-list extended name �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
�W���܂��͊g��ACL���쐬����Ƃ��́AACL�̖����ɈÖٓI�ȋ��ۃX�e�[�g�����g���f�t�H���g�ő��݂��A����ȑO�̃X�e�[�g�����g�ň�v��������Ȃ��������ׂẴp�P�b�g�ɓK�p����邱�Ƃɒ��ӂ��Ă��������B�W��ACL�ł́A�Ή�����IP�z�X�g �A�h���X�̃A�N�Z�X ���X�g���w�肷��Ƃ��Ƀ}�X�N���ȗ�����ƁA0.0.0.0���}�X�N�Ƃ��Ďg�p����܂��B
ACL���쐬������ɒlj����ꂽACE�́A���X�g�̖����ɔz�u����܂��B�����ACL�ł͌ʂ�ACE�G���g����lj����邱�Ƃ͂ł��܂���B�������A no permit ����� no deny �A�N�Z�X���X�g �R���t�B�M�����[�V���� ���[�h �R�}���h���g�p����ƁA���O�w���ACL����G���g�����폜���邱�Ƃ��ł��܂��B���ɁA���O�w��̃A�N�Z�X ���X�g border-list ����ACE���ʂɍ폜�����������܂��B
Switch(config)# ip access-list extended border-list
Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any
�ԍ��w���ACL�ł͂Ȃ��A���O�w���ACL���g�p���邱�ƂŁA���O�w���ACL����s���ʂɍ폜���邱�Ƃ��\�ƂȂ�܂��B
�쐬�������O�w���ACL�̓C���^�[�t�F�C�X�i �C���^�[�t�F�C�X�ւ�IP ACL�̓K�p ���Q�Ɓj�܂���VLAN�i VLAN�}�b�v�̐ݒ� ���Q�Ɓj�ɓK�p�ł��܂��B
�j���ю����Ɋ�Â��Ċg��ACL��I��I�ɓK�p����ɂ́A time-range �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�ŏ��Ɏ��Ԕ͈̖͂��O���`���A���Ԕ͈͂̎����A��t�A�܂��͗j���ݒ肵�܂��B���ɁAACL��K�p����Ƃ��Ɏ��Ԕ͈͖����͂��A�A�N�Z�X ���X�g�ɐ�����K�p���܂��B���Ԕ͈͂��g�p���邱�ƂŁAACL�̋��X�e�[�g�����g�܂��͋��ۃX�e�[�g�����g���L��Ȏ��ԁi�w���ԓ��A�w��j��Ȃǁj���`���邱�Ƃ��ł��܂��B time-range �L�[���[�h����ш�ɂ��ẮA�O�q�� �W������ъg��IP ACL�̍쐬 ����� ���O�w��̕W������ъg��ACL�̍쐬 �ɋL�ڂ���Ă���A���O�w�肨��єԍ��w��̊g��ACL�̃^�X�N�\���Q�Ƃ��Ă��������B
���Ԕ͈͂��g�p���闘�_�̈ꕔ�����Ɏ����܂��B
���ԃx�[�X�̃A�N�Z�X ���X�g���g�p����ƁACPU�ɕ��ׂ������܂��B����́A�A�N�Z�X ���X�g�̐V�K�ݒ�𑼂̋@�\��ATernary Content Addressable Memory�iTCAM�j�Ƀ��[�h���ꂽ�����ς݂̐ݒ�Ɠ�������K�v�����邽�߂ł��B���̂��߁A�����̃A�N�Z�X ���X�g���Z��ԂɘA�����āi�݂��ɐ����ȓ��Ɂj�L��ƂȂ�悤�Ȑݒ���s��Ȃ��悤�ɁA���ӂ���K�v������܂��B
ACL��time-range�p�����[�^��ݒ肷��ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
�قȂ鎞���ɗL��ƂȂ�悤�ɐݒ肷�鍀�ڂ���������ꍇ�́A���̃X�e�b�v���J��Ԃ��܂��B
�ݒ肳�ꂽ���Ԕ͈͂̐������폜����ɂ́A no time-range time-range-name �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���ɁA�c�Ǝ��ԁi workhours �j����щ�Ђ̋x�Ɠ��\�����Ԕ͈͂�ݒ肵�A���̐ݒ���m�F�����������܂��B
Switch(config)# time-range workhours
Switch(config-time-range)# periodic weekdays 8:00 to 12:00
Switch(config-time-range)# periodic weekdays 13:00 to 17:00
Switch(config-time-range)# exit
Switch(config)# time-range new_year_day_2003
Switch(config-time-range)# absolute start 00:00 1 Jan 2003 end 23:59 1 Jan 2003
Switch(config-time-range)# exit
Switch(config)# time-range thanksgiving_2003
Switch(config-time-range)# absolute start 00:00 27 Nov 2003 end 23:59 28 Nov 2003
Switch(config-time-range)# exit
Switch(config)# time-range christmas_2003
Switch(config-time-range)# absolute start 00:00 24 Dec 2003 end 23:50 25 Dec 2003
Switch(config-time-range)# end
time-range entry: christmas_2003 (inactive)
absolute start 00:00 24 December 2003 end 23:50 25 December 2003
time-range entry: new_year_day_2003 (inactive)
absolute start 00:00 01 January 2003 end 23:59 01 January 2003
time-range entry: thanksgiving_2000 (inactive)
absolute start 00:00 22 November 2003 end 23:59 23 November 2003
time-range entry: workhours (inactive)
periodic weekdays 8:00 to 12:00
periodic weekdays 13:00 to 17:00
���Ԕ͈͂�K�p����ɂ́A���Ԕ͈͂����s�ł���g��ACL���ɁA���Ԕ͈͖����͂��܂��B���ɁA��`���ꂽ�x��ɔC�ӂ̑��M������C�ӂ̈���ɑ��M�����TCP�g���t�B�b�N�����ۂ��A�c�Ǝ��Ԓ��ɂ��ׂĂ�TCP�g���t�B�b�N��������g���A�N�Z�X ���X�g188���쐬�A�m�F�����������܂��B
Switch(config)# access-list 188 deny tcp any any time-range new_year_day_2003
Switch(config)# access-list 188 deny tcp any any time-range thanskgiving_2003
Switch(config)# access-list 188 deny tcp any any time-range christmas_2003
Switch(config)# access-list 188 permit tcp any any time-range workhours
deny tcp any any time-range new_year_day_2003 (inactive)
deny tcp any any time-range thanskgiving_2003 (active)
deny tcp any any time-range christmas_2003 (inactive)
permit tcp any any time-range workhours (inactive)
���ɁA���O�w���ACL���g�p���āA�����g���t�B�b�N��������ы��ۂ����������܂��B
Switch(config)# ip access-list extended deny_access
Switch(config-ext-nacl)# deny tcp any any time-range new_year_day_2003
Switch(config-ext-nacl)# deny tcp any any time-range thanksgiving_2003
Switch(config-ext-nacl)# deny tcp any any time-range christmas_2003
Switch(config)# ip access-list extended may_access
Switch(config-ext-nacl)# permit tcp any any time-range workhours
Extended IP access list deny_access
deny tcp any any time-range new_year_day_2003 (inactive)
deny tcp any any time-range thanksgiving_2003 (inactive)
deny tcp any any time-range christmas_2003 (inactive)
Extended IP access list may_access
permit tcp any any time-range workhours (inactive)
remark �L�[���[�h���g�p����ƁA�G���g���Ɋւ���R�����g�i���l�j��C�ӂ�IP�W������ъg��ACL�ɒlj����邱�Ƃ��ł��܂��B�R�����g��lj�����ƁAACL�̔c������ё��������ȒP�ɂȂ�܂��B�e�R�����g�s�ɂ́A100�����܂œ�͂ł��܂��B
�R�����g�͋��X�e�[�g�����g�܂��͋��ۃX�e�[�g�����g�̑O��Ɏw��ł��܂��B�R�����g�ɑΉ����鋖�X�e�[�g�����g�܂��͋��ۃX�e�[�g�����g�����m�ɂȂ�悤�ɁA�R�����g�̋L�q�ʒu�ꂷ��K�v������܂��B����������邽�߁A���Ƃ��A���X�e�[�g�����g�܂��͋��ۃX�e�[�g�����g�̑O�ɋL�q����Ă���R�����g�ƁA�X�e�[�g�����g�̌�ɋL�q����Ă���R�����g�����݂��Ȃ��悤�ɂ��܂��B
�ԍ��w���IP�W���܂��͊g��ACL�ɃR�����g��}���ɂ́A access-list access-list number remark remark �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�R�����g���폜����ɂ́A��L�̃R�}���h�� no �`�����g�p���܂��B
���̗�ł́AJones�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋�����Ă��܂����ASmith�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋֎~����Ă��܂��B
Switch(config)# access-list 1 remark Permit only Jones workstation through
Switch(config)# access-list 1 permit 171.69.2.88
Switch(config)# access-list 1 remark Do not allow Smith workstation through
Switch(config)# access-list 1 deny 171.69.3.13
���O�w���IP ACL�ɃG���g������ꍇ�́A remark �A�N�Z�X ���X�g �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�R�����g���폜����ɂ́A��L�̃R�}���h�� no �`�����g�p���܂��B
���̗�ł́AJones�̃T�u�l�b�g�͔��MTelnet�̎g�p���֎~����Ă��܂��B
Switch(config)# ip access-list extended telnetting
Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out
Switch(config-ext-nacl)# deny tcp host 171.69.2.88 any eq telnet
�ԍ��w���ACL���g�p����ƁA1�܂��͕����̒[�����ւ̃A�N�Z�X�𐧌�ł��܂��B�[�����ɂ͖��O�w���ACL��K�p�ł��܂���B���ׂẲ��z�[�����Ƀ��[�U���ڑ�����\�������邽�߁A���ׂẲ��z�[�����ɓ���̐�����ݒ肷��K�v������܂��B
�C���^�[�t�F�C�X��ACL��K�p����菇�ɂ��ẮA �C���^�[�t�F�C�X�ւ�IP ACL�̓K�p ���Q�Ƃ��Ă��������BVLAN��ACL��K�p����菇�ɂ��ẮA VLAN�}�b�v�̐ݒ� ���Q�Ƃ��Ă��������B
ACL���̃A�h���X�Ɖ��z�[�����Ƃ̊Ԃ̒��M�ڑ�����є��M�ڑ��𐧌�����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
�[������ACL���폜����ɂ́A no access-class access-list-number { in | out }���C�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
�����ł́A�l�b�g���[�N �C���^�[�t�F�C�X��IP ACL��K�p����菇�ɂ��Đ������܂��B���C��3�C���^�[�t�F�C�X�̏ꍇ�́AACL�𒅐M�܂��͔��M�̂����ꂩ�̕��ɓK�p�ł��܂��B���C��2�C���^�[�t�F�C�X�̏ꍇ�́AACL�𒅐M���ɂ̂ݓK�p�ł��܂��B���̒��ӎ������l�����Ă��������B
�C���^�[�t�F�C�X�ւ̃A�N�Z�X�𐧌䂷��ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
�w�肳�ꂽ�A�N�Z�X �O���[�v���폜����ɂ́A no ip access-group { access-list-number | name } { in | out }�C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���ɁA�X�^�b�N �����o�[1�̃C���^�[�t�F�C�XGigabitEthernet 1/0/3�ɃA�N�Z�X ���X�g2��K�p���A�C���^�[�t�F�C�X�ɓ��p�P�b�g���t�B���^�����O�����������܂��B
Switch(config)# interface gigabitethernet1/0/3
Router(config-if)# ip access-group 2 in
���MACL�̏ꍇ�A�p�P�b�g�̎�M��X�C�b�`�̓p�P�b�g��ACL�Əƍ����܂��BACL�ɂ���ăp�P�b�g�������ꂽ�ꍇ�́A�p�P�b�g�̏��������s����܂��B���ۂ��ꂽ�ꍇ�A�p�P�b�g�͔p���܂��B
���MACL�̏ꍇ�A�p�P�b�g����M������ΏۃC���^�[�t�F�C�X�Ƀ��[�e�B���O������A�X�C�b�`�̓p�P�b�g��ACL�Əƍ����܂��BACL�ɂ���ăp�P�b�g�������ꂽ�ꍇ�A�p�P�b�g�͑��M����܂��B���ۂ��ꂽ�ꍇ�A�p�P�b�g�͔p���܂��B
�f�t�H���g�ł́A�p�P�b�g���p��ꂽ�ꍇ�́A���̌�������̓C���^�[�t�F�C�X��ACL�܂��͔��M�C���^�[�t�F�C�X��ACL�̂�����ł����Ă��A��ɓ�̓C���^�[�t�F�C�X����ICMP���B�s�\���b�Z�[�W�����M����܂��BICMP���B�s�\���b�Z�[�W�͒ʏ�A��̓C���^�[�t�F�C�X1�ɂ��A0.5�b���Ƃ�1������������܂��B�������A���̐ݒ�� ip icmp rate-limit unreachable �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���ĕύX���邱�Ƃ��ł��܂��B
����`��ACL���C���^�[�t�F�C�X�ɓK�p����ƁA�X�C�b�`��ACL���C���^�[�t�F�C�X�ɓK�p����Ă��Ȃ��Ɣ��f���ď������s���A���ׂẴp�P�b�g��������܂��B�l�b�g���[�N �Z�L�����e�B�̂��߁A����`��ACL���g�p����ꍇ�͒��ӂ��Ă��������B
ACL�͎�Ƀn�[�h�E�F�A�ŏ�������܂����A�ꕔ�̃g���t�B�b�N��CPU�ɓ]�����ă\�t�g�E�F�A�ŏ�������K�v������܂��B�n�[�h�E�F�A�̗e�ʂ���t�ɂȂ�AACL�ݒ��ۊǂł��Ȃ��Ȃ�ƁA�p�P�b�g��CPU�ɑ��M����ē]������܂��B�\�t�g�E�F�A�œ]�������g���t�B�b�N�̓]�����x�́A�n�[�h�E�F�A�œ]�������g���t�B�b�N�ɔ�ׂđ啝�ɒቺ���܂��B
���[�^ACL�̏ꍇ�́A���̏ꍇ�Ƀp�P�b�g��CPU�ɑ��M����邱�Ƃ�����܂��B
�g���t�B�b�N �t���[�̃��M���O�Ɠ]���̗�����s���ꍇ�A�]���̓n�[�h�E�F�A�ŏ�������܂����A���M���O�̓\�t�g�E�F�A�ŏ�������K�v������܂��B�n�[�h�E�F�A�ƃ\�t�g�E�F�A�ł̓p�P�b�g�����\�͂��قȂ邽�߁A���M���O���ł��邷�ׂẴt���[�i���t���[�Ƌ��ۃt���[�j�̍��v�ш敝�����ɑ傫���ꍇ�́A�]�����ꂽ�p�P�b�g�̈ꕔ�����M���O�ł��܂���B
���[�^ACL�̐ݒ���n�[�h�E�F�A�ɓK�p�ł��Ȃ��ꍇ�AVLAN�ɒ��M�������[�e�B���O�Ώۃp�P�b�g�̓\�t�g�E�F�A�Ń��[�e�B���O����܂����A�u���b�W���O�̓n�[�h�E�F�A�ōs���܂��BACL�ɂ���đ����̃p�P�b�g��CPU�ɓ]�������ƁA�X�C�b�`�̃p�t�H�[�}���X���ቺ���邱�Ƃ�����܂��B
show ip access-lists �C�l�[�u��EXEC�R�}���h���͂����Ƃ��ɕ\��������v�̌��ɁA�n�[�h�E�F�A�ŃA�N�Z�X���䂳���p�P�b�g�͊܂܂�܂���B�X�C�b�`�h �p�P�b�g����у��[�e�b�h �p�P�b�g�Ɋւ���n�[�h�E�F�A��ACL�̊�{�I�ȓ��v�����擾����ꍇ�́Ashow access-lists hardware counters�C�l�[�u��EXEC�R�}���h���g�p���܂��B
�����ł́AIP ACL�̐ݒ�Ⴈ��ѓK�p��������܂��BACL�̕ҏW��@�ɂ��ẮA�wSecurity Configuration Guide�x�A����сw Cisco IOS IP and IP Routing Configuration Guide for IOS �xRelease 12.1�́uIP Services�v���Q�Ƃ��Ă��������B
���[�^ACL�ɂ��g���t�B�b�N�̐��� �ɁA���K�̓l�b�g���[�N���\�z���ꂽ�I�t�B�X���������܂��B���[�e�b�h �|�[�g1/0/2�ɐڑ����ꂽ�T�[�oA�ɂ́A���ׂĂ̏]�ƈ����A�N�Z�X�ł����v�Ȃǂ̏�i�[����Ă��܂��B���[�e�b�h �|�[�g1/0/3�ɐڑ����ꂽ�T�[�oB�ɂ́A�@�������̋��^�x�����f�[�^���i�[����Ă��܂��B�T�[�oA�ɂ͂��ׂẴ��[�U���A�N�Z�X�ł��܂����A�T�[�oB�ɃA�N�Z�X�ł��郆�[�U�͐�������Ă��܂��B
���ɁA�W��ACL���g�p���ăX�C�b�`1�̃|�[�gGigabitEthernet 3����T�[�oB�ɒ��M����g���t�B�b�N���t�B���^�����O���A�o�����̑��M���A�h���X172.20.128.64�`172.20.128.95���瑗�M�����g���t�B�b�N�݂̂��������������܂��B
Switch(config)# access-list 6 permit 172.20.128.64 0.0.0.31
permit 172.20.128.64, wildcard bits 0.0.0.31
Switch(config)# interface gigabitethernet1/0/3
Switch(config-if)# ip access-group 6 out
����ACL�́A�w�肳�ꂽ���M���A�h���X�������X�C�b�`1�̃��[�e�b�h �|�[�g3���瑗�M�����g���t�B�b�N�ɓK�p����܂��B
���ɁA�g��ACL���g�p���ăT�[�oB����X�C�b�`1�̃|�[�g3�ɒ��M����g���t�B�b�N���t�B���^�����O���A�C�ӂ̑��M���A�h���X�i���̏ꍇ�̓T�[�oB�j����o�����̈���A�h���X172.20.128.64�`172.20.128.95�ɑ��M�����g���t�B�b�N�݂̂��������������܂��B
Switch(config)# access-list 106 permit ip any 172.20.128.64 0.0.0.31
permit ip any 172.20.128.64 0.0.0.31
Switch(config)# interface gigabitethernet1/0/3
Switch(config-if)# ip access-group 106 in
����ACL�́A�X�C�b�`1�̃��[�e�b�h �|�[�g3�ɒ��M����g���t�B�b�N�ɓK�p����A�w��̈���A�h���X�ɑ��M�����g���t�B�b�N�݂̂������܂��B�g��ACL���g�p����ꍇ�́A���M������ш�����̑O�ɁA�v���g�R���iIP�j���͂���K�v������܂��B
���̗�̃l�b�g���[�N36.0.0.0�́A2�Ԗڂ̃I�N�e�b�g���T�u�l�b�g���w�肷��N���XA�l�b�g���[�N�ł��B�܂�A�T�u�l�b�g �}�X�N��255.255.0.0�ł��B�l�b�g���[�N �A�h���X36.0.0.0��3�Ԗڂ����4�Ԗڂ̃I�N�e�b�g�́A����̃z�X�g���w�肵�܂��B�A�N�Z�X ���X�g2���g�p���āA�T�u�l�b�g48�̃A�h���X��1�����A�����T�u�l�b�g�̑��̃A�h���X�͂��ׂċ��ۂ��܂��B���̃A�N�Z�X ���X�g�̍ŏI�s�́A�l�b�g���[�N36.0.0.0�̑��̂��ׂẴT�u�l�b�g��̃A�h���X��������邱�Ƃ������܂��B����ACL�́A�X�C�b�`2�̃C���^�[�t�F�C�XGigabitEthernet 1�ɓ��p�P�b�g�ɓK�p����܂��B
Switch(config)# access-list 2 permit 36.48.0.3
Switch(config)# access-list 2 deny 36.48.0.0 0.0.255.255
Switch(config)# access-list 2 permit 36.0.0.0 0.255.255.255
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# ip access-group 2 in
���̗�̐擪�s�́A1023�����傫������|�[�g�ւ̒��MTCP�ڑ��������܂��B2�Ԗڂ̍s�́A�z�X�g128.88.1.2��SMTP�|�[�g�ւ̒��MTCP�ڑ��������܂��B3�Ԗڂ̍s�́A�G���[ �t�B�[�h�o�b�N�p�̒��MICMP���b�Z�[�W�������܂��B
Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 gt 1023
Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25
Switch(config)# access-list 102 permit icmp any any
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# ip access-group 102 in
�g��ACL���g�p����ʂ̗�Ƃ��āA�C���^�[�l�b�g�ɐڑ����ꂽ�l�b�g���[�N������A�l�b�g���[�N��̔C�ӂ̃z�X�g���A�C���^�[�l�b�g��̔C�ӂ̃z�X�g��TCP�ڑ����m���ł���悤�ɂ���ꍇ���l���܂��B�������AIP�z�X�g����́A��p���[�� �z�X�g�̃��[���iSMTP�j�|�[�g�������A�l�b�g���[�N��̃z�X�g��TCP�ڑ����m���ł��Ȃ��悤�ɂ���Ƃ��܂��B
SMTP�́A�ڑ��̈�[�ł�TCP�|�[�g25�A������[�ł̓����_���ȃ|�[�g�ԍ����g�p���܂��B�ڑ����Ă���Ԃ́A�����|�[�g�ԍ����g�p����܂��B�C���^�[�l�b�g���璅�M���郁�[�� �p�P�b�g�̈���|�[�g��25�ł��B���M�p�P�b�g�̃|�[�g�ԍ��͗\��Ă��܂��B���S�ȃl�b�g���[�N �V�X�e���ł͏�Ƀ|�[�g25�ł̃��[���ڑ����g�p����Ă��邽�߁A���M�T�[�r�X�Ɣ��M�T�[�r�X���ʂɐ���ł��܂��BACL�͔��M�C���^�[�t�F�C�X�̓��ACL����ђ��M�C���^�[�t�F�C�X�̏o��ACL�Ƃ��Đݒ肳���K�v������܂��B
���̗�ł́A�l�b�g���[�N�̓A�h���X��128.88.0.0�̃N���XB�l�b�g���[�N�ŁA���[�� �z�X�g�̃A�h���X��128.88.1.2�ł��B established �L�[���[�h�́A�m�����ꂽ�ڑ���\������TCP��p�̃L�[���[�h�ł��BTCP�f�[�^�O������ACK�܂���RST�r�b�g���ݒ肳��A�p�P�b�g����̐ڑ��ɑ����Ă��邱�Ƃ���������ƁA��v�Ƃ݂Ȃ���܂��B�X�C�b�`1�̃C���^�[�t�F�C�XGigabitEthernet 0/1�́A���[�^���C���^�[�l�b�g�ɐڑ�����C���^�[�t�F�C�X�ł��B
Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established
Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group 102 in
���ɁA Internet_filter �Ƃ������O�̕W��ACL����� marketing_group �Ƃ������O�̊g��ACL���쐬�����������܂��B Internet_filter ACL�́A���M���A�h���X1.2.3.4���瑗�M����邷�ׂẴg���t�B�b�N�������܂��B
Switch(config)# ip access-list standard Internet_filter
Switch(config-ext-nacl)# permit 1.2.3.4
marketing_group ACL�́A����A�h���X�ƈ��惏�C���h�J�[�h�̒l171.69.0.0 0.0.255.255�ւ̔C�ӂ�TCP Telnet�g���t�B�b�N�������A���̑���TCP�g���t�B�b�N�����ۂ��܂��B�܂��AICMP�g���t�B�b�N�������A�C�ӂ̑��M������A����|�[�g��1024��菬����171.69.0.0�`179.69.255.255�̈���A�h���X�֑��M�����UDP�g���t�B�b�N�����ۂ��܂��B����ȊO�̂��ׂĂ�IP�g���t�B�b�N�����ۂ��āA���ʂ��������O���\������܂��B
Switch(config)# ip access-list extended marketing_group
Switch(config-ext-nacl)# permit tcp any 171.69.0.0 0.0.255.255 eq telnet
Switch(config-ext-nacl)# deny tcp any any
Switch(config-ext-nacl)# permit icmp any any
Switch(config-ext-nacl)# deny udp any 171.69.0.0 0.0.255.255 lt 1024
Switch(config-ext-nacl)# deny ip any any log
������ACL�́A���C��3�|�[�g�Ƃ��Đݒ肳�ꂽ�X�C�b�`3�̃|�[�gGigabitEthernet 0/4�ɓK�p����܂��B Internet_filter ACL�͔��M�g���t�B�b�N�ɁA marketing_group ACL�͒��M�g���t�B�b�N�ɓK�p����܂��B
Switch(config)# interface gigabitethernet3/0/4
Switch(config-if)# no switchport
Switch(config-if)# ip address 2.0.5.1 255.255.255.0
Switch(config-if)# ip access-group Internet_filter out
Switch(config-if)# ip access-group marketing_group in
���ɁA���j������j�̌ߑO8���`�ߌ�6���i18:00�j�̊ԁAIP��HTTP�g���t�B�b�N�����ۂ����������܂��B�܂��A�y�j����ѓ�j�̐��߁`�ߌ�8���i20:00�j�̊Ԃ̂݁AUDP�g���t�B�b�N�������܂��B
Switch(config)# time-range no-http
Switch(config)# periodic weekdays 8:00 to 18:00
Switch(config)# time-range udp-yes
Switch(config)# periodic weekend 12:00 to 20:00
Switch(config)# ip access-list extended strict
Switch(config-ext-nacl)# deny tcp any any eq www time-range no-http
Switch(config-ext-nacl)# permit udp any any time-range udp-yes
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# ip access-group strict in
���Ɏ����ԍ��w��ACL�̗�ł́AJones�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋�����܂����ASmith�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋֎~����܂��B
Switch(config)# access-list 1 remark Permit only Jones workstation through
Switch(config)# access-list 1 permit 171.69.2.88
Switch(config)# access-list 1 remark Do not allow Smith workstation through
Switch(config)# access-list 1 deny 171.69.3.13
���Ɏ����ԍ��w��ACL�̗�ł́AWinter�����Smith�̃��[�N�X�e�[�V������Web�{�����֎~����܂��B
Switch(config)# access-list 100 remark Do not allow Winter to browse the web
Switch(config)# access-list 100 deny host 171.69.3.85 any eq www
Switch(config)# access-list 100 remark Do not allow Smith to browse the web
Switch(config)# access-list 100 deny host 171.69.3.13 any eq www
���Ɏ������O�w��ACL�̗�ł́AJones�̃T�u�l�b�g�̓A�N�Z�X���֎~����܂��B
Switch(config)# ip access-list standard prevention
Switch(config-std-nacl)# remark Do not allow Jones subnet through
Switch(config-std-nacl)# deny 171.69.0.0 0.0.255.255
���Ɏ������O�w��ACL�̗�ł́AJones�̃T�u�l�b�g�͔��MTelnet�̎g�p���֎~����܂��B
Switch(config)# ip access-list extended telnetting
Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out
Switch(config-ext-nacl)# deny tcp 171.69.0.0 0.0.255.255 any eq telnet
���[�^ACL�ł́A2��ނ̃��M���O���T�|�[�g����Ă��܂��B log �L�[���[�h���w�肷��ƁA�G���g���ƈ�v����p�P�b�g�Ɋւ��郍�O�ʒm���b�Z�[�W���R���\�[���ɑ��M����܂��B log-input �L�[���[�h���w�肷��ƁA���O �G���g���ɓ�̓C���^�[�t�F�C�X���lj�����܂��B
���̗�ł́A���O�w��̕W���A�N�Z�X ���X�g stan1 ��10.1.1.0 0.0.0.255����̃g���t�B�b�N�����ۂ��A���̑��̂��ׂĂ̑��M������̃g���t�B�b�N�������܂��B log �L�[���[�h���w�肳��Ă��܂��B
Switch(config)# ip access-list standard stan1
Switch(config-std-nacl)# deny 10.1.1.0 0.0.0.255 log
Switch(config-std-nacl)# permit any log
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group stan1 in
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
Console logging: level debugging, 37 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 37 messages logged
Trap logging: level debugging, 39 message lines logged
00:00:48: NTP: authentication delay calculation problems
00:09:34:%SEC-6-IPACCESSLOGS:list stan1 permitted 0.0.0.0 1 packet
00:09:59:%SEC-6-IPACCESSLOGS:list stan1 denied 10.1.1.15 1 packet
00:10:11:%SEC-6-IPACCESSLOGS:list stan1 permitted 0.0.0.0 1 packet
���ɁA���O�w��̊g���A�N�Z�X ���X�g ext1 �ɂ���āA�C�ӂ̑��M������10.1.1.0 0.0.0.255�ւ�ICMP�p�P�b�g�������A���ׂĂ�UDP�p�P�b�g�����ۂ����������܂��B
Switch(config)# ip access-list extended ext1
Switch(config-ext-nacl)# permit icmp any 10.1.1.0 0.0.0.255 log
Switch(config-ext-nacl)# deny udp any any log
Switch(config)# interface gigabitethernet1/0/3
Switch(config-if)# ip access-group ext1 in
���ɁA�g��ACL�̃��O�̗�������܂��B
01:24:23:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 1 packet
01:25:14:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 7 packets
01:26:12:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 1 packet
01:31:33:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 8 packets
IP ACL�̂��ׂẴ��M���O �G���g����%SEC-6-IPACCESSLOG�ŊJ�n���܂��B�G���g���̌`���́A��v����ACL��A�N�Z�X �G���g���̎�ނɉ����Ď�قȂ�܂��B
���ɁA log-input �L�[���[�h���w�肵���ꍇ�̏o�̓��b�Z�[�W�̗�������܂��B
00:04:21:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 (Vlan1 0001.42ef.a400) -> 10.1.1.61 (0/0), 1 packet
log �L�[���[�h���w�肵���ꍇ�A���l�̃p�P�b�g�Ɋւ��郍�O ���b�Z�[�W�ɂ͓�̓C���^�[�t�F�C�X��lj�����܂���B
00:05:47:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 -> 10.1.1.61 (0/0), 1 packet
VLAN�܂��̓��C��2�C���^�[�t�F�C�X�Ŕ�IP�g���t�B�b�N���t�B���^�����O����ꍇ�́AMAC�A�h���X����і��O�w���MAC�g��ACL���g�p���܂��B�菇�ɂ��ẮA���̖��O�w��g��ACL�̏ꍇ�Ɠ��l�ł��B
mac access-list extended �R�}���h�ŃT�|�[�g����Ă����IP�v���g�R���̏ڍׂɂ��ẮA���̃����[�X�̃R�}���h ���t�@�����X���Q�Ƃ��Ă��������B
���O�w���MAC�g��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
ACL�S�̂��폜����ɂ́A no mac access-list extended name �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B���O�w���MAC�g��ACL����ACE���ʂɍ폜���邱�Ƃ��ł��܂��B
���ɁADECnet Phase IV�Ƃ���EtherType�̃g���t�B�b�N�݂̂����ۂ��A���̑��̂��ׂẴ^�C�v�̃g���t�B�b�N��������A mac1 �Ƃ������O�̃A�N�Z�X ���X�g���쐬�A�\�������������܂��B
Switch(config)# mac access-list extended mac1
Switch(config-ext-macl)# deny any any decnet-iv
Switch(config-ext-macl)# permit any any
MAC ACL���쐬���A��������C��2�C���^�[�t�F�C�X�ɓK�p����ƁA���̃C���^�[�t�F�C�X�ɒ��M�����IP�g���t�B�b�N���t�B���^�����O���邱�Ƃ��ł��܂��BMAC ACL��K�p����ꍇ�́A���̒��ӎ������l�����Ă��������B
���C��2�C���^�[�t�F�C�X�ւ̃A�N�Z�X�𐧌䂷�邽��MAC�A�N�Z�X���X�g��K�p����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
�w�肳�ꂽ�A�N�Z�X �O���[�v���폜����ɂ́Ano mac access-group { name}�C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���ɁA�C���^�[�t�F�C�XGigabitEthernet 1/0/3��MAC�A�N�Z�X ���X�g mac1 ��K�p���A�C���^�[�t�F�C�X�ɓ��p�P�b�g���t�B���^�����O�����������܂��B
Switch(config)# interface gigabitethernet1/0/3
Router(config-if)# mac access-group mac1 in
�X�C�b�`�͎�M�����p�P�b�g����ACL�Əƍ����܂��BACL�ɂ���ăp�P�b�g�������ꂽ�ꍇ�́A�p�P�b�g�̏��������s����܂��B���ۂ��ꂽ�ꍇ�A�p�P�b�g�͔p���܂��B����`��ACL���C���^�[�t�F�C�X�ɓK�p����ƁA�X�C�b�`��ACL���K�p����Ă��Ȃ��Ɣ��f���ď������s���A���ׂẴp�P�b�g��������܂��B�l�b�g���[�N �Z�L�����e�B�̂��߁A����`��ACL���g�p����ꍇ�͒��ӂ��Ă��������B
�����ł́AVLAN�}�b�v��ݒ肷���@�ɂ��Đ������܂��B���̕�@�́AVLAN���Ńt�B���^�����O�𐧌䂷��B��̕�@�ł��BVLAN�}�b�v�ɂ͕���܂���BVLAN�}�b�v���g�p���āA����̕��̃g���t�B�b�N���t�B���^�����O����ɂ́A����̑��M���܂��͈���A�h���X���w�肳�ꂽACL��lj�����K�v������܂��BVLAN�}�b�v���ɊY���^�C�v�̃p�P�b�g�iIP�܂���MAC�j�ɑ���match�X�e�[�g�����g�����݂���ꍇ�A�f�t�H���g�ł̓}�b�v���̂ǂ̃G���g���ɂ���v���Ȃ��p�P�b�g���p���܂��B�Y���^�C�v�̃p�P�b�g�ɑ���match�X�e�[�g�����g�����݂��Ȃ��ꍇ�A�f�t�H���g�ł̓p�P�b�g���]������܂��B
VLAN�}�b�v���쐬����1�܂��͕�����VLAN�ɓK�p����ɂ́A���̎菇�����s���܂��B
�����ł́A���̓��e�ɂ��Đ������܂��B
VLAN�}�b�v�̐ݒ���s���Ƃ��́A���̒��ӎ����ɏ]���Ă��������B
�eVLAN�}�b�v�͏��Ԃɕ��ׂ�ꂽ��A�̃G���g���ō\������܂��BVLAN�}�b�v �G���g�����쐬�A�lj��A�폜����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
�}�b�v���폜����ɂ́A no vlan access-map name �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
�}�b�v���̒P��̃V�[�P���X �G���g�����폜����ɂ́A no vlan access-map name number �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
�f�t�H���g�̃A�N�V�����ł���]�����s���ɂ́A no action �A�N�Z�X�}�b�v �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
VLAN�}�b�v�ł́A�����permit�܂���deny�L�[���[�h�͎g�p����܂���BVLAN�}�b�v���g�p���ăp�P�b�g�����ۂ���ɂ́A�p�P�b�g�Ɣ�r����ACL���쐬���A�A�N�V������p��ɐݒ肵�܂��BACL��permit�L�[���[�h���w�肵���ꍇ�͈�v�Ƃ݂Ȃ���܂��BACL��deny�L�[���[�h���w�肵���ꍇ�͈�v���Ȃ��Ƃ݂Ȃ���܂��B
���ɁA����̖ړI��ACL�����VLAN�}�b�v���쐬�����������܂��B
�����ł́A�p�P�b�g�����ۂ���ACL�����VLAN�}�b�v���쐬�����������܂��B�ŏ��̃}�b�v�ł́A ip1 ACL�iTCP�p�P�b�g�j�Ɉ�v���邷�ׂẴp�P�b�g���p���܂��B�ŏ��ɁA���ׂĂ�TCP�p�P�b�g�������A����ȊO�̃p�P�b�g�����ׂċ��ۂ��� ip1 ACL���쐬���܂��BVLAN�}�b�v�ɂ�IP�p�P�b�g�ɑ���match�X�e�[�g�����g�����݂��邽�߁A�f�t�H���g�ł͂ǂ�match�X�e�[�g�����g�Ƃ���v���Ȃ����ׂĂ�IP�p�P�b�g���p���܂��B
Switch(config)# ip access-list extended ip1
Switch(config-ext-nacl)# permit tcp any any
Switch(config)# vlan access-map map_1 10
Switch(config-access-map)# match ip address ip1
Switch(config-access-map)# action drop
���ɁA�p�P�b�g��������VLAN�}�b�v���쐬�����������܂��BACL ip2 ��UDP�p�P�b�g�������܂��B ip2 ACL�ƈ�v���邷�ׂẴp�P�b�g���]������܂��B���̃}�b�v�ł́A����ȑO�̂ǂ�ACL�Ƃ���v���Ȃ��������ׂĂ�IP�p�P�b�g�iTCP�ł�UDP�ł��Ȃ��p�P�b�g�j���p���܂��B
Switch(config)# ip access-list extended ip2
Switch(config-ext-nacl)# permit udp any any
Switch(config)# vlan access-map map_1 20
Switch(config-access-map)# match ip address ip2
Switch(config-access-map)# action forward
���̗��VLAN�}�b�v�ɂ́AIP�p�P�b�g�̔p����MAC�p�P�b�g�̓]���Ƃ����f�t�H���g �A�N�V����������܂��B�W����ACL 101�Ɩ��O�w��̊g���A�N�Z�X ���X�g igmp-match ����� tcp-match �����̃}�b�v�Ƒg�ݍ��킹�Ďg�p����ƁA���̂悤�ɂȂ�܂��B
Switch(config)# access-list 101 permit udp any any
Switch(config)# ip access-list extended igmp-match
Switch(config-ext-nacl)# permit igmp any any
Switch(config)# ip access-list extended tcp-match
Switch(config-ext-nacl)# permit tcp any any
Switch(config)# vlan access-map drop-ip-default 10
Switch(config-access-map)# match ip address 101
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan access-map drop-ip-default 20
Switch(config-access-map)# match ip address igmp-match
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# vlan access-map drop-ip-default 30
Switch(config-access-map)# match ip address tcp-match
Switch(config-access-map)# action forward
���̗��VLAN�}�b�v�ɂ́AMAC�p�P�b�g�̔p����IP�p�P�b�g�̓]���Ƃ����f�t�H���g �A�N�V����������܂��BMAC�g���A�N�Z�X ���X�g good-hosts ����� good-protocols �Ƃ��̃}�b�v��g�ݍ��킹�Ďg�p����ƁA���̂悤�ɂȂ�܂��B
Switch(config)# mac access-list extended good-hosts
Switch(config-ext-macl)# permit host 000.0c00.0111 any
Switch(config-ext-macl)# permit host 000.0c00.0211 any
Switch(config)# mac access-list extended good-protocols
Switch(config-ext-macl)# permit any any decnet-ip
Switch(config-ext-macl)# permit any any vines-ip
Switch(config)# vlan access-map drop-mac-default 10
Switch(config-access-map)# match mac address good-hosts
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan access-map drop-mac-default 20
Switch(config-access-map)# match mac address good-protocols
Switch(config-access-map)# action forward
���̗��VLAN�}�b�v�ɂ́A���ׂẴp�P�b�g�iIP����є�IP�j���p����f�t�H���g �A�N�V����������܂��B��2����ї�3�̃A�N�Z�X ���X�g tcp-match ����� good-hosts �����̃}�b�v�Ƒg�ݍ��킹�Ďg�p����ƁA���̂悤�ɂȂ�܂��B
Switch(config)# vlan access-map drop-all-default 10
Switch(config-access-map)# match ip address tcp-match
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan access-map drop-all-default 20
Switch(config-access-map)# match mac address good-hosts
Switch(config-access-map)# action forward
1��VLAN�}�b�v��1�܂��͕�����VLAN�ɓK�p����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
|
VLAN�}�b�v��1�܂��͕�����VLAN ID�ɓK�p���܂��B list�ɂ͒P���VLAN ID�i22�j�A�A�������͈́i10-22�j�A�܂���VLAN ID����Ȃ�X�g�����O�i12,22,30�j���w��ł��܂��B�J���}��n�C�t���̑O��ɃX�y�[�X��}��邱�Ƃ��ł��܂��B |
||
VLAN�}�b�v���폜����ɂ́A no vlan filter mapname vlan-list list �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���ɁAVLAN�}�b�v1��VLAN 20�`22�ɓK�p�����������܂��B
Switch(config)# vlan filter map 1 vlan-list 20-22
�����ł́AVLAN�}�b�v�̈�ʓI�Ȏg�p�@�ɂ��Đ������܂��B��̓I�ȓ��e�͎��̂Ƃ���ł��B
�z��N���[�[�b�g�\���ɂ�����X�C�b�`�ł́A���[�e�B���O���C�l�[�u���łȂ��\��������܂��B�������A���̍\���ł�VLAN�}�b�v�����QoS����ACL�̓T�|�[�g����Ă��܂��B �z��N���[�[�b�g�̍\�� �ł́A�z�X�gX����уz�X�gY�͈قȂ�VLAN���ɂ���A�z��N���[�[�b�g �X�C�b�`A����уX�C�b�`C�ɐڑ�����Ă���Ƒz�肵�Ă��܂��B�z�X�gX����z�X�gY�ւ̃g���t�B�b�N�́A���[�e�B���O���C�l�[�u���ɐݒ肳�ꂽ�X�C�b�`B�ɂ���čŏI�I�Ƀ��[�e�B���O����܂��B�z�X�gX����z�X�gY�ւ̃g���t�B�b�N�́A�g���t�B�b�N�̃G���g�� �|�C���g�ł���X�C�b�`A�ŃA�N�Z�X����ł��܂��B
HTTP�g���t�B�b�N���z�X�gX����z�X�gY�փX�C�b�`���O���Ȃ��ꍇ�́A�z�X�gX�iIP�A�h���X10.1.1.32�j����z�X�gY�iIP�A�h���X10.1.1.34�j�ւ�HTTP�g���t�B�b�N���X�C�b�`B�Ƀu���b�W���O���ꂸ�A���ׂăX�C�b�`A�Ŕp����悤�ɃX�C�b�`A��VLAN�}�b�v��ݒ肷�邱�Ƃ��ł��܂��B
�܂��AHTTP�|�[�g�ł��ׂĂ�TCP�g���t�B�b�N�����i��v�j����IP�A�N�Z�X ���X�g http ���`���܂��B
Switch(config)# ip access-list extended http
Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www
���ɁA http �A�N�Z�X ���X�g�ƈ�v����g���t�B�b�N���p���A���̑��̂��ׂĂ�IP�g���t�B�b�N���]�������悤�ɁAVLAN�A�N�Z�X �}�b�v map2 ���쐬���܂��B
Switch(config)# vlan access-map map2 10
Switch(config-access-map)# match ip address http
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# ip access-list extended match_all
Switch(config-ext-nacl)# permit ip any any
Switch(config)# vlan access-map map2 20
Switch(config-access-map)# match ip address match_all
Switch(config-access-map)# action forward
���ɁAVLAN�A�N�Z�X�}�b�v map2 ��VLAN 1�ɓK�p���܂��B
Switch(config)# vlan filter map2 vlan 1
�ʂ�VLAN�ɂ���T�[�o�ւ̃A�N�Z�X�𐧌��ł��܂��B���Ƃ��AVLAN10���̃T�[�o10.1.1.100�ł́A���̃z�X�g�ւ̃A�N�Z�X�����ۂ���K�v������܂��i �ʂ�VLAN�ɂ���T�[�o�ւ̃A�N�Z�X���� ���Q�Ɓj�B
���ɁA�T�u�l�b�g10.1.2.0.8���̃z�X�g�A�z�X�g10.1.1.4�A����уz�X�g10.1.1.8�̃A�N�Z�X�����ۂ��A���̑���IP�g���t�B�b�N��������VLAN�}�b�vSERVER1-ACL���쐬���āA�ʂ�VLAN���̃T�[�o�ւ̃A�N�Z�X�����ۂ����������܂��B�Ō�ɁAVLAN�}�b�vSERVER1-ACL��VLAN 10�ɓK�p���܂��B
Switch(config)# ip access-list extended SERVER1_ACL
Switch(config-ext-nacl))# permit ip 10.1.2.0 0.0.0.255 host 10.1.1.100
Switch(config-ext-nacl))# permit ip host 10.1.1.4 host 10.1.1.100
Switch(config-ext-nacl))# permit ip host 10.1.1.8 host 10.1.1.100
Switch(config-ext-nacl))# exit
Switch(config)# vlan access-map SERVER1_MAP
Switch(config-access-map)# match ip address SERVER1_ACL
Switch(config-access-map)# action drop
Switch(config)# vlan access-map SERVER1_MAP 20
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan filter SERVER1_MAP vlan-list 10.
�u���b�W���O���ꂽ�g���t�B�b�N����у��[�e�B���O���ꂽ�g���t�B�b�N�̗���ɑ��ăA�N�Z�X������s���ɂ́AVLAN�}�b�v��P�ƂŎg�p���邩�A�܂��̓��[�^ACL��VLAN�}�b�v��g�ݍ��킹�Ďg�p���܂��B��͂Əo�͗���̃��[�e�b�hVLAN�C���^�[�t�F�C�X�Ń��[�^ACL���`������A�u���b�W���O���ꂽ�g���t�B�b�N�̃A�N�Z�X�𐧌䂷��VLAN�}�b�v���`���邱�Ƃ��ł��܂��B
�p�P�b�g �t���[��ACL��VLAN�}�b�v��deny�X�e�[�g�����g�ƈ�v�����ꍇ�A���[�^ACL�̐ݒ�ɊW�Ȃ��A�p�P�b�g �t���[�͋��ۂ���܂��B
�p�P�b�g �^�C�v�iIP�܂���MAC�j�ɑ���match�X�e�[�g�����g��VLAN�}�b�v�ɑ��݂���ꍇ�A�p�P�b�g�����̃^�C�v�Ɉ�v���Ȃ��ꍇ�́A�f�t�H���g�Ńp�P�b�g���p���܂��BVLAN�}�b�v����match�X�e�[�g�����g���Ȃ��A�A�N�V�������w�肳��Ă��Ȃ��ꍇ�A�ǂ�VLAN�}�b�v �G���g���Ƃ���v���Ȃ��p�P�b�g�͓]������܂��B
�����ł́A���[�^ACL��VLAN�}�b�v�Ƒg�ݍ��킹�Ďg�p�����@�ɂ��Đ������܂��B
�����ɋL�ڂ��ꂽ���ӎ����́A���[�^ACL ����� VLAN�}�b�v��VLAN��Ŏg�p����K�v������ݒ�ɓK�p����܂��B���[�^ACL�����VLAN�}�b�v���قȂ�VLAN�Ɋ��蓖�Ă�ݒ�ɂ́A�����̒��ӎ����͓K�p����܂���B
�X�C�b�` �n�[�h�E�F�A�́A���i��͂���яo�́j���ƂɃZ�L�����e�BACL��1�����܂��B���������āA���[�^ACL�����VLAN�}�b�v��VLAN�ɐݒ肷��ꍇ�́A����������K�v������܂��B���[�^ACL��VLAN�}�b�v������ƁAACE�̐����c��ɂȂ�ꍇ������܂��B
���[�^ACL�����VLAN�}�b�v��VLAN�ɐݒ肷��K�v������ꍇ�́A���[�^ACL��VLAN�}�b�v�̗���̐ݒ�Ɋւ��A�����Ő������钍�ӎ����ɏ]���Ă��������B
permit...
permit...
permit...
deny ip any any
deny...
deny...
deny...
permit ip any any
IP ACE�ƃ��C��4�����܂�TCP/UDP/ICMP ACE������Ƃ�ACL���ɑ��݂��Afull-flow���[�h���w�肷��K�v������Ƃ��́A���C��4 ACE�����X�g�̖����ɔz�u���܂��B���̌��ʁAIP�A�h���X�Ɋ�Â��g���t�B�b�N�̃t�B���^�����O���D�悳��܂��B
�����ł́A���[�^ACL�����VLAN�}�b�v��VLAN�ɓK�p���A�X�C�b�`�h �p�P�b�g�A�u���b�W�h �p�P�b�g�A���[�e�b�h �p�P�b�g�A����у}���`�L���X�g �p�P�b�g�����������������܂��B���̐}�ł͂��ꂼ��̈���ɓ]�������p�P�b�g�������܂��B�p�P�b�g�̃p�X��VLAN�}�b�v��ACL��������ƌ�������|�C���g�ŁA�p�P�b�g��]�������ɔp���\��������܂��B
�X�C�b�`�h �p�P�b�g�ւ�ACL�̓K�p �ɁAVLAN���ŃX�C�b�`���O�����p�P�b�g��ACL��K�p�����@�������܂��B��փu���b�W���O�ɂ���ă��[�e�B���O�܂��͓]�����ꂸ�AVLAN���ŃX�C�b�`���O�����p�P�b�g�ɂ́A���VLAN��VLAN�}�b�v�݂̂��K�p����܂��B
�u���b�W�h �p�P�b�g�ւ�ACL�̓K�p �ɁA��փu���b�W�h �p�P�b�g��ACL��K�p�����@�������܂��B�u���b�W�h �p�P�b�g�̏ꍇ�́A���VLAN�Ƀ��C��2 ACL�݂̂��K�p����܂��B�܂��A��IP����є�ARP�p�P�b�g�݂̂���փu���b�W�h �p�P�b�g�ƂȂ�܂��B
���[�e�b�h �p�P�b�g�ւ�ACL�̓K�p �ɁA���[�e�b�h �p�P�b�g��ACL��K�p�����@�������܂��B���[�e�b�h �p�P�b�g�̏ꍇ�AACL�͎��̏��ԂœK�p����܂��B
�}���`�L���X�g �p�P�b�g�ւ�ACL�̓K�p �ɁAIP�}���`�L���X�g�p�ɕ������ꂽ�p�P�b�g��ACL��K�p�����@�������܂��B���[�e�B���O�����}���`�L���X�g �p�P�b�g�ɂ́A2�̈قȂ�t�B���^���K�p����܂��B1�́A���悪���VLAN���̑��̃|�[�g�ł���ꍇ�Ɏg�p����A����1�́A���悪�p�P�b�g�̃��[�e�B���O��ł���ʂ�VLAN���ɂ���ꍇ�Ɏg�p����܂��B�p�P�b�g�͕����̏o��VLAN�Ƀ��[�e�B���O�����ꍇ������܂����A���̏ꍇ�͈���VLAN���ƂɈقȂ郋�[�^�o��ACL�����VLAN�}�b�v���K�p����܂��B
�ŏI�I�ɁA�p�P�b�g�͈ꕔ�̏o��VLAN���ŋ�����A����ȊO��VLAN�ŋ��ۂ���܂��B�p�P�b�g�̃R�s�[���A�����ꂽ����ɓ]������܂��B�������A���VLAN�}�b�v�i �}���`�L���X�g �p�P�b�g�ւ�ACL�̓K�p ��VLAN 10�}�b�v�j�ɂ���ăp�P�b�g���p����ꍇ�A�p�P�b�g�̃R�s�[�͈���ɑ��M����܂���B
�X�C�b�`��ɐݒ肳��Ă���ACL�A����уC���^�[�t�F�C�X��VLAN�ɓK�p���ꂽACL��\�����邱�Ƃ��ł��܂��B
ip access-group �C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���āA���C��2�܂��̓��C�� 3�C���^�[�t�F�C�X��ACL��K�p�����ꍇ�́A���̃C���^�[�t�F�C�X�̃A�N�Z�X �O���[�v��\�����邱�Ƃ��ł��܂��B���C��2�C���^�[�t�F�C�X�ɓK�p���ꂽMAC ACL��\�����邱�Ƃ��ł��܂��B���̏���\������ɂ́A�C�l�[�u��EXEC�R�}���h���g�p���܂��i �A�N�Z�X ���X�g����уA�N�Z�X �O���[�v��\������R�}���h ���Q�Ɓj�B
VLAN�A�N�Z�X�}�b�v�܂���VLAN�t�B���^�Ɋւ������\���ł��܂��BVLAN �}�b�v����\������ɂ́A VLAN�}�b�v����\������R�}���h �ɋL�ڂ��ꂽ�C�l�[�u��EXEC�R�}���h���g�p���܂��B
|
���ׂĂ�VLAN�A�N�Z�X�}�b�v�܂��͎w�肳�ꂽ�A�N�Z�X�}�b�v�Ɋւ������\�����܂��B |
|
|
���ׂĂ�VLAN�t�B���^�Ɋւ�����A�܂��͎w�肳�ꂽVLAN��VLAN�A�N�Z�X�}�b�v�Ɋւ������\�����܂��B |
All contents copyright (C) 1992--2004 Cisco Systems K.K.