この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
このモジュールは、特定の IP オプション、TCP フラグ、非隣接ポート、を含む IP パケットをフィルタする IP アクセス リストの使用方法について説明します。
このモジュールのいずれかのタスクを実行する前に、次のモジュールの情報を把握しておく必要があります。
『IP アクセス リストの概要』
『IP アクセス リストの作成とインターフェイスへの適用』
IP は、サービスを提供するときに、タイプ オブ サービス、存続可能時間、オプション、およびヘッダー チェックサムという 4 つの主要メカニズムを使用します。
オプションは一般的に IP オプションと呼ばれ、一部の状況で必要な制御機能のために用意されていますが、ほとんどの一般的な通信では不要です。IP オプションには、タイム スタンプ、セキュリティ、および特殊なルーティングに関する条件が含まれます。
IP オプションはデータグラムに含まれる場合と含まれない場合があります。IP オプションはすべての IP モジュール(ホストとゲートウェイ)で実装する必要があります。オプションというのは、実装ではなく、任意の指定したデータグラムでの送信を指します。環境によっては、セキュリティ オプションがすべてのデータグラムで必要です。
オプション フィールドは長さが可変です。オプションの個数はゼロ個以上です。IP オプションには、次の 2 つの形式のいずれかを使用できます。
形式 1:単一オクテットの option-type
形式 2:1 つの option-type オクテット、option-length オクテット、および実際の option-data オクテット
option-length オクテットは、option-type オクテット、option-length オクテット、および option-data オクテットの数をカウントします。
option-type オクテットには、1 ビットのコピー済みフラグ、2 ビットのオプション クラス、および 5 ビットのオプション番号という 3 つのフィールドがあります。これらのフィールドは、オプション タイプ フィールドの 8 ビット値を構成します。IP オプションは、一般的にその 8 ビット値で参照されます。
IP オプションの詳細な一覧と説明については、次の URL の RFC 791『Internet Protocol』を参照してください。http://www.faqs.org/rfcs/rfc791.html
ネットワークからの IP オプションを含むパケットをフィルタすることで、ダウンストリームのデバイスとホストにかかるオプション パケットの負荷が軽減されます。
また、この機能によって、分散型システムでルート プロセッサ(RP)処理が必要な IP オプションを含むパケットについて、RP への負荷が最小限になります。以前は、パケットは常に RP CPU でルーティングまたは処理されていました。パケットをフィルタすることで、パケットの RP への影響を回避できます。
ACL TCP フラグ フィルタリング機能には、TCP フラグに基づいてフィルタする柔軟なメカニズムが用意されています。以前は、パケットのいずれかの TCP フラグがアクセス コントロール エントリ(ACE)で指定されたフラグに一致する限り、着信パケットは一致していました。すべてのフラグが設定されたパケットがアクセス コントロール リスト(ACL)を通過する可能性があるため、この動作ではセキュリティの抜け穴を考慮しています。ACL TCP フラグ フィルタリング機能では、フィルタするフラグの任意の組み合わせを選択できます。設定されているフラグ、および設定されていないフラグに基づいてマッチングする機能によって、TCP フラグに基づくフィルタリングの制御性が向上するため、セキュリティが強化されます。
TCP パケットは偽造の同期パケットとして送信され、それがリスニング ポートで受け入れられる可能性があるため、ファイアウォール デバイスの管理者は、偽造の TCP パケットをドロップするフィルタリング ルールを設定することを推奨します。
アクセス リストを構成する ACE を設定し、特定のグループの TCP フラグが設定されているパケットのみ、または設定されていないパケットのみを許可することで、不正な TCP パケットを検出およびドロップできます。ACL TCP フラグ フィルタリング機能によって、次のようにパケット フィルタリングの制御性が向上します。
フィルタする TCP パケットについて、TCP フラグの任意の組み合わせを選択できます。
設定されているフラグと設定されていないフラグに基づいてマッチングできるように、ACE を設定できます。
次の表は TCP フラグの一覧です。詳細については、RFC 793『Transmission Control Protocol』を参照してください。
|
TCP フラグ |
目的 |
|---|---|
|
ACK |
Acknowledge フラグ:セグメントの acknowledgment フィールドが、このセグメントの送信元が受信を予測している番号の次のシーケンス番号を指定することを示します。 |
|
FIN |
Finish フラグ:接続をクリアするために使用されます。 |
|
PSH |
Push フラグ:呼び出しのデータを受信ユーザーに対してただちにプッシュする必要があることを示します。 |
|
RST |
Reset フラグ:受信者が以降のやり取りなしで接続を削除する必要があることを示します。 |
|
SYN |
Synchronize フラグ:接続の確立に使用されます。 |
|
URG |
Urgent フラグ:urgent フィールドが重要で、セグメント シーケンス番号に追加する必要があることを示します。 |
この機能によって、同じ送信元アドレス、宛先アドレス、およびプロトコルに関して複数のエントリを処理するために、アクセス コントロール リストで必要なアクセス コントロール エントリ(ACE)の数が大幅に削減されます。大量の ACE を保守している場合、可能な限り、新しいアクセス リスト エントリを作成するときは、この機能を使用して既存のアクセス リスト エントリのグループを統合します。非隣接ポートを使用するアクセス リスト エントリを設定すると、保守するアクセス リスト エントリ数が少なくなります。
IP は、拡張名前付きおよび番号付きアクセス リストは、インターフェイスを発着信するパケットの TTL 値でフィルタリングできます。有効な TTL 値 0 ~ 255 のパケットを許可または拒否できます(フィルタリング)。その他のフィールド(送信元または宛先アドレスなど)でのフィルタリングと同様に、ip access-group コマンドは in または out を指定します。これにより、アクセス リストの入力または出力が行われ、それぞれ着信または発信パケットに適用されます。TTL 値は、アクセス リスト エントリで指定したプロトコル、アプリケーション、およびその他の設定とともにチェックされ、すべての条件を満たす必要があります。
分散型シスコ エクスプレス フォワーディング(dCEF)、CEF、ファスト スイッチング、プロセス スイッチングなどのソフトウェア スイッチング パスは、通常、アクセス リスト ステートメントに基づいてパケットを許可または廃棄します。ただし、入力インターフェイスに到達したパケットの TTL 値が 0 または 1 であるときには、特別な処理が必要です。TTL 値が 0 または 1 のパケットは、CEF、dCEF、またはファスト スイッチング パスで入力アクセス リストがチェックされる前に、プロセス レベルに送信されます。入力アクセス リストは、TTL 値が 2 ~ 255 であるパケットに適用され、許可または拒否の決定が行われます。
TTL 値が 0 または 1 のパケットは、デバイスから外部に転送されることがないため、プロセス レベルに送信されます。プロセス レベルでは、各パケットがそのデバイス宛であるかどうか、および Internet Control Message Protocol(ICMP)TTL 値期限切れメッセージを返送する必要があるかどうかをチェックする必要があります。つまり、TTL が 0 または 1 のパケットをドロップする意図で TTL 値 0 または 1 のフィルタリングを設定した ACL が入力インターフェイスで設定されている場合でも、高速なパスではパケットのドロップが発生しないということです。代わりに、プロセスが ACL を適用するときに、プロセス レベルで発生します。これはハードウェア スイッチング プラットフォームについてもあてはまります。TTL 値が 0 または 1 のパケットはルート プロセッサ(RP)またはマルチレイヤ スイッチ フィーチャ カード(MSFC)のプロセス レベルに送信されます。
出力インターフェイスでは、TTL 値でのアクセス リスト フィルタリングは、その他のアクセス リスト機能と同じように動作します。チェックはデバイスで有効な最も高速なスイッチング パスで行われます。これは、より高速なスイッチング パスは出力インターフェイスですべての TTL 値(0 ~ 255)を均等に処理するためです。
TTL 値が 0 または 1 のパケットに対する特別な動作によって、デバイスの CPU 使用率が高くなります。0 または 1 の TTL 値 でフィルタリングする場合は、CPU が過負荷になることを防ぐためにコントロール プレーン ポリシング(CPP)を使用してください。CPP を活用するには、TTL 値 0 および 1 をフィルタリングすることに特化したアクセス リストを設定し、CPP を通じてそのアクセス リストを適用する必要があります。このアクセス リストは、その他のインターフェイス アクセス リストとは別のアクセス リストにします。CPP は個々のインターフェイスにおいてではなくシステム全体に対して機能するため、そのようなアクセス リストはデバイス全体に対して 1 つのみ設定する必要があります。このタスクは、セクション「TTL 値 0 と 1 でフィルタリングするコントロール プレーン ポリシングの有効化」で説明しています。
存続可能時間(TTL)値でのフィルタリングは、デバイスに到達できるパケット、またはデバイスに到達できないパケットを制御する方法を提供します。ネットワーク レイアウトを確認することで、特定のデバイスからのパケットをホップ数に基づいて許可するか拒否するかを選択できます。たとえば、小規模ネットワークでは、ホップ数が 3 より大きい場所からのパケットを拒否する可能性があります。TTL 値でのフィルタリングでは、トラフィックがネイバー デバイスから発信されたかどうかを検証できます。たとえば特定プロトコルの初期 TTL 値より 1 小さい TTL 値のパケットのみを受け入れることで、1 ホップで自分に到達するパケットのみを受け入れることができます。
多くのコントロール プレーン プロトコルはネイバーのみと通信しますが、パケットを誰からも受信します。TTL でフィルタリングするアクセス リストを受信側ルータに適用すると、不要なパケットをブロックできます。
Cisco ソフトウェアが送信するすべてのパケットは、プロセス レベルに対して TTL 値が 0 または 1 です。デバイスは、Internet Control Message Protocol(ICMP)TTL 値期限切れメッセージを送信元に送信する必要があります。TTL 値が 0 ~ 2 であるパケットをフィルタリングすることで、プロセス レベルでの負荷を削減できます。
アクセス リストを設定して、IP オプションを含むパケットをフィルタし、アクセス リストが適切に設定されていることを確認するには、次の手順を完了します。
 Note |
|
|
Step 1 |
enable Example:特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example:グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
ip access-list extended access-list-name Example:名前で IP アクセス リストを指定し、名前付きアクセス リストのコンフィギュレーション モードを開始します。 |
|
Step 4 |
[sequence-number ] deny protocol source source-wildcard destination destination-wildcard [option option-value ] [ precedence precedence ] [ tos tos ] [log ] [ time-range time-range-name ] [fragments ] Example:(任意)名前付き IP アクセス リスト モードで deny ステートメントを指定します。
|
|
Step 5 |
[sequence-number ] permit protocol source source-wildcard destination destination-wildcard [option option-value ] [ precedence precedence ] [ tos tos ] [log ] [ time-range time-range-name ] [fragments ] Example:名前付き IP アクセス リスト モードで permit ステートメントを指定します。
|
|
Step 6 |
必要に応じて、ステップ 4 またはステップ 5 を繰り返します。 アクセス リストは変更できます。 |
|
Step 7 |
end Example:(任意)名前付きアクセス リスト コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
|
Step 8 |
show ip access-lists access-list-name Example:(任意)IP アクセス リストの内容を表示します。 |
アクセス リストをインターフェイスに適用するか、アクセス リストを受け入れるコマンドから参照します。
Note |
IP オプションを含むすべてのパケットを効率的に除去するには、ip options drop グローバル コマンドを設定することを推奨します。 |
この作業では、アクセス リストを設定して、TCP フラグを含むパケットをフィルタし、アクセス リストが適切に設定されていることを確認します。
Note |
|
 Caution |
新しい構文形式の ACE を持つデバイスを、ACL TCP フラグ フィルタリング機能をサポートしないシスコ ソフトウェアの以前のバージョンでリロードすると、ACE は適用されないため、セキュリティの抜け穴が発生する可能性があります。 |
|
Step 1 |
enable Example:特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example:グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
ip access-list extended access-list-name Example:名前で IP アクセス リストを指定し、名前付きアクセス リストのコンフィギュレーション モードを開始します。 |
|
Step 4 |
[sequence-number ] permit tcp source source-wildcard [operator [port ]] destination destination-wildcard [operator [port ]] [established | {match-any | match-all } {+ | - } flag-name ] [precedence precedence ] [tos tos ] [log ] [time-range time-range-name ] [fragments ] Example:名前付き IP アクセス リスト モードで permit ステートメントを指定します。
|
|
Step 5 |
[sequence-number ] deny tcp source source-wildcard [operator [port ]] destination destination-wildcard [operator [port ]] [established | {match-any | match-all } {+ | - } flag-name ] [precedence precedence ] [tos tos ] [log ] [time-range time-range-name ] [fragments ] Example:(任意)名前付き IP アクセス リスト モードで deny ステートメントを指定します。
|
|
Step 6 |
必要に応じてステップ 4 またはステップ 5 を繰り返し、計画したシーケンス番号でステートメントを追加します。エントリを削除するには、no sequence-number コマンドを使用します。 アクセス リストは変更できます。 |
|
Step 7 |
end Example:(任意)コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
|
Step 8 |
show ip access-lists access-list-name Example:(任意)IP アクセス リストの内容を表示します。
|
アクセス リストをインターフェイスに適用するか、アクセス リストを受け入れるコマンドから参照します。
非隣接 TCP または UDP ポート番号を使用するアクセス リスト エントリを作成するには、次の作業を実行します。この作業では TCP ポートを使用しますが、permit および deny コマンドの UDP 構文を使用して、非隣接 UDP ポートをフィルタすることもできます。
この作業では permit コマンドを最初に使用していますが、フィルタリングの目標に合わせた順序で、permit および deny コマンドを使用できます。
Note |
ACL:アクセス コントロール エントリでの非隣接ポートに関する名前付き ACL サポート機能を使用できるのは、名前付きの拡張 ACL のみです。 |
|
Step 1 |
enable Example:特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example:グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
ip access-list extended access-list-name Example:名前で IP アクセス リストを指定し、名前付きアクセス リストのコンフィギュレーション モードを開始します。 |
|
Step 4 |
[sequence-number ] permit tcp source source-wildcard [operator port [port ]] destination destination-wildcard [operator [port ]] [established {match-any | match-all } {+ | - } flag-name ] [precedence precedence ] [tos tos ] [log ] [time-range time-range-name ] [fragments ] Example:名前付き IP アクセス リスト コンフィギュレーション モードで permit ステートメントを指定します。
|
|
Step 5 |
[sequence-number ] deny tcp source source-wildcard [operator port [port ]] destination destination-wildcard [operator [port ]] [established {match-any | match-all } {+ | - } flag-name ] [precedence precedence ] [tos tos ] [log ] [time-range time-range-name ] [fragments ] Example:(任意)名前付きアクセス リスト コンフィギュレーション モードで deny ステートメントを指定します。
|
|
Step 6 |
必要に応じてステップ 4 またはステップ 5 を繰り返し、計画したシーケンス番号でステートメントを追加します。エントリを削除するには、no sequence-number コマンドを使用します。 アクセス リストは変更できます。 |
|
Step 7 |
end Example:(任意)名前付きアクセス リスト コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
|
Step 8 |
show ip access-lists access-list-name Example:(任意)アクセス リストの内容を表示します。 |
非隣接ポートを使用するアクセス リスト エントリ グループを 1 つのアクセス リスト エントリに統合するには、次の作業を実行します。
この作業では TCP ポートを使用しますが、permit および deny コマンドの UDP 構文を使用して、非隣接 UDP ポートをフィルタすることもできます。
この作業では permit コマンドを最初に使用していますが、フィルタリングの目標に合わせた順序で、permit および deny コマンドを使用できます。
|
Step 1 |
enable Example:特権 EXEC モードを有効にします。
|
|
Step 2 |
show ip access-lists access-list-name Example:(任意)IP アクセス リストの内容を表示します。
|
|
Step 3 |
configure terminal Example:グローバル コンフィギュレーション モードを開始します。 |
|
Step 4 |
ip access-list extended access-list-name Example:名前で IP アクセス リストを指定し、名前付きアクセス リストのコンフィギュレーション モードを開始します。 |
|
Step 5 |
no [sequence-number ] permit protocol source source-wildcard destination destination-wildcard [option option-name ] [ precedence precedence ] [ tos tos ] [log ] [ time-range time-range-name ] [fragments ] Example:統合できる重複するアクセス リスト エントリを削除します。
|
|
Step 6 |
[sequence-number ] permit protocol source source-wildcard [operator port [port ]] destination destination-wildcard [operator port [port ]] [option option-name ] [ precedence precedence ] [ tos tos ] [log ] [ time-range time-range-name ] [fragments ] Example:名前付きアクセス リスト コンフィギュレーション モードで permit ステートメントを指定します。
|
|
Step 7 |
必要に応じてステップ 5 と 6 を繰り返し、permit または deny ステートメントを追加して、可能な場合はアクセス リスト エントリを統合します。エントリを削除するには、no sequence-number コマンドを使用します。 アクセス リストは変更できます。 |
|
Step 8 |
end Example:(任意)名前付きアクセス リスト コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
|
Step 9 |
show ip access-lists access-list-name Example:(任意)アクセス リストの内容を表示します。 |
アクセス リストをインターフェイスに適用するか、アクセス リストを受け入れるコマンドから参照します。
アクセス リストは柔軟性に優れているため、TTL 値に基づいてパケットをフィルタリングする permit と deny コマンドの組み合わせ 1 つだけでは定義することができません。次のタスクでは、TTL フィルタリングを実行する例を 1 つだけ示します。独自のフィルタリング プランを満たす permit と deny ステートメントを適切に設定します。
Note |
デバイスで使用する Cisco のソフトウェア リリースに応じて、アクセス リストで演算子 EQ または NEQ を指定する場合、アクセス リストでは最大 10 個の TTL 値を指定できます。TTL 値の数は、シスコのソフトウェア リリースによって異なります。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
ip access-list extended access-list-name Example: |
IP アクセス リストを名前で定義します。
|
|
Step 4 |
[sequence-number ] permit protocol source source-wildcard destination destination-wildcard [ option option-name ] [precedence precedence ] [tos tos ] [ttl operator value ] [log ] [time-range time-range-name ] [fragments ] Example: |
パケットが名前付き IP アクセス リストを通過できる条件を設定します。
|
|
Step 5 |
permit または deny ステートメントを続けて追加し、必要なフィルタリングを実現します。 |
-- |
|
Step 6 |
exit Example: |
コンフィギュレーション モードを終了して、コマンドライン インターフェイス(CLI)モード階層で次に高いレベルのモードを開始します。 |
|
Step 7 |
interface type number Example: |
インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
Step 8 |
ip access-group access-list-name {in | out } Example: |
アクセス リストをインターフェイスに適用します。 |
TTL 値 0 または 1 に基づいて IP パケットをフィルタリングしたり、CPU の過負荷を防止したりするには、次のタスクを実行します。このタスクでは、TTL 値 0 と 1 で分類用のアクセス リストを設定し、モジュラ QoS コマンドライン インターフェイス(CLI)(MQC)を設定して、ポリシー マップをコントロール プレーンに適用します。アクセス リストを通過するパケットはドロップされます。この特別なアクセス リストは、他のインターフェイス アクセス リストとは異なります。
アクセス リストは柔軟性に優れているため、TTL 値に基づいてパケットをフィルタリングする permit と deny コマンドの組み合わせ 1 つだけでは定義することができません。次のタスクでは、TTL フィルタリングを実行する例を 1 つだけ示します。独自のフィルタリング プランを満たす permit と deny ステートメントを適切に設定します。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
ip access-list extended access-list-name Example: |
IP アクセス リストを名前で定義します。
|
|
Step 4 |
[sequence-number ] permit protocol source source-wildcard destination destination-wildcard ttl operator value Example: |
パケットが名前付き IP アクセス リストを通過できる条件を設定します。
|
|
Step 5 |
permit または deny ステートメントを続けて追加し、必要なフィルタリングを実現します。 |
アクセス リストを通過するパケットはドロップされます。 |
|
Step 6 |
exit Example: |
コンフィギュレーション モードを終了して、CLI モード階層で次に高いレベルのモードを開始します。 |
|
Step 7 |
class-map class-map-name [match-all | match-any ] Example: |
指定したクラスへのパケットのマッチングに使用するクラス マップを作成します。 |
|
Step 8 |
match access-group {access-group | name access-group-name } Example: |
指定したアクセス コントロール リストに基づいて、クラス マップの一致基準を設定します |
|
Step 9 |
exit Example: |
コンフィギュレーション モードを終了して、CLI モード階層で次に高いレベルのモードを開始します。 |
|
Step 10 |
policy-map policy-map-name Example: |
1 つ以上のインターフェイスに付加できるポリシー マップを作成または変更し、サービス ポリシーを指定します。 |
|
Step 11 |
class {class-name | class-default } Example: |
作成または変更するポリシーのクラス名を指定するか、ポリシーを指定する前にデフォルト クラス(一般に class-default クラスといいます)を指定します。 |
|
Step 12 |
drop Example: |
特定のクラスに属するパケットを廃棄するトラフィック クラスを設定します。 |
|
Step 13 |
exit Example: |
コンフィギュレーション モードを終了して、CLI モード階層で次に高いレベルのモードを開始します。 |
|
Step 14 |
exit Example: |
コンフィギュレーション モードを終了して、CLI モード階層で次に高いレベルのモードを開始します。 |
|
Step 15 |
control-plane Example: |
デバイスのコントロール プレーンに関連する属性またはパラメータを関連付けたり、変更したりします。 |
|
Step 16 |
service-policy {input | output } policy-map-name Example: |
集約コントロール プレーン サービスのためにポリシー マップをコントロール プレーンに適用します。 |
次の例は、アクセス リスト エントリ(ACE)に指定されている IP オプションが含まれる場合にのみ、TCP パケットを許可するように設定された ACE を含む、mylist2 という拡張アクセス リストを示します。
ip access-list extended mylist2
10 permit ip any any option eool
20 permit ip any any option record-route
30 permit ip any any option zsu
40 permit ip any any option mtup
一致し、それによって許可されたパケットの数を示すため、show access-list コマンドが入力されました。
Device# show ip access-list mylist2
Extended IP access list test
10 permit ip any any option eool (1 match)
20 permit ip any any option record-route (1 match)
30 permit ip any any option zsu (1 match)
40 permit ip any any option mtup (1 match)次のアクセス リストでは、TCP フラグ ACK および SYN が設定され、FIN フラグが設定されていない場合にのみ、TCP パケットを許可します。
ip access-list extended aaa
permit tcp any any match-all +ack +syn -fin
endshow access-list コマンドは、ACL を表示するために入力しました。
Device# show access-list aaa
Extended IP access list aaa
10 permit tcp any any match-all +ack +syn -fineq および neq 演算子の後に最大 10 ポートを入力できるため、次のアクセス リスト エントリを作成できます。
ip access-list extended aaa
permit tcp any eq telnet ftp any eq 23 45 34
end
show access-lists コマンドを入力して、新しく作成されたアクセス リスト エントリを表示します。
Device# show access-lists aaa
Extended IP access list aaa
10 permit tcp any eq telnet ftp any eq 23 45 34show access-lists コマンドは、abc というアクセス リストについて、アクセス リスト エントリ グループを表示するために使用されます。
Device# show access-lists abc
Extended IP access list abc
10 permit tcp any eq telnet any eq 450
20 permit tcp any eq telnet any eq 679
30 permit tcp any eq ftp any eq 450
40 permit tcp any eq ftp any eq 679
エントリはすべて同じ permit ステートメント用であり、ポートのみが異なるため、1 つの新しいアクセス リスト エントリに統合できます。次の例では、重複するアクセス リスト エントリを削除し、以前に表示されていたアクセス リスト エントリ グループを統合する新しいアクセス リスト エントリを作成します。
ip access-list extended abc
no 10
no 20
no 30
no 40
permit tcp any eq telnet ftp any eq 450 679
end
show access-lists コマンドを再入力すると、統合されたアクセス リスト エントリが表示されます。
Device# show access-lists abc
Extended IP access list abc
10 permit tcp any eq telnet ftp any eq 450 679次のアクセス リストは、存続可能時間(TTL)の値が 10 と 20 でタイプ オブ サービス(ToS)レベルが 3 の IP パケットをフィルタリングします。また、TTL が 154 を超える IP パケットをフィルタリングし、その規則を先頭以外のフラグメントにも適用します。フラッシュの優先レベルと 1 以外の TTL 値を持つ IP パケットを許可し、そのようなパケットのログ メッセージをコンソールに送信します。他のすべてのパケットは拒否されます。
ip access-list extended incomingfilter
deny ip any any tos 3 ttl eq 10 20
deny ip any any ttl gt 154 fragments
permit ip any any precedence flash ttl neq 1 log
!
interface ethernet 0
ip access-group incomingfilter in次の例では、acl-filter と呼ばれるポリシー マップで使用するために、acl-filter-class と呼ばれるトラフィック クラスを設定します。アクセス リストは、存続可能時間(TTL)値が 0 または 1 の送信元からの IP パケットを許可します。アクセス リストに一致するパケットがドロップされます。ポリシー マップはコントロール プレーンに結合されます。
ip access-list extended ttlfilter
permit ip any any ttl eq 0 1
class-map acl-filter-class
match access-group name ttlfilter
policy-map acl-filter
class acl-filter-class
drop
control-plane
service-policy input acl-filter|
関連項目 |
マニュアル タイトル |
|---|---|
|
セキュリティ コマンド |
『Cisco IOS Security Command Reference』 |
|
no ip options コマンドを使用した、IP オプションを含むパケットをドロップまたは無視するためのデバイスの設定。 |
ACL IP オプションの選択的ドロップ |
|
アクセス リストに関する概要情報 |
IP アクセス リストの概要 |
|
IP アクセス リストの作成とインターフェイスへの適用に関する情報 |
IP アクセス リストの作成とインターフェイスへの適用 |
|
QoS コマンド |
『Cisco IOS Quality of Service Solutions Command Reference』 |
|
RFC |
タイトル |
|---|---|
|
RFC 791 |
Internet Protocol(インターネット プロトコル) |
|
RFC 793 |
伝送制御プロトコル(TCP) |
|
RFC 1393 |
『Traceroute Using an IP Option』 |
|
説明 |
リンク |
|---|---|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能の設定情報 |
|---|---|---|
|
ACL -- アクセス コントロール エントリでの非隣接ポートに関する名前付き ACL サポート |
12.3(7)T 12.2(25)S |
この機能を使用すると、1 つのアクセス コントロール エントリで非隣接ポートを指定できるため、複数のエントリが同じ送信元アドレス、宛先アドレス、およびプロトコルを持ち、ポートのみが異なる場合に、アクセス コントロール リストで必要なエントリ数を大幅に減らすことができます。 |
|
IP オプションのフィルタリングに関する ACL のサポート |
12.3(4)T 12.2(25)S 15.2(2)S 15.4(1)S |
この機能を使用すると、IP オプションを含むパケットをフィルタできます。その結果、ルータが偽造パケットで飽和状態にならないように防ぎます。 Cisco IOS リリース 15.4(1)S では、Cisco ASR 901S ルータのサポートが追加されました。 |
|
ACL TCP フラグ フィルタリング |
12.3(4)T 12.2(25)S |
この機能は、TCP フラグに基づくフィルタリングに柔軟なメカニズムを提供します。Cisco IOS リリース 12.3(4)T 以前は、パケット内のいずれかの TCP フラグがアクセス コントロール エントリ(ACE)で指定されたフラグに一致する限り、着信パケットは一致していました。すべてのフラグが設定されたパケットがアクセス コントロール リスト(ACL)を通過する可能性があるため、この動作ではセキュリティの抜け穴を考慮しています。ACL TCP フラグ フィルタリング機能では、フィルタするフラグの任意の組み合わせを選択できます。設定されているフラグ、および設定されていないフラグに基づいてマッチングする機能によって、TCP フラグに基づくフィルタリングの制御性が向上するため、セキュリティが強化されます。 |
フィードバック