名前付きアクセスリスト

名前付きアクセスリスト

標準アクセスリスト、拡張アクセスリストともの番号でアクセスリストを識別しますが、番号ではなく、名前(文字列)でアクセスリストを識別することができます。
そのように名前で識別したアクセスリストを名前付きアクセスリストと言います。


名前付きアクセスリストはIOSリリース11.2以降からサポートしています。


名前付きアクセスリストの特徴

名前付きアクセスリストには、名前で識別することができる以外に、もうひとつ大きな特徴があります。
それは、アクセスリスト中の特定の行(ステートメント)だけを削除できるという点です。

例えば、下図のような拡張IPアクセスリストが定義されていたとします。

アクセスリスト

※6行目は自動的に挿入される暗黙の拒否を示す。

このうちの3行目の条件を削除したいとします。
しかし、標準アクセスリスト、拡張アクセスリストともに特定の行だけ削除するということはできません。
ひとつでも削除したいのであれば、全削除し、もう一度初めから作り直す必要があります。

それに対し、名前付きアクセスリストは特定の行だけの削除が可能であり、アクセスリストの編集作業の負担を大きく軽減させることができます。


名前付き標準IPアクセスリスト

名前付き標準IPアクセスリスト書式
(config)# ip access-list standard [名前]

ip access-list standardコマンドを実行することで名前付き標準IPアクセスリスト設定モードに入ります。

RouterA(config)#ip access-list standard testfilter
RouterA(config-std-nacl)#

下記にコマンド実行例を示します。

RouterA(config-std-nacl)#deny 192.168.0.0 0.0.0.255
RouterA(config-std-nacl)#permit any
RouterA(config-std-nacl)#exit
RouterA(config)#interface ethernet 0
RouterA(config-if)#ip access-group testfilter in

名前付きアクセスリストに関しても、最終行に自動的に暗黙の拒否が入る点に注意してください。
インターフェイスに適用する方法に関しては、標準・拡張IPアクセスリストのときと同じくip access-groupコマンドを使用します。
ここでは、番号ではなく名前で指定することになります。



名前付き拡張IPアクセスリスト

名前付き拡張IPアクセスリスト書式
(config)# ip access-list extended [名前]

ip access-list extendedコマンドを実行することで名前付き拡張IPアクセスリスト設定モードに入ります。

RouterA(config)#ip access-list extended testfilter
RouterA(config-std-nacl)#

下記にコマンド実行例を示します。

RouterA(config-ext-nacl)#deny tcp host 192.168.0.10 host 10.0.0.100 eq www
RouterA(config-ext-nacl)#deny tcp host 192.168.0.10 host 10.0.0.100 eq telnet
RouterA(config-ext-nacl)#permit ip any any
RouterA(config-ext-nacl)#exit
RouterA(config)#interface ethernet 0
RouterA(config-if)#ip access-group extfilter in

ここでも、最終行に自動的に暗黙の拒否が入る点に注意してください。


特定の行を削除したい場合は、その行と同じ内容を入力し先頭に「no」を付けて実行します。

RouterA(config-ext-nacl)#no deny tcp host 192.168.0.10 host 10.0.0.100 eq telnet


名前付きIPアクセスリストの確認

IPアクセスリストの確認はshow ip access-listsコマンドを使用します。

RouterA#show ip access-lists
Standard IP access list 1
    10 deny   192.168.0.10
    20 permit 192.168.0.0, wildcard bits 0.0.0.255
Standard IP access list 2
    10 permit any
Standard IP access list testfilter
    10 deny   192.168.0.0, wildcard bits 0.0.0.255
    20 permit any
Extended IP access list extfilter
    10 deny tcp host 192.168.0.10 host 10.0.0.100 eq www
    20 permit ip any any

インターフェイスに適用しているアクセスリストを確認するにはshow ip interfaceコマンドを使用します。

Ethernet0 is up, line protocol is down
  Internet address is 192.168.0.100/24
  Broadcast address is 255.255.255.255
  Address determined by non-volatile memory
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is extfilter
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  ~ 省略 ~

これらはshow running-configコマンドでも確認できます。

タグ