名前付きアクセスリスト
標準アクセスリスト、拡張アクセスリストともの番号でアクセスリストを識別しますが、番号ではなく、名前(文字列)でアクセスリストを識別することができます。
そのように名前で識別したアクセスリストを名前付きアクセスリストと言います。
名前付きアクセスリストはIOSリリース11.2以降からサポートしています。
名前付きアクセスリストの特徴
名前付きアクセスリストには、名前で識別することができる以外に、もうひとつ大きな特徴があります。
それは、アクセスリスト中の特定の行(ステートメント)だけを削除できるという点です。
例えば、下図のような拡張IPアクセスリストが定義されていたとします。
※6行目は自動的に挿入される暗黙の拒否を示す。
このうちの3行目の条件を削除したいとします。
しかし、標準アクセスリスト、拡張アクセスリストともに特定の行だけ削除するということはできません。
ひとつでも削除したいのであれば、全削除し、もう一度初めから作り直す必要があります。
それに対し、名前付きアクセスリストは特定の行だけの削除が可能であり、アクセスリストの編集作業の負担を大きく軽減させることができます。
名前付き標準IPアクセスリスト
- 名前付き標準IPアクセスリスト書式
- (config)# ip access-list standard [名前]
ip access-list standardコマンドを実行することで名前付き標準IPアクセスリスト設定モードに入ります。
RouterA(config)#ip access-list standard testfilter RouterA(config-std-nacl)#
下記にコマンド実行例を示します。
RouterA(config-std-nacl)#deny 192.168.0.0 0.0.0.255 RouterA(config-std-nacl)#permit any RouterA(config-std-nacl)#exit RouterA(config)#interface ethernet 0 RouterA(config-if)#ip access-group testfilter in
名前付きアクセスリストに関しても、最終行に自動的に暗黙の拒否が入る点に注意してください。
インターフェイスに適用する方法に関しては、標準・拡張IPアクセスリストのときと同じくip access-groupコマンドを使用します。
ここでは、番号ではなく名前で指定することになります。
名前付き拡張IPアクセスリスト
- 名前付き拡張IPアクセスリスト書式
- (config)# ip access-list extended [名前]
ip access-list extendedコマンドを実行することで名前付き拡張IPアクセスリスト設定モードに入ります。
RouterA(config)#ip access-list extended testfilter RouterA(config-std-nacl)#
下記にコマンド実行例を示します。
RouterA(config-ext-nacl)#deny tcp host 192.168.0.10 host 10.0.0.100 eq www RouterA(config-ext-nacl)#deny tcp host 192.168.0.10 host 10.0.0.100 eq telnet RouterA(config-ext-nacl)#permit ip any any RouterA(config-ext-nacl)#exit RouterA(config)#interface ethernet 0 RouterA(config-if)#ip access-group extfilter in
ここでも、最終行に自動的に暗黙の拒否が入る点に注意してください。
特定の行を削除したい場合は、その行と同じ内容を入力し先頭に「no」を付けて実行します。
RouterA(config-ext-nacl)#no deny tcp host 192.168.0.10 host 10.0.0.100 eq telnet
名前付きIPアクセスリストの確認
IPアクセスリストの確認はshow ip access-listsコマンドを使用します。
RouterA#show ip access-lists
Standard IP access list 1
10 deny 192.168.0.10
20 permit 192.168.0.0, wildcard bits 0.0.0.255
Standard IP access list 2
10 permit any
Standard IP access list testfilter
10 deny 192.168.0.0, wildcard bits 0.0.0.255
20 permit any
Extended IP access list extfilter
10 deny tcp host 192.168.0.10 host 10.0.0.100 eq www
20 permit ip any any
インターフェイスに適用しているアクセスリストを確認するにはshow ip interfaceコマンドを使用します。
Ethernet0 is up, line protocol is down Internet address is 192.168.0.100/24 Broadcast address is 255.255.255.255 Address determined by non-volatile memory MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is extfilter Proxy ARP is enabled Local Proxy ARP is disabled Security level is default ~ 省略 ~
これらはshow running-configコマンドでも確認できます。
