ACLコマンド
◆アクセスリスト
STEP1
Network(範囲指定するか)を指定するか判断
⇒マスク 0.0.0.*をつける
※NATでは付ける
STEP2
名前付きか否か判断
つく場合 ⇒ip access-list 名前 となる。
⇒いきなり「deny / permit」 から
つかない ⇒access-list NO
⇒つねに access-list 1 permit にする
STEP3
標準か拡張か
拡張 ⇒deny / permit の後に プロトコル(icmpなど)記載
⇒ 相手側ホストも指定
・アクセスリスト表示
show ip access-lists
Standard IP access list 1
10 deny 10.1.1.1
20 deny 192.168.100.100 (200 matches)
30 permit any (366 matches)
★標準アクセスリスト キーワード付
ルータBに以下の条件でアクセスリストを設定
1.端末A(192.168.1.100)から端末Bへのアクセスを拒否
2.それ以外から端末Bへのすべてのアクセスは許可
3.標準アクセスリストで作成
4.管理番号は「1」で、「host」キーワードを使用
RouterB>enable
RouterB#configure terminal
RouterB(config)#access-list 1 deny host 192.168.1.100
RouterB(config)#access-list 1 permit any
RouterB(config)#interface ethernet 1
RouterB(config-if)#ip access-group 1 out
★名前付標準アクセスリスト キーワード付
ルータBに以下の条件でアクセスリストを設定
1.端末A(192.168.1.100)から端末B(192.168.3.100)へのアクセスを拒否
2.それ以外から端末Bへのすべてのアクセスは許可
3.名前付き標準アクセスリストを使用
4.名称は「pingACL」で、「host」キーワードを使用
RouterB>enable
RouterB#configure terminal
RouterB(config)#ip access-list standard pingACL
RouterB(config-std-nacl)#deny host 192.168.1.100
RouterB(config-std-nacl)#permit any
RouterB(config-std-nacl)#exit
RouterB(config)#interface ethernet 1
RouterB(config-if)#ip access-group pingACL out
★拡張アクセスリスト キーワード付
ルータAに以下の条件でアクセスリストを設定
1.端末A(192.168.1.100)から端末B(192.168.3.100)へのICMPに関するアクセスを拒否
2.それ以外から端末Bへのすべてのアクセスは許可
3.管理番号は「100」で、「host」キーワードを使用
RouterA>enable
RouterA#configure terminal
RouterA(config)#access-list 100 deny icmp host 192.168.1.100 host 192.168.3.100
RouterA(config)#access-list 100 permit ip any any
RouterA(config)#interface ethernet 0
RouterA(config-if)#ip access-group 100 in
★拡張アクセスリスト 名前・キーワード付
ルータAに以下の条件でアクセスリストを設定
1.端末Aから端末BへのICMPに関するアクセスを拒否
2.それ以外から端末Bへのすべてのアクセスは許可
3.名前付き拡張アクセスリストを使用
4.名称は「pingACL」で、「host」キーワードを使用
RouterA>enable
RouterA#configure terminal
RouterA(config)#ip access-list extended pingACL
RouterA(config-ext-nacl)#deny icmp host 192.168.1.100 host 192.168.3.100
RouterA(config-ext-nacl)#permit ip any any
RouterA(config-ext-nacl)#exit
RouterA(config)#interface ethernet 0
RouterA(config-if)#ip access-group pingACL in
★アクセスリスト キーワード付 Telnet
ルータBに以下の条件でアクセスリストを設定
1.端末A(192.168.1.100)からルータBへのTELNETを拒否
2.それ以外の機器からルータBへのTelnetは許可
3.管理番号は「1」で、「host」キーワードを使用
4.作成したアクセスリストをTelnet回線に適用する
RouterB>enable
RouterB#configure terminal
RouterB(config)#access-list 1 deny host 192.168.1.100
RouterB(config)#access-list 1 permit any
RouterB(config)#line vty 0 4
RouterB(config-line)#access-class 1 in