ACLコマンド - yasuaoki5315の日記

◆アクセスリスト

STEP1
Network（範囲指定するか）を指定するか判断
　⇒マスク　0.0.0.*をつける
※NATでは付ける

STEP2
名前付きか否か判断
　つく場合 ⇒ip access-list 名前　となる。
　　　　　 ⇒いきなり「deny / permit」から

つかない ⇒access-list NO
　　　　　 ⇒つねに　access-list 1 permit にする

STEP3
標準か拡張か
　拡張　⇒deny / permit の後に　プロトコル（icmpなど）記載
　　　　⇒　相手側ホストも指定
　
　

・アクセスリスト表示

show ip access-lists

Standard IP access list 1
10 deny 10.1.1.1
20 deny 192.168.100.100 (200 matches)
30 permit any (366 matches)

★標準アクセスリスト　キーワード付
ルータBに以下の条件でアクセスリストを設定
1.端末A（192.168.1.100）から端末Bへのアクセスを拒否
2.それ以外から端末Bへのすべてのアクセスは許可
3.標準アクセスリストで作成
4.管理番号は「1」で、「host」キーワードを使用

RouterB>enable
RouterB#configure terminal
RouterB(config)#access-list 1 deny host 192.168.1.100
RouterB(config)#access-list 1 permit any
RouterB(config)#interface ethernet 1
RouterB(config-if)#ip access-group 1 out

★名前付標準アクセスリスト　キーワード付
ルータBに以下の条件でアクセスリストを設定
1.端末A（192.168.1.100）から端末B（192.168.3.100）へのアクセスを拒否
2.それ以外から端末Bへのすべてのアクセスは許可
3.名前付き標準アクセスリストを使用
4.名称は「pingACL」で、「host」キーワードを使用

RouterB>enable
RouterB#configure terminal
RouterB(config)#ip access-list standard pingACL
RouterB(config-std-nacl)#deny host 192.168.1.100
RouterB(config-std-nacl)#permit any
RouterB(config-std-nacl)#exit
RouterB(config)#interface ethernet 1
RouterB(config-if)#ip access-group pingACL out

★拡張アクセスリスト　キーワード付
ルータAに以下の条件でアクセスリストを設定
1.端末A（192.168.1.100）から端末B（192.168.3.100）へのICMPに関するアクセスを拒否
2.それ以外から端末Bへのすべてのアクセスは許可
3.管理番号は「100」で、「host」キーワードを使用

RouterA>enable
RouterA#configure terminal
RouterA(config)#access-list 100 deny icmp host 192.168.1.100 host 192.168.3.100
RouterA(config)#access-list 100 permit ip any any
RouterA(config)#interface ethernet 0
RouterA(config-if)#ip access-group 100 in

★拡張アクセスリスト　名前・キーワード付
ルータAに以下の条件でアクセスリストを設定
1.端末Aから端末BへのICMPに関するアクセスを拒否
2.それ以外から端末Bへのすべてのアクセスは許可
3.名前付き拡張アクセスリストを使用
4.名称は「pingACL」で、「host」キーワードを使用

RouterA>enable
RouterA#configure terminal
RouterA(config)#ip access-list extended pingACL
RouterA(config-ext-nacl)#deny icmp host 192.168.1.100 host 192.168.3.100
RouterA(config-ext-nacl)#permit ip any any
RouterA(config-ext-nacl)#exit
RouterA(config)#interface ethernet 0
RouterA(config-if)#ip access-group pingACL in

★アクセスリスト　キーワード付　Telnet
ルータBに以下の条件でアクセスリストを設定
1.端末A（192.168.1.100）からルータBへのTELNETを拒否
2.それ以外の機器からルータBへのTelnetは許可
3.管理番号は「1」で、「host」キーワードを使用
4.作成したアクセスリストをTelnet回線に適用する

RouterB>enable
RouterB#configure terminal
RouterB(config)#access-list 1 deny host 192.168.1.100
RouterB(config)#access-list 1 permit any
RouterB(config)#line vty 0 4
RouterB(config-line)#access-class 1 in