アクセスリストの構成例と設定例
アクセスリストを利用する場合の構成例と設定例を示します。
片方向のpingだけ不可能にする場合
ポート1/0/1で受信したパケットに関して、192.168.1.100から192.168.1.200へ送信されたpingパケットのみ通信を拒否する場合の構成例と設定例を示します。
片方向のpingだけ不可能にする場合の構成例

- 拡張IPアクセスリスト[ip_ex_test]を作成します。
sw1# configure terminal sw1(config)# ip access-list extended ip_ex_test sw1(config-ip-ext-acl)#
- 通信を拒否するエントリーを以下のように設定します。
エントリー10(拒否):送信元IPアドレス[192.168.1.100]、宛先IPアドレス[192.168.1.200]、ICMPプロトコル[echo]
sw1(config-ip-ext-acl)# deny icmp host 192.168.1.100 host 192.168.1.200 echo sw1(config-ip-ext-acl)# exit sw1(config)#
- ポート1/0/1の受信パケットに、拡張IPアクセスリスト[ip_ex_test]を設定します。
sw1(config)# interface port 1/0/1 sw1(config-if-port)# ip access-group ip_ex_test in sw1(config-if-port)# end sw1#
DHCPクライアントからのDHCPパケットを破棄する場合
ポート1/0/4で受信したDHCPメッセージのみ通信を拒否する場合の構成例と設定例を示します。
DHCPクライアントからのDHCPパケットを破棄する場合の構成例

- 拡張IPアクセスリスト[udp_67_deny]を作成します。
sw1# configure terminal sw1(config)# ip access-list extended udp_67_deny sw1(config-ip-ext-acl)#
- 通信を拒否するエントリーを以下のように設定します。
エントリー10(拒否):UDPプロトコル[bootps]
sw1(config-ip-ext-acl)# deny udp any any eq bootps sw1(config-ip-ext-acl)# exit sw1(config)#
- ポート1/0/4の受信パケットに、拡張IPアクセスリスト[udp_67_deny]を設定します。
sw1(config)# interface port 1/0/4 sw1(config-if-port)# ip access-group udp_67_deny in sw1(config-if-port)# end sw1#
特定クライアントから特定装置へのtelnetパケットを破棄する場合
ポート1/0/1で受信したパケットに関して、192.168.1.100から、192.168.1.200へ送信されたtelnetパケットのみ通信を拒否する場合の構成例と設定例を示します。
特定クライアントから特定装置へのtelnetパケットを破棄する場合の構成例

- 拡張IPアクセスリスト[tcp_23_deny]を作成します。
sw1# configure terminal sw1(config)# ip access-list extended tcp_23_deny sw1(config-ip-ext-acl)#
- パケットの中継を拒否するエントリーを以下のように設定します。
エントリー10(拒否):送信元IPアドレス[192.168.1.100]、宛先IPアドレス[192.168.1.200]、TCPプロトコル[telnet]
sw1(config-ip-ext-acl)# deny tcp host 192.168.1.100 host 192.168.1.200 eq telnet sw1(config-ip-ext-acl)# exit sw1(config)#
- ポート1/0/1の受信パケットに、拡張IPアクセスリスト[tcp_23_deny]を設定します。
sw1(config)# interface port 1/0/1 sw1(config-if-port)# ip access-group tcp_23_deny in sw1(config-if-port)# end sw1#
中継するARPパケットを破棄する場合
ポート1/0/1で受信したパケットに関して、ARPパケットのみ通信を拒否する場合の構成例と設定例を示します。
中継するARPパケットを破棄する場合の構成例

- 拡張MACアクセスリスト[arp_deny]を作成します。
sw1# configure terminal sw1(config)# mac access-list extended arp_deny sw1(config-mac-ext-acl)#
- 通信を拒否するエントリーを以下のように設定します。
エントリー10(拒否):イーサタイプ[0x806]、マスク[0xffff]
sw1(config-mac-ext-acl)# deny any any ethernet-type 0x806 0xffff sw1(config-mac-ext-acl)# exit sw1(config)#
- ポート1/0/1の受信パケットに、拡張MACアクセスリスト[arp_deny]を設定します。
sw1(config)# interface port 1/0/1 sw1(config-if-port)# mac access-group arp_deny in sw1(config-if-port)# end sw1#
VLANアクセスマップの設定例
VLAN 5(ポート1/0/1、ポート1/0/2)で受信したパケットに関して、「192.168.5.0/24から送信されたIPv4パケット」、および「192.168.100.100から192.168.200.200へ送信されたIPv4パケット」のみを許可して、それ以外のIPv4パケットを破棄する場合の構成例と設定例を示します。
VLANアクセスマップの構成例

- VLAN 5を作成します。
sw1# configure terminal sw1(config)# vlan 5 sw1(config-vlan)# exit sw1(config)#
- ポート1/0/1をアクセスポートとして設定し、アクセスポートに[VLAN 5]を割り当てます。
sw1(config)# interface port 1/0/1 sw1(config-if-port)# switchport access vlan 5 sw1(config-if-port)# exit sw1(config)#
- ポート1/0/2をトランクポートとして設定し、トランクポートに[VLAN 5]を割り当てます。
sw1(config)# interface port1/0/2 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 5 sw1(config-if-port)# exit sw1(config)#
- IPアクセスリスト[v5-IPv4]を作成します。VLANアクセスマップの対象にするエントリーを以下のように設定します。
エントリー10(許可):送信元IPアドレス[192.168.5.0 0.0.0.255]、宛先IPアドレス[any]
エントリー20(許可):送信元IPアドレス[192.168.100.100]、宛先IPアドレス[192.168.200.200]
sw1(config)# ip access-list v5-IPv4 sw1(config-ip-acl)# 10 permit 192.168.5.0 0.0.0.255 any sw1(config-ip-acl)# 20 permit host 192.168.100.100 host 192.168.200.200 sw1(config-ip-acl)# exit sw1(config)#
- IPアクセスリスト[v5-DENY]を作成します。VLANアクセスマップの対象にするエントリーを以下のように設定します。
エントリー10(許可):送信元IPアドレス[any]、宛先IPアドレス[any]
sw1(config)# ip access-list v5-DENY sw1(config-ip-acl)# 10 permit any any sw1(config-ip-acl)# exit sw1(config)#
- VLANアクセスマップ[v5-ACCESSMAP]のサブマップを以下のように設定します。
サブマップ50:アクセスリスト[v5-IPv4]、アクション[forward]
サブマップ100:アクセスリスト[v5-DENY]、アクション[drop]
sw1(config)# vlan access-map v5-ACCESSMAP 50 sw1(config-access-map)# match ip address v5-IPv4 sw1(config-access-map)# action forward sw1(config-access-map)# exit sw1(config)# sw1(config)# vlan access-map v5-ACCESSMAP 100 sw1(config-access-map)# match ip address v5-DENY sw1(config-access-map)# action drop sw1(config-access-map)# exit sw1(config)#
- VLAN 5にVLANアクセスマップ[v5-ACCESSMAP]を適用します。
sw1(config)# vlan filter v5-ACCESSMAP vlan-list 5 sw1(config)# end sw1#