アクセスリストの構成例と設定例

アクセスリストを利用する場合の構成例と設定例を示します。

片方向のpingだけ不可能にする場合

ポート1/0/1で受信したパケットに関して、192.168.1.100から192.168.1.200へ送信されたpingパケットのみ通信を拒否する場合の構成例と設定例を示します。

片方向のpingだけ不可能にする場合の構成例

• 拡張IPアクセスリスト［ip_ex_test］を作成します。

  sw1# configure terminal
  sw1(config)# ip access-list extended ip_ex_test
  sw1(config-ip-ext-acl)#

• 通信を拒否するエントリーを以下のように設定します。

  エントリー10（拒否）：送信元IPアドレス［192.168.1.100］、宛先IPアドレス［192.168.1.200］、ICMPプロトコル［echo］

  sw1(config-ip-ext-acl)# deny icmp host 192.168.1.100 host 192.168.1.200 echo
  sw1(config-ip-ext-acl)# exit
  sw1(config)#

• ポート1/0/1の受信パケットに、拡張IPアクセスリスト［ip_ex_test］を設定します。

  sw1(config)# interface port 1/0/1
  sw1(config-if-port)# ip access-group ip_ex_test in
  sw1(config-if-port)# end
  sw1#

DHCPクライアントからのDHCPパケットを破棄する場合

ポート1/0/4で受信したDHCPメッセージのみ通信を拒否する場合の構成例と設定例を示します。

DHCPクライアントからのDHCPパケットを破棄する場合の構成例

• 拡張IPアクセスリスト［udp_67_deny］を作成します。

  sw1# configure terminal
  sw1(config)# ip access-list extended udp_67_deny
  sw1(config-ip-ext-acl)#

• 通信を拒否するエントリーを以下のように設定します。

  エントリー10（拒否）：UDPプロトコル［bootps］

  sw1(config-ip-ext-acl)# deny udp any any eq bootps
  sw1(config-ip-ext-acl)# exit
  sw1(config)#

• ポート1/0/4の受信パケットに、拡張IPアクセスリスト［udp_67_deny］を設定します。

  sw1(config)# interface port 1/0/4
  sw1(config-if-port)# ip access-group udp_67_deny in
  sw1(config-if-port)# end
  sw1#

特定クライアントから特定装置へのtelnetパケットを破棄する場合

ポート1/0/1で受信したパケットに関して、192.168.1.100から、192.168.1.200へ送信されたtelnetパケットのみ通信を拒否する場合の構成例と設定例を示します。

特定クライアントから特定装置へのtelnetパケットを破棄する場合の構成例

• 拡張IPアクセスリスト［tcp_23_deny］を作成します。

  sw1# configure terminal
  sw1(config)# ip access-list extended tcp_23_deny
  sw1(config-ip-ext-acl)#

• パケットの中継を拒否するエントリーを以下のように設定します。

  エントリー10（拒否）：送信元IPアドレス［192.168.1.100］、宛先IPアドレス［192.168.1.200］、TCPプロトコル［telnet］

  sw1(config-ip-ext-acl)# deny tcp host 192.168.1.100 host 192.168.1.200 eq telnet
  sw1(config-ip-ext-acl)# exit
  sw1(config)#

• ポート1/0/1の受信パケットに、拡張IPアクセスリスト［tcp_23_deny］を設定します。

  sw1(config)# interface port 1/0/1
  sw1(config-if-port)# ip access-group tcp_23_deny in
  sw1(config-if-port)# end
  sw1#

中継するARPパケットを破棄する場合

ポート1/0/1で受信したパケットに関して、ARPパケットのみ通信を拒否する場合の構成例と設定例を示します。

中継するARPパケットを破棄する場合の構成例

• 拡張MACアクセスリスト［arp_deny］を作成します。

  sw1# configure terminal
  sw1(config)# mac access-list extended arp_deny
  sw1(config-mac-ext-acl)#

• 通信を拒否するエントリーを以下のように設定します。

  エントリー10（拒否）：イーサタイプ［0x806］、マスク［0xffff］

  sw1(config-mac-ext-acl)# deny any any ethernet-type 0x806 0xffff
  sw1(config-mac-ext-acl)# exit
  sw1(config)#

• ポート1/0/1の受信パケットに、拡張MACアクセスリスト［arp_deny］を設定します。

  sw1(config)# interface port 1/0/1
  sw1(config-if-port)# mac access-group arp_deny in
  sw1(config-if-port)# end
  sw1#

VLANアクセスマップの設定例

VLAN 5（ポート1/0/1、ポート1/0/2）で受信したパケットに関して、「192.168.5.0/24から送信されたIPv4パケット」、および「192.168.100.100から192.168.200.200へ送信されたIPv4パケット」のみを許可して、それ以外のIPv4パケットを破棄する場合の構成例と設定例を示します。

VLANアクセスマップの構成例

• VLAN 5を作成します。

  sw1# configure terminal
  sw1(config)# vlan 5
  sw1(config-vlan)# exit
  sw1(config)#

• ポート1/0/1をアクセスポートとして設定し、アクセスポートに［VLAN 5］を割り当てます。

  sw1(config)# interface port 1/0/1
  sw1(config-if-port)# switchport access vlan 5
  sw1(config-if-port)# exit
  sw1(config)#

• ポート1/0/2をトランクポートとして設定し、トランクポートに［VLAN 5］を割り当てます。

  sw1(config)# interface port1/0/2
  sw1(config-if-port)# switchport mode trunk
  sw1(config-if-port)# switchport trunk allowed vlan 5
  sw1(config-if-port)# exit
  sw1(config)#

• IPアクセスリスト［v5-IPv4］を作成します。VLANアクセスマップの対象にするエントリーを以下のように設定します。

  エントリー10（許可）：送信元IPアドレス［192.168.5.0 0.0.0.255］、宛先IPアドレス［any］

  エントリー20（許可）：送信元IPアドレス［192.168.100.100］、宛先IPアドレス［192.168.200.200］

  sw1(config)# ip access-list v5-IPv4
  sw1(config-ip-acl)# 10 permit 192.168.5.0 0.0.0.255 any
  sw1(config-ip-acl)# 20 permit host 192.168.100.100 host 192.168.200.200
  sw1(config-ip-acl)# exit
  sw1(config)#

• IPアクセスリスト［v5-DENY］を作成します。VLANアクセスマップの対象にするエントリーを以下のように設定します。

  エントリー10（許可）：送信元IPアドレス［any］、宛先IPアドレス［any］

  sw1(config)# ip access-list v5-DENY
  sw1(config-ip-acl)# 10 permit any any
  sw1(config-ip-acl)# exit
  sw1(config)#

• VLANアクセスマップ［v5-ACCESSMAP］のサブマップを以下のように設定します。

  サブマップ50：アクセスリスト［v5-IPv4］、アクション［forward］

  サブマップ100：アクセスリスト［v5-DENY］、アクション［drop］

  sw1(config)# vlan access-map v5-ACCESSMAP 50
  sw1(config-access-map)# match ip address v5-IPv4
  sw1(config-access-map)# action forward
  sw1(config-access-map)# exit
  sw1(config)#
  sw1(config)# vlan access-map v5-ACCESSMAP 100
  sw1(config-access-map)# match ip address v5-DENY
  sw1(config-access-map)# action drop
  sw1(config-access-map)# exit
  sw1(config)#

• VLAN 5にVLANアクセスマップ［v5-ACCESSMAP］を適用します。

  sw1(config)# vlan filter v5-ACCESSMAP vlan-list 5
  sw1(config)# end
  sw1#