- RT-A で、sh access-lists コマンドを実行しなさい。
< RT-A >
RT-A# sh access-lists
Extended IP access list 100
10 deny ip host 192.168.1.10 host 192.168.2.2 (5 matches)
20 deny ip host 192.168.1.10 host 192.168.3.2 (5 matches)
30 permit ip any any (72 matches)
Extended IP access list 101
10 deny ip host 192.168.1.10 host 192.168.2.2
20 deny ip host 192.168.1.10 host 192.168.3.2
30 permit ip any any
RT-A#
- RT-A を、次の通り設定しなさい。
< RT-A >
RT-A# conf t
Enter configuration commands, one per line. End with CNTL/Z.
RT-A(config)# access-list 100 deny ip host 192.168.1.11 host 192.168.2.2
RT-A(config)# access-list 101 deny ip host 192.168.1.11 host 192.168.2.2
RT-A(config)#
- RT-A で、sh access-lists コマンドを実行しなさい。
< RT-A >
RT-A(config)# do sh access-lists
Extended IP access list 100
10 deny ip host 192.168.1.10 host 192.168.2.2 (5 matches)
20 deny ip host 192.168.1.10 host 192.168.3.2 (5 matches)
30 permit ip any any (57 matches)
40 deny ip host 192.168.1.11 host 192.168.2.2
Extended IP access list 101
10 deny ip host 192.168.1.10 host 192.168.2.2
20 deny ip host 192.168.1.10 host 192.168.3.2
30 permit ip any any
40 deny ip host 192.168.1.11 host 192.168.2.2
RT-A(config)#
最初に拡張IPアクセスリストを旧来の方法で作成しようと新しい方法で作成しようと、作成済み拡張IPアクセスリストに旧来の方法で条件文を追加できます。ただし、作成した条件文の条件文リストの最後の行に追加されます。
- RT-A を、次の通り設定しなさい。
< RT-A >
RT-A(config)# ip access-list extended 100
RT-A(config-ext-nacl)# deny ip host 192.168.1.11 host 192.168.3.2
RT-A(config-ext-nacl)# ip access-list extended 101
RT-A(config-ext-nacl)# deny ip host 192.168.1.11 host 192.168.3.2
RT-A(config-ext-nacl)#
- RT-A で、sh access-lists コマンドを実行しなさい。
< RT-A >
RT-A(config-ext-nacl)# do sh access-lists
Extended IP access list 100
10 deny ip host 192.168.1.10 host 192.168.2.2 (5 matches)
20 deny ip host 192.168.1.10 host 192.168.3.2 (5 matches)
30 permit ip any any (101 matches)
40 deny ip host 192.168.1.11 host 192.168.2.2
50 deny ip host 192.168.1.11 host 192.168.3.2
Extended IP access list 101
10 deny ip host 192.168.1.10 host 192.168.2.2
20 deny ip host 192.168.1.10 host 192.168.3.2
30 permit ip any any
40 deny ip host 192.168.1.11 host 192.168.2.2
50 deny ip host 192.168.1.11 host 192.168.3.2
RT-A(config-ext-nacl)#
最初に拡張IPアクセスリストを旧来の方法で作成しようと新しい方法で作成しようと、作成済み拡張IPアクセスリストに新しい方法で条件文を追加できます。ただし、作成した条件文の条件文リストの最後の行に追加されます。
旧来の設定方法では、作成済みアクセスリストに条件文を追加した場合、必ず条件文リストの最後に追加されます。
しかし、新しい方法では最後以外の場所の新しい条件文を追加することができます。
- RT-A を、次の通り設定しなさい。
< RT-A >
RT-A(config-ext-nacl)# ip access-list extended 100
RT-A(config-ext-nacl)# 11 permit ip host 192.168.1.11 host 192.168.3.10 ← シーケンス番号 11 を指定
RT-A(config-ext-nacl)# ip access-list extended 101
RT-A(config-ext-nacl)# 11 permit ip host 192.168.1.11 host 192.168.3.10 ← シーケンス番号 11 を指定
RT-A(config-ext-nacl)#
シーケンス番号を指定しました。
- RT-A で、sh access-lists コマンドを実行しなさい。
< RT-A >
RT-A(config-ext-nacl)# do sh access-lists
Extended IP access list 100
10 deny ip host 192.168.1.10 host 192.168.2.2 (5 matches)
11 permit ip host 192.168.1.11 host 192.168.3.10
20 deny ip host 192.168.1.10 host 192.168.3.2 (5 matches)
30 permit ip any any (133 matches)
40 deny ip host 192.168.1.11 host 192.168.2.2
50 deny ip host 192.168.1.11 host 192.168.3.2
Extended IP access list 101
10 deny ip host 192.168.1.10 host 192.168.2.2
11 permit ip host 192.168.1.11 host 192.168.3.10
20 deny ip host 192.168.1.10 host 192.168.3.2
30 permit ip any any
40 deny ip host 192.168.1.11 host 192.168.2.2
50 deny ip host 192.168.1.11 host 192.168.3.2
RT-A(config-ext-nacl)#
拡張IPアクセスリストはシーケンス番号順に並び、パケットの許可/拒否の処理はこの並びの上から順に行われます。
IPアクセスリストの新しい設定方法では、シーケンス番号を指定することができますので、アクセスリストの条件文をリストのどこにでも挿入できます。
※ 次の特定行の削除と共に、IOS12.3 以降でサポートされた機能です。
- RT-A を、次の通り設定しなさい。
< RT-A >
RT-A(config-ext-nacl)# ip access-list extended 100
RT-A(config-ext-nacl)# no 11 ← シーケンス番号 11 を削除
RT-A(config-ext-nacl)# ip access-list extended 101
RT-A(config-ext-nacl)# no 11 ← シーケンス番号 11 を削除
RT-A(config-ext-nacl)#
- RT-A で、sh access-lists コマンドを実行しなさい。
< RT-A >
RT-A(config-ext-nacl)# do sh access-lists
Extended IP access list 100
10 deny ip host 192.168.1.10 host 192.168.2.2 (5 matches)
20 deny ip host 192.168.1.10 host 192.168.3.2 (5 matches)
30 permit ip any any (157 matches)
40 deny ip host 192.168.1.11 host 192.168.2.2
50 deny ip host 192.168.1.11 host 192.168.3.2
Extended IP access list 101
10 deny ip host 192.168.1.10 host 192.168.2.2
20 deny ip host 192.168.1.10 host 192.168.3.2
30 permit ip any any
40 deny ip host 192.168.1.11 host 192.168.2.2
50 deny ip host 192.168.1.11 host 192.168.3.2
RT-A(config-ext-nacl)#
シーケンス番号 11 の条件文だけ削除されました。
IPアクセスリストの新しい設定方法では、このようにシーケンス番号を指定することで、アクセスリストの中の特定の条件文だけを削除することができます。
では、シーケンス番号を指定できない旧来の設定方法ではどうなるのでしょうか?
- RT-A を、次の通り設定しなさい。
< RT-A >
RT-A(config-ext-nacl)# exit
RT-A(config)# no access-list 100 deny ip host 192.168.1.11 host 192.168.2.2
RT-A(config)#
- RT-A で、sh access-lists コマンドを実行しなさい。
< RT-A >
RT-A(config)# do sh access-lists
Extended IP access list 101
10 deny ip host 192.168.1.10 host 192.168.2.2
20 deny ip host 192.168.1.10 host 192.168.3.2
30 permit ip any any
40 deny ip host 192.168.1.11 host 192.168.2.2
50 deny ip host 192.168.1.11 host 192.168.3.2
RT-A(config)#
特定の条件文だけ削除しようとしましたが、アクセスリスト番号 100 のアクセスリストの全ての条件文が削除されました。
このように旧来の設定方法では、特定の条件文だけを削除することができず、同じアクセスリスト番号を持つ全ての条件文が削除されます。
- RT-A を、次の通り設定しなさい。
< RT-A >
RT-A(config)# no access-list 101
RT-A(config)#
- RT-A で、sh access-lists コマンドを実行しなさい。
< RT-A >
RT-A(config)# do sh access-lists
RT-A(config)#
全ての条件文が削除されるので、旧来の方法では、no access-list コマンドで入力するのはアクセスリスト番号まで (それ以上入力しても意味がない) になります。