ip access-group
CiscoルータやCatalystのip access-groupコマンドについて、構文や使い方を設定例交えて説明しています。
説明
ip access-groupコマンドを使うと、インターフェースにパケットフィルタリングを適用出来ます。
パケットフィルタリングの内容自体は、access-listやip access-listコマンドを利用して定義します。
構文
ip access-groupコマンドの構文は以下の通りです。
ip access-group { 番号 | 名前 } { in | out }
番号や名前は、acces-listコマンドやip acces-listコマンドで作成したものを指定します。
inは受信時、outは送信時にパケットフィルタリングが適用される事を示します。
設定例
CatalystでVLAN間ルーティングしている場合の設定例は以下の通りです。
Cisco(config)# interface vlan 10 Cisco(config-if)# ip access-group 1 in Cisco(config 0f)#
上記により、VLAN10で受信したパケットに対し、アクセスリスト1番で定義された内容のパケットフィルタリングが適用されます。アクセスリストは名前で指定する事も出来ます。又、inではなくoutを指定する事も出来ます。
Ciscoルータで物理インターフェースにIPアドレスを設定し、ルーティングしている場合の設定例は以下の通りです。
Cisco(config)# interface gigabitethernet0/0 Cisco(config-if)# ip access-group test out Cisco(config-if)#
上記により、gigabitethernet0/0から送信するパケットに対し、名前付きアクセスリストtestで定義された内容のフィリタリングが適用されます。アクセスリストは番号で指定する事も出来ます。又、outではなくinを指定する事も出来ます。
利用可能なモード
・インターフェースコンフィギュレーションモード
※物理インターフェースやVLANインターフェース等で設定可能です。
削除
設定を削除するコマンドは以下の通りです。
Cisco(config)# no ip access-group { 番号 | 名前 } { in | out }
Cisco(config)#
