firewall enableコマンドと合わせてネットワークアクセス制御を行います。

書式

[no] access group <ip-address> netmask <netmask> protocol {<protocol-number> | icmp | ip | { tcp | udp } <port> | vrrp }{ deny | permit }

パラメータ

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

• 外部との通信に適用されるファイアウォールのルールを定義します。ACL（Access Control List）同様，access groupコマンドが発行された順にpermitまたはdenyが確定するまで照会していきます。どれにも一致しなかった場合の扱いは，firewall enableが有効かどうかで決まります。firewall enableが有効であれば暗黙のdenyによりブロックされ，無効であれば許可されます。
• access groupコマンドで明示的にpermitもdenyも設定されていない相手先については，firewall enableコマンドで暗黙のdenyが有効になっていても，GenieATM側からはセッションを確立し，応答パケットを受け取ることができます。
• 登録した設定を削除するには，no access groupコマンドを発行します。
• 現在の設定を確認するには，show runningコマンドを発行します。

注意事項

• [no] access groupコマンドは，firewall enableコマンドが無効な状態で実行してください。（バージョン5.6.3-RP3まではfirewall enableが有効な状態でも発行できますが，想定外の結果を招く場合がありますので避けてください）
• access groupコマンドの指定内容はコマンド発行直後から有効になります。つまり，denyを指定してaccess groupコマンドを実行した場合，条件に一致するトラフィックは即座にブロックされるようになります。
• コントローラ，コレクタのSNMP IPアドレスをローカル・ループバック・アドレス(127.0.0.1)以外に設定している場合は，コントローラ―コレクタ間の通信がブロックされないために，それらのIPアドレスも明示的に許可してください。
• ExporterのIPアドレスをブロックしてしまうとフローレコードが取得できなくなります。
• GenieATM側からセッションを張りに行く相手先については，firewall enableを有効にする場合でも明示的にpermitを設定する必要はありません。たとえば，BGP接続はGenieATMのBGPの仕様上，常にGenieATMからセッションを張りに行きます。DNSサーバやNTPサーバについても，GenieATMがクライアントになるのでこれに該当します
• access groupコマンドは最大128件登録することができます。これは，機能を実現するのに使われているip-tablesの制限です。129件目を登録しようとするとエラーになります。

実行例

(config)# access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
(config)# show running
#### show running configure ####
!
（中略）
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  access group 172.16.3.58 netmask 255.255.255.255 protocol ip permit
  access group 172.16.3.0 netmask 255.255.255.0 protocol ip deny
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 443 permit
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
  module id collector 3001
（中略）
!
!
(config)#