標準 IP アクセス リストのロギング

標準 IP アクセス リストのロギング機能は、標準 IP アクセス リストによって許可または拒否されるパケットに関するメッセージをロギングする機能を提供します。アクセス リストに一致するパケットによって、デバイス コンソールにあるパケットに関する情報メッセージがロギングされます。

このモジュールは、標準 IP アクセス リスト ロギングに関する情報を提供します。

標準 IP アクセス リストのロギングに関する制限事項

IP アクセス リスト ロギングは、ルーティング インターフェイスまたはルータ アクセス コントロール リスト(ACL)でのみサポートされます。

標準 IP アクセス リストのロギングに関する情報

標準 IP アクセス リストのロギング

標準 IP アクセス リストのロギング機能は、標準 IP アクセス リストによって許可または拒否されるパケットに関するメッセージをロギングする機能を提供します。アクセス リストに一致するパケットによって、デバイス コンソールに送信されるパケットに関する情報ロギング メッセージが生成されます。デバイス コンソールに記録されるメッセージのログ レベルは、logging console コマンドによって制御されます。

アクセス リストが最初に検査したパケットがアクセス リストをトリガーし、デバイス コンソールにメッセージをロギングします。後続のパケットは、5 分間隔で収集された後、表示またはロギングされます。ログ メッセージには、アクセス リスト番号、パケットの送信元 IP アドレス、その送信元からの、直前の 5 分間隔に許可または拒否されたパケットの数、およびパケットが許可されたか拒否されたかに関する情報が含まれます。特定のアクセス リストによって許可または拒否された複数のパケットについて、各パケットの送信元アドレスなどをモニターすることができます。

標準 IP アクセス リストのロギングの設定方法

番号を使用した標準 IP アクセス リストの作成

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. access-list access-list-number {deny | permit} host address [log]
  4. access-list access-list-number {deny | permit} any [log]
  5. interface type number
  6. ip access-group access-list-number {in | out}
  7. end

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:

Device> enable
特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

access-list access-list-number {deny | permit} host address [log]

Example:

Device(config)# access-list 1 permit host 10.1.1.1 log

送信元アドレスとワイルドカードを使用して、標準の名前付き IP アクセス リストを定義し、デバイス コンソールでアクセス リスト エントリと一致したパケットに関する情報メッセージのロギングを設定します。

Step 4

access-list access-list-number {deny | permit} any [log]

Example:

Device(config)# access-list 1 permit any log

送信元の省略形および送信元マスク 0.0.0.0 255.255.255.255 を使用して、標準の 名前付き IP アクセス リストを定義します。

Step 5

interface type number

Example:

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

Step 6

ip access-group access-list-number {in | out}

Example:

Device(config-if)# ip access-group 1 in
指定した番号付きアクセス リストを着信または発信インターフェイスに適用します。

  • 送信元アドレスに基づいてフィルタする場合、一般的に、着信インターフェイスにアクセス リストを適用します。

Step 7

end

Example:

Device(config-if)# end

インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

名前を使用した標準 IP アクセス リストの作成

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. ip access-list standard name
  4. {deny | permit} {host address | any} log
  5. exit
  6. interface type number
  7. ip access-group access-list-name {in | out}
  8. end

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:

Device> enable
特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

ip access-list standard name

Example:

Device(config)# ip access-list standard acl1

標準の IP アクセス リストを定義して、標準の名前付きアクセス リスト コンフィギュレーション モードを開始します。

Step 4

{deny | permit} {host address | any} log

Example:

Device(config-std-nacl)# permit host 10.1.1.1 log

パケットがネットワークに入らないように拒否したり、パケットがネットワークに入ることを許可したりする名前付き IP アクセス リストで条件を設定し、デバイス コンソールでアクセス リスト エントリと一致するパケットに関する情報メッセージのロギングを設定します。

Step 5

exit

Example:

Device(config-std-nacl)# exit

標準の名前付きアクセス リスト コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

Step 6

interface type number

Example:

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

Step 7

ip access-group access-list-name {in | out}

Example:

Device(config-if)# ip access-group acl1 in
指定したアクセス リストを着信または発信インターフェイスに適用します。

  • 送信元アドレスに基づいてフィルタする場合、一般的に、着信インターフェイスにアクセス リストを適用します。

Step 8

end

Example:

Device(config-if)# end

インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

標準 IP アクセス リストのロギングの設定例

例:数字を使用した標準 IP アクセス リストの作成

Device# configure terminal
Device(config)# access-list 1 permit host 10.1.1.1 log
Device(config)# access-list 1 permit any log

Device(config-if)# ip access-group 1 in

例:名前を使用した標準 IP アクセス リストの作成

Device# configure terminal
Device(config)# ip access-list standard acl1
Device(config-std-nacl)# permit host 10.1.1.1 log
Device(config-std-nacl)# exit

Device(config-if)# ip access-group acl1 in

例:デバッグ出力の制限

次の設定例では、アクセス リストを使用して、debug コマンドの出力を制限します。debug の出力を制限すると、データ量が絞られ、目的のデータを探しやすくなるため、時間とリソースを節約できます。 


Device(config)# ip access-list acl1
Device(config-std-nacl)# remark Displays only advertisements for LDP peer in acl1
Device(config-std-nacl)# permit host 10.0.0.44

Device# debug mpls ldp advertisements peer-acl acl1

tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 172.17.0.33
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 172.16.0.31
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 172.22.0.33
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 192.168.0.1
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 192.168.0.3
tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 192.168.1.33

標準 IP アクセス リストのロギングに関する追加情報

関連資料

関連項目

マニュアル タイトル

セキュリティ コマンド

シスコのテクニカル サポート

説明

リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

標準 IP アクセス リストのロギングに関する機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. 標準 IP アクセス リストのロギングに関する機能情報

機能名

リリース

機能情報

標準 IP アクセス リストのロギング

標準 IP アクセス リストのロギング機能は、標準 IP アクセス リストによって許可または拒否されるパケットに関するメッセージをロギングする機能を提供します。アクセス リストに一致するパケットによって、デバイス コンソールにあるパケットに関する情報メッセージがロギングされます。