CHAPTER
15
IPv6 アクセスリストの追加
この章では、IPv6 アクセスリストを設定して、セキュリティ アプライアンスを通過するトラフィック
を制御およびフィルタリングする方法について説明します。
この章には、次の項があります。
• 「IPv6 アクセスリストに関する情報」(P.15-1)
• 「IPv6 アクセスリストのライセンス要件」(P.15-1)
• 「IPv6 アクセスリストの追加の前提条件」(P.15-2)
• 「ガイドラインと制限事項」(P.15-2)
• 「デフォルト設定」(P.15-3)
• 「IPv6 アクセスリストの設定」(P.15-4)
• 「IPv6 アクセスリストの監視」(P.15-7)
• 「IPv6 アクセスリストの設定例」(P.15-7)
• 「関連情報」(P.15-7)
• 「IPv6 アクセスリストの機能履歴」(P.15-7)
IPv6 アクセスリストに関する情報
IPv6 の一般的なアクセスリスト機能は、IPv4 のアクセスリストに似ています。アクセスリストは、
ルータ インターフェイスでブロックするトラフィックと転送するトラフィックを決定します。アクセ
スリストを使用すると、特定のインターフェイスへの着信および発信を、送信元アドレスと宛先アドレ
スに基づいてフィルタリングできます。各アクセスリストの末尾には、暗黙的な deny 文があります。
IPv6 アクセスリストを定義し、グローバル コンフィギュレーション モードで ipv6 access-list コマン
ドを deny キーワードおよび permit キーワードとともに使用して、アクセスリストの拒否条件と許可
条件を設定します。
IPv6 アクセスリストのライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
15-1
第 15 章
IPv6 アクセスリストの追加
IPv6 アクセスリストの追加の前提条件
IPv6 アクセスリストの追加の前提条件
IPv6 アドレッシングと基本コンフィギュレーションについて十分に理解している必要があります。
IPv6 の設定の詳細については、『Cisco Security Appliance Command Reference』の ipv6 コマンドを参
照してください。
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
ファイアウォール モードのガイドライン
ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。
IPv6 のガイドライン
IPv6 をサポートします。
その他のガイドラインと制限事項
IPv6 アクセスリストには、次のガイドラインと制限事項が適用されます。
• ipv6 access-list コマンドでは、ポートまたはプロトコルへの IPv6 アドレスのアクセスを許可する
か、拒否するかを指定できます。各コマンドは ACE と呼ばれます。同じアクセスリスト名を持つ
1 つまたは複数の ACE はアクセスリストと呼ばれます。access-group コマンドを使用して、イン
ターフェイスにアクセスリストを適用します。
• 適応型セキュリティ アプライアンスは、アクセスリストを使用して明示的にアクセスを許可しな
い限り、外部インターフェイスから内部インターフェイスへのパケットをすべて拒否します。内部
インターフェイスから外部インターフェイスへのパケットは、明示的にアクセスを拒否しない限
り、デフォルトですべて許可されます。
• ipv6 access-list コマンドは、IPv6 固有である点を除いて、access-list コマンドに似ています。ア
クセスリストの詳細については、access-list extended コマンドを参照してください。
• ipv6 access-list icmp コマンドは、適応型セキュリティ アプライアンスを通過する ICMPv6 メッ
セージをフィルタリングするために使用されます。特定のインターフェイスでの発信および終端が
許可される ICMPv6 トラフィックを設定するには、ipv6 icmp コマンドを使用します。
• オブジェクト グループの設定方法の詳細については、object-group コマンドを参照してください。
• ipv6 access-list コマンドの operator オプションで使用可能なオペランドは、小なりを表す lt、大
なりを表す gt、同値を表す eq、非同値を表す neq、および包括的範囲を表す range です。デフォ
ルトですべてのポートを指定するには、演算子とポートを指定せずに ipv6 access-list コマンドを
使用します。
• ICMP メッセージ タイプは、アクセス規則によってフィルタリングされます。icmp_type 引数を省
略すると、すべての ICMP タイプが指定されます。ICMP タイプを指定する場合は、有効な ICMP
タイプ番号(0 ~ 255)または次のいずれかの ICMP タイプ リテラルを値として指定できます。
– destination-unreachable
– packet-too-big
– time-exceeded
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
15-2
OL-18970-01-J
第 15 章
IPv6 アクセスリストの追加
デフォルト設定
– parameter-problem
– echo-request
– echo-reply
– membership-query
– membership-report
– membership-reduction
– router-renumbering
– router-solicitation
– router-advertisement
– neighbor-solicitation
– neighbor-advertisement
– neighbor-redirect
• protocol 引数を指定する場合、有効な値は、icmp、ip、tcp、udp、または IP プロトコル番号を表
す 1 ~ 254 の整数です。
デフォルト設定
表 15-1 に、IPv6 アクセスリスト パラメータのデフォルトの設定を示します。
表 15-1
IPv6 アクセスリストのデフォルト パラメータ
パラメータ
デフォルト
default
default オプションでは、ACE について syslog
メッセージ 106100 を生成するように指定します。
interval secs
106100 syslog メッセージを生成する間隔を指定
します。有効な値は 1 ~ 600 秒です。デフォルト
の間隔は 300 秒です。この値は、非アクティブな
フローを削除するためのタイムアウト値としても
使用されます。
level
level オプションでは、syslog メッセージ 106100
の重大度を指定します。有効な値は 0 ~ 7 です。
デフォルトのレベルは 6(情報)です。
log
log オプションでは、ACE のロギング アクション
を指定します。log キーワードを指定しなかった場
合や、log default キーワードを指定した場合は、
パケットが ACE によって拒否されると、メッセー
ジ 106023 が生成されます。log キーワードを単独
で指定した場合や、level または interval とともに
指定した場合は、パケットが ACE によって拒否さ
れると、メッセージ 106100 が生成されます。ア
クセスリストの末尾にある暗黙的な拒否によって
拒否されたパケットは、ログに記録されません。
ロギングをイネーブルにするには、ACE で暗黙的
にパケットを拒否する必要があります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
15-3
第 15 章
IPv6 アクセスリストの追加
IPv6 アクセスリストの設定
IPv6 アクセスリストの設定
この項は、次の内容で構成されています。
• 「IPv6 アクセスリストの設定のタスク フロー」(P.15-4)
• 「IPv6 アクセスリストの追加」(P.15-5)
• 「アクセスリストへのコメントの追加」(P.15-6)
IPv6 アクセスリストの設定のタスク フロー
アクセスリストを作成して実装するには、次のガイドラインを使用します。
• 「IPv6 アクセスリストの追加」(P.15-5)に示すように、ACE を追加し、アクセスリスト名を適用
して、アクセスリストを作成します。
• アクセスリストをインターフェイスに適用します (詳細については、「インターフェイスへのアク
セスリストの適用」(P.35-4)を参照してください)。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
15-4
OL-18970-01-J
第 15 章
IPv6 アクセスリストの追加
IPv6 アクセスリストの設定
IPv6 アクセスリストの追加
通常の IPv6 アクセスリストまたは TCP の IPv6 アクセスリストを追加できます。
通常の IPv6 アクセスリストを追加するには、次のコマンドを入力します。
コマンド
ipv6 access-list id [line line-num] {deny
| permit} {protocol | object-group
protocol_obj_grp_id}
{source-ipv6-prefix/prefix-length |
any | host source-ipv6-address |
object-group network_obj_grp_id}
[operator {port [port] |
object-group service_obj_grp_id}]
{destination-ipv6-prefix/prefix-lengt
h | any | host
destination-ipv6-address |
object-group network_obj_grp_id}
[{operator port [port] |
object-group service_obj_grp_id}]
[log [[level] [interval secs] | disable
| default]]
目的
IPv6 アクセスリストを設定します。
any キーワードは、任意の IPv6 アドレスを示す IPv6 プレフィックス ::/0
の省略形です。
deny キーワードは、条件が一致した場合にアクセスを拒否します。
destination-ipv6-address 引数には、トラフィックを受信するホストの
IPv6 アドレスを指定します。
destination-ipv6-prefix 引数には、トラフィックの宛先の IPv6 ネットワー
ク アドレスを指定します。
disable オプションは、syslog メッセージをディセーブルにします。
host キーワードは、アドレスが特定のホストを参照するように指定します。
id キーワードには、アクセスリストの番号を指定します。
line line-num オプションでは、アクセス規則をリストに挿入するための
行番号を指定します。デフォルトでは、アクセスリストの末尾に ACE が
追加されます。
例:
hostname(config)# ipv6 access-list acl_grp
permit tcp any host
3001:1::203:A0FF:FED6:162D
network_obj_grp_id 引数には、既存のネットワーク オブジェクト グルー
プの ID を指定します。
object-group オプションには、オブジェクト グループを指定します。
operator オプションでは、送信元 IP アドレスまたは宛先 IP アドレスの
ポートを比較します。使用可能なオペランドのリストについては、「ガイ
ドラインと制限事項」(P.15-2)を参照してください。
permit キーワードは、条件が一致した場合にアクセスを許可します。
port オプションでは、アクセスを許可または拒否するポートを指定しま
す。ポートは、0 ~ 65535 の範囲の数字またはリテラル名(プロトコルが
tcp または udp の場合)のいずれかで指定できます。使用可能な TCP ま
たは UDP のリテラル名のリストについては、「ガイドラインと制限事項」
(P.15-2)を参照してください。
prefix-length 引数は、アドレスの高次の連続ビットのうち、IPv6 プレ
フィックスを構成しているビットの数を示します。
protocol 引数には、IP プロトコルの名前または番号を指定します。
protocol_obj_grp_id には、既存のプロトコル オブジェクト グループの
ID を指定します。
service_obj_grp_id オプションには、オブジェクト グループを指定します。
source-ipv6-address では、トラフィックを送信するホストのアドレスを
指定します。
source-ipv6-prefix では、トラフィックの送信元の IPv6 アドレスを指定し
ます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
15-5
第 15 章
IPv6 アクセスリストの追加
IPv6 アクセスリストの設定
ICMP の IPv6 アクセスリストを設定するには、次のコマンドを入力します。
コマンド
目的
ipv6 access-list id [line line-num] {deny
| permit} icmp6
{source-ipv6-prefix/prefix-length |
any | host source-ipv6-address |
object-group network_obj_grp_id}
{destination-ipv6-prefix/prefix-lengt
h | any | host
destination-ipv6-address |
object-group network_obj_grp_id}
[icmp_type | object-group
icmp_type_obj_grp_id] [log [[level]
[interval secs] | disable | default]]
例:
hostname(config)# ipv6 access list acl_grp
ICMP の IPv6 アクセスリストを設定します。
icmp6 キーワードは、適応型セキュリティ アプライアンスを通過する
ICMPv6 トラフィックにアクセス規則を適用するように指定します。
icmp_type 引数では、アクセス規則によってフィルタリングされる ICMP
メッセージ タイプを指定します。指定できる値は、有効な ICMP タイプ
番号(0 ~ 255)です (使用可能な ICMP タイプ リテラルのリストにつ
いては、「ガイドラインと制限事項」(P.15-2)を参照してください)。
service_obj_grp_id オプションには、オブジェクト グループの ICMP タ
イプ ID を指定します。
その他の ipv6 access-list コマンド パラメータの詳細については、先に説
明した通常の IPv6 アクセスリストの追加の手順を参照するか、『Cisco
Security Appliance Command Reference』の ipv6 access-list コマンドを
参照してください。
permit tcp any host
3001:1::203:AOFF:FED6:162D
アクセスリストへのコメントの追加
拡張アクセスリスト、EtherType アクセスリスト、IPv6 アクセスリスト、標準アクセスリスト、
Webtype アクセスリストを含む任意のアクセスリストに、エントリについてのコメントを追加できま
す。コメントにより、アクセスリストが理解しやすくなります。
最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。
コマンド
目的
access-list access_list_name remark text
最後に入力した access-list コマンドの後にコメントを追加します。
例:
hostname(config)# access-list OUT remark this is the inside admin address
テキストは 100 文字まで指定できます。テキストの先頭にスペースを入
力できます。末尾のスペースは無視されます。
いずれかの access-list コマンドの前にコメントを入力すると、コメント
はアクセスリストの最初の行に表示されます。
no access-list access_list_name コマンドを使用してアクセスリストを削
除すると、コメントもすべて削除されます。
例
各 ACE の前にコメントを追加できます。コメントはその場所でアクセスリストに表示されます。コメ
ントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list
access-list
access-list
access-list
OUT
OUT
OUT
OUT
remark extended
remark extended
this is the inside admin address
permit ip host 209.168.200.3 any
this is the hr admin address
permit ip host 209.168.200.4 any
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
15-6
OL-18970-01-J
第 15 章
IPv6 アクセスリストの追加
IPv6 アクセスリストの監視
IPv6 アクセスリストの監視
IPv6 アクセスリストを監視するには、次のいずれかのタスクを実行します。
コマンド
目的
show ipv6 access-list
すべての IPv6 アクセスリスト情報を表示します。
IPv6 アクセスリストの設定例
次の例は、IPv6 アクセスリストを設定する方法を示しています。
次の例では、任意のホストが TCP を使用して 3001:1::203:A0FF:FED6:162D サーバにアクセスするこ
とを許可します。
hostname(config)# ipv6 access-list acl_grp permit tcp any host 3001:1::203:A0FF:FED6:162D
次の例では、eq とポートを使用して、FTP へのアクセスだけを拒否します。
hostname(config)# ipv6 access-list acl_out deny tcp any host 3001:1::203:A0FF:FED6:162D eq
ftp
hostname(config)# access-group acl_out in interface inside
次の例では、lt を使用して、2025 より小さいすべてのポートへのアクセスを許可します。これにより、
予約済みポート(1 ~ 2024)へのアクセスが許可されます。
hostname(config)# ipv6 access-list acl_dmz1 permit tcp any host 3001:1::203:A0FF:FED6:162D
lt 1025
hostname(config)# access-group acl_dmz1 in interface dmz1
関連情報
アクセスリストをインターフェイスに適用します (詳細については、「インターフェイスへのアクセス
リストの適用」(P.35-4)を参照してください)。
IPv6 アクセスリストの機能履歴
表 15-2 に、この機能のリリース履歴の一覧を示します。
表 15-2
IPv6 アクセスリストの機能履歴
機能名
リリース
機能情報
IPv6 アクセスリスト
7.0(1)
ipv6 access-list コマンドが追加されました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
15-7
第 15 章
IPv6 アクセスリストの追加
IPv6 アクセスリストの機能履歴
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
15-8
OL-18970-01-J
© Copyright 2026 Paperzz