アクセスリストの設定は +標準アクセスリストを使うか，拡張アクセスリストを使うかを選択 +access-list コマンドにより，アクセスリストを作成 +ip access-group コマンドによって，インタフェースにアクセスリストを割り付け という三段階からなる．

注意すべきは，暗黙の拒否．各アクセスリストの末尾には，暗黙のうちにパケットを全部拒否するというルールが記述されていること．従って，普通は一つ以上の permit を含まないとアクセスリストの意味を成さない．また，ルータから送出されるトラフィックについては，アクセスリストのマッチング対象とならない．

**標準アクセスリスト

標準アクセスリストは，送信元アドレスのみでフィルタをかけるアクセスリスト．

作成は access-list コマンドで行う．標準アクセスリストの番号は 1 ~ 99．

|| (config)# access-list list-num [permit | deny] source-address [mask] ||< source-address がホストの場合は host キーワードを使うこともできる．これは，mask をオール 1 にしたのと同じ効果がある． || (config)# access-list 1 deny host 10.0.0.1 ; 以下と等価 (config)# access-list 1 deny 10.0.0.1 0.0.0.0 ||<

アクセスリストを作成すると，そのリストをインタフェースに適用する．適用は，ip access-group コマンドを用いる．

|| (config-if)# ip access-group list-no [in | out] ||<

**拡張アドレスリスト

送信元アドレスとともに，宛先アドレス，ポート番号 (あるいはプロトコルを直接) 指定も可能なアクセスリスト．リストの番号は 100 ~ 199．

作成は標準アクセスリストと同じく access-list コマンドを用いる．ただし，引数は大きく異なる．

|| (config)# access-list list-num [permit | deny] protocol source-address [mask] [operator port] dest-address [mask] [operator port] [established] [log] ||<

**名前付きアクセスリスト

IOS 11.2 以降でサポート．名前を付けられるとともに，特定ステートメントの削除も可能になる．作成は ip access-list コマンドで行うことに注意．

|| (config)# ip access-list [standard | extended] list-name ||< 他は (標準 | 拡張) アクセスリストと同じだが，インタフェースへの適用は当然ながらリスト名で指定する || (config-if)# ip access-group list-name [in | out] ||<

**アクセスリスト設定場所

標準アクセスリストは，宛先に近いところに設定する．これは，標準アクセスリストは送信元アドレスしか指定できないので，対象となるパケットを限定するため． 拡張アクセスリストは，送信元に近いところに設定する．これは，できるだけネットワークに流れるトラフィックを少なくするため．

**確認

インタフェースにどんなアクセスリストが設定されているかは，show ip interface で見ることができる．これで出力されるのは，インバウンド・アウトバウンドそれぞれのアクセスリスト番号．

||

show ip interface interface-name

||< じゃぁそのアクセスリストの内容は？それを確認できるのが，show access-list コマンド．アクセスリスト番号を指定しない場合は，ルータにある全部のアクセスリストを表示する． ||

show access-list [list-no]

||< プロトコルで分けて出力させることも可能． ||

show protocol-name access-list [list-no]

||<