Cisco NCS 5000 シリーズ ルータ IP アドレスおよびサービス コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月27日
章のタイトル: アクセス リスト コマンド
このモジュールでは、IP バージョン 4(IPv4)や IP バージョン 6(IPv6)のアクセス リストを設定する際に使用する Cisco IOS XR ソフトウェアのコマンドについて説明します。
ACL の概念、設定作業、および例の詳細については、『IP Addresses and Services Configuration Guide for Cisco NCS 5000 Series Routers』を参照してください。
- clear access-list ipv4
- copy access-list ipv4
- deny(IPv4)
- ipv4 access-group
- ipv4 access-list
- ipv4 access-list log-update rate
- ipv4 access-list log-update threshold
- permit(IPv4)
- remark(IPv4)
- resequence access-list ipv4
- show access-lists afi-all
- show access-lists ipv4
- show pfilter-ea
clear access-list ipv4
IPv4 アクセス リスト カウンタをクリアするには、 XR EXEC モードで clear access-list ipv4 コマンドを使用します。
clear access-list ipv4access-list name [ sequence-number | hardware { ingress | egress } ] [ interface type interface-path-id ] [ location node-id | sequence number ]
構文の説明
| access-list-name |
特定の IPv4 アクセス リストの名前この名前にスペースや引用符を含めることはできませんが、数値を含めることはできます。 |
||
| sequence-number |
(任意)アクセス リストのカウンタをクリアする特定のシーケンス番号。範囲は 1 ~ 2147483644 です。 |
||
| hardware |
アクセス リストを、インターフェイスのアクセス グループとして識別します。 |
||
| ingress |
着信方向を指定します。 |
||
| egress |
発信方向を指定します。 |
||
| interface |
(任意)インターフェイスの統計情報をクリアします。 |
||
| type |
インターフェイス タイプ。詳細については、疑問符(?)オンライン ヘルプ機能を使用します。 |
||
| interface-path-id |
物理インターフェイスまたは仮想インターフェイス。
ルータの構文の詳細については、疑問符(?)を使用してオンライン ヘルプを参照してください。 |
||
| locationnode-id |
(任意)指定したノードからのハードウェア リソース カウンタをクリアします。node-id 引数は、rack/slot/module の形式で入力します。 |
||
| sequencenumber |
(任意)特定のシーケンス番号を持つアクセス リストのカウンタをクリアします。範囲は 1 ~ 2147483644 です。 |
コマンド デフォルト
デフォルトでは、指定された IPv4 アクセス リストがクリアされます。
コマンド モード
XR EXEC モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
clear access-list ipv4 コマンドを使用すると、特定の設定済みアクセス リストのカウンタをクリアすることができます。シーケンス番号を使用すると、特定のシーケンス番号を持つアクセス リストのカウンタをクリアすることができます。
hardware キーワードを使用すると、ipv4 access-group コマンドによりイネーブルにしたアクセス リストのカウンタをクリアすることができます。
access-list-name 引数でアスタリスク(*)を使用すると、すべてのアクセス リストをクリアすることができます。
 (注) |
アクセス リストは、複数のインターフェイスで共有できます。ハードウェア カウンタをクリアすると、指定されたアクセス リストを指定された方向(入力または出力)で使用しているすべてのインターフェイスの全カウンタがクリアされます。 egress での ACL はリリース 6.0 ではサポートされていません |
タスク ID
| タスク ID |
動作 |
|---|---|
| basic-services |
読み取り、書き込み |
| acl |
読み取り、書き込み |
| bgp |
読み取り、書き込み、実行 |
例
次の例では、marketing という名前のアクセス リストのカウンタがクリアされます。
RP/0/RP0/CPU0:router# show access-lists ipv4 marketing ipv4 access-list marketing 10 permit ip 192.168.34.0 0.0.0.255 any (51 matches) 20 permit ip 172.16.0.0 0.0.255.255 any (26 matches) 30 deny tcp host 172.16.0.0 eq bgp host 192.168.202.203 30 (5 matches) RP/0/RP0/CPU0:router# clear access-list ipv4 marketing RP/0/RP0/CPU0:router# show access-lists ipv4 marketing ipv4 access-list marketing 10 permit ip 192.168.34.0 0.0.0.255 any 20 permit ip 172.16.0.0 0.0.255.255 any 30 deny tcp host 172.16.0.0 eq bgp host 192.168.202.203 30
copy access-list ipv4
既存の IPv4 アクセス リストのコピーを作成するには、 XR EXEC モード で copy access-list ipv4 コマンドを使用します。
copy access-list ipv4 source-acl destination-acl
構文の説明
| source-acl |
コピー元のアクセス リストの名前 |
| destination-acl |
source-acl 引数の内容がコピーされる宛先のアクセス リストの名前 |
コマンド デフォルト
なし
コマンド モード
XR EXEC モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
設定済みのアクセス リストをコピーするには、copy access-list ipv4 コマンドを使用します。source-acl 引数を使用してコピー元のアクセス リストを指定し、destination-acl 引数を使用して、ソース アクセス リストの内容のコピー先を指定できます。destination-acl 引数は一意の名前でなければなりません。アクセス リストまたはプレフィックス リストを示す destination-acl 引数名が存在する場合、そのアクセス リストはコピーされません。copy access-list ipv4 コマンドは、送信元アクセス リストが存在することをチェックしてから既存のリスト名をチェックし、既存のアクセス リストが上書きされないようにします。
タスク ID
| タスク ID |
動作 |
|---|---|
| acl |
読み取り、書き込み |
| filesystem |
実行 |
例
次の例では、アクセス リスト list-1 のコピーが作成されます。
RP/0/RP0/CPU0:router# show access-lists ipv4 list-1 ipv4 access-list list-1 10 permit tcp any any log 20 permit ip any any RP/0/RP0/CPU0:router# copy access-list ipv4 list-1 list-2 RP/0/RP0/CPU0:router# show access-lists ipv4 list-2 ipv4 access-list list-2 10 permit tcp any any log 20 permit ip any any
次の例では、アクセス リストの list-1 から list-3 へのコピーが、list-3 のアクセス リストがすでに存在しているために拒否されています。
RP/0/RP0/CPU0:router# copy access-list ipv4 list-1 list-3 list-3 exists in access-list RP/0/RP0/CPU0:router# show access-lists ipv4 list-3 ipv4 access-list list-3 10 permit ip any any 20 deny tcp any any log
deny(IPv4)
IPv4 アクセス リストの拒否条件を設定するには、アクセス リスト コンフィギュレーション モードで deny コマンドを使用します。deny コマンドには、deny(送信元)および deny(プロトコル)の 2 つのバージョンがあります。アクセス リストから条件を削除するには、このコマンドの no 形式を使用します。
[ sequence-number] deny source [ source-wildcard] counter counter-name [ log | log-input ]
[ sequence-number] denyprotocol source source-wildcard destination destination-wildcard[ precedenceprecedence] [ dscpdscp] [ fragments] [ packet-length operator packet-length value] [ log | log-input] [ ttlttl value[ value1....value2] ] [ counter counter-name]
no sequence-number
インターネット制御メッセージ プロトコル(ICMP)
[ sequence-number] deny icmp source source-wildcard destination destination-wildcard [icmp-type] [icmp-code] [ precedence precedence ] [ dscp dscp ] [fragments] [ log | log-input ] [ counter counter-name] [icmp-off]
インターネット グループ管理プロトコル(IGMP)
[ sequence-number] deny igmp source source-wildcard destination destination-wildcard [igmp-type] [ precedence precedence ] [ dscp value ] [fragments] [ log | log-input ] [ counter counter-name]
ユーザ データグラム プロトコル(UDP)
[ sequence-number] deny udp source source-wildcard [ operator { port | protocol-port } ] destination destination-wildcard [ operator { port | protocol-port } ] [ precedence precedence ] [ dscp dscp ] [fragments] [ log | log-input ] [ counter counter-name]
構文の説明
コマンド デフォルト
IPv4 アクセス リストの送受信時にパケットが拒否される特定の条件はありません。
ICMP メッセージの生成はデフォルトでイネーブルです。
コマンド モード
IPv4 アクセス リスト コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
アクセス リストでパケットを拒否する条件を指定するには、ipv4 access-list コマンドの後ろに deny コマンドを使用します。
デフォルトでは、アクセス リストの最初のステートメントは 10 で、その次のステートメントからは 10 ずつ増加します。
リスト全体を再入力せずに、既存のアクセス リストに permit、deny、または remark ステートメントを追加できます。新しいステートメントをリストの最後尾以外に追加するには、所属先を示すために 2 つの既存のエントリ 番号の間にある適切なエントリ番号を持つ新しいステートメントを作成します。
番号が連続している 2 つのステートメントの間(たとえば、10 行と 11 行の間)にステートメントを追加する場合は、まず resequence access-list コマンドを使用して最初のステートメントの番号を付け直し、後続の各ステートメントの番号を増加させます。increment 引数を使用すると、ステートメント間に新しい未使用の行番号が生成されます。次に、アクセス リスト中の所属先を指定する entry-number 引数を持つ新しいステートメントを追加します。
次に、precedence の名前のリストを示します。
次に、ICMP メッセージ タイプの名前のリストを示します。
- administratively-prohibited
- alternate-address
- conversion-error
- dod-host-prohibited
- dod-net-prohibited
- echo
- echo-reply
- general-parameter-problem
- host-isolated
- host-precedence-unreachable
- host-redirect
- host-tos-redirect
- host-tos-unreachable
- host-unknown
- host-unreachable
- information-reply
- information-request
- mask-reply
- mask-request
- mobile-redirect
- net-redirect
- net-tos-redirect
- net-tos-unreachable
- net-unreachable
- network-unknown
- no-room-for-option
- option-missing
- packet-too-big
- parameter-problem
- port-unreachable
- precedence-unreachable
- protocol-unreachable
- reassembly-timeout
- redirect
- router-advertisement
- router-solicitation
- source-quench
- source-route-failed
- time-exceeded
- timestamp-reply
- timestamp-request
- traceroute
- ttl-exceeded
- unreachable
次に、ポート番号の代わりに使用できる TCP ポート名のリストを示します。これらのプロトコルの参考情報については、現在の Assigned Numbers RFC を参照してください。これらのプロトコルに対応するポート番号を検索するには、ポート番号の代わりに「?」を入力します。
- bgp
- chargen
- cmd
- daytime
- discard
- domain
- echo
- exec
- finger
- ftp
- ftp-data
- gopher
- hostname
- ident
- irc
- klogin
- kshell
- login
- lpd
- nntp
- pim-auto-rp
- pop2
- pop3
- smtp
- sunrpc
- tacacs
- talk
- telnet
- time
- uucp
- whois
- www
次の UDP ポート名は、ポート番号の代わり使用できます。これらのプロトコルの参考情報については、現在の Assigned Numbers RFC を参照してください。これらのプロトコルに対応するポート番号を検索するには、ポート番号の代わりに「?」を入力します。
- biff
- bootpc
- bootps
- discard
- dnsix
- domain
- echo
- isakmp
- mobile-ip
- nameserver
- netbios-dgm
- netbios-ns
- netbios-ss
- ntp
- pim-auto-rp
- rip
- snmp
- snmptrap
- sunrpc
- syslog
- tacacs
- talk
- tftp
- time
- who
- xdmcp
次のフラグを match-any と match-all キーワードおよび + と - 記号とともに使用すると、表示するフラグを選択できます。
たとえば、match-all +ack +syn は、ack と syn の両方のフラグが設定されている TCP パケットを表示します。また、match-any +ack -syn は、ack が設定されている TCP パケットまたは syn が設定されていないが TCP パケットを表示します。
(注) |
ACL のいずれかの ACE に ABF 句が含まれている場合、その ACL はゼロ以外の圧縮レベルに適用できません。 |
タスク ID
| タスク ID |
動作 |
|---|---|
| ipv4 |
読み取り、書き込み |
| acl |
読み取り、書き込み |
例
次の例は、Internet filter という名前のアクセス リストに拒否条件を設定する方法を示しています。
RP/0/RP0/CPU0:router(config)# ipv4 access-list Internetfilter RP/0/RP0/CPU0:router(config-ipv4-acl)# 10 deny 192.168.34.0 0.0.0.255 RP/0/RP0/CPU0:router(config-ipv4-acl)# 20 deny 172.16.0.0 0.0.255.255 RP/0/RP0/CPU0:router(config-ipv4-acl)# 25 deny tcp host 172.16.0.0 eq bgp host 192.168.202.203 range 1300 1400 RP/0/RP0/CPU0:router(config-ipv4-acl)# permit 10.0.0.0 0.255.255.255
ipv4 access-group
インターフェイスへのアクセスを制御するには、インターフェイス コンフィギュレーション モードで ipv4 access-group コマンドを使用します。指定されたアクセス グループ を削除するには、このコマンドの no 形式を使用します。
ipv4 access-group access-list-name { ingress | egress }
no ipv4 access-group access-list-name { ingress | egress }
構文の説明
| access-list-name |
ipv4 access-list コマンドで指定された IPv4 アクセス リストの名前。 |
| ingress |
インバウンド パケットに対してフィルタリングします。 |
| egress |
発信パケットをフィルタリングします。 |
コマンド デフォルト
インターフェイスには、適用される IPv4 アクセス リストがありません。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
ipv4 access-group コマンドを使用すると、インターフェイスへのアクセスを制御することができます。指定されたアクセス グループ を削除するには、このコマンドの no 形式を使用します。特定の IPv4 アクセス リストを指定するには、access-list-name 引数を使用します。着信パケットをフィルタリングするには ingress キーワードを使用し、発信パケットをフィルタリングするには egress キーワードを使用します。hardware-count 引数を使用すると、アクセス グループのハードウェア カウンタをイネーブルにすることができます。
インターフェイス ACL による MPLS パケットのフィルタリングはサポートされていません。
アクセス リストがアドレスを許可する場合は、ソフトウェアはパケットの処理を継続します。アクセス リストでアドレスが拒否されている場合、ソフトウェアはパケットを廃棄し、インターネット制御メッセージ プロトコル(ICMP)ホスト到達不能メッセージを返します。
指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。
タスク ID
| タスク ID |
動作 |
|---|---|
| acl |
読み取り、書き込み |
| network |
読み取り、書き込み |
例
RP/0/RP0/CPU0:router(config)# interface tenGigE 0/0/0/2 RP/0/RP0/CPU0:router(config-if)# ipv4 access-group p-ingress-filter ingress
RP/0/RP0/CPU0:router(config)# interface tenGigE 0/0/0/2 RP/0/RP0/CPU0:router(config-if)# ipv4 access-group p-ingress-filter ingress interface-statistics
ipv4 access-list
IPv4 アクセス リストを名前で定義するには、 XR コンフィギュレーション モードで ipv4 access-list コマンドを使用します。IPv4 アクセス リストのすべてのエントリを削除するには、このコマンドの no 形式を使用します。
ipv4 access-list name
no ipv4 access-list name
構文の説明
| name | アクセス リストの名前。名前にはスペースや疑問符を使用できません。 |
コマンド デフォルト
定義されている IPv4 アクセス リストはありません。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
ipv4 access-list コマンドは、IPv4 アクセス リストを設定するために使用します。このコマンドを指定すると、ルータはアクセス リスト コンフィギュレーション モードになります。このモードでは、アクセスを拒否または許可する条件を deny または permit コマンドを使用して定義する必要があります。
既存の IPv4 アクセス リストの連続しているエントリの間に permit、deny、または remark ステートメントを追加する場合は、resequence access-list ipv4 コマンドを使用します。先頭のエントリ番号(base)を指定し、ステートメントのエントリ番号を隔てるための増分を指定します。既存のステートメントの番号が再設定され、未使用のエントリ番号で新しいステートメントが追加できるようになります。
アクセス リストをインターフェイスに適用するには、ipv4 access-group コマンドを使用します。
タスク ID
| タスク ID |
動作 |
|---|---|
| acl |
読み取り、書き込み |
例
RP/0/RP0/CPU0:router(config)# ipv4 access-list Internetfilter RP/0/RP0/CPU0:router(config-ipv4-acl)# 10 permit 192.168.34.0 0.0.0.255 RP/0/RP0/CPU0:router(config-ipv4-acl)# 20 permit 172.16.0.0 0.0.255.255 RP/0/RP0/CPU0:router(config-ipv4-acl)# 30 permit 10.0.0.0 0.255.255.255 RP/0/RP0/CPU0:router(config-ipv4-acl)# 39 remark Block BGP traffic from 172.16 net. RP/0/RP0/CPU0:router(config-ipv4-acl)# 40 deny tcp host 172.16.0.0 eq bgp host 192.168.202.203 range 1300 1400
ipv4 access-list log-update rate
IPv4 アクセス リストが記録されるレートを指定するには、 XR コンフィギュレーション モードで ipv4 access-list log-update rate コマンドを使用します。更新レートをデフォルト設定に戻すには、このコマンドの no 形式を使用します。
ipv4 access-list log-update rate rate-number
no ipv4 access-list log-update rate rate-number
構文の説明
| rate-number |
ルータ上で IPv4 アクセス ヒット ログが生成される毎秒のレート。範囲は 1 ~ 1000 です。 |
コマンド デフォルト
デフォルト値は 1 です。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
rate-number 引数は、インターフェイスに設定されているすべての IPv4 アクセス リストに適用されます。つまり、システムに常に 1 ~ 1000 のログ エントリがあるということです。
タスク ID
| タスク ID |
動作 |
|---|---|
| ipv4 |
読み取り、書き込み |
| acl |
読み取り、書き込み |
例
次に、システムの IPv4 アクセス ヒット ロギング レートを設定する方法の例を示します。
RP/0/RP0/CPU0:router(config)# ipv4 access-list log-update rate 10
ipv4 access-list log-update threshold
IPv4 アクセス リストにロギングされるアップデートの数を指定するには、 XR コンフィギュレーション モードで ipv4 access-list log-update threshold コマンドを使用します。ロギングの更新数をデフォルト設定に戻すには、このコマンドの no 形式を使用します。
ipv4 access-list log-update threshold update-number
no ipv4 access-list log-update threshold update-number
構文の説明
| update-number |
ルータに設定された IPv4 アクセス リストごとに記録される更新数。範囲は 0 ~ 2147483647 です。 |
コマンド デフォルト
IPv4 アクセス リストの場合、2147483647 の更新が記録されます。
コマンド モード
XR コンフィギュレーション モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
IPv4 アクセス リスト更新は、1 番目のロギング更新に続いて 5 分間隔で記録されます。ロギングをより頻繁に更新する場合は、更新数を小さく(デフォルトよりも小さい数)するほうが有益です。
タスク ID
| タスク ID |
動作 |
|---|---|
| basic-services |
読み取り、書き込み |
| acl |
読み取り、書き込み |
例
次の例は、ルータに設定されている IPv4 アクセス リストごとに 10 のアップデートをロギングしきい値として設定する方法を示しています。
RP/0/RP0/CPU0:router(config)# ipv4 access-list log-update threshold 10
permit(IPv4)
IPv4 アクセス リストの条件を設定するには、アクセス リスト コンフィギュレーション モードで permit コマンドを使用します。permit コマンドには、permit(送信元)と permit(プロトコル)の 2 つのバージョンがあります。アクセス リストから条件を削除するには、このコマンドの no 形式を使用します。
[ sequence-number] permit source [ source-wildcard] [ log | log-input ]
[ sequence-number] permit protocol net-group source-net-object-group-name destination source-port-object-group-name net-group destination-net-object-group-name port-group destination-port-object-group-name[ capture] [ precedence precedence ] [ default nexthop1 [ vrf vrf-name] [ ipv4 ipv4-address1 nexthop2 [ vrf vrf-name] [ ipv4 ipv4-address2 nexthop3 [ vrf vrf-name] [ ipv4 ipv4-address3 ] ] [ dscp dscp ] [fragments] [ log | log-input ] [ nexthop [ track track-name ] ] [ ttl ttl value [ value1 . .. value2 ] ] [ counter counter-name ]
[ sequence-number] permit protocol net-group source-net-object-group-name port-groupsource-port-object-group-name net-group destination-net-object-group-nameport-groupdestination-port-object-group-name [capture] [ precedence precedence ] [ default nexthop1 [ vrf vrf-name ] [ ipv4 ipv4-address1 ] nexthop2 [ vrf vrf-name ] [ ipv4 ipv4-address2 ] nexthhop3 [ vrf vrf-name ] [ ipv4 ipv4-address3 ] ] [ dscp range dscp dscp ] [fragments] [ log | log-input ] [ nexthop [ track track-name ] ] [ ttl ttl value [ value1 . .. value2 ] ] [ counter counter-name ]
no sequence-number
インターネット制御メッセージ プロトコル(ICMP)
[sequence-number] permit icmp source source-wildcard destination destination-wildcard [icmp-type] [icmp-code] [ precedence precedence ] [ dscp dscp ] [fragments] [ log | log-input ] [icmp-off] [ counter counter-name ]
インターネット グループ管理プロトコル(IGMP)
[sequence-number] permit igmp source source-wildcard destination destination-wildcard [igmp-type] [ precedence precedence ] [ dscp value ] [fragments] [ log | log-input ] [ counter counter-name ]
ユーザ データグラム プロトコル(UDP)
[sequence-number] permit udp source source-wildcard [ operator { port | protocol-port } ] destination destination-wildcard [ operator { port | protocol-port } ] [ precedence precedence ] [ dscp dscp ] [fragments] [ log | log-input ] [ counter counter-name ]
構文の説明
コマンド デフォルト
IPv4 アクセス リストの送受信時にパケットが拒否される特定の条件はありません。
ICMP メッセージの生成はデフォルトでイネーブルです。
コマンド モード
IPv4 アクセス リスト コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
アクセス リストでパケットを許可する条件を指定するには、ipv4 access-list コマンドの後ろに permit コマンドを使用します。
デフォルトでは、アクセス リストの最初のステートメントは 10 で、その次のステートメントからは 10 ずつ増加します。
リスト全体を再入力せずに、既存のアクセス リストに permit、deny、または remark ステートメントを追加できます。新しいステートメントをリストの最後尾以外に追加するには、所属先を示すために 2 つの既存のエントリ 番号の間にある適切なエントリ番号を持つ新しいステートメントを作成します。
番号が連続している 2 つのステートメントの間(たとえば、10 行と 11 行の間)にステートメントを追加する場合は、まず resequence access-list コマンドを使用して最初のステートメントの番号を付け直し、後続の各ステートメントの番号を増加させます。increment 引数を使用すると、ステートメント間に新しい未使用の行番号が生成されます。次に、アクセス リスト中の所属先を指定する entry-number を持つ新しいステートメントを追加します。
(注) |
ACL のいずれかの ACE に ABF 句が含まれている場合、その ACL はゼロ以外の圧縮レベルに適用できません。 |
次に、precedence の名前のリストを示します。
次に、ICMP メッセージ タイプの名前のリストを示します。
- administratively-prohibited
- alternate-address
- conversion-error
- dod-host-prohibited
- dod-net-prohibited
- echo
- echo-reply
- general-parameter-problem
- host-isolated
- host-precedence-unreachable
- host-redirect
- host-tos-redirect
- host-tos-unreachable
- host-unknown
- host-unreachable
- information-reply
- information-request
- mask-reply
- mask-request
- mobile-redirect
- net-redirect
- net-tos-redirect
- net-tos-unreachable
- net-unreachable
- network-unknown
- no-room-for-option
- option-missing
- packet-too-big
- parameter-problem
- port-unreachable
- precedence-unreachable
- protocol-unreachable
- reassembly-timeout
- redirect
- router-advertisement
- router-solicitation
- source-quench
- source-route-failed
- time-exceeded
- timestamp-reply
- timestamp-request
- traceroute
- ttl-exceeded
- unreachable
次に、ポート番号の代わりに使用できる TCP ポート名のリストを示します。これらのプロトコルの参考情報については、現在の Assigned Numbers RFC を参照してください。これらのプロトコルに対応するポート番号を検索するには、ポート番号の代わりに「?」を入力します。
- bgp
- chargen
- cmd
- daytime
- discard
- domain
- echo
- exec
- finger
- ftp
- ftp-data
- gopher
- hostname
- ident
- irc
- klogin
- kshell
- login
- lpd
- nntp
- pim-auto-rp
- pop2
- pop3
- smtp
- sunrpc
- tacacs
- talk
- telnet
- time
- uucp
- whois
- www
次の UDP ポート名は、ポート番号の代わり使用できます。これらのプロトコルの参考情報については、現在の Assigned Numbers RFC を参照してください。これらのプロトコルに対応するポート番号を検索するには、ポート番号の代わりに「?」を入力します。
- biff
- bootpc
- bootps
- discard
- dnsix
- domain
- echo
- isakmp
- mobile-ip
- nameserver
- netbios-dgm
- netbios-ns
- netbios-ss
- ntp
- pim-auto-rp
- rip
- snmp
- snmptrap
- sunrpc
- syslog
- tacacs
- talk
- tftp
- time
- who
- xdmcp
次のフラグを match-any と match-all キーワードおよび + と - 記号とともに使用すると、表示するフラグを選択できます。
たとえば、match-all +ack +syn は、ack と syn の両方のフラグが設定されている TCP パケットを表示します。また、match-any +ack -syn は、ack が設定されている TCP パケットまたは syn が設定されていない TCP パケットを表示します。
タスク ID
| タスク ID |
動作 |
|---|---|
| ipv4 |
読み取り、書き込み |
| acl |
読み取り、書き込み |
例
次に、Internetfilter という名前のアクセス リストの許可条件を設定する方法の例を示します。
RP/0/RP0/CPU0:router(config)# ipv4 access-list Internetfilter RP/0/RP0/CPU0:router(config-ipv4-acl)# 10 permit 192.168.34.0 0.0.0.255 RP/0/RP0/CPU0:router(config-ipv4-acl)# 20 permit 172.16.0.0 0.0.255.255 RP/0/RP0/CPU0:router(config-ipv4-acl)# 25 permit tcp host 172.16.0.0 eq bgp host 192.168.202.203 range 1300 1400 RP/0/RP0/CPU0:router(config-ipv4-acl)# deny 10.0.0.0 0.255.255.255
remark(IPv4)
IPv4 アクセス リストのエントリに有益なコメント(注釈)を記入するには、IPv4 アクセス リスト コンフィギュレーション モードで remark コマンドを使用します。コメントを削除するには、このコマンドの no 形式を使用します。
[sequence-number] remark remark
no sequence-number
構文の説明
| sequence-number |
(任意)アクセス リスト内の remark ステートメントの番号。この番号により、アクセス リスト中のステートメントの順番を識別します。範囲は 1 ~ 2147483646 です。(デフォルトでは、1 番目のステートメントの番号は 10 で、後続のステートメントの番号は 10 ずつ増加していきます)。 |
| remark |
アクセス リスト中のエントリを記述するコメント(最大 255 文字まで)です。 |
コマンド デフォルト
IPv4 アクセス リストのエントリには注釈がありません。
コマンド モード
IPv4 アクセス リスト コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
remark コマンドを使用すると、IPv4 アクセス リストのエントリに有益なコメントを書き込むことができます。コメントを削除するには、このコマンドの no 形式を使用します。
注釈は最大 255 文字まで可能で、これより長い文字は切り捨てられます。
削除するコメントのシーケンス番号がわかっている場合は、no sequence-number コマンドで削除できます。
既存のアクセス リストにステートメントを追加したいときに、連続エントリにシーケンス番号が付いているためステートメントを追加できない場合は、resequence access-list ipv4 コマンドを使用します。
タスク ID
| タスク ID |
動作 |
|---|---|
| ipv4 |
読み取り、書き込み |
| acl |
読み取り、書き込み |
例
次の例では、発信 Telnet を使用するための user1 サブネットは許可されません。
RP/0/RP0/CPU0:router(config)# ipv4 access-list telnetting RP/0/RP0/CPU0:router(config-ipv4-acl)# 10 remark Do not allow user1 to telnet out RP/0/RP0/CPU0:router(config-ipv4-acl)# 20 deny tcp host 172.16.2.88 255.255.0.0 any eq telnet RP/0/RP0/CPU0:router(config-ipv4-acl)# 30 permit icmp any any RP/0/RP0/CPU0:router# show ipv4 access-list telnetting ipv4 access-list telnetting 0 remark Do not allow user1 to telnet out 20 deny tcp 172.16.2.88 255.255.0.0 any eq telnet out 30 permit icmp any any
resequence access-list ipv4
既存のステートメントの番号を再設定して以降のステートメントを増分し、新しい IPv4 アクセス リスト ステートメント(permit、deny、remark)を追加できるようにするには、 XR EXEC モードで resequence access-listipv4 コマンドを使用します。
resequence access-list ipv4 name [ base [increment] ]
構文の説明
| name |
IPv4 アクセス リストの名前。 |
| base |
(任意)指定されたアクセス リスト中の 1 番目のステートメントであり、アクセス リスト中の順番を決定します。最大値は 2147483644 です。デフォルト値は 10 です。 |
| increment |
(任意)以降のステートメントでの、ベース シーケンス番号に対する増分。最大値は 2147483644 です。デフォルト値は 10 です。 |
コマンド デフォルト
base: 10
increment: 10
コマンド モード
XR EXEC モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
既存の IPv4 アクセス リストの連続しているエントリの間に permit、deny、または remark ステートメントを追加するには、resequence access-list ipv4 コマンドを使用します。先頭のエントリ番号(base)を指定し、ステートメントのエントリ番号を隔てるための増分を指定します。既存のステートメントの番号が再設定され、未使用のエントリ番号で新しいステートメントが追加できるようになります。
タスク ID
| タスク ID |
動作 |
|---|---|
| acl |
読み取り、書き込み |
例
次の例では、既存のアクセス リストがあると想定しています。
ipv4 access-list marketing 1 permit 10.1.1.1 2 permit 10.2.0.0 0.0.255.255 3 permit tcp host 10.2.2.2 255.255.0.0 any eq telnet
アクセス リストにエントリを追加する場合は次のようにします。最初に、エントリの番号を付け直して(ステートメントの番号を 20 から始めて 5 ずつ増加させる)、既存の各ステートメント間に追加ステートメントを挿入できるスペースを設けます。
RP/0/RP0/CPU0:router# resequence access-list ipv4 marketing 20 5 RP/0/RP0/CPU0:router# show access-lists ipv4 marketing ipv4 access-list marketing 20 permit 10.1.1.1 25 permit 10.2.0.0 30 permit tcp host 10.2.2.2 255.255.0.0 any eq telnet
これで、新しいエントリを追加できます。
RP/0/RP0/CPU0:router(config)# ipv4 access-list marketing RP/0/RP0/CPU0:router(config-ipv4-acl)# 3 remark Do not allow user1 to telnet out RP/0/RP0/CPU0:router(config-ipv4-acl)# 4 deny tcp host 172.16.2.88 255.255.0.0 any eq telnet RP/0/RP0/CPU0:router(config-ipv4-acl)# 29 remark Allow user2 to telnet out RP/0/RP0/CPU0:router# show access-lists ipv4 marketing ipv4 access-list marketing 3 remark Do not allow user1 to telnet out 4 deny tcp host 171.69.2.88 255.255.0.0 any eq telnet 20 permit 10.1.1.1 25 permit 10.2.0.0 29 remark Allow user2 to telnet out 30 permit tcp host 10.2.2.2 255.255.0.0 any eq telnet
show access-lists afi-all
現在の IPv4 および IPv6 アクセス リストの内容を表示するには、 XR EXEC モードで show access-lists afi-all コマンドを使用します。
show access-lists afi-all
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド モード
XR EXEC モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
このコマンドの使用に影響する特定のガイドラインはありません。
タスク ID
| タスク ID |
動作 |
|---|---|
| acl |
読み取り |
例
次の例は、show access-lists afi-all コマンドの出力を示しています。
RP/0/RP0/CPU0:router# show access-lists afi-all
ipv4 access-list crypto-1
10 permit ipv4 65.21.21.0 0.0.0.255 65.6.6.0 0.0.0.255
20 permit ipv4 192.168.241.0 0.0.0.255 192.168.65.0 0.0.0.255
show access-lists ipv4
現在の IPv4 アクセス リストの内容を表示するには、 XR EXEC モードで show access-listsipv4 コマンドを使用します。
show access-lists ipv4 [ access-list-name hardware { ingress | egress } [ interface type ] { sequence number | location node-id } | summary [access-list-name] | access-list-name [ sequence-number] | maximum [detail] [ usage pfilter { resource-usage location node-id | all } ] ]
構文の説明
| access-list-name |
(任意)特定の IPv4 アクセス リストの名前。この名前にスペースや引用符を含めることはできませんが、数値を含めることはできます。 |
| hardware |
(任意)アクセス リストを、インターフェイスのアクセス リストとして識別します。 |
| ingress |
(任意)着信インターフェイスを指定します。 |
| egress |
(任意)発信インターフェイスを指定します。 |
| interface |
(任意)インターフェイス統計情報を表示します。 |
| type |
(任意)インターフェイス タイプ。詳細については、疑問符(?)オンライン ヘルプ機能を使用します。 |
| sequencenumber |
(任意)特定の IPv4 アクセス リストのシーケンス番号。範囲は 1 ~ 2147483644 です。 |
| resource-usage |
圧縮レベルの TCAM リソース使用量を表示します。 |
| locationnode-id |
(任意)特定の IPv4 アクセス リストの場所。node-id 引数は、rack/slot/module の形式で入力します。 |
| summary |
(任意)現在のすべての IPv4 アクセス リストのサマリーを表示します。 |
| sequence-number |
(任意)特定の IPv4 アクセス リストのシーケンス番号。範囲は 1 ~ 2147483644 です。 |
| maximum |
(任意)IPv4 アクセス コントロール リスト(ACL)およびアクセス コントロール エントリ(ACE)の現在の設定可能最大数を表示します。 |
| detail |
(任意)完全な out-of-resource(OOR)の詳細を表示します。 |
| usage |
(任意)指定されたラインカード上のアクセス リストの使用方法を表示します。 |
| pfilter |
(任意)指定されたラインカードのパケット フィルタリングの使用方法を表示します。 |
| all |
(任意)すべてのラインカードの場所を表示します。 |
コマンド デフォルト
デフォルトでは、すべての IPv4 アクセス リストを表示します。
コマンド モード
XR EXEC モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
show access-listsipv4 コマンドを使用すると、すべての IPv4 アクセス リストの内容を表示することができます。特定の IPv4 アクセス リストの内容を表示するには、name 引数を使用します。sequence-number 引数を使用すると、アクセス リストのシーケンス番号を指定できます。
特定の方向(入力または出力)で特定のアクセス リスを使用するすべてのインターフェイスについて、アクセス リストのハードウェア コンテンツとカウンタを表示するには、hardware、ingress または egress、および location キーワードを使用します。特定のアクセス リスト エントリの内容を表示するには、sequencenumber キーワードと引数を使用します。インターフェイスのアクセス グループを設定するには、ipv4 access-group コマンドを使用してアクセス リストのハードウェア カウンタをイネーブルにする必要があります。
show access-lists ipv4 summary コマンドを使用すると、現在の全 IPv4 アクセス リストのサマリーを表示できます。特定の IPv4 アクセス リストのサマリーを表示するには、name 引数を使用します。
show access-lists ipv4 maximum detail コマンドを使用すると、IPv4 アクセス リストの OOR の詳細を表示できます。OOR は、システムに設定可能な ACL および ACE の数を制限します。この制限に達すると、新しい ACL または ACE が拒否されます。
show access-list ipv4 usage コマンドを使用すると、特定のラインカードにプログラミングされているすべてのインターフェイスとアクセス リストのサマリーを表示できます。
egress での ACL はリリース 6.0 ではサポートされていません
タスク ID
| タスク ID |
動作 |
|---|---|
| acl |
読み取り |
例
次の例では、すべての IPv4 アクセス リストの内容が表示されています。
RP/0/RP0/CPU0:router# show access-lists ipv4 ipv4 access-list 101 10 deny udp any any eq ntp 20 permit tcp any any 30 permit udp any any eq tftp 40 permit icmp any any 50 permit udp any any eq domain ipv4 access-list Internetfilter 10 permit tcp any 172.16.0.0 0.0.255.255 eq telnet 20 deny tcp any any 30 deny udp any 172.18.0.0 0.0.255.255 lt 1024 40 deny ipv4 any any log
| フィールド |
説明 |
|---|---|
| hw matches |
ハードウェア一致の数 |
| ACL name |
ハードウェアにプログラミングされた ACL の名前。 |
| Sequence Number |
各 ACE シーケンス番号は、ACE に設定された値に対応するすべてのフィールドとともにハードウェア内にプログラミングされます。 |
| Grant |
ACE ルールによって、grant は拒否、許可、またはその両方に設定されます。 |
| Logging |
Logging は、ACE がログ オプションを使用して ログをイネーブルにする場合にオンに設定されます。 |
| Per ace icmp |
Per ace icmp がハードウェア内でオンに設定されると、ICMP は到達不能で、レートが制限され、生成されます。デフォルトでは、オンに設定されます。 |
| Hits |
ACE のハードウェア カウンタ。 |
次の例では、すべての IPv4 アクセス リストのサマリーが表示されています。
RP/0/RP0/CPU0:router# show access-lists ipv4 summary
ACL Summary:
Total ACLs configured: 3
Total ACEs configured: 11
| フィールド |
説明 |
|---|---|
| Total ACLs configured |
設定された IPv4 ACL の数 |
| Total ACEs configured |
設定された IPV4 ACE の数 |
次の例では、すべての IPv4 アクセス リストの OOR の詳細が表示されています。
RP/0/RP0/CPU0:router# show access-lists ipv4 maximum detail
Default max configurable acls :5000
Default max configurable aces :200000
Current configured acls :1
Current configured aces :2
Current max configurable acls :5000
Current max configurable aces :200000
Max configurable acls :9000
Max configurable aces :350000
| フィールド |
説明 |
|---|---|
| Default max configurable acls |
IPv4 ACL のデフォルトの設定可能最大数 |
| Default max configurable aces |
IPv4 ACE のデフォルトの設定可能最大数 |
| Current configured acls |
設定された IPv4 ACL の数 |
| Current configured aces |
設定された IPv4 ACE の数 |
| Current max configurable acls |
IPv4 ACL の設定可能最大数 |
| Current max configurable aces |
IPv4 ACE の設定可能最大数 |
| Max configurable acls |
IPv4 ACL の設定可能最大数 |
| Max configurable aces |
IPv4 ACE の設定可能最大数 |
RP/0/RP0/CPU0:router# show access-lists ipv4 usage pfilter location 0/RP0/CPU0 Interface : tenGigE 0/0/0/1 Input Common-ACL : ipv4_c_acl ACL : ipv4_i_acl_1 Output ACL : ipv4_i_acl_1
(注) |
バンドル インターフェイスに対するパケット フィルタリングの使用を表示するには、show access-lists ipv4 usage pfilter location all コマンドを使用します。 |
RP/0/RP0/CPU0:router# sh access-lists ipv4 acl-v4 hardware ingress resource-usage location 0/RP0/CPU0
Rules (ACE) : 2
TCAM Entries used : 2 ( 2048k total)
TCAM Key Width : 160
show pfilter-ea
パケット フィルタ ea 情報を表示するには、ASR 9000 拡張イーサネット ラインカードで XR EXEC モード に入って show pfilter ea コ マンドを入力します。
show pfilter-ea fea { ipv4 acl | ipv6 acl } acl-name location node-id
構文の説明
| ipv4 acl | IPv4 アクセス リストを示します。 |
| ipv6 acl | IPv6 アクセス リストを示します。 |
| acl-name | IPv4/IPv6 アクセス リストの名前。 |
| locationnode-id | 特定の IPv4/IPv6 アクセス リストの場所。node-id 引数は、rack/slot/module の形式で入力します。 |
コマンド デフォルト
なし
コマンド モード
XR EXEC モードコマンド履歴
| リリース |
変更内容 |
|---|---|
| リリース 6.0 |
このコマンドが導入されました。 |
使用上のガイドライン
このコマンドは、ASR 9000 拡張イーサネット ラインカードでのみ使用できます。
タスク ID
| タスク ID | 動作 |
|---|---|
| root-system | 読み取り、書き込み |
例
次の例は、パケット フィルタ ea 情報の表示方法を示しています。
RP/0/RP0/CPU0:router# show feature-mgr client pfilter-ea feature-info summary location 0/RP0/CPU0
IFH NPU DIR Lookup-type VMR-ID ACL-ID Refcnt Feature-Name
---------- --- --- ----------- ----------- ------ ------ ------------
0x8000048 0 IN IPV4_ACL (L3) 0x2 3 1 skywarp_acl
0x8000038 0 IN IPV4_ACL (L3) 0x1 2 1 v4-acl
0x8000040 0 IN IPV4_ACL (L2) 0x200000001 2 1 v4-acl
| フィールド |
説明 |
|---|---|
| IFH |
ACL が適用されるインターフェイスのインターフェイス ハンドル |
| DIR |
ACL が適用される方向を示します。IN は入力、OUT は出力。 |
| Lookup-type |
ACL のタイプ(IPv4 または IPv6)。L3/L2 はインターフェイスのタイプを示します。 |
| Reference count |
特定の ACL が適用されるインターフェイスの番号を示します。 |
| Feature name |
ハードウェアにプログラミングされた ACL の名前。 |
フィードバック