access-group
- モード
- インターフェースモード
- カテゴリー
- トラフィック制御 / ハードウェアパケットフィルター
構文
(config-if)# [no] access-group {<3000-3699>|<4000-4699>|LISTNAME}
コマンド説明
対象スイッチポートにハードウェアアクセスリスト(シーケンス番号対応)、ハードウェアIPアクセスリスト、ハードウェアMACアクセスリストを追加する。no形式で実行した場合は、対象インターフェースから指定したハードウェアアクセスリスト(シーケンス番号対応)、ハードウェアIPアクセスリスト、ハードウェアMACアクセスリストを削除する。
スイッチポートには、ハードウェアアクセスリストを複数追加できる(シーケンス番号対応、IP、MAC、IPv6を混在可能)。
スイッチポートで受信したパケットは、同ポートに適用されたハードウェアアクセスリストのそれぞれと照合され、最初にマッチしたアクセスリストで指定されたアクションが実行される。パケットとアクセスリストの照合は、スイッチポートへの追加順に行われる。
なお、スイッチポートに適用されたハードウェアパケットフィルターを「インターフェース・ハードウェアパケットフィルター」と呼ぶ。一方、スイッチ全体に適用されたハードウェアパケットフィルターは「グローバル・ハードウェアパケットフィルター」と呼ぶ。
パラメーター
<3000-3699>- ハードウェアIPアクセスリスト番号
<4000-4699>- ハードウェアMACアクセスリスト番号
LISTNAME- ハードウェアアクセスリスト名(シーケンス番号対応)
使用例
ポート1.0.1~1.0.16に対し、172.16.10.1へのPing(ICMP Echo)を破棄するハードウェアIPアクセスリスト3000と、172.16.10.1へのTelnetを禁止するハードウェアIPアクセスリスト3001を適用する。awplus(config)# access-list 3000 deny icmp any 172.16.10.1/32 icmp-type 8 awplus(config)# access-list 3001 deny tcp any 172.16.10.1/32 eq 23 awplus(config)# interface port1.0.1-port1.0.16 awplus(config-if)# access-group 3000 awplus(config-if)# access-group 3001
ポート1.0.1からハードウェアIPアクセスリスト3000を削除する。
awplus(config)# interface port1.0.1 awplus(config-if)# no access-group 3000
注意・補足事項
同一ポート上において、ハードウェアパケットフィルターとポリシーマップを併用することは可能。該当ポートで受信したパケットの処理は、ハードウェアパケットフィルター、ポリシーマップの順に行われる。ただし、併用時は次項で述べる制限事項があるので注意すること。ハードウェアパケットフィルターにマッチしたパケットに対して、ポリシーマップによるQoSは適用されない(ここでの「マッチ」とは、破棄(deny)だけでなく明示的な転送許可(permitなど)も含む)。ハードウェアパケットフィルターで破棄(deny)のアクションだけを使用する場合は両者を併用しても問題はないが、ハードウェアパケットフィルターで破棄以外のアクションを使用する場合は、ハードウェアパケットフィルターとポリシーマップを併用せずに、ポリシーマップのフィルタリング機能を使ってフィルタリングを行うこと。
ハードウェアパケットフィルターでは、IPヘッダーのDSCP値やTOS優先度値、TCPヘッダーの制御フラグ値などに基づくフィルタリングはできない。これらの条件でフィルタリングを行いたい場合は、ポリシーマップのフィルタリング機能を使う。
トランクグループにハードウェアパケットフィルターを適用するときは、次の点に注意すること。
- スタティックチャンネルグループ(手動設定のトランクグループ)の場合は、インターフェース名「saX」(Xはスタティックチャンネルグループ番号)に対してアクセスリストを設定する。たとえば、スタティックチャンネルグループ「1」にハードウェアIPアクセスリスト3010を適用するには、次のようにする。
awplus(config)# interface sa1 awplus(config-if)# access-group 3010
スタティックチャンネルグループのメンバーポートに対してアクセスリストを適用することはできないので注意。
awplus(config)# interface port1.0.12 awplus(config-if)# access-group 3010 % ACL cannot be attached to an interface that is a member of a static-channel-group. Try attaching the ACL to "sa" interface.
- LACPチャンネルグループ(自動設定のトランクグループ)の場合は、該当グループに所属しているすべてのスイッチポートに対してアクセスリストを設定する。たとえば、スイッチポート1.0.1~1.0.10からなるLACPチャンネルグループ「1」にハードウェアIPアクセスリスト3020を適用するには、次のようにする。
awplus(config)# interface port1.0.1-1.0.10 awplus(config-if)# access-group 3020
インターフェース名「poX」(XはLACPチャンネルグループ番号)に対してアクセスリストを適用することはできないので注意。
awplus(config)# interface po1 awplus(config-if)# access-group 3020 % ACL cannot be attached to a dynamic aggregator interface.