match access-group
- モード
- クラスマップモード
- カテゴリー
- トラフィック制御 / Quality of Service
構文
(config-cmap)# [no] match access-group {<3000-3699>|<4000-4699>|LISTNAME}
コマンド説明
対象クラスマップにmatch access-group節を追加する。すでにmatch access-group節が存在していた場合は、内容を変更する。no形式で実行した場合はmatch access-group節を削除する。
match access-group節は、ハードウェアアクセスリスト(シーケンス番号対応)、ハードウェアIPv6アクセスリスト(シーケンス番号対応)、ハードウェアIPアクセスリスト、ハードウェアMACアクセスリストのいずれかを用いて、パケットをトラフィッククラスに分類するもの。パケットがアクセスリストにマッチした場合、アクセスリストのアクション(permit、denyなど)が該当トラフィッククラスに対するクラスマップのアクションとなる。
パラメーター
<3000-3699>- ハードウェアIPアクセスリスト番号
<4000-4699>- ハードウェアMACアクセスリスト番号
LISTNAME- ハードウェアアクセスリスト名またはハードウェアIPv6アクセスリスト名(いずれもシーケンス番号対応)
使用例
10.100.10.70から10.100.10.100へのSSHトラフィックを識別するため、ハードウェアIPアクセスリスト3002を定義し、これをクラスマップssh70to100のmatch access-group節で指定する。アクセスリストのアクションがpermitなので、クラスマップssh70to100のアクションもpermitとなる。awplus(config)# access-list 3002 permit tcp 10.100.10.70/32 10.100.10.100/32 eq 22 awplus(config)# class-map ssh70to100 awplus(config-cmap)# match access-group 3002
192.168.0.0~192.168.255.255からのPingを遮断するため、ハードウェアIPアクセスリスト3010を定義し、これをクラスマップdenyPingFrom192のmatch access-group節で指定する。アクセスリストのアクションがdenyなので、クラスマップdenyPingFrom192のアクションもdenyとなる。
awplus(config)# access-list 3010 deny icmp 192.168.0.0/16 any icmp-type 8 awplus(config)# class-map denyPingFrom192 awplus(config-cmap)# match access-group 3010