ipv6 traffic-filter
- モード
- インターフェースモード
- カテゴリー
- トラフィック制御 / ハードウェアパケットフィルター
構文
(config-if)# [no] ipv6 traffic-filter LISTNAME
コマンド説明
対象スイッチポートにハードウェアIPv6アクセスリスト(シーケンス番号対応)を追加する。no形式で実行した場合は、対象インターフェースから指定したハードウェアIPv6アクセスリスト(シーケンス番号対応)を削除する。
スイッチポートには、ハードウェアアクセスリストを複数追加できる(シーケンス番号対応、IP、MAC、IPv6を混在可能)。
スイッチポートで受信したパケットは、同ポートに適用されたハードウェアアクセスリストのそれぞれと照合され、最初にマッチしたアクセスリストで指定されたアクションが実行される。パケットとアクセスリストの照合は、スイッチポートへの追加順に行われる。
パラメーター
LISTNAME- ハードウェアIPv6アクセスリスト名(シーケンス番号対応)
使用例
ポート1.0.1~1.0.24に対し、2001:db8:3c:10::1へのPing(ICMPv6 Echo Request)とTelnetを禁止するハードウェアIPv6アクセスリストaclv6-00を適用する。awplus(config)# ipv6 access-list aclv6-00 awplus(config-ipv6-hw-acl)# deny icmp any 2001:db8:3c:10::1/128 icmp-type 128 awplus(config-ipv6-hw-acl)# deny tcp any 2001:db8:3c:10::1/128 eq 23 awplus(config-ipv6-hw-acl)# exit awplus(config)# interface port1.0.1-port1.0.24 awplus(config-if)# ipv6 traffic-filter aclv6-00
ポート1.0.1からハードウェアIPv6アクセスリストaclv6-00を削除する。
awplus(config)# interface port1.0.1 awplus(config-if)# no ipv6 traffic-filter aclv6-00
注意・補足事項
同一ポート上において、ハードウェアパケットフィルターとポリシーマップを併用することは可能。該当ポートで受信したパケットの処理は、ハードウェアパケットフィルター、ポリシーマップの順に行われる。ただし、併用時は次項で述べる制限事項があるので注意すること。
ハードウェアパケットフィルターにマッチしたパケットに対して、ポリシーマップによるQoSは適用されない(ここでの「マッチ」とは、破棄(deny)だけでなく明示的な転送許可(permitなど)も含む)。ハードウェアパケットフィルターで破棄(deny)のアクションだけを使用する場合は両者を併用しても問題はないが、ハードウェアパケットフィルターで破棄以外のアクションを使用する場合は、ハードウェアパケットフィルターとポリシーマップを併用せずに、ポリシーマップのフィルタリング機能を使ってフィルタリングを行うこと。
トランクグループにハードウェアパケットフィルターを適用するときは、次の点に注意すること。
- スタティックチャンネルグループ(手動設定のトランクグループ)の場合は、インターフェース名「saX」(Xはスタティックチャンネルグループ番号)に対してアクセスリストを設定する。たとえば、スタティックチャンネルグループ「1」にハードウェアIPアクセスリスト3010を適用するには、次のようにする。
awplus(config)# interface sa1 awplus(config-if)# ipv6 traffic-filter aclv6-00
スタティックチャンネルグループのメンバーポートに対してアクセスリストを適用することはできないので注意。
- LACPチャンネルグループ(自動設定のトランクグループ)の場合は、該当グループに所属しているすべてのスイッチポートに対してアクセスリストを設定する。たとえば、スイッチポート1.0.1~1.0.10からなるLACPチャンネルグループ「1」にハードウェアIPアクセスリスト3020を適用するには、次のようにする。
awplus(config)# interface port1.0.1-1.0.10 awplus(config-if)# ipv6 traffic-filter aclv6-00
インターフェース名「poX」(XはLACPチャンネルグループ番号)に対してアクセスリストを適用することはできないので注意。