[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

access-list ipv6 extended(rule entry)

モード: 拡張IPv6アクセスリストモード
カテゴリー: ファイアウォール / IPv6フィルター

(config-acl-ipv6-ext)# [dynamic] ACTION ipv6 SRCIP DSTIP [IP6OPT] [header-type <0-255>] [log] [sequence <1-65535>]

(config-acl-ipv6-ext)# [dynamic] ACTION <0-255> SRCIP DSTIP [IP6OPT] [header-type <0-255>] [log] [sequence <1-65535>]

(config-acl-ipv6-ext)# [dynamic] ACTION icmpv6 SRCIP DSTIP [IP6OPT] [header-type <0-255>] [ICMP6OPT] [log] [sequence <1-65535>]

(config-acl-ipv6-ext)# [dynamic] ACTION tcp SRCIP [SRCPORT] DSTIP [DSTPORT] [IP6OPT] [header-type <0-255>] [TCPOPT] [log] [sequence <1-65535>]

(config-acl-ipv6-ext)# [dynamic] ACTION udp SRCIP [SRCPORT] DSTIP [DSTPORT] [IP6OPT] [header-type <0-255>] [log] [sequence <1-65535>]

(config-acl-ipv6-ext)# no sequence <1-65535>

(config-acl-ipv6-ext)# no [dynamic] ACTION ipv6 SRCIP DSTIP [IP6OPT] [header-type <0-255>] [log]

(config-acl-ipv6-ext)# no [dynamic] ACTION <0-255> SRCIP DSTIP [IP6OPT] [header-type <0-255>] [log]

(config-acl-ipv6-ext)# no [dynamic] ACTION icmp SRCIP DSTIP [IP6OPT] [header-type <0-255>] [ICMP6OPT] [log]

(config-acl-ipv6-ext)# no [dynamic] ACTION tcp SRCIP [SRCPORT] DSTIP [DSTPORT] [IP6OPT] [header-type <0-255>] [TCPOPT] [log]

(config-acl-ipv6-ext)# no [dynamic] ACTION udp SRCIP [SRCPORT] DSTIP [DSTPORT] [IP6OPT] [header-type <0-255>] [log]

対象拡張IPv6アクセスリストにエントリーを追加する。または、既存エントリーを変更する。
no形式で実行した場合は指定したエントリーを削除する。

拡張IPv6アクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号順に行われる。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。

パラメーター

dynamic 条件に合致したパケットを双方向のフローとしてキャッシュに登録し、戻りパケットの自動許可とパフォーマンス向上をはかる。permitアクションに対してのみ有効。denyアクションでは無視される

ACTION 条件に合致した場合のアクション。以下から選択する

deny パケットを破棄する

permit パケットを許可する

ipv6 すべてのIPv6パケットを対象とする場合（上位プロトコルタイプを気にしない場合）に指定する

<0-255> 特定の上位プロトコルタイプ（IPv6ヘッダーの次ヘッダーフィールドの値）を持つパケットだけを対象とする場合に指定する。プロトコルタイプは10進数で指定する

icmpv6 ICMPv6パケットだけを対象とする場合に指定する。icmpv6を指定した場合は、ICMP6OPTでICMPv6固有の条件を指定することができる（指定しなくてもよい）

tcp TCPパケットだけを対象とする場合に指定する。tcpを指定した場合は、始点・終点ポート番号とTCP固有の条件を指定することができる（指定しなくてもよい）

udp UDPパケットだけを対象とする場合に指定する。udpを指定した場合は、始点・終点ポート番号を指定することができる（指定しなくてもよい）

SRCIP IPv6アドレス（通常始点IPv6アドレス）。次のいずれかの形式で指定する

host X:X::X:X IPv6アドレス

X:X::X:X/M IPv6アドレスとマスク長。マスク長Mは、対象アドレスとX:X::X:Xの先頭何ビットを比較するかを指定する

any すべてのIPv6アドレスに合致させる場合に指定する。「::/0」と同義

SRCPORT 始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は次のいずれかの形式で指定する。数値の代わりに定義済みのキーワード（サービス名）で指定することもできる（別表参照）

eq <1-65535> 指定したポート番号と等しいときにマッチ。たとえば、「eq 80」はポート80とマッチする

lt <1-65535> 指定したポート番号より小さいときにマッチ。たとえば、「lt 1024」はポート0～1023にマッチする

gt <1-65535> 指定したポート番号より大きいときにマッチ。たとえば、「gt 32767」はポート32768～65535にマッチする

ne <1-65535> 指定したポート番号と等しくないときにマッチ。たとえば、「ne 22」はポート22以外とマッチする

range <1-65535> <1-65535> ポート番号が指定した範囲内のときにマッチ。たとえば、「range 8080 8088」は、ポート8080～8088にマッチする

DSTIP 終点IPv6アドレス。次のいずれかの形式で指定する

host X:X::X:X IPv6アドレス

X:X::X:X/M IPv6アドレスとマスク長。マスク長Mは、対象アドレスとX:X::X:Xの先頭何ビットを比較するかを指定する

interface IFNAME インターフェース名。指定したインターフェースに設定されているIPv6アドレスとマッチする

any すべてのIPv6アドレスに合致させる場合に指定する。「::/0」と同義

DSTPORT 終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。

IP6OPT := ipv6-option {{dscp <0-63>} | {precedence <0-7> & tc <0-15>}}

IPv6固有の条件パラメーター

dscp <0-63> IPv6ヘッダーのDSCPフィールド値（Traffic Classオクテットの第1～6ビット）

precedence <0-7> IPv6ヘッダーの優先度フィールド値（Traffic Classオクテットの第1～3ビット）。数値の代わりに定義済みのキーワードで指定することもできる（別表参照）

tc <0-15> IPv6ヘッダーのトラフィッククラスフィールド値（Traffic Classオクテットの第4～7ビット）。数値の代わりに定義済みのキーワードで指定することもできる（別表参照）

header-type <0-255> ヘッダータイプ。指定したヘッダーが存在する場合にマッチ

ICMP6OPT := icmp-option {type <0-255> & code <0-255> | message NAME}

ICMPv6固有の条件パラメーター

type <0-255> ICMPv6メッセージタイプ。上位プロトコルタイプとしてicmpv6を指定したときだけ有効。省略時はすべてのタイプが対象になる

code <0-255> ICMPv6メッセージコード。ICMPv6メッセージタイプ（type）を指定した場合のみ有効。省略時はすべてのコードが対象になる

message NAME ICMPv6メッセージ名（別表参照）。

TCPOPT := flags ONFLAGS/CHECKFLAGS

TCPフラグのチェック条件。チェック対象のフラグをCHECKFLAGSに、チェック対象のうちオンであるべきフラグをONFLAGSに列挙する。フラグは、U、A、P、R、S、Fのフラグ名（大文字小文字を区別しない）を「SA」のように並べるか、「0x12」形式の16進数で指定する（別表参照）。たとえば、「SYN=on」かつ「ACK=off」のTCPパケットにマッチさせたいなら、チェック対象が「SA」、オンであるべきフラグが「S」なので、「flags S/SA」または「flags 0x02/0x12」と指定する

log 条件に合致したときログに記録を残したい場合に指定する（本オプションで記録されるログはnoticeレベルになる）

sequence <1-65535> シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。既存エントリーと同じ番号を指定した場合は、既存エントリーの内容を書き換える。エントリーの新規作成時に省略した場合は、リストの最後にエントリーが追加され、シーケンス番号は既存の最後尾エントリーの番号＋10になる（最初のエントリーは10になる）。本パラメーターはコマンド行の先頭、末尾のどちらにでも置ける

注意・補足事項

■ 拡張IPv6アクセスリストの末尾には「deny any any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。

■ no形式でエントリーを削除しても、他のエントリーのシーケンス番号は変更されない（削除されたエントリーのシーケンス番号が空きになる）。シーケンス番号を振りなおすにはaccess-list ipv6 resequenceコマンドを使う。

■ パラメーターによっては、下記の定義済みキーワードを指定できる。

表 1：SRCPORT、DSTPORTの値として指定できるサービス名キーワード

キーワード ポート番号 説明備考

ftpdata 20 FTP data port（20/tcp） tcp指定時のみ

ftp 21 FTP control port（21/tcp） tcp指定時のみ

tftp 69 TFTP port（69/udp） udp指定時のみ

表 2：precedenceの値として指定できるキーワード

キーワード 対応する値 説明

routine 0 Routine (000)

priority 1 Priority (001)

immediate 2 Immediate (010)

flash 3 Flash (011)

flash-override 4 Flash Override (100)

critical 5 CRITIC/ECP (101)

internet 6 Internetwork Control (110)

network 7 Network Control (111)

表 3：tcの値として指定できるキーワード

キーワード 対応する値 説明

normal 0 normal service (0000)

min-monetary-cost 1 minimize monetary cost (0001)

max-reliability 2 maximize reliability (0010)

max-throughput 4 maximize throughput (0100)

min-delay 8 minimize delay (1000)

表 4：messageの値として指定できるICMPv6メッセージ名キーワード

キーワード タイプ番号 コード番号 説明

unreachable 1 すべて Destination Unreachable

no-route 1 0 Destination Unreachable / No Route To Destination

administratively-prohibited 1 1 Destination Unreachable / Communication With Destination Administratively Prohibited

beyond-scope 1 2 Destination Unreachable / Beyond Scope Of Source Address

address-unreachable 1 3 Destination Unreachable / Address Unreachable

port-unreachable 1 4 Destination Unreachable / Port Unreachable

packet-too-big 2 0 Packet Too Big

time-exceeded 3 すべて Time Exceeded

hop-limit-exceeded 3 0 Time Exceeded / Hoplimit Exceeded In Transit

reassembly-timeout 3 1 Time Exceeded / Fragment Reassembly Time Exceeded

parameter-problem 4 すべて Parameter Problem

header-error 4 0 Parameter Problem / Erroneous Header Field Encountered

unrecognized-next-header 4 1 Parameter Problem / Unrecognized Next Header Type Encountered

unrecognized-ipv6-option 4 2 Parameter Problem / Unrecognized IPv6 Option Encountered

echo 128 0 Echo Request

echo-reply 129 0 Echo Reply

multicast-listener-query 130 0 Multicast Listener Query

multicast-listener-report 131 0 Multicast Listener Report

multicast-listener-done 132 0 Multicast Listener Done

router-solicitation 133 0 Router Solicitation

router-advertisement 134 0 Router Advertisement

neighbor-solicitation 135 0 Neighbor Solicitation

neighbor-advertisement 136 0 Neighbor Advertisement

redirect 137 0 Redirect

表 5：flagsの値として指定できるフラグ名

フラグ名 対応する16進数値 説明

U 0x20 URGフラグ

A 0x10 ACKフラグ

P 0x08 PSHフラグ

R 0x04 RSTフラグ

S 0x02 SYNフラグ

F 0x01 FINフラグ

コマンドツリー

access-list ipv6 extended(list) (グローバルコンフィグモード) | +- access-list ipv6 extended(rule entry)（拡張IPv6アクセスリストモード）

`dynamic`	条件に合致したパケットを双方向のフローとしてキャッシュに登録し、戻りパケットの自動許可とパフォーマンス向上をはかる。permitアクションに対してのみ有効。denyアクションでは無視される
`ACTION`	条件に合致した場合のアクション。以下から選択する
	`deny`	パケットを破棄する
	`permit`	パケットを許可する
`ipv6`	すべてのIPv6パケットを対象とする場合（上位プロトコルタイプを気にしない場合）に指定する
`<0-255>`	特定の上位プロトコルタイプ（IPv6ヘッダーの次ヘッダーフィールドの値）を持つパケットだけを対象とする場合に指定する。プロトコルタイプは10進数で指定する
`icmpv6`	ICMPv6パケットだけを対象とする場合に指定する。icmpv6を指定した場合は、ICMP6OPTでICMPv6固有の条件を指定することができる（指定しなくてもよい）
`tcp`	TCPパケットだけを対象とする場合に指定する。tcpを指定した場合は、始点・終点ポート番号とTCP固有の条件を指定することができる（指定しなくてもよい）
`udp`	UDPパケットだけを対象とする場合に指定する。udpを指定した場合は、始点・終点ポート番号を指定することができる（指定しなくてもよい）
`SRCIP`	IPv6アドレス（通常始点IPv6アドレス）。次のいずれかの形式で指定する
	`host X:X::X:X`	IPv6アドレス
	`X:X::X:X/M`	IPv6アドレスとマスク長。マスク長Mは、対象アドレスとX:X::X:Xの先頭何ビットを比較するかを指定する
	`any`	すべてのIPv6アドレスに合致させる場合に指定する。「::/0」と同義
`SRCPORT`	始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は次のいずれかの形式で指定する。数値の代わりに定義済みのキーワード（サービス名）で指定することもできる（別表参照）
	`eq <1-65535>`	指定したポート番号と等しいときにマッチ。たとえば、「eq 80」はポート80とマッチする
	`lt <1-65535>`	指定したポート番号より小さいときにマッチ。たとえば、「lt 1024」はポート0～1023にマッチする
	`gt <1-65535>`	指定したポート番号より大きいときにマッチ。たとえば、「gt 32767」はポート32768～65535にマッチする
	`ne <1-65535>`	指定したポート番号と等しくないときにマッチ。たとえば、「ne 22」はポート22以外とマッチする
	`range <1-65535> <1-65535>`	ポート番号が指定した範囲内のときにマッチ。たとえば、「range 8080 8088」は、ポート8080～8088にマッチする
`DSTIP`	終点IPv6アドレス。次のいずれかの形式で指定する
	`host X:X::X:X`	IPv6アドレス
	`X:X::X:X/M`	IPv6アドレスとマスク長。マスク長Mは、対象アドレスとX:X::X:Xの先頭何ビットを比較するかを指定する
	`interface IFNAME`	インターフェース名。指定したインターフェースに設定されているIPv6アドレスとマッチする
	`any`	すべてのIPv6アドレスに合致させる場合に指定する。「::/0」と同義
`DSTPORT`	終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。
`IP6OPT :=`	`ipv6-option {{dscp <0-63>} \| {precedence <0-7> & tc <0-15>}}`
	IPv6固有の条件パラメーター
	`dscp <0-63>`	IPv6ヘッダーのDSCPフィールド値（Traffic Classオクテットの第1～6ビット）
	`precedence <0-7>`	IPv6ヘッダーの優先度フィールド値（Traffic Classオクテットの第1～3ビット）。数値の代わりに定義済みのキーワードで指定することもできる（別表参照）
	`tc <0-15>`	IPv6ヘッダーのトラフィッククラスフィールド値（Traffic Classオクテットの第4～7ビット）。数値の代わりに定義済みのキーワードで指定することもできる（別表参照）
`header-type <0-255>`	ヘッダータイプ。指定したヘッダーが存在する場合にマッチ
`ICMP6OPT :=`	`icmp-option {type <0-255> & code <0-255> \| message NAME}`
	ICMPv6固有の条件パラメーター
	`type <0-255>`	ICMPv6メッセージタイプ。上位プロトコルタイプとしてicmpv6を指定したときだけ有効。省略時はすべてのタイプが対象になる
	`code <0-255>`	ICMPv6メッセージコード。ICMPv6メッセージタイプ（type）を指定した場合のみ有効。省略時はすべてのコードが対象になる
	`message NAME`	ICMPv6メッセージ名（別表参照）。
`TCPOPT :=`	`flags ONFLAGS/CHECKFLAGS`
	TCPフラグのチェック条件。チェック対象のフラグをCHECKFLAGSに、チェック対象のうちオンであるべきフラグをONFLAGSに列挙する。フラグは、U、A、P、R、S、Fのフラグ名（大文字小文字を区別しない）を「SA」のように並べるか、「0x12」形式の16進数で指定する（別表参照）。たとえば、「SYN=on」かつ「ACK=off」のTCPパケットにマッチさせたいなら、チェック対象が「SA」、オンであるべきフラグが「S」なので、「flags S/SA」または「flags 0x02/0x12」と指定する
`log`	条件に合致したときログに記録を残したい場合に指定する（本オプションで記録されるログはnoticeレベルになる）
`sequence <1-65535>`	シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。既存エントリーと同じ番号を指定した場合は、既存エントリーの内容を書き換える。エントリーの新規作成時に省略した場合は、リストの最後にエントリーが追加され、シーケンス番号は既存の最後尾エントリーの番号＋10になる（最初のエントリーは10になる）。本パラメーターはコマンド行の先頭、末尾のどちらにでも置ける

キーワード	ポート番号	説明	備考
ftpdata	20	FTP data port（20/tcp）	tcp指定時のみ
ftp	21	FTP control port（21/tcp）	tcp指定時のみ
tftp	69	TFTP port（69/udp）	udp指定時のみ

キーワード	対応する値	説明
routine	0	Routine (000)
priority	1	Priority (001)
immediate	2	Immediate (010)
flash	3	Flash (011)
flash-override	4	Flash Override (100)
critical	5	CRITIC/ECP (101)
internet	6	Internetwork Control (110)
network	7	Network Control (111)

キーワード	タイプ番号	コード番号	説明
unreachable	1	すべて	Destination Unreachable
no-route	1	0	Destination Unreachable / No Route To Destination
administratively-prohibited	1	1	Destination Unreachable / Communication With Destination Administratively Prohibited
beyond-scope	1	2	Destination Unreachable / Beyond Scope Of Source Address
address-unreachable	1	3	Destination Unreachable / Address Unreachable
port-unreachable	1	4	Destination Unreachable / Port Unreachable
packet-too-big	2	0	Packet Too Big
time-exceeded	3	すべて	Time Exceeded
hop-limit-exceeded	3	0	Time Exceeded / Hoplimit Exceeded In Transit
reassembly-timeout	3	1	Time Exceeded / Fragment Reassembly Time Exceeded
parameter-problem	4	すべて	Parameter Problem
header-error	4	0	Parameter Problem / Erroneous Header Field Encountered
unrecognized-next-header	4	1	Parameter Problem / Unrecognized Next Header Type Encountered
unrecognized-ipv6-option	4	2	Parameter Problem / Unrecognized IPv6 Option Encountered
echo	128	0	Echo Request
echo-reply	129	0	Echo Reply
multicast-listener-query	130	0	Multicast Listener Query
multicast-listener-report	131	0	Multicast Listener Report
multicast-listener-done	132	0	Multicast Listener Done
router-solicitation	133	0	Router Solicitation
router-advertisement	134	0	Router Advertisement
neighbor-solicitation	135	0	Neighbor Solicitation
neighbor-advertisement	136	0	Neighbor Advertisement
redirect	137	0	Redirect

フラグ名	対応する16進数値	説明
U	0x20	URGフラグ
A	0x10	ACKフラグ
P	0x08	PSHフラグ
R	0x04	RSTフラグ
S	0x02	SYNフラグ
F	0x01	FINフラグ

access-list ipv6 extended(rule entry)

パラメーター

注意・補足事項

コマンドツリー

関連コマンド