[index] AT-DC2552XS コマンドリファレンス 2.5.3.1
モード: インターフェースモード
カテゴリー: トラフィック制御 / ハードウェアパケットフィルター
(config-if)# [no] access-group LISTNAME
対象スイッチポートにハードウェアアクセスリスト(インターフェースACL)を適用する。
no形式で実行した場合は、対象インターフェースから指定したハードウェアアクセスリストを削除する。
スイッチポートには、ハードウェアアクセスリストを複数適用できる。スイッチポートで受信したパケットは、同ポートに適用されたハードウェアアクセスリストの各エントリーと照合され、最初にマッチしたエントリーで指定されたアクションが実行される。パケットとアクセスリストの照合は、スイッチポートへの適用順に行われる。どのエントリーにもマッチしなかったパケットは通常どおり転送される。
LISTNAME |
ハードウェアアクセスリスト名 | ||||
■ ポート1.0.1〜1.0.24に対し、ハードウェアアクセスリストno_pingを適用する。
awplus(config)# interface port1.0.1-port1.0.24 ↓ awplus(config-if)# access-group no_ping ↓ |
awplus(config)# interface port1.0.1-port1.0.24 ↓ awplus(config-if)# no access-group no_ping ↓ |
■ 1つのスイッチポートには、ハードウェアアクセスリスト(インターフェースACL)を最大256個適用できる。ただし、実際に適用できる数は、インターフェースACL用内部領域の空きに依存する。内部領域の消費量については、「トラフィック制御」/「ハードウェアパケットフィルター」の「インターフェースACLの内部領域消費量」を参照のこと。
■ インターフェースACLは、本製品が送信するパケットには適用されない。
■ IGMP Snooping有効時、IGMPパケットにはインターフェースACLが適用されない。
■ 同一ポート上で攻撃検出機能、インターフェースACL、ポリシーマップを併用する場合、すべての機能を通過しないとパケットは出力されない。詳細は「トラフィック制御」/「ハードウェアパケットフィルター」の「各種フィルター機能の処理フロー」を参照のこと。
■ インターフェースACLでは、IPヘッダーのDSCP値やTOS優先度値、TCPヘッダーの制御フラグ値などに基づくフィルタリングはできない。これらの条件でフィルタリングを行いたい場合は、ポリシーマップを使う。
■ トランクグループ(saX, poX)にインターフェースACLを適用するときは、「saX」、「poX」ではなく、該当グループの全所属ポートに対して同じアクセスリストを設定する。たとえば、スイッチポート1.0.1〜1.0.10からなるLACPチャンネルグループ「1」にインターフェースACLを適用するには、次のようにする。
awplus(config)# interface port1.0.1-1.0.10 ↓ awplus(config-if)# access-group acl3 ↓ |
awplus(config)# interface po1 ↓ awplus(config-if)# access-group acl3 ↓ % ACL cannot be attached to a dynamic aggregator interface. |
interface (グローバルコンフィグモード)
|
+- access-group(インターフェースモード)
access-list hardware(list)(グローバルコンフィグモード)
service-policy input(インターフェースモード)
show access-list(特権EXECモード)
show interface access-group(特権EXECモード)
(C) 2011-2012 アライドテレシスホールディングス株式会社
PN: 613-001633 Rev.C