[index] AT-DC2552XS コマンドリファレンス 2.5.3.1

access-list hardware(seq entry)

モード: ハードウェアアクセスリストモード
カテゴリー: トラフィック制御 / アクセスリスト

(config-ip-hw-acl)# [<1-65535>] ACTION mac SRCMAC DSTMAC [vlan <1-4094>]

(config-ip-hw-acl)# [<1-65535>] ACTION ip SRCIP DSTIP [mac SRCMAC DSTMAC] [vlan <1-4094>]

(config-ip-hw-acl)# [<1-65535>] ACTION proto <1-255> SRCIP DSTIP [mac SRCMAC DSTMAC] [vlan <1-4094>]

(config-ip-hw-acl)# [<1-65535>] ACTION icmp SRCIP DSTIP [icmp-type ICMPTYPE] [vlan <1-4094>]

(config-ip-hw-acl)# [<1-65535>] ACTION {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT] [vlan <1-4094>]

(config-ip-hw-acl)# no <1-65535>

(config-ip-hw-acl)# no ACTION mac SRCMAC DSTMAC [vlan <1-4094>]

(config-ip-hw-acl)# no ACTION ip SRCIP DSTIP [mac SRCMAC DSTMAC] [vlan <1-4094>]

(config-ip-hw-acl)# no ACTION proto <1-255> SRCIP DSTIP [mac SRCMAC DSTMAC] [vlan <1-4094>]

(config-ip-hw-acl)# no ACTION icmp SRCIP DSTIP [icmp-type ICMPTYPE] [vlan <1-4094>]

(config-ip-hw-acl)# no ACTION {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT] [vlan <1-4094>]

対象ハードウェアアクセスリストにエントリーを新規追加または変更する。
no形式で実行した場合は指定したエントリーを削除する。

ハードウェアアクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号によって指定したエントリーの並び順に行われる。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はpermitとなる。

パラメーター

<1-65535> シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。既存エントリーのシーケンス番号を指定した場合は、該当エントリーの内容が変更される。存在しないシーケンス番号を指定した場合は、その位置に新規エントリーが作成される。シーケンス番号の指定を省略した場合は、リストの最後に新規エントリーが追加され、シーケンス番号は既存の最後尾エントリーの番号よりも大きい、直近の10の倍数になる（最初にシーケンス番号を指定せずに作成したエントリーの番号は10になる。また、既存の最後尾エントリーの番号が99のときに、シーケンス番号を指定せずに追加した新規エントリーの番号は100になる）。なお、シーケンス番号はコンフィグには保存されないため、設定を保存して再起動すると、すべて10刻みに変更される

ACTION 条件に合致した場合のアクション。以下から選択する

deny パケットを破棄する

permit パケットを許可（通常転送）する

copy-to-mirror パケットを許可（通常転送）した上で、パケットのコピーをミラーポートから出力する。あらかじめ、mirror interfaceコマンドを「mirror」の形式で実行し、固定的なソースポートなしでミラーポートを設定しておく必要がある

mac MACアドレスにもとづくフィルタリングを行う場合に指定する

ip すべてのIPパケットを対象とする場合（上位プロトコルタイプを気にしない場合）に指定する。MACアドレスによるフィルタリングも可能

proto <1-255> 特定の上位プロトコルタイプ（IPヘッダーのプロトコルタイプフィールドの値）を持つパケットだけを対象とする場合に指定する。IPプロトコルタイプは10進数で指定する。MACアドレスによるフィルタリングも可能

icmp ICMPパケットを対象とする場合に指定する。

tcp|udp それぞれ、TCP、UDPパケットだけを対象とする場合に指定する。tcp、udpを指定した場合は、始点・終点ポート番号を指定することができる（どちらか一方でも、また指定しなくてもよい）

SRCMAC 送信元MACアドレス。mac、ip、proto指定時のみ有効。mac指定時は必須。ip、proto指定時は省略可能。次のいずれかの形式で指定する

HH:HH:HH:HH:HH:HH XX:XX:XX:XX:XX:XX MACアドレスとワイルドカードマスク。それぞれ16進数で1オクテット（2桁）ごとにコロン（:）で区切って指定する（例：00:00:cd:24:03:67）。XX:XX:XX:XX:XX:XXはワイルドカードマスク（リバースマスクまたはORマスクともいう）といい、対象アドレスとHH:HH:HH:HH:HH:HHの比較時に無視したいビット（ワイルドカードとして扱いたいビット）を指定する。対象アドレスと HH:HH:HH:HH:HH:HHを完全一致で比較したいときは「00:00:00:00:00:00」を指定する

any すべてのMACアドレスに合致させる場合に指定する

SRCIP 始点IPアドレス。ip、proto、icmp、tcp、udp指定時のみ有効かつ必須。次のいずれかの形式で指定する

A.B.C.D/M IPアドレスとマスク長。この形式の場合、IPアドレスの先頭からマスク長で指定されたビット数だけが比較対象となる

host A.B.C.D A.B.C.Dが単一ホストアドレスであることを示す指定。「A.B.C.D/32」と同義

any すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義

SRCPORT 始点ポート番号。tcp、udp指定時のみ有効かつ省略可。省略時はポート番号に関知しない。ポート番号は「比較演算子数値」または「range 下限数値上限数値」の形式で指定する。具体的には次の5つの指定方法がある

eq <0-65535> ～と等しい（EQual to）。たとえば、「eq 80」はポート80とマッチする

lt <0-65535> ～より小さい（Less Than）。たとえば、「lt 1024」は「ポート1024より小さい」の意味で、ポート0～1023にマッチする

gt <0-65535> ～より大きい（Greater Than）。たとえば、「gt 32767」は「ポート32767より大きい」の意味で、ポート32768～65535にマッチする

ne <0-65535> ～と等しくない（Not Equal to）。たとえば、「ne 22」はポート22以外とマッチする

range <0-65535> <0-65535> 任意の範囲を指定。たとえば、「range 0 80」はポート0～80にマッチする

DSTMAC 宛先MACアドレス。mac、ip、proto指定時のみ有効。mac指定時は必須。ip、proto指定時は省略可能。指定方法はSRCMACと同じ。

DSTIP 終点IPアドレス。ip、proto、icmp、tcp、udp指定時のみ有効かつ必須。指定方法はSRCIPと同じ。

DSTPORT 終点ポート番号。tcp、udp指定時のみ有効かつ省略可。省略時はポート番号に関知しない。指定方法はSRCPORTと同じ。

icmp-type ICMPTYPE := icmp-type {0|<3-5>|<8-18>}

ICMPメッセージタイプ。icmp指定時のみ有効かつ省略可。省略時はメッセージタイプに関知しない。指定する場合は、0（Echo Reply）、3（Destination Unreachable）、4（Source Quench）、5（Redirect）、8（Echo Request）、9（Router Advertisement）、10（Router Solicitation）、11（Time Exceeded）、12（Parameter Problem）、13（Timestamp）、14（Timestamp Reply）、15（Information Request）、16（Information Reply）、17（Address Mask Request）、18（Address Mark Reply）のいずれかを指定する

vlan <1-4094> 入力VLAN（受信パケットの所属VLAN）のVLAN ID。タグの有無に関係なく全パケットに適用される

使用例

■ 192.168.1.0/24、192.168.2.0/24からのIPパケットを拒否するハードウェアアクセスリストacl1を作成する。

awplus(config)# access-list hardware acl1 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.1.0/24 any ↓ awplus(config-ip-hw-acl)# deny ip 192.168.2.0/24 any ↓

注意・補足事項

■ 1つのハードウェアアクセスリストが持てるエントリーは最大256個。

コマンドツリー

access-list hardware(list) (グローバルコンフィグモード) | +- access-list hardware(seq entry)（ハードウェアアクセスリストモード）

`<1-65535>`	シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。既存エントリーのシーケンス番号を指定した場合は、該当エントリーの内容が変更される。存在しないシーケンス番号を指定した場合は、その位置に新規エントリーが作成される。シーケンス番号の指定を省略した場合は、リストの最後に新規エントリーが追加され、シーケンス番号は既存の最後尾エントリーの番号よりも大きい、直近の10の倍数になる（最初にシーケンス番号を指定せずに作成したエントリーの番号は10になる。また、既存の最後尾エントリーの番号が99のときに、シーケンス番号を指定せずに追加した新規エントリーの番号は100になる）。なお、シーケンス番号はコンフィグには保存されないため、設定を保存して再起動すると、すべて10刻みに変更される
`ACTION`	条件に合致した場合のアクション。以下から選択する
	`deny`	パケットを破棄する
	`permit`	パケットを許可（通常転送）する
	`copy-to-mirror`	パケットを許可（通常転送）した上で、パケットのコピーをミラーポートから出力する。あらかじめ、mirror interfaceコマンドを「mirror」の形式で実行し、固定的なソースポートなしでミラーポートを設定しておく必要がある
`mac`	MACアドレスにもとづくフィルタリングを行う場合に指定する
`ip`	すべてのIPパケットを対象とする場合（上位プロトコルタイプを気にしない場合）に指定する。MACアドレスによるフィルタリングも可能
`proto <1-255>`	特定の上位プロトコルタイプ（IPヘッダーのプロトコルタイプフィールドの値）を持つパケットだけを対象とする場合に指定する。IPプロトコルタイプは10進数で指定する。MACアドレスによるフィルタリングも可能
`icmp`	ICMPパケットを対象とする場合に指定する。
`tcp\|udp`	それぞれ、TCP、UDPパケットだけを対象とする場合に指定する。tcp、udpを指定した場合は、始点・終点ポート番号を指定することができる（どちらか一方でも、また指定しなくてもよい）
`SRCMAC`	送信元MACアドレス。mac、ip、proto指定時のみ有効。mac指定時は必須。ip、proto指定時は省略可能。次のいずれかの形式で指定する
	`HH:HH:HH:HH:HH:HH XX:XX:XX:XX:XX:XX`	MACアドレスとワイルドカードマスク。それぞれ16進数で1オクテット（2桁）ごとにコロン（:）で区切って指定する（例：00:00:cd:24:03:67）。XX:XX:XX:XX:XX:XXはワイルドカードマスク（リバースマスクまたはORマスクともいう）といい、対象アドレスとHH:HH:HH:HH:HH:HHの比較時に無視したいビット（ワイルドカードとして扱いたいビット）を指定する。対象アドレスと HH:HH:HH:HH:HH:HHを完全一致で比較したいときは「00:00:00:00:00:00」を指定する
	`any`	すべてのMACアドレスに合致させる場合に指定する
`SRCIP`	始点IPアドレス。ip、proto、icmp、tcp、udp指定時のみ有効かつ必須。次のいずれかの形式で指定する
	`A.B.C.D/M`	IPアドレスとマスク長。この形式の場合、IPアドレスの先頭からマスク長で指定されたビット数だけが比較対象となる
	`host A.B.C.D`	A.B.C.Dが単一ホストアドレスであることを示す指定。「A.B.C.D/32」と同義
	`any`	すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義
`SRCPORT`	始点ポート番号。tcp、udp指定時のみ有効かつ省略可。省略時はポート番号に関知しない。ポート番号は「比較演算子数値」または「range 下限数値上限数値」の形式で指定する。具体的には次の5つの指定方法がある
	`eq <0-65535>`	～と等しい（EQual to）。たとえば、「eq 80」はポート80とマッチする
	`lt <0-65535>`	～より小さい（Less Than）。たとえば、「lt 1024」は「ポート1024より小さい」の意味で、ポート0～1023にマッチする
	`gt <0-65535>`	～より大きい（Greater Than）。たとえば、「gt 32767」は「ポート32767より大きい」の意味で、ポート32768～65535にマッチする
	`ne <0-65535>`	～と等しくない（Not Equal to）。たとえば、「ne 22」はポート22以外とマッチする
	`range <0-65535> <0-65535>`	任意の範囲を指定。たとえば、「range 0 80」はポート0～80にマッチする
`DSTMAC`	宛先MACアドレス。mac、ip、proto指定時のみ有効。mac指定時は必須。ip、proto指定時は省略可能。指定方法はSRCMACと同じ。
`DSTIP`	終点IPアドレス。ip、proto、icmp、tcp、udp指定時のみ有効かつ必須。指定方法はSRCIPと同じ。
`DSTPORT`	終点ポート番号。tcp、udp指定時のみ有効かつ省略可。省略時はポート番号に関知しない。指定方法はSRCPORTと同じ。
`icmp-type ICMPTYPE :=`	`icmp-type {0\|<3-5>\|<8-18>}`
	ICMPメッセージタイプ。icmp指定時のみ有効かつ省略可。省略時はメッセージタイプに関知しない。指定する場合は、0（Echo Reply）、3（Destination Unreachable）、4（Source Quench）、5（Redirect）、8（Echo Request）、9（Router Advertisement）、10（Router Solicitation）、11（Time Exceeded）、12（Parameter Problem）、13（Timestamp）、14（Timestamp Reply）、15（Information Request）、16（Information Reply）、17（Address Mask Request）、18（Address Mark Reply）のいずれかを指定する
`vlan <1-4094>`	入力VLAN（受信パケットの所属VLAN）のVLAN ID。タグの有無に関係なく全パケットに適用される

access-list hardware(seq entry)

パラメーター

使用例

注意・補足事項

コマンドツリー

関連コマンド