[index] SwitchBlade x8100シリーズ コマンドリファレンス 5.4.3
モード: グローバルコンフィグモード
カテゴリー: トラフィック制御 / ハードウェアパケットフィルター
(config)# [no] access-group {<3000-3699>|<4000-4699>|LISTNAME}
グローバル・ハードウェアパケットフィルターにハードウェアアクセスリスト(シーケンス番号対応)、ハードウェアIPアクセスリスト、ハードウェアMACアクセスリストを追加する。
no形式で実行した場合は、グローバル・ハードウェアパケットフィルターからハードウェアアクセスリスト(シーケンス番号対応)、ハードウェアIPアクセスリスト、ハードウェアMACアクセスリストを削除する。
グローバル・ハードウェアパケットフィルターには、ハードウェアアクセスリストを複数追加できる(シーケンス番号対応、IP、MACを混在可能)。
グローバル・ハードウェアパケットフィルターは、インターフェース・ハードウェアパケットフィルターにマッチしなかったすべてのパケットに適用される。適用対象のパケットは、グローバル・ハードウェアパケットフィルター内のハードウェアアクセスリストのそれぞれと照合され、最初にマッチしたアクセスリストで指定されたアクションが実行される。パケットとアクセスリストの照合は、グローバル・ハードウェアパケットフィルターへの追加順に行われる。
<3000-3699> |
ハードウェアIPアクセスリスト番号 | ||||
<4000-4699> |
ハードウェアMACアクセスリスト番号 | ||||
LISTNAME |
ハードウェアアクセスリスト名(シーケンス番号対応) | ||||
■ 172.16.10.1へのPing(ICMP Echo)を破棄するハードウェアIPアクセスリスト3000と、172.16.10.1へのTelnetを禁止するハードウェアIPアクセスリスト3001をグローバル・ハードウェアパケットフィルターに追加する。
awplus(config)# access-list 3000 deny icmp any 172.16.10.1/32 icmp-type 8 ↓ awplus(config)# access-list 3001 deny tcp any 172.16.10.1/32 eq 23 ↓ awplus(config)# access-group 3000 ↓ awplus(config)# access-group 3001 ↓ |
awplus(config)# no access-group 3000 ↓ |
■ ハードウェアパケットフィルターでは、入力VLAN、IPヘッダーのDSCP値やTOS優先度値、TCPヘッダーの制御フラグ値などに基づくフィルタリングはできない。これらの条件でフィルタリングを行いたい場合は、ポリシーマップのフィルタリング機能を使う。
configure terminal (特権EXECモード)
|
+- access-group(グローバルコンフィグモード)
access-list hardware(list)(グローバルコンフィグモード)
access-list(hardware ip)(グローバルコンフィグモード)
access-list(hardware mac)(グローバルコンフィグモード)
service-policy input(インターフェースモード)
show access-group(非特権EXECモード)
show access-list(非特権EXECモード)
(C) 2012 - 2013 アライドテレシスホールディングス株式会社
PN: 613-001735 Rev.H