[index] CentreCOM x610シリーズコマンドリファレンス 5.4.3

access-list hardware(seq entry)

モード: ハードウェアアクセスリストモード
カテゴリー: トラフィック制御 / アクセスリスト

(config-ip-hw-acl)# [<1-65535>] ACTION ip SRCIP DSTIP

(config-ip-hw-acl)# [<1-65535>] ACTION {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT]

(config-ip-hw-acl)# [<1-65535>] ACTION icmp SRCIP DSTIP [icmp-type ICMPTYPE]

(config-ip-hw-acl)# [<1-65535>] ACTION proto <1-255> SRCIP DSTIP

(config-ip-hw-acl)# [<1-65535>] ACTION mac SRCMAC DSTMAC

(config-ip-hw-acl)# [<1-65535>] ACTION ip SRCIP DSTIP mac SRCMAC DSTMAC

(config-ip-hw-acl)# [<1-65535>] ACTION proto <1-255> SRCIP DSTIP mac SRCMAC DSTMAC

(config-ip-hw-acl)# [<1-65535>] ACTION ip dhcpsnooping DSTIP

(config-ip-hw-acl)# [<1-65535>] ACTION ip dhcpsnooping DSTIP mac dhcpsnooping DSTMAC

(config-ip-hw-acl)# [<1-65535>] ACTION proto <1-255> dhcpsnooping DSTIP

(config-ip-hw-acl)# [<1-65535>] ACTION proto <1-255> dhcpsnooping DSTIP mac dhcpsnooping DSTMAC

(config-ip-hw-acl)# no <1-65535>

(config-ip-hw-acl)# no ACTION ip SRCIP DSTIP

(config-ip-hw-acl)# no ACTION {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT]

(config-ip-hw-acl)# no ACTION icmp SRCIP DSTIP [icmp-type ICMPTYPE]

(config-ip-hw-acl)# no ACTION proto <1-255> SRCIP DSTIP

(config-ip-hw-acl)# no ACTION mac SRCMAC DSTMAC

(config-ip-hw-acl)# no ACTION ip SRCIP DSTIP mac SRCMAC DSTMAC

(config-ip-hw-acl)# no ACTION proto <1-255> SRCIP DSTIP mac SRCMAC DSTMAC

(config-ip-hw-acl)# no ACTION ip dhcpsnooping DSTIP

(config-ip-hw-acl)# no ACTION ip dhcpsnooping DSTIP mac dhcpsnooping DSTMAC

(config-ip-hw-acl)# no ACTION proto <1-255> dhcpsnooping DSTIP

(config-ip-hw-acl)# no ACTION proto <1-255> dhcpsnooping DSTIP mac dhcpsnooping DSTMAC

対象ハードウェアアクセスリスト（シーケンス番号対応）にエントリーを新規追加または変更する。
no形式で実行した場合は指定したエントリーを削除する。

シーケンス番号対応のハードウェアアクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号によって指定したエントリーの並び順に行われる。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はpermitとなる。

パラメーター

<1-65535> シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。エントリーの新規作成時に省略した場合は、既存エントリーの最後にエントリーが作成され、既存エントリーの最後の番号の次の10Stepの番号の値が自動で登録される。（最初にシーケンス番号なしで作成したエントリーは10になり、既存エントリーの最大番号が99の場合で新規エントリーをシーケンス番号なしで追加した場合は100になる。）また、設定を保存して再起動した場合は、設定したエントリーは設定のシーケンス番号は保持されず、全て10Stepに変更される

ACTION 条件に合致した場合のアクション。以下から選択する

deny パケットを破棄する

permit パケットを許可（通常転送）する

copy-to-cpu パケットを許可（通常転送）した上で、パケットのコピーをCPUにも転送する

send-to-cpu パケットを破棄した上で、パケットのコピーをCPUにだけ転送する

copy-to-mirror パケットを許可（通常転送）した上で、パケットのコピーをミラーポートから出力する。あらかじめ、mirror interfaceコマンドでミラーポートを設定しておく必要がある

ip すべてのIPパケットを対象とする場合（上位プロトコルタイプを気にしない場合）に指定する

tcp|udp それぞれ、TCP、UDPパケットだけを対象とする場合に指定する。tcp、udpを指定した場合は、始点・終点ポート番号を指定することができる（どちらか一方でも、また指定しなくてもよい）

icmp ICMPパケットを対象とする場合に指定する。

proto <1-255> 特定の上位プロトコルタイプ（IPヘッダーのプロトコルタイプフィールドの値）を持つパケットだけを対象とする場合に指定する。IPプロトコルタイプは10進数で指定する

mac MACアドレスにもとづくフィルタリングを行う場合に指定する

dhcpsnooping DHCP Snoopingテーブル（バインディングデータベース）の有効なエントリーに含まれるIPアドレス、MACアドレスを対象とする場合に指定する

SRCIP 始点IPアドレス。次のいずれかの形式で指定する

A.B.C.D/M IPアドレスとマスク長。この形式の場合、IPアドレスの先頭からマスク長で指定されたビット数だけが比較対象となる

host A.B.C.D A.B.C.Dが単一ホストアドレスであることを示す指定。「A.B.C.D/32」や「A.B.C.D 0.0.0.0」と同義

any すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」や「0.0.0.0 255.255.255.255」と同義

SRCPORT 始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は「比較演算子数値」または「range 下限数値上限数値」の形式で指定する。具体的には次の5つの指定方法がある

eq <0-65535> ～と等しい（EQual to）。たとえば、「eq 80」はポート80とマッチする

lt <0-65535> ～より小さい（Less Than）。たとえば、「lt 1024」は「ポート1024より小さい」の意味で、ポート0～1023にマッチする

gt <0-65535> ～より大きい（Greater Than）。たとえば、「gt 32767」は「ポート32767より大きい」の意味で、ポート32768～65535にマッチする

ne <0-65535> ～と等しくない（Not Equal to）。たとえば、「ne 22」はポート22以外とマッチする

range <0-65535> <0-65535> 任意の範囲を指定。たとえば、「range 0 80」はポート0～80にマッチする

DSTIP 終点IPアドレス。指定方法はSRCIPと同じ。

DSTPORT 終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。

icmp-type ICMPTYPE := icmp-type <0-255>

ICMPメッセージタイプ。

SRCMAC 送信元MACアドレス。次のいずれかの形式で指定する

HHHH.HHHH.HHHH XXXX.XXXX.XXXX MACアドレスとワイルドカードマスク。それぞれ16進数で2オクテット（4桁）ごとにピリオドで区切って指定する（例：0000.cd24.0367）。XXXX.XXXX.XXXXはワイルドカードマスク（リバースマスクまたはORマスクともいう）といい、対象アドレスとHHHH.HHHH.HHHHの比較時に無視したい部分（ワイルドカードとして扱いたい部分）を「0」もしくは「F」のどちらかを用いて4ビット(1桁)単位で指定する。対象アドレスと HHHH.HHHH.HHHHを完全一致で比較したいときは「0000.0000.0000」を指定する。対象アドレスと HHHH.HHHH.HHHHの最下位4ビット(1桁)を比較しない場合は「0000.0000.000F」を指定する

any すべてのMACアドレスに合致させる場合に指定する

DSTMAC 宛先MACアドレス。指定方法はSRCMACと同じ

使用例

■ 192.168.1.0/24、192.168.2.0/24からのIPパケットを拒否するハードウェアアクセスリストacl1を作成する。

awplus(config)# access-list hardware acl1 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.1.0/24 any ↓ awplus(config-ip-hw-acl)# deny ip 192.168.2.0/24 any ↓

注意・補足事項

■ ハードウェアアクセスリストモード時、アクセスリストの追加や編集中に、アクセスリストの数が最大値を超えると、exitコマンドを使用してもグローバルコンフィグモードに戻ることができない。

コマンドツリー

access-list hardware(list) (グローバルコンフィグモード) | +- access-list hardware(seq entry)（ハードウェアアクセスリストモード）

PN: 613-001613 Rev.C

`<1-65535>`	シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。エントリーの新規作成時に省略した場合は、既存エントリーの最後にエントリーが作成され、既存エントリーの最後の番号の次の10Stepの番号の値が自動で登録される。（最初にシーケンス番号なしで作成したエントリーは10になり、既存エントリーの最大番号が99の場合で新規エントリーをシーケンス番号なしで追加した場合は100になる。）また、設定を保存して再起動した場合は、設定したエントリーは設定のシーケンス番号は保持されず、全て10Stepに変更される
`ACTION`	条件に合致した場合のアクション。以下から選択する
	`deny`	パケットを破棄する
	`permit`	パケットを許可（通常転送）する
	`copy-to-cpu`	パケットを許可（通常転送）した上で、パケットのコピーをCPUにも転送する
	`send-to-cpu`	パケットを破棄した上で、パケットのコピーをCPUにだけ転送する
	`copy-to-mirror`	パケットを許可（通常転送）した上で、パケットのコピーをミラーポートから出力する。あらかじめ、mirror interfaceコマンドでミラーポートを設定しておく必要がある
`ip`	すべてのIPパケットを対象とする場合（上位プロトコルタイプを気にしない場合）に指定する
`tcp\|udp`	それぞれ、TCP、UDPパケットだけを対象とする場合に指定する。tcp、udpを指定した場合は、始点・終点ポート番号を指定することができる（どちらか一方でも、また指定しなくてもよい）
`icmp`	ICMPパケットを対象とする場合に指定する。
`proto <1-255>`	特定の上位プロトコルタイプ（IPヘッダーのプロトコルタイプフィールドの値）を持つパケットだけを対象とする場合に指定する。IPプロトコルタイプは10進数で指定する
`mac`	MACアドレスにもとづくフィルタリングを行う場合に指定する
`dhcpsnooping`	DHCP Snoopingテーブル（バインディングデータベース）の有効なエントリーに含まれるIPアドレス、MACアドレスを対象とする場合に指定する
`SRCIP`	始点IPアドレス。次のいずれかの形式で指定する
	`A.B.C.D/M`	IPアドレスとマスク長。この形式の場合、IPアドレスの先頭からマスク長で指定されたビット数だけが比較対象となる
	`host A.B.C.D`	A.B.C.Dが単一ホストアドレスであることを示す指定。「A.B.C.D/32」や「A.B.C.D 0.0.0.0」と同義
	`any`	すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」や「0.0.0.0 255.255.255.255」と同義
`SRCPORT`	始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は「比較演算子数値」または「range 下限数値上限数値」の形式で指定する。具体的には次の5つの指定方法がある
	`eq <0-65535>`	～と等しい（EQual to）。たとえば、「eq 80」はポート80とマッチする
	`lt <0-65535>`	～より小さい（Less Than）。たとえば、「lt 1024」は「ポート1024より小さい」の意味で、ポート0～1023にマッチする
	`gt <0-65535>`	～より大きい（Greater Than）。たとえば、「gt 32767」は「ポート32767より大きい」の意味で、ポート32768～65535にマッチする
	`ne <0-65535>`	～と等しくない（Not Equal to）。たとえば、「ne 22」はポート22以外とマッチする
	`range <0-65535> <0-65535>`	任意の範囲を指定。たとえば、「range 0 80」はポート0～80にマッチする
`DSTIP`	終点IPアドレス。指定方法はSRCIPと同じ。
`DSTPORT`	終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。
`icmp-type ICMPTYPE :=`	`icmp-type <0-255>`
	ICMPメッセージタイプ。
`SRCMAC`	送信元MACアドレス。次のいずれかの形式で指定する
	`HHHH.HHHH.HHHH XXXX.XXXX.XXXX`	MACアドレスとワイルドカードマスク。それぞれ16進数で2オクテット（4桁）ごとにピリオドで区切って指定する（例：0000.cd24.0367）。XXXX.XXXX.XXXXはワイルドカードマスク（リバースマスクまたはORマスクともいう）といい、対象アドレスとHHHH.HHHH.HHHHの比較時に無視したい部分（ワイルドカードとして扱いたい部分）を「0」もしくは「F」のどちらかを用いて4ビット(1桁)単位で指定する。対象アドレスと HHHH.HHHH.HHHHを完全一致で比較したいときは「0000.0000.0000」を指定する。対象アドレスと HHHH.HHHH.HHHHの最下位4ビット(1桁)を比較しない場合は「0000.0000.000F」を指定する
	`any`	すべてのMACアドレスに合致させる場合に指定する
`DSTMAC`	宛先MACアドレス。指定方法はSRCMACと同じ