[index] CentreCOM x610シリーズ コマンドリファレンス 5.4.3

access-group

モード: インターフェースモード
カテゴリー: トラフィック制御 / ハードウェアパケットフィルター

(config-if)# [no] access-group {<3000-3699>|<4000-4699>|LISTNAME}

対象スイッチポートにハードウェアアクセスリスト(シーケンス番号対応)、ハードウェアIPアクセスリスト、ハードウェアMACアクセスリストを追加する。
no形式で実行した場合は、対象インターフェースから指定したハードウェアアクセスリスト(シーケンス番号対応)、ハードウェアIPアクセスリスト、ハードウェアMACアクセスリストを削除する。

スイッチポートには、ハードウェアアクセスリストを複数追加できる(シーケンス番号対応、IP、MAC、IPv6を混在可能)。

Note - ハードウェアIPv6アクセスリストは、本コマンドではなくipv6 traffic-filterコマンドでスイッチポートに追加する。

スイッチポートで受信したパケットは、同ポートに適用されたハードウェアアクセスリストのそれぞれと照合され、最初にマッチしたアクセスリストで指定されたアクションが実行される。パケットとアクセスリストの照合は、スイッチポートへの追加順に行われる。


パラメーター

<3000-3699> ハードウェアIPアクセスリスト番号
<4000-4699> ハードウェアMACアクセスリスト番号
LISTNAME ハードウェアアクセスリスト名(シーケンス番号対応)


使用例

■ ポート1.0.1〜1.0.16に対し、172.16.10.1へのPing(ICMP Echo)を破棄するハードウェアIPアクセスリスト3000と、172.16.10.1へのTelnetを禁止するハードウェアIPアクセスリスト3001を適用する。

awplus(config)# access-list 3000 deny icmp any 172.16.10.1/32 icmp-type 8
awplus(config)# access-list 3001 deny tcp any 172.16.10.1/32 eq 23
awplus(config)# interface port1.0.1-port1.0.16
awplus(config-if)# access-group 3000
awplus(config-if)# access-group 3001


■ ポート1.0.1からハードウェアIPアクセスリスト3000を削除する。

awplus(config)# interface port1.0.1
awplus(config-if)# no access-group 3000


注意・補足事項

■ 同一ポート上において、ハードウェアパケットフィルターとポリシーマップを併用することも可能。その場合、該当ポートで受信したパケットの処理は、ハードウェアパケットフィルター、ポリシーマップの順に行われる。両方を通過しないとパケットは出力されない。詳細は「トラフィック制御」/「ハードウェアパケットフィルター」の解説編、「フィルター処理の流れ」を参照のこと。

■ ハードウェアパケットフィルターでは、IPヘッダーのDSCP値やTOS優先度値、TCPヘッダーの制御フラグ値などに基づくフィルタリングはできない。これらの条件でフィルタリングを行いたい場合は、ポリシーマップのフィルタリング機能を使う。

■ トランクグループにハードウェアパケットフィルターを適用するときは、次の点に注意すること。


コマンドツリー

interface (グローバルコンフィグモード)
    |
    +- access-group(インターフェースモード)


関連コマンド

access-list hardware(list)(グローバルコンフィグモード)
access-list(hardware ip)(グローバルコンフィグモード)
access-list(hardware mac)(グローバルコンフィグモード)
ipv6 access-list(list)(グローバルコンフィグモード)
ipv6 traffic-filter(インターフェースモード)
service-policy input(インターフェースモード)
show access-list(非特権EXECモード)
show interface access-group(非特権EXECモード)


(C) 2011 - 2013 アライドテレシスホールディングス株式会社

PN: 613-001613 Rev.D