[index] CentreCOM x900シリーズ・SwitchBlade x908 コマンドリファレンス 5.3.2
モード: グローバルコンフィグモード
カテゴリー: トラフィック制御 / ハードウェアパケットフィルター
(config)# [no] ip access-group <3000-3699>
グローバル・ハードウェアパケットフィルターにハードウェアIPアクセスリストを追加する。
no形式で実行した場合は、グローバル・ハードウェアパケットフィルターからハードウェアIPアクセスリストを削除する。
グローバル・ハードウェアパケットフィルターには、ハードウェアアクセスリストを複数追加できる(IPとMACを混在可能)。
グローバル・ハードウェアパケットフィルターは、インターフェース・ハードウェアパケットフィルターにマッチしなかったすべてのパケットに適用される。適用対象のパケットは、グローバル・ハードウェアパケットフィルター内のハードウェアアクセスリストのそれぞれと照合され、最初にマッチしたアクセスリストで指定されたアクションが実行される。パケットとアクセスリストの照合は、グローバル・ハードウェアパケットフィルターへの追加順に行われる。
<3000-3699> |
ハードウェアIPアクセスリスト番号 | ||||
■ 172.16.10.1へのPing(ICMP Echo)を破棄するハードウェアIPアクセスリスト3000と、172.16.10.1へのTelnetを禁止するハードウェアIPアクセスリスト3001をグローバル・ハードウェアパケットフィルターに追加する。
awplus(config)# access-list 3000 deny icmp any 172.16.10.1/32 icmp-type 8 ↓ awplus(config)# access-list 3001 deny tcp any 172.16.10.1/32 eq 23 ↓ awplus(config)# ip access-group 3000 ↓ awplus(config)# ip access-group 3001 ↓ |
awplus(config)# no ip access-group 3000 ↓ |
■ ハードウェアパケットフィルターでは、入力VLAN、IPヘッダーのDSCP値やTOS優先度値、TCPヘッダーの制御フラグ値などに基づくフィルタリングはできない。これらの条件でフィルタリングを行いたい場合は、ポリシーマップのフィルタリング機能を使う。
configure terminal (特権EXECモード)
|
+- ip access-group(グローバルコンフィグモード)
access-list(hardware ip)(グローバルコンフィグモード)
access-list(hardware mac)(グローバルコンフィグモード)
mac access-group(グローバルコンフィグモード)
service-policy input(インターフェースモード)
show access-group(非特権EXECモード)
show access-list(特権EXECモード)
(C) 2007 - 2009 アライドテレシスホールディングス株式会社
PN: 613-000751 Rev.H