[index] CentreCOM x900シリーズ・SwitchBlade x908 コマンドリファレンス 5.3.2
- アクセスリストの種類と用途 - アクセスリストの作成 - 標準IPアクセスリスト - 番号付き標準IPアクセスリスト - 名前付き標準IPアクセスリスト - 拡張IPアクセスリスト - 番号付き拡張IPアクセスリスト - 名前付き拡張IPアクセスリスト - 標準IPv6アクセスリスト - 名前付き標準IPv6アクセスリスト - ハードウェアアクセスリスト - ハードウェアIPアクセスリスト - ハードウェアMACアクセスリスト - アクセスリストの使用 - 標準IPアクセスリスト - 拡張IPアクセスリスト - 標準IPv6アクセスリスト - ハードウェアアクセスリスト - ハードウェアによるフィルタリング機能とルール領域消費量 - グローバル・ハードウェアパケットフィルターのルール領域消費量 - EPSRドメインのルール領域消費量 - ポリシーマップのルール領域消費量 - インターフェース・ハードウェアパケットフィルターのルール領域消費量 - 機能併用時のルール領域消費量
SNMPコミュニティーへのアクセス制御 | ||
NTPサービスへのアクセス制御 | ||
経路情報のフィルタリング(経路エントリーの許可・破棄や属性変更) | ||
隣接関係の制御(隣接ルーターの制限) | ||
各種機能の設定対象となるマルチキャストグループの指定 | ||
隣接関係の制御(隣接ルーターの制限) | ||
参加可能なマルチキャストグループの制限 | ||
各種機能の設定対象となるマルチキャストグループの指定 | ||
ランデブーポイント(RP)におけるRegisterメッセージのフィルタリング | ||
経路情報のフィルタリング(経路エントリーの許可・破棄や属性変更) | ||
参加可能なマルチキャストグループの制限 | ||
各種機能の設定対象となるマルチキャストグループの指定 | ||
受信スイッチポートにおけるパケットフィルタリング | ||
受信スイッチポートにおけるトラフィック分類 |
Note - 標準IPアクセスリスト、拡張IPアクセスリスト、標準IPv6アクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。なお、本製品は現在IPv6のパケットフィルタリングには対応していません。
1〜99、1300〜1999 | access-list(standard)コマンド | |
名前(文字列) | access-list standardコマンド | |
100〜199、2000〜2699 | access-list(extended)コマンド | |
名前(文字列) | access-list extendedコマンド | |
名前(文字列) | ipv6 access-list standardコマンド | |
3000〜3699 | access-list(hardware ip)コマンド | |
4000〜4699 | access-list(hardware mac)コマンド |
Note - 経路フィルタリングを目的としたアクセスリストの作成方法についてはここでは触れません。「IPルーティング」の「経路制御(フィルタリング)」をご覧ください(「IPルーティング」の章ですが、共通のコマンドが多いため同章ではIPv6の経路フィルタリングについても触れています)。
Note - 標準IPアクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。
Note - 番号付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。
awplus(config)# access-list 1 permit host 192.168.10.2 ↓ awplus(config)# access-list 1 permit host 192.168.20.2 ↓ |
awplus(config)# access-list 2 deny 192.168.30.0 0.0.0.255 ↓ awplus(config)# access-list 2 permit any ↓ |
Note - 名前付き標準IPアクセスリストにはexact-matchというオプションがありますが、これは経路エントリーを対象とするときだけ意味を持つオプションなので、ここでは触れません。
Note - 名前付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。
awplus(config)# access-list standard n1 permit 192.168.10.2/32 ↓ awplus(config)# access-list standard n1 permit 192.168.20.2/32 ↓ |
awplus(config)# access-list standard n2 deny 192.168.30.0/24 ↓ awplus(config)# access-list standard n2 permit any ↓ |
Note - 拡張IPアクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。
Note - 名前付き拡張IPアクセスリスト(access-list extendedコマンド)では、分類条件としてプロトコルやポート番号、ICMPメッセージタイプなどを指定することもできますが、現状これらは使用しません。
Note - 番号付き拡張IPアクセスリストの末尾には「deny ip any any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。
awplus(config)# access-list 100 deny ip host 172.16.10.100 any ↓ awplus(config)# access-list 100 permit ip any any ↓ |
Note - 名前付き拡張IPアクセスリスト(access-list extendedコマンド)では、分類条件としてプロトコルやポート番号、ICMPメッセージタイプなどを指定することもできますが、現状これらは使用しません。
Note - 名前付き拡張IPアクセスリストの末尾には「deny any any any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。
awplus(config)# access-list extended only105 permit ip 172.16.10.5/32 any ↓ |
Note - 標準IPv6アクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。なお、本製品は現在IPv6のパケットフィルタリングには対応していません。
Note - 名前付き標準IPv6アクセスリストにはexact-matchというオプションがありますが、これは経路エントリーを対象とするときだけ意味を持つオプションなので、ここでは触れません。
Note - 名前付き標準IPv6アクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。
awplus(config)# ipv6 access-list standard gb deny ff1e::d017/128 ↓ awplus(config)# ipv6 access-list standard gb permit any ↓ |
awplus(config)# ipv6 access-list standard gj permit ff1e::bf:109f/128 ↓ awplus(config)# ipv6 access-list standard gj permit ff1e::bf:110e/128 ↓ |
Note - ハードウェアIPアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。
awplus(config)# access-list 3000 deny ip 192.168.10.100/32 192.168.10.1/32 ↓ |
awplus(config)# access-list 3001 deny tcp any 192.168.10.1/32 eq 80 ↓ |
awplus(config)# access-list 3002 deny icmp 192.168.20.0/24 192.168.10.1/32 icmp-type 8 ↓ |
Note - ハードウェアMACアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。
awplus(config)# access-list 4000 deny 000a.7934.0b33 0000.0000.0000 any ↓ |
awplus(config)# access-list 4001 deny 0011.2233.4455 0000.0000.0000 000a.7934.0b33 0000.0000.0000 ↓ |
Note - 経路フィルタリングを目的としたアクセスリストの使用方法についてはここでは触れません。「IPルーティング」の「経路制御(フィルタリング)」をご覧ください(「IPルーティング」の章ですが、共通のコマンドが多いため同章ではIPv6の経路フィルタリングについても触れています)。
AT-x900-12XT/S | 1 | 0〜1 | 1〜2 |
AT-x900-24XT・AT-x900-24XS | 2 | 0〜2 | 2〜4 |
AT-SBx908 | 0 | 1〜8(必ず1個以上装着) | 1〜8 |
Note - VCS構成時は、全メンバーのインスタンス数を合計したものがシステムのインスタンス数となります。なお、スタックモジュールにはインスタンスがありません。
Note - 以下の図表は説明用のもので、内部実装を正確に表したものではありません。
1 | 本体1 | すべて | グローバル・ハードウェアパケットフィルター 3000 |
2 | グローバル・ハードウェアパケットフィルター 3001 | ||
3 | 本体2 | すべて | グローバル・ハードウェアパケットフィルター 3000 |
4 | グローバル・ハードウェアパケットフィルター 3001 |
Note - リング接続用ポートと関係のないインスタンスも、それぞれ1個のルール領域を消費します。
1 | 本体1 | すべて | EPSRドメイン test1 |
2 | 未使用 | ||
3 | 本体2 | すべて | EPSRドメイン test1 |
4 | 未使用 |
1 | 本体1 | すべて | EPSRドメイン test1 |
2 | EPSRドメイン test2 | ||
3 | 本体2 | すべて | EPSRドメイン test1 |
4 | EPSRドメイン test2 |
Note - 暗黙のデフォルトクラスマップもルール領域を消費します。また、クラスマップの分類条件や処理内容が空でもルール領域を消費します。
Note - スタティックチャンネルグループ(手動設定のトランクグループ)にポリシーマップを適用した場合は、メンバーポートが所属するインスタンスごとに、ポリシーマップに含まれるクラスマップ(トラフィッククラス)の数だけルール領域を消費します。
1 | 本体1 | 1 (1.0.1) | ポリシーマップ test3 クラスマップ high |
2 | ポリシーマップ test3 クラスマップ low | ||
3 | 本体1 | 1 (1.0.1) | ポリシーマップ test3 クラスマップ default |
4 | 未使用 | ||
5 | 本体1 | 2 (1.0.2) | ポリシーマップ test3 クラスマップ high |
6 | ポリシーマップ test3 クラスマップ low | ||
7 | 本体1 | 2 (1.0.2) | ポリシーマップ test3 クラスマップ default |
8 | 未使用 |
1 | ID=1 本体1 | sa1 (1.0.11-1.0.12) | ポリシーマップ test4 クラスマップ major |
2 | ポリシーマップ test4 クラスマップ minor | ||
3 | ID=1 本体1 | sa1 (1.0.11-1.0.12) | ポリシーマップ test4 クラスマップ default |
4 | 未使用 | ||
5 | ID=2 本体1 | sa1 (2.0.11-2.0.12) | ポリシーマップ test4 クラスマップ major |
6 | ポリシーマップ test4 クラスマップ minor | ||
7 | ID=2 本体1 | sa1 (2.0.11-2.0.12) | ポリシーマップ test4 クラスマップ default |
8 | 未使用 |
Note - スタティックチャンネルグループ(手動設定のトランクグループ)にインターフェース・ハードウェアパケットフィルターを1個設定した場合は、メンバーポートが所属するインスタンスごとに1個のルール領域を消費します。
1 | 本体1 | 3 (1.0.3) | インターフェース・ハードウェアパケットフィルター 3010 |
2 | インターフェース・ハードウェアパケットフィルター 3011 | ||
3 | 本体1 | 4 (1.0.4) | インターフェース・ハードウェアパケットフィルター 3010 |
4 | インターフェース・ハードウェアパケットフィルター 3011 |
1 | ID=1 本体2 | sa2 (1.0.23-1.0.24) | インターフェース・ハードウェアパケットフィルター 3020 |
2 | インターフェース・ハードウェアパケットフィルター 3021 | ||
3 | ID=2 本体2 | sa2 (2.0.23-2.0.24) | インターフェース・ハードウェアパケットフィルター 3020 |
4 | インターフェース・ハードウェアパケットフィルター 3021 |
1 | 本体1 | 1 (1.0.1) | ポリシーマップ test3 クラスマップ high |
2 | ポリシーマップ test3 クラスマップ low | ||
3 | 本体1 | 1 (1.0.1) | ポリシーマップ test3 クラスマップ default |
4 | グローバル・ハードウェアパケットフィルター 3000 | ||
5 | 本体1 | 2 (1.0.2) | ポリシーマップ test3 クラスマップ high |
6 | ポリシーマップ test3 クラスマップ low | ||
7 | 本体1 | 2 (1.0.2) | ポリシーマップ test3 クラスマップ default |
8 | グローバル・ハードウェアパケットフィルター 3000 | ||
9 | 本体1 | すべて | グローバル・ハードウェアパケットフィルター 3000 |
10 | グローバル・ハードウェアパケットフィルター 3001 | ||
11 | 本体2 | すべて | グローバル・ハードウェアパケットフィルター 3000 |
12 | グローバル・ハードウェアパケットフィルター 3001 | ||
13 | 本体1 | 1 (1.0.1) | グローバル・ハードウェアパケットフィルター 3001 |
14 | 未使用 | ||
15 | 本体1 | 2 (1.0.2) | グローバル・ハードウェアパケットフィルター 3001 |
16 | 未使用 |
(C) 2007 - 2009 アライドテレシスホールディングス株式会社
PN: 613-000751 Rev.H