トラフィック制御 / アクセスリスト

アクセスリストは、MACアドレス、IPアドレスなどのアドレス情報に基づいてパケットやトラフィック、アプリケーションセッション、経路エントリーなどを分類・識別し、分類後の処理を指定したり、設定対象IPアドレスを範囲指定したりするための汎用的な仕組みです。

本解説編では、アクセスリストの種類と用途について述べた後、アクセスリストの基本的な作成方法について解説します。

なお、アクセスリスト自体は基本的に分類・識別条件を定義するだけなので、単体では意味をなさず、他の機能と組み合わせて初めて効果を発揮しますが、本解説編では作成したアクセスリストの使用方法については軽く触れるだけにします。各機能におけるアクセスリストの具体的な使用方法については、該当機能の解説編やコマンドリファレンス編をご参照ください。

Note - また、本解説編では、経路情報のフィルタリングを目的としたアクセスリストの作成方法については説明しません。アクセスリストを作成するときの基本的な考え方はどの機能においてもほぼ共通ですが、経路情報をフィルタリングするときだけは若干異なる考え方が必要になるためです。経路フィルタリングにおけるアクセスリストの作成方法と使用方法については、「IPルーティング」の「経路制御（フィルタリング）」をご覧ください。

アクセスリストの種類と用途

アクセスリストには、大きく分けて「標準IPアクセスリスト」、「拡張IPアクセスリスト」、「標準IPv6アクセスリスト」、「ハードウェアアクセスリスト」の4種類があります。

次に示すように、これらはそれぞれ用途が分かれています。したがって、用途が決まれば使用すべきアクセスリストの種類も自動的に決まります。

表 1：アクセスリストの種類と用途

アクセスリストの種類 アクセスリストを利用する機能 用途

標準IPアクセスリスト SNMP SNMPコミュニティーへのアクセス制御

NTP NTPサービスへのアクセス制御

RIP/OSPF/BGP 経路情報のフィルタリング（経路エントリーの許可・破棄や属性変更）

PIM-SM 隣接関係の制御（隣接ルーターの制限）

各種機能の設定対象となるマルチキャストグループの指定

PIM-DM 隣接関係の制御（隣接ルーターの制限）

IGMP 参加可能なマルチキャストグループの制限

各種機能の設定対象となるマルチキャストグループの指定

拡張IPアクセスリスト PIM-SM ランデブーポイント（RP）におけるRegisterメッセージのフィルタリング

標準IPv6アクセスリスト RIPng/OSPFv3/BGP 経路情報のフィルタリング（経路エントリーの許可・破棄や属性変更）

PIM-SMv6 ランデブーポイント（RP）におけるRegisterメッセージのフィルタリング

隣接関係の制御（隣接ルーターの制限）

各種機能の設定対象となるマルチキャストグループの指定

MLD/MLD Snooping 参加可能なマルチキャストグループの制限

各種機能の設定対象となるマルチキャストグループの指定

ハードウェアアクセスリストハードウェアパケットフィルター受信スイッチポートにおけるパケットフィルタリング

Quality of Service（QoS）受信スイッチポートにおけるトラフィック分類

Note - 標準IPアクセスリスト、拡張IPアクセスリスト、標準IPv6アクセスリストは、一般的なパケットフィルタリング（本製品を通過するパケット全般を対象としたフィルタリング）には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。

Note - SNMPアクセス制御を使用するとき、アクセスリストのDenyアクションが動作しません。

なお実際には、標準IPv6アクセスリストを除く3種類は、識別子（ID）として番号、文字列のどちらを使うか、あるいは、分類条件としてEthernetヘッダー、IPヘッダー、IPv6ヘッダー以降のどれを使うかなどの違いによって、さらにそれぞれ小分類することができます。したがって、厳密にはアクセスリストの種類は次の8つとなります。

表 2：アクセスリストの種類と識別子および設定コマンド

アクセスリストの種類 識別子 設定コマンド

標準IPアクセスリスト

番号付き標準IPアクセスリスト 1～99、1300～1999 access-list(standard)コマンド

名前付き標準IPアクセスリスト名前（文字列） access-list standardコマンド

拡張IPアクセスリスト

番号付き拡張IPアクセスリスト 100～199、2000～2699 access-list(extended)コマンド

名前付き拡張IPアクセスリスト名前（文字列） access-list extendedコマンド

標準IPv6アクセスリスト

名前付き標準IPv6アクセスリスト名前（文字列） ipv6 access-list standardコマンド

ハードウェアアクセスリスト

ハードウェアIPアクセスリスト 3000～3699 access-list(hardware ip)コマンド

ハードウェアMACアクセスリスト 4000～4699 access-list(hardware mac)コマンド

ハードウェアIPv6アクセスリスト名前（文字列） ipv6 access-list(list)コマンド

コマンド形式（シーケンス番号対応）

アクセスリストのコマンドの形式には2種類あります。

逐次指定
以下のように、設定対象のリストと個々のルールを毎回指定します。

access-list standard MYLIST permit 10.0.0.4/32 access-list standard MYLIST permit 10.0.0.5/32 access-list standard MYLIST deny any

サブモード指定（シーケンス番号対応）
最初にリスト指定を行いサブモードに入ったあと、個々のルールを指定します。また、ルール指定時にシーケンス番号を指定することで、リスト内の位置を指定できます。
access-list standard MYLIST 10 permit 10.0.0.4/32 30 permit 10.0.0.5/32 1000 deny any
なお、ハードウェアアクセスリストでのサブモード指定は、LISTNAMEで作成した時のみ可能です。

アクセスリストの種類ごとに、以下のように、両方の形式のためのコマンドが用意されています。

Note - ハードウェアIPv6アクセスリストはシーケンス番号対応版しか存在しません。

表 3：コマンド形式（シーケンス番号対応）

アクセスリストの種類 逐次指定 サブモード指定（シーケンス番号対応）

標準IPアクセスリスト

番号付き標準IPアクセスリスト access-list(standard)コマンド access-list(standard)(list)コマンド、access-list(standard)(seq entry)コマンド

名前付き標準IPアクセスリスト access-list standardコマンド access-list standard(list)コマンド、access-list standard(seq entry)コマンド

拡張IPアクセスリスト

番号付き拡張IPアクセスリスト access-list(extended)コマンド access-list(extended)(list)コマンド、access-list(extended)(seq entry)コマンド

名前付き拡張IPアクセスリスト access-list extendedコマンド access-list extended(list)コマンド、access-list extended(seq entry)コマンド

標準IPv6アクセスリスト

名前付き標準IPv6アクセスリスト ipv6 access-list standardコマンド ipv6 access-list standard(list)コマンド、ipv6 access-list standard(seq entry)コマンド

ハードウェアアクセスリスト

ハードウェアIPアクセスリスト access-list(hardware ip)コマンド access-list hardware(list)コマンド、access-list hardware(seq entry)コマンド

ハードウェアMACアクセスリスト access-list(hardware mac)コマンド access-list hardware(list)コマンド、access-list hardware(seq entry)コマンド

ハードウェアIPv6アクセスリストなし ipv6 access-list(list)コマンド、ipv6 access-list(seq entry)コマンド

以下の説明では、逐次指定のコマンド形式を使用します。

アクセスリストの作成

以下では、アクセスリストの種類ごとに、その概要と作成方法について説明します。

Note - 経路フィルタリングを目的としたアクセスリストの作成方法についてはここでは触れません。「IPルーティング」の「経路制御（フィルタリング）」をご覧ください（「IPルーティング」の章ですが、共通のコマンドが多いため同章ではIPv6の経路フィルタリングについても触れています）。

標準IPアクセスリスト

標準IPアクセスリストは、IPアドレスを1つだけ指定できるアクセスリストです。
おもに、始点IPアドレスに基づいて、本装置上のサービス（NTPなど）に対するアクセスを制御する場合に使用します。また、マルチキャスト関連機能において、設定対象のグループアドレスを範囲指定する場合にも使用します。

Note - 標準IPアクセスリストは、一般的なパケットフィルタリング（本製品を通過するパケット全般を対象としたフィルタリング）には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。

標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

標準IPアクセスリストには、各リストを番号で識別するタイプと名前で識別するタイプがあり、それぞれ以下のコマンドで設定を行います。

番号で識別するタイプ：access-list(standard)コマンド
名前で識別するタイプ：access-list standardコマンド

両者は分類条件の指定方法が若干異なるだけで、アクセスリストを使用する各機能においてはどちらもほぼ同じように使用できます。ただし、機能によってはどちらか一方しか使えないものもありますので、詳細は各機能の解説編やコマンドリファレンス編で確認してください。

以下では、標準IPアクセスリストの作成方法について解説します。

標準IPアクセスリストを使って経路エントリーの分類・識別や制御を行う方法については、「IPルーティング」の「経路制御（フィルタリング）」をご覧ください。

番号付き標準IPアクセスリスト

番号で識別するタイプの標準IPアクセスリストを作成するには、access-list(standard)コマンドを使います。標準IPアクセスリストには、1～99、および、1300～1999の範囲の番号を使います。

番号付き標準IPアクセスリストでは、通常始点IPアドレスに対してのみマッチングを行います。このとき、ワイルドカードマスク（リバースマスクまたはORマスクともいう）を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 番号付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

192.168.10.2と192.168.20.2にだけアクセスを許可する。

awplus(config)# access-list 1 permit host 192.168.10.2 ↓ awplus(config)# access-list 1 permit host 192.168.20.2 ↓

192.168.30.0/24からのアクセスを拒否し、その他は許可する。

awplus(config)# access-list 2 deny 192.168.30.0 0.0.0.255 ↓ awplus(config)# access-list 2 permit any ↓

名前付き標準IPアクセスリスト

名前で識別するタイプの標準IPアクセスリストを作成するには、access-list standardコマンドを使います。

名前付き標準IPアクセスリストでは、通常始点IPアドレスに対してのみマッチングを行います。このとき、マスク長（ANDマスクともいう）を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 名前付き標準IPアクセスリストにはexact-matchというオプションがありますが、これは経路エントリーを対象とするときだけ意味を持つオプションなので、ここでは触れません。

Note - 名前付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

192.168.10.2と192.168.20.2にだけアクセスを許可する。

awplus(config)# access-list standard n1 permit 192.168.10.2/32 ↓ awplus(config)# access-list standard n1 permit 192.168.20.2/32 ↓

192.168.30.0/24からのアクセスを拒否し、その他は許可する。

awplus(config)# access-list standard n2 deny 192.168.30.0/24 ↓ awplus(config)# access-list standard n2 permit any ↓

拡張IPアクセスリスト

拡張IPアクセスリストは、条件となるIPアドレスを2つ指定できるアクセスリストです。始点IPアドレスと終点IPアドレスに基づくアクセス制御やトラフィック分類が本来の用途ですが、本製品では、PIM-SMのランデブーポイントにおいてRegisterメッセージをフィルタリングするときにだけ拡張IPアクセスリストを使用します。

Note - 拡張IPアクセスリストは、一般的なパケットフィルタリング（本製品を通過するパケット全般を対象としたフィルタリング）には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。

拡張IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

拡張IPアクセスリストには、各リストを番号で識別するタイプと名前で識別するタイプがあり、それぞれ以下のコマンドで設定を行います。

番号で識別するタイプ：access-list(extended)コマンド
名前で識別するタイプ：access-list extendedコマンド

Note - 名前付き拡張IPアクセスリスト（access-list extendedコマンド）では、分類条件としてプロトコルやポート番号、ICMPメッセージタイプなどを指定することもできますが、現状これらは使用しません。

以下では、拡張IPアクセスリストの作成方法について解説します。

なお、拡張IPアクセスリストを使って経路エントリーの分類・識別や制御を行うことはできません。

番号付き拡張IPアクセスリスト

番号で識別するタイプの拡張IPアクセスリストを作成するには、access-list(extended)コマンドを使います。拡張IPアクセスリストには、100～199、および、2000～2699の範囲の番号を使います。

番号付き拡張IPアクセスリストでは、通常始点IPアドレスと終点IPアドレスに対してマッチングを行います。このとき、ワイルドカードマスク（リバースマスクまたはORマスクともいう）を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 番号付き拡張IPアクセスリストの末尾には「deny ip any any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

PIM-SMのランデブーポイント（RP）において、送信者172.16.10.100からのマルチキャストパケットを含むRegisterメッセージを拒否するための番号付き拡張IPアクセスリストを作成する。
awplus(config)# access-list 100 deny ip host 172.16.10.100 any ↓ awplus(config)# access-list 100 permit ip any any ↓

名前付き拡張IPアクセスリスト

名前で識別するタイプの拡張IPアクセスリストを作成するには、access-list extendedコマンドを使います。

名前付き拡張IPアクセスリストでは、通常始点IPアドレスと終点IPアドレスに対してマッチングを行います。このとき、マスク長（ANDマスクともいう）を使うことで、柔軟なアドレス指定が可能です。

Note - 名前付き拡張IPアクセスリスト（access-list extendedコマンド）では、分類条件としてプロトコルやポート番号、ICMPメッセージタイプなどを指定することもできますが、現状これらは使用しません。

Note - 名前付き拡張IPアクセスリストの末尾には「deny any any any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

PIM-SMのランデブーポイント（RP）において、送信者172.16.10.5からのマルチキャストパケットを含むRegisterメッセージだけを許可するための名前付き拡張IPアクセスリスト「only105」を作成する。
awplus(config)# access-list extended only105 permit ip 172.16.10.5/32 any ↓

標準IPv6アクセスリスト

標準IPv6アクセスリストは、IPv6アドレスを1つだけ指定できるアクセスリストです。
標準IPアクセスリストのIPv6版と考えればよいでしょう。

Note - 標準IPv6アクセスリストは、一般的なパケットフィルタリング（本製品を通過するパケット全般を対象としたフィルタリング）には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。

標準IPv6アクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

標準IPv6アクセスリストは、標準IPアクセスリストと異なり、各リストを名前で識別するタイプしかありません。設定はipv6 access-list standardコマンドで行います。

以下では、標準IPv6アクセスリストの作成方法について解説します。

標準IPv6アクセスリストを使って経路エントリーの分類・識別や制御を行う方法については、「IPルーティング」の「経路制御（フィルタリング）」をご覧ください（「IPルーティング」の章ですが、共通のコマンドが多いため同章ではIPv6の経路フィルタリングについても触れています）。

名前付き標準IPv6アクセスリスト

名前で識別するタイプの標準IPv6アクセスリストを作成するには、ipv6 access-list standardコマンドを使います。

名前付き標準IPv6アクセスリストでは、通常始点IPv6アドレスに対してのみマッチングを行います。このとき、マスク長（ANDマスクともいう）を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 名前付き標準IPv6アクセスリストにはexact-matchというオプションがありますが、これは経路エントリーを対象とするときだけ意味を持つオプションなので、ここでは触れません。

Note - 名前付き標準IPv6アクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

マルチキャストグループアドレス「ff1e::d017」を拒否し、その他は許可する。

awplus(config)# ipv6 access-list standard gb deny ff1e::d017/128 ↓ awplus(config)# ipv6 access-list standard gb permit any ↓

マルチキャストグループアドレス「ff1e::bf:109f」と「ff1e::bf:110e」だけを許可する。

awplus(config)# ipv6 access-list standard gj permit ff1e::bf:109f/128 ↓ awplus(config)# ipv6 access-list standard gj permit ff1e::bf:110e/128 ↓

ハードウェアアクセスリスト

ハードウェアアクセスリストは、本製品のスイッチングチップ（ASIC）でパケットフィルタリングやトラフィック分類を行うためのアクセスリストです。

ハードウェアアクセスリストでは、パケットヘッダー内の各種フィールドを検査してパケットを分類し、分類したパケットに対しては、許可、破棄だけでなく、パケットのコピーをミラーポートから出力するなどの各種処理を行うことができます。

ハードウェアアクセスリストは、これまで説明してきた他のアクセスリストとは違って、エントリーを1つしか持てません。すなわち、ハードウェアアクセスリストは「リスト」という名を持ってはいますが、実際にはリストではなく単一のエントリーということになります。したがって、ハードウェアアクセスリストには、他のアクセスリストにある「暗黙のdenyエントリー」は存在しません。

ハードウェアアクセスリストを用いてトラフィックの制御を行うときは、複数のハードウェアアクセスリスト（つまりエントリー）をスイッチポート（インターフェース・ハードウェアパケットフィルター）やスイッチ全体（グローバル・ハードウェアパケットフィルター）、あるいは、ポリシーマップ（QoSポリシー）に順序立てて関連付けることで、実際のリストを構成します。

ハードウェアアクセスリストには、IPヘッダー、IPv6ヘッダー以降をマッチング対象にするものと、Ethernetヘッダーだけをマッチング対象にするものがあり、それぞれ以下のコマンドで設定を行います。

IPヘッダー以降を見るもの: access-list(hardware ip)コマンド
IPv6ヘッダー以降を見るもの: ipv6 access-list(list)コマンド、ipv6 access-list(seq entry)コマンド
Ethernetヘッダーだけを見るもの: access-list(hardware mac)コマンド

これらは使用できる分類条件が異なるだけで、トラフィックを制御する各機能においてはどちらもほぼ同じように、混在して使用できます。

以下では、ハードウェアアクセスリストを用いてトラフィックを分類する方法について解説します。

なお、ハードウェアアクセスリストを使って経路エントリーの分類・識別や制御を行うことはできません。

ハードウェアIPアクセスリスト

ハードウェアIPアクセスリストを作成するには、access-list(hardware ip)コマンドを使います。

ハードウェアIPアクセスリストでは、通常始点IPアドレスと終点IPアドレスに対してマッチングを行います。このとき、マスク長（ANDマスクともいう）やワイルドカードマスク（リバースマスクまたはORマスクともいう）を使うことで、柔軟なアドレス指定が可能です。また、TCP/UDPパケットに対しては終点・始点のポート番号を、ICMPパケットに対してはメッセージタイプを指定することもできます。次にいくつか例を示します。

Note - ハードウェアIPアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。

192.168.10.100から192.168.10.1へのIPパケットを拒否する。

awplus(config)# access-list 3000 deny ip 192.168.10.100/32 192.168.10.1/32 ↓

192.168.10.1のTCP80番ポートへのアクセスを拒否する。

awplus(config)# access-list 3001 deny tcp any 192.168.10.1/32 eq 80 ↓

192.168.20.0/24から192.168.10.1へのPingを拒否する。

awplus(config)# access-list 3002 deny icmp 192.168.20.0/24 192.168.10.1/32 icmp-type 8 ↓

ハードウェアIPv6アクセスリスト

ハードウェアIPv6アクセスリストを作成するには、ipv6 access-list(list)コマンドとipv6 access-list(seq entry)コマンドを使います。

Note - ハードウェアIPv6アクセスリストはシーケンス番号対応版しか存在しません。

Note - ハードウェアパケットフィルターでハードウェアIPv6アクセスリストを使用する場合は、platform routingratioコマンドの設定が「ipv4andipv6」に、platform hwfilter-sizeコマンドの設定が「ipv4-full-ipv6」になっている必要があります。初期設定は「ipv4andipv6」、「ipv4-full-ipv6」なので、初期設定のままであれば問題ありませんが、初期設定から変更している場合は元に戻し、設定を保存した上で、システムを再起動する必要があります。

ハードウェアIPv6アクセスリストでは、通常始点IPv6アドレスと終点IPv6アドレスに対してマッチングを行います。このとき、マスク長（ANDマスクともいう）やワイルドカードマスク（リバースマスクまたはORマスクともいう）を使うことで、柔軟なアドレス指定が可能です。また、TCP/UDPパケットに対しては終点・始点のポート番号を、ICMPv6パケットに対してはメッセージタイプを指定することもできます。次にいくつか例を示します。

Note - ハードウェアIPv6アクセスリストは複数のエントリーから構成されるリストですが、ハードウェアIPアクセスリスト、ハードウェアMACアクセスリストと同様に、暗黙のdenyエントリーは存在しません。そのため、どのエントリーともマッチしなかったパケットはpermitされます。

2001:db8:10:10::100から2001:db8:10:10::1へのIPv6パケットを拒否する。

awplus(config)# ipv6 access-list deny100to1 ↓ awplus(config-ipv6-hw-acl)# deny ipv6 2001:db8:10:10::100/128 2001:db8:10:10::1/128 ↓

2001:db8:10:10::1のTCP80番ポートへのアクセスを拒否する。

awplus(config)# ipv6 access-list deny1tcp80 ↓ awplus(config-ipv6-hw-acl)# deny tcp any 2001:db8:10:10::1/128 eq 80 ↓

2001:db8:10:20::/64から2001:db8:10:10::1へのPingを拒否する。

awplus(config)# ipv6 access-list deny1ping ↓ awplus(config-ipv6-hw-acl)# deny icmp 2001:db8:10:20::/64 2001:db8:10:10::1/128 icmp-type 128 ↓

ハードウェアMACアクセスリスト

ハードウェアMACアクセスリストを作成するには、access-list(hardware mac)コマンドを使います。

ハードウェアMACアクセスリストでは、送信元MACアドレスと宛先MACアドレスに対してマッチングを行います。このとき、ワイルドカードマスク（リバースマスクまたはORマスクともいう）を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - ハードウェアMACアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。

Note - ハードウェアMACアクセスリストは、拡張モジュールAT-XEM-2XP、AT-XEM-2XS上では動作しません。これらのモジュール上ではハードウェアMACアクセスリストを使用しないでください。

MACアドレス00-0a-79-34-0b-33からのパケットを拒否する。

awplus(config)# access-list 4000 deny 000a.7934.0b33 0000.0000.0000 any ↓

MACアドレス00-11-22-33-44-55から00-0a-79-34-0b-33へのパケットを拒否する。

awplus(config)# access-list 4001 deny 0011.2233.4455 0000.0000.0000 000a.7934.0b33 0000.0000.0000 ↓

アクセスリストの使用

作成したアクセスリストは、以下の機能/コマンドから使用できます（経路フィルタリング関連機能を除く）。

Note - 経路フィルタリングを目的としたアクセスリストの使用方法についてはここでは触れません。「IPルーティング」の「経路制御（フィルタリング）」をご覧ください（「IPルーティング」の章ですが、共通のコマンドが多いため同章ではIPv6の経路フィルタリングについても触れています）。

標準IPアクセスリスト

標準IPアクセスリストを利用したアクセス制御関連の機能としては、以下のものがあります。

SNMPコミュニティーへのアクセス制御：snmp-server communityコマンド
NTPサービスへのアクセス制御：ntp access-groupコマンド
PIM-SM/PIM-DMにおける隣接関係の制御：ip pim neighbor-filterコマンド
IGMPにおけるグループ参加のフィルタリング：ip igmp access-groupコマンド

また、各種アドレスの指定に標準IPアクセスリストを使う機能としては、以下のものがあります。

IGMP即時脱退機能の対象グループ指定：ip igmp immediate-leaveコマンド
IGMPにおける登録可能グループ数制限の除外対象指定：ip igmp limitコマンド、ip igmp limitコマンド
PIM-SM Registerメッセージのチェックサム計算方式変更の対象グループ指定：ip pim cisco-register-checksumコマンド
PIM-SMにおけるランデブーポイント（静的設定）の担当グループ指定：ip pim rp-addressコマンド
PIM-SMにおけるランデブーポイント（動的設定）の担当グループ指定：ip pim rp-candidateコマンド

■ SNMPの詳細については、「運用・管理」の「SNMP」をご覧ください。

■ NTPの詳細については、「運用・管理」の「NTP」をご覧ください。

■ PIM-SM/PIM-DMの詳細については、「IPマルチキャスト」の「PIM」をご覧ください。

■ IGMPの詳細については、「IPマルチキャスト」の「IGMP」をご覧ください。

拡張IPアクセスリスト

現状、拡張IPアクセスリストは次の用途にしか使用しません。

PIM-SMにおけるRegisterメッセージのフィルタリング：ip pim accept-register listコマンド

■ PIM-SMの詳細については、「IPマルチキャスト」の「PIM」をご覧ください。

標準IPv6アクセスリスト

標準IPv6アクセスリストを利用したアクセス制御関連の機能としては、以下のものがあります。

MLD/MLD Snoopingにおけるグループ参加のフィルタリング：ipv6 mld access-groupコマンド
PIM-SMv6におけるRegisterメッセージのフィルタリング：ipv6 pim accept-register listコマンド

また、各種アドレスの指定に標準IPv6アクセスリストを使う機能としては、以下のものがあります。

MLD即時脱退機能の対象グループ指定：ipv6 mld immediate-leaveコマンド
MLD/MLD Snoopingにおける登録可能グループ数制限の除外対象指定：ipv6 mld limitコマンド、ipv6 mld limitコマンド
PIM-SMv6 Registerメッセージのチェックサム計算方式変更の対象グループ指定：ipv6 pim cisco-register-checksumコマンド
PIM-SMv6におけるランデブーポイント（静的設定）の担当グループ指定：ipv6 pim rp-addressコマンド
PIM-SMv6におけるランデブーポイント（動的設定）の担当グループ指定：ipv6 pim rp-candidateコマンド

■ PIM-SMv6の詳細については、「IPv6マルチキャスト」の「PIM」をご覧ください。

■ MLD/MLD Snoopingの詳細については、「IPv6マルチキャスト」の「MLD」、「IPv6マルチキャスト」の「MLD Snooping」をご覧ください。

ハードウェアアクセスリスト

ハードウェアアクセスリストは、次の機能で使用します。

受信スイッチポートにおけるパケットフィルタリング（インターフェース・ハードウェアパケットフィルター）：access-groupコマンド（インターフェースモード）、ipv6 traffic-filterコマンド（インターフェースモード）
すべてのパケットを対象とするパケットフィルタリング（グローバル・ハードウェアパケットフィルター）：access-groupコマンド（グローバルコンフィグモード）、ipv6 traffic-filterコマンド（グローバルコンフィグモード）
受信スイッチポートにおけるトラフィック分類（Quality of Service）：match access-groupコマンド（クラスマップモード）

■ ハードウェアパケットフィルターの詳細については、「トラフィック制御」の「ハードウェアパケットフィルター」をご覧ください。

■ Quality of Service（QoS）の詳細については、「トラフィック制御」の「Quality of Service」をご覧ください。

PN: 613-002380 Rev.A

アクセスリストの種類	アクセスリストを利用する機能	用途
標準IPアクセスリスト	SNMP	SNMPコミュニティーへのアクセス制御
	NTP	NTPサービスへのアクセス制御
	RIP/OSPF/BGP	経路情報のフィルタリング（経路エントリーの許可・破棄や属性変更）
	PIM-SM	隣接関係の制御（隣接ルーターの制限）
	PIM-SM	各種機能の設定対象となるマルチキャストグループの指定
	PIM-DM	隣接関係の制御（隣接ルーターの制限）
	IGMP	参加可能なマルチキャストグループの制限
	IGMP	各種機能の設定対象となるマルチキャストグループの指定
拡張IPアクセスリスト	PIM-SM	ランデブーポイント（RP）におけるRegisterメッセージのフィルタリング
標準IPv6アクセスリスト	RIPng/OSPFv3/BGP	経路情報のフィルタリング（経路エントリーの許可・破棄や属性変更）
	PIM-SMv6	ランデブーポイント（RP）におけるRegisterメッセージのフィルタリング
		隣接関係の制御（隣接ルーターの制限）
		各種機能の設定対象となるマルチキャストグループの指定
	MLD/MLD Snooping	参加可能なマルチキャストグループの制限
	MLD/MLD Snooping	各種機能の設定対象となるマルチキャストグループの指定
ハードウェアアクセスリスト	ハードウェアパケットフィルター	受信スイッチポートにおけるパケットフィルタリング
ハードウェアアクセスリスト	Quality of Service（QoS）	受信スイッチポートにおけるトラフィック分類

アクセスリストの種類	識別子	設定コマンド
標準IPアクセスリスト
番号付き標準IPアクセスリスト	1～99、1300～1999	access-list(standard)コマンド
名前付き標準IPアクセスリスト	名前（文字列）	access-list standardコマンド
拡張IPアクセスリスト
番号付き拡張IPアクセスリスト	100～199、2000～2699	access-list(extended)コマンド
名前付き拡張IPアクセスリスト	名前（文字列）	access-list extendedコマンド
標準IPv6アクセスリスト
名前付き標準IPv6アクセスリスト	名前（文字列）	ipv6 access-list standardコマンド
ハードウェアアクセスリスト
ハードウェアIPアクセスリスト	3000～3699	access-list(hardware ip)コマンド
ハードウェアMACアクセスリスト	4000～4699	access-list(hardware mac)コマンド
ハードウェアIPv6アクセスリスト	名前（文字列）	ipv6 access-list(list)コマンド

アクセスリストの種類	逐次指定	サブモード指定（シーケンス番号対応）
標準IPアクセスリスト
番号付き標準IPアクセスリスト	access-list(standard)コマンド	access-list(standard)(list)コマンド、access-list(standard)(seq entry)コマンド
名前付き標準IPアクセスリスト	access-list standardコマンド	access-list standard(list)コマンド、access-list standard(seq entry)コマンド
拡張IPアクセスリスト
番号付き拡張IPアクセスリスト	access-list(extended)コマンド	access-list(extended)(list)コマンド、access-list(extended)(seq entry)コマンド
名前付き拡張IPアクセスリスト	access-list extendedコマンド	access-list extended(list)コマンド、access-list extended(seq entry)コマンド
標準IPv6アクセスリスト
名前付き標準IPv6アクセスリスト	ipv6 access-list standardコマンド	ipv6 access-list standard(list)コマンド、ipv6 access-list standard(seq entry)コマンド
ハードウェアアクセスリスト
ハードウェアIPアクセスリスト	access-list(hardware ip)コマンド	access-list hardware(list)コマンド、access-list hardware(seq entry)コマンド
ハードウェアMACアクセスリスト	access-list(hardware mac)コマンド	access-list hardware(list)コマンド、access-list hardware(seq entry)コマンド
ハードウェアIPv6アクセスリスト	なし	ipv6 access-list(list)コマンド、ipv6 access-list(seq entry)コマンド