この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
イーサネット サービス ACL の概念、設定タスク、および例の詳細については、『Cisco ASR 9000 Series Aggregation Services Router IP Addresses and Services Configuration Guide』を参照してください。
既存のイーサネット サービス アクセス リストのコピーを作成するには、EXEC モードで copy access-list ethernet-services コマンドを使用します。
copy access-list ethernet-service source-acl destination-acl
source-acl | コピー元のアクセス リストの名前 |
destination-acl | source-acl 引数の内容がコピーされる宛先のアクセス リストの名前 |
なし
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
設定されたイーサネット サービス アクセス リストをコピーするには、copy access-list ethernet-service コマンドを使用します。 source-acl 引数を使用してコピー元のアクセス リストを指定し、destination-acl 引数を使用して、送信元アクセス リストの内容のコピー先を指定することができます。 destination-acl 引数は一意の名前である必要があります。アクセス リストに destination-acl 引数名が存在する場合、そのアクセス リストはコピーされません。 copy access-list ethernet-service コマンドは送信元アクセス リストが存在することをチェックしてから、既存のアクセス リストを上書きしないように既存のリスト名をチェックします。
タスク ID |
操作 |
---|---|
acl |
読み取り、書き込み |
filesystem |
実行 |
次の例では、アクセス リストのリスト 1 のコピーがリスト 2 として作成されます。
RP/0/RSP0/CPU0:router# show access-list ethernet-service list-1
ethernet service access-list list-1
10 permit any any
20 permit 2.3.4 5.4.3
RP/0/RSP0/CPU0:router# copy access-list ethernet-service list-1 list-2
RP/0/RSP0/CPU0:router# show access-list ethernet-service list-2
ethernet service access-list list2
10 permit any any
20 permit 2.3.4 5.4.3
Command |
Description |
イーサネット サービス アクセス リストの条件を設定します |
|
インターフェイスへのアクセスを制御します。 |
|
イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。 |
|
現在のイーサネット サービス アクセス リストの内容を表示します。 |
|
イーサネット サービス アクセス リストのトレース情報を表示します。 |
|
特定の ACL が適用されるモードおよびインターフェイスを指定します。 |
イーサネット サービス アクセス リストの条件を設定するには、イーサネット サービス アクセス リストのコンフィギュレーション モードで deny コマンドを使用します。 条件を削除するには、このコマンドの no 形式を使用します。
[sequence-number] deny { src-mac-address src-mac-mask | any | host | dest-mac-address dest-mac-mask } [ ethertype-number | capture | vlan min-vlan-ID [max-vlan-ID] ] [ cos cos-value ] [dei] [ inner-vlan min-vlan-ID [max-vlan-ID] ] [ inner-cos cos-value ] [inner-dei]
no sequence-number
sequence-number | (任意)アクセス リスト中の deny ステートメントの番号。 この番号により、アクセス リスト中のステートメントの順番を識別します。 番号の範囲は 1 ~ 2147483646 です。 (デフォルトで、最初のステートメントの番号は 10 で、後続のステートメントは 10 ずつ増加していきます)。resequence access-list コマンドを使用すると、設定済みアクセス リスト中の最初のステートメントの番号を変更し、後続のステートメントの番号を増加することができます。 |
src-mac-address | H.H.H 形式の送信元 MAC アドレス。 |
src-mac-mask | H.H.H 形式の送信元 MAC マスク。 |
any | すべての送信元 MAC アドレスおよびマスクを拒否します。 |
host | H.H.H の形式で、特定のホスト送信元 MAC アドレスおよびマスクを持つホストを拒否します。 |
dest-mac-address | H.H.H 形式の宛先 MAC アドレス。 |
dest-mac-mask | H.H.H 形式の宛先 MAC マスク。 |
ethertype-number | 16 進数の 16 ビットの ethertype 番号。 範囲は 0x1 ~ 0xffff です。 |
capture | (任意)トラフィック ミラーリング機能を使用してパケットをキャプチャし、キャプチャ ファイルにそれをコピーします。 |
vlan | (任意)特定の VLAN または VLAN 範囲を拒否します。 |
min-vlan-ID | 特定の VLAN または VLAN ID の範囲の開始の ID。 |
max-vlan-ID | (任意)VLAN ID の範囲の最後の ID。 |
cos | (任意)サービス クラス値に基づいて拒否します。 |
cos-value | サービス クラスの値。 範囲は 0 ~ 7 です。 |
dei | (任意)廃棄適性のインジケータ(DEI)の設定に基づいて拒否します。 |
inner-vlan | (任意)内部ヘッダーに対応する VLAN ID の特定の VLAN ID または範囲を拒否します。 |
min-vlan-ID | 特定の VLAN または VLAN ID の範囲の開始の ID。 |
max-vlan-ID | (任意)VLAN ID の範囲の最後の ID。 |
inner-cos | (任意)サービス値の内部ヘッダー クラスに基づいて拒否します。 |
cos-value | サービス値の内部ヘッダー クラス。 範囲は 0 ~ 7 です。 |
inner-dei | (任意)内部ヘッダー廃棄適性のインジケータに基づいて拒否します。 |
イーサネット サービス アクセス リストの送受信時にパケットが拒否されるデフォルトの条件はありません。
イーサネット サービス アクセス リスト コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ethernet-service access-list コマンドに続いて deny コマンドを使用すると、パケットがアクセス リストを通過できる条件を指定できます。
デフォルトでは、アクセス リストの最初のステートメントは 10 で、その次のステートメントからは 10 ずつ増加します。
permit または deny ステートメントを、リスト全体を再入力せずに既存のアクセス リストに追加できます。 新しいステートメントをリストの最後尾以外に追加するには、所属先を示すために 2 つの既存のエントリ番号の間にある適切なエントリ番号を持つ新しいステートメントを作成します。
2 つの連続した番号のステートメントの間(たとえば、10 行と 11 行の間)にステートメントを追加する場合は、最初に resequence access-list ethernet-service コマンドを使用して、最初のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させます。
タスク ID |
操作 |
---|---|
acl |
読み取り、書き込み |
次に、L2ACL1 という名前のイーサネット サービス アクセス リストを定義する例を示します。
RP/0/RSP0/CPU0:router(config)# ethernet-services access-list L2ACL1 RP/0/RSP0/CPU0:router(config-es-acl)# 10 permit 00ff.eedd.0010 ff00.0000.00ff 0011.ab10.cdef ffff.0000.ff00 vlan 1000-1100 inner-vlan 100 inner-cos 7 inner-dei RP/0/RSP0/CPU0:router(config-es-acl)# 20 deny host eedd.0011.ff1c ff00.0000.00ff any vlan 300 cos 1 dei inner-vlan 30 inner-cos 6 RP/0/RSP0/CPU0:router(config-es-acl)# 30 permit any any vlan 500 cos 2 inner-vlan 600 inner-cos 5 inner-dei
Command |
Description |
既存のイーサネット サービス アクセス リストのコピーを作成します。 |
|
インターフェイスへのアクセスを制御します。 |
|
イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。 |
|
現在のイーサネット サービス アクセス リストの内容を表示します。 |
|
イーサネット サービス アクセス リストのトレース情報を表示します。 |
|
特定の ACL が適用されるモードおよびインターフェイスを指定します。 |
インターフェイスへのアクセスを制御するには、インターフェイス コンフィギュレーション モードで ethernet-service access-group コマンドを使用します。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。
ethernet-service access-group access-list-name { ingress | egress }
no ethernet-service access-group access-list-name { ingress | egress }
access-list-name | ethernet-service access-list コマンドで指定されるイーサネット サービス アクセス リストの名前。 |
ingress | インバウンド パケットに対してフィルタリングします。 |
egress | 発信パケットをフィルタリングします。 |
インターフェイスには、適用されるイーサネット サービス アクセス リストがありません。
インターフェイス コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ethernet-service access-group コマンドを使用すると、インターフェイスへのアクセスを制御することができます。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。 acl-name 引数を使用して、特定のイーサネット サービス アクセス リストを指定します。 ingress キーワードを使用すると着信パケットをフィルタリングすることができます。また、egress キーワードを使用すると発信パケットをフィルタリングすることができます。
リストでアドレスが許可される場合は、ソフトウェアはパケットの処理を継続します。 アクセス リストでアドレスが拒否される場合は、パケットを廃棄し、ICMP ホスト到達不能メッセージを返します。
指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。
デフォルトでは、一意のまたはインターフェイス単位の ACL 統計情報はディセーブルになっています。
タスク ID |
操作 |
---|---|
acl |
読み取り、書き込み |
次に、GigabitEthernet interface 0/2/0/0 との間の着信または発信パケットへのフィルタリングの適用方法の例を示します。
RP/0/RSP0/CPU0:router(config)# interface gigabitethernet 0/2/0/2 RP/0/RSP0/CPU0:router(config-if)# ethernet-service access-group p-ingress-filter ingress RP/0/RSP0/CPU0:router(config-if)# ethernet-service access-group p-egress-filter egress
Command |
Description |
既存のイーサネット サービス アクセス リストのコピーを作成します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。 |
|
現在のイーサネット サービス アクセス リストの内容を表示します。 |
|
イーサネット サービス アクセス リストのトレース情報を表示します。 |
|
特定の ACL が適用されるモードおよびインターフェイスを指定します。 |
イーサネット サービス(レイヤ 2)アクセス リストを名前で定義するには、グローバル コンフィギュレーション モードで ethernet-services access-list コマンドを使用します。 イーサネット サービス アクセス リスト中のすべてのエントリを削除するには、このコマンドの no 形式を使用します。
ethernet-services access-list access-list-name
no ethernet-services access-list access-list-name
access-list-name | イーサネット サービス アクセス リストの名前。 この名前にスペースや引用符を含めることはできませんが、数値を含めることはできます。 |
イーサネット サービス アクセス リストは定義されていません。
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ethernet-services access-list コマンドは、ルータをアクセス リスト コンフィギュレーション モードにします。この場合、拒否対象または許可対象のアクセス条件は、deny(ES ACL)または permit(ES ACL)コマンドで定義される必要があります。
既存のイーサネット サービス アクセス リスト中の連続したエントリ間に permit ステートメントまたは deny ステートメントを追加する必要がある場合は、resequence access-list ethernet-service コマンドを使用します。
タスク ID |
操作 |
---|---|
acl |
読み取り、書き込み |
次に、L2ACL1 という名前のイーサネット サービス アクセス リストを定義する例を示します。
RP/0/RSP0/CPU0:router(config)# ethernet-services access-list L2ACL1
Command |
Description |
既存のイーサネット サービス アクセス リストのコピーを作成します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
インターフェイスへのアクセスを制御します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。 |
|
現在のイーサネット サービス アクセス リストの内容を表示します。 |
|
イーサネット サービス アクセス リストのトレース情報を表示します。 |
|
特定の ACL が適用されるモードおよびインターフェイスを指定します。 |
イーサネット サービス アクセス リストの条件を設定するには、イーサネット サービス アクセス リストのコンフィギュレーション モードで permit コマンドを使用します。 条件を削除するには、このコマンドの no 形式を使用します。
[sequence-number] permit { src-mac-address src-mac-mask | any | host | dest-mac-address dest-mac-mask } [ ethertype-number | capture | vlan min-vlan-ID [max-vlan-ID] ] [ cos cos-value ] [dei] [ inner-vlan min-vlan-ID [max-vlan-ID] ] [ inner-cos cos-value ] [inner-dei]
no sequence-number
sequence-number | (任意)アクセス リスト中の permit ステートメントの番号。 この番号により、アクセス リスト中のステートメントの順番を識別します。 番号の範囲は 1 ~ 2147483646 です。 (デフォルトで、最初のステートメントの番号は 10 で、後続のステートメントは 10 ずつ増加していきます)。resequence access-list コマンドを使用すると、設定済みアクセス リスト中の最初のステートメントの番号を変更し、後続のステートメントの番号を増加することができます。 |
src-mac-address | H.H.H 形式の送信元 MAC アドレス。 |
src-mac-mac | H.H.H 形式の送信元 MAC マスク。 |
any | すべての送信元 MAC アドレスおよびマスクを許可します。 |
host | H.H.H の形式で、特定のホスト送信元 MAC アドレスおよびマスクを持つホストを許可します。 |
dest-mac-address | H.H.H 形式の宛先 MAC アドレス。 |
dest-mac-mac | H.H.H 形式の宛先 MAC マスク。 |
ethertype-number | 16 進数の 16 ビットの ethertype 番号。 範囲は 0x1 ~ 0xffff です。 |
capture | (任意)トラフィック ミラーリング機能を使用してパケットをキャプチャし、キャプチャ ファイルにそれをコピーします。 |
vlan | (任意)特定の VLAN または VLAN 範囲を許可します。 |
min-vlan-ID | 特定の VLAN または VLAN ID の範囲の開始の ID。 |
max-vlan-ID | (任意)VLAN ID の範囲の最後の ID。 |
cos | (任意)サービス クラス値に基づいて許可します。 |
cos-value | サービス クラスの値。 範囲は 0 ~ 7 です。 |
dei | (任意)廃棄適性のインジケータ(DEI)の設定に基づいて許可します。 |
inner-vlan | (任意)内部ヘッダーに対応する VLAN ID の特定の VLAN ID または範囲を許可します。 |
min-vlan-ID | 特定の VLAN または VLAN ID の範囲の開始の ID。 |
max-vlan-ID | (任意)VLAN ID の範囲の最後の ID。 |
inner-cos | (任意)サービス値の内部ヘッダー クラスに基づいて許可します。 |
cos-value | サービス値の内部ヘッダー クラス。 範囲は 0 ~ 7 です。 |
inner-dei | (任意)内部ヘッダー廃棄適性のインジケータに基づいて許可します。 |
イーサネット サービス ACL の送受信時にパケットが許可される特定のデフォルトの条件はありません。
イーサネット サービス アクセス リスト コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ethernet-service access-list コマンドに続いて permit コマンドを使用すると、パケットがアクセス リストを通過できる条件を指定できます。
デフォルトでは、アクセス リストの最初のステートメントは 10 で、その次のステートメントからは 10 ずつ増加します。
permit または deny ステートメントを、リスト全体を再入力せずに既存のアクセス リストに追加できます。 新しいステートメントをリストの最後尾以外に追加するには、所属先を示すために 2 つの既存のエントリ番号の間にある適切なエントリ番号を持つ新しいステートメントを作成します。
2 つの連続した番号のステートメントの間(たとえば、10 行と 11 行の間)にステートメントを追加する場合は、最初に resequence access-list ethernet-service コマンドを使用して、最初のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させます。
タスク ID |
操作 |
---|---|
acl |
読み取り、書き込み |
次に、L2ACL1 という名前のアクセス リストの許可条件を設定する方法の例を示します。
RP/0/RSP0/CPU0:router(config)# ethernet-services access-list L2ACL1 RP/0/RSP0/CPU0:router(config-es-al)# 10 permit 00ff.eedd.0010 ff00.0000.00ff 0011.ab10.cdef ffff.0000.ff00 vlan 1000-1100 inner-vlan 100 inner-cos 7 inner-dei RP/0/RSP0/CPU0:router(config-es-al)# 20 permit any host 000a.000b.000c 0800 vlan 500 cos 2 inner-vlan 600 inner-cos 5 inner-dei RP/0/RSP0/CPU0:router(config-es-al)# 30 permit any host 000a.000b.000c 8137 vlan 500 cos 2 inner-vlan 600 inner-cos 5 inner-dei
Command |
Description |
既存のイーサネット サービス アクセス リストのコピーを作成します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
インターフェイスへのアクセスを制御します。 |
|
イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。 |
|
既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。 |
|
現在のイーサネット サービス アクセス リストの内容を表示します。 |
|
イーサネット サービス アクセス リストのトレース情報を表示します。 |
|
特定の ACL が適用されるモードおよびインターフェイスを指定します。 |
既存のステートメントの番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可するには、EXEC モードで resequence access-list ethernet-service コマンドを使用します。
resequence access-list ethernet-service access-list-name [ starting-sequence-number [increment] ]
access-list-name | イーサネット サービス アクセス リストの名前。 この名前にスペースや引用符を含めることはできませんが、数値を含めることはできます。 |
starting-sequence-number | (任意)指定されたアクセス リスト中の 1 番目のステートメントであり、アクセス リスト中の順番を決定します。 最大値は 2147483646 です。 デフォルトは 10 です。 |
increment | (任意)以降のステートメントでの、ベース シーケンス番号に対する増分。 最大値は 2147483646 です。 デフォルトは 10 です。 |
starting-sequence-number:10
increment: 10
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
resequence access-list ethernet-service コマンドを使用して、既存のイーサネット サービス アクセス リスト内の連続したエントリ間に permit または deny ステートメントを追加します。 最初のエントリ番号(start-sequence-number)とステートメントのエントリ番号を分けるための増分を指定します。 ソフトウェアは既存のステートメントを記憶し、未使用のエントリ番号で新しいステートメントが追加できるようになります。
タスク ID |
操作 |
---|---|
acl |
読み取り、書き込み |
次の例では、既存のアクセス リストがあるとしています。
ethernet service access-list L2ACL1 10 permit 1.2.3 4.5.6 20 deny 2.3.4 5.4.3 30 permit 3.1.2 5.3.4 cos 5
最初の許可ステートメントの前に、アクセス リストに他のエントリを追加する必要があります。 最初に、エントリに番号を付け直して(ステートメントの番号を 20 から始めて 10 ずつ増加させる)、既存の各ステートメント間に追加ステートメントを挿入できるスペースを取ります。
RP/0/RSP0/CPU0:router# resequence access-list ethernet-service L2ACL1 20 10 RP/0/RSP0/CPU0:router# show access-list ethernet-services L2ACL1 ethernet service access-list L2ACL1 20 permit 1.2.3 4.5.6 30 deny 2.3.4 5.4.3 40 permit 3.1.2 5.3.4 cos 5
Command |
Description |
既存のイーサネット サービス アクセス リストのコピーを作成します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
インターフェイスへのアクセスを制御します。 |
|
イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
現在のイーサネット サービス アクセス リストの内容を表示します。 |
|
イーサネット サービス アクセス リストのトレース情報を表示します。 |
|
特定の ACL が適用されるモードおよびインターフェイスを指定します。 |
現在のイーサネット サービス アクセス リストの内容を表示するには、EXEC モードで show access-lists ethernet-services コマンドを使用します。
show access-lists ethernet-services [ access-list-name | maximum | standby | summary ] [ hardware | usage ] [ ingress | egress ] [ implicit | detail | sequence | location location ]
access-list-name | (任意)特定のイーサネット サービス アクセス リストの名前。 この名前にスペースや引用符を含めることはできませんが、数値を含めることはできます。 |
maximum | (任意)設定可能なイーサネット サービスの ACL および ACE の最大数を示します。 |
standby | (任意)スタンバイ モードのすべてのアクセス リストを表示します。 |
summary | (任意)イーサネット サービス アクセス リストの要約を表示します。 |
hardware | (任意)ラインカード全体にわたる特定の方向で、特定の ACL の一致カウントを含むハードウェアにあるイーサネット サービス アクセス リストのエントリを表示します。 |
usage | (任意)指定された場所のこの ACL の使用状況を表示します。 |
ingress | (任意)受信パケットをフィルタリングします。 |
egress | (任意)発信パケットをフィルタリングします。 |
implicit | (任意)特定の ACL によって暗黙的に拒否されたパケットの数を表示します。 |
detail | (任意)TCAM エントリを表示します。 |
sequence | (任意)特定のシーケンス番号の統計情報を表示します。 |
sequence-number | シーケンス番号の値。 範囲は 1 ~ 2147483647 です。 |
location | (任意)特定のノード番号の情報を表示します。 |
location | 完全修飾で指定された場所 |
すべてのイーサネット サービス アクセス リストの内容が表示されます。
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
acl |
読み取り、書き込み |
次に、拒否されたイーサネット サービス アクセス リストの最大しきい値の例を示します。
RP/0/RSP0/CPU0:router# show access-lists ethernet-services maximum
Max configurable ACLs: 10000
Max configurable ACEs: 350000
RP/0/RSP0/CPU0:router# show access-lists ethernet-services maximum detail
Total ACLs configured: 2
Total ACEs configured: 3
Max configurable ACLs: 10000
Max configurable ACEs: 350000
次に、イーサネット サービス アクセス リストのスタンバイの例を示します。
RP/0/RSP0/CPU0:router# show access-lists ethernet-services standby
ethernet-services access-list i
10 permit host 0001.0002.0003 host 000a.000b.000c
ethernet-services access-list l2_acl
10 permit any any
20 deny host 0002.0003.0004 host 000.50004.0003
次の例には、システムに設定されているイーサネット サービス ACL の数の要約が示されています。
RP/0/RSP0/CPU0:router# show access-lists ethernet-services summary
ACL Summary:
Total ACLs configured: 2
Total ACEs configured: 3
次に、ACE ごとにアクセス リスト l2_acl と一致するパケット数を示します。
RP/0/RSP0/CPU0:router# show access-lists ethernet-services l2_ACL hardware ingress location 0/0/CPU0
ethernet service access-list l2_acl
10 permit any any ( 3524 hw matches)
20 deny host 0002.0003.0004 host 0005.0004.0003 (5394 hw matches)
次に、アクセス リスト l2_acl での暗黙的な拒否と一致するパケット数を示します。
RP/0/RSP0/CPU0:router# show access-lists ethernet-services l2_ACL hardware ingress implicit location 0/0/CPU0
ethernet-services access-list l1_acl
2147483647 implicit deny any any (2300 hw matches)
次に、特定のシーケンス番号と一致するパケット数を示します。
RP/0/RSP0/CPU0:router# show access-lists ethernet-services l2_ACL hardware ingress sequence 20 location 0/0/CPU0
ethernet-services access-list l2_acl
20 deny host 0002.0003.0004 host 0005.0004.0003 (5394 hw matches)
次に、イーサネット サービス アクセス リスト l2acl_4 の TCAM エントリの統計情報を示します。
RP/0/RSP0/CPU0:router# show access-lists ethernet-services l2acl_4 hardware ingress sequence 10 detail location 0/6/CPU0
Wed Jun 24 00:28:51.367 UTC
ACL name: l2acl_4
Format type : 1
Channel ID: 2
Sequence Number: 10
Grant: permit
Logging: OFF
Hits: 0
Statistics pointer: 0x150628
Number of TCAM entries: 1
idx = 0
Entry : 0 for ACE : 10
RAW value : 40 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
RAW mask : 00 03 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
-------------------------------Field Details----------------------------------
outer_vlan_id value : 0000
outer_vlan_id mask : 0ffff
outer_vlan discard eligibility value: 00
outer_vlan discard eligibility mask : 01
outer_vlan_id cos value: 00
outer_vlan_id cos mask: 07
Ethernet type value : 0000
Ethernet type mask : ffff
Base app id value : 02
Base app id value : 00
Base acl id value : 0001
Base acl id mask : 0000
outer vlan id present value : 0
outer vlan id present mask : 1
inner vlan id present value : 0
inner vlan id present mask : 1
Mac source address value : 0000 0000 0000
Mac source address mask : ffff ffff ffff
Mac destination address value : 0000 0000 0000
Mac destination address mask : ffff ffff ffff
RP/0/RSP0/CPU0:router#
Command |
Description |
既存のイーサネット サービス アクセス リストのコピーを作成します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
インターフェイスへのアクセスを制御します。 |
|
イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。 |
|
イーサネット サービス アクセス リストのトレース情報を表示します。 |
|
特定の ACL が適用されるモードおよびインターフェイスを指定します。 |
イーサネット サービス アクセス リストのトレース情報を表示するには、EXEC モードで show access-lists ethernet-services trace コマンドを使用します。
show access-lists ethernet-services trace { client | intermittent | critical | both | all }
client | ES ACL のクライアントのトレース データ。 |
intermittent | 断続的な障害のトレース データ。 |
critical | 重要なサーバ障害のトレース データ |
both | 重要なサーバ障害および断続的な障害のトレース データ。 |
all | 重要なサーバ障害および断続的な障害のトレース データ。 |
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
acl |
読み取り |
次に、イーサネット サービス アクセス リストのトレース情報を表示する例を示します。
RP/0/RSP0/CPU0:router# show access-lists ethernet-services trace all 1 unique entries (256 possible, 0 filtered) Jun 15 06:42:56.980 es/acl_mgr_un 0/RSP0/CPU0 1#t3 Manager state is active 3 wrapping entries (1024 possible, 0 filtered, 3 total) Jun 15 06:42:57.053 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches Jun 16 02:23:30.075 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches Jun 16 02:29:41.383 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 2 batches RP/0/RSP0/CPU0:router# show access-lists ethernet-services trace both 1 unique entries (256 possible, 0 filtered) Jun 15 06:42:56.980 es/acl_mgr_un 0/RSP0/CPU0 1#t3 Manager state is active 3 wrapping entries (1024 possible, 0 filtered, 3 total) Jun 15 06:42:57.053 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches Jun 16 02:23:30.075 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches Jun 16 02:29:41.383 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 2 batches RP/0/RSP0/CPU0:router# show access-lists ethernet-services trace critical 1 unique entries (256 possible, 0 filtered) Jun 15 06:42:56.980 es/acl_mgr_un 0/RSP0/CPU0 1#t3 Manager state is active RP/0/RSP0/CPU0:router# show access-lists ethernet-services trace intermittent 3 wrapping entries (1024 possible, 0 filtered, 3 total) Jun 15 06:42:57.053 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches Jun 16 02:23:30.075 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches Jun 16 02:29:41.383 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 2 batches
Command |
Description |
既存のイーサネット サービス アクセス リストのコピーを作成します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
インターフェイスへのアクセスを制御します。 |
|
イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。 |
|
現在のイーサネット サービス アクセス リストの内容を表示します。 |
|
特定の ACL が適用されるモードおよびインターフェイスを指定します。 |
特定の ACL が適用されるモードおよびインターフェイスを指定するには、EXEC モードで show access-list ethernet-service usage pfilter コマンドを使用します。 表示される情報には、すべての ACL または特定の ACL のアプリケーション、それらが適用されるインターフェイス、およびそれらが適用される方向が含まれています。
show access-list ethernet-services [access-list-name] usage pfilter location { location | all }
access-list-name | (任意)特定のイーサネット サービス アクセス リストの名前。 この名前にスペースや引用符を含めることはできませんが、数値を含めることはできます。 |
location | アクセス リスト情報が必要なインターフェイス カード。 |
location | 完全修飾で指定された場所。 |
all | すべてのインターフェイス カードのパケット フィルタリングの使用方法を表示します。 |
EXEC
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
acl |
読み取り、書き込み |
次に、特定の場所でパケット フィルタの使用状況を表示する例を示します。
RP/0/RSP0/CPU0:router# show access-list ethernet-services usage pfilter location 0/0/cpu0
pfilter location 0/0/cpu0
Interface : GigabitEthernet0/0/0/9
Input ACL : l2_acl
Output ACL : N/A
Interface : GigabitEthernet0/0/0/30
Input ACL : N/A
Output ACL : i
次に、特定の ACL に関するコマンドの結果の例を示します。
RP/0/RSP0/CPU0:router# show access-list ethernet-services l2_acl usage pfilter location 0/0/CPU0
Interface : GigabitEthernet0/0/0/9
Input ACL : l2_acl
Output ACL : N/A
Command |
Description |
既存のイーサネット サービス アクセス リストのコピーを作成します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
インターフェイスへのアクセスを制御します。 |
|
イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。 |
|
イーサネット サービス アクセス リストの条件を設定します |
|
既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。 |
|
現在のイーサネット サービス アクセス リストの内容を表示します。 |
|
イーサネット サービス アクセス リストのトレース情報を表示します。 |
Ternary Content Addressable Memory(TCAM)の中に単一のエントリとして結合される一連の最適化されたエントリを表示するには、EXEC モードで show lpts pifib hardware entry optimized コマンドを使用します。
show lpts pifib hardware entry optimized location
location | 必須です。 インターフェイスがあるラインカードの場所。 |
なし
EXEC
リリース | 変更箇所 |
---|---|
リリース 4.1.1 | このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID | 操作 |
---|---|
lpts |
読み取り |
次に、show lpts pifib hardware entry optimized コマンドの出力例を示します。
RP/0/RSP0/CPU0:router# show lpts pifib hardware entry optimized location 0/4/CPU0
Node: 0/4/CPU0:
----------------------------------------
Protocol - Layer4 Protocol; Intf - Interface in optimized list
Protocol laddr.Port, raddr.Port Intf VRF id State
---------- ------------------------- --------------- ------------ --------------------
IGMP 224.0.0.22.any , any.any Te0/4/0/0 * Uidb Set
Te0/4/0/1 * Uidb Set
224.0.0.22.any , any.any Te0/4/0/0 * Uidb Set
Te0/4/0/1 * Uidb Set
any.any , any.any Te0/4/0/0 * Uidb Set
Te0/4/0/1 * Uidb Set