この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ここでは、Cisco ASR 9000 シリーズ ルータでブロードバンド ネットワーク ゲートウェイ(BNG)の ACL および ABF のコマンドの設定に使用される Cisco IOS XR ソフトウェアのコマンドについて説明します。 関連設定の詳細については、 『Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Configuration Guide』を参照してください。
インターフェイスへのアクセスを制御するには、適切なコンフィギュレーション モードで ipv4 access-group コマンドを使用します。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。
ipv4 access-group access-list-name { common acl-p { [ acl1 ingress [hardware-count] [interface-statistics] ] | ingress } | acl1 { ingress | egress } [hardware-count] [interface-statistics] }
no ipv4 access-group access-list-name { common acl-p { [ acl1 ingress [hardware-count] [interface-statistics] ] | ingress } | acl1 { ingress | egress } [hardware-count] [interface-statistics] }
access-list-name | ipv4 access-list コマンドで指定された IPv4 アクセス リストの名前。 |
common | 一般的な ACL の名前。 一般的な ACL は、入力方向だけでサポートされます。 |
ingress | 着信パケットに対してフィルタリングします。 |
egress | 発信パケットをフィルタリングします。 |
hardware-count | (任意)アクセス グループのハードウェア カウンタにアクセスするように指定します。 |
interface-statistics | (任意)ハードウェア内のインターフェイス単位の統計情報を指定します。 一般的な ACL では使用できません。 |
インターフェイスには、適用される IPv4 アクセス リストがありません。
インターフェイス コンフィギュレーション
ダイナミック テンプレート コンフィギュレーション
リリース | 変更内容 |
---|---|
リリース 4.1.1 |
このコマンドが追加されました。 |
リリース 4.2.0 |
このコマンドが、BNG のダイナミック テンプレート コンフィギュレーション モードでサポートされました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ipv4 access-group コマンドを使用すると、インターフェイスへのアクセスを制御することができます。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。 access-list-name 引数を使用すると、特定の IPv4 アクセス リストを指定することができます。 ingress キーワードを使用すると着信パケットをフィルタリングすることができ、また、egress キーワードを使用すると発信パケットをフィルタリングすることができます。 hardware-count 引数を使用すると、アクセス グループのハードウェア カウンタをイネーブルにすることができます。
許可されたパケットは、hardware-count 引数を使用してハードウェア カウンタがイネーブルにされた場合にだけカウントされます。 拒否されたパケットは、ハードウェア カウンタがイネーブルかどうかにかかわらずカウントされます。
ダイナミック テンプレート コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで dynamic-template コマンドを実行します。
(注) |
ダイナミック テンプレート コンフィギュレーション モードでは、egress および ingress キーワードのみが表示されます。 |
(注) |
ipv4/ipv6 access-group コマンドを使用したパケット フィルタリング アプリケーションの場合、パケット カウンタは各方向のハードウェア内に維持されます。 同じ方向の複数のインターフェイス上で 1 つのアクセス グループを使用すると、イネーブルにされた hardware-count 引数を持つ各インターフェイスに対してパケットがカウントされます。 |
アクセス リストがアドレスを許可する場合は、ソフトウェアはパケットの処理を継続します。 アクセス リストでアドレスが拒否されている場合、ソフトウェアはパケットを廃棄し、インターネット制御メッセージ プロトコル(ICMP)ホスト到達不能メッセージを返します。
指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。
デフォルトでは、一意のまたはインターフェイス単位の ACL 統計情報はディセーブルになっています。
タスク ID | 操作 |
---|---|
acl |
read, write |
network |
read, write |
config-services |
read, write |
次に、show access-lists コマンドの例を示します。
RP/0/RSP0/CPU0:router# show access-lists
ipv4 access-list acl-common
10 permit ipv4 host 205.205.205.1 host 200.175.175.1 log-input
15 deny ipv4 any host 200.175.175.1
20 permit ipv4 host 205.205.205.1 host 201.175.175.1 log-input
25 deny ipv4 any host 201.175.175.1
30 permit ipv4 host 205.205.205.1 host 202.175.175.1 log-input
35 deny ipv4 any host 202.175.175.1
ipv4 access-list acl-unique1
10 permit ipv4 host 205.205.205.1 host 203.175.175.1 log-input
15 deny ipv4 any host 203.175.175.1
20 permit ipv4 any any
ipv4 access-list ssm-acl
10 permit ipv4 232.0.0.0 0.255.255.255 any log
これは、IPv4 ACL をインターフェイス コンフィギュレーション モードで設定する例です。
RP/0/RSP0/CPU0:router(config-if)#ipv4 access-group common acl-common acl-unique1 ingress
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# dynamic-template type ppp p1 RP/0/RSP0/CPU0:router(config-dynamic-template-type)# ipv4 access-group a1 egress
IPv4 アクセス リストを名前で定義するには、グローバル コンフィギュレーション モードで ipv4 access-list コマンドを使用します。 IPv4 アクセス リスト中のすべてのエントリを削除するには、このコマンドの no 形式を使用します。
ipv4 access-list name
no ipv4 access-list name
name | アクセス リストの名前。 名前にはスペースや疑問符を使用できません。 |
定義されている IPv4 アクセス リストはありません。
グローバル コンフィギュレーション モード
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
リリース 4.3.0 |
このコマンドが BNG でサポートされました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ipv4 access-list コマンドを使用すると、IPv4 アクセス リストを設定することができます。 このコマンドはルータをアクセス リスト コンフィギュレーション モードに設定します。このモードでは、拒否または許可されたアクセス条件は deny or permit コマンドを使用して定義される必要があります。
既存の IPv4 アクセス リスト中の連続したエントリ間に permit、deny、または remark ステートメントを追加する場合は、resequence access-list ipv4 コマンドを使用します。 最初のエントリ番号(base)とステートメントのエントリ番号を分けるための増分を指定します。 既存のステートメントの番号が再設定され、未使用のエントリ番号で新しいステートメントが追加できるようになります。
ipv4 access-group コマンドを使用すると、アクセス リストをインターフェイスに適用することができます。
タスク ID |
操作 |
---|---|
acl |
read, write |
次に、Internetfilter という名前の標準アクセス リストを定義する方法の例を示します。
RP/0/RSP0/CPU0:router(config)# ipv4 access-list Internetfilter RP/0/RSP0/CPU0:router(config-if)# 10 permit 192.168.34.0 0.0.0.255 RP/0/RSP0/CPU0:router(config-if)# 20 permit 172.16.0.0 0.0.255.255 RP/0/RSP0/CPU0:router(config-if)# 30 permit 10.0.0.0 0.255.255.255 RP/0/RSP0/CPU0:router(config-if)# 39 remark Block BGP traffic from 172.16 net. RP/0/RSP0/CPU0:router(config-if)# 40 deny tcp host 172.16.0.0 eq bgp host 192.168.202.203 range 1300 1400
インターフェイスへのアクセスを制御するには、インターフェイス コンフィギュレーション モードで ipv6 access-group コマンドを使用します。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。
ipv6 access-groupaccess-list-name { ingress | egress } [interface-statistics]
no ipv6 access-group access-list-name { ingress | egress } [interface-statistics]
access-list-name | ipv6 access-list コマンドで指定されたとおりの IPv6 アクセス リストの名前。 |
ingress | 着信パケットに対してフィルタリングします。 |
egress | 発信パケットをフィルタリングします。 |
interface-statistics | (任意)ハードウェア内のインターフェイス単位の統計情報を指定します。 |
インターフェイスには、適用される IPv6 アクセス リストがありません。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
リリース 4.3.0 |
L2 トランスポート インターフェイスでの IPv6 ACL のサポートが追加されました。 |
リリース 4.3.1 |
common キーワードが追加されました。 |
リリース 4.3.1 |
compress level キーワードが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ipv6 access-group コマンドは、IPv6 に固有のものを除き、ipv4 access-group コマンドと類似しています。
ipv6 access-group コマンドを使用すると、インターフェイスへのアクセスを制御することができます。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。 access-list-name を使用すると、特定の IPv6 アクセス リストを指定することができます。 ingress キーワードを使用すると着信パケットをフィルタリングすることができ、また、egress キーワードを使用すると発信パケットをフィルタリングすることができます。
(注) |
ipv6 access-group コマンドを使用したパケット フィルタリング アプリケーションの場合、パケット カウンタは各方向のハードウェア内に維持されます。 同じ方向の複数のインターフェイス上で 1 つのアクセス グループが使用される場合、各インターフェイスでパケットがカウントされます。 |
アクセス リストがアドレスを許可する場合は、ソフトウェアはパケットの処理を継続します。 アクセス リストがアドレスを拒否する場合は、ソフトウェアはパケットをドロップして、レートが制限されたインターネット制御メッセージ プロトコル(ICMP)ホスト到達不能メッセージを戻します。
指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。
デフォルトでは、一意のまたはインターフェイス単位の ACL 統計情報はディセーブルになっています。
タスク ID |
操作 |
---|---|
acl |
read, write |
ipv6 |
read, write |
次に、GigabitEthernet インターフェイス 0/2/0/2 との間の着信または発信パケットへのフィルタリングの適用方法の例を示します。
RP/0/RSP0/CPU0:router(config)# interface gigabitethernet 0/2/0/2 RP/0/RSP0/CPU0:router(config-if)# ipv6 access-group p-in-filter ingress RP/0/RSP0/CPU0:router(config-if)# ipv6 access-group p-out-filter egress
次に、ハードウェア内のインターフェイス統計情報の適用方法の例を示します。
RP/0/RSP0/CPU0:router(config)# interface gigabitethernet 0/2/0/2 RP/0/RSP0/CPU0:router(config-if)# ipv6 access-group p-in-filter ingress interface-statistics
IPv6 アクセス リストを定義してルータを IPv6 アクセス リスト コンフィギュレーション モードに設定するには、グローバル コンフィギュレーション モードで ipv6 access-list コマンドを使用します。 アクセス リストを削除するには、このコマンドの no 形式を使用します。
ipv6 access-list name
no ipv6 access-list name
name | IPv6 アクセス リスト名。 名前は、スペース、疑問符を含むことができず、また、数字で始めることはできません。 |
定義されている IPv6 アクセス リストはありません。
グローバル コンフィギュレーション モード
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
リリース 4.3.0 |
L2 トランスポート インターフェイスでの IPv6 ACL のサポートが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ipv6 access-list コマンドは、IPv6 に固有のものを除き、ipv4 access-list コマンドと類似しています。
IPv6 アクセス リストは、送信元と宛先アドレス、IPv6 オプション ヘッダー、およびより細かな精度の制御のための上位層プロトコル タイプの情報に基づくトラフィック フィルタリングに使用されます。 IPv6 アクセス リストは ipv6 access-list コマンドをグローバル コンフィギュレーション モードで使用することにより定義され、その許可と拒否の条件は deny および permit コマンドを IPv6 アクセス リスト コンフィギュレーション モードで使用することにより設定されます。 ipv6 access-list コマンドを設定すると、ルータを IPv6 アクセス リスト コンフィギュレーション モードに設定し、プロンプト router は router (config-ipv6-acl)# に変わります。 IPv6 アクセス リスト コンフィギュレーション モードから、定義済みの IPv6 アクセス リストに許可および拒否の条件を設定できます。
変換済み IPv6 アクセス コントロール リスト(ACL)コンフィギュレーションの例については、「例」を参照してください。
(注) |
方向単位に 1 つのインターフェイスに適用できる IPv6 アクセス リストは 1 つだけです。 |
(注) |
どの IPv6 アクセス リストにも最後の一致条件として暗黙の deny ipv6 any any ステートメントがあります。 1 つの IPv6 アクセス リストには、暗黙の deny ipv6 any any ステートメントを有効にするために少なくとも 1 つのエントリが含まれる必要があります。 |
(注) |
アクセス リストでなく、IPv6 プレフィックス リストは、ルーティング プロトコル プレフィックスのフィルタリングに使用する必要があります。 |
access-list-name 引数を持つ ipv6 access-group インターフェイス コンフィギュレーション コマンドを使用すると、IPv6 アクセス リストを IPv6 インターフェイスに適用することができます。
(注) |
ipv6 access-group コマンドを持つインターフェイスに適用される IPv6 アクセス リストは、ルータが発信でなく転送するトラフィックをフィルタリングします。 |
(注) |
すべての IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-na、permit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります (最初の 2 つの一致条件によって、ICMPv6 ネイバー探索が可能になります)。暗黙の deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に少なくとも 1 つのエントリが含まれている必要があります。permit icmp any any nd-na permit icmp any any nd-ns deny ipv6 any any deny ipv6 any any |
IPv6 ネイバー探索プロセスでは、IPv6 ネットワーク層サービスを利用するため、デフォルトで、インターフェイス上での IPv6 ネイバー探索パケットの送受信が IPv6 ACL によって暗黙的に許可されます。 IPv4 の場合、IPv6 ネイバー探索プロセスに相当するアドレス解決プロトコル(ARP)では、個別のデータ リンク層プロトコルを利用するため、デフォルトで、インターフェイス上での ARP パケットの送受信が IPv4 ACL によって暗黙的に許可されます。
タスク ID |
操作 |
---|---|
acl |
read, write |
ipv6 |
read, write |
次の例では、list2 という名前の IPv6 アクセス リストを設定し、この ACL をインターフェイス GigabitEthernet 0/2/0/2 上の発信トラフィックに適用する方法を示します。 具体的には、1 番目の ACL エントリにより、ネットワーク fec0:0:0:2::/64(発信元 IPv6 アドレスの 1 番目の 64 ビットのようなサイトローカル プレフィックス fec0:0:0:2)からのすべてのパケットがインターフェイス GigabitEthernet 0/2/0/2 から出て行くのが防止されます。 ACL の 2 番目のエントリは、その他のすべてのトラフィックがインターフェイス GigabitEthernet 0/2/0/2 から出て行くことを許可します。 2 番目のエントリは、各 IPv6 ACL の末尾に暗黙的な deny all 条件があるため、必要となります。
RP/0/RSP0/CPU0:router(config)# ipv6 access-list list2 RP/0/RSP0/CPU0:router(config-ipv6-acl)# 10 deny fec0:0:0:2::/64 any RP/0/RSP0/CPU0:router(config-ipv6-acl)# 20 permit any any RP/0/RSP0/CPU0:router# show ipv6 access-lists list2 ipv6 access-list list2 10 deny ipv6 fec0:0:0:2::/64 any 20 permit ipv6 any any RP/0/RSP0/CPU0:router(config)# interface gigabitethernet 0/2/0/2 RP/0/RSP0/CPU0:router(config-if)# ipv6 access-group list2 egress
(注) |
IPv6 は、グローバル コンフィギュレーション モードから IPv6 アクセス リスト コンフィギュレーション モードに変換される permit any any ステートメントおよび deny any any ステートメントでプロトコル タイプとして自動的に設定されます。 |
(注) |
IPv6 ルータは、送信元または宛先アドレスのいずれかとしてリンクローカル アドレスを持つ別のネットワークの IPv6 パケットに転送されません(パケットの送信元インターフェイスは、パケットの宛先インターフェイスとは異なります)。 |