ローカル管理配置に関する Cisco ACNS ソフトウェア コンフィギュレーション ガイド Release 5.3
スタンドアロン Content Engine での IP アクセス コントロール リストの作 成と管理
スタンドアロン Content Engine での IP アクセス コントロール リストの作成と管理
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

スタンドアロン Content Engine での IP アクセス コントロール リストの作成と管理

スタンドアロン Content Engine 用の IP ACL の紹介

スタンドアロン Content Engine 用の IP ACL の導入

IP ACL の定義およびアクティブ化の例

IP ACL 操作の概要

標準 IP ACL の操作

標準 IP ACL 設定モードへのアクセス

拡張 IP ACL の操作

拡張 IP ACL 設定モードへのアクセス

スタンドアロン Content Engine での IP ACL の定義とアクティブ化

使用上のガイドライン

IP ACL 設定モードに関する使用上のガイドライン

IP ACL の名前に関する使用上のガイドライン

スタンドアロン Content Engine での IP ACL の作成または変更

拡張 IP ACL のキーワードリスト

IP ACL の条件

インターフェイス上での IP ACL のアクティブ化

アプリケーションへの IP ACL の適用

IP ACL による SNMP アクセスのコントロール

IP ACL による TFTP アクセスのコントロール

IP ACL による WCCP アクセスのコントロール

スタンドアロン Content Engine での WCCP アクセス リストの設定

設定例

IP ACL の削除

IP ACL 設定の表示

IP ACL カウンタのクリア

スタンドアロン Content Engine での IP アクセス コントロール リストの作成と管理

この章では、スタンドアロン Content Engine でインターネット プロトコル(IP)アクセス コントロール リスト(ACL)を作成し、管理する方法について説明します。この章の構成は、次のとおりです。

「スタンドアロン Content Engine 用の IP ACL の紹介」

「IP ACL 操作の概要」

「スタンドアロン Content Engine での IP ACL の定義とアクティブ化」

「スタンドアロン Content Engine での IP ACL の作成または変更」

「インターフェイス上での IP ACL のアクティブ化」

「アプリケーションへの IP ACL の適用」

「IP ACL の削除」

「IP ACL 設定の表示」

「IP ACL カウンタのクリア」


) この章で使用されている「IP ACL」という用語は、IP アクセス コントロール リストを表しています。


スタンドアロン Content Engine 用の IP ACL の紹介

ACNS 5.1 またはそれ以降のソフトウェア リリースは、IP パケット フィルタリングに対応した IP ACL をサポートします。これらの IP ACL では、Content Engine の特定のインターフェイスで IP パケットの通過を許可または拒否することによって、パケットをフィルタリングできます。

スタンドアロン Content Engine を配置した環境では、この機能を使用して Content Engine 上でコンテンツ サービスと管理サービスへのアクセスをコントロールできます。たとえば、IP ACL を使用して、コンテンツ配信に対する Content Engine のパブリック インターフェイスと、管理サービス(たとえば、Telnet、Secure Shell(SSH)、SNMP、HTTPS、ソフトウェア アップグレードなど)用のプライベート インターフェイスを定義することができます(図19-1 を参照)。

図19-1 IP ACL によるスタンドアロン Content Engine の特定インターフェイスへのアクセスのコントロール

 

次に示すのは、スタンドアロン Content Engine を配置した環境での IP ACL の使用例です。

Content Engine は顧客の建物内にあり、サービス プロバイダーによって管理され、そのサービス プロバイダは、管理のみを目的としてデバイスを保護したいと考えている。

Content Engine は企業内のある場所に配置されている。ルータやスイッチと同様、管理者は Telnet、SSH、Content Engine GUI による IT ソース サブネットへのアクセスを制限したいと考えています。

強固な外部インターフェイスを備えたアプリケーション レイヤ プロキシ ファイアウォールに危険なポートがない(「強固」とは、セキュリティの目的で、インターフェイスによって主にどのポートをアクセス用として使用可能にするかを厳しく制限することを意味します。外部インターフェイスがあると、さまざまなタイプのセキュリティ攻撃が可能になります)。Content Engine の外部アドレスはインターネット グローバルであり、内部アドレスはプライベートです。内部インターフェイスには、Content Engine に対する Telnet、SSH、Content Engine GUI アクセスを制限するための IP ACL があります。

Content Engine は信頼できない環境でリバース プロキシとして配置されている。Content Engine 管理者は、バックエンド インターフェイスでの発信接続、および外部インターフェイスでのポート 80 の着信トラフィックの許可のみを望んでいます。

WCCP を使用した Content Engine がファイアウォールとインターネット ルータ、またはインターネット ルータから離れたサブネットの間に置かれている。Content Engine とルータの両方に IP ACL が必要です。

スタンドアロン Content Engine 用の IP ACL の導入

IP ACL を実装する手順は、次のとおりです。


ステップ 1 ip access-list コマンドを使用して、IP ACL をスタンドアロン Content Engine で定義します。

ステップ 2 ip access-group コマンドを使用して、発信あるいは着信の定義済みのIP ACL をスタンドアロン Content Engine のインターフェイスに適用します。


) IP ACL は、このスタンドアロン Content Engine への Telnet、SSH、SNMP によるアクセスに対する許可または拒否にも使用できます。



 

IP ACL の定義およびアクティブ化の例

次の例では、スタンドアロン Content Engine で IP ACL を定義し、アクティブにする方法を示します。この例に示すように、最初に ip access-list グローバル設定コマンドを使用して、スタンドアロン Content Engine 用の IP ACL を作成します。この例では、IP ACL を example と名づけて、すべての Web トラフィックを許可している一方、ある特定のホストへの SSH アクセスは制限しています。

ContentEngine(config)# ip access-list extended example
ContentEngine(config-ext-nacl)# permit tcp any any eq www
ContentEngine(config-ext-nacl)# permit tcp host 64.101.215.21 any eq ssh
ContentEngine(config-ext-nacl)# exit
 

IP ACL を作成したら、次に interface グローバル設定コマンドと ip access-group 設定インターフェイス コマンドとを使用して、Content Engine の特定のインターフェイスに対して IP ACL を適用し、アクティブにします。

ContentEngine(config)# interface gigabitethernet 1/0
ContentEngine(config-if)# ip access-group example in
ContentEngine(config-if)# exit
 

IP ACL を定義、アクティブにした後、 Content Engine での実行設定を確認します。

ContentEngine# show running-config
.
.
.
!
interface GigabitEthernet 1/0
ip address 10.1.1.50 255.255.0.0
ip access-group example in
exit
.
.
.
ip access-list extended example
permit tcp any any eq www
permit tcp host 10.101.215.21 any eq ssh
exit
.
.
.
 

) IP ACL は、個々の ACNS ソフトウェア デバイスに対してのみ定義されます。IP ACL は、ACNS ネットワーク全体で、またはデバイス グループを介してグローバルに管理することはできません。Content Distribution Manager による ACNS ネットワーク デバイス(たとえば、Content Distribution Manager に登録している Content Engine など)での IP ACL の作成および管理に関する詳細は、『中央管理配置に関する Cisco ACNS ソフトウェア コンフィギュレーション ガイド Release 5.3』を参照してください。


IP ACL の背景情報については、次のIP ACL 操作の概要の項を参照してください。IP ACL の設定方法については、「スタンドアロン Content Engine での IP ACL の定義とアクティブ化」を参照してください。

IP ACL 操作の概要

IP ACL は、1 つまたは複数の条件エントリから構成されます。これらのエントリは、Content Engine が以降の処理のためにドロップまたは承認するパケットのタイプを指定します。Content Engine はそれぞれの条件を IP ACL に発生した順に適用します。デフォルトでは、ユーザが条件を設定した順です。

ACNS 5.1 またはそれ以降のソフトウェアには、次の 2 つのタイプの IP ACL があります。

標準(Standard)ACL

拡張(Extended)ACL


) スタンドアロン Content Engine で IP ACL を作成し、管理する場合には、ACNS ソフトウェア CLI を使用する必要があります。Content Engine GUI は、現時点では、スタンドアロン Content Engine 上での IP ACL の設定をサポートしていません。


標準 IP ACL の操作

標準 ACL は通常、次の目的で使用されます。

特定の IP アドレスをもつホストからの接続を許可する。

特定のネットワーク上のホストからの接続を許可する。

標準 IP ACL 設定モードへのアクセス

標準 IP ACL を操作するには、Content Engine 上で標準 IP ACL 設定モードに入る必要があります。標準 IP ACL 設定モードにアクセスするには、 ip access-list standard グローバル設定コマンドを入力します。

ContentEngine(config)# ip access-list standard {acl-name | acl-num}
 

acl-name は、作成または変更する標準 IP ACL の名前です。

acl-num は、作成または変更する標準 IP ACL の番号です。

標準 IP ACL モードに入ると、 ContentEngine(config)# プロンプトが ContentEngine(config-std-nacl)# に変更されます。この場合の nacl は、指定の標準アクセス リストです。

たとえば、次の例では、ACL 番号 2 の標準 IP ACL を変更するために標準 IP ACL 設定モードに入る方法を示しています。この CLI は標準 IP ACL 設定モードに入り、このモードでは、以降のすべてのコマンドが現在指定されている標準 IP ACL(たとえば、標準 IP ACL nac2)に適用されます。

ContentEngine(config)# ip access-list standard 2
ContentEngine(config-std-nacl)#

拡張 IP ACL の操作

拡張 IP ACL では通常接続をコントロールするために次のエレメントを使用します。

送信先 IP アドレス

IP プロトコル タイプ

UDP または TCP の送信元ポート、あるいは送信先ポート

ICMP メッセージのタイプまたはコード

TCP フラッグ ビット(設定済み)

さらに制限された条件を作成するには、これらの条件を送信元 IP アドレスの情報と組み合わせることができます。 表19-3 では、特定の I Internet Control Message Protocol(CMP)メッセージのタイプとコードを照合するのに使用できるキーワードを示しています。

拡張 IP ACL 設定モードへのアクセス

拡張 IP ACL を操作するには、Content Engine 上で拡張 IP ACL 設定モードに入る必要があります。拡張 IP ACL 設定モードにアクセスするには、 ip access-list extended グローバル設定コマンドを入力します。

ContentEngine(config)# ip access-list extended {acl-name | acl-num}
 

acl-name は、作成または変更する拡張 IP ACL の名前です。

acl-num は、作成または変更する拡張 IP ACL の番号です。

拡張 IP ACL モードに入ると、 ContentEngine(config)# プロンプトが ContentEngine(config-ext-nacl)# プロンプトに変更されます。この場合の nacl は、指定の拡張アクセス リストです。

次の例では、ACL 番号 101 の拡張 IP ACL を変更するために、拡張 IP ACL 設定モードに入る方法を示しています。この CLI は拡張 IP ACL 設定モードに入り、このモードでは、以降のすべてのコマンドが現在指定されている拡張 IP ACL(たとえば、拡張 IP ACL 101)に適用されます。

ContentEngine(config)# ip access-list extended 101
ContentEngine(config-ext-nacl)#

) 拡張 IP ACL を作成または変更する方法については、「スタンドアロン Content Engine での IP ACL の作成または変更」を参照してください。


スタンドアロン Content Engine での IP ACL の定義とアクティブ化

サービス プロバイダーの配置によっては、Content Engine に、コンテンツを配信するためのユーザの IP アドレス スペース内のインターフェイスとは別に、管理者が管理用に使用するプライベート IP アドレス スペース内のインターフェイスを指定できます。ACNS ソフトウェア リリース 5.1 以降では、さまざまなサービスを特定のインターフェイスに(たとえば、管理サービスをプライベート IP アドレス スペースに)関連付けることができます。これにより、企業のユーザは管理目的ではなく、コンテンツ配信だけのために Content Engine にアクセスできます。

スタンドアロン Content Engine を配置した ACNS 5.1 ソフトウェア環境下で IP ACL を使用するには、システム管理者は CLI を使用して次の作業を行う必要があります。

1. ip access-list コマンドを使用して、IP ACL を定義します。

2. interface と ip access-group の各コマンドを使用して、IP ACL を Content Engine の特定のインターフェイスに適用します。


ヒント IP ACL をインターフェイス上の着信または発信 IP トラフィックに適用するには、ip access-group コマンドを使用します。


使用上のガイドライン

スタンドアロン Content Engine で IP ACL を作成または変更する際は、次の重要な点に留意してください。

標準または拡張 IP ACL にエントリを作成するには、deny または permit キーワードを使用し、Content Engine が以降の処理のためにドロップまたは承認するパケットのタイプを指定します。デフォルトでは、アクセス リストによりすべてが拒否されます。これは、このリストが暗黙の deny any エントリによって終了されるためです。したがって、有効なアクセス リストを作成するには、少なくとも 1 つの permit エントリを構成する必要があります。


) 特定のネットワークからの接続を許可するには、permit source-ip wildcard コマンドを使用します。source-ip には、指定するネットワーク上のホストのネットワーク ID または IP アドレスを入力します。wildcard には、サブネット マスクのリバースであるマスクのドット付き 10 進数表記を入力します。このワイルドカードでは、0 は一致させるべき位置を表し、1 は何も特定しない位置を表します。たとえば、ワイルドカード 0.0.0.255 では送信元 IP アドレスの末尾の 8 ビットが無視されます。そのため、permit 192.168.1.00.0.0.255 エントリは、192.168.1.0 ネットワーク上のすべてのホストからのアクセスを許可します。


拡張 IP ACL を特定のアプリケーションに適切なコマンドを使用して適用することもできます。存在しない IP ACL への参照は、permit any 条件ステートメントと同等です。

ACNS 5.1 またはそれ以降のソフトウェアでは、SNMP と TFTP のアプリケーションが IP ACL の使用法を設定するための特定の CLI コマンドがあります。これらのコマンドは次のとおりです。

snmp-server access-list {std-acl-num | std-acl-name}
tftp-server access-list {std-acl-num | std-acl-name}

snmp-server access-list tftp-server access-list の各グローバル設定コマンドには、標準 IP ACL の名前または番号のみが使用できます。拡張 IP ACL の名前や番号は使用できないので注意してください。


その他のアプリケーション トラフィック(Telnet や SSH など)を制御するには、IP ACL をスタンドアロン Content Engine のインターフェイス(通常、着信トラフィック)に適用します。

ACNS 5.2.1 またはそれ以降のソフトウェアでは、 wccp access-list グローバル設定コマンドを使用して、Content Engine が WCCP GRE 着信トラフィックに適用する IP ACL を指定します。

wccp access-list {acl-num | acl-name}
 

WCCP アクセス コントロール リスト機能は、標準と拡張の両方のアクセス コントロール リストをサポートし、SNMP および TFTP サーバ アクセス リストの場合と同様、標準アクセス コントロール リストのみに制限されていません。WCCP アクセス コントロール リストの詳しい設定方法については、「スタンドアロン Content Engine での WCCP アクセス リストの設定」を参照してください。

標準 IP ACL の場合は、ip access-list コマンドのwildcard パラメータは常にオプションになります。標準 IP ACL で host キーワードを指定した場合は、wildcard パラメータは使用不可になります。次に例を示します。

 

ContentEngine(config)# ip access-list standard 1
ContentEngine(config-std-nacl)# permit ?
A.B.C.D Source address
any Any source host
host A single host address
ContentEngine(config-std-nacl)# permit 10.1.1.1 ?
A.B.C.D Source wildcard bits <=== *** Wildcard parameter is optional here ***
<cr>

 

ContentEngine(config-std-nacl)# permit host 10.1.1.1 ? <=== *** Wildcard parameter is not allowed here because the host keyword is used***
<cr>
ContentEngine(config-std-nacl)# permit 10.1.1.1
ContentEngine(config-std-nacl)# exit

 

 

拡張 IP ACL の場合は、host キーワードを指定しない限り、wildcard パラメータは必須になります。拡張 IP ACL で host キーワードを指定した場合は、wildcard パラメータは使用不可になります。次に例を示します。

 

ContentEngine(config)# ip access-list extended 100
ContentEngine(config-ext-nacl)# permit ?
<1-255> An IP Protocol Number
gre Cisco's GRE Tunneling
icmp Internet Control Message Protocol
ip Any IP Protocol
tcp Transport Control Protocol
udp User Datagram Protocol
ContentEngine(config-ext-nacl)# permit ip ?
A.B.C.D Source address
any Any source host
host A single host address
ContentEngine(config-ext-nacl)# permit ip 10.1.1.1 ?
A.B.C.D Source wildcard bits
<=== *** Wildcard parameter is required here because the host keyword is not specified***
ContentEngine(config-ext-nacl)# permit ip host ?
A.B.C.D Source address
ContentEngine(config-ext-nacl)# permit ip host 10.1.1.1 ? <=== *** Wildcard parameter is not allowed here because the host keyword is used***
A.B.C.D Destination address
any Any destination host
host A single host address
 

標準または拡張 IP ACL 設定モードに入っている場合は、編集コマンド(( list delete 、および move )を使用して、エントリの表示、特定エントリ(条件)の削除、またはエントリを評価する順序の変更を行うことができます。

ContentEngine(config)# ip access-list standard 1

 

ContentEngine(config-std-nacl)#?

 

delete Delete a condition
deny Specify packets to reject
exit Exit from this submode
insert Insert a condition
list List conditions
move Move a condition
no Negate a command or set its defaults
permit Specify packets to accept
ContentEngine(config-std-nacl)#
 

list コマンドを使用して、条件をマッピングする行番号を特定します。このコマンドは指定のエントリをリストします(指定が none の場合にはすべてのエントリがリストされます)。このコマンドを使用しない場合、EXEC モードに戻り、show ip access-list EXEC コマンドを入力してこのマッピングを取得する必要があります。

次の例では、list コマンドの使用方法を示しています。

Content Engine(config-ext-nacl)# list
1 permit tcp host 10.1.1.1 any
2 permit tcp host 10.1.1.2 any
3 permit tcp host 10.1.1.3 any
Content Engine(config-ext-nacl)#
 

Content Engine のデータベースから IP ACL をすべて削除する方法については、「IP ACL の削除」を参照してください。

IP ACL 設定モードに関する使用上のガイドライン

IP ACL を使用する際は、IP ACL 設定モードに関する次の重要な点に留意してください。

標準 IP ACL を操作するには、標準 IP ACL 設定モードに入る必要があります。

ContentEngine(config)# ip access-list standard ?
<1-99> Standard IP access-list number
WORD Access-list name (max 30 characters)
 

拡張 IP ACL を操作するには、拡張 IP ACL 設定モードに入る必要があります。

ContentEngine(config)# ip access-list extended ?

 

<100-199> Standard IP access-list number
WORD Access-list name (max 30 characters)

IP ACL の名前に関する使用上のガイドライン

IP ACL の名前を作成する際は、次の命名ガイドラインを使用します。

IP ACL の名前は、Content Engine 内で一意でなければなりません。

IP ACL の名前が数値である場合( ip access-list standard acl-num または ip access-list extended acl-num など)

数値のみ指定できます(たとえば、 101 )。

数値 1 ~ 99 は標準 IP ACL を表します。

数値 100 ~ 199 は拡張 IP ACL を表します。

IP ACL の名前が文字である場合( ip access-list standard acl-name または ip access-list extended acl-name など)

名前の先頭は文字でなければなりません(たとえば、 snmpaccesslist )。

30 文字まで指定できます。

文字列内に 0 ~ 9 の数字を使用できます(たとえば、snmpaccesslist7)。

ほとんどの印刷可能な特殊文字を指定できます。ただし、スペースは指定できません。指定できる特殊文字は、~!@#$%^&*()_+-={}[]\:;'<>,./ です。指定できない特殊文字は、`|"? です。


) スタンドアロン Content Engine で IP ACL を作成または変更する方法については、次の「スタンドアロン Content Engine での IP ACL の作成または変更」を参照してください。


スタンドアロン Content Engine での IP ACL の作成または変更

スタンドアロン Content Engine 上で IP ACL を設定する手順は、次のとおりです。


ステップ 1 グローバル設定モードで Content Engine CLI にアクセスします。

ContentEngine(config)#
 

ステップ 2 グローバル設定モードから、適切な IP ACL 設定モードにアクセスし、作成、変更、または表示する IP ACL の名前または番号を指定します。

標準 IP ACL を作成または変更するには、ip access-list standard グローバル設定コマンドを使用して標準 IP ACL 設定モードに入ります。

ip access-list standard {acl-name | acl-num}
 

次の例では、59 の ACL 番号をもつ標準 IP ACL の作成あるいは変更方法を示しています。

ContentEngine(config)# ip access-list standard 59
 

この CLI は標準 IP ACL 設定モードに入ります。このモードでは、以降のすべてのコマンドが現在の標準 IP ACL に適用され、次のプロンプトが表示されます。

ContentEngine(config-std-nacl)#
 

拡張 IP ACL を作成または変更するには、ip access-list extended コマンドを使用して拡張 IP ACL 設定モードに入ります。

ip access-list extended {acl-name | acl-num}
 

次の例では、名前を指定することによって、test2 という名前の拡張 IP ACL を作成あるいは変更する方法を示しています。

ContentEngine(config)# ip access-list extended test2
 

この CLI は拡張 IP ACL 設定モードに入ります。このモードでは、以降のすべてのコマンドが現在の拡張 IP ACL に適用され、次のプロンプトが表示されます。

ContentEngine(config-ext-nacl)#
 

ステップ 3 標準 ACL の条件を追加、削除、または変更するには、標準 IP ACL 設定モードから次のコマンドを入力します。

a. 標準 IP ACL に行を追加するには、次の構文を使用します。

たとえば、パケットを通過またはドロップさせるかの指定を許可(permit)または拒否(deny)から選択し、その送信元 IP アドレスと送信元 IP ワイルドカード アドレスを入力します。

[insert line-num] {deny | permit} {source-ip [wildcard] | host source-ip | any}
 

b. 標準 IP ACL から行を削除するには、次の構文を使用します。

delete line-num
 

c. 標準 IP ACL 内で特定の行を別の位置に移動するには、次の構文を使用します。

move old-line-num new-line-num

) 拡張 IP ACL 条件のリストについては、表19-4 を参照してください。


ステップ 4 拡張 ACL の条件を追加、削除、または変更するには、拡張 IP ACL 設定モードから次のコマンドを入力します。

a. 拡張 IP ACL から行を削除するには、次の構文を使用します。

delete line-num
 

b. 拡張 IP ACL 内で特定の行を別の位置に移動するには、次の構文を使用します。

move old-line-num new-line-num
 

c. 拡張 IP ACL に条件を追加するには、選択するプロトコルに従ってオプションを入力します。

IP の場合は、次の構文を使用して条件を追加します。

[insert line-num] {deny | permit} {gre | ip | proto-num}
{source-ip wildcard | host source-ip | any} {dest-ip wildcard |
host dest-ip | any}
 
[no] {deny | permit} {gre | ip | proto-num} {source-ip wildcard |
host
source-ip | any} {dest-ip wildcard | host dest-ip | any}
 

TCP の場合は、次の構文を使用して条件を追加します。

[insert line-num] {deny | permit} tcp {source-ip wildcard |
host source-ip | any} [operator port [port]] {dest-ip wildcard |
host dest-ip | any} [operator port [port]] [established]
 
no {deny | permit} tcp {source-ip wildcard | host source-ip | any}
[
operator port [port]] {dest-ip wildcard | host dest-ip | any}
[
operator port [port]] [established]
 

UDP の場合は、次の構文を使用して条件を追加します。

[insert line-num] {deny | permit} udp {source-ip wildcard |
host source-ip | any} [operator port [port]] {dest-ip wildcard |
host dest-ip | any} [operator port [port]]
 
no {deny | permit} udp {source-ip wildcard | host source-ip | any}
[
operator port [port]] {dest-ip wildcard | host dest-ip | any} |
[
operator port [port]]
 

ICMP の場合は、次の構文を使用して条件を追加します。

[insert line-num] {deny | permit} icmp {source-ip wildcard |
host source-ip | any} {dest-ip wildcard | host dest-ip | any}
[
icmp-type [code] | icmp-msg]
 
no {deny | permit} icmp {source-ip wildcard | host source-ip | any}
{
dest-ip wildcard | host dest-ip | any} [icmp-type [code] | icmp-msg]
 

) 拡張 IP ACL では、host キーワードを指定しない場合は、wildcard パラメータが必要になります。特定の ICMP メッセージ タイプやコードの照合に使用できるキーワードのリストについては、表19-3 を参照してください。サポートされている UDP と TCP キーワードのリストについては、表19-1表19-2 を参照してください。拡張 IP ACL 条件のリストについては、表19-5 を参照してください。


ステップ 5 標準 IP ACL に別の条件を追加するには、ステップ 3 を繰り返し実行してください。拡張 IP ACL に別の条件(エントリ)を追加するには、ステップ 4 を繰り返し実行してください。

ステップ 6 interface ip access-group の各コマンドを使用して、この IP ACL をアクティブにして Content Engine の特定のインターフェイスに適用します。

IP ACL をアクティブにして、特定のインターフェイスに適用する方法については、「インターフェイス上での IP ACL のアクティブ化」「アプリケーションへの IP ACL の適用」を参照してください。


 

拡張 IP ACL のキーワードリスト

表19-1 では、拡張 IP ACL で使用可能な UDP キーワードをリストしています。

 

表19-1 UDP キーワードとポート番号

CLI キーワード
説明
UDPポート番号

bootpc

ブートストラップ プロトコル(BOOTP)クライアント

68

bootps

ブートストラップ プロトコル(BOOTP)サーバ

67

domain

ドメイン ネーム サーバ(DNS)

53

mms

マイクロソフト メディア サーバ プロトコル
(Microsoft Media Server Protocol)

1755

netbios-dgm

NetBIOS データグラム サービス

138

netbios-ns

NetBIOS ネーム サービス

137

netbios-ss

NetBIOS セッション サービス

139

nfs

ネットワーク ファイル サーバ(Network File Server)サービス

2049

ntp

ネットワーク タイム プロトコル(Network Time Protocol)

123

snmp

簡易ネットワーク管理プロトコル
(Simple Network Management Protocol)

161

snmptrap

SNMP トラップ

162

tacacs

ターミナル アクセス コントローラ(Terminal Access Controller; TAC)
アクセス制御システム(Access Control System)

49

tftp

簡易ファイル転送プロトコル
(Trivial File Transfer Protocol)

69

wccp

Web キャッシュ通信プロトコル
(Web Cache Communication Protocol)

2048

表19-2 では、拡張 IP ACL で使用可能な TCP キーワードをリストしています。

 

表19-2 TCP キーワードとポート番号

CLI キーワード
説明
TCPポート番号

domain

ドメイン ネーム サービス(Domain Name Service)

53

exec

Exec (RCP)

512

ftp

ファイル転送プロトコル(File Transfer Protocol)

21

ftp-data

FTP データ接続(ほとんど使用されない)

20

https

Secure HTTP

443

mms

マイクロソフト メディア サーバ プロトコル
(Microsoft Media Server Protocol)

1755

nfs

ネットワーク ファイル サーバ(Network File Server)サービス

2049

rtsp

リアルタイム ストリーミング プロトコル
(Real-Time Streaming Protocol)

554

ssh

セキュア シェル(Secure Shell)ログイン

22

tacacs

ターミナル アクセス コントローラ(Terminal Access Controller; TAC)
アクセス制御システム(Access Control System)

49

telnet

Telnet

23

www

World Wide Web(HTTP)

80

表19-3 では、特定の ICMP メッセージ タイプとコードの照合に使用できるキーワードを示しています。

 

表19-3 ICMP メッセージ タイプとコードのキーワード

administratively-prohibited

alternate-address

conversion-error

dod-host-prohibited

dod-net-prohibited

echo

echo-reply

general-parameter-problem

host-isolated

host-precedence-unreachable

host-redirect

host-tos-redirect

host-tos-unreachable

host-unknown

host-unreachable

information-reply

information-request

mask-reply

mask-request

mobile-redirect

net-redirect

net-tos-redirect

net-tos-unreachable

net-unreachable

network-unknown

no-room-for-option

option-missing

packet-too-big

parameter-problem

port-unreachable

precedence-unreachable

protocol-unreachable

reassembly-timeout

redirect

router-advertisement

router-solicitation

source-quench

source-route-failed

time-exceeded

timestamp-reply

timestamp-request

traceroute

ttl-exceeded

unreachable

IP ACL の条件

表19-4 では、標準 IP ACL の条件を説明しています。

 

表19-4 標準 IP ACL の条件

パラメータ
説明

insert

(オプション)標準 IP ACL 内の指定の行番号の直後に条件を挿入します。

line-num

標準 IP ACL 内の特定の行番号のエントリを指定します。

deny

指定の条件と一致するパケットをドロップします。

permit

指定の条件と一致するパケットを許可し、以降の処理を行います。

source-ip

送信元 IP アドレス。パケットの送信元のネットワークまたはホストの番号。この番号は、32 ビットの 4 つに区切られたドット付き 10 進数表記で指定します(たとえば、0.0.0.0)。

wildcard

先行の IP アドレスの照合部分(4 桁のドット付き 10 進数表記)を指定します。照合するビットは、0 の数値で識別されます。無視するビットは 1 で識別されます。

標準 IP ACL の場合は、ip access-list コマンドの wildcard パラメータは常にオプションになります。標準 IP ACL で host キーワードを指定した場合は、wildcard パラメータは使用不可になります。

host

直後の IP アドレスを照合します。

any

任意の IP アドレスに一致します。

delete

指定のエントリ(条件)を標準 IP ACL から削除します。

line-num

標準 IP ACL 内の特定の行番号のエントリを指定します。

list

指定のエントリをリストします(none を指定するとすべてのエントリがリストされます)。

start-line-num

(オプション)リストの開始行番号。

end-line-num

(オプション)リストの最終行番号。

move

標準 IP ACL に指定されているエントリをリスト内の別の位置に移動します。

old-line-num

移動するエントリの行番号を指定します。

new-line-num

エントリの新しい位置を指定します。既存のエントリが標準 IP ACL 内でこの新しい位置に移動されます。

表19-5 では、拡張 IP ACL の条件を説明しています。

 

表19-5 拡張 IP ACL の条件

パラメータ
説明

insert

(オプション)条件を拡張 IP ACL 内の指定の行番号に挿入します。

line-num

拡張 IP ACL 内の特定の行番号のエントリを指定します。

deny

指定の条件と一致するパケットをドロップします。

permit

指定の条件と一致するパケットを許可し、以降の処理を行います。

source-ip

送信元 IP アドレス。

wildcard

先行の IP アドレスの照合部分(4 桁のドット付き 10 進数表記)を指定します。照合するビットは、0 の数値で識別されます。無視するビットは 1 で識別されます。

拡張 IP ACL の場合は、host キーワードを指定しない限り、wildcard パラメータは必須になります。拡張 IP ACL で host キーワードを指定した場合は、wildcard パラメータは使用不可になります。

host

直後の IP アドレスを照合します。

any

任意の IP アドレスに一致します。

gre

Generic Routing Encapsulation(GRE)プロトコルを使用したパケットを照合します。

ip

すべての IP パケットを照合します。

proto-num

IP プロトコル番号を指定します。

tcp

TCP プロトコルを使用したパケットを照合します。

udp

UDP プロトコルを使用したパケットを照合します。

operator

(オプション)指定のポートで使用する演算子を指定します。演算子は、lt =より小さい、gt =より大きい、eq =等しい、neq =等しくない、および range =範囲、となります。次の例では、拡張 IP ACL で eq 演算子を使用しています。

ContentEngine(config)# ip access-list extended example

ContentEngine(config-ext-nacl)# permit tcp any any eq www

ContentEngine(config-ext-nacl)# permit tcp host 10.1.1.5 any eq ssh

port

(オプション)番号(0 ~ 65535)またはキーワードを使用してポートを指定します。その場合、2 つのポート番号を range 演算子で指定する必要があります。TCP で使用できるキーワードは、 domain exec ftp ftp-data https mms nfs rtsp ssh tacacs telnet www です。UDP で使用できるキーワードは、 bootpc bootps domain mms netbios-dgm netbios-ns netbios-ss nfs ntp snmp snmptrap , tacacs , tftp wccp です。次に例を示します。

ContentEngine(config)# ip access-list extended example

ContentEngine(config-ext-nacl)# permit tcp any any eq www

ContentEngine(config-ext-nacl)# permit tcp host 10.1.1.5 any eq ssh

dest-ip

送信先 IP アドレス。

established

(オプション)TCP パケットを ACK または RST ビット セットと照合します。

icmp

ICMP パケットを照合します。

icmp-type

(オプション)番号(0 ~ 255)で表される CMP メッセージ タイプで照合します。

code

(オプション)icmp-type と一緒に使用して、0 ~ 255 の番号で表される ICMP コード タイプでさらに照合します。

icmp-msg

(オプション) 表19-3 に記載のキーワードで表される ICMP メッセージ タイプとコード タイプの組み合わせで照合します。

delete

拡張 IP ACL から指定のエントリ(条件)を削除します。

line-num

拡張 IP ACL 内の特定の行番号のエントリを指定します。

list

指定のエントリをリストします(none を指定するとすべてのエントリがリストされます)。

start-line-num

(オプション)リストの開始行番号。

end-line-num

(オプション)リストの最終行番号。

move

リスト内の指定のエントリをリスト内の別の位置に移動します。

old-line-num

移動するエントリの行番号を指定します。

new-line-num

エントリの新しい位置を指定します。既存のエントリがアクセス リスト内のこの位置に移動されます。

exit

CLI グローバル設定モードのプロンプトに戻ります。

インターフェイス上での IP ACL のアクティブ化

ACNS 5.1 またはそれ以降のソフトウェアでは、さまざまなサービスを特定のインターフェイスに関連付けることができます。スタンドアロン Content Engine の特定のインターフェイス上で IP ACL をアクティブにするには、 ip access-group インターフェイス設定コマンドを使用します。各インターフェイスで 1 つの発信 IP ACL と 1 つの着信 IP ACL を使用できます。

ip access-group コマンドを入力する前に、IP ACL を適用するインターフェイスのインターフェイス設定モードに入ります。

次のコマンドを使用すると、acl-out という名前の IP ACL を FastEthernet インターフェイスのスロット 0/ポート 0 上の発信トラフィックに適用し、アクティブにできます。

ContentEngine(config)# interface FastEthernet 0/0
ContentEngine(config-if)# ip access-group acl-out out
 

次のコマンドを使用すると、example という名前の IP ACL を ContentEngine の Gigabit Ethernet インターフェイスのポート 1/スロット 0 上の着信トラフィックに適用し、アクティブにできます。

ContentEngine(config)# interface gigabitethernet 1/0
ContentEngine(config-if)# ip access-group example in
ContentEngine(config-if)# exit
 

スタンドアロン Content Engine の特定のインターフェイスに IP ACL を適用し、アクティブにする手順は、次のとおりです。


ステップ 1 IP ACL を適用するインターフェイスのインターフェイス設定モードに入ります。

たとえば、次の例では、Content Engine の FastEthernet インターフェイスのスロット 0/ポート 0 に対してインターフェイス設定モードに入る方法を示しています。

ContentEngine(config)# interface FastEthernet 0/0
ContentEngine(config-if)#
 

ステップ 2 定義済み IP ACL を指定されたインターフェイスに適用します。

たとえば、次の例では、acl-out という名前の定義済み IP ACL を FastEthernet インターフェイスのスロット 0 / ポート 0 上の送信トラフィックに適用する方法を示しています。

ContentEngine(config-if)# ip access-group acl-out out
 

表19-6 は、ip access-group コマンドのパラメータの説明です。

 

表19-6 ip access-group CLI コマンドのパラメータ

パラメータ
説明

acl-name

30 文字までの英数字の ID を現在のインターフェイスに適用する IP ACL を識別するための文字で始まります。

acl-num

現在のインターフェイスに適用する IP ACL を識別する数値の識別子(1 ~ 99 は標準 IP ACL を表し、100 ~ 199 は拡張 IP ACL を表します)。

in

指定の IP ACL を現在のインターフェイス上の着信パケットに適用します。

out

指定の IP ACL を現在のインターフェイス上の発信パケットに適用します。


 

アプリケーションへの IP ACL の適用

ACNS 5.1 またはそれ以降のソフトウェアでは、SNMP と TFTP が IP ACL の使用法を設定するための、次の特定の CLI コマンドがあります。

snmp-server access-list { std-acl-num | std-acl-name }

tftp-server access-list { std-acl-num | std-acl-name }


snmp-server access-list tftp-server access-list のコマンドには、標準 IP ACL の名前または番号のみが使用できます。拡張 IP ACL の名前や番号は使用できません。


ACNS 5.2.1 またはそれ以降のソフトウェアでは、 wccp access-list グローバル設定コマンドを使用して、Content Engine がカプセル化された WCCP GRE 着信トラフィックに適用する IP ACL を指定します。

wccp access-list { acl-num | acl-name }

WCCP アクセス リスト機能は、標準と拡張の両アクセス リストをサポートし、SNMP および TFTP サーバ アクセス リストの場合と同様、標準アクセス リストのみに制限されていません。

その他のアプリケーション トラフィック(Telnet や SSH など)を制御するには、IP ACL をスタンドアロン Content Engine のインターフェイス(通常、着信トラフィック)に適用します。


) ACNS 5.1 またはそれ以降のソフトウェアでは、TFTP プロトコルを使用したアクセスをユーザに対して許可または拒否するには、ip access-list グローバル設定コマンドを使用する必要があります。IP ACL を TFTP サービスに設定しないかぎり、コンテンツのセキュリティが危険にさらされ、TFTP は正しく機能しません。

ACNS 5.0 ソフトウェアでは、デフォルトにより、TFTP アクセスはユーザを拒否していました。アクセスをユーザに対して許可するために、管理者は trusted-host コマンドを使用する必要がありました。ACNS 5.1 ソフトウェアでは、trusted-host コマンドの使用は推奨されていません。そのため、リリース 5.1 以前の ACNS ソフトウェアを実行している Content Engine で trusted-host コマンドを使用していて、その後、デバイスを ACNS ソフトウェア 5.1 以降にアップグレードすると、trusted-host コマンドは CLI に表示されますが、TFTP プロトコルにはまったく作用しません。信頼できるホストの設定を削除するには、no trusted-host コマンドを使用します。


IP ACL による SNMP アクセスのコントロール

標準 IP ACL を使用して、スタンドアロン Content Engine の SNMP エージェントへのアクセスをコントロールする手順は、次のとおりです。


ステップ 1 ip access-list standard コマンドを使用して、Content Engine の SNMP エージェントへのアクセスを制御するための IP ACL 作成します。

ステップ 2 この IP ACL を SNMP サーバ(スタンドアロン Content Engine)に関連付け、Content Engine でこの標準 IP ACL をアクティブにします。

ContentEngine(config)# snmp-server access-list {std-acl-num | std-acl-name}
 

std-acl-name は、この Content Engine に関連付ける標準 IP ACL の名前です。

std-acl-num は、この Content Engine に関連付ける標準 IP ACL の番号です。

Content Engine の SNMP エージェントは、着信パケットを許可または廃棄する前に、指定の IP ACL(たとえば、ACL 1)と照合します。

ContentEngine(config)# snmp-server access-list 1
 


 

IP ACL による TFTP アクセスのコントロール

標準 IP ACL を使用して、スタンドアロン Content Engine の TFTP サービスへのアクセスをコントロールする手順は、次のとおりです。


ステップ 1 スタンドアロン Content Engine で実行中の TFTP サービスへのアクセスを制御するためのアクセス リストを作成します。

たとえば、次のコマンドを使用すると、192.168.1.0 サブネットワーク上の TFTP クライアントに対して TFTP サービスへのアクセスを許可するアクセス リストを定義できます。

ContentEngine(config)# ip access-list standard 2
ContentEngine(config-std-nacl)# ip access-list permit 192.168.1.0 0.0.0.255
ContentEngine(config-std-nacl)# exit
ContentEngine(config)#
 

ステップ 2 この IP ACL を TFTP サーバ(スタンドアロン Content Engine)に関連付け、Content Engine でこの標準 IP ACL をアクティブにします。

ContentEngine(config)# tftp-server access-list {std-acl-num | std-acl-name}
 

std-acl-name は、この Content Engine に関連付ける標準 IP ACL の名前です。

std-acl-num は、この Content Engine に関連付ける標準 IP ACL の番号です。

Content Engine は、実行中の TFTP サービスへのアクセスを許可または拒否する前に、指定されているアクセス コントロール リストと照合します。次の例では、Content Engine はアクセス コントロール リスト 2 と照合してから、TFTP アクセスをユーザ(TFTP クライアント)に対して許可または拒否するように設定します。

ContentEngine(config)# tftp-server access-list 2
 


 

IP ACL による WCCP アクセスのコントロール

標準または拡張 IP ACL を使用して、スタンドアロン Content Engine の WCCP サービスへのアクセスをコントロールする手順は、次のとおりです。


ステップ 1 Content Engine での WCCP アクセスをコントロールするための標準または拡張 IP ACL を作成します。

a. 標準 IP ACL を作成または変更するには、 ip access-list standard コマンドを使用します。

b. 拡張 IP ACL を作成または変更するには、 ip access-list extended コマンドを使用します。

ステップ 2 IP ACL をスタンドアロン Content Engine に関連付け、Content Engine でこの IP ACL をアクティブにします。

ContentEngine(config)# wccp access-list {acl-num | acl-name}
 

acl-name は、この Content Engine に関連付ける標準または拡張 IP ACL の名前です。

acl- num は、この Content Engine に関連付ける標準または拡張 IP ACL の番号です。

Content Engine は、指定の IP ACL(たとえば、ACL 2)を WCCP GRE 着信トラフィックに適用します。

ContentEngine(config)# wccp access-list 2
 


 

スタンドアロン Content Engine での WCCP アクセス リストの設定

ACNS 5.2.1 またはそれ以降のソフトウェアでは wccp access-list グローバル設定コマンドを使用して、Content Engine がカプセル化された WCCP GRE 着信トラフィックに適用する IP ACL を指定します。

wccp access-list { acl-name | acl-number }

acl-name または acl-number は、標準または拡張いずれかの IP アクセス リストを表します。

デフォルトでは、いずれの WCCP アクセス リストも設定されません。そのため、WCCP アクセス リストは、Content Engine の設定の一部として表示されません。

Content Engine に WCCP アクセス リストがすでに設定されている場合の show ip access-list EXEC コマンドの出力例を次に示します。

Content Engine# show ip access-list
Space available:
48 access lists
497 access list conditions
 
Standard IP access list test
1 permit 10.1.1.1
(implicit deny any:0 matches)
total invocations:0
Extended IP access list no_www.linux.org
1 deny tcp any host 10.1.1.1 (29 matches)
2 permit ip any any (30 matches)
(implicit fragment permit:0 matches)
(implicit deny ip any any:0 matches)
total invocations:59
 
Interface access list references:
GigabitEthernet 2/0 inbound pc_test (Not Defined)
 
Application access list references:
snmp-server standard test
UDP ports:none
tftp_server standard test4
UDP ports: 69 (List Not Defined)
WCCP either no_www.linux.org
Any IP Protocol
Content Engine#
 

ACNS 5.2.1 またはそれ以降のソフトウェアでは、 show wccp gre EXEC コマンドの出力には、WCCP アクセス リスト機能に関連する 2 つのカウンタが含まれています。

---------------
Packets w/WCCP GRE received too small: 0
Packets dropped due to IP access-list deny:29
---------------
 

最初のカウンタは、適切にカプセル化された WCCP GRE パケットで、小さすぎて IP パケット ヘッダー全体が収まらないために廃棄された数を表します。

2 番目のカウンタは、指定の WCCP アクセス リストによって拒否されたために廃棄されたパケットの数を表します。

Content Engine で WCCP アクセス リストが定義されている場合の show wccp gre EXEC コマンドからの出力例を次に示します。

Content Engine# show wccp gre
Transparent GRE packets received: 366
Transparent non-GRE packets received: 0
Transparent non-GRE packets passed through:0
Total packets accepted: 337
Invalid packets received: 0
Packets received with invalid service: 0
Packets received on a disabled service: 0
Packets received too small: 0
Packets dropped due to zero TTL: 0
Packets dropped due to bad buckets: 0
Packets dropped due to no redirect address:0
Connections bypassed due to load: 0
Packets sent back to router: 0
Packets sent to another CE: 0
GRE fragments redirected: 0
Packets failed GRE encapsulation: 0
Packets dropped due to invalid fwd method: 0
Packets dropped due to insufficient memory:0
Packets bypassed, no conn at all: 0
Packets bypassed, no pending connection: 0
Packets due to clean wccp shutdown: 0
Packets bypassed due to bypass-list lookup:0
Packets received with client IP addresses: 0
Conditionally Accepted connections: 0
Conditionally Bypassed connections: 0
Packets w/WCCP GRE received too small: 0
Packets dropped due to IP access-list deny:29
Content Engine#
 

) 前記の情報は、show statistics wccp gre EXEC コマンドを入力して出力することもできます。


設定例

次の例は、example という名前の拡張 IP ACL を作成するための ip access-list extended グローバル設定コマンドを使用方法を示しています。この拡張 IP ACL は、すべての Web トラフィックを許可する一方、SSH を使用した特定のホスト(ホスト 10.1.1.5)の管理アクセスのみを許可します。

ContentEngine(config)# ip access-list extended example
ContentEngine(config-ext-nacl)# permit tcp any any eq www
ContentEngine(config-ext-nacl)# permit tcp host 10.1.1.5 any eq ssh
ContentEngine(config-ext-nacl)# exit
 

インターフェイス アクセス リストとアプリケーション アクセス リストを使用するよう設定されているスタンドアロン Content Engine の例を次に示します。

ContentEngine# show ip access-list
Space available:
47 access lists
492 access list conditions
 
Standard IP access list 1
1 permit 10.1.1.2
2 deny 10.1.2.1
(implicit deny any: 2 matches)
total invocations: 2
Extended IP access list 100
1 permit tcp host 10.1.1.1 any
2 permit tcp host 10.1.1.2 any
3 permit tcp host 10.1.1.3 any
(implicit fragment permit: 0 matches)
(implicit deny ip any any: 0 matches)
total invocations: 0
Standard IP access list test
1 permit 1.1.1.1 (10 matches)
2 permit 1.1.1.3
3 permit 1.1.1.2
(implicit deny: 2 matches)
total invocations: 12
Interface access list references:
FastEthernet 0/0 inbound 100
Application access list references:
tftp_server standard 1
UDP ports: 69

IP ACL の削除

Content Engine のデータベースから、ネットワーク インターフェイスとアプリケーション内のすべての条件と参照を含む IP ACL を削除する手順は、次のとおりです。


ステップ 1 グローバル設定モードで Content Engine CLI にアクセスします。

ContentEngine(config)#
 

ステップ 2 削除する IP ACL の名前または番号を指定します。

標準 IP ACL を削除するには、削除する標準 IP ACL を指定します。

ContentEngine(config)# no ip access-list standard {acl-name | acl-num}
 

次の例では、test2 という名前の標準 IP ACL を削除する方法を示しています。

ContentEngine(config)# no ip access-list standard test2
 

拡張 IP ACL を削除するには、削除する拡張 IP ACL を指定します。

ContentEngine(config)# no ip access-list extended {acl-name | acl-num}
 

次の例では、example という名前の拡張 IP ACL を削除する方法を示しています。

ContentEngine(config)# no ip access-list extended example
 


 

IP ACL 設定の表示

Content Engine で現在定義されている IP ACL の設定を表示するには、show ip access-list EXEC コマンドを使用します。

show ip access-list [ acl-name | acl-num ]

show ip access-list EXEC コマンドを使用して、現在のシステム(この場合は、スタンドアロン Content Engine)に定義されている IP ACL に関する設定情報を表示できます。特定の IP ACL を名前または番号で指定しない限り、定義済みのすべての IP ACL に関する情報が次の項目を含めて表示されます。

新規のリストと条件に使用可能なスペース

定義済みの IP ACL

インターフェイスとアプリケーションによる参照

次に示すのは、特定の IP ACL を指定しなかった場合の show ip access-list EXEC コマンドの出力例です。

ContentEngine# show ip access-list
Space available:
47 access lists
492 access list conditions
 
Standard IP access list 1
1 permit 10.1.1.2
2 deny 10.1.2.1
(implicit deny any: 2 matches)
total invocations: 2
Extended IP access list 100
1 permit tcp host 10.1.1.1 any
2 permit tcp host 10.1.1.2 any
3 permit tcp host 10.1.1.3 any
(implicit fragment permit: 0 matches)
(implicit deny ip any any: 0 matches)
total invocations: 0
Standard IP access list test
1 permit 1.1.1.1 (10 matches)
2 permit 1.1.1.3
3 permit 1.1.1.2
(implicit deny: 2 matches)
total invocations: 12
 
Interface access list references:
FastEthernet 0/0 inbound 100
Application access list references:
tftp_server standard 1
UDP ports: 69
 

test という名前の IP ACL に対する show ip access-list EXEC コマンドの出力例を次に示します。

ContentEngine# show ip access-list test
Standard IP access list test
1 permit 1.1.1.1 (10 matches)
2 permit 1.1.1.3
3 permit 1.1.1.2
(implicit deny: 2 matches)
total invocations: 12
 

) パケットの数が 0 より大きい場合に限り、条件ステートメントに一致したパケットの数が表示されます。


IP ACL カウンタのクリア

Content Engine で IP ACL をクリアし、IP ACL の統計情報をリセットするには、 clear ip access-list counter EXEC コマンドを使用します。

ContentEngine# clear ip access-list counters {acl-name | acl-num}
 

この EXEC コマンドを使用して、既存のすべての IP ACL の条件ステートメントに関連した IP ACL カウンタをクリアします。IP ACL の名前または番号を指定すると、指定したリストのカウンタのみがクリアされます。