Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ ブロードバンド ネットワーク ゲートウェイ コマンド リファレンス リリース 4.2.x
ACL および ABF コマンド
ACL および ABF コマンド
発行日;2013/02/08   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

ACL および ABF コマンド

ここでは、Cisco ASR 9000 シリーズ ルータでブロードバンド ネットワーク ゲートウェイ(BNG)の ACL および ABF コマンドの設定に使用される Cisco IOS XR ソフトウェア コマンドについて説明します。 関連の設定の詳細については、『Cisco IOS XR Broadband Network Gateway Configuration Guide』を参照してください。

ipv4 access-group

インターフェイスへのアクセスを制御するには、適切なコンフィギュレーション モードで ipv4 access-group コマンドを使用します。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。

ipv4 access-group access-list-name { common acl-p { [ acl1 ingress [hardware-count] [interface-statistics] ] | ingress } | acl1 { ingress | egress } [hardware-count] [interface-statistics] }

no ipv4 access-group access-list-name { common acl-p { [ acl1 ingress [hardware-count] [interface-statistics] ] | ingress } | acl1 { ingress | egress } [hardware-count] [interface-statistics] }

Syntax Description

access-list-name

ipv4 access-list コマンドで指定された IPv4 アクセス リストの名前。

common

一般的な ACL の名前。 一般的な ACL は、入力方向だけでサポートされます。

ingress

着信パケットに対してフィルタリングします。

egress

発信パケットをフィルタリングします。

hardware-count

(任意)アクセス グループのハードウェア カウンタにアクセスするように指定します。

interface-statistics

(任意)ハードウェア内のインターフェイス単位の統計情報を指定します。 一般的な ACL では使用できません。

Command Default

インターフェイスには、適用される IPv4 アクセス リストがありません。

Command Modes

インターフェイス コンフィギュレーション

動的なテンプレート コンフィギュレーション

Command History

リリース 変更内容
リリース 4.1.1

このコマンドが追加されました。

リリース 4.2.0

このコマンドが、BNG の動的なテンプレート コンフィギュレーション モードでサポートされました。

Usage Guidelines

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ipv4 access-group コマンドを使用すると、インターフェイスへのアクセスを制御することができます。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。 access-list-name 引数を使用すると、特定の IPv4 アクセス リストを指定することができます。 ingress キーワードを使用すると着信パケットをフィルタリングすることができ、また、egress キーワードを使用すると発信パケットをフィルタリングすることができます。 hardware-count 引数を使用すると、アクセス グループのハードウェア カウンタをイネーブルにすることができます。

許可されたパケットは、hardware-count 引数を使用してハードウェア カウンタがイネーブルにされた場合にだけカウントされます。 拒否されたパケットは、ハードウェア カウンタがイネーブルかどうかにかかわらずカウントされます。

動的なテンプレート コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで dynamic-template コマンドを実行します。


(注)  


動的なテンプレート コンフィギュレーション モードでは、egress および ingress キーワードのみが表示されます。



(注)  


ipv4/ipv6 access-group コマンドを使用したパケット フィルタリング アプリケーションの場合、パケット カウンタは各方向のハードウェア内に維持されます。 同じ方向の複数のインターフェイス上で 1 つのアクセス グループを使用すると、イネーブルにされた hardware-count 引数を持つ各インターフェイスに対してパケットがカウントされます。

アクセス リストがアドレスを許可する場合は、ソフトウェアはパケットの処理を継続します。 アクセス リストでアドレスが拒否されている場合、ソフトウェアはパケットを廃棄し、インターネット制御メッセージ プロトコル(ICMP)ホスト到達不能メッセージを返します。

指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。

デフォルトでは、一意のまたはインターフェイス単位の ACL 統計情報はディセーブルになっています。

Task ID

タスク ID 操作

acl

読み取り、書き込み

network

読み取り、書き込み

config-services

読み取り、書き込み

Examples

次に、show access-lists コマンドの例を示します。


RP/0/RSP0/CPU0:router# show access-lists

ipv4 access-list acl-common

 10 permit ipv4 host 205.205.205.1 host 200.175.175.1 log-input

 15 deny ipv4 any host 200.175.175.1

 20 permit ipv4 host 205.205.205.1 host 201.175.175.1 log-input

 25 deny ipv4 any host 201.175.175.1

 30 permit ipv4 host 205.205.205.1 host 202.175.175.1 log-input

 35 deny ipv4 any host 202.175.175.1

ipv4 access-list acl-unique1

 10 permit ipv4 host 205.205.205.1 host 203.175.175.1 log-input

 15 deny ipv4 any host 203.175.175.1

 20 permit ipv4 any any

ipv4 access-list ssm-acl

 10 permit ipv4 232.0.0.0 0.255.255.255 any log

次に、設定された IPv4 ACL の例を示します。


RP/0/RSP0/CPU0:router(config-if)#ipv4 access-group common acl-common acl-unique1 
ingress

次に、設定された IPv4 ACL の例を示します。
RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# dynamic-template type ppp p1
RP/0/RSP0/CPU0:router(config-dynamic-template-type)# ipv4 access-group a1 egress

Related Commands

コマンド

説明

permit(IPv4)

IPv4 アクセス リストの許可条件を設定します。

ipv4 access-list

IPv4 アクセス リストを名前で定義するには、グローバル コンフィギュレーション モードで ipv4 access-list コマンドを使用します。 IPv4 アクセス リスト中のすべてのエントリを削除するには、このコマンドの no 形式を使用します。

ipv4 access-list name

no ipv4 access-list name

Syntax Description

name

アクセス リストの名前。 名前にはスペースや疑問符を使用できません。

Command Default

定義されている IPv4 アクセス リストはありません。

Command Modes

グローバル コンフィギュレーション

Command History

リリース

変更箇所

リリース 3.7.2

このコマンドが導入されました。

リリース 4.3.0

このコマンドが BNG でサポートされました。

Usage Guidelines

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ipv4 access-list コマンドを使用すると、IPv4 アクセス リストを設定することができます。 このコマンドはルータをアクセス リスト コンフィギュレーション モードに設定します。このモードでは、拒否または許可されたアクセス条件は deny or permit コマンドを使用して定義される必要があります。

既存の IPv4 アクセス リスト中の連続したエントリ間に permit、deny、または remark ステートメントを追加する場合は、resequence access-list ipv4 コマンドを使用します。 最初のエントリ番号(base)とステートメントのエントリ番号を分けるための増分を指定します。 既存のステートメントの番号が再設定され、未使用のエントリ番号で新しいステートメントが追加できるようになります。

ipv4 access-group コマンドを使用すると、アクセス リストをインターフェイスに適用することができます。

Task ID

タスク ID

操作

acl

読み取り、書き込み

Examples

次に、Internetfilter という名前の標準アクセス リストを定義する方法の例を示します。


RP/0/RSP0/CPU0:router(config)# ipv4 access-list Internetfilter
RP/0/RSP0/CPU0:router(config-if)# 10 permit 192.168.34.0 0.0.0.255
RP/0/RSP0/CPU0:router(config-if)# 20 permit 172.16.0.0 0.0.255.255
RP/0/RSP0/CPU0:router(config-if)# 30 permit 10.0.0.0 0.255.255.255
RP/0/RSP0/CPU0:router(config-if)# 39 remark Block BGP traffic from 172.16 net.
RP/0/RSP0/CPU0:router(config-if)# 40 deny tcp host 172.16.0.0 eq bgp host 192.168.202.203 range 1300 1400

Related Commands

コマンド

説明

clear access-list ipv4

IPv4 アクセス リスト一致カウンタをリセットします。

deny(IPv4)

名前付き IPv4 アクセス リストの拒否条件を設定します。

ipv4 access-group

インターフェイス上の着信または発信の IPv4 トラフィックをフィルタリングします。

permit(IPv4)

名前付き IPv4 アクセス リストの許可条件を設定します。

remark(IPv4)

IPv4 アクセス リスト エントリに関する有益な設定を挿入します。

resequence access-list ipv4

既存の IPv4 アクセス リスト中の最初のステートメントの開始エントリ番号、および後続のステートメントの番号の増分を変更します。

show access-lists ipv4

現在の IPv4 アクセス リストすべての内容を表示します。