Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ L2VPN およびイーサネット サービスのコマンド リファレンス リリース 4.3.x
レイヤ 2 のアクセス リスト コマンド
レイヤ 2 のアクセス リスト コマンド
発行日;2013/04/09   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

レイヤ 2 のアクセス リスト コマンド

イーサネット サービス ACL の概念、設定タスク、および例の詳細については、『Cisco ASR 9000 Series Aggregation Services Router IP Addresses and Services Configuration Guide』を参照してください。

copy access-list ethernet-service

既存のイーサネット サービス アクセス リストのコピーを作成するには、EXEC モードで copy access-list ethernet-services コマンドを使用します。

copy access-list ethernet-service source-acl destination-acl

構文の説明

source-acl

コピー元のアクセス リストの名前

destination-acl

source-acl 引数の内容がコピーされる宛先のアクセス リストの名前

コマンド デフォルト

なし

コマンド モード

EXEC

コマンド履歴

リリース

変更箇所

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

設定されたイーサネット サービス アクセス リストをコピーするには、copy access-list ethernet-service コマンドを使用します。 source-acl 引数を使用してコピー元のアクセス リストを指定し、destination-acl 引数を使用して、送信元アクセス リストの内容のコピー先を指定することができます。 destination-acl 引数は一意の名前である必要があります。アクセス リストに destination-acl 引数名が存在する場合、そのアクセス リストはコピーされません。 copy access-list ethernet-service コマンドは送信元アクセス リストが存在することをチェックしてから、既存のアクセス リストを上書きしないように既存のリスト名をチェックします。

タスク ID

タスク ID

操作

acl

read, write

filesystem

execute

次の例では、アクセス リストのリスト 1 のコピーがリスト 2 として作成されます。

RP/0/RSP0/CPU0:router# show access-list ethernet-service list-1

ethernet service access-list list-1
  10 permit any any 
  20 permit 2.3.4 5.4.3
RP/0/RSP0/CPU0:router# copy access-list ethernet-service list-1 list-2
RP/0/RSP0/CPU0:router# show access-list ethernet-service list-2
ethernet service access-list list2
  10 permit any any 
  20 permit 2.3.4 5.4.3

関連コマンド

コマンド

説明

deny(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

ethernet-service access-group

インターフェイスへのアクセスを制御します。  

ethernet-services access-list

イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。  

permit(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

resequence access-list ethernet-service

既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。  

show access-lists ethernet-services

現在のイーサネット サービス アクセス リストの内容を表示します。  

show access-lists ethernet-services trace

イーサネット サービス アクセス リストのトレース情報を表示します。  

show access-list ethernet-service usage pfilter

特定の ACL が適用されるモードおよびインターフェイスを指定します。  

deny(ES ACL)

イーサネット サービス アクセス リストの条件を設定するには、イーサネット サービス アクセス リストのコンフィギュレーション モードで deny コマンドを使用します。 条件を削除するには、このコマンドの no 形式を使用します。

[sequence-number] deny { src-mac-address src-mac-mask | any | host | dest-mac-address dest-mac-mask } [ ethertype-number | capture | vlan min-vlan-ID [max-vlan-ID] ] [ cos cos-value ] [dei] [ inner-vlan min-vlan-ID [max-vlan-ID] ] [ inner-cos cos-value ] [inner-dei]

no sequence-number

構文の説明

sequence-number

(任意)アクセス リスト中の deny ステートメントの番号。 この番号により、アクセス リスト中のステートメントの順番を識別します。 番号の範囲は 1 ~ 2147483646 です。 (デフォルトで、最初のステートメントの番号は 10 で、後続のステートメントは 10 ずつ増加していきます)。resequence access-list コマンドを使用すると、設定済みアクセス リスト中の最初のステートメントの番号を変更し、後続のステートメントの番号を増加することができます。

src-mac-address

H.H.H 形式の送信元 MAC アドレス。

src-mac-mask

H.H.H 形式の送信元 MAC マスク。

any

すべての送信元 MAC アドレスおよびマスクを拒否します。

host

H.H.H の形式で、特定のホスト送信元 MAC アドレスおよびマスクを持つホストを拒否します。

dest-mac-address

H.H.H 形式の宛先 MAC アドレス。

dest-mac-mask

H.H.H 形式の宛先 MAC マスク。

ethertype-number

16 進数の 16 ビットの ethertype 番号。 範囲は 0x1 ~ 0xffff です。

capture

(任意)トラフィック ミラーリング機能を使用してパケットをキャプチャし、キャプチャ ファイルにそれをコピーします。

vlan

(任意)特定の VLAN または VLAN 範囲を拒否します。

min-vlan-ID

特定の VLAN または VLAN ID の範囲の開始の ID。

max-vlan-ID

(任意)VLAN ID の範囲の最後の ID。

cos

(任意)サービス クラス値に基づいて拒否します。

cos-value

サービス クラスの値。 範囲は 0 ~ 7 です。

dei

(任意)廃棄適性のインジケータ(DEI)の設定に基づいて拒否します。

inner-vlan

(任意)内部ヘッダーに対応する VLAN ID の特定の VLAN ID または範囲を拒否します。

min-vlan-ID

特定の VLAN または VLAN ID の範囲の開始の ID。

max-vlan-ID

(任意)VLAN ID の範囲の最後の ID。

inner-cos

(任意)サービス値の内部ヘッダー クラスに基づいて拒否します。

cos-value

サービス値の内部ヘッダー クラス。 範囲は 0 ~ 7 です。

inner-dei

(任意)内部ヘッダー廃棄適性のインジケータに基づいて拒否します。

コマンド デフォルト

イーサネット サービス アクセス リストの送受信時にパケットが拒否されるデフォルトの条件はありません。

コマンド モード

イーサネット サービス アクセス リスト コンフィギュレーション

コマンド履歴

リリース

変更箇所

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ethernet-service access-list コマンドに続いて deny コマンドを使用すると、パケットがアクセス リストを通過できる条件を指定できます。

デフォルトでは、アクセス リストの最初のステートメントは 10 で、その次のステートメントからは 10 ずつ増加します。

permit または deny ステートメントを、リスト全体を再入力せずに既存のアクセス リストに追加できます。 新しいステートメントをリストの最後尾以外に追加するには、所属先を示すために 2 つの既存のエントリ番号の間にある適切なエントリ番号を持つ新しいステートメントを作成します。

2 つの連続した番号のステートメントの間(たとえば、10 行と 11 行の間)にステートメントを追加する場合は、最初に resequence access-list ethernet-service コマンドを使用して、最初のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させます。

タスク ID

タスク ID

操作

acl

read, write

次に、L2ACL1 という名前のイーサネット サービス アクセス リストを定義する例を示します。

RP/0/RSP0/CPU0:router(config)# ethernet-services access-list L2ACL1
RP/0/RSP0/CPU0:router(config-es-acl)# 10 permit 00ff.eedd.0010 ff00.0000.00ff 0011.ab10.cdef ffff.0000.ff00 vlan 1000-1100  inner-vlan 100 inner-cos 7 inner-dei
RP/0/RSP0/CPU0:router(config-es-acl)# 20 deny host eedd.0011.ff1c ff00.0000.00ff any vlan 300  cos 1 dei inner-vlan 30 inner-cos 6
RP/0/RSP0/CPU0:router(config-es-acl)# 30 permit any any vlan 500 cos 2 inner-vlan 600 inner-cos 5 inner-dei

関連コマンド

コマンド

説明

copy access-list ethernet-service

既存のイーサネット サービス アクセス リストのコピーを作成します。  

ethernet-service access-group

インターフェイスへのアクセスを制御します。  

ethernet-services access-list

イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。  

permit(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

resequence access-list ethernet-service

既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。  

show access-lists ethernet-services

現在のイーサネット サービス アクセス リストの内容を表示します。  

show access-lists ethernet-services trace

イーサネット サービス アクセス リストのトレース情報を表示します。  

show access-list ethernet-service usage pfilter

特定の ACL が適用されるモードおよびインターフェイスを指定します。  

ethernet-service access-group

インターフェイスへのアクセスを制御するには、インターフェイス コンフィギュレーション モードで ethernet-service access-group コマンドを使用します。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。

ethernet-service access-group access-list-name { ingress | egress }

no ethernet-service access-group access-list-name { ingress | egress }

構文の説明

access-list-name

ethernet-service access-list コマンドで指定されるイーサネット サービス アクセス リストの名前。

ingress

インバウンド パケットに対してフィルタリングします。

egress

発信パケットをフィルタリングします。

コマンド デフォルト

インターフェイスには、適用されるイーサネット サービス アクセス リストがありません。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更箇所

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ethernet-service access-group コマンドを使用すると、インターフェイスへのアクセスを制御することができます。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。 acl-name 引数を使用して、特定のイーサネット サービス アクセス リストを指定します。 ingress キーワードを使用すると着信パケットをフィルタリングすることができます。また、egress キーワードを使用すると発信パケットをフィルタリングすることができます。

リストでアドレスが許可される場合は、ソフトウェアはパケットの処理を継続します。 アクセス リストでアドレスが拒否される場合は、パケットを廃棄し、ICMP ホスト到達不能メッセージを返します。

指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。

デフォルトでは、一意のまたはインターフェイス単位の ACL 統計情報はディセーブルになっています。

タスク ID

タスク ID

操作

acl

read, write

次に、GigabitEthernet interface 0/2/0/0 との間の着信または発信パケットへのフィルタリングの適用方法の例を示します。

RP/0/RSP0/CPU0:router(config)# interface gigabitethernet 0/2/0/2
RP/0/RSP0/CPU0:router(config-if)# ethernet-service access-group p-ingress-filter ingress
RP/0/RSP0/CPU0:router(config-if)# ethernet-service access-group p-egress-filter egress

関連コマンド

コマンド

説明

copy access-list ethernet-service

既存のイーサネット サービス アクセス リストのコピーを作成します。  

deny(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

ethernet-services access-list

イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。  

permit(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

resequence access-list ethernet-service

既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。  

show access-lists ethernet-services

現在のイーサネット サービス アクセス リストの内容を表示します。  

show access-lists ethernet-services trace

イーサネット サービス アクセス リストのトレース情報を表示します。  

show access-list ethernet-service usage pfilter

特定の ACL が適用されるモードおよびインターフェイスを指定します。  

ethernet-services access-list

イーサネット サービス(レイヤ 2)アクセス リストを名前で定義するには、グローバル コンフィギュレーション モードで ethernet-services access-list コマンドを使用します。 イーサネット サービス アクセス リスト中のすべてのエントリを削除するには、このコマンドの no 形式を使用します。

ethernet-services access-list access-list-name

no ethernet-services access-list access-list-name

構文の説明

access-list-name

イーサネット サービス アクセス リストの名前。 この名前にスペースや引用符を含めることはできませんが、数値を含めることはできます。

コマンド デフォルト

イーサネット サービス アクセス リストは定義されていません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更箇所

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ethernet-services access-list コマンドは、ルータをアクセス リスト コンフィギュレーション モードにします。この場合、拒否対象または許可対象のアクセス条件は、deny(ES ACL)または permit(ES ACL)コマンドで定義される必要があります。

既存のイーサネット サービス アクセス リスト中の連続したエントリ間に permit ステートメントまたは deny ステートメントを追加する必要がある場合は、resequence access-list ethernet-service コマンドを使用します。

タスク ID

タスク ID

操作

acl

read, write

次に、L2ACL1 という名前のイーサネット サービス アクセス リストを定義する例を示します。

RP/0/RSP0/CPU0:router(config)# ethernet-services access-list L2ACL1

関連コマンド

コマンド

説明

copy access-list ethernet-service

既存のイーサネット サービス アクセス リストのコピーを作成します。  

deny(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

ethernet-service access-group

インターフェイスへのアクセスを制御します。  

permit(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

resequence access-list ethernet-service

既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。  

show access-lists ethernet-services

現在のイーサネット サービス アクセス リストの内容を表示します。  

show access-lists ethernet-services trace

イーサネット サービス アクセス リストのトレース情報を表示します。  

show access-list ethernet-service usage pfilter

特定の ACL が適用されるモードおよびインターフェイスを指定します。  

permit(ES ACL)

イーサネット サービス アクセス リストの条件を設定するには、イーサネット サービス アクセス リストのコンフィギュレーション モードで permit コマンドを使用します。 条件を削除するには、このコマンドの no 形式を使用します。

[sequence-number] permit { src-mac-address src-mac-mask | any | host | dest-mac-address dest-mac-mask } [ ethertype-number | capture | vlan min-vlan-ID [max-vlan-ID] ] [ cos cos-value ] [dei] [ inner-vlan min-vlan-ID [max-vlan-ID] ] [ inner-cos cos-value ] [inner-dei]

no sequence-number

構文の説明

sequence-number

(任意)アクセス リスト中の permit ステートメントの番号。 この番号により、アクセス リスト中のステートメントの順番を識別します。 番号の範囲は 1 ~ 2147483646 です。 (デフォルトで、最初のステートメントの番号は 10 で、後続のステートメントは 10 ずつ増加していきます)。resequence access-list コマンドを使用すると、設定済みアクセス リスト中の最初のステートメントの番号を変更し、後続のステートメントの番号を増加することができます。

src-mac-address

H.H.H 形式の送信元 MAC アドレス。

src-mac-mac

H.H.H 形式の送信元 MAC マスク。

any

すべての送信元 MAC アドレスおよびマスクを許可します。

host

H.H.H の形式で、特定のホスト送信元 MAC アドレスおよびマスクを持つホストを許可します。

dest-mac-address

H.H.H 形式の宛先 MAC アドレス。

dest-mac-mac

H.H.H 形式の宛先 MAC マスク。

ethertype-number

16 進数の 16 ビットの ethertype 番号。 範囲は 0x1 ~ 0xffff です。

capture

(任意)トラフィック ミラーリング機能を使用してパケットをキャプチャし、キャプチャ ファイルにそれをコピーします。

vlan

(任意)特定の VLAN または VLAN 範囲を許可します。

min-vlan-ID

特定の VLAN または VLAN ID の範囲の開始の ID。

max-vlan-ID

(任意)VLAN ID の範囲の最後の ID。

cos

(任意)サービス クラス値に基づいて許可します。

cos-value

サービス クラスの値。 範囲は 0 ~ 7 です。

dei

(任意)廃棄適性のインジケータ(DEI)の設定に基づいて許可します。

inner-vlan

(任意)内部ヘッダーに対応する VLAN ID の特定の VLAN ID または範囲を許可します。

min-vlan-ID

特定の VLAN または VLAN ID の範囲の開始の ID。

max-vlan-ID

(任意)VLAN ID の範囲の最後の ID。

inner-cos

(任意)サービス値の内部ヘッダー クラスに基づいて許可します。

cos-value

サービス値の内部ヘッダー クラス。 範囲は 0 ~ 7 です。

inner-dei

(任意)内部ヘッダー廃棄適性のインジケータに基づいて許可します。

コマンド デフォルト

イーサネット サービス ACL の送受信時にパケットが許可される特定のデフォルトの条件はありません。

コマンド モード

イーサネット サービス アクセス リスト コンフィギュレーション

コマンド履歴

リリース

変更箇所

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ethernet-service access-list コマンドに続いて permit コマンドを使用すると、パケットがアクセス リストを通過できる条件を指定できます。

デフォルトでは、アクセス リストの最初のステートメントは 10 で、その次のステートメントからは 10 ずつ増加します。

permit または deny ステートメントを、リスト全体を再入力せずに既存のアクセス リストに追加できます。 新しいステートメントをリストの最後尾以外に追加するには、所属先を示すために 2 つの既存のエントリ番号の間にある適切なエントリ番号を持つ新しいステートメントを作成します。

2 つの連続した番号のステートメントの間(たとえば、10 行と 11 行の間)にステートメントを追加する場合は、最初に resequence access-list ethernet-service コマンドを使用して、最初のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させます。

タスク ID

タスク ID

操作

acl

read, write

次に、L2ACL1 という名前のアクセス リストの許可条件を設定する方法の例を示します。

RP/0/RSP0/CPU0:router(config)# ethernet-services access-list L2ACL1
RP/0/RSP0/CPU0:router(config-es-al)# 10 permit 00ff.eedd.0010 ff00.0000.00ff 0011.ab10.cdef ffff.0000.ff00 vlan 1000-1100  inner-vlan 100 inner-cos 7 inner-dei
RP/0/RSP0/CPU0:router(config-es-al)# 20 permit any host 000a.000b.000c 0800 vlan 500 cos 2 inner-vlan 600 inner-cos 5 inner-dei
RP/0/RSP0/CPU0:router(config-es-al)# 30 permit any host 000a.000b.000c 8137 vlan 500 cos 2 inner-vlan 600 inner-cos 5 inner-dei

関連コマンド

コマンド

説明

copy access-list ethernet-service

既存のイーサネット サービス アクセス リストのコピーを作成します。  

deny(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

ethernet-service access-group

インターフェイスへのアクセスを制御します。  

ethernet-services access-list

イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。  

resequence access-list ethernet-service

既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。  

show access-lists ethernet-services

現在のイーサネット サービス アクセス リストの内容を表示します。  

show access-lists ethernet-services trace

イーサネット サービス アクセス リストのトレース情報を表示します。  

show access-list ethernet-service usage pfilter

特定の ACL が適用されるモードおよびインターフェイスを指定します。  

resequence access-list ethernet-service

既存のステートメントの番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可するには、EXEC モードで resequence access-list ethernet-service コマンドを使用します。

resequence access-list ethernet-service access-list-name [ starting-sequence-number [increment] ]

構文の説明

access-list-name

イーサネット サービス アクセス リストの名前。 この名前にスペースや引用符を含めることはできませんが、数値を含めることはできます。

starting-sequence-number

(任意)指定されたアクセス リスト中の 1 番目のステートメントであり、アクセス リスト中の順番を決定します。 最大値は 2147483646 です。 デフォルトは 10 です。

increment

(任意)以降のステートメントでの、ベース シーケンス番号に対する増分。 最大値は 2147483646 です。 デフォルトは 10 です。

コマンド デフォルト

starting-sequence-number:10

increment: 10

コマンド モード

EXEC

コマンド履歴

リリース

変更箇所

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

resequence access-list ethernet-service コマンドを使用して、既存のイーサネット サービス アクセス リスト内の連続したエントリ間に permit または deny ステートメントを追加します。 最初のエントリ番号(start-sequence-number)とステートメントのエントリ番号を分けるための増分を指定します。 ソフトウェアは既存のステートメントを記憶し、未使用のエントリ番号で新しいステートメントが追加できるようになります。

タスク ID

タスク ID

操作

acl

read, write

次の例では、既存のアクセス リストがあるとしています。

ethernet service access-list L2ACL1
  10 permit 1.2.3 4.5.6
  20 deny 2.3.4 5.4.3
  30 permit 3.1.2 5.3.4 cos 5

最初の許可ステートメントの前に、アクセス リストに他のエントリを追加する必要があります。 最初に、エントリに番号を付け直して(ステートメントの番号を 20 から始めて 10 ずつ増加させる)、既存の各ステートメント間に追加ステートメントを挿入できるスペースを取ります。

RP/0/RSP0/CPU0:router# resequence access-list ethernet-service L2ACL1 20 10
RP/0/RSP0/CPU0:router# show access-list ethernet-services L2ACL1

ethernet service access-list L2ACL1
  20 permit 1.2.3 4.5.6
  30 deny 2.3.4 5.4.3
  40 permit 3.1.2 5.3.4 cos 5

関連コマンド

コマンド

説明

copy access-list ethernet-service

既存のイーサネット サービス アクセス リストのコピーを作成します。  

deny(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

ethernet-service access-group

インターフェイスへのアクセスを制御します。  

ethernet-services access-list

イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。  

permit(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

show access-lists ethernet-services

現在のイーサネット サービス アクセス リストの内容を表示します。  

show access-lists ethernet-services trace

イーサネット サービス アクセス リストのトレース情報を表示します。  

show access-list ethernet-service usage pfilter

特定の ACL が適用されるモードおよびインターフェイスを指定します。  

show access-lists ethernet-services

現在のイーサネット サービス アクセス リストの内容を表示するには、EXEC モードで show access-lists ethernet-services コマンドを使用します。

show access-lists ethernet-services [ access-list-name | maximum | standby | summary ] [ hardware | usage ] [ ingress | egress ] [ implicit | detail | sequence | location location ]

構文の説明

access-list-name

(任意)特定のイーサネット サービス アクセス リストの名前。 この名前にスペースや引用符を含めることはできませんが、数値を含めることはできます。

maximum

(任意)設定可能なイーサネット サービスの ACL および ACE の最大数を示します。

standby

(任意)スタンバイ モードのすべてのアクセス リストを表示します。

summary

(任意)イーサネット サービス アクセス リストの要約を表示します。

hardware

(任意)ラインカード全体にわたる特定の方向で、特定の ACL の一致カウントを含むハードウェアにあるイーサネット サービス アクセス リストのエントリを表示します。

usage

(任意)指定された場所のこの ACL の使用状況を表示します。

ingress

(任意)受信パケットをフィルタリングします。

egress

(任意)発信パケットをフィルタリングします。

implicit

(任意)特定の ACL によって暗黙的に拒否されたパケットの数を表示します。

detail

(任意)TCAM エントリを表示します。

sequence

(任意)特定のシーケンス番号の統計情報を表示します。

sequence-number

シーケンス番号の値。 範囲は 1 ~ 2147483647 です。

location

(任意)特定のノード番号の情報を表示します。

location

完全修飾で指定された場所

コマンド デフォルト

すべてのイーサネット サービス アクセス リストの内容が表示されます。

コマンド モード

EXEC

コマンド履歴

リリース

変更箇所

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

タスク ID

タスク ID

操作

acl

read, write

次に、拒否されたイーサネット サービス アクセス リストの最大しきい値の例を示します。

RP/0/RSP0/CPU0:router# show access-lists ethernet-services maximum

  Max configurable ACLs: 10000
  Max configurable ACEs: 350000

RP/0/RSP0/CPU0:router# show access-lists ethernet-services maximum detail

  Total ACLs configured: 2
  Total ACEs configured: 3
  Max configurable ACLs: 10000
  Max configurable ACEs: 350000

次に、イーサネット サービス アクセス リストのスタンバイの例を示します。

RP/0/RSP0/CPU0:router# show access-lists ethernet-services standby

ethernet-services access-list i
 10 permit host 0001.0002.0003 host 000a.000b.000c
ethernet-services access-list l2_acl
 10 permit any any
 20 deny host 0002.0003.0004 host 000.50004.0003

次の例には、システムに設定されているイーサネット サービス ACL の数の要約が示されています。

RP/0/RSP0/CPU0:router# show access-lists ethernet-services summary

ACL Summary:
  Total ACLs configured: 2
  Total ACEs configured: 3

次に、ACE ごとにアクセス リスト l2_acl と一致するパケット数を示します。

RP/0/RSP0/CPU0:router# show access-lists ethernet-services l2_ACL hardware ingress location 0/0/CPU0

ethernet service access-list l2_acl
  10 permit any any ( 3524 hw matches)
  20 deny host 0002.0003.0004 host 0005.0004.0003 (5394 hw matches)

次に、アクセス リスト l2_acl での暗黙的な拒否と一致するパケット数を示します。

RP/0/RSP0/CPU0:router# show access-lists ethernet-services l2_ACL hardware ingress implicit location 0/0/CPU0

ethernet-services access-list l1_acl
 2147483647 implicit deny any any (2300 hw matches)

次に、特定のシーケンス番号と一致するパケット数を示します。

RP/0/RSP0/CPU0:router# show access-lists ethernet-services l2_ACL hardware ingress sequence 20 location 0/0/CPU0

ethernet-services access-list l2_acl
 20 deny host 0002.0003.0004 host 0005.0004.0003 (5394 hw matches)

次に、イーサネット サービス アクセス リスト l2acl_4 の TCAM エントリの統計情報を示します。

RP/0/RSP0/CPU0:router# show access-lists ethernet-services l2acl_4 hardware ingress sequence 10 detail location 0/6/CPU0
Wed Jun 24 00:28:51.367 UTC

ACL name: l2acl_4
Format type : 1
Channel ID: 2
Sequence Number: 10
Grant: permit
Logging: OFF
Hits: 0
Statistics pointer: 0x150628
Number of TCAM entries: 1
idx = 0
Entry : 0 for ACE : 10
RAW value  : 40 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
RAW mask   : 00 03 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff

-------------------------------Field Details----------------------------------
outer_vlan_id value     : 0000
outer_vlan_id mask      : 0ffff
outer_vlan discard eligibility value: 00
outer_vlan discard eligibility mask : 01
outer_vlan_id cos value: 00
outer_vlan_id cos mask: 07
Ethernet type value     : 0000
Ethernet type mask      : ffff
Base app id value     : 02
Base app id value     : 00
Base acl id value    : 0001
Base acl id mask     : 0000
outer vlan id present value     : 0
outer vlan id present mask      : 1
inner vlan id present value     : 0
inner vlan id present mask      : 1
Mac source address value     : 0000 0000 0000
Mac source address mask      : ffff ffff ffff
Mac destination address value  : 0000 0000 0000
Mac destination address mask   : ffff ffff ffff
RP/0/RSP0/CPU0:router#

関連コマンド

コマンド

説明

copy access-list ethernet-service

既存のイーサネット サービス アクセス リストのコピーを作成します。  

deny(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

ethernet-service access-group

インターフェイスへのアクセスを制御します。  

ethernet-services access-list

イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。  

permit(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

resequence access-list ethernet-service

既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。  

show access-lists ethernet-services trace

イーサネット サービス アクセス リストのトレース情報を表示します。  

show access-list ethernet-service usage pfilter

特定の ACL が適用されるモードおよびインターフェイスを指定します。  

show access-lists ethernet-services trace

イーサネット サービス アクセス リストのトレース情報を表示するには、EXEC モードで show access-lists ethernet-services trace コマンドを使用します。

show access-lists ethernet-services trace { client | intermittent | critical | both | all }

構文の説明

client

ES ACL のクライアントのトレース データ。

intermittent

断続的な障害のトレース データ。

critical

重要なサーバ障害のトレース データ

both

重要なサーバ障害および断続的な障害のトレース データ。

all

重要なサーバ障害および断続的な障害のトレース データ。

コマンド モード

EXEC

コマンド履歴

リリース

変更箇所

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

タスク ID

タスク ID

操作

acl

read

次に、イーサネット サービス アクセス リストのトレース情報を表示する例を示します。

RP/0/RSP0/CPU0:router# show access-lists ethernet-services trace all
1 unique entries (256 possible, 0 filtered)
Jun 15 06:42:56.980 es/acl_mgr_un 0/RSP0/CPU0 1#t3 Manager state is active
3 wrapping entries (1024 possible, 0 filtered, 3 total)
Jun 15 06:42:57.053 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches
Jun 16 02:23:30.075 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches
Jun 16 02:29:41.383 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 2 batches

RP/0/RSP0/CPU0:router# show access-lists ethernet-services trace both
1 unique entries (256 possible, 0 filtered)
Jun 15 06:42:56.980 es/acl_mgr_un 0/RSP0/CPU0 1#t3 Manager state is active
3 wrapping entries (1024 possible, 0 filtered, 3 total)
Jun 15 06:42:57.053 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches
Jun 16 02:23:30.075 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches
Jun 16 02:29:41.383 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 2 batches

RP/0/RSP0/CPU0:router# show access-lists ethernet-services trace critical
1 unique entries (256 possible, 0 filtered)
Jun 15 06:42:56.980 es/acl_mgr_un 0/RSP0/CPU0 1#t3 Manager state is active

RP/0/RSP0/CPU0:router# show access-lists ethernet-services trace intermittent
3 wrapping entries (1024 possible, 0 filtered, 3 total)
Jun 15 06:42:57.053 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches
Jun 16 02:23:30.075 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 1 batches
Jun 16 02:29:41.383 es/acl_mgr/es_acl_mgr_wr 0/RSP0/CPU0t1 es_aclmgr_verify acl_add: verifying 2 batches

関連コマンド

コマンド

説明

copy access-list ethernet-service

既存のイーサネット サービス アクセス リストのコピーを作成します。  

deny(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

ethernet-service access-group

インターフェイスへのアクセスを制御します。  

ethernet-services access-list

イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。  

permit(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

resequence access-list ethernet-service

既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。  

show access-lists ethernet-services

現在のイーサネット サービス アクセス リストの内容を表示します。  

show access-list ethernet-service usage pfilter

特定の ACL が適用されるモードおよびインターフェイスを指定します。  

show access-list ethernet-service usage pfilter

特定の ACL が適用されるモードおよびインターフェイスを指定するには、EXEC モードで show access-list ethernet-service usage pfilter コマンドを使用します。 表示される情報には、すべての ACL または特定の ACL のアプリケーション、それらが適用されるインターフェイス、およびそれらが適用される方向が含まれています。

show access-list ethernet-services [access-list-name] usage pfilter location { location | all }

構文の説明

access-list-name

(任意)特定のイーサネット サービス アクセス リストの名前。 この名前にスペースや引用符を含めることはできませんが、数値を含めることはできます。

location

アクセス リスト情報が必要なインターフェイス カード。

location

完全修飾で指定された場所。

all

すべてのインターフェイス カードのパケット フィルタリングの使用方法を表示します。

コマンド モード

EXEC

コマンド履歴

リリース

変更箇所

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

タスク ID

タスク ID

操作

acl

read, write

次に、特定の場所でパケット フィルタの使用状況を表示する例を示します。

RP/0/RSP0/CPU0:router# show access-list ethernet-services usage pfilter location 0/0/cpu0
pfilter location 0/0/cpu0
Interface : GigabitEthernet0/0/0/9
    Input ACL : l2_acl
    Output ACL : N/A
Interface : GigabitEthernet0/0/0/30
    Input ACL : N/A
    Output ACL : i

次に、特定の ACL に関するコマンドの結果の例を示します。

RP/0/RSP0/CPU0:router# show access-list ethernet-services l2_acl usage pfilter location 0/0/CPU0
Interface : GigabitEthernet0/0/0/9
    Input ACL : l2_acl
    Output ACL : N/A

関連コマンド

コマンド

説明

copy access-list ethernet-service

既存のイーサネット サービス アクセス リストのコピーを作成します。  

deny(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

ethernet-service access-group

インターフェイスへのアクセスを制御します。  

ethernet-services access-list

イーサネット サービス(レイヤ 2)のアクセス リストを名前で定義します。  

permit(ES ACL)

イーサネット サービス アクセス リストの条件を設定します  

resequence access-list ethernet-service

既存のステートメントに番号を付け直して、後続の各ステートメントの番号を増加させることで、新しいイーサネット サービス アクセス リスト ステートメントを許可します。  

show access-lists ethernet-services

現在のイーサネット サービス アクセス リストの内容を表示します。  

show access-lists ethernet-services trace

イーサネット サービス アクセス リストのトレース情報を表示します。  

show lpts pifib hardware entry optimized

Ternary Content Addressable Memory(TCAM)の中に単一のエントリとして結合される一連の最適化されたエントリを表示するには、EXEC モードで show lpts pifib hardware entry optimized コマンドを使用します。

show lpts pifib hardware entry optimized location

構文の説明

location

必須。 インターフェイスがあるラインカードの場所。

コマンド デフォルト

なし

コマンド モード

EXEC

コマンド履歴

リリース 変更箇所
リリース 4.1.1

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

タスク ID

タスク ID 操作

lpts

read

次に、show lpts pifib hardware entry optimized コマンドの出力例を示します。

RP/0/RSP0/CPU0:router# show lpts pifib hardware entry optimized location 0/4/CPU0
Node: 0/4/CPU0:
----------------------------------------
Protocol - Layer4 Protocol; Intf - Interface in optimized list

Protocol   laddr.Port, raddr.Port    Intf            VRF id       State               
---------- ------------------------- --------------- ------------ --------------------
IGMP       224.0.0.22.any , any.any  Te0/4/0/0       *            Uidb Set            
                                     Te0/4/0/1       *            Uidb Set            

           224.0.0.22.any , any.any  Te0/4/0/0       *            Uidb Set            
                                     Te0/4/0/1       *            Uidb Set            

           any.any , any.any         Te0/4/0/0       *            Uidb Set            
                                     Te0/4/0/1       *            Uidb Set