Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ ブロードバンド ネットワーク ゲートウェイ コマンド リファレンス リリース 4.3.x
ACL および ABF コマンド
ACL および ABF コマンド
発行日;2013/04/26   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

ACL および ABF コマンド

ここでは、Cisco ASR 9000 シリーズ ルータでブロードバンド ネットワーク ゲートウェイ(BNG)の ACL および ABF のコマンドの設定に使用される Cisco IOS XR ソフトウェアのコマンドについて説明します。 関連設定の詳細については、 『Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Configuration Guide』を参照してください。

ipv4 access-group

インターフェイスへのアクセスを制御するには、適切なコンフィギュレーション モードで ipv4 access-group コマンドを使用します。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。

ipv4 access-group access-list-name { common acl-p { [ acl1 ingress [hardware-count] [interface-statistics] ] | ingress } | acl1 { ingress | egress } [hardware-count] [interface-statistics] }

no ipv4 access-group access-list-name { common acl-p { [ acl1 ingress [hardware-count] [interface-statistics] ] | ingress } | acl1 { ingress | egress } [hardware-count] [interface-statistics] }

構文の説明

access-list-name

ipv4 access-list コマンドで指定された IPv4 アクセス リストの名前。

common

一般的な ACL の名前。 一般的な ACL は、入力方向だけでサポートされます。

ingress

着信パケットに対してフィルタリングします。

egress

発信パケットをフィルタリングします。

hardware-count

(任意)アクセス グループのハードウェア カウンタにアクセスするように指定します。

interface-statistics

(任意)ハードウェア内のインターフェイス単位の統計情報を指定します。 一般的な ACL では使用できません。

コマンド デフォルト

インターフェイスには、適用される IPv4 アクセス リストがありません。

コマンド モード

インターフェイス コンフィギュレーション

ダイナミック テンプレート コンフィギュレーション

コマンド履歴

リリース 変更内容

リリース 4.1.1

このコマンドが追加されました。

リリース 4.2.0

このコマンドが、BNG のダイナミック テンプレート コンフィギュレーション モードでサポートされました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ipv4 access-group コマンドを使用すると、インターフェイスへのアクセスを制御することができます。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。 access-list-name 引数を使用すると、特定の IPv4 アクセス リストを指定することができます。 ingress キーワードを使用すると着信パケットをフィルタリングすることができ、また、egress キーワードを使用すると発信パケットをフィルタリングすることができます。 hardware-count 引数を使用すると、アクセス グループのハードウェア カウンタをイネーブルにすることができます。

許可されたパケットは、hardware-count 引数を使用してハードウェア カウンタがイネーブルにされた場合にだけカウントされます。 拒否されたパケットは、ハードウェア カウンタがイネーブルかどうかにかかわらずカウントされます。

ダイナミック テンプレート コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで dynamic-template コマンドを実行します。


(注)  


ダイナミック テンプレート コンフィギュレーション モードでは、egress および ingress キーワードのみが表示されます。



(注)  


ipv4/ipv6 access-group コマンドを使用したパケット フィルタリング アプリケーションの場合、パケット カウンタは各方向のハードウェア内に維持されます。 同じ方向の複数のインターフェイス上で 1 つのアクセス グループを使用すると、イネーブルにされた hardware-count 引数を持つ各インターフェイスに対してパケットがカウントされます。

アクセス リストがアドレスを許可する場合は、ソフトウェアはパケットの処理を継続します。 アクセス リストでアドレスが拒否されている場合、ソフトウェアはパケットを廃棄し、インターネット制御メッセージ プロトコル(ICMP)ホスト到達不能メッセージを返します。

指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。

デフォルトでは、一意のまたはインターフェイス単位の ACL 統計情報はディセーブルになっています。

タスク ID

タスク ID 操作

acl

read, write

network

read, write

config-services

read, write

次に、show access-lists コマンドの例を示します。


RP/0/RSP0/CPU0:router# show access-lists

ipv4 access-list acl-common

 10 permit ipv4 host 205.205.205.1 host 200.175.175.1 log-input

 15 deny ipv4 any host 200.175.175.1

 20 permit ipv4 host 205.205.205.1 host 201.175.175.1 log-input

 25 deny ipv4 any host 201.175.175.1

 30 permit ipv4 host 205.205.205.1 host 202.175.175.1 log-input

 35 deny ipv4 any host 202.175.175.1

ipv4 access-list acl-unique1

 10 permit ipv4 host 205.205.205.1 host 203.175.175.1 log-input

 15 deny ipv4 any host 203.175.175.1

 20 permit ipv4 any any

ipv4 access-list ssm-acl

 10 permit ipv4 232.0.0.0 0.255.255.255 any log

これは、IPv4 ACL をインターフェイス コンフィギュレーション モードで設定する例です。

RP/0/RSP0/CPU0:router(config-if)#ipv4 access-group common acl-common acl-unique1 ingress
これは、IPv4 ACL をダイナミック テンプレート コンフィギュレーション モードで設定する例です。
RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# dynamic-template type ppp p1
RP/0/RSP0/CPU0:router(config-dynamic-template-type)# ipv4 access-group a1 egress

ipv4 access-list

IPv4 アクセス リストを名前で定義するには、グローバル コンフィギュレーション モードで ipv4 access-list コマンドを使用します。 IPv4 アクセス リスト中のすべてのエントリを削除するには、このコマンドの no 形式を使用します。

ipv4 access-list name

no ipv4 access-list name

構文の説明

name

アクセス リストの名前。 名前にはスペースや疑問符を使用できません。

コマンド デフォルト

定義されている IPv4 アクセス リストはありません。

コマンド モード

グローバル コンフィギュレーション モード

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

リリース 4.3.0

このコマンドが BNG でサポートされました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ipv4 access-list コマンドを使用すると、IPv4 アクセス リストを設定することができます。 このコマンドはルータをアクセス リスト コンフィギュレーション モードに設定します。このモードでは、拒否または許可されたアクセス条件は deny or permit コマンドを使用して定義される必要があります。

既存の IPv4 アクセス リスト中の連続したエントリ間に permit、deny、または remark ステートメントを追加する場合は、resequence access-list ipv4 コマンドを使用します。 最初のエントリ番号(base)とステートメントのエントリ番号を分けるための増分を指定します。 既存のステートメントの番号が再設定され、未使用のエントリ番号で新しいステートメントが追加できるようになります。

ipv4 access-group コマンドを使用すると、アクセス リストをインターフェイスに適用することができます。

タスク ID

タスク ID

操作

acl

read, write

次に、Internetfilter という名前の標準アクセス リストを定義する方法の例を示します。


RP/0/RSP0/CPU0:router(config)# ipv4 access-list Internetfilter
RP/0/RSP0/CPU0:router(config-if)# 10 permit 192.168.34.0 0.0.0.255
RP/0/RSP0/CPU0:router(config-if)# 20 permit 172.16.0.0 0.0.255.255
RP/0/RSP0/CPU0:router(config-if)# 30 permit 10.0.0.0 0.255.255.255
RP/0/RSP0/CPU0:router(config-if)# 39 remark Block BGP traffic from 172.16 net.
RP/0/RSP0/CPU0:router(config-if)# 40 deny tcp host 172.16.0.0 eq bgp host 192.168.202.203 range 1300 1400

ipv6 access-group

インターフェイスへのアクセスを制御するには、インターフェイス コンフィギュレーション モードで ipv6 access-group コマンドを使用します。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。

ipv6 access-groupaccess-list-name { ingress | egress } [interface-statistics]

no ipv6 access-group access-list-name { ingress | egress } [interface-statistics]

構文の説明

access-list-name

ipv6 access-list コマンドで指定されたとおりの IPv6 アクセス リストの名前。

ingress

着信パケットに対してフィルタリングします。

egress

発信パケットをフィルタリングします。

interface-statistics

(任意)ハードウェア内のインターフェイス単位の統計情報を指定します。

コマンド デフォルト

インターフェイスには、適用される IPv6 アクセス リストがありません。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

リリース 4.3.0

L2 トランスポート インターフェイスでの IPv6 ACL のサポートが追加されました。

リリース 4.3.1

common キーワードが追加されました。

リリース 4.3.1

compress level キーワードが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ipv6 access-group コマンドは、IPv6 に固有のものを除き、ipv4 access-group コマンドと類似しています。

ipv6 access-group コマンドを使用すると、インターフェイスへのアクセスを制御することができます。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。 access-list-name を使用すると、特定の IPv6 アクセス リストを指定することができます。 ingress キーワードを使用すると着信パケットをフィルタリングすることができ、また、egress キーワードを使用すると発信パケットをフィルタリングすることができます。


(注)  


ipv6 access-group コマンドを使用したパケット フィルタリング アプリケーションの場合、パケット カウンタは各方向のハードウェア内に維持されます。 同じ方向の複数のインターフェイス上で 1 つのアクセス グループが使用される場合、各インターフェイスでパケットがカウントされます。


アクセス リストがアドレスを許可する場合は、ソフトウェアはパケットの処理を継続します。 アクセス リストがアドレスを拒否する場合は、ソフトウェアはパケットをドロップして、レートが制限されたインターネット制御メッセージ プロトコル(ICMP)ホスト到達不能メッセージを戻します。

指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。

デフォルトでは、一意のまたはインターフェイス単位の ACL 統計情報はディセーブルになっています。

タスク ID

タスク ID

操作

acl

read, write

ipv6

read, write

次に、GigabitEthernet インターフェイス 0/2/0/2 との間の着信または発信パケットへのフィルタリングの適用方法の例を示します。

RP/0/RSP0/CPU0:router(config)# interface gigabitethernet 0/2/0/2
RP/0/RSP0/CPU0:router(config-if)# ipv6 access-group p-in-filter ingress
RP/0/RSP0/CPU0:router(config-if)# ipv6 access-group p-out-filter egress

次に、ハードウェア内のインターフェイス統計情報の適用方法の例を示します。

RP/0/RSP0/CPU0:router(config)# interface gigabitethernet 0/2/0/2
RP/0/RSP0/CPU0:router(config-if)# ipv6 access-group p-in-filter ingress interface-statistics

ipv6 access-list

IPv6 アクセス リストを定義してルータを IPv6 アクセス リスト コンフィギュレーション モードに設定するには、グローバル コンフィギュレーション モードで ipv6 access-list コマンドを使用します。 アクセス リストを削除するには、このコマンドの no 形式を使用します。

ipv6 access-list name

no ipv6 access-list name

構文の説明

name

IPv6 アクセス リスト名。 名前は、スペース、疑問符を含むことができず、また、数字で始めることはできません。

コマンド デフォルト

定義されている IPv6 アクセス リストはありません。

コマンド モード

グローバル コンフィギュレーション モード

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

リリース 4.3.0

L2 トランスポート インターフェイスでの IPv6 ACL のサポートが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ipv6 access-list コマンドは、IPv6 に固有のものを除き、ipv4 access-list コマンドと類似しています。

IPv6 アクセス リストは、送信元と宛先アドレス、IPv6 オプション ヘッダー、およびより細かな精度の制御のための上位層プロトコル タイプの情報に基づくトラフィック フィルタリングに使用されます。 IPv6 アクセス リストは ipv6 access-list コマンドをグローバル コンフィギュレーション モードで使用することにより定義され、その許可と拒否の条件は deny および permit コマンドを IPv6 アクセス リスト コンフィギュレーション モードで使用することにより設定されます。 ipv6 access-list コマンドを設定すると、ルータを IPv6 アクセス リスト コンフィギュレーション モードに設定し、プロンプト router は router (config-ipv6-acl)# に変わります。 IPv6 アクセス リスト コンフィギュレーション モードから、定義済みの IPv6 アクセス リストに許可および拒否の条件を設定できます。

変換済み IPv6 アクセス コントロール リスト(ACL)コンフィギュレーションの例については、「例」を参照してください。


(注)  


方向単位に 1 つのインターフェイスに適用できる IPv6 アクセス リストは 1 つだけです。



(注)  


どの IPv6 アクセス リストにも最後の一致条件として暗黙の deny ipv6 any any ステートメントがあります。 1 つの IPv6 アクセス リストには、暗黙の deny ipv6 any any ステートメントを有効にするために少なくとも 1 つのエントリが含まれる必要があります。



(注)  


アクセス リストでなく、IPv6 プレフィックス リストは、ルーティング プロトコル プレフィックスのフィルタリングに使用する必要があります。


access-list-name 引数を持つ ipv6 access-group インターフェイス コンフィギュレーション コマンドを使用すると、IPv6 アクセス リストを IPv6 インターフェイスに適用することができます。


(注)  


ipv6 access-group コマンドを持つインターフェイスに適用される IPv6 アクセス リストは、ルータが発信でなく転送するトラフィックをフィルタリングします。



(注)  


すべての IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-napermit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります (最初の 2 つの一致条件によって、ICMPv6 ネイバー探索が可能になります)。暗黙の deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に少なくとも 1 つのエントリが含まれている必要があります。permit icmp any any nd-na permit icmp any any nd-ns deny ipv6 any any deny ipv6 any any


IPv6 ネイバー探索プロセスでは、IPv6 ネットワーク層サービスを利用するため、デフォルトで、インターフェイス上での IPv6 ネイバー探索パケットの送受信が IPv6 ACL によって暗黙的に許可されます。 IPv4 の場合、IPv6 ネイバー探索プロセスに相当するアドレス解決プロトコル(ARP)では、個別のデータ リンク層プロトコルを利用するため、デフォルトで、インターフェイス上での ARP パケットの送受信が IPv4 ACL によって暗黙的に許可されます。

タスク ID

タスク ID

操作

acl

read, write

ipv6

read, write

次の例では、list2 という名前の IPv6 アクセス リストを設定し、この ACL をインターフェイス GigabitEthernet 0/2/0/2 上の発信トラフィックに適用する方法を示します。 具体的には、1 番目の ACL エントリにより、ネットワーク fec0:0:0:2::/64(発信元 IPv6 アドレスの 1 番目の 64 ビットのようなサイトローカル プレフィックス fec0:0:0:2)からのすべてのパケットがインターフェイス GigabitEthernet 0/2/0/2 から出て行くのが防止されます。 ACL の 2 番目のエントリは、その他のすべてのトラフィックがインターフェイス GigabitEthernet 0/2/0/2 から出て行くことを許可します。 2 番目のエントリは、各 IPv6 ACL の末尾に暗黙的な deny all 条件があるため、必要となります。

RP/0/RSP0/CPU0:router(config)# ipv6 access-list list2
RP/0/RSP0/CPU0:router(config-ipv6-acl)# 10 deny fec0:0:0:2::/64 any
RP/0/RSP0/CPU0:router(config-ipv6-acl)# 20 permit any any

RP/0/RSP0/CPU0:router# show ipv6 access-lists list2

ipv6 access-list list2
  10 deny ipv6 fec0:0:0:2::/64 any
  20 permit ipv6 any any

RP/0/RSP0/CPU0:router(config)# interface gigabitethernet 0/2/0/2
RP/0/RSP0/CPU0:router(config-if)# ipv6 access-group list2 egress

(注)  


IPv6 は、グローバル コンフィギュレーション モードから IPv6 アクセス リスト コンフィギュレーション モードに変換される permit any any ステートメントおよび deny any any ステートメントでプロトコル タイプとして自動的に設定されます。



(注)  


IPv6 ルータは、送信元または宛先アドレスのいずれかとしてリンクローカル アドレスを持つ別のネットワークの IPv6 パケットに転送されません(パケットの送信元インターフェイスは、パケットの宛先インターフェイスとは異なります)。