この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ここでは、Cisco ASR 9000 シリーズ ルータでブロードバンド ネットワーク ゲートウェイ(BNG)の ACL および ABF コマンドの設定に使用される Cisco IOS XR ソフトウェア コマンドについて説明します。 関連の設定の詳細については、『Cisco IOS XR Broadband Network Gateway Configuration Guide』を参照してください。
インターフェイスへのアクセスを制御するには、適切なコンフィギュレーション モードで ipv4 access-group コマンドを使用します。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。
ipv4 access-group access-list-name { common acl-p { [ acl1 ingress [hardware-count] [interface-statistics] ] | ingress } | acl1 { ingress | egress } [hardware-count] [interface-statistics] }
no ipv4 access-group access-list-name { common acl-p { [ acl1 ingress [hardware-count] [interface-statistics] ] | ingress } | acl1 { ingress | egress } [hardware-count] [interface-statistics] }
access-list-name | ipv4 access-list コマンドで指定された IPv4 アクセス リストの名前。 |
common | 一般的な ACL の名前。 一般的な ACL は、入力方向だけでサポートされます。 |
ingress | 着信パケットに対してフィルタリングします。 |
egress | 発信パケットをフィルタリングします。 |
hardware-count | (任意)アクセス グループのハードウェア カウンタにアクセスするように指定します。 |
interface-statistics | (任意)ハードウェア内のインターフェイス単位の統計情報を指定します。 一般的な ACL では使用できません。 |
インターフェイスには、適用される IPv4 アクセス リストがありません。
インターフェイス コンフィギュレーション
動的なテンプレート コンフィギュレーション
リリース | 変更内容 |
---|---|
リリース 4.1.1 | このコマンドが追加されました。 |
リリース 4.2.0 |
このコマンドが、BNG の動的なテンプレート コンフィギュレーション モードでサポートされました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ipv4 access-group コマンドを使用すると、インターフェイスへのアクセスを制御することができます。 指定されたアクセス グループを削除するには、このコマンドの no 形式を使用します。 access-list-name 引数を使用すると、特定の IPv4 アクセス リストを指定することができます。 ingress キーワードを使用すると着信パケットをフィルタリングすることができ、また、egress キーワードを使用すると発信パケットをフィルタリングすることができます。 hardware-count 引数を使用すると、アクセス グループのハードウェア カウンタをイネーブルにすることができます。
許可されたパケットは、hardware-count 引数を使用してハードウェア カウンタがイネーブルにされた場合にだけカウントされます。 拒否されたパケットは、ハードウェア カウンタがイネーブルかどうかにかかわらずカウントされます。
動的なテンプレート コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで dynamic-template コマンドを実行します。
(注) |
動的なテンプレート コンフィギュレーション モードでは、egress および ingress キーワードのみが表示されます。 |
(注) |
ipv4/ipv6 access-group コマンドを使用したパケット フィルタリング アプリケーションの場合、パケット カウンタは各方向のハードウェア内に維持されます。 同じ方向の複数のインターフェイス上で 1 つのアクセス グループを使用すると、イネーブルにされた hardware-count 引数を持つ各インターフェイスに対してパケットがカウントされます。 |
アクセス リストがアドレスを許可する場合は、ソフトウェアはパケットの処理を継続します。 アクセス リストでアドレスが拒否されている場合、ソフトウェアはパケットを廃棄し、インターネット制御メッセージ プロトコル(ICMP)ホスト到達不能メッセージを返します。
指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。
デフォルトでは、一意のまたはインターフェイス単位の ACL 統計情報はディセーブルになっています。
タスク ID | 操作 |
---|---|
acl |
読み取り、書き込み |
network |
読み取り、書き込み |
config-services |
読み取り、書き込み |
次に、show access-lists コマンドの例を示します。
RP/0/RSP0/CPU0:router# show access-lists
ipv4 access-list acl-common
10 permit ipv4 host 205.205.205.1 host 200.175.175.1 log-input
15 deny ipv4 any host 200.175.175.1
20 permit ipv4 host 205.205.205.1 host 201.175.175.1 log-input
25 deny ipv4 any host 201.175.175.1
30 permit ipv4 host 205.205.205.1 host 202.175.175.1 log-input
35 deny ipv4 any host 202.175.175.1
ipv4 access-list acl-unique1
10 permit ipv4 host 205.205.205.1 host 203.175.175.1 log-input
15 deny ipv4 any host 203.175.175.1
20 permit ipv4 any any
ipv4 access-list ssm-acl
10 permit ipv4 232.0.0.0 0.255.255.255 any log
次に、設定された IPv4 ACL の例を示します。
RP/0/RSP0/CPU0:router(config-if)#ipv4 access-group common acl-common acl-unique1
ingress
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# dynamic-template type ppp p1 RP/0/RSP0/CPU0:router(config-dynamic-template-type)# ipv4 access-group a1 egress
コマンド |
説明 |
---|---|
IPv4 アクセス リストの許可条件を設定します。 |
IPv4 アクセス リストを名前で定義するには、グローバル コンフィギュレーション モードで ipv4 access-list コマンドを使用します。 IPv4 アクセス リスト中のすべてのエントリを削除するには、このコマンドの no 形式を使用します。
ipv4 access-list name
no ipv4 access-list name
name |
アクセス リストの名前。 名前にはスペースや疑問符を使用できません。 |
定義されている IPv4 アクセス リストはありません。
グローバル コンフィギュレーション
リリース |
変更箇所 |
---|---|
リリース 3.7.2 |
このコマンドが導入されました。 |
リリース 4.3.0 |
このコマンドが BNG でサポートされました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ipv4 access-list コマンドを使用すると、IPv4 アクセス リストを設定することができます。 このコマンドはルータをアクセス リスト コンフィギュレーション モードに設定します。このモードでは、拒否または許可されたアクセス条件は deny or permit コマンドを使用して定義される必要があります。
既存の IPv4 アクセス リスト中の連続したエントリ間に permit、deny、または remark ステートメントを追加する場合は、resequence access-list ipv4 コマンドを使用します。 最初のエントリ番号(base)とステートメントのエントリ番号を分けるための増分を指定します。 既存のステートメントの番号が再設定され、未使用のエントリ番号で新しいステートメントが追加できるようになります。
ipv4 access-group コマンドを使用すると、アクセス リストをインターフェイスに適用することができます。
タスク ID |
操作 |
---|---|
acl |
読み取り、書き込み |
次に、Internetfilter という名前の標準アクセス リストを定義する方法の例を示します。
RP/0/RSP0/CPU0:router(config)# ipv4 access-list Internetfilter RP/0/RSP0/CPU0:router(config-if)# 10 permit 192.168.34.0 0.0.0.255 RP/0/RSP0/CPU0:router(config-if)# 20 permit 172.16.0.0 0.0.255.255 RP/0/RSP0/CPU0:router(config-if)# 30 permit 10.0.0.0 0.255.255.255 RP/0/RSP0/CPU0:router(config-if)# 39 remark Block BGP traffic from 172.16 net. RP/0/RSP0/CPU0:router(config-if)# 40 deny tcp host 172.16.0.0 eq bgp host 192.168.202.203 range 1300 1400
コマンド |
説明 |
---|---|
IPv4 アクセス リスト一致カウンタをリセットします。 |
|
名前付き IPv4 アクセス リストの拒否条件を設定します。 |
|
インターフェイス上の着信または発信の IPv4 トラフィックをフィルタリングします。 |
|
名前付き IPv4 アクセス リストの許可条件を設定します。 |
|
IPv4 アクセス リスト エントリに関する有益な設定を挿入します。 |
|
既存の IPv4 アクセス リスト中の最初のステートメントの開始エントリ番号、および後続のステートメントの番号の増分を変更します。 |
|
現在の IPv4 アクセス リストすべての内容を表示します。 |