- はじめに
- コマンドライン インターフェイスの使用
-
- セキュリティ機能の概要
- 不正アクセスの防止
- パスワードおよび権限レベルによるスイッチ アクセスの制御
- TACACS+ の設定
- RADIUS の設定
- Kerberos の設定
- ローカル認証および許可の設定
- セキュア シェル(SSH)の設定
- Secure Socket Layer HTTP の設定
- IPv4 ACL の設定
- IPv6 ACL の設定
- DHCP の設定
- IP ソース ガードの設定
- ダイナミック ARP インスペクションの設定
- IEEE 802.1x ポートベースの認証の設定
- Web ベース認証の設定
- ポート単位のトラフィック制御の設定
- IPv6 ファースト ホップ セキュリティの設定
- FIPS の設定
- 重要な通知
統合プラットフォーム コンフィギュレーション ガイド、Cisco IOS Release 15.2(3) E(Catalyst 3560-CX および 2960 CX スイッチ)
Bias-Free Language
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。 あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: IPv6 ACL の設定
目次
- IPv6 ACL の設定
- 機能情報の確認
- IPv6 ACL の概要
- 他の機能およびスイッチとの相互作用
- IPv6 ACL の制限
- IPv6 ACL のデフォルト設定
- IPv6 ACL の設定
- インターフェイスへの IPv6 ACL の付加
- IPv6 ACL のモニタリング
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
IPv6 ACL の概要
IP Version 6(IPv6)アクセス コントロール リスト(ACL)を作成し、それをインターフェイスに適用することによって、IPv6 トラフィックをフィルタリングできます。これは、IP Version 4(IPv4)の名前付き ACL を作成し、適用する方法と同じです。 また、スイッチで IP ベースおよび LAN ベース フィーチャ セットが稼働している場合、入力ルータ ACL を作成し、それを適用してレイヤ 3 管理トラフィックをフィルタリングすることもできます。
スイッチは、次の 2 種類の IPv6 ACL をサポートします。
-
IPv6 ルータ ACL は、ルーテッド ポート、スイッチ仮想インターフェイス(SVI)、またはレイヤ 3 EtherChannel に設定できるレイヤ 3 インターフェイスのアウトバウンド トラフィックまたはインバウンド トラフィックでサポートされます。 IPv6 ルータ ACL は、ルーティングされる IPv6 パケットに対してだけ適用されます。
-
IPv6 ポート ACL は、インバウンドおよびアウトバウンドのレイヤ 2 インターフェイスでトラフィックでサポートされます。 IPv6 ポート ACL は、インターフェイスに着信するすべての IPv6 パケットに対して適用されます。
スイッチは、IPv6 トラフィックの Virtual LAN(VLAN)ACL(VLAN マップ)をサポートしません。
1 つのインターフェイスに、IPv4 ACL および IPv6 ACL の両方を適用できます。 IPv4 ACL の場合と同様に、IPv6 ポート ACL はルータ ACL よりも優先されます。
他の機能およびスイッチとの相互作用
-
IPv6 ルータ ACL がパケットを拒否するよう設定されている場合、パケットはルーティングされません。 パケットのコピーがインターネット制御メッセージ プロトコル(ICMP)キューに送信され、フレームに ICMP 到達不能メッセージが生成されます。
-
ブリッジド フレームがポート ACL によってドロップされる場合、このフレームはブリッジングされません。
-
IPv4 ACL および IPv6 ACL の両方を 1 つのスイッチまたはスイッチ スタックに作成したり、同一インターフェイスに適用できます。 各 ACL には一意の名前が必要です。設定済みの名前を使用しようとすると、エラー メッセージが表示されます。
IPv4 ACL と IPv6 ACL の作成、および同一のレイヤ 2 インターフェイスまたはレイヤ 3 インターフェイスへの IPv4 ACL または IPv6 ACL の適用には、異なるコマンドを使用します。 ACL を付加するのに誤ったコマンドを使用すると(例えば、IPv6 ACL の付加に IPv4 コマンドを使用するなど)、エラー メッセージが表示されます。
-
MAC ACL を使用して、IPv6 フレームをフィルタリングできません。 MAC ACL は非 IP フレームだけをフィルタリングできます。
-
ハードウェア メモリに空きがない場合、パケットはインターフェイスでドロップされ、アンロードのエラー メッセージが記録されます。
IPv6 ACL の制限
IPv4 では、番号制の標準 IP ACL および拡張 IP ACL、名前付き IP ACL、および MAC ACL を設定できます。 IPv6 がサポートするのは名前付き ACL だけです。
スイッチは Cisco IOS がサポートする IPv6 ACL の大部分をサポートしますが、一部例外もあります。
-
スイッチは、flowlabel、routing header、および undetermined-transport というキーワードの照合をサポートしません。
-
スイッチは再起 ACL(reflect キーワード)をサポートしません。
-
このリリースが IPv6 用にサポートしているのは、ポート ACL およびルータ ACL だけです。VLAN ACL(VLAN マップ)はサポートしていません。
- IPv6 の出力ルータ ACL および入力ポート ACL は、スイッチ スタックでだけサポートされています。 スイッチは、コントロール プレーン(着信)IPv6 ACL だけをサポートします。
-
スイッチは IPv6 フレームに MAC ベース ACL を適用しません。
-
レイヤ 2 EtherChannel に IPv6 ポート ACL を適用できません。
-
ACL を設定する場合、ACL に入力されるキーワードには、それがプラットフォームでサポートされるかどうかにかかわらず、制限事項はありません。 ハードウェア転送が必要なインターフェイス(物理ポートまたは SVI)に ACL を適用する場合、スイッチはインターフェイスで ACL がサポートされるかどうか判別します。 サポートされない場合、ACL の付加は拒否されます。
-
インターフェイスに適用される ACL に、サポートされないキーワードを持つアクセス コントロール エントリ(ACE)を追加しようとする場合、スイッチは現在インターフェイスに適用されている ACL に ACE が追加されるのを許可しません。
スイッチの IPv6 ACL には、次の特性があります。
-
分割フレーム(IPv4 では fragments キーワード)がサポートされます。
-
IPv6 ACL では、IPv4 と同じ統計情報がサポートされます。
-
スイッチのハードウェア スペースがなくなった場合、ACL に関連付けられたパケットはインターフェイスでドロップされます。
- ホップバイホップ オプションがあるルーテッド パケットまたはブリッジド パケットには、ソフトウェアで適用される IPv6 ACL が設定されます。
-
ロギングは、ルータ ACL ではサポートされますが、ポート ACL ではサポートされません。
-
スイッチは、プレフィックス長の最大範囲の IPv6 アドレス一致をサポートしません。
IPv6 ACL のデフォルト設定
デフォルトの IPv6 ACL 設定は次のとおりです。
Switch# show access-lists preauth_ipv6_acl IPv6 access list preauth_ipv6_acl (per-user) permit udp any any eq domain sequence 10 permit tcp any any eq domain sequence 20 permit icmp any any nd-ns sequence 30 permit icmp any any nd-na sequence 40 permit icmp any any router-solicitation sequence 50 permit icmp any any router-advertisement sequence 60 permit icmp any any redirect sequence 70 permit udp any eq 547 any eq 546 sequence 80 permit udp any eq 546 any eq 547 sequence 90 deny ipv6 any any sequence 100
IPv6 ACL の設定
IPv6 トラフィックをフィルタリングする場合は、次の手順を実行します
1. enable
3. {ipv6 access-listlist-name
4. {deny | permit} protocol {source-ipv6-prefix/|prefix-length|any| hostsource-ipv6-address} [ operator [ port-number ]] { destination-ipv6-prefix/ prefix-length | any | hostdestination-ipv6-address} [operator [port-number]][dscpvalue] [fragments] [log] [log-input] [routing][sequencevalue] [time-rangename]
5. {deny | permit} tcp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6- prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [ack] [dscpvalue] [established] [fin] [log] [log-input] [neq {port | protocol}] [psh] [range {port | protocol}] [rst] [routing] [sequencevalue] [syn] [time-rangename] [urg]
6. {deny | permit} udp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [dscpvalue] [log] [log-input] [neq {port | protocol}] [range {port | protocol}] [routing][sequencevalue] [time-rangename]]
7. {deny | permit} icmp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [icmp-type [icmp-code] | icmp-message] [dscpvalue] [log] [log-input] [routing][sequencevalue] [time-rangename]
8. end
9. show ipv6 access-list
11. copy running-config startup-config
手順の詳細
インターフェイスに IPv6 ACL をアタッチします。
インターフェイスへの IPv6 ACL の付加
レイヤ 3 インターフェイスで発信または着信トラフィックに、あるいはレイヤ 2 インターフェイスで着信トラフィックに ACL を適用できます。 レイヤ 3 インターフェイスで着信トラフィックにだけ ACL を適用できます。
インターフェイスへのアクセスを制御するには、次の手順を実行します。
1. enable
3. interfaceinterface-id
4. no switchport
5. ipv6 addressipv6-address
6. ipv6traffic-filteraccess-list-name {in | out}
9. copy running-config startup-config
手順の詳細
IPv6 ACL のモニタリング
次の表に示された 1 つまたは複数の特権 EXEC コマンドを使用して、設定済みのすべてのアクセス リスト、すべての IPv6 アクセス リスト、または特定のアクセス リストに関する情報を表示できます。
| コマンド | 目的 |
|---|---|
| show access-lists | スイッチに設定されたすべてのアクセス リストを表示します。 |
| show ipv6 access-list [access-list-name] | 設定済みのすべての IPv6 アクセス リストまたは名前で指定されたアクセス リストを表示します。 |
次に、show access-lists 特権 EXEC コマンドの出力例を示します。 出力には、スイッチまたはスイッチ スタックに設定済みのすべてのアクセス リストが表示されます。
Switch # show access-lists
Extended IP access list hello
10 permit ip any any
IPv6 access list ipv6
permit ipv6 any any sequence 10
次に、show ipv6 access-lists 特権 EXEC コマンドの出力例を示します。 出力には、スイッチまたはスイッチ スタックに設定済みの IPv6 アクセス リストだけが表示されます。
Switch# show ipv6 access-list
IPv6 access list inbound
permit tcp any any eq bgp (8 matches) sequence 10
permit tcp any any eq telnet (15 matches) sequence 20
permit udp any any sequence 30
IPv6 access list outbound
deny udp any any sequence 10
deny tcp any any eq telnet sequence 20
目次
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
IPv6 ACL の概要
IP Version 6(IPv6)アクセス コントロール リスト(ACL)を作成し、それをインターフェイスに適用することによって、IPv6 トラフィックをフィルタリングできます。これは、IP Version 4(IPv4)の名前付き ACL を作成し、適用する方法と同じです。 また、スイッチで IP ベースおよび LAN ベース フィーチャ セットが稼働している場合、入力ルータ ACL を作成し、それを適用してレイヤ 3 管理トラフィックをフィルタリングすることもできます。
スイッチは、次の 2 種類の IPv6 ACL をサポートします。
-
IPv6 ルータ ACL は、ルーテッド ポート、スイッチ仮想インターフェイス(SVI)、またはレイヤ 3 EtherChannel に設定できるレイヤ 3 インターフェイスのアウトバウンド トラフィックまたはインバウンド トラフィックでサポートされます。 IPv6 ルータ ACL は、ルーティングされる IPv6 パケットに対してだけ適用されます。
-
IPv6 ポート ACL は、インバウンドおよびアウトバウンドのレイヤ 2 インターフェイスでトラフィックでサポートされます。 IPv6 ポート ACL は、インターフェイスに着信するすべての IPv6 パケットに対して適用されます。
スイッチは、IPv6 トラフィックの Virtual LAN(VLAN)ACL(VLAN マップ)をサポートしません。
1 つのインターフェイスに、IPv4 ACL および IPv6 ACL の両方を適用できます。 IPv4 ACL の場合と同様に、IPv6 ポート ACL はルータ ACL よりも優先されます。
他の機能およびスイッチとの相互作用
-
IPv6 ルータ ACL がパケットを拒否するよう設定されている場合、パケットはルーティングされません。 パケットのコピーがインターネット制御メッセージ プロトコル(ICMP)キューに送信され、フレームに ICMP 到達不能メッセージが生成されます。
-
ブリッジド フレームがポート ACL によってドロップされる場合、このフレームはブリッジングされません。
-
IPv4 ACL および IPv6 ACL の両方を 1 つのスイッチまたはスイッチ スタックに作成したり、同一インターフェイスに適用できます。 各 ACL には一意の名前が必要です。設定済みの名前を使用しようとすると、エラー メッセージが表示されます。
IPv4 ACL と IPv6 ACL の作成、および同一のレイヤ 2 インターフェイスまたはレイヤ 3 インターフェイスへの IPv4 ACL または IPv6 ACL の適用には、異なるコマンドを使用します。 ACL を付加するのに誤ったコマンドを使用すると(例えば、IPv6 ACL の付加に IPv4 コマンドを使用するなど)、エラー メッセージが表示されます。
-
MAC ACL を使用して、IPv6 フレームをフィルタリングできません。 MAC ACL は非 IP フレームだけをフィルタリングできます。
-
ハードウェア メモリに空きがない場合、パケットはインターフェイスでドロップされ、アンロードのエラー メッセージが記録されます。
IPv6 ACL の制限
IPv4 では、番号制の標準 IP ACL および拡張 IP ACL、名前付き IP ACL、および MAC ACL を設定できます。 IPv6 がサポートするのは名前付き ACL だけです。
スイッチは Cisco IOS がサポートする IPv6 ACL の大部分をサポートしますが、一部例外もあります。
-
スイッチは、flowlabel、routing header、および undetermined-transport というキーワードの照合をサポートしません。
-
スイッチは再起 ACL(reflect キーワード)をサポートしません。
-
このリリースが IPv6 用にサポートしているのは、ポート ACL およびルータ ACL だけです。VLAN ACL(VLAN マップ)はサポートしていません。
- IPv6 の出力ルータ ACL および入力ポート ACL は、スイッチ スタックでだけサポートされています。 スイッチは、コントロール プレーン(着信)IPv6 ACL だけをサポートします。
-
スイッチは IPv6 フレームに MAC ベース ACL を適用しません。
-
レイヤ 2 EtherChannel に IPv6 ポート ACL を適用できません。
-
ACL を設定する場合、ACL に入力されるキーワードには、それがプラットフォームでサポートされるかどうかにかかわらず、制限事項はありません。 ハードウェア転送が必要なインターフェイス(物理ポートまたは SVI)に ACL を適用する場合、スイッチはインターフェイスで ACL がサポートされるかどうか判別します。 サポートされない場合、ACL の付加は拒否されます。
-
インターフェイスに適用される ACL に、サポートされないキーワードを持つアクセス コントロール エントリ(ACE)を追加しようとする場合、スイッチは現在インターフェイスに適用されている ACL に ACE が追加されるのを許可しません。
スイッチの IPv6 ACL には、次の特性があります。
-
分割フレーム(IPv4 では fragments キーワード)がサポートされます。
-
IPv6 ACL では、IPv4 と同じ統計情報がサポートされます。
-
スイッチのハードウェア スペースがなくなった場合、ACL に関連付けられたパケットはインターフェイスでドロップされます。
- ホップバイホップ オプションがあるルーテッド パケットまたはブリッジド パケットには、ソフトウェアで適用される IPv6 ACL が設定されます。
-
ロギングは、ルータ ACL ではサポートされますが、ポート ACL ではサポートされません。
-
スイッチは、プレフィックス長の最大範囲の IPv6 アドレス一致をサポートしません。
IPv6 ACL のデフォルト設定
デフォルトの IPv6 ACL 設定は次のとおりです。
Switch# show access-lists preauth_ipv6_acl IPv6 access list preauth_ipv6_acl (per-user) permit udp any any eq domain sequence 10 permit tcp any any eq domain sequence 20 permit icmp any any nd-ns sequence 30 permit icmp any any nd-na sequence 40 permit icmp any any router-solicitation sequence 50 permit icmp any any router-advertisement sequence 60 permit icmp any any redirect sequence 70 permit udp any eq 547 any eq 546 sequence 80 permit udp any eq 546 any eq 547 sequence 90 deny ipv6 any any sequence 100
IPv6 ACL の設定
手順の概要
手順の詳細
次の作業
1. enable
3. {ipv6 access-listlist-name
4. {deny | permit} protocol {source-ipv6-prefix/|prefix-length|any| hostsource-ipv6-address} [ operator [ port-number ]] { destination-ipv6-prefix/ prefix-length | any | hostdestination-ipv6-address} [operator [port-number]][dscpvalue] [fragments] [log] [log-input] [routing][sequencevalue] [time-rangename]
5. {deny | permit} tcp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6- prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [ack] [dscpvalue] [established] [fin] [log] [log-input] [neq {port | protocol}] [psh] [range {port | protocol}] [rst] [routing] [sequencevalue] [syn] [time-rangename] [urg]
6. {deny | permit} udp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [dscpvalue] [log] [log-input] [neq {port | protocol}] [range {port | protocol}] [routing][sequencevalue] [time-rangename]]
7. {deny | permit} icmp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [icmp-type [icmp-code] | icmp-message] [dscpvalue] [log] [log-input] [routing][sequencevalue] [time-rangename]
8. end
9. show ipv6 access-list
11. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|
| ステップ 3 | {ipv6 access-listlist-name 例: Switch(config)# ipv6 access-list example_acl_list |
IPv6 ACL 名を定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。 |
| ステップ 4 | {deny | permit} protocol {source-ipv6-prefix/|prefix-length|any| hostsource-ipv6-address} [ operator [ port-number ]] { destination-ipv6-prefix/ prefix-length | any | hostdestination-ipv6-address} [operator [port-number]][dscpvalue] [fragments] [log] [log-input] [routing][sequencevalue] [time-rangename] |
条件が一致した場合にパケットを拒否する場合は deny、許可する場合は permit を指定します。 次に、条件について説明します。
|
| ステップ 5 | {deny | permit} tcp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6- prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [ack] [dscpvalue] [established] [fin] [log] [log-input] [neq {port | protocol}] [psh] [range {port | protocol}] [rst] [routing] [sequencevalue] [syn] [time-rangename] [urg] |
(任意)TCP アクセス リストおよびアクセス条件を定義します。 TCP の場合は tcp を入力します。 パラメータはステップ 3a で説明されているパラメータと同じですが、次に示すオプションのパラメータが追加されています。 |
| ステップ 6 | {deny | permit} udp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [dscpvalue] [log] [log-input] [neq {port | protocol}] [range {port | protocol}] [routing][sequencevalue] [time-rangename]] |
(任意)UDP アクセス リストおよびアクセス条件を定義します。 ユーザ データグラム プロトコルの場合は、udp を入力します。 UDP パラメータは TCP に関して説明されているパラメータと同じです。ただし、[operator [port]] のポート番号またはポート名は、UDP ポートの番号または名前でなければなりません。UDP の場合、established パラメータは無効です。 |
| ステップ 7 | {deny | permit} icmp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [icmp-type [icmp-code] | icmp-message] [dscpvalue] [log] [log-input] [routing][sequencevalue] [time-rangename] |
(任意)ICMP アクセス リストおよびアクセス条件を定義します。 インターネット制御メッセージ プロトコルの場合は、icmp を入力します。 ICMP パラメータはステップ 1 の IP プロトコルの説明にあるパラメータとほとんど同じですが、ICMP メッセージ タイプおよびコード パラメータが追加されています。 オプションのキーワードの意味は次のとおりです。
|
| ステップ 8 | end |
特権 EXEC モードに戻ります。 |
| ステップ 9 | show ipv6 access-list |
アクセス リストの設定を確認します。 |
| ステップ 10 |
show running-config 例: Switch# show running-config |
|
| ステップ 11 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
インターフェイスに IPv6 ACL をアタッチします。
インターフェイスへの IPv6 ACL の付加
レイヤ 3 インターフェイスで発信または着信トラフィックに、あるいはレイヤ 2 インターフェイスで着信トラフィックに ACL を適用できます。 レイヤ 3 インターフェイスで着信トラフィックにだけ ACL を適用できます。
インターフェイスへのアクセスを制御するには、次の手順を実行します。
1. enable
3. interfaceinterface-id
4. no switchport
5. ipv6 addressipv6-address
6. ipv6traffic-filteraccess-list-name {in | out}
9. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
||
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|||
| ステップ 3 | interfaceinterface-id |
アクセス リストを適用するレイヤ 2 インターフェイス(ポート ACL 用)またはレイヤ 3 インターフェイス(ルータ ACL 用)を特定して、インターフェイス コンフィギュレーション モードを開始します。 |
||
| ステップ 4 | no switchport |
ルータ ACL を適用する場合は、これによってインターフェイスがレイヤ 2 モード(デフォルト)からレイヤ 3 モードに変化します。 |
||
| ステップ 5 | ipv6 addressipv6-address |
レイヤ 3 インターフェイス(ルータ ACL 用)で IPv6 アドレスを設定します。 |
||
| ステップ 6 | ipv6traffic-filteraccess-list-name {in | out} |
インターフェイスの着信トラフィックまたは発信トラフィックにアクセス リストを適用します。
|
||
| ステップ 7 |
end 例: Switch(config)# end |
|||
| ステップ 8 |
show running-config 例: Switch# show running-config |
|||
| ステップ 9 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
IPv6 ACL のモニタリング
次の表に示された 1 つまたは複数の特権 EXEC コマンドを使用して、設定済みのすべてのアクセス リスト、すべての IPv6 アクセス リスト、または特定のアクセス リストに関する情報を表示できます。
次に、show access-lists 特権 EXEC コマンドの出力例を示します。 出力には、スイッチまたはスイッチ スタックに設定済みのすべてのアクセス リストが表示されます。
Switch # show access-lists
Extended IP access list hello
10 permit ip any any
IPv6 access list ipv6
permit ipv6 any any sequence 10
次に、show ipv6 access-lists 特権 EXEC コマンドの出力例を示します。 出力には、スイッチまたはスイッチ スタックに設定済みの IPv6 アクセス リストだけが表示されます。
Switch# show ipv6 access-list
IPv6 access list inbound
permit tcp any any eq bgp (8 matches) sequence 10
permit tcp any any eq telnet (15 matches) sequence 20
permit udp any any sequence 30
IPv6 access list outbound
deny udp any any sequence 10
deny tcp any any eq telnet sequence 20
フィードバック