|
コマンドまたはアクション |
目的 |
ステップ 1 |
enable
例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configureterminal
例:
Switch# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
{ipv6 access-listlist-name
例: Switch(config)# ipv6 access-list example_acl_list |
IPv6 ACL 名を定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。 |
ステップ 4 |
{deny | permit} protocol {source-ipv6-prefix/|prefix-length|any| hostsource-ipv6-address} [ operator [ port-number ]] { destination-ipv6-prefix/ prefix-length | any | hostdestination-ipv6-address} [operator [port-number]][dscpvalue] [fragments] [log] [log-input] [routing][sequencevalue] [time-rangename] |
条件が一致した場合にパケットを拒否する場合は deny、許可する場合は permit を指定します。 次に、条件について説明します。
-
protocol には、インターネット プロトコルの名前または番号を入力します。ahp、esp、icmp、ipv6、pcp、stcp、tcp、udp、または IPv6 プロトコル番号を表す 0 ~ 255 の整数を使用できます。
-
source-ipv6-prefix/prefix-length または destination-ipv6-prefix/ prefix-length は、拒否条件または許可条件を設定する送信元または宛先 IPv6 ネットワークあるいはネットワーク クラスで、コロン区切りの 16 ビット値を使用した 16 進形式で指定します(RFC 2373 を参照)。
-
IPv6 プレフィックス ::/0 の短縮形として、any を入力します。
-
hostsource-ipv6-address または destination-ipv6-address には、拒否条件または許可条件を設定する送信元または宛先 IPv6 ホスト アドレスを入力します。アドレスはコロン区切りの 16 ビット値を使用した 16 進形式で指定します。
-
(任意)operator には、指定のプロトコルの送信元ポートまたは宛先ポートを比較するオペランドを指定します。 オペランドには、lt(より小さい)、gt(より大きい)、eq(等しい)、neq(等しくない)、range(包含範囲)があります。 source-ipv6-prefix/prefix-length 引数のあとの operator は、送信元ポートに一致する必要があります。 destination-ipv6- prefix/prefix-length 引数のあとの operator は、宛先ポートに一致する必要があります。
-
(任意)port-number は、0 ~ 65535 の 10 進数または TCP あるいは UDP ポートの名前です。 TCP ポート名を使用できるのは、TCP のフィルタリング時だけです。 UDP ポート名を使用できるのは、UDP のフィルタリング時だけです。
-
(任意)dscp value を入力して、各 IPv6 パケット ヘッダーの Traffic Class フィールド内のトラフィック クラス値と DiffServ コード ポイント値を照合します。 指定できる範囲は 0 ~ 63 です。
-
(任意)fragments を入力して、先頭ではないフラグメントを確認します。 このキーワードが表示されるのは、プロトコルが ipv6 の場合だけです。
-
(任意)log を指定すると、エントリと一致するパケットに関するログ メッセージがコンソールに送信されます。 log-input を指定すると、ログ エントリに入力インターフェイスが追加されます。 ロギングはルータ ACL でだけサポートされます。
-
(任意)routing を入力して、IPv6 パケットのルーティングを指定します。
-
(任意)sequencevalue を入力して、アクセス リスト ステートメントのシーケンス番号を指定します。 指定できる範囲は 1 ~ 4,294,967,295 です。
-
(任意)time-range name を入力して、拒否または許可ステートメントに適用される時間の範囲を指定します。
|
ステップ 5 |
{deny | permit} tcp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6- prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [ack] [dscpvalue] [established] [fin] [log] [log-input] [neq {port | protocol}] [psh] [range {port | protocol}] [rst] [routing] [sequencevalue] [syn] [time-rangename] [urg] |
(任意)TCP アクセス リストおよびアクセス条件を定義します。 TCP の場合は tcp を入力します。 パラメータはステップ 3a で説明されているパラメータと同じですが、次に示すオプションのパラメータが追加されています。
-
ack:確認応答(ACK)ビット セット
-
established:確立された接続。 TCP データグラムに ACK または RST ビットが設定されている場合、照合が行われます。
-
fin:終了ビット セット。送信元からのデータはそれ以上ありません。
-
neq {port | protocol}:所定のポート番号上にないパケットだけを照合します。
-
psh:プッシュ機能ビット セット
-
range {port | protocol}:ポート番号の範囲内のパケットだけを照合します。
-
rst:リセット ビット セット
-
syn:同期ビット セット
-
urg:緊急ポインタ ビット セット
|
ステップ 6 |
{deny | permit} udp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [dscpvalue] [log] [log-input] [neq {port | protocol}] [range {port | protocol}] [routing][sequencevalue] [time-rangename]] |
(任意)UDP アクセス リストおよびアクセス条件を定義します。 ユーザ データグラム プロトコルの場合は、udp を入力します。 UDP パラメータは TCP に関して説明されているパラメータと同じです。ただし、[operator [port]] のポート番号またはポート名は、UDP ポートの番号または名前でなければなりません。UDP の場合、established パラメータは無効です。 |
ステップ 7 |
{deny | permit} icmp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]] [icmp-type [icmp-code] | icmp-message] [dscpvalue] [log] [log-input] [routing][sequencevalue] [time-rangename] |
(任意)ICMP アクセス リストおよびアクセス条件を定義します。 インターネット制御メッセージ プロトコルの場合は、icmp を入力します。 ICMP パラメータはステップ 1 の IP プロトコルの説明にあるパラメータとほとんど同じですが、ICMP メッセージ タイプおよびコード パラメータが追加されています。 オプションのキーワードの意味は次のとおりです。
-
icmp-type:ICMP メッセージ タイプでフィルタリングする場合に入力します。指定できる値の範囲は、0 ~ 255 です。
-
icmp-code:ICMP パケットを ICMP メッセージ コード タイプでフィルタリングする場合に入力します。指定できる値の範囲は、0 ~ 255 です。
-
icmp-message:ICMP パケットを ICMP メッセージ タイプ名または ICMP メッセージ タイプとコード名でフィルタリングする場合に入力します。 ICMP メッセージのタイプ名およびコード名のリストについては、? キーを使用するか、またはこのリリースのコマンド リファレンスを参照してください。
|
ステップ 8 |
end |
特権 EXEC モードに戻ります。 |
ステップ 9 |
show ipv6 access-list |
アクセス リストの設定を確認します。 |
ステップ 10 |
show running-config
例:
Switch# show running-config
|
入力を確認します。 |
ステップ 11 |
copy running-config startup-config
例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |