ステップ 1 | enable
例:
Device> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。
|
ステップ 2 | configureterminal
例:
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 3 | [no]{ipv6 access-list list-name| client
permit-control-packets| log-update
threshold|
role-based
list-name}
例:
Device(config)# ipv6 access-list example_acl_list
|
IPv6 ACL 名を定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。
|
ステップ 4 | [no]{deny | permit} protocol {source-ipv6-prefix/|prefix-length|any threshold| host
source-ipv6-address} [ operator [ port-number ]] { destination-ipv6-prefix/ prefix-length | any | host destination-ipv6-address} [operator [port-number]][dscp value] [fragments] [log] [log-input] [routing] [sequence value] [time-range name]
|
条件が一致した場合にパケットを拒否する場合は deny、許可する場合は permit を指定します。次に、条件について説明します。
-
protocol には、インターネット プロトコルの名前または番号を入力します。ahp、esp、icmp、ipv6、pcp、stcp、tcp、udp、または IPv6 プロトコル番号を表す 0 ~ 255 の整数を使用できます。
-
source-ipv6-prefix/prefix-length または destination-ipv6-prefix/ prefix-length は、拒否条件または許可条件を設定する送信元または宛先 IPv6 ネットワークあるいはネットワーク クラスで、コロン区切りの 16 ビット値を使用した 16 進形式で指定します(RFC 2373 を参照)。
-
IPv6 プレフィックス ::/0 の短縮形として、any を入力します。
-
host source-ipv6-address または destination-ipv6-address には、拒否条件または許可条件を設定する送信元または宛先 IPv6 ホスト アドレスを入力します。アドレスはコロン区切りの 16 ビット値を使用した 16 進形式で指定します。
-
(任意)operator には、指定のプロトコルの送信元ポートまたは宛先ポートを比較するオペランドを指定します。オペランドには、lt(より小さい)、gt(より大きい)、eq(等しい)、neq(等しくない)、range(包含範囲)があります。
source-ipv6-prefix/prefix-length 引数のあとの operator は、送信元ポートに一致する必要があります。destination-ipv6- prefix/prefix-length 引数のあとの operator は、宛先ポートに一致する必要があります。
-
(任意)port-number は、0 ~ 65535 の 10 進数または TCP あるいは UDP ポートの名前です。TCP ポート名を使用できるのは、TCP のフィルタリング時だけです。UDP ポート名を使用できるのは、UDP のフィルタリング時だけです。
-
(任意)dscp value を入力して、各 IPv6 パケット ヘッダーの Traffic Class フィールド内のトラフィック クラス値と DiffServ コード ポイント値を照合します。指定できる範囲は 0 ~ 63 です。
-
(任意)fragments を入力して、先頭ではないフラグメントを確認します。このキーワードが表示されるのは、プロトコルが ipv6 の場合だけです。
-
(任意)log を指定すると、エントリと一致するパケットに関するログ メッセージがコンソールに送信されます。log-input を指定すると、ログ エントリに入力インターフェイスが追加されます。ロギングはルータ ACL でだけサポートされます。
-
(任意)routing を入力して、IPv6 パケットのルーティングを指定します。
-
(任意)sequence value を入力して、アクセス リスト ステートメントのシーケンス番号を指定します。指定できる範囲は 1 ~ 4,294,967,295 です。
-
(任意)time-range name を入力して、拒否または許可ステートメントに適用される時間の範囲を指定します。
|
ステップ 5 | {deny | permit} tcp {source-ipv6-prefix/prefix-length | any | host source-ipv6-address} [operator [port-number]] {destination-ipv6- prefix/prefix-length | any | host destination-ipv6-address} [operator [port-number]] [ack] [dscp value] [established] [fin] [log] [log-input] [neq {port | protocol}] [psh] [range {port | protocol}] [rst] [routing] [sequence value] [syn] [time-range name] [urg]
|
(任意)TCP アクセス リストおよびアクセス条件を定義します。
TCP の場合は tcp を入力します。パラメータはステップ 3a で説明されているパラメータと同じですが、次に示すオプションのパラメータが追加されています。
-
ack:確認応答(ACK)ビット セット
-
established:確立された接続。TCP データグラムに ACK または RST ビットが設定されている場合、照合が行われます。
-
fin:終了ビット セット。送信元からのデータはそれ以上ありません。
-
neq {port | protocol}:所定のポート番号上にないパケットだけを照合します。
-
psh:プッシュ機能ビット セット
-
range {port | protocol}:ポート番号の範囲内のパケットだけを照合します。
-
rst:リセット ビット セット
-
syn:同期ビット セット
-
urg:緊急ポインタ ビット セット
|
ステップ 6 | {deny | permit} udp {source-ipv6-prefix/prefix-length | any | host source-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address} [operator [port-number]] [dscp value] [log] [log-input] [neq {port | protocol}] [range {port | protocol}] [routing] [sequence value] [time-range name]]
|
(任意)UDP アクセス リストおよびアクセス条件を定義します。
ユーザ データグラム プロトコルの場合は、udp を入力します。UDP パラメータは TCP に関して説明されているパラメータと同じです。ただし、[operator [port]] のポート番号またはポート名は、UDP ポートの番号または名前でなければなりません。UDP の場合、established パラメータは無効です。
|
ステップ 7 | {deny | permit} icmp {source-ipv6-prefix/prefix-length | any | host source-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address} [operator [port-number]] [icmp-type [icmp-code] | icmp-message] [dscp value] [log] [log-input] [routing] [sequence value] [time-range name]
|
(任意)ICMP アクセス リストおよびアクセス条件を定義します。
インターネット制御メッセージ プロトコルの場合は、icmp を入力します。ICMP パラメータはステップ 1 の IP プロトコルの説明にあるパラメータとほとんど同じですが、ICMP メッセージ タイプおよびコード パラメータが追加されています。オプションのキーワードの意味は次のとおりです。
-
icmp-type:ICMP メッセージ タイプでフィルタリングする場合に入力します。指定できる値の範囲は、0 ~ 255 です。
-
icmp-code:ICMP パケットを ICMP メッセージ コード タイプでフィルタリングする場合に入力します。指定できる値の範囲は、0 ~ 255 です。
-
icmp-message:ICMP パケットを ICMP メッセージ タイプ名または ICMP メッセージ タイプとコード名でフィルタリングする場合に入力します。ICMP メッセージのタイプ名およびコード名のリストについては、? キーを使用するか、またはこのリリースのコマンド リファレンスを参照してください。
|
ステップ 8 | end
|
特権 EXEC モードに戻ります。
|
ステップ 9 | show ipv6 access-list
|
アクセス リストの設定を確認します。
|
ステップ 10 | show running-config
例:
Device# show running-config
|
入力を確認します。
|
ステップ 11 | copy running-config
startup-config
例:
Device# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。
|