ip access-group
イーサネットインタフェースまたはVLANインタフェースに対してIPv4アクセスリストを適用し,IPv4フィルタ機能を有効にします。装置当たり,ip access-group,ipv6 traffic-filterおよびmac access-groupをインタフェースに対して最大540リスト設定できます。
インタフェースへの設定数については,「■インタフェースへの設定数」を参照してください。
ポリシーベースルーティングのパラメータを設定したアクセスリストをインタフェースに適用する際は,VLANインタフェースのInbound(受信側)を指定してください。【OS-L3A】
[入力形式]
- 情報の設定
-
ip access-group {<access list number> | <access list name>} {in | out}
- 情報の削除
-
no ip access-group {<access list number> | <access list name>} {in | out}
[入力モード]
(config-if)
[パラメータ]
- {<access list number> | <access list name>}
-
設定するIPv4アドレスフィルタまたはIPv4パケットフィルタの識別子を指定します。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
<access list number>の場合は,1〜199,1300〜2699(10進数)を指定します。
<access list name>の場合は,31文字以内の名前を指定します。
詳細は,「パラメータに指定できる値」を参照してください。
-
- {in | out}
-
InboundまたはOutboundを指定します。
in :Inbound(受信側の指定)
out:Outbound(送信側の指定)
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
なし
-
[コマンド省略時の動作]
なし
[通信への影響]
1エントリ以上を設定したアクセスリストをインタフェースに適用する場合,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信したIPパケットが一時的に廃棄されます。
[設定値の反映契機]
設定値変更後,すぐに運用に反映されます。
[注意事項]
-
IPv4アクセスリストは同一インタフェースのInboundとOutboundに対して,それぞれ一つ適用できます。すでに設定されている場合は,いったん削除してから設定することになります。
-
実在しないIPv4フィルタを設定した場合は何も動作しません。IPv4フィルタの識別子は登録されます。
-
受信側フロー検出モードによる設定の可否を次の表に示します。
表19‒14 受信側フロー検出モードによる設定の可否(IPv4) 受信側フロー検出モード
設定の可否
イーサネット
VLAN
layer3-1
○
○
layer3-2
○
×
layer3-3
○
×
layer3-4
○
×
layer3-5
○
×
layer3-6
×
○
layer3-dhcp-1
○
○
-
送信側フロー検出モードによる設定の可否を次の表に示します。
表19‒15 送信側フロー検出モードによる設定の可否(IPv4) 送信側フロー検出モード
設定の可否
イーサネット
VLAN
layer3-1-out
○
×
layer3-2-out
○
×
layer3-3-out
×
○
-
イーサネットインタフェースに対してIPv4パケットフィルタを適用する場合は,フロー検出条件にVLANパラメータがあるとき,適用するイーサネットインタフェースの設定内容にVLAN IDが含まれていれば設定できます。
-
VLANインタフェースに対してIPv4パケットフィルタを適用する場合は,フロー検出条件にVLANパラメータがないときに設定できます。
-
フロー検出条件にVLANパラメータがあるアクセスリストをOutboundに設定する場合は,装置のイーサネットインタフェースに対してトンネリングポートの設定が一つもないときに設定できます。
-
フロー検出条件にVLANパラメータがあるアクセスリストをOutboundに設定する場合は,該当インタフェースに対してTag変換の設定がないときに設定できます。
-
アクセスリストをVLANインタフェースのOutboundに設定する場合,VLANインタフェースに含まれているイーサネットインタフェースに設定されているTag変換の設定が一つもないときに設定できます。
[関連コマンド]
access-list
ip access-list standard
ip access-list extended