コンフィグレーションコマンドレファレンス Vol.1


deny(ipv6 access-list)

IPv6フィルタでのアクセスを拒否する条件を指定します。

[入力形式]

情報の設定・変更
  • 上位プロトコルがTCP,UDPおよびICMP以外の場合

    [<sequence>] deny {ipv6 | <protocol>} {<source ipv6>/<length> | host <source ipv6> | any} {<destination ipv6>/<length> | host <destination ipv6> | any} [{traffic-class <traffic class> | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]

  • 上位プロトコルがTCPの場合

    [<sequence>] deny tcp {<source ipv6>/<length> | host <source ipv6> | any} [{eq <source port> | range <source port start> <source port end>}] {<destination ipv6>/<length> | host <destination ipv6> | any} [{eq <destination port> | range <destination port start> <destination port end>}] [ack] [fin] [psh] [rst] [syn] [urg] [{traffic-class <traffic class> | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]

  • 上位プロトコルがUDPの場合

    [<sequence>] deny udp {<source ipv6>/<length> | host <source ipv6> | any} [{eq <source port> | range <source port start> <source port end>}] {<destination ipv6>/<length> | host <destination ipv6> | any} [{eq <destination port> | range <destination port start> <destination port end>}] [{traffic-class <traffic class> | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]

  • 上位プロトコルがICMPの場合

    [<sequence>] deny icmp {<source ipv6>/<length> | host <source ipv6> | any} {<destination ipv6>/<length> | host <destination ipv6> | any} [{<icmp type> [<icmp code>] | <icmp message>}] [{traffic-class <traffic class> | dscp <dscp>}] [vlan <vlan id>] [user-priority <priority>]

情報の削除

no <sequence>

[入力モード]

(config-ipv6-acl)

[パラメータ]

<sequence>

フィルタ条件の適用順序を指定します。

  1. 本パラメータ省略時の初期値

    アクセスリスト内に条件がない場合,初期値は10です。

    条件を設定してある場合,設定してある適用順序の最大値+10です。

    ただし,適用順序の最大値が4294967284より大きい値の場合は省略できません。

  2. 値の設定範囲

    1〜4294967294(10進数)を指定します。

{ipv6 | <protocol> | icmp | tcp | udp}

IPv6パケットの上位プロトコル条件を指定します。

ただし,すべてのプロトコルを対象とする場合はipv6を指定します。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    1〜42,45〜49,52〜59,61〜255(10進数)またはプロトコル名称を指定します。

    指定可能なプロトコル名称は「表25‒2 指定可能なプロトコル名称(IPv6)」を参照してください。

{<source ipv6>/<length> | host <source ipv6> | any}

送信元IPv6アドレスを指定します。

すべての送信元IPv6アドレスを指定する場合はanyを指定します。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    <source ipv6>/<length>,host <source ipv6>またはanyを指定します。

    <source ipv6>には送信元IPv6アドレスを指定します。

    <length>にはIPv6アドレスの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。

    host <source ipv6>を入力した場合は<source ipv6>の完全一致をフィルタ条件とします。

    anyを指定すると,送信元IPv6アドレスをフィルタ条件とはしません。

    <source ipv6>(nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn):

     0:0:0:0:0:0:0:0 〜 ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

    <length>:0 〜 128

{eq <source port> | range <source port start> <source port end>}

送信元ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜65535(10進数)またはポート名称を指定します。

    指定可能なポート名称は「表25‒3 TCPで指定可能なポート名称」および「表25‒5 UDPで指定可能なポート名称(IPv6)」を参照してください。

    eqを指定した場合は<source port>の完全一致をフィルタ条件とします。

    rangeを指定した場合は<source port start>から<source port end>の範囲をフィルタ条件とします。

    <source port end>は<source port start>より大きいポート番号を指定してください。

{<destination ipv6>/<length> | host <destination ipv6> | any}

宛先IPv6アドレスを指定します。

すべての宛先IPv6アドレスを指定する場合はanyを指定します。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    <destination ipv6>/<length>,host <destination ipv6>またはanyを指定します。

    <destination ipv6>には宛先IPv6アドレスを指定します。

    <length>にはIPv6アドレスの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。

    host <destination ipv6>を入力した場合は<destination ipv6>の完全一致をフィルタ条件とします。

    anyを指定すると,宛先IPv6アドレスをフィルタ条件とはしません。

    <destination ipv6>(nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn):

     0:0:0:0:0:0:0:0 〜 ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

    <length>:0 〜 128

{eq <destination port> | range <destination port start> <destination port end>}

宛先ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜65535(10進数)またはポート名称を指定します。

    指定可能なポート名称は「表25‒3 TCPで指定可能なポート名称」および「表25‒5 UDPで指定可能なポート名称(IPv6)」を参照してください。

    eqを指定した場合は<destination port>の完全一致をフィルタ条件とします。

    rangeを指定した場合は<destination port start>から<destination port end>の範囲をフィルタ条件とします。

    <destination port end>は<destination port start>より大きいポート番号を指定してください。

traffic-class <traffic class>

本パラメータは,トラフィッククラスフィールド値を指定します。

受信パケットのトラフィッククラスフィールドと比較します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜255(10進数)を指定します。

dscp <dscp>

本パラメータは,トラフィッククラスフィールドの上位6ビットであるDSCP値を指定します。

受信パケットのトラフィッククラスフィールド上位6ビットと比較します。

[図データ]

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜63(10進数)またはDSCP名称を指定します。

    指定可能なDSCP名称は「表25‒8 指定可能なDSCP名称」を参照してください。

ack

TCPヘッダのACKフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

fin

TCPヘッダのFINフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

psh

TCPヘッダのPSHフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

rst

TCPヘッダのRSTフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

syn

TCPヘッダのSYNフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

urg

TCPヘッダのURGフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

<icmp type>

ICMPタイプを指定します。

プロトコルがICMPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜255(10進数)を指定します。

<icmp code>

ICMPコードを指定します。

プロトコルがICMPだけのオプションです。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜255(10進数)を指定します。

<icmp message>

ICMPメッセージ名称を指定します。

プロトコルがICMPだけのオプションです。

指定可能なICMPメッセージ名称は「表25‒12 ICMPで指定可能なメッセージ名称(IPv6)」を参照してください。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

vlan <vlan id>

VLAN IDを指定します。

本パラメータはイーサネットインタフェースに適用した場合だけ有効です。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    パラメータに指定できる値」を参照してください。

user-priority <priority>

ユーザ優先度を指定します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜7(10進数)を指定します。

[コマンド省略時の動作]

なし

[通信への影響]

アクセスリストをインタフェースに適用した状態でエントリを追加または変更すると,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信したパケットが一時的に廃棄される場合があります。

[設定値の反映契機]

設定値変更後,すぐに運用に反映されます。

[注意事項]

  1. 送信元アドレスおよび宛先アドレスにnnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn/0と入力したときはanyと表示します。

  2. 送信元アドレスおよび宛先アドレスにnnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn/128と入力したときはhost nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnnと表示します。

[関連コマンド]

ipv6 traffic-filter

ipv6 access-list resequence

permit(ipv6 access-list)

remark