コンフィグレーションコマンドレファレンス Vol.2

[目次][索引][前へ][次へ]

deny(advance access-list)

Advanceフィルタでのアクセスを拒否する条件を指定します。

[入力形式]

情報の設定・変更
[<sequence>] deny mac {フィルタ条件} [動作指定]
[<sequence>] deny mac-ip {フィルタ条件} [動作指定]
[<sequence>] deny mac-ipv6 {フィルタ条件} [動作指定]

 フィルタ条件

mac {フィルタ条件}の場合
MACヘッダ条件でフロー検出する場合のフィルタ条件です。
mac {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} [<ethernet type>][vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]

mac-ip {フィルタ条件}の場合
MACヘッダ条件,IPv4ヘッダ条件およびLayer4ヘッダ条件でフロー検出する場合のフィルタ条件です。
  • フラグメントパケットなしで,上位プロトコルがTCP,UDP,ICMPおよびIGMP以外の場合
    mac-ip {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} {ip | <protocol>} {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]
  • フラグメントパケットなしで,上位プロトコルがTCPの場合
    mac-ip {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} tcp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [{{eq | neq} <destination port> | range <destination port start> <destination port end>}] [{[established] | [{ack | +ack | -ack}] [{fin | +fin | -fin}] [{psh | +psh | -psh}] [{rst | +rst | -rst}] [{syn | +syn | -syn}] [{urg | +urg | -urg}]}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]
  • フラグメントパケットなしで,上位プロトコルがUDPの場合
    mac-ip {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} udp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [{{eq | neq} <destination port> | range <destination port start> <destination port end>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]
  • フラグメントパケットなしで,上位プロトコルがICMPの場合
    mac-ip {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} icmp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [{<icmp type> [<icmp code>] | <icmp message>}] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]
  • フラグメントパケットなしで,上位プロトコルがIGMPの場合
    mac-ip {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} igmp {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [<igmp type>] [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]
  • フラグメントパケットありの場合
    mac-ip {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} {ip | <protocol> | icmp | igmp | tcp | udp} {{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>} {{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>} [{[tos <tos>] [precedence <precedence>] | dscp <dscp>}] [fragments] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]

mac-ipv6 {フィルタ条件}の場合
MACヘッダ条件,IPv6ヘッダ条件およびLayer4ヘッダ条件でフロー検出する場合のフィルタ条件です。
  • 上位プロトコルがTCP,UDPおよびICMP以外の場合
    mac-ipv6 {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} {ipv6 | <protocol>} {<source ipv6>/<length>| host {<source ipv6> | own-address} | any | own-address <own address length> | own | range-address <source ipv6 start> <source ipv6 end>} {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own | range-address <destination ipv6 start> <destination ipv6 end>} [{traffic-class <traffic class> | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]
  • 上位プロトコルがTCPの場合
    mac-ipv6 {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} tcp {<source ipv6>/<length>| host {<source ipv6> | own-address} | any | own-address <own address length> | own | range-address <source ipv6 start> <source ipv6 end>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own | range-address <destination ipv6 start> <destination ipv6 end>} [{{eq | neq} <destination port> | range <destination port start> <destination port end>}] [{[established] | [{ack | +ack | -ack}] [{fin | +fin | -fin}] [{psh | +psh | -psh}] [{rst | +rst | -rst}] [{syn | +syn | -syn}] [{urg | +urg | -urg}]}] [{traffic-class <traffic class> | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]
  • 上位プロトコルがUDPの場合
    mac-ipv6 {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} udp {<source ipv6>/<length>| host {<source ipv6> | own-address} | any | own-address <own address length> | own | range-address <source ipv6 start> <source ipv6 end>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own | range-address <destination ipv6 start> <destination ipv6 end>} [{{eq | neq} <destination port> | range <destination port start> <destination port end>}] [{traffic-class <traffic class> | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]
  • 上位プロトコルがICMPの場合
    mac-ipv6 {<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol} icmp {<source ipv6>/<length>| host {<source ipv6> | own-address} | any | own-address <own address length> | own | range-address <source ipv6 start> <source ipv6 end>} {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own | range-address <destination ipv6 start> <destination ipv6 end>} [{<icmp type> [<icmp code>] | <icmp message>}] [{traffic-class <traffic class> | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>}] [user-priority <priority>][{ctag-untagged | [ctag-user-priority <priority>] [ctag-vlan <vlan id>]}]

 動作指定
action log

情報の削除
no <sequence>

[入力モード]

(config-adv-acl)

[パラメータ]

<sequence>
フィルタ条件の適用順序を設定します。
  1. 本パラメータ省略時の初期値
    アクセスリスト内に条件がない場合,初期値は10です。
    条件を設定してある場合,設定してある適用順序の最大値+10です。
    ただし,適用順序の最大値が4294967284より大きい値の場合は省略できません。
  2. 値の設定範囲
    1〜4294967294(10進数)を指定します。

{<source mac> <source mac mask> | host <source mac> | any}
送信元MACアドレスを指定します。
すべての送信元MACアドレスを指定する場合はanyを指定します。
  1. 本パラメータ省略時の初期値
    省略できません
  2. 値の設定範囲
    <source mac> <source mac mask>,host <source mac>またはanyを指定します。
    <source mac>には送信元MACアドレスを指定します。
    <source mac mask>にはMACアドレスの中で任意の値を許可するビットを立てたマスクをMACアドレス形式で指定します。
    host <source mac>を入力した場合は<source mac>の完全一致をフィルタ条件とします。
    anyを指定すると,送信元MACアドレスをフィルタ条件とはしません。
    MACアドレス(nnnn.nnnn.nnnn):0000.0000.0000 〜 ffff.ffff.ffff(16進数)

{<destination mac> <destination mac mask> | host <destination mac> | any | bpdu | cdp | lacp | lldp | oadp | pvst-plus-bpdu | slow-protocol}
宛先MACアドレスを指定します。
すべての宛先MACアドレスを指定する場合はanyを指定します。
  1. 本パラメータ省略時の初期値
    省略できません
  2. 値の設定範囲
    <destination mac> <destination mac mask>,host <destination mac>,any,bpdu,cdp,lacp,lldp,oadp,pvst-plus-bpduまたはslow-protocolを指定します。
    <destination mac>には宛先MACアドレスを指定します。
    <destination mac mask>にはMACアドレスの中で任意の値を許可するビットを立てたマスクをMACアドレス形式で指定します。
    host <destination mac>を入力した場合は<destination mac>の完全一致をフィルタ条件とします。
    anyを指定すると,宛先MACアドレスをフィルタ条件とはしません。
    bpduを指定すると,BPDU制御パケットをフィルタ条件とします。
    cdpを指定すると,CDP制御パケットをフィルタ条件とします。
    lacpまたはslow-protocolを指定すると,slowプロトコルパケットをフィルタ条件とします。
    本装置ではLACPとIEEE802.3ah/UDLD機能でslowプロトコルパケットを使用しています。
    lacpを指定すると,LACP制御パケットをフィルタ条件とします。
    lldpを指定すると,LLDP制御パケットをフィルタ条件とします。
    oadpを指定すると,OADP制御パケットをフィルタ条件とします。
    pvst-plus-bpduを指定すると,PVST+制御パケットをフィルタ条件とします。
    MACアドレス(nnnn.nnnn.nnnn):0000.0000.0000 〜 ffff.ffff.ffff(16進数)

<ethernet type>
イーサネットタイプ番号を指定します。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0x0000〜0xffff(16進数)またはイーサネットタイプ名称を指定します。
    指定可能なイーサネットタイプ名称は「表4-9 指定可能なイーサネットタイプ名称」を参照してください。

vlan {<vlan id> | <vlan id list name>}
VLAN IDまたはVLANリスト名称を指定します。
本パラメータはイーサネットインタフェースに適用した場合だけ有効です。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    VLAN IDまたはVLANリスト名称を指定します。
    VLAN IDについては,「パラメータに指定できる値」を参照してください。

user-priority <priority>
ユーザ優先度を指定します。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜7(10進数)を指定します。

ctag-untagged
カスタマTagがないパケットの検出を指定します。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    なし

ctag-user-priority <priority>
カスタマTagのユーザ優先度を指定します。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜7(10進数)を指定します。

ctag-vlan <vlan id>
カスタマTagのVLAN IDを指定します。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜4095(10進数)を指定します。

{ip | <protocol> | icmp | igmp | tcp | udp}
フロー検出条件指定にmac-ipを指定した場合に選択できます。
IPv4パケットの上位プロトコル条件を指定します。
ただし,すべてのプロトコルを対象とする場合はipを指定します。
  1. 本パラメータ省略時の初期値
    省略できません
  2. 値の設定範囲
    0〜255(10進数)またはプロトコル名称を指定します。
    指定可能なプロトコル名称は「表4-1 指定可能なプロトコル名称(IPv4)」を参照してください。

{ipv6 | <protocol> | icmp | tcp | udp}
フロー検出条件指定にmac-ipv6を指定した場合に選択できます。
IPv6パケットの上位プロトコル条件を指定します。
ただし,すべてのプロトコルを対象とする場合はipv6を指定します。
  1. 本パラメータ省略時の初期値
    省略できません
  2. 値の設定範囲
    1〜42,45〜49,52〜59,61〜255(10進数)またはプロトコル名称を指定します。
    指定可能なプロトコル名称は「表4-2 指定可能なプロトコル名称(IPv6)」を参照してください。

{{<source ipv4> | own-address} <source ipv4 wildcard> | host {<source ipv4> | own-address} | any | own | range-address <source ipv4 start> <source ipv4 end>}
送信元IPv4アドレスを指定します。
すべての送信元IPv4アドレスを指定する場合はanyを指定します。
  1. 本パラメータ省略時の初期値
    省略できません
  2. 値の設定範囲
    <source ipv4> <source ipv4 wildcard>,host <source ipv4>,any,own-address <source ipv4 wildcard>,host own-address,ownまたはrange-address <source ipv4 start> <source ipv4 end>を指定します。
    <source ipv4>には送信元IPv4アドレスを指定します。
    <source ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。
    host <source ipv4>を入力した場合は<source ipv4>の完全一致をフィルタ条件とします。
    anyを指定すると,送信元IPv4アドレスをフィルタ条件とはしません。
    own-addressおよびownは,VLANインタフェースに対してのaccess-groupコマンドだけ有効になります。
    range-addressはイーサネットインタフェースまたはVLANインタフェースに対してのaccess-groupコマンドだけ有効になります。
    own-addressを指定した場合は,対象インタフェースに設定されているIPv4アドレスを送信元IPv4アドレスとしてフィルタ条件にします。
    ownを指定した場合は,対象インタフェースに設定されているIPv4アドレスのネットワークアドレス部をフィルタ条件にします。ホストアドレス部は任意としてフィルタ条件にします。
    なお,own-addressおよびownを指定したインタフェースがマルチホームの場合はプライマリIPv4アドレスが対象になります。
    range-addressを指定した場合は,<source ipv4 start>から<source ipv4 end>の範囲をフィルタ条件とします。
    <source ipv4 end>は<source ipv4 start>より大きいIPv4アドレスを指定してください。
    IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0 〜 255.255.255.255

{<source ipv6>/<length>| host {<source ipv6> | own-address} | any | own-address <own address length> | own | range-address <source ipv6 start> <source ipv6 end>}
送信元IPv6アドレスを指定します。
すべての送信元IPv6アドレスを指定する場合はanyを指定します。
  1. 本パラメータ省略時の初期値
    省略できません
  2. 値の設定範囲
    <source ipv6>/<length>,own-address <own address length>,host <source ipv6>,host own-address,any,ownまたはrange-address <source ipv6 start> <source ipv6 end>を指定します。
    <source ipv6>には送信元IPv6アドレスを指定します。
    <length>にはIPv6アドレスの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
    <own address length>にはown-addressの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
    host <source ipv6>を入力した場合は<source ipv6>の完全一致をフィルタ条件とします。
    anyを指定すると,送信元IPv6アドレスをフィルタ条件とはしません。
    own-addressおよびownは,VLANインタフェースに対してのtraffic-filterコマンドだけ有効になります。
    range-addressはイーサネットインタフェースまたはVLANインタフェースに対してのtraffic-filterコマンドだけ有効になります。
    own-addressを指定した場合は,対象インタフェースに設定されているIPv6グローバルアドレスを送信元IPv6アドレスとしてフィルタ条件とします。
    ownを指定した場合は,対象インタフェースに設定されているIPv6グローバルアドレスを送信元IPv6アドレス,IPv6グローバルアドレスのプレフィックス長を<length>としてフィルタ条件にします。
    range-addressを指定した場合は<source ipv6 start>から<source ipv6 end>の範囲をフィルタ条件とします。
    <source ipv6 end>は<source ipv6 start>より大きいIPv6アドレスを指定してください。
    <source ipv6>(nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn):0:0:0:0:0:0:0:0 〜 ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
    <length>:0 〜 128

{{eq | neq} <source port> | range <source port start> <source port end>}
送信元ポート番号を指定します。
プロトコルがTCPおよびUDPだけのオプションです。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜65535(10進数)またはポート名称を指定します。
    指定可能なポート名称は「表4-3 TCPで指定可能なポート名称」,「表4-4 UDPで指定可能なポート名称(IPv4)」および「表4-5 UDPで指定可能なポート名称(IPv6)」を参照してください。
    eqを指定した場合は,<source port>の完全一致をフィルタ条件とします。
    neqを指定した場合は,<source port>以外をフィルタ条件とします。
    rangeを指定した場合は,<source port start>から<source port end>の範囲をフィルタ条件とします。
    <source port end>は<source port start>より大きいポート番号を指定してください。

{{<destination ipv4> | own-address} <destination ipv4 wildcard> | host {<destination ipv4> | own-address} | any | own | range-address <destination ipv4 start> <destination ipv4 end>}
宛先IPv4アドレスを指定します。
すべての宛先IPv4アドレスを指定する場合はanyを指定します。
  1. 本パラメータ省略時の初期値
    省略できません
  2. 値の設定範囲
    <destination ipv4> <destination ipv4 wildcard>,host <destination ipv4>,any,own-address <destination ipv4 wildcard>,host own-address,ownまたはrange-address <destination ipv4 start> <destination ipv4 end>を指定します。
    <destination ipv4>には宛先IPv4アドレスを指定します。
    <destination ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードマスクをIPv4アドレス形式で指定します。
    host <destination ipv4>を入力した場合は<destination ipv4>の完全一致をフィルタ条件とします。
    anyを指定すると,宛先IPv4アドレスをフィルタ条件とはしません。
    own-addressおよびownは,VLANインタフェースに対してのaccess-groupコマンドだけ有効になります。
    range-addressはイーサネットインタフェースまたはVLANインタフェースに対してのaccess-groupコマンドだけ有効になります。
    own-addressを指定した場合は,対象インタフェースに設定されているIPv4アドレスを宛先IPv4アドレスとしてフィルタ条件にします。
    ownを指定した場合は,対象インタフェースに設定されているIPv4アドレスのネットワークアドレス部をフィルタ条件にします。ホストアドレス部は任意としてフィルタ条件にします。
    なお,own-addressおよびownを指定したインタフェースがマルチホームの場合はプライマリIPv4アドレスが対象になります。
    range-addressを指定した場合は,<destination ipv4 start>から<destination ipv4 end>の範囲をフィルタ検出条件とします。
    <destination ipv4 end>は<destination ipv4 start>より大きいIPv4アドレスを指定してください。
    IPv4アドレス(nnn.nnn.nnn.nnn):0.0.0.0 〜 255.255.255.255

{<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own | range-address <destination ipv6 start> <destination ipv6 end>}
宛先IPv6アドレスを指定します。
すべての宛先IPv6アドレスを指定する場合はanyを指定します。
  1. 本パラメータ省略時の初期値
    省略できません
  2. 値の設定範囲
    <destination ipv6>/<length>,own-address <own address length>,host <destination ipv6>,host own-address,any,ownまたはrange-address <destination ipv6 start> <destination ipv6 end>を指定します。
    <destination ipv6>には宛先IPv6アドレスを指定します。
    <length>にはIPv6アドレスの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
    <own address length>にはown-addressの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
    host <destination ipv6>を入力した場合は<destination ipv6>の完全一致をフィルタ条件とします。
    anyを指定すると,宛先IPv6アドレスをフィルタ条件とはしません。
    own-addressおよびownは,VLANインタフェースに対してのtraffic-filterコマンドだけ有効になります。
    range-addressはイーサネットインタフェースまたはVLANインタフェースに対してのtraffic-filterコマンドだけ有効になります。
    own-addressを指定した場合は,対象インタフェースに設定されているIPv6グローバルアドレスを宛先IPv6アドレスとしてフィルタ条件とします。
    ownを指定した場合は,対象インタフェースに設定されているIPv6グローバルアドレスを宛先IPv6アドレス,IPv6グローバルアドレスのプレフィックス長を<length>としてフィルタ条件にします。
    range-addressを指定した場合は,<destination ipv6 start>から<destination ipv6 end>の範囲をフィルタ条件とします。
    <destination ipv6 end>は<destination ipv6 start>より大きいIPv6アドレスを指定してください。
    <destination ipv6>(nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn):0:0:0:0:0:0:0:0 〜 ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
    <length>:0 〜 128

{{eq | neq} <destination port> | range <destination port start> <destination port end>}
宛先ポート番号を指定します。
プロトコルがTCPおよびUDPだけのオプションです。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜65535(10進数)またはポート名称を指定します。
    指定可能なポート名称は「表4-3 TCPで指定可能なポート名称」,「表4-4 UDPで指定可能なポート名称(IPv4)」および「表4-5 UDPで指定可能なポート名称(IPv6)」を参照してください。
    eqを指定した場合は,<destination port>の完全一致をフィルタ条件とします。
    neqを指定した場合は,<destination port>以外をフィルタ条件とします。
    rangeを指定した場合は,<destination port start>から<destination port end>の範囲をフィルタ条件とします。
    <destination port end>は<destination port start>より大きいポート番号を指定してください。

tos <tos>
本パラメータは,ToSフィールドのビット3〜6の4ビットであるtos値を指定します。
受信パケットのToSフィールドのビット3〜6の4ビットと比較します。
[図データ]
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜15(10進数)またはtos名称を指定します。
    指定可能なtos名称は「表4-6 指定可能なtos名称」を参照してください。

precedence <precedence>
本パラメータは,ToSフィールドの上位3ビットであるprecedence値を指定します。
受信パケットのToSフィールド上位3ビットと比較します。
[図データ]
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜7(10進数)またはprecedence名称を指定します。
    指定可能なprecedence名称は「表4-7 指定可能なprecedence名称」を参照してください。

traffic-class <traffic class>
本パラメータは,トラフィッククラスフィールド値を指定します。
受信パケットのトラフィッククラスフィールドと比較します。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜255(10進数)を指定します。

dscp <dscp>

フロー検出条件種別がmac-ipの場合
本パラメータは,ToSフィールドの上位6ビットであるDSCP値を指定します。
受信パケットのToSフィールド上位6ビットと比較します。
[図データ]

フロー検出条件種別がmac-ipv6の場合
本パラメータは,トラフィッククラスフィールドの上位6ビットであるDSCP値を指定します。
受信パケットのトラフィッククラスフィールドの上位6ビットと比較します。
[図データ]
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜63(10進数)または,DSCP名称を指定します。
    指定可能なDSCP名称は「表4-8 指定可能なDSCP名称」を参照してください。

established
TCPヘッダのACKフラグまたはRSTフラグが1のパケットの検出を指定します。
プロトコルがTCPだけのオプションです。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    なし

{ack | +ack | -ack}
TCPヘッダのACKフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
ackまたは+ackはACKフラグが1のパケット,-ackはACKフラグが0のパケットとなります。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    なし

{fin | +fin | -fin}
TCPヘッダのFINフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
finまたは+finはFINフラグが1のパケット,-finはFINフラグが0のパケットとなります。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    なし

{psh | +psh | -psh}
TCPヘッダのPSHフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
pshまたは+pshはPSHフラグが1のパケット,-pshはPSHフラグが0のパケットとなります。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    なし

{rst | +rst | -rst}
TCPヘッダのRSTフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
rstまたは+rstはRSTフラグが1のパケット,-rstはRSTフラグが0のパケットとなります。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    なし

{syn | +syn | -syn}
TCPヘッダのSYNフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
synまたは+synはSYNフラグが1のパケット,-synはSYNフラグが0のパケットとなります。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    なし

{urg | +urg | -urg}
TCPヘッダのURGフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
urgまたは+urgはURGフラグが1のパケット,-urgはURGフラグが0のパケットとなります。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    なし

<icmp type>
ICMPタイプを指定します。
プロトコルがICMPだけのオプションです。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜255(10進数)を指定します。

<icmp code>
ICMPコードを指定します。
プロトコルがICMPだけのオプションです。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜255(10進数)を指定します。

<icmp message>
ICMPメッセージ名称を指定します。
プロトコルがICMPだけのオプションです。
指定可能なICMPメッセージ名称は「表4-11 ICMPで指定可能なメッセージ名称(IPv4)」および「表4-12 ICMPで指定可能なメッセージ名称(IPv6)」を参照してください。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    なし

<igmp type>
IGMPタイプを指定します。
プロトコルがIGMPだけのオプションです。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    0〜255(10進数)を指定します。

fragments
2番目以降のフラグメントパケットを指定します。
  1. 本パラメータ省略時の初期値
    なし(検出条件としません)
  2. 値の設定範囲
    なし

動作パラメータ

action
動作パラメータを設定,変更する場合は,必ず本パラメータを動作パラメータ全体の先頭に設定してください。
  1. 本パラメータ省略時の初期値
    なし(動作指定をする場合は省略できません)
  2. 値の設定範囲
    なし

log
指定したアクセスリストで廃棄したパケットをアクセスリストロギングの対象とします。
  1. 本パラメータ省略時の初期値
    なし(アクセスリストロギングを使用しません)
  2. 値の設定範囲
    なし

[コマンド省略時の動作]

なし

[通信への影響]

アクセスリストをインタフェースに適用した状態でエントリを追加または変更すると,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信したパケットが一時的に廃棄される場合があります。

[設定値の反映契機]

設定値変更後,すぐに運用に反映されます。

[注意事項]

  1. 送信元MACアドレスおよび宛先MACアドレスにnnnn.nnnn.nnnn ffff.ffff.ffffと入力したときはanyと表示します。
  2. 宛先MACアドレスにプロトコル名称指定または指定できるプロトコル名称のアドレスを指定している場合はプロトコル名称を表示します。宛先MACアドレスに指定できるプロトコル名称のアドレスは「表4-10 指定可能な宛先MACアドレス名称」を参照してください。
    上記以外の送信元MACアドレスおよび宛先MACアドレスにnnnn.nnnn.nnnn 0000.0000.0000と入力したときはhost nnnn.nnnn.nnnnと表示します。
  3. 送信元IPv4アドレスワイルドカードマスクおよび宛先IPv4アドレスワイルドカードマスクに255.255.255.255と入力したときはanyと表示します。
  4. 送信元IPv4アドレスおよび宛先IPv4アドレスをnnn.nnn.nnn.nnn 0.0.0.0と入力したときはhost nnn.nnn.nnn.nnnと表示します。
  5. 送信元IPv6アドレスおよび宛先IPv6アドレスにnnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn/0と入力したときはanyと表示します。
  6. 送信元IPv6アドレスおよび宛先IPv6アドレスにnnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn/128と入力したときはhost nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnnと表示します。

[関連コマンド]

advance access-group

advance access-list resequence

permit(advance access-list)

remark

vlan-list

[目次][前へ][次へ]

[他社商品名称に関する表示]

All Rights Reserved, Copyright(C), 2006, 2018, ALAXALA Networks, Corp.