コンフィグレーションコマンドレファレンス Vol.2

permit（ipv6 access-list）

IPv6フィルタでのアクセスを許可する条件を指定します。

［入力形式］

情報の設定・変更

[<sequence>] permit {フィルタ条件} [動作指定]

　フィルタ条件

• 上位プロトコルがTCP，UDPおよびICMP以外の場合
  {ipv6 | <protocol>} {<source ipv6>/<length> | host <source ipv6> | any | own-address <own address length>} {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own | range-address <destination ipv6 start> <destination ipv6 end>} [{traffic-class <traffic class> | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>} ] [user-priority <priority>]
  
• 上位プロトコルがTCPの場合
  tcp {<source ipv6>/<length> | host <source ipv6> | any | own-address <own address length>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own | range-address <destination ipv6 start> <destination ipv6 end>} [{{eq | neq} <destination port> | range <destination port start> <destination port end>}] [{[established] | [{ack | +ack | -ack}] [{fin | +fin | -fin}] [{psh | +psh | -psh}] [{rst | +rst | -rst}] [{syn | +syn | -syn}] [{urg | +urg | -urg}]}] [{traffic-class <traffic class> | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>} ] [user-priority <priority>]
  
• 上位プロトコルがUDPの場合
  udp {<source ipv6>/<length> | host <source ipv6> | any | own-address <own address length>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own | range-address <destination ipv6 start> <destination ipv6 end>} [{{eq | neq}<destination port> | range <destination port start> <destination port end>}] [{traffic-class <traffic class> | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>} ] [user-priority <priority>]
  
• 上位プロトコルがICMPの場合
  icmp {<source ipv6>/<length> | host <source ipv6> | any | own-address <own address length>} {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own | range-address <destination ipv6 start> <destination ipv6 end>} [{<icmp type> [<icmp code>] | <icmp message>}] [{traffic-class <traffic class> | dscp <dscp>}] [vlan {<vlan id> | <vlan id list name>} ] [user-priority <priority>]
  

　動作指定

action {policy interface vlan <vlan id> next-hop <next hop ipv6>| policy-switch-list <policy switch list no.>}

情報の削除

no <sequence>

［入力モード］

(config-ipv6-acl)

［パラメータ］

<sequence>

フィルタ条件の適用順序を指定します。

1. 本パラメータ省略時の初期値
   アクセスリスト内に条件がない場合，初期値は10です。
   条件を設定してある場合，設定してある適用順序の最大値+10です。
   ただし，適用順序の最大値が4294967284より大きい値の場合は省略できません。
   
2. 値の設定範囲
   1〜4294967294（10進数）を指定します。
   

フィルタ条件パラメータ

{ipv6 | <protocol> | icmp | tcp | udp}

IPv6パケットの上位プロトコル条件を指定します。

ただし，すべてのプロトコルを対象とする場合はipv6を指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   1〜42，45〜49，52〜59，61〜255（10進数），またはプロトコル名称を指定します。
   指定可能なプロトコル名称は「表4-2　指定可能なプロトコル名称（IPv6）」を参照してください。
   

{<source ipv6>/<length> | host <source ipv6> | any | own-address <own address length>}

送信元IPv6アドレスを指定します。

すべての送信元IPv6アドレスを指定する場合はanyを指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   <source ipv6>/<length>，host <source ipv6>，own-address <own address length>またはanyを指定します。
   <source ipv6>には送信元IPv6アドレスを指定します。
   <length>にはIPv6アドレスの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
   <own address length>にはown-addressの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
   host <source ipv6>を入力した場合は<source ipv6>の完全一致をフィルタ条件とします。
   anyを指定すると，送信元IPv6アドレスをフィルタ条件とはしません。
   own-addressはVLANインタフェースに対してのtraffic-filterコマンドだけ有効になります。
   own-addressを指定した場合は，対象インタフェースに設定されているIPv6グローバルアドレスを送信元IPv6アドレスとしてフィルタ条件とします。
   <source ipv6>（nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn）：
   　0:0:0:0:0:0:0:0 〜 ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
   <length>：0 〜 128
   

{{eq | neq} <source port> | range <source port start> <source port end>}

送信元ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜65535（10進数）またはポート名称を指定します。
   指定可能なポート名称は「表4-3　TCPで指定可能なポート名称」および「表4-5　UDPで指定可能なポート名称（IPv6）」を参照してください。
   eqを指定した場合は，<source port>の完全一致をフィルタ条件とします。
   neqを指定した場合は，<source port>以外をフィルタ条件とします。
   rangeを指定した場合は，<source port start>から<source port end>の範囲をフィルタ条件とします。
   <source port end>は<source port start>より大きいポート番号を指定してください。
   

{<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own | range-address <destination ipv6 start> <destination ipv6 end>}

宛先IPv6アドレスを指定します。

すべての宛先IPv6アドレスを指定する場合はanyを指定します。

1. 本パラメータ省略時の初期値
   省略できません
   
2. 値の設定範囲
   <destination ipv6>/<length>，own-address <own address length>，host <destination ipv6>，host own-address，any，ownまたはrange-address <destination ipv6 start> <destination ipv6 end>を指定します。
   <destination ipv6>には宛先IPv6アドレスを指定します。
   <length>にはIPv6アドレスの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
   <own address length>にはown-addressの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
   host <destination ipv6>を入力した場合は<destination ipv6>の完全一致をフィルタ条件とします。
   anyを指定すると，宛先IPv6アドレスをフィルタ条件とはしません。
   own-addressおよびownは，VLANインタフェースに対してのtraffic-filterコマンドだけ有効になります。
   range-addressはイーサネットインタフェースおよびVLANインタフェースに対してのtraffic-filterコマンドだけ有効なります。
   own-addressを指定した場合は，対象インタフェースに設定されているIPv6グローバルアドレスを宛先IPv6アドレスとしてフィルタ条件とします。
   ownを指定した場合は，対象インタフェースに設定されているIPv6グローバルアドレスを宛先IPv6アドレス，IPv6グローバルアドレスのプレフィックス長を<length>としてフィルタ条件にします。
   range-addressを指定した場合は<destination ipv6 start>から<destination ipv6 end>の範囲をフィルタ条件とします。
   <destination ipv6 end>は<destination ipv6 start>より大きいIPv6アドレスを指定してください。
   <destination ipv6>（nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn）：
   　0:0:0:0:0:0:0:0 〜 ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
   <length>：0 〜 128
   

{{eq | neq} <destination port> | range <destination port start> <destination port end>}

宛先ポート番号を指定します。

プロトコルがTCPおよびUDPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜65535（10進数）またはポート名称を指定します。
   指定可能なポート名称は「表4-3　TCPで指定可能なポート名称」および「表4-5　UDPで指定可能なポート名称（IPv6）」を参照してください。
   eqを指定した場合は，<destination port>の完全一致をフィルタ条件とします。
   neqを指定した場合は，<destination port>以外をフィルタ条件とします。
   rangeを指定した場合は，<destination port start>から<destination port end>の範囲をフィルタ条件とします。
   <destination port end>は<destination port start>より大きいポート番号を指定してください。
   

traffic-class <traffic class>

本パラメータは，トラフィッククラスフィールド値を指定します。

受信パケットのトラフィッククラスフィールドと比較します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜255（10進数）を指定します。
   

dscp <dscp>

本パラメータは，トラフィッククラスフィールドの上位6ビットであるDSCP値を指定します。

受信パケットのトラフィッククラスフィールド上位6ビットと比較します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜63（10進数）またはDSCP名称を指定します。
   指定可能なDSCP名称は「表4-8　指定可能なDSCP名称」を参照してください。
   

established

TCPヘッダのACKフラグまたはRSTフラグが1のパケットの検出を指定します。

プロトコルがTCPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

{ack | +ack | -ack}

TCPヘッダのACKフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

ackまたは+ackはACKフラグが1のパケット，-ackはACKフラグが0のパケットとなります。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

{fin | +fin | -fin}

TCPヘッダのFINフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

finまたは+finはFINフラグが1のパケット，-finはFINフラグが0のパケットとなります。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

{psh | +psh | -psh}

TCPヘッダのPSHフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

pshまたは+pshはPSHフラグが1のパケット，-pshはPSHフラグが0のパケットとなります。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

{rst | +rst | -rst}

TCPヘッダのRSTフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

rstまたは+rstはRSTフラグが1のパケット，-rstはRSTフラグが0のパケットとなります。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

{syn | +syn | -syn}

TCPヘッダのSYNフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

synまたは+synはSYNフラグが1のパケット，-synはSYNフラグが0のパケットとなります。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

{urg | +urg | -urg}

TCPヘッダのURGフラグの検出を指定します。

プロトコルがTCPだけのオプションです。

urgまたは+urgはURGフラグが1のパケット，-urgはURGフラグが0のパケットとなります。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

<icmp type>

ICMPタイプを指定します。

プロトコルがICMPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜255（10進数）を指定します。
   

<icmp code>

ICMPコードを指定します。

プロトコルがICMPだけのオプションです。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜255（10進数）を指定します。
   

<icmp message>

ICMPメッセージ名称を指定します。

プロトコルがICMPだけのオプションです。

指定可能なICMPメッセージ名称は「表4-12　ICMPで指定可能なメッセージ名称（IPv6）」を参照してください。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   なし
   

vlan {<vlan id> | <vlan id list name>}

VLAN IDまたはVLANリスト名称を指定します。

本パラメータはイーサネットインタフェースに適用した場合だけ有効です。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   VLAN IDまたはVLANリスト名称を指定します。
   VLAN IDについては，「パラメータに指定できる値」を参照してください。
   

user-priority <priority>

ユーザ優先度を指定します。

1. 本パラメータ省略時の初期値
   なし（検出条件としません）
   
2. 値の設定範囲
   0〜7（10進数）を指定します。
   

動作パラメータ

action

動作パラメータを設定，変更する場合は，必ず本パラメータを動作パラメータ全体の先頭に設定してください。

1. 本パラメータ省略時の初期値
   なし（動作指定をする場合は省略できません）
   
2. 値の設定範囲
   なし
   

policy interface vlan <vlan id> next-hop <next hop ipv6>

ポリシーベースルーティングの出力先を指定します。

1. 本パラメータ省略時の初期値
   なし（ポリシーベースルーティングを使用しません）
   
2. 値の設定範囲
   <vlan id>
   VLAN IDについては，「パラメータに指定できる値」を参照してください。
   VLAN IDで指定したVLANインタフェースは，ipv6 enableを設定し，IPv6機能が有効である必要があります。
   <next hop ipv6>
   ネクストホップIPv6アドレスを指定します。
   指定した送信先インタフェースに接続するネットワークのアドレスを指定してください。ただし，指定した送信先インタフェースに設定しているアドレスは指定できません。
   

policy-switch-list <policy switch list no.>

ポリシーベーススイッチングのリスト番号を指定します。

1. 本パラメータ省略時の初期値
   なし（ポリシーベーススイッチングを使用しません）
   
2. 値の設定範囲
   policy-switch-listコマンドで設定済みのポリシーベーススイッチングのリスト番号を指定します。
   

［コマンド省略時の動作］

なし

［通信への影響］

アクセスリストをインタフェースに適用した状態でエントリを追加または変更すると，エントリがインタフェースに適用されるまでの間，該当インタフェースで受信したパケットが一時的に廃棄される場合があります。

［設定値の反映契機］

設定値変更後，すぐに運用に反映されます。

［注意事項］

1. 送信元アドレスおよび宛先アドレスにnnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn/0と入力したときはanyと表示します。
2. 送信元アドレスおよび宛先アドレスにnnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn/128と入力したときはhost nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnnと表示します。
3. 動作パラメータにポリシーベースルーティングを指定する場合，フィルタ条件に設定する送信元IPv6アドレスおよび宛先IPv6アドレスに，マルチキャストアドレス，リンクローカルアドレスは指定できません。
4. 動作パラメータにポリシーベーススイッチングを指定する場合，指定したポリシーベーススイッチングのリストで設定しているVLAN IDをフィルタ条件パラメータのvlanに指定してください。このとき，VLANリスト名称では指定できません。

［関連コマンド］

ipv6 traffic-filter

ipv6 access-list resequence

deny（ipv6 access-list）

remark

vlan-list

policy-switch-list

[目次][前へ][次へ]

All Rights Reserved, Copyright(C), 2006, 2018, ALAXALA Networks, Corp.