運用コマンドレファレンス Vol.2


show access-filter

アクセスグループコマンド(ip access-group,ipv6 traffic-filter,mac access-group,advance access-group)でインタフェースに適用したフロー検出条件に一致したフレームの統計情報と,暗黙の廃棄に一致したフレームの統計情報を表示します。

[入力形式]

show access-filter
show access-filter interface <interface type> <interface number> [<access list name>] [{in | out | in-mirror | out-mirror}] [sequence {<sequence list> [implicit-deny] | implicit-deny}]

[入力モード]

一般ユーザモードおよび装置管理者モード

[パラメータ]

interface <interface type> <interface number>

指定したインタフェースのうち,表示できる統計情報を表示します。

<interface type> <interface number>には,次に示すインタフェース種別グループに対応するインタフェース名およびインタフェース番号を指定できます。詳細は,「パラメータに指定できる値」の「■インタフェースの指定方法」を参照してください。

また,複数のインタフェースを指定する場合は,上記に加えて「パラメータに指定できる値」の「■インタフェース複数指定」を参照してください。

  • イーサネットインタフェース

  • イーサネットサブインタフェース

  • ポートチャネルサブインタフェース

  • VLANインタフェース

<access list name>

指定したインタフェースのうち,指定したアクセスリスト名の統計情報を表示します。アクセスリスト名の指定方法は,「パラメータに指定できる値」を参照してください。

本パラメータ省略時の動作

指定したインタフェースに適用したすべてのアクセスリストの統計情報を表示します。

{in | out | in-mirror | out-mirror}

指定したインタフェースのうち,フィルタの受信側か送信側,またはポリシーベースミラーリングの受信側か送信側を対象として,統計情報を表示します。

in

フィルタの受信側を指定します。

out

フィルタの送信側を指定します。

in-mirror

ポリシーベースミラーリングの受信側を指定します。

out-mirror

ポリシーベースミラーリングの送信側を指定します。

本パラメータ省略時の動作

指定したインタフェースのフィルタの受信側と送信側,およびポリシーベースミラーリングの受信側と送信側を対象として,統計情報を表示します。

sequence {<sequence list> [implicit-deny] | implicit-deny}

指定したアクセスリスト内のシーケンス番号の統計情報を表示します。<sequence list>の指定方法および値の指定範囲については,「パラメータに指定できる値」を参照してください。

暗黙の廃棄に一致した統計情報を表示する場合は,implicit-denyを指定してください。

本パラメータ省略時の動作

指定したインタフェースに適用したすべてのアクセスリストおよび暗黙の廃棄を対象として,統計情報を表示します。

すべてのパラメータ省略時の動作

すべてのインタフェースの,すべてのアクセスリストを対象として,統計情報を表示します。

[実行例]

図7‒1 アクセスリスト名指定時の統計情報表示
> show access-filter interface vlan 10 only-telnet
Date 20XX/01/01 12:00:00 UTC
Using interface : vlan 10 in
IPv6 access-list : only-telnet
   remark "permit only telnet ipv6"
      10 permit ipv6 any host 2001:db8:811:ff00::1
                       Matched packets        Matched bytes
         Total  :           1052790224        1561801505844
         PSU 1  :            894321468        1251659505460
         PSU 3  :            158468756         310142000384
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                37125             69021100
         PSU 1  :                11225             26645100
         PSU 3  :                25900             42376000
>
図7‒2 シーケンス番号指定時の統計情報表示
> show access-filter interface gigabitethernet 2/5 in sequence 5,10-11 implicit-deny
Date 20XX/01/01 12:00:00 UTC
Using interface : gigabitethernet 2/5 in
Standard IP access-list : pc-a1024
   remark "permit only pc-a1024"
      5 permit host 192.168.2.5
                       Matched packets        Matched bytes
         Total  :             74699826          14780788864
         PSU 1  :             74699826          14780788864
      10 permit host 192.168.3.10
                       Matched packets        Matched bytes
         Total  :               718235            145967040
         PSU 1  :               718235            145967040
      11 permit host 192.168.11.11
                       Matched packets        Matched bytes
         Total  :                 5810              1371840
         PSU 1  :                 5810              1371840
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                95198             24370688
         PSU 1  :                95198             24370688
>
図7‒3 全パラメータ省略時の統計情報表示
> show access-filter
Date 20XX/01/01 12:00:00 UTC
Using interface : port-channel 10.2000 in
IPv6 access-list : only-telnet
   remark "permit only telnet ipv6"
      10 permit ipv6 any host 2001:db8:811:ff00::1
                       Matched packets        Matched bytes
         Total  :           1052790224        1561801505844
         PSU 1  :            894321468        1251659505460
         PSU 3  :            158468756         310142000384
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                37125             69021100
         PSU 1  :                11225             26645100
         PSU 3  :                25900             42376000
 
Using interface : tengigabitethernet 1/3 out
Extended MAC access-list : only-ipv6
   remark "permit only ipv6"
      10 permit any any ipv6(0x86dd)
                       Matched packets        Matched bytes
         Total  :             74699826         104780788864
         PSU 1  :             74699826         104780788864
      20 permit any any 0x80f3
                       Matched packets        Matched bytes
         Total  :               718235             45967040
         PSU 1  :               718235             45967040
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                 2698              1172672
         PSU 1  :                 2698              1172672
 
Using interface : gigabitethernet 2/5 in
Standard IP access-list : pc-a1024
   remark "permit only pc-a1024"
      5 permit host 192.168.2.5
                       Matched packets        Matched bytes
         Total  :             74699826          14780788864
         PSU 1  :             74699826          14780788864
      10 permit host 192.168.3.10
                       Matched packets        Matched bytes
         Total  :               718235            145967040
         PSU 1  :               718235            145967040
      11 permit host 192.168.11.11
                       Matched packets        Matched bytes
         Total  :                 5810              1371840
         PSU 1  :                 5810              1371840
      20 permit host 192.168.0.224
                       Matched packets        Matched bytes
         Total  :              1699826           1740621824
         PSU 1  :              1699826           1740621824
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                95198             24370688
         PSU 1  :                95198             24370688
Advance access-list : only-http
   remark " permit only http "
      10 permit mac-ip 0012.e200.1234 ffff.ffff.0000 any tcp(6) any host 10.10.10.2 eq http(80)
                       Matched packets        Matched bytes
         Total  :            158468756          21551750816
         PSU 1  :            158468756          21551750816
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                37125             12376000
         PSU 1  :                37125             12376000
 
Using interface : gigabitethernet 2/5 out
IPv6 access-list : only-telnet
   remark "permit only telnet ipv6"
      10 permit ipv6 any host 2001:db8:811:ff00::1
                       Matched packets        Matched bytes
         Total  :            385496541         527755750952
         PSU 1  :            385496541         527755750952
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                56645            114501120
         PSU 1  :                56645            114501120
 
Using interface : tengigabitethernet 3/5.1000 in
Extended IP access-list : 128
      10 permit tcp(6) any host 10.10.10.2 eq http(80)
                       Matched packets        Matched bytes
         Total  :        6425800211584     1411251213541376
         PSU 1  :        6425800211584     1411251213541376
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :               254178             32534784
         PSU 1  :               254178             32534784
 
Using interface : tengigabitethernet 3/5.1000 out
Standard IP access-list : 12
   remark "permit only host pc"
      10 permit host 10.10.10.1
                       Matched packets        Matched bytes
         Total  :             32156826          12058036864
         PSU 1  :             32156826          12058036864
      20 permit host 10.10.10.254
                       Matched packets        Matched bytes
         Total  :                23486             11503104
         PSU 1  :                23486             11503104
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                   45                 5760
         PSU 1  :                   45                 5760
 
Using interface : vlan 10 in
Extended IP access-list : user-area1
      10 permit tcp(6) any host 10.20.10.1 eq http(80)
                       Matched packets        Matched bytes
         Total  :          25800211584       38700317376022
         PSU 1  :          25800211584       38700317376022
      20 permit tcp(6) any host 10.20.10.2 eq http(80)
                       Matched packets        Matched bytes
         Total  :            745286301        1117929451532
         PSU 1  :            745286301        1117929451532
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                 4178              3342486
         PSU 1  :                 4178              3342486
 
Using interface : vlan 10 out
Standard IP access-list : user-area2
   remark "permit user-1"
      10 permit host 10.20.10.1
                       Matched packets        Matched bytes
         Total  :         451032156826      676548235239032
         PSU 1  :         451032156826      676548235239032
      20 permit host 10.20.10.2
                       Matched packets        Matched bytes
         Total  :                  286               228816
         PSU 1  :                  286               228816
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                   45                 5760
         PSU 1  :                   45                 5760
 
Using interface : vlan 10 in-mirror
Extended IP access-list : user-mirror1
      10 tcp(6) any host 10.20.10.1 eq http(80) action policy-mirror-list mirror-dest1
                       Matched packets        Matched bytes
         Total  :          25800211584       38700317376022
         PSU 1  :          25800211584       38700317376022
      20 tcp(6) any host 10.20.10.2 eq http(80) action policy-mirror-list mirror-dest2
                       Matched packets        Matched bytes
         Total  :            745286301        1117929451532
         PSU 1  :            745286301        1117929451532
      Implicit-entry
                       Matched packets        Matched bytes
         Total  :                 4178              3342486
         PSU 1  :                 4178              3342486
 
Using interface : vlan 10 out-mirror
Extended IP access-list : user-mirror2
      10 ip host 10.20.10.1 any action policy-mirror-list mirror-dest3
                       Matched packets        Matched bytes
         Total  :         451032156826      676548235239032
         PSU 1  :         451032156826      676548235239032
      20 ip host 10.20.10.2 any action policy-mirror-list mirror-dest4
                       Matched packets        Matched bytes
         Total  :                  286               228816
         PSU 1  :                  286               228816
      Implicit-entry
                       Matched packets        Matched bytes
         Total  :                   45                 5760
         PSU 1  :                   45                 5760
>

[表示説明]

表7‒1 show access-filterコマンドの表示内容

表示項目

表示内容

Using interface : <interface type> <interface number> in

フィルタの受信側にアクセスリストを適用したインタフェース情報

Using interface : <interface type> <interface number> out

フィルタの送信側にアクセスリストを適用したインタフェース情報

Using interface : <interface type> <interface number> in-mirror

ポリシーベースミラーリングの受信側にアクセスリストを適用したインタフェース情報

Using interface : <interface type> <interface number> out-mirror

ポリシーベースミラーリングの送信側にアクセスリストを適用したインタフェース情報

Extended MAC access-list : <access list name>

拡張MACアクセスリスト名

Standard IP access-list : <access list name>

標準IPv4アクセスリスト名

Extended IP access-list : <access list name>

拡張IPv4アクセスリスト名

IPv6 access-list : <access list name>

IPv6アクセスリスト名

Advance access-list : <access list name>

Advanceアクセスリスト名

remark <remark>

アクセスリストコマンドで設定した補足説明

<sequence> {permit | deny} <target flow> <action specification>

アクセスリストコマンドで設定したフィルタのフロー検出条件および動作指定

フィルタで動作しない<action specification>は表示しません。

<sequence> <target flow> <action specification>

アクセスリストコマンドで設定したポリシーベースミラーリングのフロー検出条件および動作指定

ポリシーベースミラーリングで動作しない<action specification>は表示しません。

Implicit-deny

フィルタでの暗黙の廃棄の統計情報

Implicit-entry

ポリシーベースミラーリングでの暗黙の廃棄の統計情報

Total : <matched packets> <matched bytes>

アクセスリストのフロー検出条件に一致したパケット数およびバイト数,または暗黙の廃棄に一致したパケット数およびバイト数

PSUがactiveではない,フィルタエントリが設定されていない,または設定中のため統計情報が表示できない場合は"-"を表示します。

PSU <psu no.> : <matched packets> <matched bytes>

アクセスリストを設定しているPSUごとのアクセスリストのフロー検出条件に一致したパケット数およびバイト数,または暗黙の廃棄に一致したパケット数およびバイト数

PSUがactiveではない場合は"Not active"を表示します。

フィルタエントリが設定されていない,または設定中の場合は"Unset"を表示します。

注※ MACヘッダからFCSまでのバイト数を表示します。

[通信への影響]

なし

[応答メッセージ]

表7‒2 show access-filterコマンドの応答メッセージ一覧

メッセージ

内容

The command cannot be executed in the standby system.

このコマンドは待機系では実行できません。

The command cannot be executed. Try again.

コマンドを実行できません。再実行してください。

The command is not authorized by the RADIUS/TACACS+ server or the configuration.

このコマンドはRADIUSサーバ,TACACS+サーバ,またはコンフィグレーションで承認されていません。

The specified access-group does not exist.

指定したインタフェースにアクセスグループが設定されていません。指定したパラメータやアクセスグループの設定を確認して再実行してください。

The specified access-list does not exist.

指定したアクセスリスト名のアクセスリストが設定されていません。指定したパラメータやアクセスリストの設定を確認して再実行してください。

The specified interface does not exist.

指定したインタフェースが設定されていません。指定したパラメータを確認して再実行してください。

The specified interface type is incorrect.

指定した<interface type>が不正です。指定パラメータを確認して再実行してください。

The specified sequence number does not exist.

指定したシーケンス番号にアクセスリストが設定されていません。指定したパラメータやアクセスリストの設定を確認して再実行してください。

[注意事項]

なし