コンフィグレーションガイド Vol.2


9.3.2 フィルタの確認

show access-filterコマンドでフィルタの動作を確認できます。インタフェースを範囲指定すると,複数インタフェースのフィルタの動作を確認できます。

〈この項の構成〉

(1) イーサネットインタフェースに設定されたエントリの確認

イーサネットインタフェースにフィルタを設定した場合の動作確認を次の図に示します。

図9‒3 イーサネットインタフェースにフィルタを設定した場合の動作確認
> show access-filter interface gigabitethernet 1/1 IPX_DENY in
Date 20XX/01/01 12:00:00 UTC
Using interface : gigabitethernet 1/1 in
Extended MAC access-list : IPX_DENY
      10 deny any any ipx(0x8137)
                       Matched packets        Matched bytes
         Total  :             74699826           4780788864
         PRU 1  :             74699826           4780788864
      20 permit any any
                       Matched packets        Matched bytes
         Total  :               718235             45967040
         PRU 1  :               718235             45967040
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                    0                    0
         PRU 1  :                    0                    0

指定したイーサネットインタフェースのフィルタに「Extended MAC access-list」が表示されることを確認します。フロー検出条件に一致したフレームはMatched packetsおよびMatched bytesで確認します。また,暗黙の廃棄に一致したフレームはImplicit-denyのMatched packetsおよびMatched bytesで確認します。

(2) ポートチャネルサブインタフェースに設定されたエントリの確認

ポートチャネルサブインタフェースにフィルタを設定した場合の動作確認を次の図に示します。

図9‒4 ポートチャネルサブインタフェースにフィルタを設定した場合の動作確認
> show access-filter interface port-channel 10.10 HTTP_DENY in
Date 20XX/01/01 12:00:00 UTC
Using interface : port-channel 10.10 in
Extended IP access-list : HTTP_DENY
      10 deny tcp(6) any any eq http(80)
                       Matched packets        Matched bytes
         Total  :              1052789            161801506
         PRU 1  :               894321            151659506
         PRU 3  :               158468             10142000
      20 permit ip any any
                       Matched packets        Matched bytes
         Total  :            100535750          15476889608
         PRU 1  :             74699826          11653172856
         PRU 3  :             25835924           3823716752
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                    0                    0
         PRU 1  :                    0                    0
         PRU 3  :                    0                    0

指定したポートチャネルサブインタフェースのフィルタに「Extended IP access-list」が表示されることを確認します。フロー検出条件に一致したフレームはMatched packetsおよびMatched bytesで確認します。また,暗黙の廃棄に一致したフレームはImplicit-denyのMatched packetsおよびMatched bytesで確認します。

(3) VLANインタフェースに設定されたエントリの確認

VLANインタフェースにフィルタを設定した場合の動作確認を次の図に示します。

図9‒5 VLANインタフェースにフィルタを設定した場合の動作確認
> show access-filter interface vlan 10 ADVANCE_FLOOR_V6_PERMIT in
Date 20XX/01/01 12:00:00 UTC
Using interface : vlan 10 in
Advance access-list : ADVANCE_FLOOR_V6_PERMIT
   remark "permit only Floor-A"
      10 permit mac-ipv6 0012.e200.1234 0000.0000.ffff any ipv6 any any
                       Matched packets        Matched bytes
         Total  :              2999899            475262518
         PRU 1  :              2682963            454978518
         PRU 3  :               316936             20284000
      Implicit-deny
                       Matched packets        Matched bytes
         Total  :                    0                    0
         PRU 1  :                    0                    0
         PRU 3  :                    0                    0

指定したVLANインタフェースのフィルタに「Advance access-list」が表示されることを確認します。フロー検出条件に一致したフレームはMatched packetsおよびMatched bytesで確認します。また,暗黙の廃棄に一致したフレームはImplicit-denyのMatched packetsおよびMatched bytesで確認します。