advance access-group
インタフェースに対してAdvanceアクセスリストを適用して,Advanceフィルタ機能を有効にします。適用できるインタフェースを次に示します。
-
イーサネットインタフェース
-
イーサネットサブインタフェース
-
ポートチャネルサブインタフェース
-
VLANインタフェース
ポリシーベースルーティングのパラメータを設定したアクセスリストをインタフェースに適用するときは,フィルタのInbound(受信側)を指定してください。
[入力形式]
- 情報の設定
advance access-group <access list name> {in | out | in-mirror | out-mirror}
- 情報の削除
no advance access-group <access list name> {in | out | in-mirror | out-mirror}
[入力モード]
- (config-if)
-
イーサネットインタフェース,VLANインタフェース
- (config-subif)
-
イーサネットサブインタフェース,ポートチャネルサブインタフェース
[パラメータ]
- <access list name>
-
Advanceフィルタのアクセスリスト名を指定します。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
31文字以内のアクセスリスト名を指定します。
詳細は,「パラメータに指定できる値」を参照してください。
-
- {in | out | in-mirror | out-mirror}
-
フィルタのInboundかOutbound,またはポリシーベースミラーリングのInboundかOutboundを指定します。
in:フィルタのInbound(受信側の指定)
out:フィルタのOutbound(送信側の指定)
in-mirror:ポリシーベースミラーリングのInbound(受信側の指定)
out-mirror:ポリシーベースミラーリングのOutbound(送信側の指定)
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
なし
-
[コマンド省略時の動作]
なし
[通信への影響]
フィルタの暗黙の廃棄エントリがある場合,1エントリ以上を設定したアクセスリストをインタフェースから削除するときは,すべてのエントリが削除されるまでの間,該当インタフェースで受信したパケットが暗黙の廃棄エントリで一時的に廃棄されます。
[設定値の反映契機]
設定値変更後,すぐに運用に反映されます。
[注意事項]
-
フロー検出モードがcondition-orientedのときに設定できます。
-
同一のインタフェースに対して,フィルタのInboundとOutbound,およびポリシーベースミラーリングのInboundとOutboundにそれぞれ一つ設定できます。すでに設定されている場合,削除してから設定してください。
-
実在しないAdvanceフィルタを設定した場合は何も動作しません。Advanceフィルタのアクセスリスト名は登録されます。
-
フロー検出条件種別にmac-ipを指定し,フロー検出条件にown-addressまたはown-prefixパラメータがある場合は,対象インタフェースにIPv4アドレスが設定されているときに設定できます。
-
フロー検出条件種別にmac-ipv6を指定し,フロー検出条件にown-addressまたはown-prefixパラメータがある場合は,対象インタフェースに一つだけIPv6グローバルアドレスが設定されているときに設定できます。
-
ポリシーベースルーティングの指定がある場合,フロー検出条件の宛先IPv4アドレスに,対象インタフェースに設定されているIPv4アドレスは設定できません。
-
ポリシーベースルーティングの指定がある場合,フロー検出条件の宛先IPv6アドレスに,対象インタフェースに設定されているIPv6グローバルアドレスは設定できません。
-
フロー検出条件にinterfaceパラメータが指定されている場合,イーサネットインタフェースだけに設定できます。
-
フロー検出条件にinterfaceパラメータが指定されている場合,対応するインタフェースが設定されているときだけ設定できます。
-
フロー検出条件の宛先MACアドレスにunicast-floodが指定されている場合,Outbound(送信側)だけに設定できます。
-
フロー検出条件にinner-untagged,inner-user-priority,またはinner-tag-vlanパラメータが指定されている場合,アクセスポートおよびトンネリングポートのOutbound(送信側)には設定できません。
-
policy-mirror-listパラメータを指定したアクセスリストをフィルタに適用した場合,policy-mirror-listパラメータは無効となります。
-
policy-listパラメータを指定したアクセスリストをポリシーベースミラーリングに適用した場合,policy-listパラメータは無効となります。
-
denyコマンドを指定したアクセスリストをポリシーベースミラーリングに適用した場合,deny動作は無効となります。
-
logパラメータを指定したアクセスリストをポリシーベースミラーリングに適用した場合,logパラメータは無効となります。
[関連コマンド]
advance access-list flow detection mode