permit(ipv6 access-list)
IPv6フィルタでのアクセスを許可する条件を指定します。
+foパラメータをフロー検出条件とする場合,レイヤ4ヘッダ条件はフロー検出条件に指定できません。
[入力形式]
- 情報の設定・変更
[<sequence>] permit <target flow> [<action specification>]
- 情報の削除
no <sequence>
<target flow>:
- +foパラメータなしで,上位プロトコルがTCP,UDPおよびICMP以外の場合
{ipv6 | <protocol>} {<source ipv6>/<length> | host {<source ipv6> | own-address} | any | own-address <own address length>} {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own-prefix | range-address <destination ipv6 start> <destination ipv6 end>} [{traffic-class <traffic class> | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [-fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]- +foパラメータなしで,上位プロトコルがTCPの場合
tcp {<source ipv6>/<length> | host {<source ipv6> | own-address} | any | own-address <own address length>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own-prefix | range-address <destination ipv6 start> <destination ipv6 end>} [{{eq | neq} <destination port> | range <destination port start> <destination port end>}] [{[established] | [{+ack | -ack}] [{+fin | -fin}] [{+psh | -psh}] [{+rst | -rst}] [{+syn | -syn}] [{+urg | -urg}]}] [{traffic-class <traffic class> | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [-fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]- +foパラメータなしで,上位プロトコルがUDPの場合
udp {<source ipv6>/<length> | host {<source ipv6> | own-address} | any | own-address <own address length>} [{{eq | neq} <source port> | range <source port start> <source port end>}] {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own-prefix | range-address <destination ipv6 start> <destination ipv6 end>} [{{eq | neq}<destination port> | range <destination port start> <destination port end>}] [{traffic-class <traffic class> | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [-fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]- +foパラメータなしで,上位プロトコルがICMPの場合
icmp {<source ipv6>/<length> | host {<source ipv6> | own-address} | any | own-address <own address length>} {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own-prefix | range-address <destination ipv6 start> <destination ipv6 end>} [{{<icmp type> | range <icmp type start> <icmp type end>} [<icmp code>] | <icmp message>}] [{traffic-class <traffic class> | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [-fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]- +foパラメータありの場合
{ipv6 | <protocol> | icmp | tcp | udp} {<source ipv6>/<length> | host {<source ipv6> | own-address} | any | own-address <own address length>} {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own-prefix | range-address <destination ipv6 start> <destination ipv6 end>} [{traffic-class <traffic class> | dscp {<dscp> | range <dscp start> <dscp end>}}] [length {upper | lower} <length>] [{+mf | -mf}] [+fo] [interface <interface type> <interface number>] [{untagged | user-priority {<priority> | range <priority start> <priority end>}}]
<action specification>:
action {policy-list <policy list name> | policy-mirror-list <destination interface list name>}[入力モード]
(config-ipv6-acl)
[パラメータ]
- <sequence>
-
フロー検出条件の適用順序であるシーケンス番号を指定します。
-
本パラメータ省略時の初期値
アクセスリスト内に条件がない場合,初期値は10です。
条件を指定してある場合,指定してあるシーケンス番号の最大値+10です。
ただし,シーケンス番号の最大値が4294967284より大きい値を指定した場合は省略できません。
-
値の設定範囲
1〜4294967294(10進数)を指定します。
-
- <target flow>パラメータ
-
- {ipv6 | <protocol> | icmp | tcp | udp}
-
IPv6パケットの上位プロトコル条件を指定します。ただし,すべてのプロトコルを対象とする場合はipv6を指定します。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
1〜42,45〜49,52〜59,61〜255(10進数),またはプロトコル名称を指定します。
指定できるプロトコル名称は「表7‒4 指定可能なプロトコル名称(IPv6)」を参照してください。
-
- {<source ipv6>/<length> | host {<source ipv6> | own-address} | any | own-address <own address length>}
-
送信元IPv6アドレスを指定します。
host <source ipv6>を指定すると,<source ipv6>の完全一致をフロー検出条件とします。
すべての送信元IPv6アドレスを指定する場合はanyを指定します。anyを指定すると,送信元IPv6アドレスをフロー検出条件とはしません。
own-addressを指定すると,対象インタフェースに設定されているIPv6グローバルアドレスを送信元IPv6アドレスとしてフロー検出条件とします。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
<source ipv6>には送信元IPv6アドレスを指定します。
<length>にはIPv6アドレスの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
<own address length>にはown-addressの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
<source ipv6>(nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn):0:0:0:0:0:0:0:0〜ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
<length>:0〜128
-
- {{eq | neq} <source port> | range <source port start> <source port end>}
-
送信元ポート番号を指定します。
プロトコルがTCPおよびUDPだけのオプションです。
eqを指定すると,<source port>の完全一致をフロー検出条件とします。
neqを指定すると,<source port>以外をフロー検出条件とします。
rangeを指定すると,<source port start>から<source port end>の範囲をフロー検出条件とします。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜65535(10進数)またはポート名称を指定します。
指定できるポート名称は「表7‒5 TCPで指定可能なポート名称」および「表7‒7 UDPで指定可能なポート名称(IPv6)」を参照してください。
<source port end>には<source port start>より大きいポート番号を指定してください。
-
- {<destination ipv6>/<length>| host {<destination ipv6> | own-address} | any | own-address <own address length> | own-prefix | range-address <destination ipv6 start> <destination ipv6 end>}
-
宛先IPv6アドレスを指定します。
host <destination ipv6>を指定すると,<destination ipv6>の完全一致をフロー検出条件とします。
すべての宛先IPv6アドレスを指定する場合はanyを指定します。anyを指定すると,宛先IPv6アドレスをフロー検出条件とはしません。
own-addressを指定すると,対象インタフェースに設定されているIPv6グローバルアドレスを宛先IPv6アドレスとしてフロー検出条件とします。
own-prefixを指定すると,対象インタフェースに設定されているIPv6グローバルアドレスを宛先IPv6アドレス,IPv6グローバルアドレスのプレフィックス長を<length>としてフロー検出条件にします。
range-addressを指定すると,<destination ipv6 start>から<destination ipv6 end>の範囲をフロー検出条件とします。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
<destination ipv6>には宛先IPv6アドレスを指定します。
<length>にはIPv6アドレスの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
<own address length>にはown-addressの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。
<destination ipv6 end>には<destination ipv6 start>より大きいIPv6アドレスを指定してください。
<destination ipv6>(nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn):0:0:0:0:0:0:0:0〜ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
<length>:0〜128
-
- {{eq | neq} <destination port> | range <destination port start> <destination port end>}
-
宛先ポート番号を指定します。
プロトコルがTCPおよびUDPだけのオプションです。
eqを指定すると,<destination port>の完全一致をフロー検出条件とします。
neqを指定すると,<destination port>以外をフロー検出条件とします。
rangeを指定すると,<destination port start>から<destination port end>の範囲をフロー検出条件とします。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜65535(10進数)またはポート名称を指定します。
指定できるポート名称は「表7‒5 TCPで指定可能なポート名称」および「表7‒7 UDPで指定可能なポート名称(IPv6)」を参照してください。
<destination port end>には<destination port start>より大きいポート番号を指定してください。
-
- traffic-class <traffic class>
-
トラフィッククラスフィールド値を指定します。
パケットのトラフィッククラスフィールドと比較します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜255(10進数)を指定します。
-
- dscp {<dscp> | range <dscp start> <dscp end>}
-
トラフィッククラスフィールドの上位6ビットであるDSCP値を指定します。
rangeを指定すると,<dscp start>から<dscp end>の範囲をフロー検出条件とします。
パケットのトラフィッククラスフィールド上位6ビットと比較します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜63(10進数)またはDSCP名称を指定します。
指定できるDSCP名称は「表7‒10 指定可能なDSCP名称」を参照してください。
rangeを指定する場合,<dscp start>と<dscp end>にはDSCP値を指定し,<dscp end>には<dscp start>より大きいDSCP値を指定してください。
-
- established
-
TCPヘッダのACKフラグまたはRSTフラグが1のパケットの検出を指定します。
プロトコルがTCPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- {+ack | -ack}
-
TCPヘッダのACKフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
+ackはACKフラグが1のパケット,-ackはACKフラグが0のパケットとなります。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- {+fin | -fin}
-
TCPヘッダのFINフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
+finはFINフラグが1のパケット,-finはFINフラグが0のパケットとなります。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- {+psh | -psh}
-
TCPヘッダのPSHフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
+pshはPSHフラグが1のパケット,-pshはPSHフラグが0のパケットとなります。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- {+rst | -rst}
-
TCPヘッダのRSTフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
+rstはRSTフラグが1のパケット,-rstはRSTフラグが0のパケットとなります。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- {+syn | -syn}
-
TCPヘッダのSYNフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
+synはSYNフラグが1のパケット,-synはSYNフラグが0のパケットとなります。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- {+urg | -urg}
-
TCPヘッダのURGフラグの検出を指定します。
プロトコルがTCPだけのオプションです。
+urgはURGフラグが1のパケット,-urgはURGフラグが0のパケットとなります。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- {<icmp type> | range <icmp type start> <icmp type end>}
-
ICMPタイプを指定します。
rangeを指定すると,<icmp type start>から<icmp type end>の範囲をフロー検出条件とします。
プロトコルがICMPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜255(10進数)を指定します。
<icmp type end>には<icmp type start>より大きいICMPタイプを指定してください。
-
- <icmp code>
-
ICMPコードを指定します。
プロトコルがICMPだけのオプションです。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜255(10進数)を指定します。
-
- <icmp message>
-
ICMPメッセージ名称を指定します。
プロトコルがICMPだけのオプションです。
指定できるICMPメッセージ名称は「表7‒14 ICMPで指定可能なメッセージ名称(IPv6)」を参照してください。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- length {upper | lower} <length>
-
IPユーザデータ長の上限値または下限値を指定します。
upper:上限値を指定します。<length>以下のパケットをフロー検出条件とします。
lower:下限値を指定します。<length>以上のパケットをフロー検出条件とします。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜65535(10進数)を指定します。
-
- {+mf | -mf}
-
フラグメントヘッダのMフラグの値を指定します。
+mfはMフラグが1のパケット,-mfはMフラグが0のパケットをフロー検出条件とします。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- {+fo | -fo}
-
Fragment Offsetフィールドの値を指定します。
+foはFragment Offsetフィールドの値が0以外のパケット,-foはFragment Offsetフィールドの値が0のパケットをフロー検出条件とします。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- interface <interface type> <interface number>
-
入出力フレームが属するインタフェースを指定します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
<interface type> <interface number>には,次に示すインタフェース種別グループに対応するインタフェース名およびインタフェース番号を指定できます。詳細は,「パラメータに指定できる値」の「■インタフェースの指定方法」を参照してください。
・イーサネットサブインタフェース
・ポートチャネルサブインタフェース
・VLANインタフェース
-
- untagged
-
Untaggedフレームの検出を指定します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- user-priority {<priority> | range <priority start> <priority end>}
-
ユーザ優先度を指定します。
rangeを指定すると,<priority start>から<priority end>の範囲をフロー検出条件とします。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜7(10進数)を指定します。
<priority end>には<priority start>より大きいユーザ優先度を指定してください。
-
- <action specification>パラメータ
-
- action
-
フロー検出したパケットの動作を指定します。<action specification>パラメータ全体の先頭に指定してください。
-
本パラメータ省略時の初期値
なし(動作を指定しません)
-
値の設定範囲
なし
-
- policy-list <policy list name>
-
ポリシーベースルーティングリスト名を指定します。
-
本パラメータ省略時の初期値
なし(ポリシーベースルーティングを使用しません)
-
値の設定範囲
ipv6 policy-listコマンドで設定済みのポリシーベースルーティングリスト名を指定します。
-
- policy-mirror-list <destination interface list name>
-
ポリシーベースミラーリングの送信先インタフェースリスト名を指定します。
-
本パラメータ省略時の初期値
なし(ポリシーベースミラーリングを使用しません)
-
値の設定範囲
destination-interface-listコマンドで設定済みの送信先インタフェースリスト名を指定します。
-
[コマンド省略時の動作]
なし
[通信への影響]
アクセスリストをインタフェースに適用した状態でエントリを変更すると,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信したパケットが一時的に廃棄される場合があります。
[設定値の反映契機]
設定値変更後,すぐに運用に反映されます。
[注意事項]
-
送信元アドレスおよび宛先アドレスの<length>,<own address length>に0と入力したときはanyと表示します。
-
送信元アドレスおよび宛先アドレスの<length>,<own address length>に128と入力したときはhost nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn,host own-addressと表示します。
-
ポリシーベースルーティングを指定する場合,フロー検出条件に指定する送信元IPv6アドレスおよび宛先IPv6アドレスに次のアドレスは指定できません。
- 送信元IPv6アドレス
-
マルチキャストアドレス,リンクローカルアドレス
- 宛先IPv6アドレス
-
マルチキャストアドレス,リンクローカルアドレス,host own-addressパラメータ
[関連コマンド]
ipv6 traffic-filter ipv6 access-list resequence deny (ipv6 access-list) remark ipv6 policy-list destination-interface-list