IPv6 アクセスリスト¶
コマンド一覧
| コマンド | コマンドの機能 |
|---|---|
| ipv6 access-list ip | IPv6 アクセスリストの登録 (IP) |
| ipv6 access-list tcp | IPv6 アクセスリストの登録 (TCP) |
| ipv6 access-list udp | IPv6 アクセスリストの登録 (UDP) |
| ipv6 access-list icmp | IPv6 アクセスリストの登録 (ICMP) |
| ipv6 access-list cache | IPv6 アクセスリスト・キャッシュサイズの設定 |
| ipv6 access-list cache timeout | IPv6 アクセスリスト・キャッシュタイムアウトの設定 |
| ipv6 access-list dynamic | IPv6 ダイナミックアクセスリストの登録 |
| ipv6 access-list dynamic cache | IPv6 ダイナミックアクセスリスト・キャッシュサイズの設定 |
| ipv6 access-list dynamic timer | IPv6 ダイナミックアクセスリストタイマーの設定 |
| ipv6 access-list option nocache | IPv6 アクセスリストのキャッシュ無効設定 |
| ipv6 access-list option optimize | IPv6 アクセスリストの最適化設定 |
| ipv6 access-list sequence-mode | IPv6 アクセスリスト・入力モードの設定 |
| show ipv6 access-list | IPv6 アクセスリストの表示 |
| show ipv6 access-list cache | IPv6 アクセスリスト・キャッシュの表示 |
| show ipv6 access-list dynamic | IPv6 ダイナミックアクセスリストの表示 |
| clear ipv6 access-list cache | IPv6 アクセスリスト・キャッシュのクリア |
| clear ipv6 access-list dynamic hit-count | IPv6 ダイナミックアクセスリストカウンタのクリア |
| clear ipv6 access-list hit-count | IPv6 アクセスリストカウンタのクリア |
IPv6 アクセスリストの登録 (IP)¶
[入力形式]
ipv6 access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } { PROTOCOL | ip }src SRC dest DEST [ tc TRAFFIC-CLASS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]no ipv6 access-list ACCESSLIST-NAME [ ... ]
[パラメータ]
ACCESSLIST-NAME...IPv6 アクセスリスト名
- 15文字以内の文字列
SEQUENCE...シーケンス番号
- 範囲: 1~4294967295
permit...許可
deny...拒否
PROTOCOL...プロトコル番号
- 範囲: 1〜255
ip...全IPv6プロトコル
SRC/DEST...送信元/送信先IPv6アドレス
- IPv6アドレス/ネットマスク 0〜128
- IPv6アドレス + WILDCARD-BIT(IPv6形式)
- any...すべて
TRAFFIC-CLASS...traffic-class
- 範囲: 0〜15
PRECEDENCE...precedence
- 範囲: 0〜7
DSCP...dscp
- 範囲: 0〜63
fragments...フラグメントパケットを指定
- [説明]
- パケットをさまざまな条件で判定し、許可または拒否を決定する機能です。複数の条件を登録でき、登録した順に評価します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
[入力例]
ipv6 access-list list1 permit ip src any dest anyipv6 access-list list2 deny ip src any dest 2001:db8::/32
- [ノート]
- TCP/UDP/ICMP を指定したアクセスリストは、別途専用の項目を参照してください。アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、パラメータを指定した場合は一致するエントリのみを削除します。
- [IX2000/IX3000シリーズ差分]
- src-domain、dest-domainオプション未対応
- linkmgrオプション未対応
IPv6 アクセスリストの登録 (TCP)¶
[入力形式]
ipv6 access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } tcp [ FLAGS ]src SRC [ sport OPERATOR PORT ] dest DEST [ dport OPERATOR PORT ][ tc TRAFFIC-CLASS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]no ipv6 access-list ACCESSLIST-NAME [ ... ]
[パラメータ]
ACCESSLIST-NAME...IPv6 アクセスリスト名
- 15文字以内の文字列
SEQUENCE...シーケンス番号
- 範囲: 1~4294967295
permit...許可
deny...拒否
FLAGS...TCPヘッダの制御フラグ
- ack|fin|psh|rst|syn|urg:該当フラグがON
- established :(ACKまたはRSTビットがON)
SRC/DEST...送信元/送信先IPv6アドレス
- IPv6アドレス/ネットマスク 0〜128
- IPv6アドレス + WILDCARD-BIT(IPv6形式)
- any...すべて
OPERATOR...ポート番号演算子
- lt :より小さい (less than)
- gt :より大きい (greater than)
- eq :同一 (equal)
- neq :同一でない (not equal)
- range:範囲指定
- any :すべて
PORT...ポート番号
- any,range以外: 1〜65535
- range: [最小ポート番号] [最大ポート番号]
TRAFFIC-CLASS...traffic-class
- 範囲: 0〜15
PRECEDENCE...precedence
- 範囲: 0〜7
DSCP...dscp
- 範囲: 0〜63
fragments...フラグメントパケットを指定
- [説明]
- TCPのパケットをさまざまな条件で判定し、許可または拒否を決定する機能です。複数の条件を登録でき、登録した順に評価します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
[入力例]
ipv6 access-list list1 deny tcp src any sport range 67 100 dest any dport anyipv6 access-list list1 permit tcp established src any sport any dest any dport any
- [ノート]
- アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、パラメータを指定した場合は一致するエントリのみを削除します。
- [IX2000/IX3000シリーズ差分]
- src-domain、dest-domainオプション未対応
- linkmgrオプション未対応
IPv6 アクセスリストの登録 (UDP)¶
[入力形式]
ipv6 access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } udpsrc SRC [ sport OPERATOR PORT ] dest DEST [ dport OPERATOR PORT ][ tc TRAFFIC-CLASS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]no ipv6 access-list ACCESSLIST-NAME [ ... ]
[パラメータ]
ACCESSLIST-NAME...IPv6 アクセスリスト名
- 15文字以内の文字列
SEQUENCE...シーケンス番号
- 範囲: 1~4294967295
permit...許可
deny...拒否
SRC/DEST...送信元/送信先IPv6アドレス
- IPv6アドレス/ネットマスク 0〜128
- IPv6アドレス + WILDCARD-BIT(IPv6形式)
- any...すべて
OPERATOR...ポート番号演算子
- lt :より小さい (less than)
- gt :より大きい (greater than)
- eq :同一 (equal)
- neq :同一でない (not equal)
- range:範囲指定
- any :すべて
PORT...ポート番号
- any,range以外: 1〜65535
- range: [最小ポート番号] [最大ポート番号]
TRAFFIC-CLASS...traffic-class
- 範囲: 0〜15
PRECEDENCE...precedence
- 範囲: 0〜7
DSCP...dscp
- 範囲: 0〜63
fragments...フラグメントパケットを指定
- [説明]
- UDPのパケットをさまざまな条件で判定し、許可または拒否を決定する機能です。複数の条件を登録でき、登録した順に評価します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
[入力例]
ipv6 access-list list1 deny udp src any sport range 67 100 dest any dport any
- [ノート]
- アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、パラメータを指定した場合は一致するエントリのみを削除します。
- [IX2000/IX3000シリーズ差分]
- src-domain、dest-domainオプション未対応
- linkmgrオプション未対応
IPv6 アクセスリストの登録 (ICMP)¶
[入力形式]
ipv6 access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } icmp[ type TYPE [ code CODE ] | ICMP-MESSAGE ]src SRC dest DEST[ tc TRAFFIC-CLASS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]no ipv6 access-list ACCESSLIST-NAME [ ... ]
[パラメータ]
ACCESSLIST-NAME...IPv6 アクセスリスト名
- 15文字以内の文字列
SEQUENCE...シーケンス番号
- 範囲: 1~4294967295
permit...許可
deny...拒否
CODE...ICMP code
- 範囲: 0〜255
ICMP-MESSAGE...ICMPメッセージ
- address-unreachable
- administratively-prohibited
- beyond-scope
- echo
- echo-reply
- group-membership-query
- group-membership-report
- group-membership-report-v2
- group-membership-termination
- header-field-error
- hop-limit-exceeded
- ipv6-option-unrecognized
- neighbor-advertisement
- neighbor-solicitation
- next-header-unrecognized
- no-route
- packet-too-big
- parameter-problem
- port-unreachable
- reassembly-timeout
- redirect
- router-advertisement
- router-solicitation
- time-exceeded
- unreachable
SRC/DEST...送信元/送信先IPv6アドレス
- IPv6アドレス/ネットマスク 0〜128
- IPv6アドレス + WILDCARD-BIT(IPv6形式)
- any...すべて
TRAFFIC-CLASS...traffic-class
- 範囲: 0〜15
PRECEDENCE...precedence
- 範囲: 0〜7
DSCP...dscp
- 範囲: 0〜63
fragments...フラグメントパケットを指定
- [説明]
- ICMPのパケットをさまざまな条件で判定し、許可または拒否を決定する機能です。複数の条件を登録でき、登録した順に評価します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
[入力例]
ipv6 access-list list1 permit icmp src any dest anyipv6 access-list list1 deny icmp port-unreachable src any dest any
- [ノート]
- アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、パラメータを指定した場合は一致するエントリのみを削除します。
- [IX2000/IX3000シリーズ差分]
- src-domain、dest-domainオプション未対応
- linkmgrオプション未対応
IPv6 アクセスリスト・キャッシュサイズの設定¶
- [入力形式]
- ipv6 access-list cache [ CACHE-SIZE ]no ipv6 access-list cache
- [パラメータ]
CACHE-SIZE...キャッシュサイズ
- 範囲: 1~100000
- [説明]
- アクセスリストのキャッシュサイズを設定します。
- [デフォルト値]
- 20000
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipv6 access-list cache 2048no ipv6 access-list cache
- [ノート]
- なし
IPv6 アクセスリスト・キャッシュタイムアウトの設定¶
- [入力形式]
- ipv6 access-list cache timeout TIMEOUTno ipv6 access-list cache timeout
- [パラメータ]
TIMEOUT...タイムアウト(秒)
- 範囲: 1~600
- [説明]
- アクセスリストのキャッシュタイムアウトを設定します。
- [デフォルト値]
- 30
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipv6 access-list cache timeout 10no ipv6 access-list cache timeout
- [ノート]
- なし
IPv6 ダイナミックアクセスリストの登録¶
- [入力形式]
- ipv6 access-list dynamic ACCESSLIST-NAME PROTOCOL [ PORT ] src SRC dest DESTipv6 access-list dynamic ACCESSLIST-NAME access ACL [ in ACL [ out ACL ] ]no ipv6 access-list dynamic ACCESSLIST-NAME [ ... ]
- [パラメータ]
ACCESSLIST-NAME...IPv6 ダイナミックアクセスリスト名
- 15文字以内の文字列
PROTOCOL...プロトコル
- ftp :FTP
- tftp :TFTP
- http :HTTP
- telnet :Telnet
PORT...ポート番号 (ftp, tftp選択時)
- 範囲: 1~65535
SRC/DEST...送信元/送信先IPv6アドレス
- IPv6アドレス/ネットマスク 0〜128
- IPv6アドレス + WILDCARD-BIT(IPv6形式)
- any...すべて
ACL...IPv6 アクセスリスト名
- 15文字以内の文字列
- [説明]
- ダイナミックフィルタで使用するダイナミックアクセスリストを登録します。プロトコルまたはアクセスリストで指定した通信を、内側から開始した場合のみ許可するフィルタとして動作します。アクセスリストを指定する形式では、通信検出時に他の通信を許可することも可能です。in (accessと逆の方向)、out (accessの方向) を指定した場合、指定した方向の通信を許可します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipv6 access-list dynamic dynamic1 telnet src 2001:db8::/64 dest anyipv6 access-list dynamic dynamic2 access static2ipv6 access-list dynamic dynamic3 access static3-1 in static3-2 out static3-3no ipv6 access-list dynamic dynamic1no ipv6 access-list dynamic dynamic2 access static2
- [ノート]
- 外部からの通信を破棄するようにフィルタを設定しておく必要があります。
IPv6 ダイナミックアクセスリスト・キャッシュサイズの設定¶
- [入力形式]
- ipv6 access-list cache [ CACHE-SIZE ]no ipv6 access-list cache
- [パラメータ]
CACHE-SIZE...キャッシュサイズ
- 範囲:1~250000
- [説明]
- アクセスリストのキャッシュサイズを設定します。
- [デフォルト値]
- 32768
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipv6 access-list cache 2048no ipv6 access-list cache
- [ノート]
- なし
IPv6 ダイナミックアクセスリストタイマーの設定¶
- [入力形式]
- ipv6 access-list dynamic timer TIMER-TYPE TIMEno ipv6 access-list dynamic timer [ TIMER-TYPE ]
- [パラメータ]
TIMER-TYPE...タイマーの種類
tcp-syn-timeout...
SYNを受けてから設定された時間内にデータが流れなければセッションを切断します。
tcp-fin-timeout...
FINを受けてから設定された時間内にデータが流れなければセッションを切断します。
tcp-idle-time...
設定された時間内にTCPセッションのデータが流れなければセッションを切断します。
udp-idle-time...
設定された時間内にUDPセッションのデータが流れなければセッションを切断します。
icmp-timeout...
設定された時間内にICMPセッションのデータが流れなければセッションを切断します。
global-timeout...上記に該当しないセッションは、この設定に従います。
設定された時間内にデータが流れなければセッションを切断します。
TIME...待ち時間(秒)
- 範囲: 0〜259200
- [説明]
- ダイナミックアクセスリストが適用されたセッションの、切断までの待ち時間を設定します。
- [デフォルト値]
- tcp-syn-timeout : 30
- tcp-fin-timeout : 5
- tcp-idle-time : 300
- udp-idle-time : 30
- icmp-timeout : 30
- global-timeout : 60
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipv6 access-list dynamic timer tcp-syn-timeout 10no ipv6 access-list dynamic timer tcp-syn-timeout
- [ノート]
- なし
IPv6 アクセスリストのキャッシュ無効設定¶
- [入力形式]
- ipv6 access-list ACCESSLIST-NAME option nocacheno ipv6 access-list ACCESSLIST-NAME option nocache
- [パラメータ]
- ACCESSLIST-NAME...IPv6 アクセスリスト名
- [説明]
- 指定されたアクセスリストのキャッシュ作成を無効にします。
- [デフォルト値]
- キャッシュ有効
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipv6 access-list list1 option nocacheno ipv6 access-list list1 option nocache
- [ノート]
- なし
IPv6 アクセスリストの最適化設定¶
- [入力形式]
- ipv6 access-list ACCESSLIST-NAME option optimizeno ipv6 access-list ACCESSLIST-NAME option optimize
- [パラメータ]
- ACCESSLIST-NAME...IPv6 アクセスリスト名
- [説明]
- 多数の条件を登録したアクセスリストの検索処理を最適化します。noコマンドにより最適化リストが破棄され登録順に評価されます。
- [デフォルト値]
- 最適化なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipv6 access-list list1 option optimizeno ipv6 access-list list1 option optimize
- [ノート]
- なし
IPv6 アクセスリスト・入力モードの設定¶
- [入力形式]
- ipv6 access-list ACCESSLIST-NAME sequence-mode [ INTERVAL ]no ipv6 access-list ACCESSLIST-NAME sequence-mode
- [パラメータ]
ACCESSLIST-NAME...IPv6 アクセスリスト名
- 15文字以内の文字列
INTERVAL...シーケンス番号の自動付与間隔
- 範囲: 1~1000
- デフォルト値: 100
- [説明]
- シーケンス番号指定モード (Sequenceモード) に変更し、既存のアクセスリスト設定にシーケンス番号を付与します。noコマンドにより通常モード (Normalモード) に変更し、既存のアクセスリスト設定からシーケンス番号を削除します。
- [デフォルト値]
- 通常モード
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipv6 access-list rule1 sequence-mode 50no ipv6 access-list rule1 sequence-mode
- [ノート]
- なし
IPv6 アクセスリストの表示¶
- [入力形式]
- show ipv6 access-list [ ACCESSLIST-NAME ]
- [パラメータ]
- ACCESSLIST-NAME...IPv6 アクセスリスト名
- [説明]
- アクセスリスト情報を表示します。ACCESSLIST-NAME 省略時は全アクセスリストの一覧を表示します。ACCESSLIST-NAME 指定時は詳細情報を表示します。
- [デフォルト値]
- なし
- [実行モード]
- EXECモードグローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipv6 access-listshow ipv6 access-list 300
- [ノート]
- なし
IPv6 アクセスリスト・キャッシュの表示¶
- [入力形式]
- show ipv6 access-list cache
- [パラメータ]
- なし
- [説明]
- アクセスリストのキャッシュ内容を表示します。
- [デフォルト値]
- なし
- [実行モード]
- EXECモードグローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipv6 access-list cache
- [ノート]
- なし
IPv6 ダイナミックアクセスリストの表示¶
- [入力形式]
- show ipv6 access-list dynamic [ ACCESSLIST-NAME ]
- [パラメータ]
- ACCESSLIST-NAME...IPv6 ダイナミックアクセスリスト名
- [説明]
- ダイナミックアクセスリスト情報を表示します。ACCESSLIST-NAME 省略時は、全ダイナミックアクセスリストの一覧を表示します。ACCESSLIST-NAME 指定時は、詳細情報を表示します。
- [デフォルト値]
- なし
- [実行モード]
- EXECモードグローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipv6 access-list dynamic dynamic1
- [ノート]
- なし
IPv6 アクセスリスト・キャッシュのクリア¶
- [入力形式]
- clear ipv6 access-list cache
- [パラメータ]
- なし
- [説明]
- アクセスリストのキャッシュをクリアします。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- clear ipv6 access-list cache
- [ノート]
- なし
IPv6 ダイナミックアクセスリストカウンタのクリア¶
- [入力形式]
- clear ipv6 access-list dynamic hit-count [ ACCESSLIST-NAME ]
- [パラメータ]
- ACCESSLIST-NAME...IPv6 ダイナミックアクセスリスト名
- [説明]
- ダイナミックアクセスリストのカウンタをクリアします。ACCESSLIST-NAME を省略時は、すべてのダイナミックアクセスリストのカウンタをクリアします。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- clear ipv6 access-list dynamic hit-count 3000
- [ノート]
- なし
IPv6 アクセスリストカウンタのクリア¶
- [入力形式]
- clear ipv6 access-list hit-count [ ACCESSLIST-NAME ]
- [パラメータ]
- ACCESSLIST-NAME...IPv6 アクセスリスト名
- [説明]
- アクセスリストのカウンタをクリアします。ACCESSLIST-NAME を省略時は、すべてのアクセスリストのカウンタをクリアします。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- clear ipv6 access-list hit-count 3000
- [ノート]
- なし