ACL 管理性を使用した IP アクセス リスト データの表示及びクリア

このモジュールでは、IP アクセス リスト内のエントリおよび各エントリに一致したパケットの数の表示方法について説明します。ユーザーは、ACL 管理性機能を使用して、グローバルに、または、インターフェイスごとのおよび着信または発信トラフィック方向ごとにこれらの統計情報を取得できます。ネットワーク デバイスのさまざまなインターフェイス上の着信または発信トラフィックパターンの詳細表示は、特定のインターフェイスへの攻撃に対してデバイスの保護に役立ちます。このモジュールでは、また、アクセス リスト エントリに一致するパケットの数が 0 から再開されるカウンタをクリアする方法について説明します。

ACL 管理性を使用した IP アクセス リスト データの表示及びクリアに関する情報

ACL 管理性の利点

Cisco IOS リリース 12.4(6)T 以前では、Cisco IOS ソフトウェア内の ACL インフラストラクチャは、ACL 内の各 ACE に対するグローバル統計情報を維持するだけでした。この方法によって、1 つの ACL が複数のインターフェイスに適用される場合、維持された ACE 統計情報は、その ACL が適用されるすべてのインターフェイス上で一致(ヒット)する着信および発信パケットの合計数となります。

ただし、ACE の統計情報がインターフェイスごとおよび着信または発信トラフィック方向ごとに維持される場合、ネットワーク デバイスの様々なインターフェイスにおける着信および発信トラフィック パターンの特定の詳細および ACE の効率性を表示できます。このような情報は、特定のインターフェイス上に着信する攻撃に対するデバイスの保護に役立ちます。

インターフェイス レベルの ACL 統計情報のサポート

Cisco IOS リリース 12.4(6)T により、Cisco IOS ソフトウェア内の ACL インフラストラクチャは、インターフェイスごとの、および ACL に対する着信または発信トラフィック方向ごとの ACE 統計情報の保守、表示、およびクリアをサポートするよう、拡張されます。このサポートは、『インターフェイス レベルの統計情報のサポート』と呼ばれます。


Note

同じアクセス グループ ACL が他の機能によっても使用された場合、保持されているインターフェイス統計情報は、パケット一致が他の機能によって検出される際に、更新されません。この例では、ACL のために維持される、すべてのインターフェイス レベル統計情報の合計は、その ACL に対するグローバル統計情報を集約していない場合があります。

IP アクセス リスト データを表示およびクリアする方法

この項には、IP アクセス リストおよび各リストに一致(ヒット)するパケットの数を表示し、IP アクセス リスト カウンタをクリアするための次の手順が含まれます。


Note

特定のホストまたはネットワークに対するアクセスを拒否し、そのネットワークまたはホストの誰かがアクセスしようとしたかどうかを検出する場合、対応する deny ステートメントを指定した log キーワードを含めます。それによって、その送信元からの拒否されたパケットがログに記録されます。詳細については、「IP アクセス リストの概要」の「IP アクセス リスト ロギング」を参照して下さい。

グローバル IP ACL 統計情報の表示

ルータ上のすべての IP アクセス リストと一致したパケット数を表示するには、次の作業を実行します。

SUMMARY STEPS

  1. enable
  2. show ip access-list [access-list-number | access-list-name ]

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

show ip access-list [access-list-number | access-list-name ]

Example:


Router# show ip access-list limited

IP アクセス リスト情報を表示します。

  • この例では、「名前付きアクセス リストを指定します」を使用するすべてのインターフェイスの統計情報を表示します。

インターフェイス レベル IP ACL 統計情報の表示

このセクションでは、インターフェイスに ACL 用の着信または発信トラフィック方向ごとの IP ACE の統計情報を表示する方法について説明します。この機能は、ACL 管理性と呼ばれています。


Note
  • ACL 管理性サポート対象:
    • 非分散型プラットフォーム ソフトウェアでスイッチングされるだけです。
    • 標準と拡張の静的に設定された ACL と脅威緩和サービス(TMS )ダイナミック ACE です。
  • ACL 管理性サポート対象外:
    • ファイアウォールおよび認証プロキシなど、再帰かつユーザー設定のダイナミック ACL およびダイナミック ACE ブロック。
    • 仮想テンプレートおよび仮想アクセス インターフェイス。
>

SUMMARY STEPS

  1. enable
  2. show ip access-list interface interface-name [in | out ]

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

show ip access-list interface interface-name [in | out ]

Example:


Router# show ip access-list interface FastEthernet 0/0 in

IP アクセス リスト情報を表示します。

  • この例では、FastEthernet インターフェイスに着信するトラフィックに関する統計情報を表示します。

  • ACL のインターフェイス レベルの統計情報に関するデバッグ情報を表示するには、debug ip access-list intstats コマンドを使用します。

アクセス リスト カウンタのクリア

システムは、アクセス リストの各行に一致(ヒット)するパケットの数を数えます。カウンタは、show access-lists EXEC コマンドで表示されます。この作業を行い、アクセス リストのカウンタをクリアします。アクセス リストに一致するゼロから始まるパケットの数を決定しようとする場合に、これを行うことができます。

SUMMARY STEPS

  1. enable
  2. clear ip access-list counters {access-list-number | access-list-name}

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

clear ip access-list counters {access-list-number | access-list-name}

Example:


Router# clear access-list counters corpmark

IP アクセス リストのカウンタをクリアします。

ACL 管理性を使用した IP アクセス リスト データの表示及びクリアのための設定例

グローバル IP ACL 統計情報を表示する例

次に、ACL 150 のグローバル統計情報を表示する例を示します。


Router# show ip access-list 150
 
Extended IP access list 150 
   10 permit ip host 10.1.1.1 any (3 matches)
   30 permit ip host 10.2.2.2 any (27 matches)

入力統計情報を表示する例

次の例は、アクセス リスト 150(ACL 番号)に関連付けられているインターフェイス FastEthernet 0/1 から集めた着信パケットの統計情報を示しています。


Router#
 show ip access-list interface FastEthernet 0/1 in
Extended IP access list 150 in
   10 permit ip host 10.1.1.1 any (3 matches)
   30 permit ip host 10.2.2.2 any (12 matches)

出力統計情報を表示する例

次の例は、FastEthernet 0/0 インターフェイスから集めた出力パケットに関する統計情報を示しています。


Router#
 show ip access-list interface FastEthernet 0/0 out
Extended IP access list myacl out
    5 deny ip any 10.1.0.0 0.0.255.255
    10 permit udp any any eq snmp (6 matches)

入出力統計情報を表示する例


Note

方向を指定しないと、そのインターフェイスに適用された入出力 ACL が表示されます。

次の例の表示から集めた入出力統計情報は、FastEthernet 0/0 を実行します。


Router#
 show ip access-list interface FastEthernet 0/0
Extended IP access list 150 in
   10 permit ip host 10.1.1.1 any 
   30 permit ip host 10.2.2.2 any (15 matches)
Extended IP access list myacl out
    5 deny ip any 10.1.0.0 0.0.255.255
    10 permit udp any any eq snmp (6 matches)

IP アクセス リスト用のグローバルおよびインターフェイス統計情報のクリアの例

次の例では、IP ACL 150 のグローバルおよびインターフェイスの統計情報をクリアします。


Router#
 clear ip access-list counters 150

すべての IP アクセス リスト用のグローバルおよびインターフェイス統計情報のクリアの例

次の例では、すべての IP ACL のグローバルおよびインターフェイスの統計情報をクリアします。


Router#
 clear ip access-list counters

その他の参考資料

関連資料

関連項目

マニュアル タイトル

Cisco IOS コマンド

『Cisco IOS Master Commands List, All Releases』

セキュリティ コマンド

『Cisco IOS Security Command Reference』

標準

標準

タイトル

この機能がサポートする新しい規格または変更された規格はありません。

--

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

--

シスコのテクニカル サポート

説明

リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

IP アクセス リスト情報の表示およびカウンタのクリアに関する機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. ACL 管理性を使用した IP アクセス リスト データの表示及びクリアのための機能情報

機能名

リリース

機能情報

ACL 管理性

Cisco IOS XE Release 3.9S

ACL 管理性機能により、ユーザーは、インターフェイスおよびアクセス コントロール リスト(ACL )に対する入力や出力トラフィック方向ごとのアクセス コントロール エントリ(ACE )の統計情報を表示およびクリアすることができます。