Catalyst 3750 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)SED

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ipv6 access-list access-list-name

名前を使用して IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。

deny | permit protocol { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

条件が一致した場合にパケットを拒否するか許可するかを指定するため、 deny または permit を入力します。このコマンドには次の条件があります。

• protocol には、インターネット プロトコルの名前または番号を入力します。 ahp 、 esp 、 icmp 、 ipv6 、 pcp 、 stcp 、 tcp 、または udp 、または IPv6 プロトコル番号を示す 0 ～ 255 の範囲の整数です。

（注） ICMP、TCP、および UDP に対する追加の固有パラメータについては、手順 3b ～ 3d を参照してください。

• source-ipv6-prefix / prefix-length または
destination-ipv6-prefix / prefix-length は、拒否または許可条件の設定対象となる、送信元または宛先 IPv6 ネットワークまたはネットワークのクラスで、コロンで区切られた 16 進数表記の 16 ビット値（RFC 2373 参照）で指定されます。

（注） CLI ヘルプでは、プレフィクス長の範囲は/0 ～/128 と表示されますが、スイッチは/0 ～/64 の範囲のプレフィクスに対応する IPv6 アドレス、および集約グローバル ユニキャストとリンクローカル ホスト アドレス用の EUI ベース/128 プレフィクスのみをサポートします。

• IPv6 プレフィクス ::/0 の省略形として、 any を使用できます。

• host source-ipv6-address または destination-ipv6-address には、コロンで区切られた 16 進数表記の 16 ビット値で指定された、拒否または許可条件の設定対象となる、送信元または宛先 IPv6 ホスト アドレスを入力します。

• （任意） operator には、指定されたプロトコルの送信元または宛先ポートを比較するオペランドを指定します。使用可能なオペランドは lt （より小さい）、 gt （より大きい）、 eq （等しい）、 neq （等しくない）、および range です。

source-ipv6-prefix / prefix-length 引数のあとに演算子が続く場合は、送信元ポートと一致する必要があります。 destination-ipv6- prefix/prefix-length 引数のあとに演算子が続く場合は、宛先ポートと一致する必要があります。

• （任意） port-number は、0 ～ 65535 の範囲の 10 進数、または TCP ポートまたは UDP ポートの名前です。TCP ポート名は TCP をフィルタリングする場合にのみ使用できます。UDP ポート名は UDP をフィルタリングする場合にのみ使用できます。

ステップ3a
（続き）

• （任意）各 IPv6 パケット ヘッダーの Traffic Class フィールド内のトラフィック クラス値と、Differentiated Services（DiffServ; 差別化サービス）コード ポイント値を照合するには、 dscp value を入力します。指定できる範囲は 0 ～ 63 です。

• （任意）先頭以外のフラグメントをチェックするには、
fragments を入力します。このキーワードは、プロトコルが ipv6 の場合にのみ使用できます。

• （任意）エントリと一致するパケットに関するロギング メッセージをコンソールに送信するには、 log を指定します。ログ エントリに入力インターフェイスを含めるには、 log-input を入力します。ロギングはルータ ACL に対してのみサポートされます。

• （任意）アクセス リストのステートメントへのシーケンス番号を指定するには、 sequence value を入力します。指定できる範囲は 1 ～ 4294967295 です。

• （任意）deny または permit ステートメントに適用される時間範囲を指定するには、 time-range name を入力します。

deny | permit tcp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6- prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ ack ] [ dscp value ] [ established ] [ fin ] [ log ] [ log-input ] [ neq { port | protocol }] [ psh ] [ range { port | protocol }] [ rst ] [ sequence value ] [ syn ] [ time-range name ] [ urg ]

（任意）TCP アクセス リストおよびアクセス条件を定義します。

TCP の場合は tcp を入力します。パラメータはステップ 3a で説明するパラメータと同じで、ほかにも以下の任意のパラメータを使用できます。

• ack ― 応答確認ビット セット

• established ― 確立された接続。TCP データグラムに ACK または RST ビット セットが含まれる場合、照合が行われます。

• fin ― 完了ビット セット。送信者からのデータはこれで終わりです。

• neq { port | protocol } ― 指定されたポート番号以外のポート上のパケットのみ照合

• psh ― プッシュ機能ビット セット

• range { port | protocol } ― 指定されたポート番号範囲内のパケットのみ照合

• rst ― リセット ビット セット

• syn ― 同期ビット セット

• urg ― アージェント ポインタ ビット セット

deny | permit udp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [log ] [log-input] [ neq { port | protocol }] [ range { port | protocol }] [ sequence value ] [ time-range name ]

（任意）UDP アクセス リストおよびアクセス条件を定義します。

UDP の場合は、 udp を入力します。UDP パラメータは TCP に関して説明されているパラメータと同じです。ただし、[ operator [ port ]] のポート番号またはポート名は、UDP ポートの番号または名前とします。UDP では、 established パラメータは無効です。

deny | permit icmp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ icmp-type [ icmp-code ] | icmp-message ] [ dscp value ] [ log ] [log-input] [ sequence value ] [ time-range name ]

（任意）ICMP アクセス リストおよびアクセス条件を定義します。

ICMP の場合は、 icmp を入力します。ICMP パラメータはステップ 3a のほとんどの IP プロトコルで説明されているパラメータと同じですが、ICMP メッセージ タイプとコード パラメータが追加されています。オプションのキーワードの意味は次のとおりです。

• icmp-type ― ICMP メッセージ タイプを使用してフィルタリングします。0 ～ 255 の値を使用できます。

• icmp-code ― ICMP メッセージ コード タイプを使用してフィルタリングされた ICMP パケットをフィルタリングします。0 ～ 255 の値を使用できます。

• icmp-message ― ICMP メッセージ タイプ名または ICMP メッセージのタイプおよびコード名で、ICMP パケットをフィルタリングします。ICMP メッセージ タイプ名およびコード名のリストを表示するには、? キーワードを使用するか、またはこのリリースのコマンド リファレンスを参照してください。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show ipv6 access-list

アクセス リストの設定を確認します。

ステップ 6

copy running-config startup-config

（任意）コンフィギュレーション ファイルに設定を保存します。

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

アクセス リストを適用する、レイヤ 2 インターフェイス（ポート ACL 用）またはレイヤ 3 インターフェイス（ルータ ACL 用）を特定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

no switchport

ルータ ACL を適用する場合、インターフェイスをレイヤ 2 モード（デフォルト）からレイヤ 3 モードに変更します。

ステップ 4

ipv6 address ipv6-address

ステップ 5

ipv6 traffic-filter access-list-name { in | out }

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show running-config

アクセス リストの設定を確認します。

ステップ 8

copy running-config startup-config

（任意）コンフィギュレーション ファイルに設定を保存します。