特定のポートに IPv6 ファースト ホップ セキュリティ ポリシーを接続するには、ipv6 first hop security attach-policy コマンドをインターフェイス コンフィギュレーション モードで使用します。デフォルトに戻るには、no 形式のコマンドを使用します。
構文
ipv6 first hop security attach-policy policy-name [vlan vlan-list]
no ipv6 first hop security attach-policy [policy-name]
パラメータ
-
policy-name:IPv6 ファーストホップ セキュリティ ポリシー名(最大 32 文字)。
-
vlan vlan-list:IPv6 ファースト ホップ セキュリティ ポリシーが vlan-list で VLAN に接続されるように指定します。キーワード vlan が設定されていない場合、ポリシーは IPv6 ファースト ホップ セキュリティが有効になっているデバイス上のすべての VLAN に適用されます。
デフォルト設定
IPv6 ファーストホップ セキュリティのデフォルト ポリシーが適用されます。
コマンド モード
インターフェイス(イーサネット、ポート チャネル)コンフィギュレーション モード
使用上のガイドライン
このコマンドを使用すると、IPv6 ファースト ホップ セキュリティ ポリシーをポートに接続できます。
このコマンドの後続の各使用方法は、同じポリシーを使用したコマンドの以前の使用方法より優先されます。
コマンドを使用するたびに、同じポリシー内の以前のコマンドが上書きされます。
policy-name 引数で指定されたポリシーが定義されていない場合、コマンドは拒否されます。
vlan キーワードを使用した複数のポリシーは、共通の VLAN を持っていない場合は同じポートに接続できます。
入力パケットに適用されているルールのセットは次のように構築されます。
-
パケットが到着した VLAN 上のインターフェイスに接続されたポートで設定されたルールがセットに追加されます。
-
VLAN に接続されたポリシーで設定されたルールがセットに追加されます(追加されていない場合)。
-
グローバル ルールがセットに追加されます(追加されていない場合)。
no ipv6 first hop security attach-policy コマンドを使用すると、ポートに接続されたすべてのユーザ定義済みポリシーを切り離すことができます。デフォルトのポリシーがもう一度接続されます。
no ipv6 first hop security attach-policy policy-name コマンドを使用すると、ポートから特定のポリシーを切り離すことができます。
例
例 1:次に、IPv6 ファースト ホップ セキュリティ ポリシー policy1 を gi1/0/1 ポートに接続する例を示します。
switchxxxxxx(config)# interface gi1/0/1
switchxxxxxx(config-if)# ipv6 first hop security attach-policy policy1
switchxxxxxx(config-if)# exit
例 2:次に、IPv6 ファースト ホップ セキュリティ ポリシー policy1 をポート gi1/0/1 に接続し、VLAN 1 ~ 10 と 12 ~ 20 に適用する例を示します。
switchxxxxxx(config)# interface gi1/0/1
switchxxxxxx(config-if)# ipv6 first hop security attach-policy policy1 vlan 1-10,12-20
switchxxxxxx(config-if)# exit
例 3:次に、IPv6 ファースト ホップ セキュリティ ポリシー policy1 をポート gi1/0/1 に接続して VLAN 1 ~ 10 に適用し、IPv6 ファースト ホップ セキュリティ ポリシー policy2 をポート gi1/0/1
に接続して VLAN 12 ~ 20 に適用する例を示します。
switchxxxxxx(config)# interface gi1/0/1
switchxxxxxx(config-if)# ipv6 first hop security attach-policy policy1 vlan 1-10
switchxxxxxx(config-if)# ipv6 first hop security attach-policy policy2 vlan 12-20
switchxxxxxx(config-if)# exit
例 4:次に、IPv6 ファースト ホップ セキュリティ ポリシー policy1 を gi1/0/1 ポートから切り離す例を示します。
switchxxxxxx(config)# interface gi1/0/1
switchxxxxxx(config-if)# no ipv6 first hop security attach-policy policy1
switchxxxxxx(config-if)# exit