5. QoS/ACL
1.1 ACL 設定コマンドリスト
1.1.1 acl
Syntax
acl { number acl-number } [ match-order { config | auto } ] undo acl { number acl-number | all }
View
System view パラメータ
number acl-number: 2000~2999範囲のアクセスコントロールリスト(ACL)番号
config:ユーザ設定順序に従ってACLルールを走査
auto:深さ優先順序に従ってACLルールを走査
all:すべてのACLを削除 説明
aclコマンドは、基本ACLを設定し、対応するACL Viewに遷移します。
undo aclコマンドは、ACL番号、あるいは全ACLルールを削除します。
デフォルト:ACLはconfig 順に走査
基本ACLは、ACL viewに遷移した後にruleコマンドを実行し、ルールを追加するこ
とが可能です。ACL viewを終了する場合はquitコマンドを実行します。
ACLには異なる範囲を対象とする複数のトラヒック・クラシファイルールを含めるこ とができるため、データパケットが複数のルールに適合する場合には、走査順序が問 題となります。この場合は match-order で、ルール走査順序に、ユーザ設定順序(デ フォルト)または深さ優先順序(小さい範囲のルールから走査)を設定します。ACL走査 順序を指定した場合、全ルールを削除してから再び順序を指定しない限り、その順序 を変更することはできません。またACLの走査順序は、ソフトウェアがデータをフィ ルタリングしクラシファイするために、ACLを使用する場合にのみ有効です。
関連コマンド: rule
コマンドマニュアル - QoS/ACL
QX-S2110P-I Ethernetスイッチ 1章 ACLコマンド
メモ:
QX-S2110P-I Ethernetスイッチは、装置に対するアクセス(Telnet/SNMP/HTTP)のフィルタ のみサポートしています。
ログオンユーザに対する制御として基本ACL(2000~2999)のみをサポートしています。
例
# 深さ優先順序に従ってACL 2000のルールを適用します。
[QX-S2110P-I] acl number 2000 match-order auto
1.1.2 display acl config
Syntax
display acl config { all | acl-number } View
すべてのview
パラメータ
all:すべてのACL
acl-number:表示するACLのシーケンス番号(2000~2999)
説明
display acl configコマンドは、すべてのステートメントとシーケンス番号およびス
テートメントにマッチしたパケット数とバイト数を含む、ACLに関する詳細な設定情 報を表示します。マッチした情報はスイッチのCPUで処理された情報です。
例
# 全ACLの内容を表示します。
[QX-S2110P-I]display acl config all Basic ACL 2000, 1 rule,
rule 1 permit source 172.19.69.42 0 Basic ACL 2010, 2 rules,
rule 1 permit source 172.19.69.42 0
rule 2 deny source 172.19.69.189 0 time-range 2010 (0 times matched) (Active)
コマンドマニュアル - QoS/ACL
QX-S2110P-I Ethernetスイッチ 1章 ACLコマンド
表1-1 display acl configコマンド出力の説明
フィールド 説明
Basic ACL ACLのタイプを示す。(BASIC:基本)
2000/ 2010 ACLの番号を示す。
rule x , ACLのルール番号を示す。
rule 1 permit source 172.19.69.42 0 ルールの内容を示す(マッチしたpacketを通過さ せる。)
rule 2 deny source 172.19.69.189 0 time-range 2010 (0 times matched) (Active)
ルールの内容を示す(マッチしたpacketの通過を 拒否する。また有効とするタイムレンジ名は 2010、マッチ回数、タイムレンジ状態<有効 Active>))
1.1.3 display time-range
Syntax
display time-range { all | name } View
すべてのview
パラメータ
all:すべてのタイムレンジ name:タイムレンジの名前 説明
display time-rangeコマンドは、現在のタイムレンジの設定と状態を表示します。そ
れぞれアクティブ状態と非アクティブ状態が表示されます。
ACL状態を更新する場合、約1分の遅延が生じますが、display time-rangeコマンド では現在のタイムレンジを表示します。そのため、display time-rangeでタイムレン ジがアクティブ状態と表示されても、それを使用するACLがまだ有効になっていない 可能性があります。
例
# すべてのタイムレンジの設定を表示します。
<QX-S2110P-I> display time-range all
Current time is 05:27:48 11-25-2011 Friday
Time-range : time1 ( Active ) 00:00 to 22:00 working-day
コマンドマニュアル - QoS/ACL
QX-S2110P-I Ethernetスイッチ 1章 ACLコマンド
Time-range : time10 ( Inactive ) from 8:00 4-1-2011 to 17:00 12-28-2011
表1-2 display time-rangeコマンド出力の説明
フィールド 説明
Current time is 05:27:48 11-25-2011 Friday スイッチの現在の時刻を示す
Time-range: timex ( Active/ Inactive ) タイムレンジの名前を示す。“(Active/ Inactive )”は このタイムレンジの現在の状態を示す
from 08:00 4-1-2011 to 17:00 12-28-2011 時間範囲(開始時間から終了時間まで)
1.1.4 reset acl counter
Syntax
reset acl counter { all | acl-number } View
User view パラメータ
all:すべてのACL
acl-number:ACL番号(2000~2999)
説明
reset acl counterコマンドは、ACLの統計情報をリセットし、そのACLに適合する
カウンタを0にリセットします。本コマンドは、ソフトウェアによってマッチングが 行われたACLの統計情報をリセットします。
例
# ACL 2000の統計情報をリセットします。
<QX-S2110P-I> reset acl counter 2000
1.1.5 rule
Syntax
rule [ rule-id ] { permit | deny } [source source-addr wildcard | any ] [ time-range name ]
undo rule rule-id [ source ] [ time-range ]
コマンドマニュアル - QoS/ACL
QX-S2110P-I Ethernetスイッチ 1章 ACLコマンド
View
acl-basic view パラメータ
rule-id:ACLのルール(0~127)
permit:マッチしたパケットを通過 deny:マッチしたパケットの通過を拒否
time-range name:ルールが有効となるタイムレンジ
メモ:
以下のパラメータは、データパケットで伝達される属性です。ACL ルールは、これら のパラメータの値に従って定義されます。
source-addr wildcard | any:
source-addr wildcard:送信元IPアドレスおよび送信元アドレスワイルドカード(ド
ット区切り10進数表記)
any:任意の送信元アドレス
説明
ruleコマンドは、ACLにルールを追加します。
undo ruleコマンドは、ACLからルールを削除します。
undo ruleコマンドを実行するときにパラメータを指定すると、システムは、パラメ
ータに関連するルール内容を削除します。
関連コマンド:acl 例
# ACL2000にルールを追加します。
[QX-S2110P-I-acl-basic-2000] rule 1 permit source 1.1.1.1 0 fragment
1.1.6 time-range
Syntax
time-range time-name { start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] }
コマンドマニュアル - QoS/ACL
QX-S2110P-I Ethernetスイッチ 1章 ACLコマンド
undo time-range time-name [ start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] ]
View
System view パラメータ
time-name:参照する特定タイムレンジの名前(最大32文字)
start-time:特定タイムレンジの開始時間(hh:mm)
end-time:特定タイムレンジの終了時間(hh:mm)
days-of-the-week:特定タイムレンジでコマンドが有効となる曜日を決定
このパラメータには以下の値を指定します。
数字(0~6)
Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday working-day:月曜日~金曜日までの平日
off-day:土曜日と日曜日 daily:全曜日
from start-time start-date:特 定 タ イ ム レ ン ジ の 有 効 期 間 の 開 始 日 (hh:mm MM-DD-YYYY)
to end-time end-date:特定タイムレンジの有効期間の終了日(hh:mm MM-DD-YYYY)
上記2つのパラメータを省略すると、ACLに有効期間は制限されません。
説明
time-rangeコマンドは、タイムレンジを設定します。
undo time-rangeコマンドは、タイムレンジを削除します。
undo time-rangeコマンドを実行するときにパラメータを指定すると、システムは指
定されたパラメータに対応する内容を削除します。
例
# タイムレンジを2011年1月1日0時以降継続的に有効にします。
[QX-S2110P-I] time-range test from 0:0 1-1-2011
コマンドマニュアル - QoS/ACL
QX-S2110P-I Ethernetスイッチ 2章 QoSコマンド