第4編
レイヤー2

アクセスリストの状態確認

アクセスリストの状態を表示して確認する方法を説明します。

ポートに適用したアクセスリストの表示

show access-groupコマンドで、ポートに適用したアクセスリストを確認できます。

表示例を以下に示します。

# show access-group

Port1/0/1: ...(1)
  (2)                          (3)
  Inbound ip access-list     : simple-ip-acl(ID: 1998)
  Inbound mac access-list    : simple-mac-acl(ID: 7998)

各項目の説明は、以下のとおりです。

show access-groupコマンドの表示項目
項番説明
(1) ポート番号を表示します。
(2) アクセスリストの種類を表示します。
  • Inbound ip access-list:受信方向に適用したIPアクセスリスト
  • Inbound arp access-list:受信方向に適用したARPアクセスリスト
  • Inbound ipv6 access-list:受信方向に適用したIPv6アクセスリスト
  • Inbound expert access-list:受信方向に適用した拡張エキスパートアクセスリスト
  • Inbound mac access-list:受信方向に適用した拡張MACアクセスリスト
  • Outbound ip access-list:送信方向に適用したIPアクセスリスト
  • Outbound ipv6 access-list:送信方向に適用したIPv6アクセスリスト
  • Outbound expert access-list:送信方向に適用した拡張エキスパートアクセスリスト
  • Outbound mac access-list:送信方向に適用した拡張MACアクセスリスト
  • Inbound ip-cpu access-list:適用したIP CPUアクセスリスト
  • Inbound ipv6-cpu access-list:適用したIPv6 CPUアクセスリスト
  • Inbound expert-cpu access-list:適用した拡張エキスパートCPUアクセスリスト
  • Inbound mac-cpu access-list:適用した拡張MAC CPUアクセスリスト
(3) アクセスリスト名およびアクセスリスト番号を表示します。

アクセスリストの設定の表示

アクセスリストの設定を確認できます。

すべてのアクセスリストの一覧表示

show access-listコマンドで、すべてのアクセスリストの一覧を確認できます。

表示例を以下に示します。

# show access-list
(1)                                           (2)
Access-List-Name                              Type
-------------------------------------------   ---------------
rd-ip-acl(ID: 1998)                           ip acl
simple-ip-acl(ID: 3998)                       ip ext-acl
simple-rd-acl(ID: 3999)                       ip ext-acl
rd-mac-acl(ID: 6998)                          mac ext-acl
ip6-acl(ID: 14999)                            ipv6 ext-acl

Total Entries: 5

各項目の説明は、以下のとおりです。

show access-listコマンドの表示項目
項番説明
(1) アクセスリスト名およびアクセスリスト番号を表示します。
(2) アクセスリストの種類を表示します。
  • ip acl:標準IPアクセスリスト
  • ip ext-acl:拡張IPアクセスリスト
  • arp acl:ARPアクセスリスト
  • ipv6 acl:標準IPv6アクセスリスト
  • ipv6 ext-acl:拡張IPv6アクセスリスト
  • expert ext-acl:拡張エキスパートアクセスリスト
  • mac ext-acl:拡張MACアクセスリスト
  • ip-cpu acl:標準IP CPUアクセスリスト
  • ip-cpu ext-acl:拡張IP CPUアクセスリスト
  • ipv6-cpu acl:標準IPv6 CPUアクセスリスト
  • ipv6-cpu ext-acl:拡張IPv6 CPUアクセスリスト
  • expert-cpu ext-acl:拡張エキスパートCPUアクセスリスト
  • mac-cpu ext-acl:拡張MAC CPUアクセスリスト
アクセスリストの設定の表示

アクセスリストを指定してshow access-listコマンドを実行すると、指定したアクセスリストの設定を確認できます。

IPアクセスリスト「simple-ip-acl」を指定した場合の表示例を以下に示します。

# show access-list ip simple-ip-acl

Extended IP access list simple-ip-acl(ID: 3994) ...(1)
    (2)                                       (3)             (4)
    10 permit tcp any 10.20.0.0 0.0.255.255  (Ing: 0 packets  Egr: 0 packets)
    20 permit tcp any host 10.100.1.2  (Ing: 0 packets  Egr: 0 packets)
    30 permit icmp any any  (Ing: 0 packets  Egr: 0 packets)

    Counter enable on following port(s): ...(5)
    Ingress port(s): Port1/0/5-1/0/8
    Egress port(s): Port1/0/3

各項目の説明は、以下のとおりです。

show access-list ip <NAME>コマンドの表示項目
項番説明
(1) アクセスリスト名およびアクセスリスト番号を表示します。
(2) 各ルールのシーケンス番号、アクション、抽出条件を表示します。
(3) アクセスリストハードウェアカウンターの受信パケット数を表示します。アクセスリストハードウェアカウンターが無効の場合は表示されません。
(4) アクセスリストハードウェアカウンターの送信パケット数を表示します。アクセスリストハードウェアカウンターが無効の場合は表示されません。
(5) アクセスリストハードウェアカウンターが有効化されているポート番号を表示します。アクセスリストハードウェアカウンターが無効の場合は表示されません。

VLANアクセスマップの設定の表示

show vlan access-mapコマンドで、VLANアクセスマップの設定を確認できます。

表示例を以下に示します。

# show vlan access-map

VLAN access-map vlan-map 10 ...(1)
  match ip access list: stp_ip1(ID: 1888) ...(2)
  action: forward ...(3)
  Counter enable on VLAN(s): 1-2 ...(4)
  match count: 0 packets ...(5)
VLAN access-map vlan-map 20
  match mac access list: ext_mac(ID: 6995)
  action: redirect port 1/0/5
  Counter enable on VLAN(s): 1-2
  match count: 0 packets

各項目の説明は、以下のとおりです。

show vlan access-mapコマンドの表示項目
項番説明
(1) サブマップの情報(VLANアクセスマップ名およびシーケンス番号)を表示します。
(2) サブマップに関連付けられたアクセスリスト名およびアクセスリスト番号を表示します。
  • match ip access list:IPアクセスリスト指定(match ip addressコマンド)
  • match arp address:ARPアクセスリスト指定(match arp addressコマンド)
  • match ipv6 access list:IPv6アクセスリスト指定(match ipv6 addressコマンド)
  • match mac access list:拡張MACアクセスリスト指定(match mac addressコマンド)
(3) サブマップと一致したパケットに対するアクションを表示します。
(4) アクセスリストハードウェアカウンターが有効化されているVLANを表示します。
(5) アクセスリストハードウェアカウンターの受信パケット数を表示します。

VLANフィルターの設定の表示

show vlan filterコマンドでVLANフィルターの設定を確認できます。

表示例を以下に示します。

# show vlan filter

VLAN Map aa ...(1)
  Configured on VLANs: 5-127,221-333 ...(2)
VLAN Map bb
  Configured on VLANs: 1111-1222

各項目の説明は、以下のとおりです。

show vlan filterコマンドの表示項目
項番説明
(1) VLANアクセスマップ名を表示します。
(2) 対象のVLANアクセスマップを適用しているVLANを表示します。

アクセスリストのリソース情報の表示

アクセスリストのリソースに関する情報を表示できます。

アクセスリストのリソースを使用している機能の表示

show access-list resource reserved-groupコマンドで、アクセスリストのリソースを使用している機能を確認できます。

表示例を以下に示します。

# show access-list resource reserved-group

Ingress ACL
 (1)            (2)
 Group          Function
-------------   ---------------------
 1/2            Access-list (Expert)
 1/3            Access-list (Expert)
 1/4            Access-list (IPv4)
 1/5            Access-list (MAC)
 1/6            Access-list (IPv6)
 1/7            Access-list (IPv6)
 1/8            -
 1/9            -
 1/10           -
 1/11           -

Egress ACL
 (3)            (4)
 Group          Function
-------------   ---------------------
 1/0            Access-list (Expert)
 1/1            Access-list (Expert)
 1/2            Access-list (IPv6)
 1/3            Access-list (IPv6)

各項目の説明は、以下のとおりです。

show access-list resource reserved-groupコマンドの表示項目
項番説明
(1) アクセスリストのIngressグループIDを表示します。
(2) Ingressグループを利用している機能を表示します。
  • Access-list (Expert-CPU):拡張エキスパートCPUアクセスリストを使用している機能
  • Access-list (MAC-CPU):拡張MAC CPUアクセスリストを使用している機能
  • Access-list (IPv4-CPU):IP CPUアクセスリストを使用している機能
  • Access-list (IPv6-CPU):IPv6 CPUアクセスリストを使用している機能
  • Access-list (Expert):拡張エキスパートアクセスリストを使用している機能
  • Access-list (ARP):ARPアクセスリストを使用している機能
  • Access-list (MAC):拡張MACアクセスリストを使用している機能
  • Access-list (IPv4):IPアクセスリストを使用している機能
  • Access-list (IPv6):IPv6アクセスリストを使用している機能
  • CFM:CFM(Connectivity Fault Management)
  • MMRP (reserve):MMRP-Plus(予約状態)
  • MMRP:MMRP-Plus
  • AccessDefenderI:AccessDefender制御用
  • AccessDefenderII:AccessDefender制御用
  • AccessDefenderIII & Loop Detection:AccessDefender制御用、ループ検知、およびポートリダンダントの一部コマンド
  • AccessDefender (reserve):AccessDefenderクライアント用(予約状態)
  • AccessDefender (Client):AccessDefenderクライアント用(使用中)
  • AccessDefender (Clientv6):AccessDefenderクライアント用(IPv6認証用、使用中)
  • IGMP snooping:IGMPスヌーピングのunregistered-filter用
  • MLD snooping:MLDスヌーピングのunregistered-filter用
  • IPV4_PROUTE:IPv4ポリシーベースルーティング
  • IPV6_PROUTE:IPv6ポリシーベースルーティング
  • IPV4_URPF:ユニキャストリバースパス転送(URPF)
(3) アクセスリストのEgressグループIDを表示します。
(4) Egressグループを利用している機能を表示します。
  • Access-list (Expert):拡張エキスパートアクセスリストを使用している機能
  • Access-list (MAC):拡張MACアクセスリストを使用している機能
  • Access-list (IPv4):IPアクセスリストを使用している機能
  • Access-list (IPv6):IPv6アクセスリストを使用している機能
アクセスリストのリソースの優先順位の表示

show access-list resource reserved-priorityコマンドで、アクセスリストのリソースの優先順位を確認できます。

表示例を以下に示します。

# show access-list resource reserved-priority

Ingress ACL
 (1)            (2)
 Priority       Function
-------------   ---------------------
 1              Access-list (Expert)
 1              Access-list (Expert)
 3              Access-list (MAC)
 4              Access-list (IPv4)
 5              Access-list (IPv6)
 5              Access-list (IPv6)
 7              -
 8              -
 9              -
 10             -

Egress ACL
 (3)            (4)
 Priority       Function
-------------   ---------------------
 1              Access-list (Expert)
 1              Access-list (Expert)
 3              Access-list (IPv6)
 3              Access-list (IPv6)

各項目の説明は、以下のとおりです。

show access-list resource reserved-priorityコマンドの表示項目
項番説明
(1) アクセスリストのIngressグループの優先度を表示します。
(2) Ingressグループを利用している機能を表示します。
  • Access-list (Expert-CPU):拡張エキスパートCPUアクセスリストを使用している機能
  • Access-list (MAC-CPU):拡張MAC CPUアクセスリストを使用している機能
  • Access-list (IPv4-CPU):IP CPUアクセスリストを使用している機能
  • Access-list (IPv6-CPU):IPv6 CPUアクセスリストを使用している機能
  • Access-list (Expert):拡張エキスパートアクセスリストを使用している機能
  • Access-list (ARP):ARPアクセスリストを使用している機能
  • Access-list (MAC):拡張MACアクセスリストを使用している機能
  • Access-list (IPv4):IPアクセスリストを使用している機能
  • Access-list (IPv6):IPv6アクセスリストを使用している機能
  • CFM:CFM(Connectivity Fault Management)
  • MMRP:MMRP-Plus
  • AccessDefenderI:AccessDefender制御用
  • AccessDefenderII:AccessDefender制御用
  • AccessDefenderIII & Loop Detection:AccessDefender制御用、ループ検知、およびポートリダンダントの一部コマンド
  • AccessDefender (Client):AccessDefenderクライアント用
  • AccessDefender (Clientv6):AccessDefenderクライアント用(IPv6認証用)
  • IGMP snooping:IGMPスヌーピングのunregistered-filter用
  • MLD snooping:MLDスヌーピングのunregistered-filter用
  • IPV4_PROUTE:IPv4ポリシーベースルーティング
  • IPV6_PROUTE:IPv6ポリシーベースルーティング
  • IPV4_URPF:ユニキャストリバースパス転送(URPF)
(3) アクセスリストのEgressグループの優先度を表示します。
(4) Egressグループを利用している機能を表示します。
  • Access-list (Expert):拡張エキスパートアクセスリストを使用している機能
  • Access-list (MAC):拡張MACアクセスリストを使用している機能
  • Access-list (IPv4):IPアクセスリストを使用している機能
  • Access-list (IPv6):IPv6アクセスリストを使用している機能

ページトップへ