第4編
レイヤー2

アクセスリストの状態確認

アクセスリストの状態を表示して確認する方法を説明します。

インターフェースに適用されているアクセスリストの表示

show access-groupコマンドで、インターフェースに適用されているアクセスリストを確認できます。

すべてのインターフェースに適用されるアクセスリストを確認する場合の表示例を以下に示します。

# show access-group

Port1/0/1: ...(1)
  (2)                          (3)
  Inbound ip access-list     : simple-ip-acl(ID: 1998)
  Inbound mac access-list    : simple-mac-acl(ID: 7998)

各項目の説明は、以下のとおりです。

show access-groupコマンドの表示項目
項番説明
(1) ポート番号を表示します。
(2) アクセスリストの種類を表示します。
Inbound ip access-list:受信方向に適用したIPアクセスリスト
Inbound arp access-list:受信方向に適用したARPアクセスリスト
Inbound ipv6 access-list:受信方向に適用したIPv6アクセスリスト
Inbound expert access-list:受信方向に適用した拡張エキスパートアクセスリスト
Inbound mac access-list:受信方向に適用した拡張MACアクセスリスト
Outbound ip access-list:送信方向に適用したIPアクセスリスト
Outbound ipv6 access-list:送信方向に適用したIPv6アクセスリスト
Outbound expert access-list:送信方向に適用した拡張エキスパートアクセスリスト
Outbound mac access-list:送信方向に適用した拡張MACアクセスリスト
(3) アクセスリスト名およびアクセスリスト番号を表示します。

アクセスリストの設定情報の表示

アクセスリストの設定情報を確認できます。

すべてのアクセスリストの表示

show access-listコマンドで、すべてのアクセスリストを確認できます。

すべてのアクセスリストを確認する場合の表示例を以下に示します。

# show access-list
(1)                                           (2)
Access-List-Name                              Type
-------------------------------------------   ---------------
rd-ip-acl(ID: 1998)                           ip acl
simple-ip-acl(ID: 3998)                       ip ext-acl
simple-rd-acl(ID: 3999)                       ip ext-acl
rd-mac-acl(ID: 6998)                          mac ext-acl
ip6-acl(ID: 14999)                            ipv6 ext-acl

Total Entries: 5

各項目の説明は、以下のとおりです。

show access-listコマンドの表示項目
項番説明
(1) アクセスリスト名およびアクセスリスト番号を表示します。
(2) アクセスリストの種類を表示します。
ip acl:標準IPアクセスリスト
ip ext-acl:拡張IPアクセスリスト
arp acl:ARPアクセスリスト
ipv6 acl:標準IPv6アクセスリスト
ipv6 ext-acl:拡張IPv6アクセスリスト
expert ext-acl:拡張エキスパートアクセスリスト
mac ext-acl:拡張MACアクセスリスト
アクセスリストの設定情報の表示

アクセスリストを指定してshow access-listコマンドを実行すると、指定したアクセスリストの設定情報を確認できます。

IPアクセスリスト「simple-ip-acl」の設定情報を確認する場合の表示例を以下に示します。

# show access-list ip simple-ip-acl

Extended IP access list simple-ip-acl(ID: 3994) ...(1)
    (2)                                       (3)             (4)
    10 permit tcp any 10.20.0.0 0.0.255.255  (Ing: 0 packets  Egr: 0 packets)
    20 permit tcp any host 10.100.1.2  (Ing: 0 packets  Egr: 0 packets)
    30 permit icmp any any  (Ing: 0 packets  Egr: 0 packets)

    Counter enable on following port(s): ...(5)
    Ingress port(s): Port1/0/5-1/0/8
    Egress port(s): Port1/0/3

各項目の説明は、以下のとおりです。

show access-list ip <NAME>コマンドの表示項目
項番説明
(1) アクセスリスト名およびアクセスリスト番号を表示します。
(2) エントリーを表示します。
(3) アクセスリストハードウェアカウンターの受信パケット数を表示します。アクセスリストハードウェアカウンターが無効の場合は表示されません。
(4) アクセスリストハードウェアカウンターの送信パケット数を表示します。アクセスリストハードウェアカウンターが無効の場合は表示されません。
(5) アクセスリストハードウェアカウンターが有効化されているポート番号を表示します。アクセスリストハードウェアカウンターが無効の場合は表示されません。

VLANアクセスマップの設定情報の表示

show vlan access-mapコマンドで、VLANアクセスマップの設定情報を確認できます。

すべてのVLANアクセスマップを確認する場合の表示例を以下に示します。

# show vlan access-map

VLAN access-map vlan-map 10 ...(1)
  match ip access list: stp_ip1(ID: 1888) ...(2)
  action: forward ...(3)
  Counter enable on VLAN(s): 1-2 ...(4)
  match count: 0 packets ...(5)
VLAN access-map vlan-map 20
  match mac access list: ext_mac(ID: 6995)
  action: redirect port 1/0/5
  Counter enable on VLAN(s): 1-2
  match count: 0 packets

各項目の説明は、以下のとおりです。

show vlan access-mapコマンドの表示項目
項番説明
(1) サブマップの情報(VLANアクセスマップ名およびシーケンス番号)を表示します。
(2) サブマップに関連付けられたアクセスリスト名およびアクセスリスト番号を表示します。
match ip access list:IPアクセスリスト指定(match ip addressコマンド)
match arp address:ARPアクセスリスト指定(match arp addressコマンド)
match ipv6 access list:IPv6アクセスリスト指定(match ipv6 addressコマンド)
match mac access list:拡張MACアクセスリスト指定(match mac addressコマンド)
(3) サブマップと一致したパケットに対するアクションを表示します。
(4) アクセスリストハードウェアカウンターが有効化されているVLANを表示します。
(5) アクセスリストハードウェアカウンターの受信パケット数を表示します。

VLANフィルター情報の表示

VLANフィルターに関する情報を表示できます。

VLANフィルターの設定情報の表示

show vlan filterコマンドで、VLANアクセスマップおよびVLANアクセスマップに適用するVLANの情報を確認できます。

VLANアクセスマップの情報を確認する場合の表示例を以下に示します。

# show vlan filter

VLAN Map aa ...(1)
  Configured on VLANs: 5-127,221-333 ...(2)
VLAN Map bb
  Configured on VLANs: 1111-1222

各項目の説明は、以下のとおりです。

show vlan filterコマンドの表示項目
項番説明
(1) VLANアクセスマップ名を表示します。
(2) VLANアクセスマップを適用するVLAN IDを表示します。
VLANに適用されたVLANアクセスマップ名の表示

show vlan filter vlanコマンドで、VLANに適用されたVLANアクセスマップ名を確認できます。

VLAN 5に適用されたVLANアクセスマップ名を確認する場合の表示例を以下に示します。

# show vlan filter vlan 5

VLAN ID 5 ...(1)
  VLAN Access Map: aa ...(2)

各項目の説明は、以下のとおりです。

show vlan filter vlanコマンドの表示項目
項番説明
(1) VLAN IDを表示します。
(2) VLANに適用されたVLANアクセスマップ名を表示します。

アクセスリストのリソース情報の表示

アクセスリストのリソースに関する情報を表示できます。

アクセスリストのリソースを使用している機能の表示

show access-list resource reserved-groupコマンドで、アクセスリストのリソースを使用している機能を確認できます。

アクセスリストのリソースを使用している機能を確認する場合の表示例を以下に示します。

# show access-list resource reserved-group

Ingress ACL
 (1)            (2)
 Group          Function
-------------   ---------------------
 1/2            Access-list (Expert)
 1/3            Access-list (Expert)
 1/4            Access-list (IPv4)
 1/5            Access-list (MAC)
 1/6            Access-list (IPv6)
 1/7            Access-list (IPv6)
 1/8            -
 1/9            -
 1/10           -
 1/11           -

Egress ACL
 (3)            (4)
 Group          Function
-------------   ---------------------
 1/0            Access-list (Expert)
 1/1            Access-list (Expert)
 1/2            Access-list (IPv6)
 1/3            Access-list (IPv6)

各項目の説明は、以下のとおりです。

show access-list resource reserved-groupコマンドの表示項目
項番説明
(1) アクセスリストのIngressグループIDを表示します。
(2) Ingressグループを利用している機能を表示します。
Access-list (Expert):拡張エキスパートアクセスリストを使用している機能
Access-list (ARP):ARPアクセスリストを使用している機能
Access-list (MAC):拡張MACアクセスリストを使用している機能
Access-list (IPv4):IPアクセスリストを使用している機能
Access-list (IPv6):Pv6アクセスリストを使用している機能
CFM:CFM(Connectivity Fault Management)
MMRP (reserve):MMRP-Plus(予約状態)
MMRP:MMRP-Plus
AccessDefenderI:AccessDefender制御用
AccessDefenderII:AccessDefender制御用
AccessDefenderIII & Loop Detection:AccessDefender制御用、ループ検知、およびポートリダンダントの一部コマンド
AccessDefender (reserve):AccessDefenderクライアント用(予約状態)
AccessDefender (Client):AccessDefenderクライアント用
IPV4_PROUTE:IPv4ポリシーベースルーティング
IPV6_PROUTE:IPv6ポリシーベースルーティング
IPV4_URPF:ユニキャストリバースパス転送(URPF)
(3) アクセスリストのEgressグループIDを表示します。
(4) Egressグループを利用している機能を表示します。
Access-list (Expert):拡張エキスパートアクセスリストを使用している機能
Access-list (MAC):拡張MACアクセスリストを使用している機能
Access-list (IPv4):IPアクセスリストを使用している機能
Access-list (IPv6):Pv6アクセスリストを使用している機能
アクセスリストのリソースの優先順位の表示

show access-list resource reserved-priorityコマンドで、アクセスリストのリソースの優先順位を確認できます。

アクセスリストのリソースの優先順位を確認する場合の表示例を以下に示します。

# show access-list resource reserved-priority

Ingress ACL
 (1)            (2)
 Priority       Function
-------------   ---------------------
 1              Access-list (Expert)
 1              Access-list (Expert)
 3              Access-list (MAC)
 4              Access-list (IPv4)
 5              Access-list (IPv6)
 5              Access-list (IPv6)
 7              -
 8              -
 9              -
 10             -

Egress ACL
 (3)            (4)
 Priority       Function
-------------   ---------------------
 1              Access-list (Expert)
 1              Access-list (Expert)
 3              Access-list (IPv6)
 3              Access-list (IPv6)

各項目の説明は、以下のとおりです。

show access-list resource reserved-priorityコマンドの表示項目
項番説明
(1) アクセスリストのIngressグループの優先度を表示します。
(2) Ingressグループを利用している機能を表示します。
Access-list (Expert):拡張エキスパートアクセスリストを使用している機能
Access-list (ARP):ARPアクセスリストを使用している機能
Access-list (MAC):拡張MACアクセスリストを使用している機能
Access-list (IPv4):IPアクセスリストを使用している機能
Access-list (IPv6):Pv6アクセスリストを使用している機能
CFM:CFM(Connectivity Fault Management)
MMRP:MMRP-Plus
AccessDefenderI:AccessDefender制御用
AccessDefenderII:AccessDefender制御用
AccessDefenderIII & Loop Detection:AccessDefender制御用、ループ検知、およびポートリダンダントの一部コマンド
AccessDefender (Client):AccessDefenderクライアント用
IPV4_PROUTE:IPv4ポリシーベースルーティング
IPV6_PROUTE:IPv6ポリシーベースルーティング
IPV4_URPF:ユニキャストリバースパス転送(URPF)
(3) アクセスリストのEgressグループの優先度を表示します。
(4) Egressグループを利用している機能を表示します。
Access-list (Expert):拡張エキスパートアクセスリストを使用している機能
Access-list (MAC):拡張MACアクセスリストを使用している機能
Access-list (IPv4):IPアクセスリストを使用している機能
Access-list (IPv6):Pv6アクセスリストを使用している機能

ページトップへ