Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
MAC ACL の設定
MAC ACL の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

MAC ACL の設定

MAC ACL の概要

MAC ACL のライセンス要件

MAC ACL の前提条件

注意事項および制約事項

MAC ACL の設定

MAC ACL の作成

MAC ACL の変更

MAC ACL の削除

物理ポートへの MAC ACL の適用

VACL としての MAC ACL の適用

MAC ACL の統計情報の表示

MAC ACL のフィールドに関する説明

MAC ACL:ACL Details タブ

MAC Access Rule:Details:General セクション

MAC Access Rule:Details:Source:Destination セクション

MAC ACL Remark:Remark Details タブ

その他の参考資料

関連資料

規格

MAC ACL の設定

この章では、Media Access Control(MAC; メディア アクセス制御)アクセス リスト(ACL)の設定方法について説明します。

この章の内容は次のとおりです。

「MAC ACL の概要」

「MAC ACL のライセンス要件」

「MAC ACL の前提条件」

「注意事項および制約事項」

「MAC ACL の設定」

「MAC ACL の統計情報の表示」

「MAC ACL のフィールドに関する説明」

「その他の参考資料」

MAC ACL の概要

MAC ACL は、各パケットのレイヤ 2 ヘッダー内の情報を使用してトラフィックをフィルタリングする ACL です。バーチャライゼーションのサポートなど、MAC ACL の基本的な機能の多くは IP ACL と共通です。これらの共通機能については、「ACL の概要」を参照してください。

MAC ACL のライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

MAC ACL にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco DCNM にバンドルされており、追加料金なしで利用できます。DCNM のライセンス スキームに関する詳細は、『 Cisco DCNM Licensing Guide 』を参照してください。

NX-OS

MAC ACL にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。

MAC ACL の前提条件

MAC ACL の前提条件は次のとおりです。

MAC ACL を設定するためには、MAC アドレッシングおよびプロトコルに関する知識が必要です。

「ACL の概要」に記載されている内容を理解している必要があります。

注意事項および制約事項

MAC ACL の設定に関する注意事項と制約事項は次のとおりです。

MAC ACL は入力トラフィックのみに適用されます。

MAC ACL の設定

図8-1 は、MAC ACL のコンテンツ ペインを示しています。

図8-1 MAC ACL のコンテンツ ペイン

 

ここでは、次の内容について説明します。

「MAC ACL の作成」

「MAC ACL の変更」

「MAC ACL の削除」

「物理ポートへの MAC ACL の適用」

「VACL としての MAC ACL の適用」

MAC ACL の作成

MAC ACL を作成し、これにルールを追加できます。

詳細な手順

デバイスに対して MAC ACL を作成するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Access Control > MAC ACL を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、ACL を追加するデバイスをダブルクリックします。

ステップ 3 メニューバーから、 File > New > MAC ACL を選択します。

新しい行が Summary ペインに表示され、ACL Details タブが Details ペインに表示されます。

ステップ 4 ACL Details タブで、Name フィールドに ACL の名前を入力します。

ステップ 5 (任意)この MAC ACL のルールに関するグローバル統計情報をデバイスが維持するように設定する場合、 Statistics のチェック ボックスをオンにします。

ステップ 6 ACL に追加する各ルールに対して、メニューバーから File > New を選択し、ルールのタイプを選択します。Details タブで、必要に応じてフィールドを設定します。

ステップ 7 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

MAC ACL の変更

既存の MAC ACL に対して、ルールの変更、並べ替え、追加、および削除を行うことができます。

詳細な手順

MAC ACL を変更するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Access Control > MAC ACL を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、変更する ACL を持つデバイスをダブルクリックし、その ACL をダブルクリックします。

そのデバイス上の ACL と、選択した ACL のルールが、Summary ペインに表示されます。

ステップ 3 (任意)この MAC ACL のルールに関するグローバル統計情報について、デバイスが維持するかどうかの設定を変更する場合、Summary ペインで ACL をクリックします。ACL Details タブで、必要に応じて Statistics のチェック ボックスをオンまたはオフにします。

ステップ 4 (任意)ルールの詳細を変更する場合、Summary ペインでそのルールをクリックします。Details タブで、必要に応じてフィールドを設定します。

ステップ 5 (任意)ACL の別の位置にルールを移動する場合、ルールをクリックし、メニューバーから MAC ACL > Move Up または MAC ACL > Move Down を選択します。

選択に応じて、ルールが上下に移動します。ルールのシーケンス番号は、移動後の位置に従って調整されます。

ステップ 6 (任意)ルールを追加する場合、Summary ペインで ACL をクリックし、メニューバーから File > New を選択し、ルールのタイプを選択します。Details タブで、必要に応じてフィールドを設定します。

ステップ 7 (任意)ルールを削除する場合、そのルールをクリックし、メニューバーから MAC ACL > Delete を選択します。

ステップ 8 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

MAC ACL の削除

MAC ACL をデバイスから削除できます。

作業を開始する前に

その ACL がインターフェイスに適用されているかどうかを確認します。削除できるのは、現在 適用されている ACL です。ACL を削除しても、その ACL が適用されているインターフェイスの設定には影響しません。デバイスは削除された ACL を空であるとみなします。

詳細な手順

MAC ACL を削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Access Control > MAC ACL を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、ACL を削除するデバイスをダブルクリックします。

現在デバイス上にある ACL が Summary ペインに表示されます。

ステップ 3 削除する ACL をクリックし、メニューバーから MAC ACL > Delete を選択します。

Cisco DCNM により、その ACL が Summary ペインから削除されます。

ステップ 4 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

物理ポートへの MAC ACL の適用

MAC ACL は、ポート モードに関係なく、物理イーサネット ポートの着信トラフィックに適用できます。

作業を開始する前に

適用する ACL が存在し、目的に応じたトラフィックのフィルタリングが設定されていることを確認します。詳細については、「MAC ACL の作成」または「MAC ACL の変更」を参照してください。

詳細な手順

MAC ACL を物理イーサネット ポートの着信トラフィックに適用するには、次の手順を行います。


ステップ 1 Feature Selector ペインから、 Ports > Physical > Ethernet を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、適用するデバイスをダブルクリックし、そのポートを含むスロットをダブルクリックします。

ダブルクリックしたスロットのポートが Summary ペインに表示されます。

ステップ 3 MAC ACL を適用するポートをクリックします。

ステップ 4 Details ペインで Details タブをクリックし、必要に応じて Advanced Settings セクションを展開表示します。

Advanced Settings セクションの MAC ACL エリアに、Incoming Traffic ドロップダウン リストが含まれます。

ステップ 5 MAC ACL エリアで、適用する MAC ACL を Incoming Traffic ドロップダウン リストから選択します。

ステップ 6 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

VACL としての MAC ACL の適用

MAC ACL は VACL として適用できます。MAC ACL を使用した VACL の作成方法については、「VACL の作成または変更」を参照してください。

MAC ACL の統計情報の表示

次のウィンドウが Statistics タブに表示されます。

Access Rule Statistics Chart ― 選択した MAC ACL ルールに一致するパケットの数についての情報。

この機能の統計情報収集に関する詳細情報は、『 Cisco DCNM Fundamentals Configuration Guide 』を参照してください。

MAC ACL のフィールドに関する説明

ここでは、MAC ACL のフィールドについて説明します。

「MAC ACL:ACL Details タブ」

「MAC Access Rule:Details:General セクション」

「MAC Access Rule:Details:Source:Destination セクション」

「MAC ACL Remark:Remark Details タブ」

MAC ACL:ACL Details タブ

 

表8-1 MAC ACL:ACL Details タブ

フィールド
説明

Name

MAC ACL の名前を指定します。名前には英数字を使用できますが、先頭の文字は英字にする必要があります。最大長は 64 文字です。デフォルトでは名前は割り当てられません。

Statistics

ACL がフィルタリングしたトラフィックの統計情報をデバイスがログに記録するかどうかの指定。デフォルトでは、このチェック ボックスはオフです。

MAC Access Rule:Details:General セクション

 

表8-2 MAC Access Rule:Details:General セクション

フィールド
説明

Sequence Number

表示のみ。 ルールに割り当てられているシーケンス番号を表示します。

Action

パケットにそのルールが当てはまると判断された場合にデバイスが実行する処理。有効な値:

Deny ― そのパケットの処理を停止し、ドロップします。これがデフォルト値です。

Permit ― そのパケットの処理を継続します。

MAC Access Rule:Details:Source:Destination セクション

 

表8-3 MAC Access Rule:Details:Source:Destination セクション

フィールド
説明

Source

送信元のタイプ。有効な値:

Any ― このルールには、いずれの送信元からのパケットも一致します。これがデフォルト値です。Any を選択した場合、このリストの下にある MAC Address と Wildcard Mask のフィールドを指定する必要がないため、両フィールドは使用不可となります。

Host ― このルールには、特定の MAC アドレスからのパケットが一致します。Host を選択した場合、このリストの下にある MAC Address フィールドは使用可能となりますが、Wildcard Mask フィールドは使用不可のままです。

Network ― このルールには、MAC ネットワークからのパケットが一致します。Network を選択した場合、このリストの下にある MAC Address と Wildcard Mask のフィールドがどちらも使用可能となります。

MAC Address (Source)

ホストまたはネットワークの MAC アドレス。有効なアドレスは、ドット付き 16 進形式です。このフィールドは、Source ドロップダウン リストから Host または Network を選択した場合に使用可能です。デフォルトでは、このフィールドはブランクです。

Wildcard Mask (Source)

MAC ネットワークのワイルドカード マスク。有効なマスクは、ドット付き 16 進形式です。たとえば、MAC Address フィールドに 00c0.4f03.0000 と指定した場合、このフィールドに 0000.0000.ffff のように入力できます。このフィールドは、Source ドロップダウン リストから Network を選択した場合に使用可能です。デフォルトでは、このフィールドはブランクです。

Destination

宛先のタイプ。有効な値:

Any ― このルールには、いずれの宛先へ送信されたパケットも一致します。これがデフォルト値です。Any を選択した場合、このリストの下にある MAC Address と Wildcard Mask のフィールドを指定する必要がないため、両フィールドは使用不可となります。

Host ― このルールには、特定の MAC アドレスへ送信されたパケットが一致します。Host を選択した場合、このリストの下にある MAC Address フィールドは使用可能となりますが、Wildcard Mask フィールドは使用不可のままです。

Network ― このルールには、MAC ネットワークへ送信されたパケットが一致します。Network を選択した場合、このリストの下にある MAC Address と Wildcard Mask のフィールドがどちらも使用可能となります。

MAC Address (Destination)

ホストまたはネットワークの MAC アドレス。有効なアドレスは、ドット付き 16 進形式です。このフィールドは、Source ドロップダウン リストから Host または Network を選択した場合に使用可能です。デフォルトでは、このフィールドはブランクです。

Wildcard Mask (Destination)

MAC ネットワークのワイルドカード マスク。有効なマスクは、ドット付き 16 進形式です。たとえば、MAC Address フィールドに 00c0.4f03.0000 と指定した場合、このフィールドに 0000.0000.ffff のように入力できます。このフィールドは、Destination ドロップダウン リストから Network を選択した場合に使用可能です。デフォルトでは、このフィールドはブランクです。

MAC ACL Remark:Remark Details タブ

 

表8-4 MAC ACL Remark:Remark Details タブ

フィールド
説明

Remark Sequence Number

表示のみ 。備考に割り当てられたシーケンス番号。

Remark Description

備考のテキスト。最大長は 100 文字です。デフォルトでは、このフィールドはブランクです。

その他の参考資料

MAC ACL の実装に関する詳細情報は、次を参照してください。

「関連資料」

「規格」

関連資料

関連事項
タイトル

ACL の概念

「ACL の概要」

規格

規格
タイトル

この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。

--