Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
MAC ACL の設定
MAC ACL の設定
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

MAC ACL の設定

この章では、Cisco NX-OS デバイスの MAC Access Control List(ACL; アクセス コントロール リスト)を設定する手順について説明します。


(注)  


管理対象デバイスで稼働している Cisco NX-OS リリースでは、こので説明するすべての機能または設定がサポートされない場合があります。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースのマニュアルとリリース ノートを参照してください。


この章の内容は、次のとおりです。

MAC ACL の概要

MAC ACL は、パケットのレイヤ 2 ヘッダーを使用してトラフィックをフィルタリングする ACL です。 バーチャライゼーションのサポートなど、MAC ACL の基本的な機能の多くは IP ACL と共通です。

MAC ACL のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

MAC ACL にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は Cisco DCNM にバンドルされており、無料で提供されます。 Cisco DCNM ライセンス方式についての詳細は、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

MAC ACL にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 各プラットフォームの Cisco NX-OS ライセンス方式の詳細については、プラットフォームのライセンス ガイドを参照してください。

MAC ACL をサポートしているプラットフォーム

この機能をサポートするプラットフォームは次のとおりです。ただし、実装方法は異なる場合があります。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

プラットフォーム マニュアル
Cisco Nexus 1000V シリーズ スイッチ Cisco Nexus 1000V シリーズ スイッチのマニュアル
Cisco Nexus 4000 シリーズ スイッチ Cisco Nexus 4000 シリーズ スイッチのマニュアル
Cisco Nexus 5000 シリーズ スイッチ Cisco Nexus 5000 シリーズ スイッチ マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

MAC ACL の設定

MAC ACL の作成

MAC ACL を作成し、これにルールを追加できます。

手順
    ステップ 1   [Feature Selector] ペインで [Security] > [Access Control] > [MAC ACL] を選択します。

    [Summary] ペインに使用可能なデバイスが表示されます。

    ステップ 2   [Summary] ペインで、ACL を追加するデバイスをダブルクリックします。
    ステップ 3   (任意) メニュー バーの [File] > [New] > [MAC ACL] を選択します。

    新しい行が [Summary] ペインに表示され、[Details] ペインに [ACL Details] タブが表示されます。

    ステップ 4   [ACL Details] タブの [Name] フィールドに、ACL の名前を入力します。
    ステップ 5   (任意)この MAC ACL のルールのグローバル統計情報をデバイスで維持する場合は、[Statistics] をオンにします。
    ステップ 6   ACL に追加するルールごとに、メニュー バーで [File] > [New] を選択してルールのタイプを選択します。 [Details] タブで、必要に応じてフィールドを設定します。
    ステップ 7   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

    MAC ACL の変更

    既存の MAC ACL でルールの変更、順序変更、追加、および削除を行うことができます。

    手順
      ステップ 1   [Feature Selector] ペインで [Security] > [Access Control] > [MAC ACL] を選択します。

      [Summary] ペインに使用可能なデバイスが表示されます。

      ステップ 2   (任意) [Summary] ペインで、変更する ACL が設定されているデバイスをダブルクリックし、ACL をダブルクリックします。

      デバイス上の ACL およびダブルクリックした ACL のルールが [Summary] ペインに表示されます。

      ステップ 3   (任意)この MAC ACL に含まれるルールのグローバル統計情報をデバイスで維持するかどうかを変更する場合は、[Summary] ペインで ACL をクリックし、[ACL Details] タブで必要に応じて [Statistics] をオンまたはオフにします。
      ステップ 4   (任意)ルールの詳細を変更する場合は、[Summary] ペインでルールをクリックしてから、[Details] タブで、必要に応じてフィールドを設定します。
      ステップ 5   (任意)ルールを追加する場合は、[Summary] ペインで ACL をクリックし、メニュー バーで [File] > [New] を選択してルールのタイプを選択します。次に、[Details] タブで、必要に応じてフィールドを設定します。
      ステップ 6   (任意)ルールを削除する場合は、ルールをクリックしてからメニュー バーで [Actions] > [Delete] を選択します。
      ステップ 7   (任意) ACL 内の別の位置にルールを移動する場合は、ルールをクリックしてから、メニュー バーで次のいずれかを適宜選択します。
      • [Actions] > [Move Up]
      • [Actions] > [Move Down]

      選択に従ってルールが上下に移動します。 ルールのシーケンス番号は適宜調整されます。

      ステップ 8   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

      MAC ACL 内のシーケンス番号の変更

      MAC ACL 内のルールに付けられたすべてのシーケンス番号を変更できます。 ACL にルールを挿入する必要がある場合で、シーケンス番号が不足しているときは、再割り当てすると便利です。

      手順
        ステップ 1   [Feature Selector] ペインで [Security] > [Access Control] > [MAC ACL] を選択します。

        [Summary] ペインに使用可能なデバイスが表示されます。

        ステップ 2   [Summary] ペインで、変更する ACL が設定されているデバイスをダブルクリックし、ACL をダブルクリックします。

        デバイス上の ACL およびダブルクリックした ACL のルールが [Summary] ペインに表示されます。 [Seq No] カラムには、各ルールに割り当てられたシーケンス番号が表示されます。

        ステップ 3   シーケンス番号を変更するルールをクリックします。

        [Details] ペインにルールの [Sequence Number] フィールドが表示されます。

        ステップ 4   [Sequence Number] フィールドをクリックし、番号を編集して Tab を押します。

        [Summary] ペインに新しいシーケンス番号が表示されます。必要に応じて、新しいシーケンス番号によって決まる位置にルールが移動します。

        ステップ 5   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

        MAC ACL の削除

        MAC ACL をデバイスから削除できます。

        手順
          ステップ 1   [Feature Selector] ペインで [Security] > [Access Control] > [MAC ACL] を選択します。

          [Summary] ペインに使用可能なデバイスが表示されます。

          ステップ 2   [Summary] ペインで、ACL を削除するデバイスをダブルクリックします。

          [Summary] ペインに、現在デバイス上にある ACL が表示されます。

          ステップ 3   削除する ACL をクリックして、メニュー バーで [Actions] > [Delete] を選択します。

          [Summary] ペインから ACL が削除されます。

          ステップ 4   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

          物理ポートへの MAC ACL の適用

          MAC ACL は、ポート モードに関係なく、物理イーサネット ポートの着信トラフィックまたは発信トラフィックに対して適用できます。

          はじめる前に

          適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。

          手順
            ステップ 1   [Feature Selector] ペインで、[Interfaces] > [Physical] > [Ethernet] を選択します。

            [Summary] ペインに使用可能なデバイスが表示されます。

            ステップ 2   [Summary] ペインで、該当するデバイスをダブルクリックして、ポートを含むスロットをダブルクリックします。

            [Summary] ペインに、ダブルクリックしたスロット内のポートが表示されます。

            ステップ 3   MAC ACL を適用するポートをクリックします。
            ステップ 4   必要に応じて、[Details] ペインから [Details] タブをクリックして、[Advanced Settings] セクションを拡張します。

            次のドロップダウン リストが [MAC ACL] 領域に表示されます。

            • Incoming Traffic
            • Outgoing Traffic
            ステップ 5   ACL を適用するトラフィック方向ごとに、該当するドロップダウン リストで適用する ACL を選択します。
            ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

            仮想イーサネット インターフェイスへの MAC ACL の適用

            MAC ACL は、仮想イーサネット インターフェイスの着信トラフィックまたは発信トラフィックに対して適用できます。

            はじめる前に

            適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。

            手順
              ステップ 1   [Feature Selector] ペインで、[Interfaces] > [Logical] > [Virtual Ethernet] を選択します。

              [Summary] ペインに使用可能なデバイスが表示されます。

              ステップ 2   [Summary] ペインで、該当するデバイスをダブルクリックして、ポートを含むスロットをダブルクリックします。

              [Summary] ペインに、ダブルクリックしたスロット内のポートが表示されます。

              ステップ 3   MAC ACL を適用するポートをクリックします。
              ステップ 4   必要に応じて、[Details] ペインから [Details] タブをクリックして、[Advanced Settings] セクションを拡張します。

              次のドロップダウン リストが [MAC ACL] 領域に表示されます。

              • Incoming Traffic
              • Outgoing Traffic
              ステップ 5   ACL を適用するトラフィック方向ごとに、該当するドロップダウン リストで適用する ACL を選択します。
              ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

              ポート チャネルへの MAC ACL の適用

              MAC ACL は、イーサネット ポート チャネルに適用できます。

              DCNM では、イーサネット ポート チャネルの着信トラフィックだけに MAC ACL を適用できます。

              はじめる前に

              適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。

              手順
                ステップ 1   [Feature Selector] ペインで、[Interfaces] > [Logical] > [Port Channel] を選択します。

                [Summary] ペインに使用可能なデバイスが表示されます。

                ステップ 2   [Summary] ペインで、該当するデバイスをダブルクリックします。

                ダブルクリックしたデバイスのポート チャネルが [Summary] ペインに表示されます。

                ステップ 3   MAC ACL を適用するポート チャネルをクリックします。

                ポート チャネルに関する設定が [Details] ペインに表示されます。

                ステップ 4   必要に応じて、[Details] ペインから [Port Channel Advanced Settings] タブをクリックして、[Advanced Settings] セクションを拡張します。

                [Advanced Settings] セクションの [MAC ACL] の領域には、[Incoming Traffic] ドロップダウン リストが含まれています。

                ステップ 5   [Incoming Traffic] ドロップダウン リストから、適用する MAC ACL を選択します。
                ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                MAC ACL の VACL としての適用

                MAC ACL を VACL として適用できます。

                MAC ACL の統計情報のモニタリングとクリア

                [Statistics] タブに次のウィンドウが表示されます。

                • [Access Rule Statistics Chart]:選択した MAC ACL ルールに一致するパケットの数に関する情報です。

                この機能についての統計情報の収集の詳細については、を参照してください。

                MAC ACL のフィールドの説明

                [MAC ACL]:[ACL Details] タブ

                表 1 [MAC ACL]:[ACL Details] タブ

                フィールド

                説明

                Name

                MAC ACL の名前を指定します。 名前には英数字を指定できますが、先頭の文字は英字にする必要があります。 最大長は 64 文字です。 デフォルトでは名前が割り当てられていません。

                Statistics

                ACL によってフィルタリングされたトラフィックに関する統計情報を、デバイスがログに記録するかどうか。 このチェックボックスは、デフォルトでオフになっています。

                [MAC Access Rule]:[Details]:[General] セクション

                表 2  [MAC Access Rule]:[Details]:[General] セクション

                フィールド

                説明

                Sequence Number

                表示のみ。 ルールに割り当てられたシーケンス番号を表示します。

                Action

                パケットにルールが適用されるとデバイスが判断したとき、そのデバイスで実行されるアクション。 有効な値は次のとおりです。

                • [Deny]:パケットの処理を停止してパケットをドロップします。 これがデフォルト値です。
                • [Permit]:パケットの処理を続行します。

                Protocol

                アクセス ルールが適用されるトラフィックのタイプ。 デフォルトでは、プロトコルは選択されていません。 プロトコルを指定するには、プロトコル名を選択します。 リストはプロトコル番号順に並べられますが、プロトコル番号は表示されません。

                Time-range

                アクセス ルールに適用される名前付き時間範囲。 ルールを常に有効にする場合は、時間範囲を指定しません。 デフォルトでは、このフィールドはブランクです。

                Cost of Service

                IEEE 802.1Q ヘッダーに、cos-value 引数で指定したサービス クラス(CoS)値が含まれているパケットだけを一致させるルールを指定します。 cos-value 引数は、0 ~ 7 の整数です。

                VLAN

                IEEE 802.1Q ヘッダーに、選択した VLAN の VLAN ID が含まれているパケットだけを一致させるルールを指定します。

                [MAC Access Rule]:[Details]:[Source and Destination] セクション

                表 3 [MAC Access Rule]:[Details]:[Source and Destination] セクション

                フィールド

                説明

                Source

                送信元のタイプ。 有効な値は次のとおりです。

                • [Any]:このルールは任意の送信元からのパケットに一致します。 これがデフォルト値です。 [Any] を選択した場合、このリストの下にある [MAC Address] フィールドと [Wildcard Mask] フィールドはどちらも指定する必要がないため、使用できなくなります。
                • [Host]:このルールは特定の MAC アドレスからのパケットに一致します。 [Host] を選択した場合、このリストの下にある [MAC Address] フィールドは使用できますが、[Wildcard Mask] フィールドは使用できない状態のままです。
                • [Network]:このルールは MAC ネットワークからのパケットに一致します。 [Network] を選択した場合は、このリストの下にある [MAC Address] フィールドと [Wildcard Mask] フィールドをどちらも使用できます。

                MAC Address (Source)

                ホストまたはネットワークの MAC アドレス。 有効なアドレスはドット付き 16 進表記です。 このフィールドは、[Source] ドロップダウン リストから [Host] または [Network] を選択した場合に使用できます。 デフォルトでは、このフィールドは空白です。

                Wildcard Mask (Source)

                MAC ネットワークのワイルドカード マスク。 有効なマスクはドット付き 16 進表記です。 たとえば、[MAC Address] フィールドに 00c0.4f03.0000 と指定した場合、このフィールドには 0000.0000.ffff などと入力します。 このフィールドは、[Source] ドロップダウン リストから [Network] を選択した場合に使用できます。 デフォルトでは、このフィールドは空白です。

                Destination

                宛先のタイプ。 有効な値は次のとおりです。

                • [Any]:このルールは任意の送信元に送信されるパケットに一致します。 これがデフォルト値です。 [Any] を選択した場合、このリストの下にある [MAC Address] フィールドと [Wildcard Mask] フィールドはどちらも指定する必要がないため、使用できなくなります。
                • [Host]:このルールは特定の MAC アドレスに送信されるパケットに一致します。 [Host] を選択した場合、このリストの下にある [MAC Address] フィールドは使用できますが、[Wildcard Mask] フィールドは使用できない状態のままです。
                • [Network]:このルールは MAC ネットワークに送信されるパケットに一致します。 [Network] を選択した場合は、このリストの下にある [MAC Address] フィールドと [Wildcard Mask] フィールドをどちらも使用できます。

                MAC Address (Destination)

                ホストまたはネットワークの MAC アドレス。 有効なアドレスはドット付き 16 進表記です。 このフィールドは、[Source] ドロップダウン リストから [Host] または [Network] を選択した場合に使用できます。 デフォルトでは、このフィールドは空白です。

                Wildcard Mask (Destination)

                MAC ネットワークのワイルドカード マスク。 有効なマスクはドット付き 16 進表記です。 たとえば、[IP Address] フィールドに 00c0.4f03.0000 と指定した場合、このフィールドには 0000.0000.ffff などと入力します。 このフィールドは、[Source] ドロップダウン リストから [Network] を選択した場合に使用できます。 デフォルトでは、このフィールドは空白です。

                [MAC ACL Remark]:[Remark Details] タブ

                表 4  [MAC ACL Remark]:[Remark Details] タブ

                フィールド

                説明

                Remark Sequence Number

                表示のみ。 コメントに割り当てられたシーケンス番号。

                Remark Description

                コメント テキスト。 最大長は 100 文字です。 デフォルトでは、このフィールドは空白です。

                MAC ACL に関する追加情報

                標準

                標準

                タイトル

                この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

                MAC ACL の機能の履歴

                次の表に、この機能のリリースの履歴を示します。

                表 5 MAC ACL の機能の履歴

                機能名

                リリース

                機能情報

                MAC ACL

                6.1(1)

                M2 シリーズ モジュールが更新されました。

                MAC ACL

                4.2(1)

                MAC パケット分類がサポートされるようになりました。