この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco NX-OS デバイスの MAC アクセス コントロール リスト(ACL)を設定する手順について説明します。
この章の内容は、次のとおりです。
MAC ACL は、パケットのレイヤ 2 ヘッダーを使用してトラフィックをフィルタリングする ACL です。バーチャライゼーションのサポートなど、MAC ACL の基本的な機能の多くは IP ACL と共通です。
MAC パケット分類により、レイヤ 2 インターフェイス上の MAC ACL を、IP トラフィックなどインターフェイスに入るすべてのトラフィックに適用するか、非 IP トラフィックだけに適用するかを制御できます。
MAC パケット分類の状態 | インターフェイスでの効果 |
---|---|
イネーブル |
|
ディセーブル |
パラメータ |
デフォルト |
---|---|
MAC ACL |
デフォルトでは MAC ACL は存在しません。 |
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
MAC ACL を作成し、これにルールを追加できます。
次に、MAC ACL を作成する例を示します。
switch# configure terminal switch(config)# mac access-list acl-mac-01 switch(config-mac-acl)# permit 00c0.4f00.0000 0000.00ff.ffff any switch(config-mac-acl)# statistics per-entry switch(config-mac-acl)# show mac access-lists acl-mac-01 MAC ACL acl-mac-01 statistics per-entry 10 permit 00c0.4f00.0000 0000.00ff.ffff any switch(config-mac-acl)# copy running-config startup-config
MAC ACL をデバイスから削除できます。
MAC ACL が設定されているインターフェイスを探すには、summary キーワードを指定して show mac access-lists コマンドを使用します。
次に、MAC ACL を変更する例を示します。
switch# configure terminal switch(config)# mac access-list acl-mac-01 switch(config-mac-acl)# 100 permit 00c0.4f00.00 0000.00ff.ffff any switch(config-mac-acl)# 80 permit 00c0.4f00.00 0000.00ff.ffff any switch(config-mac-acl)# no 80 switch(config-mac-acl)# statistics per-entry switch(config-mac-acl)# show mac access-lists acl-mac-01 MAC ACL acl-mac-01 statistics per-entry 10 permit 00c0.4f00.0000 0000.00ff.ffff any 100 permit 00c0.4f00.0000 0000.00ff.ffff any switch(config-mac-acl)# copy running-config startup-config
MAC ACL 内のルールに付けられたすべてのシーケンス番号を変更できます。ACL にルールを挿入する必要がある場合で、シーケンス番号が不足しているときは、再割り当てすると便利です。
次に、MAC ACL のシーケンスを変更する例を示します。
switch# configure terminal switch(config)# resequence mac access-list acl-mac-01 100 15 switch(config)# show mac access-lists acl-mac-01 MAC ACL acl-mac-01 statistics per-entry 100 permit 00c0.4f00.0000 0000.00ff.ffff any 115 permit 00c0.4f00.0000 0000.00ff.ffff any switch(config)# copy running-config startup-config
MAC ACL をデバイスから削除できます。
次に、MAC ACL を削除する例を示します。
switch# configure terminal switch(config)# show mac access-lists MAC ACL acl-mac-01 statistics per-entry 100 permit 00c0.4f00.0000 0000.00ff.ffff any 115 permit 00c0.4f00.0000 0000.00ff.ffff any MAC ACL acl-mac-02 statistics per-entry 10 permit 00a0.3f00.0000 0000.00dd.ffff any MAC ACL acl-mac-03 statistics per-entry 10 permit 00b0.5f00.0000 0000.00aa.fbbf any switch(config)# no mac access-list acl-mac-02 switch(config)# show mac access-lists acl-mac-02 summary switch(config)# show mac access-lists MAC ACL acl-mac-01 statistics per-entry 100 permit 00c0.4f00.0000 0000.00ff.ffff any 115 permit 00c0.4f00.0000 0000.00ff.ffff any MAC ACL acl-mac-03 statistics per-entry 10 permit 00b0.5f00.0000 0000.00aa.fbbf any switch(config)# copy running-config startup-config
MAC ACL をポート ACL として、次のいずれかのインターフェイス タイプに適用できます。
適用する ACL が存在し、必要な方法でトラフィックをフィルタリングするように設定されていることを確認します。
次の例は、イーサネット インターフェイスに MAC ACL をポート ACL として適用する方法を示しています。
switch# configure terminal switch(config)# interface ethernet 1/3 switch(config-if)# mac port access-group acl-mac-01 switch(config-if)# show running-config aclmgr !Command: show running-config aclmgr !Time: Sat Jul 19 23:36:04 2014 version 6.0(2)A4(1) mac access-list acl-mac-01 statistics per-entry 100 permit 00C0.4F00.0000 0000.00FF.FFFF any 115 permit 00C0.4F00.0000 0000.00FF.FFFF any mac access-list acl-mac-03 statistics per-entry 10 permit 00B0.5F00.0000 0000.00AA.FBBF any ip access-list copp-system-acl-bfd 10 permit udp any any eq 3784 ip access-list copp-system-acl-eigrp 10 permit eigrp any any ip access-list copp-system-acl-ftp 10 permit tcp any any eq ftp-data 20 permit tcp any any eq ftp 30 permit tcp any eq ftp-data any 40 permit tcp any eq ftp any ... interface Ethernet1/3 mac port access-group acl-mac-01 switch(config-if)# copy running-config startup-config
次の例は、ポートチャネル インターフェイスに MAC ACL をポート ACL として適用する方法を示しています。
switch# configure terminal switch(config)# interface port-channel 5 switch(config-if)# mac port access-group acl-mac-01 switch(config-if)# show running-config aclmgr !Command: show running-config aclmgr !Time: Sat Jul 19 23:37:04 2014 version 6.0(2)A4(1) mac access-list acl-mac-01 statistics per-entry 100 permit 00C0.4F00.0000 0000.00FF.FFFF any 115 permit 00C0.4F00.0000 0000.00FF.FFFF any mac access-list acl-mac-03 statistics per-entry 10 permit 00B0.5F00.0000 0000.00AA.FBBF any ip access-list copp-system-acl-bfd 10 permit udp any any eq 3784 ip access-list copp-system-acl-eigrp 10 permit eigrp any any ip access-list copp-system-acl-ftp 10 permit tcp any any eq ftp-data 20 permit tcp any any eq ftp 30 permit tcp any eq ftp-data any 40 permit tcp any eq ftp any ... interface port-channel5 mac port access-group acl-mac-01 switch(config-if)# copy running-config startup-config
MAC パケット分類は、VLAN 単位でイネーブルまたはディセーブルにすることができます。
次に、VLAN 単位で MAC パケット分類をイネーブルにする例を示します。
switch# configure terminal switch(config)# feature interface-vlan switch(config)# interface vlan 50 switch(config-if)# mac packet-classify switch(config-if)# show running-config interface vlan 50 !Command: show running-config interface Vlan50 !Time: Wed Aug 6 20:39:03 2014 version 6.0(2)A4(1) interface Vlan50 mac packet-classify switch(config-if)# copy running-config startup-config
MAC ACL の設定情報を表示するには、次のいずれかの作業を実行します。
コマンド |
目的 |
||
---|---|---|---|
show mac access-lists |
MAC ACL の設定を表示します。 |
||
show running-config aclmgr [all] |
MAC ACL および MAC ACL が適用されるインターフェイスを含めて、ACL の設定を表示します。
|
||
show startup-config aclmgr [all] |
ACL のスタートアップ コンフィギュレーションを表示します。
|
clear mac access-list counters コマンドを使用して、MAC ACL 統計情報を消去できます。
コマンド | 目的 |
---|---|
clear mac access-list counters |
すべての MAC ACL、または特定の MAC ACL の統計情報を消去します。 |