Cisco NX-OS Security コマンド レファレンス Release 4.0
- Updated:
- 2017年6月14日
章のタイトル: M コマンド
M コマンド
mac access-list
Mac Access Control List(ACL; アクセス コントロール リスト)を作成するか、または特定の ACL の MAC アクセス リスト コンフィギュレーション モードを開始するには、 mac access-list コマンドを使用します。MAC ACL を削除するには、このコマンドの no 形式を使用します。
mac access-list access-list-name
no mac access-list access-list-name
シンタックスの説明
MAC ACL の名前。最大 64 文字で、大文字と小文字を区別した英数字で指定します。スペースまたは引用符は使用できません。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
非 IP トラフィックをフィルタリングするには、MAC ACL を使用します。パケットの分類をディセーブルにした場合は、MAC ACL を使用して、すべてのトラフィックをフィルタリングできます。
mac access-list コマンドを使用すると、MAC アクセス リスト コンフィギュレーション モードが開始されます。このモードで、MAC deny および permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合は、このコマンドの入力時に新しい ACL が作成されます。
ACL をインターフェイスに適用するには、 mac port access-group コマンドを使用します。
すべての MAC ACL は、最終ルールとして、次の暗黙ルールが設定されます。
この暗黙のルールにより、トラフィックのレイヤ 2 ヘッダーに指定されたプロトコルに関係なく、一致しないトラフィックが確実に拒否されます。
MAC ACL の各ルールの統計情報を記録するには、 statistics per-entry コマンドを使用します。暗黙ルールの統計情報は記録されません。暗黙ルールに一致したパケットの統計情報を記録するには、パケットの deny(拒否)ルールを明示的に設定する必要があります。
例
次に、mac-acl-01 という MAC ACL の MAC アクセス リスト コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
mac port access-group
MAC Access Control List(ACL; アクセス コントロール リスト)をインターフェイスに適用するには、 mac port access-group コマンドを使用します。インターフェイスから MAC ACL を削除するには、このコマンドの no 形式を使用します。
mac port access-group access-list-name
no mac port access-group access-list-name
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、インターフェイスに MAC ACL は適用されません。
デバイス上にレイヤ 3 ヘッダーに基づくトラフィック分類が設定されていない場合を除き、MAC ACL は非 IP トラフィックに適用されます。パケット分類がディセーブルの場合は、MAC ACL がすべてのトラフィックに適用されます。
mac port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、MAC ACL をポート ACL として適用できます。
•
レイヤ 2 イーサネット ポートチャネル インターフェイス
MAC ACL を VLAN ACL として適用することもできます。詳細については、「match(VLAN アクセス マップ)」 を参照してください。
MAC ACL が適用されるのは、インバウンド トラフィックだけです。MAC ACL が適用されると、パケットが ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
例
次に、イーサネット インターフェイス 2/1 に対して、mac-acl-01 という MAC ACL を適用する例を示します。
次に、イーサネット インターフェイス 2/1 から、mac-acl-01 という MAC ACL を削除する例を示します。
関連コマンド
|
|
|
|---|---|
match(VLAN アクセス マップ)
VLAN アクセス マップ内のトラフィック フィルタリング用として Access Control List(ACL; アクセス コントロール リスト)を指定するには、 match コマンドを使用します。VLAN アクセス マップから match コマンドを削除するには、このコマンドの no 形式を使用します。
match {ip | mac} address access-list-name
no match {ip | mac} address access-list-name
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
1 つのアクセス マップについて、1 つの match コマンドだけを指定できます。
デフォルトでは、デバイスによりトラフィックが分類され、IPv4 トラフィックには IPv4 ACLが、その他のすべてのトラフィックには MAC ACL が適用されます。
例
次に、vlan-map-01 という VLAN アクセス マップを作成し、このマップに ip-acl-01 という IPv4 ACL を割り当て、ACL と一致するパケットを転送し、マップと一致したトラフィックの統計情報を記録する例を示します。
関連コマンド
|
|
|
|---|---|
match(クラス マップ)
コントロール プレーン クラス マップの一致基準を設定するには、 match コマンドを使用します。コントロール プレーン クラス マップの一致基準を削除するには、このコマンドの no 形式を使用します。
match access-group name access-list
match exception {[ip | ipv6] {icmp {redirect | unreachable} | option}}
match redirect {arp-inspect | dhcp-snoop}
no match access-group name access-list
no match exception {[ip | ipv6] {icmp {redirect | unreachable} | option}}
no match redirect {arp-inspect | dhcp-snoop}
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドで ACL を指定するには、事前に IP ACL または MAC ACL を作成しておく必要があります。
例
次に、コントロール プレーン クラス マップの一致基準を指定する例を示します。
次に、コントロール プレーン クラス マップの一致基準を削除する例を示します。
関連コマンド
|
|
|
|---|---|
コントロール プレーン クラス マップを作成または指定して、クラス マップ コンフィギュレーション モードを開始します。 |
|
フィードバック