この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
MAC アクセス コントロール リスト(ACL)は、各パケットのレイヤ 2 ヘッダー内の情報を使用してトラフィックをフィルタリングする ACL です。
ACL は、ポート チャネルではサポートされていません。
パラメータ |
デフォルト |
---|---|
MAC ACL |
デフォルトでは MAC ACL は存在しません。 |
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
MAC ACL を作成し、これにルールを追加するには、次の手順を実行します。また、ACL をポート プロファイルに追加する場合にも、次の手順を実行します。
この手順を開始する前に、次の作業を実行したことを確認してください。
また、ポート プロファイルに ACL を追加する場合は、次の事項がわかっていること。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# mac access-list acl-mac-01 switch(config-mac-acl)# permit 00c0.4f00.0000 0000.00ff.ffff any switch(config-mac-acl)# statistics per-entry switch(config-mac-acl)# show mac access-lists acl-mac-01 MAC ACL acl-mac-01 statistics per-entry 10 permit 00c0.4f00.0000 0000.00ff.ffff any switch# copy running-config startup-config
既存の MAC ACL を変更して、ルールの追加または削除を行うには、次の手順を実行します。
既存のシーケンス番号の間にルールを追加する場合などに、シーケンス番号を再割り当てするには、resequence コマンドを使用します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# show mac access-lists MAC ACL acl-mac-01 statistics per-entry 10 permit 00c0.4f00.0000 0000.00ff.ffff any switch(config)# mac access-list acl-mac-01 switch(config-mac-acl)# permit f866.f222.e5a6 ffff.ffff.ffff any switch(config-mac-acl)# no 10 switch(config-mac-acl)# no statistics per-entry switch(config-mac-acl)# end switch# show mac access-lists MAC ACL acl-mac-01 20 permit f866.f222.e5a6 ffff.ffff.ffff any switch# copy running-config startup-config
スイッチから MAC ACL を削除できます。ACL がインターフェイスに適用されているかどうかを確認してください。削除できるのは、現在適用されている ACL だけです。ACL を削除しても、その ACL が適用されていたインターフェイスの設定は影響を受けません。スイッチは、削除対象の ACL が空であると見なします。
MAC ACL が設定されているインターフェイスを見つけるには、summary キーワードを指定して show mac access-lists コマンドを使用します。
この手順を開始する前に、次のことを確認してください。
switch# configure terminal switch(config)# no mac access-list acl-mac-01 switch(config)# show mac access-lists acl-mac-01 summary MAC ACL acl-mac-01 switch(config)# copy running-config startup-config
MAC ACL のルールに割り当てられているシーケンス番号を変更するには、次の手順を実行します。ACL にルールを挿入する必要がある場合で、シーケンス番号が不足しているときは、再割り当てすると便利です。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# show mac access-lists acl-mac-01 MAC ACL acl-mac-01 10 permit 00c0.4f00.0000 0000.00ff.ffff any 20 permit f866.f222.e5a6 ffff.ffff.ffff any switch(config)# resequence mac access-list acl-mac-01 100 10 switch(config)# show mac access-lists acl-mac-01 MAC ACL acl-mac-01 100 permit 00c0.4f00.0000 0000.00ff.ffff any 110 permit f866.f222.e5a6 ffff.ffff.ffff any switch(config)# copy running-config startup-config
物理イーサネット インターフェイスまたは仮想イーサネット インターフェイスに対応付けられたポート プロファイルに MAC ACL を適用することもできます。
注:ACL はポート チャネル インターフェイスには適用できません。ただし、ポート チャネルに属していない物理イーサネット インターフェイスには適用できます。
この手順を開始する前に、次のことを確認してください。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# interface ethernet 1 switch(config-if)# mac port access-group acl-mac-01 in switch(config-if)# show running-config aclmgr !Command: show running-config aclmgr !Time: Wed Mar 13 03:38:02 2013 version 5.2(1)SM1(5.1) mac access-list acl-mac-01 100 permit 00C0.4F00.0000 0000.00FF.FFFF any 110 permit F866.F222.E5A6 FFFF.FFFF.FFFF any interface Vethernet1 mac port access-group acl-mac-01 in switch(config-if)# copy running-config startup-config version 5.2(1)SM1(5.1)
この手順を開始する前に、次のことを確認してください。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# port-profile vm_eth1 switch(config-port-prof)# mac port access-group acl-mac-01 out switch(config-port-prof)# show port-profile name vm_eth1 port-profile vm_eth1 type: Vethernet description: status: enabled max-ports: 32 min-ports: 1 inherit: config attributes: mac port access-group acl-mac-01 out no shutdown evaluated config attributes: mac port access-group acl-mac-01 out no shutdown assigned interfaces: port-group: vm_eth1 system vlans: none capability l3control: no capability iscsi-multipath: no capability vxlan: no capability l3-vn-service: no port-profile role: none port-binding: static switch(config-port-prof)# copy running-config startup-config
次のいずれかのコマンドを使用して、設定を確認します。
コマンド |
目的 |
---|---|
show mac access-lists |
MAC ACL の設定を表示します。 |
show mac address-lists summary |
設定済みのすべての MAC ACL または名前付き MAC ACL の要約を表示します。 |
show running-config aclmgr |
MAC ACL、MAC ACL が適用されるインターフェイスなど、MAC ACL の設定を表示します。 |
show running-config interface |
ACL を適用したインターフェイスの設定を表示します。 |
MAC ACL のモニタリングには、次のコマンドを使用します。
コマンド |
目的 |
---|---|
show mac access-lists |
MAC ACL の設定を表示します。MAC ACL に statistics per-entry コマンドが含まれている場合は、show mac access-lists コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
clear mac access-list counters |
すべての MAC ACL、または特定の MAC ACL の統計情報を消去します。 |
次に、acl-mac-01 という名前の MAC ACL を作成して、ポート チャネルのメンバーではない物理 Ethernet インターフェイスにポート ACL として適用し、一致カウンタで設定を確認する例を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# mac access-list acl-mac-01 switch(config-mac-acl)# 100 permit 00c0.4f00.0000 0000.00ff.ffff any switch(config-mac-acl)# 110 permit f866.f222.e5a6 ffff.ffff.ffff any switch(config-mac-acl)# statistics per-entry switch(config-mac-acl)# end switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# interface ethernet 3/5 switch(config-if)# mac port access-group acl-mac-01 out switch(config-if)# show mac access-lists acl-mac-01 summary MAC ACL acl-mac-01 statistics per-entry Total ACEs Configured:2 Configured on interfaces: Ethernet3/5 - egress (Port ACL) Active on interfaces: Ethernet3/5 - egress (Port ACL) switch(config-if)# show mac access-lists acl-mac-01 MAC ACL acl-mac-01 statistics per-entry 100 permit 00c0.4f00.0000 0000.00ff.ffff any [match=0] 110 permit f866.f222.e5a6 ffff.ffff.ffff any [match=546] switch(config-if)# clear mac access-list counters switch(config-if)# show mac access-lists acl-mac-01 MAC ACL acl-mac-01 statistics per-entry 100 permit 00c0.4f00.0000 0000.00ff.ffff any [match=0] 110 permit f866.f222.e5a6 ffff.ffff.ffff any [match=0] switch(config-if)#
この表には、機能の追加によるリリースの更新内容のみが記載されています。
機能名 |
リリース |
機能情報 |
---|---|---|
MAC ACL |
5.2(1)SM1(5.1) |
この機能が導入されました。 |