MAC ACL の設定
この章では、Cisco NX-OS デバイスの MAC アクセス コントロール リスト(ACL)を設定する手順について説明します。
この章の内容は、次のとおりです。
- MAC ACL について
- MAC ACL のライセンス要件
- MAC ACL の注意事項と制約事項
- MAC ACL のデフォルト設定
- MAC ACL の設定
- MAC ACL の設定の確認
- MAC ACL の統計情報のモニタリングとクリア
- MAC ACL の設定例
- MAC ACL に関する追加情報
MAC ACL について
MAC ACL は、パケットのレイヤ 2 ヘッダーを使用してトラフィックをフィルタリングする ACL です。バーチャライゼーションのサポートなど、MAC ACL の基本的な機能の多くは IP ACL と共通です。
MAC パケット分類
MAC パケット分類により、レイヤ 2 インターフェイス上の MAC ACL を、IP トラフィックなどインターフェイスに入るすべてのトラフィックに適用するか、非 IP トラフィックだけに適用するかを制御できます。
| MAC パケット分類の状態 | インターフェイスでの効果 |
|---|---|
|
イネーブル |
|
|
ディセーブル |
MAC ACL のライセンス要件
|
製品 |
ライセンス要件 |
|---|---|
|
Cisco NX-OS |
MAC ACL にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
MAC ACL の注意事項と制約事項
MAC ACL の設定に関する注意事項と制約事項は次のとおりです。
MAC ACL のデフォルト設定
|
パラメータ |
デフォルト |
|---|---|
|
MAC ACL |
デフォルトでは MAC ACL は存在しません。 |
|
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
MAC ACL の設定
- MAC ACL の作成
- MAC ACL の変更
- MAC ACL 内のシーケンス番号の変更
- MAC ACL の削除
- ポート ACL としての MAC ACL の適用
- MAC ACL の VACL としての適用
- MAC パケット分類のイネーブル化またはディセーブル化
MAC ACL の作成
MAC ACL を作成し、これにルールを追加できます。
1.
configure terminal
2.
macaccess-listname
3.
{permit | deny} sourcedestination-protocol
4.
(任意) statistics per-entry
5.
(任意) show mac access-listsname
6.
(任意) copy running-config startup-config
手順の詳細
MAC ACL の変更
MAC ACL をデバイスから削除できます。
MAC ACL が設定されているインターフェイスを探すには、summary キーワードを指定して show mac access-lists コマンドを使用します。
1.
configure terminal
2.
macaccess-listname
3.
(任意) [sequence-number] {permit | deny} sourcedestination-protocol
4.
(任意) no {sequence-number | {permit | deny} sourcedestination-protocol}
5.
(任意) [no] statistics per-entry
6.
(任意) show mac access-listsname
7.
(任意) copy running-config startup-config
手順の詳細
MAC ACL 内のシーケンス番号の変更
MAC ACL 内のルールに付けられたすべてのシーケンス番号を変更できます。ACL にルールを挿入する必要がある場合で、シーケンス番号が不足しているときは、再割り当てすると便利です。
1.
configure terminal
2.
resequence mac access-listnamestarting-sequence-numberincrement
3.
(任意) show mac access-listsname
4.
(任意) copy running-config startup-config
手順の詳細
MAC ACL の削除
MAC ACL をデバイスから削除できます。
1.
configure terminal
2.
nomacaccess-listname
3.
(任意) show mac access-listsnamesummary
4.
(任意) copy running-config startup-config
手順の詳細
ポート ACL としての MAC ACL の適用
MAC ACL をポート ACL として、次のいずれかのインターフェイス タイプに適用できます。
適用する ACL が存在し、必要な方法でトラフィックをフィルタリングするように設定されていることを確認します。
1.
configure terminal
3.
mac port access-groupaccess-list
4.
(任意) show running-config aclmgr
5.
(任意) copy running-config startup-config
手順の詳細
MAC ACL の VACL としての適用
MAC ACL を VACL として適用できます。
MAC パケット分類のイネーブル化またはディセーブル化
レイヤ 2 インターフェイスに対して MAC パケット分類をイネーブルまたはディセーブルに設定できます。
インターフェイスを、レイヤ 2 インターフェイスとして設定する必要があります。
 (注) | インターフェイスが ip port access-group コマンドまたは ipv6 port traffic-filter コマンドを使用して設定されている場合は、インターフェイス コンフィギュレーションから ip port access-group コマンドおよび ipv6 port traffic-filter コマンドを削除しない限り、MAC パケット分類をイネーブルにできません。 |
1.
configure terminal
3.
[no] mac packet-classify
5.
(任意) copy running-config startup-config
手順の詳細
MAC ACL の設定の確認
|
コマンド |
目的 |
||
|---|---|---|---|
|
show mac access-lists |
MAC ACL の設定を表示します。 |
||
|
show running-config aclmgr [all] |
MAC ACL および MAC ACL が適用されるインターフェイスを含めて、ACL の設定を表示します。
|
||
|
show startup-config aclmgr [all] |
ACL のスタートアップ コンフィギュレーションを表示します。
|
MAC ACL の統計情報のモニタリングとクリア
|
コマンド |
目的 |
|---|---|
|
show mac access-lists |
MAC ACL の設定を表示します。MAC ACL に statistics per-entry コマンドが含まれている場合は、show mac access-lists コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
|
clear mac access-list counters |
MAC ACL の統計情報をクリアします。 |
MAC ACL の設定例
次に、acl-mac-01 という名前の MAC ACL を作成し、これをイーサネット インターフェイス 2/1(レイヤ 2 インターフェイス)に適用する例を示します。
mac access-list acl-mac-01 permit 00c0.4f00.0000 0000.00ff.ffff any interface ethernet 2/1 mac port access-group acl-mac-01
MAC ACL に関する追加情報
関連資料
|
関連項目 |
マニュアル タイトル |
|---|---|
|
TAP アグリゲーション |
『Configuring TAP Aggregation and MPLS Stripping』 |
フィードバック