この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco NX-OS デバイスの MAC アクセス コントロール リスト(ACL)を設定する手順について説明します。
この章の内容は、次のとおりです。
MAC ACL は、パケットのレイヤ 2 ヘッダーを使用してトラフィックをフィルタリングする ACL です。バーチャライゼーションのサポートなど、MAC ACL の基本的な機能の多くは IP ACL と共通です。
MAC パケット分類により、レイヤ 2 インターフェイス上の MAC ACL を、IP トラフィックなどインターフェイスに入るすべてのトラフィックに適用するか、非 IP トラフィックだけに適用するかを制御できます。
MAC パケット分類の状態 | インターフェイスでの効果 |
---|---|
イネーブル |
|
ディセーブル |
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
MAC ACL にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
MAC ACL の設定に関する注意事項と制約事項は次のとおりです。
パラメータ |
デフォルト |
---|---|
MAC ACL |
デフォルトでは MAC ACL は存在しません。 |
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
MAC ACL を作成し、これにルールを追加できます。
1.
configure terminal
2.
macaccess-listname
3.
{permit | deny} sourcedestination-protocol
4.
(任意) statistics per-entry
5.
(任意) show mac access-listsname
6.
(任意) copy running-config startup-config
MAC ACL をデバイスから削除できます。
MAC ACL が設定されているインターフェイスを探すには、summary キーワードを指定して show mac access-lists コマンドを使用します。
1.
configure terminal
2.
macaccess-listname
3.
(任意) [sequence-number] {permit | deny} sourcedestination-protocol
4.
(任意) no {sequence-number | {permit | deny} sourcedestination-protocol}
5.
(任意) [no] statistics per-entry
6.
(任意) show mac access-listsname
7.
(任意) copy running-config startup-config
MAC ACL 内のルールに付けられたすべてのシーケンス番号を変更できます。ACL にルールを挿入する必要がある場合で、シーケンス番号が不足しているときは、再割り当てすると便利です。
1.
configure terminal
2.
resequence mac access-listnamestarting-sequence-numberincrement
3.
(任意) show mac access-listsname
4.
(任意) copy running-config startup-config
MAC ACL をデバイスから削除できます。
1.
configure terminal
2.
nomacaccess-listname
3.
(任意) show mac access-listsnamesummary
4.
(任意) copy running-config startup-config
MAC ACL をポート ACL として、次のいずれかのインターフェイス タイプに適用できます。
適用する ACL が存在し、必要な方法でトラフィックをフィルタリングするように設定されていることを確認します。
1.
configure terminal
3.
mac port access-groupaccess-list
4.
(任意) show running-config aclmgr
5.
(任意) copy running-config startup-config
MAC ACL を VACL として適用できます。
レイヤ 2 インターフェイスに対して MAC パケット分類をイネーブルまたはディセーブルに設定できます。
インターフェイスを、レイヤ 2 インターフェイスとして設定する必要があります。
![]() (注) | インターフェイスが ip port access-group コマンドまたは ipv6 port traffic-filter コマンドを使用して設定されている場合は、インターフェイス コンフィギュレーションから ip port access-group コマンドおよび ipv6 port traffic-filter コマンドを削除しない限り、MAC パケット分類をイネーブルにできません。 |
1.
configure terminal
3.
[no] mac packet-classify
5.
(任意) copy running-config startup-config
コマンド |
目的 |
||
---|---|---|---|
show mac access-lists |
MAC ACL の設定を表示します。 |
||
show running-config aclmgr [all] |
MAC ACL および MAC ACL が適用されるインターフェイスを含めて、ACL の設定を表示します。
|
||
show startup-config aclmgr [all] |
ACL のスタートアップ コンフィギュレーションを表示します。
|
コマンド |
目的 |
---|---|
show mac access-lists |
MAC ACL の設定を表示します。MAC ACL に statistics per-entry コマンドが含まれている場合は、show mac access-lists コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
clear mac access-list counters |
MAC ACL の統計情報をクリアします。 |
次に、acl-mac-01 という名前の MAC ACL を作成し、これをイーサネット インターフェイス 2/1(レイヤ 2 インターフェイス)に適用する例を示します。
mac access-list acl-mac-01 permit 00c0.4f00.0000 0000.00ff.ffff any interface ethernet 2/1 mac port access-group acl-mac-01
関連項目 |
マニュアル タイトル |
---|---|
TAP アグリゲーション |
『Configuring TAP Aggregation and MPLS Stripping』 |