- はじめに
- 新機能および変更された機能に関する情報
- 概要
- FIPS の設定
- AAA の設定
- RADIUS の設定
- TACACS+ の設定
- LDAP の設定
- SSH および Telnet の設定
- PKI の設定
- ユーザ アカウントおよび RBAC の設定
- 802.1X の設定
- NAC の設定
- Cisco TrustSec の設定
- Cisco TrustSec MACSec の設定
- IP ACL の設定
- MAC ACL の設定
- VLAN ACL の設定
- ポート セキュリティの設定
- DHCP の設定
- ダイナミック ARP インスペクションの設定
- IP ソース ガードの設定
- パスワード暗号化の設定
- キーチェーン管理の設定
- トラフィック ストーム制御の設定
- ユニキャスト RPF の設定
- コントロール プレーン ポリシングの設定
- レート制限の設定
Cisco Nexus 7000 Series NX-OS セキュリティ コンフィギュレーション ガイド
- Updated:
- 2017年6月14日
章のタイトル: MAC ACL の設定
MAC ACL の設定
この章では、Cisco NX-OS デバイスの MAC アクセス コントロール リスト(ACL)を設定する手順について説明します。
この章の内容は、次のとおりです。
- 機能情報の確認
- MAC ACL の概要
- MAC ACL のライセンス要件
- MAC ACL の前提条件
- MAC ACL の注意事項と制約事項
- MAC ACL のデフォルト設定
- MAC ACL の設定
- MAC ACL の設定の確認
- MAC ACL の統計情報のモニタリングとクリア
- MAC ACL の設定例
- MAC ACL に関する追加情報
- MAC ACL の機能の履歴
機能情報の確認
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
MAC ACL の概要
MAC ACL は、パケットのレイヤ 2 ヘッダーを使用してトラフィックをフィルタリングする ACL です。バーチャライゼーションのサポートなど、MAC ACL の基本的な機能の多くは IP ACL と共通です。
MAC パケット分類
MAC パケット分類により、レイヤ 2 インターフェイス上の MAC ACL を、IP トラフィックなどインターフェイスに入るすべてのトラフィックに適用するか、非 IP トラフィックだけに適用するかを制御できます。
| MAC パケット分類の状態 | インターフェイスでの効果 |
|---|---|
|
イネーブル |
|
|
ディセーブル |
MAC ACL のライセンス要件
|
製品 |
ライセンス要件 |
|---|---|
|
Cisco NX-OS |
MAC ACL にはライセンスは必要ありません。ただし、XL ラインカードを使用して最大 128K の ACL エントリをサポートするには、スケーラブルなサービス ライセンスをインストールする必要があります。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
MAC ACL の前提条件
MAC ACL を設定するための前提条件はありません。
MAC ACL の注意事項と制約事項
MAC ACL の設定に関する注意事項と制約事項は次のとおりです。
MAC ACL のデフォルト設定
|
パラメータ |
デフォルト |
|---|---|
|
MAC ACL |
デフォルトでは MAC ACL は存在しません。 |
|
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
MAC ACL の設定
- MAC ACL の作成
- MAC ACL の変更
- MAC ACL 内のシーケンス番号の変更
- MAC ACL の削除
- ポート ACL としての MAC ACL の適用
- MAC ACL の VACL としての適用
- MAC パケット分類のイネーブル化またはディセーブル化
MAC ACL の作成
MAC ACL を作成し、これにルールを追加できます。
1.
configure terminal
2.
macaccess-listname
3.
{permit | deny} sourcedestination protocol
4.
(任意) statistics per-entry
5.
(任意) show mac access-listsname
6.
(任意) copy running-config startup-config
手順の詳細
MAC ACL の変更
MAC ACL をデバイスから削除できます。
MAC ACL が設定されているインターフェイスを探すには、summary キーワードを指定して show mac access-lists コマンドを使用します。
1.
configure terminal
2.
macaccess-listname
3.
(任意) [sequence-number] {permit | deny} sourcedestination protocol
4.
(任意) no {sequence-number | {permit | deny} sourcedestination protocol}
5.
(任意) [no] statistics per-entry
6.
(任意) show mac access-listsname
7.
(任意) copy running-config startup-config
手順の詳細
MAC ACL 内のシーケンス番号の変更
MAC ACL 内のルールに付けられたすべてのシーケンス番号を変更できます。ACL にルールを挿入する必要がある場合で、シーケンス番号が不足しているときは、再割り当てすると便利です。
1.
configure terminal
2.
resequence mac access-list name starting-sequence-numberincrement
3.
(任意) show mac access-listsname
4.
(任意) copy running-config startup-config
手順の詳細
MAC ACL の削除
MAC ACL をデバイスから削除できます。
1.
configure terminal
2.
nomacaccess-listname
3.
(任意) show mac access-lists name summary
4.
(任意) copy running-config startup-config
手順の詳細
ポート ACL としての MAC ACL の適用
MAC ACL をポート ACL として、次のいずれかのインターフェイス タイプに適用できます。
適用する ACL が存在し、必要な方法でトラフィックをフィルタリングするように設定されていることを確認します。
1.
configure terminal
3.
mac port access-groupaccess-list
4.
(任意) show running-config aclmgr
5.
(任意) copy running-config startup-config
手順の詳細
MAC ACL の VACL としての適用
MAC ACL を VACL として適用できます。
MAC パケット分類のイネーブル化またはディセーブル化
レイヤ 2 インターフェイスに対して MAC パケット分類をイネーブルまたはディセーブルに設定できます。
インターフェイスを、レイヤ 2 インターフェイスとして設定する必要があります。
 (注) | インターフェイスが ip port access-group コマンドまたは ipv6 port traffic-filter コマンドを使用して設定されている場合は、インターフェイス コンフィギュレーションから ip port access-group コマンドおよび ipv6 port traffic-filter コマンドを削除しない限り、MAC パケット分類をイネーブルにできません。 |
1.
configure terminal
3.
[no] mac packet-classify
5.
(任意) copy running-config startup-config
手順の詳細
MAC ACL の設定の確認
|
コマンド |
目的 |
||
|---|---|---|---|
|
show mac access-lists |
MAC ACL の設定を表示します。 |
||
|
show running-config aclmgr[all] |
MAC ACL および MAC ACL が適用されるインターフェイスを含めて、ACL の設定を表示します。
|
||
show startup-config aclmgr [all] |
ACL のスタートアップ コンフィギュレーションを表示します。
|
MAC ACL の統計情報のモニタリングとクリア
MAC ACL に関する統計情報(各ルールに一致したパケットの数など)をモニタするには、show mac access-lists コマンドを使用します。
|
コマンド |
目的 |
|---|---|
|
show mac access-lists |
MAC ACL の設定を表示します。MAC ACL に statistics per-entry コマンドが含まれている場合は、show mac access-lists コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
|
clear mac access-list counters |
すべての MAC ACL、または特定の MAC ACL の統計情報を消去します。 |
MAC ACL の設定例
次に、acl-mac-01 という名前の MAC ACL を作成し、これをイーサネット インターフェイス 2/1(レイヤ 2 インターフェイス)に適用する例を示します。
mac access-list acl-mac-01 permit 00c0.4f00.0000 0000.00ff.ffff any interface ethernet 2/1 mac port access-group acl-mac-01
MAC ACL に関する追加情報
関連資料
|
関連項目 |
マニュアル タイトル |
|---|---|
|
MAC ACL コマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例 |
『Cisco Nexus 7000 Series NX-OS Security Command Reference』 |
標準
|
標準 |
タイトル |
|---|---|
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
MAC ACL の機能の履歴
|
機能名 |
リリース |
機能情報 |
|---|---|---|
MAC ACL |
6.1(1) |
M2 シリーズ モジュールが更新されました。 |
MAC ACL |
6.0(1) |
F2 シリーズ モジュールが更新されました。 |
MAC ACL |
5.2(1) |
実行コンフィギュレーションとスタートアップ コンフィギュレーションでユーザ設定 ACL だけを表示する(およびデフォルトの CoPP 設定 ACL を表示しない)ように、show running-config aclmgr コマンドと show startup-config aclmgr コマンドが変更されました。 |
MAC ACL |
5.0(2) |
スケーラブルなサービス ライセンスがインストールされており、XL ラインカードを使用している場合、最大 128,000 の ACL エントリがサポートされるようになりました。 |
|
MAC ACL |
4.2(1) |
MAC パケット分類がサポートされるようになりました。 |
フィードバック