IPv4 アクセス コントロール リストの設定に関する制約事項
一般的なネットワーク セキュリティ
次は、ACL によるネットワーク セキュリティの設定の制約事項です。
-
ルータ ACL と VLAN ACL はサポートされていません。
-
番号付き ACL で使用できるすべてのコマンドが名前付き ACL でも使用できるわけではありません。インターフェイスのパケット フィルタおよびルート フィルタ用の ACL では、名前を使用できます。
-
標準 ACL と拡張 ACL に同じ名前は使用できません。
-
appletalk は、コマンドラインのヘルプ ストリングに表示されますが、deny および permit MAC アクセスリスト コンフィギュレーション モード コマンドの一致条件としてサポートされていません。
-
ACL ワイルドカードは、ダウンストリーム クライアント ポリシーではサポートされていません。
IPv4 ACL ネットワーク インターフェイス
次の制限事項が、ネットワーク インターフェイスへの IPv4 ACL に適用されます。
-
インターフェイスへのアクセスを制御する場合、名前付き ACL または番号付き ACL を使用できます。
-
レイヤ 2 インターフェイスに ACL を適用する場合、ルーティングをイネーブルにする必要はありません。
-
レイヤ 3 ポートおよび SVI では、ACL はサポートされていません。
レイヤ 2 インターフェイスの MAC ACL
MAC ACL を作成し、それをレイヤ 2 インターフェイスに適用すると、そのインターフェイスに着信する非 IP トラフィックをフィルタリングできます。MAC ACL を適用するときには、次の注意事項に留意してください。
-
同じレイヤ 2 インターフェイスには、IP アクセス リストと MAC アクセス リストを 1 つずつしか適用できません。IP アクセス リストは IP パケットだけをフィルタリングし、MAC アクセス リストは非 IP パケットをフィルタリングします。
-
1 つのレイヤ 2 インターフェイスに適用できる MAC アドレス リストは 1 つだけです。すでに MAC ACL が設定されているレイヤ 2 インターフェイスに MAC アクセス リストを適用すると、設定済みの ACL が新しい ACL に置き換えられます。
![]() (注) |
mac access-group インターフェイス コンフィギュレーション コマンドは、物理レイヤ 2 インターフェイスに適用される場合のみ有効です。このコマンドは、EtherChannel ポート チャネルでは使用できません。 |
IP アクセス リスト エントリ シーケンス番号
-
この機能は、ダイナミック アクセス リスト、再帰アクセス リスト、またはファイアウォール アクセス リストをサポートしていません。