ページの本文へ

送信元MACアドレスによるフィルタリング

基本構成図

設定のポイント

  • 設定例1では、端末-A/端末-Bのネットワークアクセスを拒否(deny)する。
    (それ以外の端末は、全て許可(permit)する)
  • 設定例2では、端末-複数のネットワークアクセスを許可(permit)する。
    (それ以外の端末は、全て拒否(deny)する)
  • マスク指定により、範囲内のMACアドレスを1つのACLで定義できる。
  • 装置(DA/SA)を対象にしたパケットのACL制御はできません。

設定例1

指定した送信元MACアドレスの拒否(deny)、それ以外は許可(permit)
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-11-11 port 1 deny
config access_profile profile_id 1 add access_id 2 ethernet source_mac 00-00-00-00-22-22 port 2 deny
送信元MACアドレスの全48ビットを対象にしたアクセスプロファイルの作成
ポート1受信のパケットで、SA MAC=00:00:00:00:11:11に合致したパケットを破棄する。優先度1。
ポート2受信のパケットで、SA MAC=00:00:00:00:22:22に合致したパケットを破棄する。優先度2。
※それ以外を許可するACLは定義する必要ないが、明示的に定義してもよい。

設定例2

指定した送信元MACアドレスの許可(permit)、それ以外は拒否(deny)
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-01 port 1 permit
config access_profile profile_id 2 add access_id 2 ethernet source_mac 00-00-00-00-00-02 mask FF-FF-FF-FF-FF-FE port 1 permit
config access_profile profile_id 2 add access_id 3 ethernet source_mac 00-00-00-00-00-04 mask FF-FF-FF-FF-FF-FC port 1 permit
config access_profile profile_id 2 add access_id 4 ethernet source_mac 00-00-00-00-00-08 mask FF-FF-FF-FF-FF-FE port 1 permit
config access_profile profile_id 2 add access_id 5 ethernet source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 port all deny
送信元MACアドレスの全48ビットを対象にしたアクセスプロファイルを作成する。
ポート1受信のパケットで、SA MAC=00:00:00:00:00:01に合致のパケットを許可する。優先度1。
ポート1受信のパケットで、SA MAC=00:00:00:00:00:02~:03に合致のパケットを許可する。優先度2。
ポート1受信のパケットで、SA MAC=00:00:00:00:00:04~:07に合致のパケットを許可する。優先度3。
ポート1受信のパケットで、SA MAC=00:00:00:00:00:08~:09に合致のパケットを許可する。優先度4。
全ポートで、受信したパケットを破棄する。優先度5。

【確認コマンド】

show access_profile
show packet ports <portlist>
show error ports <portlist>

ページの先頭へ