設定例(ApresiaLightGM/FMシリーズ)
アクセス制御リスト(ACL)ー送信元MACアドレスによるフィルタリング
基本構成図
設定のポイント
- 設定例1では、端末-A/端末-Bのネットワークアクセスを拒否(deny)する。
(それ以外の端末は、全て許可(permit)する) - 設定例2では、端末-複数のネットワークアクセスを許可(permit)する。
(それ以外の端末は、全て拒否(deny)する) - マスク指定により、範囲内のMACアドレスを1つのACLで定義できる。
- 装置(DA/SA)を対象にしたパケットのACL制御はできません。
設定例1
指定した送信元MACアドレスの拒否(deny)、それ以外は許可(permit)
① | create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1 |
② | config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-11-11 port 1 deny |
③ | config access_profile profile_id 1 add access_id 2 ethernet source_mac 00-00-00-00-22-22 port 2 deny |
① | 送信元MACアドレスの全48ビットを対象にしたアクセスプロファイルの作成 |
② | ポート1受信のパケットで、SA MAC=00:00:00:00:11:11に合致したパケットを破棄する。優先度1。 |
③ | ポート2受信のパケットで、SA MAC=00:00:00:00:22:22に合致したパケットを破棄する。優先度2。 |
※それ以外を許可するACLは定義する必要ないが、明示的に定義してもよい。 |
設定2
指定した送信元MACアドレスの許可(permit)、それ以外は拒否(deny)
① | create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 2 |
② | config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-01 port 1 permit |
③ | config access_profile profile_id 2 add access_id 2 ethernet source_mac 00-00-00-00-00-02 mask FF-FF-FF-FF-FF-FE port 1 permit |
④ | config access_profile profile_id 2 add access_id 3 ethernet source_mac 00-00-00-00-00-04 mask FF-FF-FF-FF-FF-FC port 1 permit |
⑤ | config access_profile profile_id 2 add access_id 4 ethernet source_mac 00-00-00-00-00-08 mask FF-FF-FF-FF-FF-FE port 1 permit |
⑥ | config access_profile profile_id 2 add access_id 5 ethernet source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 port all deny |
① | 送信元MACアドレスの全48ビットを対象にしたアクセスプロファイルを作成する。 |
② | ポート1受信のパケットで、SA MAC=00:00:00:00:00:01に合致のパケットを許可する。優先度1。 |
③ | ポート1受信のパケットで、SA MAC=00:00:00:00:00:02~:03に合致のパケットを許可する。優先度2。 |
④ | ポート1受信のパケットで、SA MAC=00:00:00:00:00:04~:07に合致のパケットを許可する。優先度3。 |
⑤ | ポート1受信のパケットで、SA MAC=00:00:00:00:00:08~:09に合致のパケットを許可する。優先度4。 |
⑥ | 全ポートで、受信したパケットを破棄する。優先度5。 |
確認コマンド
- show access_profile
- show packet ports <portlist>
- show error ports <portlist>