設定例(ApresiaLightGM200シリーズ)
アクセス制御リスト(ACL)─送信元MACアドレスによるフィルタリング
基本構成図
設定のポイント
- 設定例1では、端末-A/端末-Bのネットワークアクセスを拒否(deny)する。
(それ以外の端末は、全て許可(permit)する) - 設定例2では、端末-複数のネットワークアクセスを許可(permit)する。
(それ以外の端末は、全て拒否(deny)する) - マスク指定により、範囲内のMACアドレスを1つのACLで定義できる。
- 装置(DA/SA)を対象にしたパケットのACL制御はできません。
設定例1
指定した送信元MACアドレスの拒否(deny)、それ以外は許可(permit)
アクセスリストの設定 | |
# configure terminal (config)# mac access-list enable ip-packets |
IPv4/IPv6パケットに対するMAC ACLの制御を有効にする |
(config)# mac access-list extended mac1 (config-mac-ext-acl)# 10 deny host 0000.0000.1111 any (config-mac-ext-acl)# exit |
送信元MACアドレス00:00:00:00:11:11を拒否するアクセスリストmac1を作成 |
(config)# mac access-list extended mac2 (config-mac-ext-acl)# 10 deny host 0000.0000.2222 any (config-mac-ext-acl)# exit |
送信元MACアドレス00:00:00:00:22:22を拒否するアクセスリストmac2を作成 |
ポートの設定 | |
(config)# interface port 1/0/1 (config-if-port)# mac access-group mac1 (config-if-port)# exit |
アクセスリストmac1をポート1に設定 |
(config)# interface port 1/0/2 (config-if-port)# mac access-group mac2 (config-if-port)# exit |
アクセスリストmac2をポート2に設定 |
設定例2
指定した送信元MACアドレスの許可(permit)、それ以外は拒否(deny)
アクセスリストの設定 | |
# configure terminal (config)# mac access-list enable ip-packets |
IPv4/IPv6パケットに対するMAC ACLの制御を有効にする |
(config)# mac access-list extended mac1 (config-mac-ext-acl)# 10 permit 0040.6600.0000 0000.00FF.FFFF any |
ワイルドカードビットに0000.00FF.FFFFを指定して、送信元MACアドレス00:40:66:XX:XX:XXを許可するアクセスリストmac1を作成 |
(config-mac-ext-acl)# 20 deny any any (config-mac-ext-acl)# exit |
上の条件にあてはまらない、すべての送信元MACアドレスを拒否するルールを追加 |
ポートの設定 | |
(config)# interface port 1/0/1 (config-if-port)# mac access-group mac1 (config-if-port)# exit |
アクセスリストmac1をポート1に設定 |
確認コマンド
- show access-list mac
- show access-group
- show access-list resource reserved-group
- show access-list resource reserved-priority