名前付き MAC 拡張 ACL の作成
VLANまたはレイヤ2インターフェイス上で非IPv4トラフィックに対してフィルタリングすることが出来ます。
基本構文
Device(config)#mac access-list extended name
Device(config-ext-macl)#{ deny | permit } { any | host source MAC address | source MAC address mask } { any | host destination MAC address | destination MAC address mask } [ type mask ]
| コマンド | 内容 |
|---|---|
| deny | permit | 条件が一致した場合にアクセスを拒否するか許可するかを指定します。 |
| source MAC address mask | 送信元MACアドレスを指定します。anyを指定すると、すべてのMACアドレス、hostを指定すると、特定のMACアドレスに適用します。 |
| destination MAC address mask | 宛先MACアドレスを指定します。anyを指定すると、すべてのMACアドレス、hostを指定すると、特定のMACアドレスに適用します。 |
| type mask | イーサネットタイプを指定します。 |
Router(config)# interface interface-id
Router(config-if)# mac access-group name [ in | out ]
設定例
この設定では、送信元MACアドレス0001.1234.5678から宛先MACアドレス0001.8765.4321へのトラフィックを許可しています。
Switch(config)# mac access-list extended ALLOW_SPECIFIC_MAC
Switch(config-ext-macl)# permit host 0001.1234.5678 host 0001.8765.4321
VLANアクセスリストとは
VLANアクセスリスト(VLAN ACL, VACL)は、Ciscoスイッチで特定のVLAN内やVLAN間のトラフィックをフィルタリングするために使用されるアクセス制御リストです。VLAN ACLは、ルーティングされたトラフィックだけでなく、レイヤー2でスイッチングされたトラフィックにも適用され、トラフィックの許可や拒否を柔軟に設定できます。これにより、VLAN内およびVLAN間でのトラフィックに対して高度な制御が可能になります。
VLANアクセスリストの設定
基本構文
VLAN ACLの構成は、次の3つのステップで行います。
- ACL(IPまたはMAC ACL)の作成
- VLANアクセスマップの作成
- VLANフィルタの適用
1.ACL(IPまたはMAC ACL)の作成
IPまたはMAC ACLを作成します。
Device(config)#access-list access-list-number { deny | permit } protocol source source-wildcard [ operator port ]destination destination-wildcard [ operator port ]
Device(config)#mac access-list extended name
Device(config-ext-macl)#{ deny | permit } { any | host source MAC address | source MAC address mask } { any | host destination MAC address | destination MAC address mask } [ type mask ]
2.VLANアクセスマップの作成
vlan access-mapコマンドを使用してVLANアクセスマップを作成します。
Device(config)#vlan access-map name [ number ]
Device(config-access-map)#action { drop | forward }
Device(config-access-map)#match { ip | mac } address { name | number }
| コマンド(1行目) | 内容 |
|---|---|
| access-map name | VLANマップの名前を指定します。 |
| number | マップ内のエントリのシーケンス番号です。 |
| コマンド(2行目) | 内容 |
|---|---|
| drop | forward | アクションを設定します。デフォルトは転送です。 |
| コマンド(3行目) | 内容 |
|---|---|
| ip | mac | IPまたはMACアドレスに対して照合します。 |
| address { name | number } | 照合に使用するアクセスリストを指定します。 |
3.VLANフィルタの適用
vlan filterコマンドを使用してVLANにフィルタを適用します。
Device(config)#vlan filter mapname vlan-list list
| コマンド | 内容 |
|---|---|
| mapname | 作成したVLANマップを指定します。 |
| vlan-list list | 単一のVLAN、ハイフンを使用して連続したVLAN、カンマを使用して任意のVLANを指定できます。 |
設定例
この例では、IPアドレス192.168.1.0/24からのトラフィックを許可し、それ以外のトラフィックを拒否します。対象はVLAN 10です。
Switch(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any
Switch(config)# access-list 100 deny ip any any
Switch(config)# vlan access-map FILTER_VLAN10 10
Switch(config-access-map)# match ip address 100
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan access-map FILTER_VLAN10 20
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# vlan filter FILTER_VLAN10 vlan-list 10