[index] CentreCOM IE200シリーズ コマンドリファレンス 5.5.1
モード: グローバルコンフィグモード
カテゴリー: トラフィック制御 / アクセスリスト
(config)# access-list <4000-4699> ACTION SRCMAC DSTMAC [vlan <1-4094> [inner-vlan <1-4094>]]
(config)# no access-list <4000-4699>
ハードウェアMACアクセスリストを新規作成または変更する。
no形式で実行した場合は指定したハードウェアMACアクセスリストを削除する。
ハードウェアMACアクセスリストは、スイッチチップ(ASIC)でMACアドレスに基づくパケットフィルタリングやトラフィック分類を行うためのアクセスリスト。
他のアクセスリストとは異なり、「リスト」とはいうもののエントリーは1つしか持てない。
<4000-4699> |
アクセスリスト番号。4000~4699がハードウェアMACアクセスリストの番号となる | ||||
ACTION |
条件に合致した場合のアクション。以下から選択する | ||||
deny |
パケットを破棄する | ||||
permit |
パケットを許可(通常転送)する | ||||
send-to-cpu |
パケットを破棄した上で、パケットのコピーをCPUにだけ転送する | ||||
SRCMAC |
送信元MACアドレス。次のいずれかの形式で指定する | ||||
HHHH.HHHH.HHHH XXXX.XXXX.XXXX |
MACアドレスとワイルドカードマスク。それぞれ16進数で2オクテット(4桁)ごとにピリオドで区切って指定する(例:0000.cd24.0367)。XXXX.XXXX.XXXXはワイルドカードマスク(リバースマスクまたはORマスクともいう)といい、対象アドレスとHHHH.HHHH.HHHHの比較時に無視したい部分(ワイルドカードとして扱いたい部分)を「0」もしくは「F」のどちらかを用いて4ビット(1桁)単位で指定する。対象アドレスと HHHH.HHHH.HHHHを完全一致で比較したいときは「0000.0000.0000」を指定する。対象アドレスと HHHH.HHHH.HHHHの最下位4ビット(1桁)を比較しない場合は 「0000.0000.000F」を指定する | ||||
any |
すべてのMACアドレスに合致させる場合に指定する | ||||
DSTMAC |
宛先MACアドレス。指定方法はSRCMACと同じ | ||||
vlan <1-4094> |
受信パケットのVLAN ID。タグ付きパケットの場合はVLANタグヘッダーのVLAN ID。タグなしパケットの場合は同パケットが所属するVLANのVLAN ID | ||||
inner-vlan <1-4094> |
ダブルタグパケットにおける内側VLANタグヘッダーのVLAN ID。ダブルタグパケットにだけ適用される | ||||
■ MACアドレス00-0a-79-34-0b-33からのパケットを破棄するハードウェアMACアクセスリスト4000を作成する。
awplus(config)# access-list 4000 deny 000a.7934.0b33 0000.0000.0000 any ↓
awplus(config)# no access-list 4000 ↓
awplus(config)# access-list 4000 deny 000a.7934.0b33 0000.0000.000F any ↓
■ ハードウェアアクセスリストは、シーケンス番号の順番によって動作が異なるため注意が必要。詳しくは「トラフィック制御」/「アクセスリスト」の解説編、「アクセスリストの作成 / ハードウェアアクセスリスト」を参照。
■ access-groupコマンドでスイッチポートに適用した状態のままハードウェアMACアクセスリストの内容を変更することはできない。ハードウェアMACアクセスリストの内容を変更する場合は、no access-groupでポートへの適用を解除してから内容を変更し、再度access-groupコマンドを実行してポートに適用しなおすこと。
■ QoSクラスマップ内でハードウェアMACアクセスリストを使用する場合(match access-groupコマンドで指定)、同一クラスマップ内では、ハードウェアMACアクセスリストのvlan、inner-vlanパラメーターと、クラスマップのmatch vlanコマンド、match inner-vlanコマンドを混在させずに、どちらか一方だけを使うこと。
■ ハードウェアMACアクセスリストを設定しても、ハードウェアパケットフィルターではARPブロードキャスト(宛先MACアドレス ffff.ffff.ffff、プロトコルタイプ 0x0806)が破棄されない。ARPブロードキャストを破棄するにはポリシーマップを使用すること。
■ ハードウェアアクセスリストで予約済みリンクローカルアドレスのIPマルチキャストパケット(MACアドレス:0100.5e00.00xx、IPアドレス:224.0.0.x)および予約済みIPv6マルチキャストパケットを指定しても、ハードウェアパケットフィルターでは該当パケットをフィルタリングできない。これらのパケットをフィルタリングしたい場合は、ポリシーマップを使用すること。
■ vlanパラメーターは、マルチプルVLAN(プライベートVLAN)のアイソレートVLANとコミュニティーVLAN(private-vlan参照)にはマッチしない。
■ UDLDパケットを破棄する設定は未サポート。
■ IPv6パケットに対するハードウェアMACアクセスリストは未サポート。
configure terminal (特権EXECモード)
|
+- access-list(hardware mac)(グローバルコンフィグモード)
access-group(インターフェースモード)
access-list(hardware ip)(グローバルコンフィグモード)
auth-web enable(インターフェースモード)
match access-group(クラスマップモード)
match inner-vlan(クラスマップモード)
match vlan(クラスマップモード)
mirror interface(インターフェースモード)
show access-list(非特権EXECモード)
show interface access-group(非特権EXECモード)
(C) 2016 - 2021 アライドテレシスホールディングス株式会社
PN: 613-002310 Rev.AB