[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

ファイアウォール / MACフィルター

MACフィルターは、インターフェースで送受信するEthernetフレームの内容に基づき、フレームの許可・拒否を決定する機能です。

MACフィルターは、MACアクセスリストを作成し、WAN側EthernetインターフェースかVLANインターフェースに適用することで有効になります。

Note - MACアクセスリストを利用する同種の機能として「ブリッジフィルター」があります。MACフィルターは本製品自身が送受信するフレームなどを含む、インターフェースを通過するすべてのフレームに適用されますが、ブリッジフィルターはブリッジング対象となるフレームだけに適用されます。ブリッジフィルターについては、「ブリッジング」/「一般設定」の「ブリッジフィルター」をご覧ください。

Note - 同一VLAN内をスイッチングするフレームに対して、MACフィルターは適用されません。

フィルター処理の流れ

MACアクセスリストの適用されているインターフェースでフレームを送受信するとき、送信時なら送信用アクセスリスト、受信時なら受信用アクセスリストをエントリーの追加順にチェックし、最初にマッチしたエントリーで指定された処理（許可・拒否）を実行します。いずれのエントリーにもマッチしなかったフレームは暗黙の「すべて拒否」エントリーによって破棄されます。

MACアクセスリストの種類

MACアクセスリストには、次の2種類があります。

標準MACアクセスリスト（送信元MACアドレスだけを指定できる）
拡張MACアクセスリスト（送信元・宛先MACアドレスとCoS、VID、プロトコルタイプを指定できる）

Note - CoS、VIDによるフィルタリングはブリッジフィルターでのみ有効です。MACフィルターでは動作しません。

両者は指定できる条件に差がありますが、基本的な動作や設定方法は同じです。フィルタリングの要件にあわせて使い分けてください。

MACアクセスリストの作成

MACアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。リスト検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合は暗黙の「すべて拒否」エントリーによってdenyとなります。

MACアクセスリストの作成は、入れ物であるリストの作成と、中身であるエントリーの追加の2段階で行います。

標準MACアクセスリスト

標準MACアクセスリストは、access-list mac standard(list)コマンドでリストを作成し、access-list mac standard(rule entry)コマンドでエントリーを追加します。

■ 00-00-f4-**-**-**（**は任意の値）と00-00-cd-00-00-02からのフレームを許可し、その他を拒否する標準MACアクセスリスト「default_deny」を作成するには、次のようにします。

*Router(config)# access-list mac standard default_deny ↓ *Router(config-acl-mac)# permit prefix 00-00-f4-00-00-00 ff-ff-ff-00-00-00 ↓ *Router(config-acl-mac)# permit host 00-00-cd-00-00-02 ↓

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト拒否」の設定では、拒否エントリーを明示的に書く必要はありません。

■ 00-90-99-**-**-**（**は任意の値）からのフレームを拒否し、その他を許可する標準MACアクセスリスト「default_allow」を作成するには、次のようにします。

*Router(config)# access-list mac standard default_allow ↓ *Router(config-acl-mac)# deny prefix 00-90-99-00-00-00 ff-ff-ff-00-00-00 ↓ *Router(config-acl-mac)# permit any ↓

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト許可」の設定では、リストの末尾に明示的な「すべて許可」エントリーを記述する必要があります。

拡張MACアクセスリスト

拡張MACアクセスリストは、access-list mac extended(list)コマンドでリストを作成し、access-list mac extended(rule entry)コマンドでエントリーを追加します。

■ 上位プロトコルがPPPoE（PPPoE DataとPPPoE Discovery）のフレームだけを許可し、その他を拒否する拡張MACアクセスリスト「pppoe_only」を作成するには、次のようにします。

*Router(config)# access-list mac extended pppoe_only ↓ *Router(config-acl-mac-ext)# permit any any type pppoe ↓

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト拒否」の設定では、拒否エントリーを明示的に書く必要はありません。

■ 00-00-f4-12-34-56からのフレームと00-00-cd-ab-cd-efへのフレームを拒否し、その他を許可する拡張MACアクセスリスト「denytwo」を作成するには、次のようにします。

*Router(config)# access-list mac extended denytwo ↓ *Router(config-acl-mac-ext)# deny host 00-00-f4-12-34-56 any ↓ *Router(config-acl-mac-ext)# deny any host 00-00-cd-ab-cd-ef ↓ *Router(config-acl-mac-ext)# permit any any ↓

MACアクセスリストの適用

作成したMACアクセスリストは、WAN側EthernetインターフェースかVLANインターフェースに適用することで有効になります。各インターフェースには、受信用と送信用にそれぞれ1つずつMACアクセスリストを適用することができます。

■ MACアクセスリストをインターフェースに適用するには、mac traffic-filterコマンドを使います。
たとえば、vlan 1インターフェースに送信用アクセスリスト「v1mac_out」と受信用アクセスリスト「v1mac_in」を適用するには、次のようにします。

*Router(config)# interface vlan 1 ↓ *Router(config-if)# mac traffic-filter v1mac_out out ↓ *Router(config-if)# mac traffic-filter v1mac_in in ↓

Note - 存在しないアクセスリストをインターフェースに適用すると、すべてのフレームが拒否されるので注意してください。

■ アクセスリストの適用を解除するには、mac traffic-filterコマンドをno形式で実行します。

*Router(config)# interface vlan 1 ↓ *Router(config-if)# no mac traffic-filter v1mac_out out ↓ *Router(config-if)# no mac traffic-filter v1mac_in in ↓

他機能との関係（パケット処理順序）

パケット転送処理（ブリッジング、ルーティング）や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。

PN: 613-001491 Rev.E