[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

ファイアウォール / MACフィルター


フィルター処理の流れ
MACアクセスリストの種類
MACアクセスリストの作成
標準MACアクセスリスト
拡張MACアクセスリスト
MACアクセスリストの適用
他機能との関係(パケット処理順序)


MACフィルターは、インターフェースで送受信するEthernetフレームの内容に基づき、フレームの許可・拒否を決定する機能です。

MACフィルターは、MACアクセスリストを作成し、WAN側EthernetインターフェースかVLANインターフェースに適用することで有効になります。
Note - MACアクセスリストを利用する同種の機能として「ブリッジフィルター」があります。MACフィルターは本製品自身が送受信するフレームなどを含む、インターフェースを通過するすべてのフレームに適用されますが、ブリッジフィルターはブリッジング対象となるフレームだけに適用されます。ブリッジフィルターについては、「ブリッジング」/「一般設定」の「ブリッジフィルター」をご覧ください。
Note - 同一VLAN内をスイッチングするフレームに対して、MACフィルターは適用されません。

フィルター処理の流れ

MACアクセスリストの適用されているインターフェースでフレームを送受信するとき、送信時なら送信用アクセスリスト、受信時なら受信用アクセスリストをエントリーの追加順にチェックし、最初にマッチしたエントリーで指定された処理(許可・拒否)を実行します。いずれのエントリーにもマッチしなかったフレームは暗黙の「すべて拒否」エントリーによって破棄されます。

MACアクセスリストの種類

MACアクセスリストには、次の2種類があります。
Note - CoS、VIDによるフィルタリングはブリッジフィルターでのみ有効です。MACフィルターでは動作しません。
両者は指定できる条件に差がありますが、基本的な動作や設定方法は同じです。フィルタリングの要件にあわせて使い分けてください。

MACアクセスリストの作成

MACアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。リスト検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合は暗黙の「すべて拒否」エントリーによってdenyとなります。

MACアクセスリストの作成は、入れ物であるリストの作成と、中身であるエントリーの追加の2段階で行います。

標準MACアクセスリスト

標準MACアクセスリストは、access-list mac standard(list)コマンドでリストを作成し、access-list mac standard(rule entry)コマンドでエントリーを追加します。

■ 00-00-f4-**-**-**(**は任意の値)と00-00-cd-00-00-02からのフレームを許可し、その他を拒否する標準MACアクセスリスト「default_deny」を作成するには、次のようにします。

*Router(config)# access-list mac standard default_deny
*Router(config-acl-mac)# permit prefix 00-00-f4-00-00-00 ff-ff-ff-00-00-00
*Router(config-acl-mac)# permit host 00-00-cd-00-00-02

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト拒否」の設定では、拒否エントリーを明示的に書く必要はありません。

■ 00-90-99-**-**-**(**は任意の値)からのフレームを拒否し、その他を許可する標準MACアクセスリスト「default_allow」を作成するには、次のようにします。

*Router(config)# access-list mac standard default_allow
*Router(config-acl-mac)# deny prefix 00-90-99-00-00-00 ff-ff-ff-00-00-00
*Router(config-acl-mac)# permit any

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト許可」の設定では、リストの末尾に明示的な「すべて許可」エントリーを記述する必要があります。

拡張MACアクセスリスト

拡張MACアクセスリストは、access-list mac extended(list)コマンドでリストを作成し、access-list mac extended(rule entry)コマンドでエントリーを追加します。

■ 上位プロトコルがPPPoE(PPPoE DataとPPPoE Discovery)のフレームだけを許可し、その他を拒否する拡張MACアクセスリスト「pppoe_only」を作成するには、次のようにします。

*Router(config)# access-list mac extended pppoe_only
*Router(config-acl-mac-ext)# permit any any type pppoe

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト拒否」の設定では、拒否エントリーを明示的に書く必要はありません。

■ 00-00-f4-12-34-56からのフレームと00-00-cd-ab-cd-efへのフレームを拒否し、その他を許可する拡張MACアクセスリスト「denytwo」を作成するには、次のようにします。

*Router(config)# access-list mac extended denytwo
*Router(config-acl-mac-ext)# deny host 00-00-f4-12-34-56 any
*Router(config-acl-mac-ext)# deny any host 00-00-cd-ab-cd-ef
*Router(config-acl-mac-ext)# permit any any

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト許可」の設定では、リストの末尾に明示的な「すべて許可」エントリーを記述する必要があります。

MACアクセスリストの適用

作成したMACアクセスリストは、WAN側EthernetインターフェースかVLANインターフェースに適用することで有効になります。各インターフェースには、受信用と送信用にそれぞれ1つずつMACアクセスリストを適用することができます。

■ MACアクセスリストをインターフェースに適用するには、mac traffic-filterコマンドを使います。
たとえば、vlan 1インターフェースに送信用アクセスリスト「v1mac_out」と受信用アクセスリスト「v1mac_in」を適用するには、次のようにします。

*Router(config)# interface vlan 1
*Router(config-if)# mac traffic-filter v1mac_out out
*Router(config-if)# mac traffic-filter v1mac_in in

Note - 存在しないアクセスリストをインターフェースに適用すると、すべてのフレームが拒否されるので注意してください。

■ アクセスリストの適用を解除するには、mac traffic-filterコマンドをno形式で実行します。

*Router(config)# interface vlan 1
*Router(config-if)# no mac traffic-filter v1mac_out out
*Router(config-if)# no mac traffic-filter v1mac_in in


他機能との関係(パケット処理順序)

パケット転送処理(ブリッジング、ルーティング)や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。


(C) 2011 - 2014 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.E