[index] CentreCOM x610シリーズコマンドリファレンス 5.4.3

access-list(hardware mac)

モード: グローバルコンフィグモード
カテゴリー: トラフィック制御 / アクセスリスト

(config)# access-list <4000-4699> ACTION SRCMAC DSTMAC [vlan <1-4094> [inner-vlan <1-4094>]]

(config)# no access-list <4000-4699>

ハードウェアMACアクセスリストを新規作成または変更する。
no形式で実行した場合は指定したハードウェアMACアクセスリストを削除する。

ハードウェアMACアクセスリストは、スイッチチップ（ASIC）でMACアドレスに基づくパケットフィルタリングやトラフィック分類を行うためのアクセスリスト。

他のアクセスリストとは異なり、「リスト」とはいうもののエントリーは1つしか持てない。

パラメーター

<4000-4699> アクセスリスト番号。4000～4699がハードウェアMACアクセスリストの番号となる

ACTION 条件に合致した場合のアクション。以下から選択する

deny パケットを破棄する

permit パケットを許可（通常転送）する

copy-to-cpu パケットを許可（通常転送）した上で、パケットのコピーをCPUにも転送する

send-to-cpu パケットを破棄した上で、パケットのコピーをCPUにだけ転送する

copy-to-mirror パケットを許可（通常転送）した上で、パケットのコピーをミラーポートから出力する。あらかじめ、mirror interfaceコマンドでミラーポートを設定しておく必要がある。なお、本アクションを使用する場合、mirror interfaceコマンドではnoneを指定すること

send-to-mirror パケットを破棄した上で、パケットのコピーをミラーポートにだけ出力する。あらかじめ、mirror interfaceコマンドでミラーポートを設定しておく必要がある。なお、本アクションを使用する場合、mirror interfaceコマンドではnoneを指定すること

SRCMAC 送信元MACアドレス。次のいずれかの形式で指定する

HHHH.HHHH.HHHH XXXX.XXXX.XXXX MACアドレスとワイルドカードマスク。それぞれ16進数で2オクテット（4桁）ごとにピリオドで区切って指定する（例：0000.cd24.0367）。XXXX.XXXX.XXXXはワイルドカードマスク（リバースマスクまたはORマスクともいう）といい、対象アドレスとHHHH.HHHH.HHHHの比較時に無視したい部分（ワイルドカードとして扱いたい部分）を「0」もしくは「F」のどちらかを用いて4ビット(1桁)単位で指定する。対象アドレスと HHHH.HHHH.HHHHを完全一致で比較したいときは「0000.0000.0000」を指定する。対象アドレスと HHHH.HHHH.HHHHの最下位4ビット(1桁)を比較しない場合は「0000.0000.000F」を指定する

any すべてのMACアドレスに合致させる場合に指定する

DSTMAC 宛先MACアドレス。指定方法はSRCMACと同じ

vlan <1-4094> 入力VLAN（受信パケットの所属VLAN）のVLAN ID。タグの有無に関係なく全パケットに適用される

inner-vlan <1-4094> ダブルタグパケットにおける内側VLANタグヘッダーのVLAN ID。ダブルタグパケットにだけ適用される

使用例

■ MACアドレス00-0a-79-34-0b-33からのパケットを破棄するハードウェアMACアクセスリスト4000を作成する。

awplus(config)# access-list 4000 deny 000a.7934.0b33 0000.0000.0000 any ↓

■ ハードウェアMACアクセスリスト4000を削除する。

awplus(config)# no access-list 4000 ↓

■ MACアドレス00-0a-79-34-0b-30 ～ 00-0a-79-34-0b-3F からのパケットを破棄するハードウェアMACアクセスリスト4000を作成する。

awplus(config)# access-list 4000 deny 000a.7934.0b33 0000.0000.000F any ↓

注意・補足事項

■ access-groupコマンドでスイッチポートに適用した状態のままハードウェアMACアクセスリストの内容を変更することはできない。ハードウェアMACアクセスリストの内容を変更する場合は、no access-groupでポートへの適用を解除してから内容を変更し、再度access-groupコマンドを実行してポートに適用しなおすこと。

■ ハードウェアMACアクセスリストに「deny any any」（すべての送信元・宛先MACアドレスのパケットを破棄する）を設定した場合でも、ARPブロードキャストは破棄されない。

■ ハードウェアアクセスリストで予約済みリンクローカルアドレスのIPマルチキャストパケット（MACアドレス：0100.5e00.00xx、IPアドレス：224.0.0.x）および予約済みIPv6マルチキャストパケットを指定しても、ハードウェアパケットフィルターでは該当パケットをフィルタリングできない。これらのパケットをフィルタリングしたい場合は、ポリシーマップを使用すること。

コマンドツリー

configure terminal (特権EXECモード) | +- access-list(hardware mac)（グローバルコンフィグモード）

`<4000-4699>`	アクセスリスト番号。4000～4699がハードウェアMACアクセスリストの番号となる
`ACTION`	条件に合致した場合のアクション。以下から選択する
	`deny`	パケットを破棄する
	`permit`	パケットを許可（通常転送）する
	`copy-to-cpu`	パケットを許可（通常転送）した上で、パケットのコピーをCPUにも転送する
	`send-to-cpu`	パケットを破棄した上で、パケットのコピーをCPUにだけ転送する
	`copy-to-mirror`	パケットを許可（通常転送）した上で、パケットのコピーをミラーポートから出力する。あらかじめ、mirror interfaceコマンドでミラーポートを設定しておく必要がある。なお、本アクションを使用する場合、mirror interfaceコマンドではnoneを指定すること
	`send-to-mirror`	パケットを破棄した上で、パケットのコピーをミラーポートにだけ出力する。あらかじめ、mirror interfaceコマンドでミラーポートを設定しておく必要がある。なお、本アクションを使用する場合、mirror interfaceコマンドではnoneを指定すること
`SRCMAC`	送信元MACアドレス。次のいずれかの形式で指定する
	`HHHH.HHHH.HHHH XXXX.XXXX.XXXX`	MACアドレスとワイルドカードマスク。それぞれ16進数で2オクテット（4桁）ごとにピリオドで区切って指定する（例：0000.cd24.0367）。XXXX.XXXX.XXXXはワイルドカードマスク（リバースマスクまたはORマスクともいう）といい、対象アドレスとHHHH.HHHH.HHHHの比較時に無視したい部分（ワイルドカードとして扱いたい部分）を「0」もしくは「F」のどちらかを用いて4ビット(1桁)単位で指定する。対象アドレスと HHHH.HHHH.HHHHを完全一致で比較したいときは「0000.0000.0000」を指定する。対象アドレスと HHHH.HHHH.HHHHの最下位4ビット(1桁)を比較しない場合は「0000.0000.000F」を指定する
	`any`	すべてのMACアドレスに合致させる場合に指定する
`DSTMAC`	宛先MACアドレス。指定方法はSRCMACと同じ
`vlan <1-4094>`	入力VLAN（受信パケットの所属VLAN）のVLAN ID。タグの有無に関係なく全パケットに適用される
`inner-vlan <1-4094>`	ダブルタグパケットにおける内側VLANタグヘッダーのVLAN ID。ダブルタグパケットにだけ適用される

access-list(hardware mac)

パラメーター

使用例

注意・補足事項

コマンドツリー

関連コマンド