[index] CentreCOM x900シリーズ・SwitchBlade x908 コマンドリファレンス 5.3.2

mac access-group

モード: インターフェースモード
カテゴリー: トラフィック制御 / ハードウェアパケットフィルター

(config-if)# [no] mac access-group <4000-4699>

対象スイッチポートにハードウェアMACアクセスリスト（ハードウェアパケットフィルターのエントリー）を追加する。
no形式で実行した場合は、対象インターフェースから指定したハードウェアMACアクセスリストを削除する。

スイッチポートには、ハードウェアアクセスリストを複数追加できる（IPとMACを混在可能）。スイッチポートで受信したパケットは、同ポートに適用されたハードウェアアクセスリストのそれぞれと照合され、最初にマッチしたアクセスリストで指定されたアクションが実行される。パケットとアクセスリストの照合は、スイッチポートへの追加順に行われる。

なお、スイッチポートに適用されたハードウェアパケットフィルターを「インターフェース・ハードウェアパケットフィルター」と呼ぶ。一方、スイッチ全体に適用されたハードウェアパケットフィルターは「グローバル・ハードウェアパケットフィルター」と呼ぶ。

パラメーター

<4000-4699>

ハードウェアMACアクセスリスト番号

使用例

■ ポート1.0.1〜1.0.24に対し、MACアドレス00-0a-79-34-0b-33からのパケットを破棄するハードウェアMACアクセスリスト4001を適用する。

awplus(config)# access-list 4001 deny 000a.7934.0b33 0000.0000.0000 any ↓ awplus(config)# interface port1.0.1-port1.0.24 ↓ awplus(config-if)# mac access-group 4001 ↓

awplus(config)# interface port1.0.1 ↓ awplus(config-if)# no mac access-group 4001 ↓

注意・補足事項

■ 同一ポート上において、ハードウェアパケットフィルターとポリシーマップを併用することは可能。該当ポートで受信したパケットの処理は、ハードウェアパケットフィルター、ポリシーマップの順に行われる。ただし、併用時は次項で述べる制限事項があるので注意すること。

■ ハードウェアパケットフィルターにマッチしたパケットに対して、ポリシーマップによるQoSは適用されない（ここでの「マッチ」とは、破棄（deny）だけでなく明示的な転送許可（permitなど）も含む）。ハードウェアパケットフィルターで破棄（deny）のアクションだけを使用する場合は両者を併用しても問題はないが、ハードウェアパケットフィルターで破棄以外のアクションを使用する場合は、ハードウェアパケットフィルターとポリシーマップを併用せずに、ポリシーマップのフィルタリング機能を使ってフィルタリングを行うこと。

■ ハードウェアパケットフィルターでは、入力VLAN、IPヘッダーのDSCP値やTOS優先度値、TCPヘッダーの制御フラグ値などに基づくフィルタリングはできない。これらの条件でフィルタリングを行いたい場合は、ポリシーマップのフィルタリング機能を使う。

■ トランクグループにハードウェアパケットフィルターを適用するときは、次の点に注意すること。

• スタティックチャンネルグループ（手動設定のトランクグループ）の場合は、インターフェース名「saX」（Xはスタティックチャンネルグループ番号）に対してアクセスリストを設定する。たとえば、スタティックチャンネルグループ「1」にハードウェアMACアクセスリスト4010を適用するには、次のようにする。
  

  awplus(config)# interface sa1 ↓ awplus(config-if)# mac access-group 4010 ↓

  
  スタティックチャンネルグループのメンバーポートに対してアクセスリストを適用することはできないので注意。
  

  awplus(config)# interface port1.0.12 ↓ awplus(config-if)# mac access-group 4010 ↓ % ACL cannot be attached to an interface that is a member of a static-channel-group. Try attaching the ACL to "sa" interface.

  
  
• LACPチャンネルグループ（自動設定のトランクグループ）の場合は、該当グループに所属しているすべてのスイッチポートに対してアクセスリストを設定する。たとえば、スイッチポート1.0.1〜1.0.10からなるLACPチャンネルグループ「1」にハードウェアMACアクセスリスト4020を適用するには、次のようにする。
  

  awplus(config)# interface port1.0.1-1.0.10 ↓ awplus(config-if)# mac access-group 4020 ↓

  
  インターフェース名「poX」（XはLACPチャンネルグループ番号）に対してアクセスリストを適用することはできないので注意。
  

  awplus(config)# interface po1 ↓ awplus(config-if)# mac access-group 4020 ↓ % ACL cannot be attached to a dynamic aggregator interface.

コマンドツリー

interface (グローバルコンフィグモード)
    |
    +- mac access-group（インターフェースモード）


関連コマンド

access-list(hardware mac)（グローバルコンフィグモード）
ip access-group（インターフェースモード）
service-policy input（インターフェースモード）
show access-list（特権EXECモード）
show interface access-group（非特権EXECモード）

(C) 2007 - 2009 アライドテレシスホールディングス株式会社

PN: 613-000751 Rev.H