Cisco Nexus 5000 シリーズ NX-OS セキュリティ コマンド リファレンス Cisco NX-OS Release 4.x、5.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: M コマンド
M コマンド
mac access-list
Media Access Control(MAC; メディア アクセス コントロール)アクセス コントロール リスト(ACL)を作成するか、または特定の ACL の MAC アクセス リスト コンフィギュレーション モードを開始するには、 mac access-list コマンドを使用します。MAC ACL を削除するには、このコマンドの no 形式を使用します。
mac access-list access-list-name
no mac access-list access-list-name
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
非 IP トラフィックをフィルタリングするには、MAC ACL を使用します。
mac access-list コマンドを使用すると、スイッチで MAC アクセス リスト コンフィギュレーション モードが開始されます。このモードで、MAC deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合は、このコマンドの入力時にスイッチで新しい ACL が作成されます。
ACL をインターフェイスに適用するには、 mac access-group コマンドを使用します。
すべての MAC ACL は、最終ルールとして、次の暗黙ルールが設定されます。
この暗黙のルールにより、トラフィックのレイヤ 2 ヘッダーに指定されたプロトコルに関係なく、一致しないトラフィックがスイッチによって確実に拒否されます。
例
次に、mac-acl-01 という MAC ACL の MAC アクセス リスト コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
mac port access-group
MAC アクセス コントロール リスト(ACL)をインターフェイスに適用するには、 mac port access-group コマンドを使用します。インターフェイスから MAC ACL を削除するには、このコマンドの no 形式を使用します。
mac port access-group access-list-name
no mac port access-group access-list-name
構文の説明
コマンド デフォルト
コマンド モード
インターフェイス コンフィギュレーション モード
仮想イーサネット インターフェイス コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、インターフェイスに MAC ACL は適用されません。
mac port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、MAC ACL をポート ACL として適用できます。
レイヤ 2 インターフェイスMAC ACL を VLAN ACL として適用することもできます。詳細については、 match コマンドを参照してください。
スイッチで MAC ACL が適用されるのは、着信トラフィックだけです。スイッチは、MAC ACL を適用すると、パケットを ACL のルールに対してチェックします。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。
スイッチから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
例
次に、イーサネット インターフェイス 1/2 に対して、mac-acl-01 という MAC ACL を適用する例を示します。
次に、イーサネット インターフェイス 1/2 から、mac-acl-01 という MAC ACL を削除する例を示します。
次に、特定の仮想イーサネット インターフェイスに対して、mac-acl-03 という名前の MAC ACL を適用する例を示します。
関連コマンド
|
|
|
|---|---|
match
VLAN アクセス マップ内のトラフィック フィルタリング用としてアクセス コントロール リスト(ACL)を指定するには、 match コマンドを使用します。VLAN アクセス マップから match コマンドを削除するには、このコマンドの no 形式を使用します。
match { ip | ipv6 | mac } address access-list-name
no match { ip | ipv6 | mac } address access-list-name
構文の説明
IPv4 アドレス、IPv6 アドレス、または MAC アドレス、およびアクセス リスト名を指定します。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。 |
コマンド デフォルト
デフォルトでは、スイッチによりトラフィックが分類され、IPv4 トラフィックには IPv4 ACL が、その他のすべてのトラフィックには MAC ACL が適用されます。
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック