ACL
ACL
1. 機能概要
アクセスリスト(ACL)とは、フレームの許可・拒否を決めるための条件文のことです。
インターフェースに対してアクセスリストを適用すると、許可したフレームのみを転送し、拒否したフレームを破棄します。
これにより、特定のフレームのみを転送対象とすることができるため、主にセキュリティを確保するために使用されます。
本製品では、アクセスリストとして下表に示す3種類をサポートします。
-
アクセスリストの種類
アクセスリストの
種類判断基準 アクセスリストID 用 途 IPv4
アクセスリスト送信元IPv4アドレス
宛先IPv4アドレス
IPプロトコル種別1~2000
特定のホスト、ネットワークからのアクセスをフィルタリングします。また、TCP/UDPなどのIPプロトコル種別を特定してフィルタリングします。
IPv6
アクセスリスト送信元IPv6アドレス
3001~4000
特定のホスト、ネットワークからのアクセスをフィルタリングします。
MAC
アクセスリスト送信元MACアドレス
宛先MACアドレス2001~3000
特定のデバイスからのアクセス、転送に対してフィルタリングします。
2. 用語の定義
ACL
Access Control List の略。
ワイルドカードマスク
指定したIPv4アドレス, MACアドレスのどこを読み取るかを指定した情報です。ACLの条件で IPv4アドレス, MACアドレスの範囲を指定する際に使用 します。
-
ワイルドカードマスクのビットが "0" の場合 : 該当ビットをチェックします
-
ワイルドカードマスクのビットが "1" の場合 : 該当ビットをチェックしません
ワイルドカードマスクを使用した設定例を以下に示します。 (下線部分がワイルドカードマスク)
-
サブネット 192.168.1.0/24 に対して条件を指定する場合 : 192.168.1.0 0.0.0.255 (10進で指定)
-
ベンダーコード 00-A0-DE---* に対して条件を指定する場合: 00A0.DE00.0000 0000.00FF.FFFF (16進で指定)
3. 機能詳細
3.1. アクセスリストの生成
アクセスリストは、各アクセスリストのID数の分、生成することができます。 ( 1 機能概要 の表を参照ください)
アクセスリストは、1つのリストに対して制御条件を 最大で256件 登録することができます。
登録した制御条件を満たさなかった場合、通常どおり転送処理されます。
3.2. インターフェースへの適用
本製品の入力 (in) / 出力 (out) インターフェースに対するアクセスリストの適用状況は、下表のようになっています。
なお、インターフェースに対して適用可能なアクセスリストは、in / out それぞれに対して 1つ となっています。
-
インターフェースに対するアクセスリストの適用状況
アクセスリストの種類
LAN/SFPポート
VLANインターフェース
スタティック/LACP論理インターフェース
in
out
in
out
in
out
IPv4アクセスリスト
○
○(*)
○
○(*)
○
×
IPv6アクセスリスト
○
○
○
○
○
×
MACアクセスリスト
○
×
○
×
○
×
(*)制約事項として、ポート番号範囲を指定したIPv4アクセスリストは、インターフェースの出力 (out) 側に適用できません。
インターフェースに適用できるアクセスリストの数は、アクセスリストに登録されている制御条件の数に依存します。
本製品では、インターフェースに対して制御条件を 最大で512個 登録することができます。
インターフェースにアクセスリストを適用させると "アクセスリストに登録されている制御条件の数だけ" リソースを消費します。
ただし、システム内部でも制御条件を使用する場合があり、この時もリソースを消費します。
3.3. LAN/SFPポートおよび論理インターフェースに対する設定
LAN/SFPポートおよび論理インターフェースにアクセスリストを適用させる場合の手順について、以下に示します。
-
フィルタリング条件を決め、アクセスリストを生成します。
-
必要に応じて、説明文を追加してください。
-
-
アクセスリストを確認します。
-
LAN/SFPポートおよび論理インターフェースにアクセスリストを適用します。
-
適用したアクセスリストを確認します。
以下に操作コマンドの一覧を示します。
-
アクセスリスト操作コマンド (LAN/SFPポートおよび論理インターフェース適用時)
アクセスリストの
種類アクセスリストの
生成アクセスリストの
確認アクセスリストの
適用適用アクセスリストの
確認IPv4アクセスリスト
access-list
show access-list
access-group
show access-group
IPv6アクセスリスト
access-list
show access-list
access-group
show access-group
MACアクセスリスト
access-list
show access-list
access-group
show access-group
3.4. VLANインターフェースに対する設定
VLANインターフェースにアクセスリストを適用させる場合の手順について、以下に示します。
-
フィルタリング条件を決め、アクセスリストを生成します。
-
必要に応じて、説明文を追加してください。
-
-
アクセスリストを確認します。
-
VLANアクセスマップを生成します。
-
VLANアクセスマップにアクセスリストを設定します。
-
VLANアクセスマップを確認します。
-
VLAN アクセスマップを VLAN に適用します。
-
適用したVLANアクセスマップを確認します。
1. 2. の操作については、3.2 に示した操作と同じになります。
以下に 3. 以降の操作コマンドの一覧を示します。
-
VLANアクセスマップ操作コマンド
アクセスリストの
種類VLANアクセスマップの
生成VLANアクセスマップへの
アクセスリストの設定VLANアクセスマップ
確認VLANアクセスマップの
適用適用した
VLANアクセスマップの
確認IPv4アクセスリスト
vlan access-map
match access-list
show vlan access-map
vlan filter
show vlan filter
IPv6アクセスリスト
vlan access-map
match access-list
show vlan access-map
vlan filter
show vlan filter
MACアクセスリスト
vlan access-map
match access-list
show vlan access-map
vlan filter
show vlan filter
4. 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
操作項目 | 操作コマンド |
---|---|
IPv4アクセスリストの適用 |
access-group |
IPv4アクセスリストの生成 |
access-list |
IPv4アクセスリストの説明文追加 |
access-list description |
IPv4アクセスリストの適用 |
access-group |
IPv6アクセスリストの生成 |
access-list |
IPv6アクセスリストの説明文追加 |
access-list description |
IPv6アクセスリストの適用 |
access-group |
MACアクセスリストの生成 |
access-list |
MACアクセスリストの説明文追加 |
access-list description |
MACアクセスリストの適用 |
access-group |
生成したアクセスリストの表示 |
show access-list |
インターフェースに適用したアクセスリストの表示 |
show access-group |
VLANアクセスマップの作成 |
vlan access-map |
VLANアクセスマップへの条件設定 |
match |
VLANアクセスマップのVLANへの割り当て |
vlan filter |
VLANアクセスマップの表示 |
show vlan access-map |
VLANアクセスマップフィルタの表示 |
show vlan filter |
5. コマンド実行例
5.1. IPv4アクセスリストの設定
5.1.1. LANポートへの適用例
■ホスト指定
LANポート #1 に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの説明文 IPV4-ACL-EX を追加します。
-
アクセスリスト #123 を生成し、確認します。
Yamaha(config)#access-list 123 permit any host 192.168.1.1 host 10.1.1.1 (1) Yamaha(config)#access-list 123 deny any any any Yamaha(config)#access-list 123 description IPV4-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show access-list 123 (3) IPv4 access list 123 10 permit any host 192.168.1.1 host 10.1.1.1 20 deny any any any Yamaha#
1 アクセスリストの生成 2 アクセスリストの説明文追加 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #123 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 123 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : IPv4 access group 123 in
1 アクセスリストの適用 2 アクセスリストの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
上記設定に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスを許可する設定を削除し、ホスト: 192.168.1.1 から ホスト: 10.1.1.2 へのアクセスを許可する設定を追加します。
-
LANポート #1 から アクセスリスト #123 の適用を一旦解除します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#no access-group 123 in (1)
1 アクセスリストの適用解除 -
アクセスリスト #123 に設定の削除と追加を行い、確認します。
Yamaha(config)#no access-list 123 10 (1) Yamaha(config)#access-list 123 10 permit any host 192.168.1.1 host 10.1.1.2 (2) Yamaha(config)#end Yamaha# Yamaha#show access-list 123 (3) IPv4 access list 123 10 permit any host 192.168.1.1 host 10.1.1.2 20 deny any any any
1 アクセスリストから削除 2 アクセスリストに追加 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #123 を再度適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 123 in (1)
1 アクセスリストの適用
■ネットワーク指定
LANポート #1 に対して、ネットワーク: 192.168.1.0/24 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの説明文 IPV4-ACL-EX を追加します。
-
アクセスリスト #123 を生成し、確認します。
Yamaha(config)#access-list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1 (1) Yamaha(config)#access-list 123 deny any any any Yamaha(config)#access-list 123 description IPV4-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show ip access-list (3) IPv4 access list 123 10 permit any 192.168.1.0/24 host 10.1.1.1 20 deny any any any Yamaha#
1 アクセスリストの生成 2 アクセスリストの説明文追加 3 ACLの確認 -
LANポート #1 に アクセスリスト #123 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 123 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : IPv4 access group 123 in
1 アクセスリストの適用 2 アクセスリストの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、ホスト指定の場合と同様です。
5.1.2. VLANインターフェースへの適用例
■ホスト指定
VLAN #1000 に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とします。
使用するVLANアクセスマップは、 VAM-002 とし、 アクセスリスト #123 を設定します。
-
アクセスリスト #123 を生成し、確認します。
Yamaha(config)#access-list 123 permit any host 192.168.1.1 host 10.1.1.1 (1) Yamaha(config)#access-list 123 deny any any any Yamaha(config)#end Yamaha# Yamaha#show access-list 123 (2) IPv4 access list 123 10 permit any host 192.168.1.1 host 10.1.1.1 20 deny any any any
1 アクセスリストの生成 2 アクセスリストの確認 -
VLANアクセスマップ VAM-002 を生成し、 アクセスリスト #123 を設定します。
Yamaha(config)#vlan access-map VAM-002 (1) Yamaha(config-vlan-access-map)#match access-list 123 (2) Yamaha(config-vlan-access-map)#end Yamaha# Yamaha#show vlan access-map (3) Vlan access-map VAM-002 match ipv4 access-list 123
1 VLANアクセスマップの生成 2 アクセスリストの登録 3 VLANアクセスマップとアクセスリストの設定を確認 -
VLAN #1000 に VLANアクセスマップ VAM-002 を適用し、状態を確認します。
Yamaha(config)#vlan filter VAM-002 1000 in (1) Yamaha(config)#end Yamaha# Yamaha#show vlan filter (2) Vlan filter VAM-002 is applied to vlan 1000 in
1 VLANにVLANアクセスマップを適用 2 VLANアクセスマップの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
上記設定に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスを許可する設定を削除し、ホスト: 192.168.1.1 から ホスト: 10.1.1.2 へのアクセスを許可する設定を追加します。
-
VLAN #1000 から VLANアクセスマップ VAM-002 の適用を一旦解除します。
Yamaha(config)#no vlan filter VAM-002 1000 in (1)
1 VLANからVLANアクセスマップの適用解除 -
VLANアクセスマップ VAM-002 から、 アクセスリスト #123 の設定を一旦解除します。
Yamaha(config)#vlan access-map VAM-002 (1) Yamaha(config-vlan-access-map)#no match access-list 123 (2)
1 VLANアクセスマップの変更 2 アクセスリストの登録解除 -
アクセスリスト #123 に設定の削除と追加を行い、確認します。
Yamaha(config)#no access-list 123 10 (1) Yamaha(config)#access-list 123 10 permit any host 192.168.1.1 host 10.1.1.2 (2) Yamaha(config)#end Yamaha# Yamaha#show access-list 123 (3) IPv4 access list 123 10 permit any host 192.168.1.1 host 10.1.1.2 20 deny any any any
1 アクセスリストから削除 2 アクセスリストに追加 3 アクセスリストの確認 -
VLANアクセスマップ VAM-002 に、 アクセスリスト #123 を再設定します。
Yamaha(config)#vlan access-map VAM-002 (1) Yamaha(config-vlan-access-map)#match access-list 123 (2)
1 VLANアクセスマップの変更 2 アクセスリストの登録 -
VLAN #1000 に VLANアクセスマップ VAM-002 を再度適用します。
Yamaha(config)#vlan filter VAM-002 1000 in (1)
1 VLANにVLANアクセスマップを適用
■ネットワーク指定
VLAN #1000 に対して、ネットワーク: 192.168.1.0/24 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とします。
使用するVLANアクセスマップは、 VAM-002 とし、 アクセスリスト #123 を設定します。
-
アクセスリスト #123 を生成し、確認します。
Yamaha(config)#access-list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1 (1) Yamaha(config)#access-list 123 deny any any any Yamaha(config)#end Yamaha# Yamaha#show access-list 123 (2) IPv4 access list 123 10 permit any 192.168.1.0/24 host 10.1.1.1 20 deny any any any
1 アクセスリストの生成 2 アクセスリストの確認 -
VLANアクセスマップ VAM-002 を生成し、 アクセスリスト #123 を設定します。
Yamaha(config)#vlan access-map VAM-002 (1) Yamaha(config-vlan-access-map)#match access-list 123 (2) Yamaha(config-vlan-access-map)#end Yamaha# Yamaha#show vlan access-map (3) Vlan access-map VAM-002 match ipv4 access-list 123
1 VLANアクセスマップの生成 2 アクセスリストの登録 3 VLANアクセスマップとアクセスリストの設定を確認 -
VLAN #1000 に VLANアクセスマップ VAM-002 を適用し、状態を確認します。
Yamaha(config)#vlan filter VAM-002 1000 in (1) Yamaha(config)#end Yamaha# Yamaha#show vlan filter (2) Vlan filter VAM-002 is applied to vlan 1000 in
1 VLANにVLANアクセスマップを適用 2 VLANアクセスマップの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、ホスト指定の場合と同様です。
5.1.3. 片方向からのTCP通信のみ許可する (TCPフラグの使用例)
VLAN10 と VLAN20 がありTCPの片方向通信制御を実現します。
-
VLAN10 → VLAN20 は Telnet 等による通信が可能
-
VLAN20 → VLAN10 は Telnet 等による通信は不可
-
アクセスリスト #1 を生成します。
ACK または RST フラグが立っているIPv4 TCPパケットのみを許可するように設定します。Yamaha(config)#access-list 1 permit tcp any any ack (1) Yamaha(config)#access-list 1 permit tcp any any rst Yamaha(config)#access-list 1 deny any any any Yamaha(config)#end Yamaha# Yamaha#show access-list (2) IPv4 access list 1 10 permit tcp any any ack 20 permit tcp any any rst 30 deny any any any
1 アクセスリストの設定 2 アクセスリストの設定確認 -
VLANアクセスマップ VAM-ESTABLISHED を生成し、 アクセスリスト #1 を設定します。
Yamaha(config)#vlan access-map VAM-ESTABLISHED (1) Yamaha(config-vlan-access-map)#match access-list 1 (2) Yamaha(config-vlan-access-map)#end Yamaha# Yamaha#show vlan access-map (3) Vlan access-map VAM-ESTABLISHED match ipv4 access-list 1
1 VLANアクセスマップの生成 2 アクセスリストの登録 3 VLANアクセスマップの設定確認 -
VLAN #20 に VLANアクセスマップ VAM-ESTABLISHED を適用します。
Yamaha(config)#vlan filter VAM-ESTABLISHED 20 in (1) Yamaha(config)#end Yamaha# Yamaha#show vlan filter (2) Vlan filter VAM-ESTABLISHED is applied to vlan 20 in
1 VLANにVLANアクセスマップを適用 2 VLANへの適用状態の確認
5.2. IPv6アクセスリストの設定
5.2.1. LANポートへの適用例
■ホスト指定
LANポート #1 に対して、ホスト: 2001:db8::1 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの説明文 IPV6-ACL-EX を追加します。
-
アクセスリスト #3001 を生成し、確認します。
Yamaha(config)#access-list 3001 permit 2001:db8::1/128 (1) Yamaha(config)#access-list 3001 deny any Yamaha(config)#access-list 3001 description IPV6-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show access-list 3001 (3) IPv6 access list 3001 10 permit 2001:db8::1/128 20 deny any
1 アクセスリストの生成 2 アクセスリストの説明文追加 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #3001 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 3000 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : IPv6 access group 3001 in
1 アクセスリストの適用 2 アクセスリストの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定 の LANポートへの適用例 を参考にしてください。
■ネットワーク指定
LANポート #1 に対して、ネットワーク: 2001:db8::/64 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの説明文 IPV6-ACL-EX を追加します。
-
アクセスリスト #3001 を生成し、確認します。
Yamaha(config)#access-list 3001 permit 2001:db8::/64 (1) Yamaha(config)#access-list 3001 deny any Yamaha(config)#access-list 3001 description IPV6-ACL-EX (2) Yamaha(config)#end Yamaha# show access-list 3001 (3) IPv6 access list 3001 10 permit 2001:db8::/64 20 deny any
1 アクセスリストの生成 2 アクセスリストの説明文追加 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #3001 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 3001 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : IPv6 access group 3001 in
1 アクセスリストの適用 2 アクセスリストの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定 の LANポートへの適用例 を参考にしてください。
5.2.2. VLANインターフェースへの適用例
■ホスト指定
VLAN #1000 に対して、ホスト: 2001:db8::1 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #3001 を設定します。
-
アクセスリスト #3001 を生成し、確認します。
Yamaha(config)#access-list 3001 permit 2001:db8::1/128 (1) Yamaha(config)#access-list 3001 deny any Yamaha(config)#end Yamaha# Yamaha#show access-list 3001 (2) IPv6 access list 3001 10 permit 2001:db8::1/128 20 deny any
1 アクセスリストの生成 2 アクセスリストの確認 -
VLANアクセスマップ VAM-001 を生成し、 アクセスリスト #3001 を設定します。
Yamaha(config)#vlan access-map VAM-001 (1) Yamaha(config-vlan-access-map)#match access-list 3001 (2) Yamaha(config-vlan-access-map)#end Yamaha# Yamaha#show vlan access-map (3) Vlan access-map VAM-001 match ipv6 access-list 3001
1 VLANアクセスマップの生成 2 アクセスリストの設定 3 VLANアクセスマップとアクセスリストの設定を確認 -
VLAN #1000 に VLANアクセスマップ VAM-001 を適用し、状態を確認します。
Yamaha(config)#vlan filter VAM-001 1000 in (1) Yamaha(config)#end Yamaha# Yamaha#show vlan filter (2) Vlan filter VAM-001 is applied to vlan 1000 in
1 VLANにVLANアクセスマップを適用 2 VLANアクセスマップの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定 の VLANインターフェースへの適用例 を参考にしてください。
■ネットワーク指定
VLAN #1000 に対して、ネットワーク: 2001:db8::/64 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #3001 を設定します。
-
アクセスリスト #2 を生成し、確認します。
Yamaha(config)#access-list 3001 permit 2001:db8::/64 (1) Yamaha(config)#access-list 3001 deny any Yamaha(config)#end Yamaha# Yamaha#show access-list 3001 (2) IPv6 access list 3001 10 permit 2001:db8::/64 20 deny any
1 アクセスリストの生成 2 アクセスリストの確認 -
VLANアクセスマップ VAM-001 を生成し、 アクセスリスト #3001 を設定します。
Yamaha(config)#vlan access-map VAM-001 (1) Yamaha(config-vlan-access-map)#match access-list 3001 (2) Yamaha(config-vlan-access-map)#end Yamaha# Yamaha#show vlan access-map (3) Vlan access-map VAM-001 match ipv6 access-list 3001
1 VLANアクセスマップの生成 2 アクセスリストの設定 3 VLANアクセスマップとアクセスリストの設定を確認 -
VLAN #1000 に VLANアクセスマップ VAM-001 を適用し、状態を確認します。
Yamaha(config)#vlan filter VAM-001 1000 in (1) Yamaha(config)#end Yamaha# Yamaha#show vlan filter (2) Vlan filter VAM-001 is applied to vlan 1000 in
1 VLANにVLANアクセスマップを適用 2 VLANアクセスマップの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定 の VLANインターフェースへの適用例 を参考にしてください。
5.3. MACアクセスリストの設定
5.3.1. LANポートへの適用例
■ホスト指定
LANポート #1 に対して、ホスト: 00-A0-DE-12-34-56 からのアクセスのみを拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの説明文 MAC-ACL-EX を追加します。
-
アクセスリスト #2001 を生成し、確認します。
Yamaha(config)#access-list 2001 deny host 00a0.de12.3456 any (1) Yamaha(config)#access-list 2001 description MAC-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show access-list 2001 (3) MAC access list 2001 10 deny host 00A0.DE12.3456 any
1 アクセスリストの生成 2 アクセスリストの説明文追加 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #2001 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 2001 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : MAC access group 2001 in
1 アクセスリストの適用 2 アクセスリストの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定 の LANポートへの適用例 を参考にしてください。
■ベンダー指定
LANポート #1 に対して、ベンダーコード: 00-A0-DE---* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのアクセスのみを拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの説明文 MAC-ACL-EX を追加します。
-
アクセスリスト #2001 を生成し、確認します。
Yamaha(config)#access-list 2001 deny 00a0.de00.0000 0000.00ff.ffff any (1) Yamaha(config)#access-list 2001 description MAC-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show access-list 2001 (3) MAC access list 2001 10 deny 00A0.DE00.0000 0000.00FF.FFFF any
1 アクセスリストの生成 2 アクセスリストの説明文追加 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #2001 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 2001 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : MAC access group 2001 in
1 アクセスリストの適用 2 アクセスリストの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定 の LANポートへの適用例 を参考にしてください。
5.3.2. VLANインターフェースへの適用例
■ホスト指定
VLAN #1000 に対して、ホスト: 00-A0-DE-12-34-56 からのアクセスのみ拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの説明文 MAC-ACL-EX を追加します。
使用するVLANアクセスマップは、 VAM-003 とし、 アクセスリスト #2001 を設定します。
-
アクセスリスト #2000 を生成し、確認します。
Yamaha(config)#access-list 2001 deny host 00a0.de12.3456 any (1) Yamaha(config)#access-list 2001 description MAC-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show access-list (3) MAC access list 2001 10 deny host 00A0.DE12.3456 any
1 アクセスリスト #2001 の生成 2 アクセスリストの説明文追加 3 アクセスリストの確認 -
VLANアクセスマップ VAM-003 を生成し、 アクセスリスト #2001 を設定します。
Yamaha(config)# vlan access-map VAM-003 (1) Yamaha(config-vlan-access-map)# match access-list 2001 (2) Yamaha(config-vlan-access-map)# end Yamaha# Yamaha#show vlan access-map (3) Vlan access-map VAM-003 match mac access-list 2001
1 VLANアクセスマップの生成 2 アクセスリストの登録 3 VLANアクセスマップとアクセスリストの設定を確認 -
VLAN #1000 に VLANアクセスマップ VAM-003 を適用し、状態を確認します。
Yamaha(config)#vlan filter VAM-003 1000 in (1) Yamaha(config)#end Yamaha# Yamaha#show vlan filter (2) Vlan filter VAM-003 is applied to vlan 1000 in
1 VLANにVLANアクセスマップを適用 2 VLANアクセスマップの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定 の VLANインターフェースへの適用例 を参考にしてください。
■ベンダー指定
VLAN #1000 に対して、ベンダーコード: 00-A0-DE---* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのアクセスのみを拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの説明文 MAC-ACL-EX を追加します。
使用するVLANアクセスマップは、 VAM-003 とし、 アクセスリスト #2001 を設定します。
-
アクセスリスト #2001 を生成し、確認します。
Yamaha(config)#access-list 2001 deny 00a0.de00.0000 0000.00ff.ffff any (1) Yamaha(config)#access-list 2001 description MAC-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show access-list 2001 (3) MAC access list 2001 10 deny 00A0.DE00.0000 0000.00FF.FFFF any
1 アクセスリスト #2001 の生成 2 アクセスリストの説明文追加 3 アクセスリストの確認 -
VLANアクセスマップ VAM-003 を生成し、 アクセスリスト #2001 を設定します。
Yamaha(config)# vlan access-map VAM-003 (1) Yamaha(config-vlan-access-map)# match access-list 2001 (2) Yamaha(config-vlan-access-map)# end Yamaha# Yamaha#show vlan access-map (3) Vlan access-map VAM-003 match mac access-list 2001
1 VLANアクセスマップの生成 2 アクセスリストの登録 3 VLANアクセスマップとアクセスリストの設定を確認 -
VLAN #1000 に VLANアクセスマップ VAM-003 を適用し、状態を確認します。
Yamaha(config)#vlan filter VAM-003 1000 in (1) Yamaha(config)#end Yamaha# Yamaha#show vlan filter (2) Vlan filter VAM-003 is applied to vlan 1000 in
1 VLANにVLANアクセスマップを適用 2 VLANアクセスマップの設定確認
アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定 の VLANインターフェースへの適用例 を参考にしてください。
6. 注意事項
-
受信フレームに対するアクセスリストが設定されたLAN/SFPポートは論理インターフェースに所属できません。
-
インターフェースの受信フレームに対するアクセスリスト設定は、論理インターフェースに所属しているLAN/SFPポートに対して適用できません。ただし、スタートアップコンフィグ上に論理インターフェースに所属しているLAN/SFPポートの受信フレームに対するアクセスリスト設定がある場合、最若番ポートの設定が論理インターフェースに適用されます。
-
フラグメントパケットは正しく条件判定できない場合があります。具体的には、条件にレイヤー 4 の情報(送信元ポート番号、宛先ポート番号、TCP の各種フラグ)が含まれる場合、2 番目以降のフラグメントパケットにそれらの情報が含まれないため正しい判定ができません。フラグメントパケットを処理する可能性がある場合には条件にレイヤー 4 の情報を含めないようにしてください。