この節は特定の送信元MACアドレス間のトラフィックのみ拒否して他のパケットは許可するMACフィルターを構成す る方法を説明します。
特権EXECモードで始め、次の手順に従い特定のインターフェイスにアクセス・コントロール・リスト(ACL)によるメディ ア・アクセス・コントロール(MAC)フィルターを構成します。
コマンド 目的
ステップ 1 Configure グローバル・コンフィグ・モードに入る。
ステップ 2 mac access‑list extended
acl –name
新規の拡張MACアドレス・リストを名前付けて 生成する。
ステップ 3 deny any
xx:xx:xx:xx:xx:xx 00:00:00:00:00:ff
特定の送信元MACアドレスに新たな一致規則 を (xx:xx:xx:xx:xx:xx) MACアドレスのビットマス ク (00:00:00:00:00:00)付きで生成する
ステップ 4 permit any any すべてのパケットに新しい一致規則を生成す
る。
ステップ 5 exit グローバル・コンフィグ・モードに戻る。
ステップ 6 interface
interface‑id
インターフェイスを指定して、インターフェイス 構成モードに入る。 インターフェイスは物理レ イヤー2インターフェイスまたはポートチャネル でありえる(論理インターフェイス)。ステップ 7 mac access‑group
acl –name
in このインターフェイスに適用されるACLを指定 する。ステップ 8 exit グローバル・コンフィグ・モードに戻る。
ステップ 9 exit 特権EXECモードに戻る。
ステップ 10 show access‑lists interface
interface‑id
in構成を確認する。
特定の送信元MACアドレスのパケットのみ拒否するMACフィルターをインターフェイスに構成するにはmac access‑listグローバル・コンフィグ・コマンドを使用します。 構成を表示するにはshow access‑lists interface特 権EXECコマンドを使用します。
この例では、インターフェイス 0/1にMACアクセス・リストを構成して特定の送信元MACアドレス・パケットのみ 拒否します。
(BX900‑CB1)#configure
(BX900‑CB1)(Config)#mac access‑list extended acl̲mac
(BX900‑CB1)(Config‑mac‑access‑list)#deny any 00:00:00:00:00:01 00:00:00:00:00:ff Create ACL MAC 1 : Rule ID 1
(BX900‑CB1)(Config‑mac‑access‑list)#permit any any Create ACL MAC 1 : Rule ID 2
(BX900‑CB1)(Config‑mac‑access‑list)#exit (BX900‑CB1)(Config)#interface 0/1
(BX900‑CB1)(Interface BX900‑CB1/0/1)#mac access‑group acl̲mac in (BX900‑CB1)(Interface BX900‑CB1/0/1)#exit
(BX900‑CB1)(Config)#exit
(BX900‑CB1)#show access‑lists interface 0/1 in
ACL Type ACL ID Sequence Number
‑‑‑‑‑‑‑‑ ‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑ ‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑
MAC acl̲mac 1
(BX900‑CB1)#
5.4 VLANの特定MACアドレス間のトラフィックのみ拒否するMACフィルター を構成する
この節は特定MACアドレス間のトラフィックのみ拒否するMACフィルターを構成する方法を説明します。
特権EXECモードで始め、次の手順に従い特定のインターフェイスにアクセス・コントロール・リスト(ACL)によるメディ ア・アクセス・コントロール(MAC)フィルターを構成します。
コマンド 目的
ステップ 1 configure グローバル・コンフィグ・モードに入る。
ステップ 2 mac access‑list extended
acl –name
新規の拡張MACアドレス・リストを名前付けて 生成する。
ステップ 3 deny
xx:xx:xx:xx:xx:xx 00:00:00:00:00:ff
any vlan eq<
0‑4095
>特定の送信元MACアドレスに新たな一致規則 を (xx:xx:xx:xx:xx:xx) MACアドレスのビットマス ク (00:00:00:00:00:00)と特定のVLAN ID付きで 生成する。
ステップ 4 permit any any すべてのパケットに新しい一致規則を生成す
る。
ステップ 5 Exit グローバル・コンフィグ・モードに戻る。
ステップ 6 interface
interface‑id
インターフェイスを指定して、インターフェイス 構成モードに入る。 インターフェイスは物理レ イヤー2インターフェイスまたはポートチャネル でありえる(論理インターフェイス)。ステップ 7 mac access‑group
acl –name
in このインターフェイスに適用されるACLを指定 する。ステップ 8 exit グローバル・コンフィグ・モードに戻る。
ステップ 9 Exit 特権EXECモードに戻る。
ステップ 10 show access‑lists interface
interface‑id
in構成を確認する。
特定の送信元MACアドレス間のパケットのみ拒否するMACフィルターをインターフェイスに構成するにはmac access‑listグローバル・コンフィグ・コマンドを使用します。 構成を表示するにはshow access‑lists interface特 権EXECコマンドを使用します。
この例では、インターフェイス 0/1にMACアクセス・リストを構成して特定の送信元MACアドレス・パケットのみ 拒否します。
(BX900‑CB1)#configure
(BX900‑CB1)(Config)#mac access‑list extended acl̲mac
(BX900‑CB1)(Config‑mac‑access‑list)# deny 00:00:00:00:00:01 00:00:00:00:00:ff any vlan eq 1 Create ACL MAC 1 : Rule ID 1
(BX900‑CB1)(Config‑mac‑access‑list)#permit any any Create ACL MAC 1 : Rule ID 2
(BX900‑CB1)(Config‑mac‑access‑list)#exit
(BX900‑CB1)(Config)#interface 0/1
(BX900‑CB1)(Interface BX900‑CB1/0/1)#mac access‑group acl̲mac in (BX900‑CB1)(Interface BX900‑CB1/0/1)#exit
(BX900‑CB1)(Config)#exit
(BX900‑CB1)#show access‑lists interface 0/1 in
ACL Type ACL ID Sequence Number
‑‑‑‑‑‑‑‑ ‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑ ‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑
MAC acl̲mac 1
(BX900‑CB1)#