この節は特定の送信元MACアドレス間のトラフィックのみ拒否して他のパケットは許可するマックフィルターを構成 する方法を説明します。
特権EXECモードで始め、次の手順に従い特定のインターフェイスにアクセス・コントロール・リスト(ACL)によるメディ ア・アクセス・コントロール(MAC)フィルターを構成します。
コマンド 目的
ステップ 1 Configure グローバル・コンフィグ・モードに入る。
ステップ 2 mac access-list extended acl – name
新規の拡張MACアドレス・リストを名前付けて 生成する。
ステップ 3 deny any xx:xx:xx:xx:xx:xx 00:00:00:00:00:ff
特定の送信元MACアドレスに新たな一致規則 を (xx:xx:xx:xx:xx:xx) MACアドレスのビットマス ク (00:00:00:00:00:00)付きで生成する
ステップ 4 permit any any すべてのパケットに新しい一致規則を生成す る。
ステップ 5 exit グローバル・コンフィグ・モードに戻る。
ステップ 6 interface interface-id インターフェイスを指定して、インターフェイス 構成モードに入る。 インターフェイスは物理レ イヤー2インターフェイスまたはポートチャネル でありえる(論理インターフェイス)。
ステップ 7 mac access-group acl –name in このインターフェイスに適用されるACLを指定 する。
ステップ 8 exit グローバル・コンフィグ・モードに戻る。
ステップ 9 exit 特権EXECモードに戻る。
ステップ 10 show access-lists interface interface-id in
構成を確認する。
特定の送信元MACアドレスのパケットのみ拒否するマックフィルターをインターフェイスに構成するにはmac access-listグローバル・コンフィグ・コマンドを使用します。 構成を表示するにはshow access-lists interface特 権EXECコマンドを使用します。
この例では、インターフェイス 0/1にMACアクセス・リストを構成して特定の送信元MACアドレス・パケットのみ拒 否します。
(BX900-CB1)#configure
(BX900-CB1)(Config)#mac access-list extended acl_mac
(BX900-CB1)(Config-mac-access-list)#deny any 00:00:00:00:00:01 00:00:00:00:00:ff Create ACL MAC 1 : Rule ID 1
(BX900-CB1)(Config-mac-access-list)#permit any any Create ACL MAC 1 : Rule ID 2
(BX900-CB1)(Config-mac-access-list)#exit (BX900-CB1)(Config)#interface 0/1
(BX900-CB1)(Interface BX900-CB1/0/1)#mac access-group acl_mac in
(BX900-CB1)(Interface BX900-CB1/0/1)#exit (BX900-CB1)(Config)#exit
(BX900-CB1)#show access-lists interface 0/1 in
ACL Type ACL ID Sequence Number --- --- --- MAC acl_mac 1
(BX900-CB1)#
5.4 VLANの特定MACアドレス間のトラフィックのみ拒否するマックフィルター を構成する
この節は特定MACアドレス間のトラフィックのみ拒否するマックフィルターを構成する方法を説明します。
特権EXECモードで始め、次の手順に従い特定のインターフェイスにアクセス・コントロール・リスト(ACL)によるメディ ア・アクセス・コントロール(MAC)フィルターを構成します。
コマンド 目的
ステップ 1 configure グローバル・コンフィグ・モードに入る。
ステップ 2 mac access-list extended acl – name
新規の拡張MACアドレス・リストを名前付けて 生成する。
ステップ 3 deny xx:xx:xx:xx:xx:xx 00:00:00:00:00:ff any vlan eq
<0-4095>
特定の送信元MACアドレスに新たな一致規則 を (xx:xx:xx:xx:xx:xx) MACアドレスのビットマス ク (00:00:00:00:00:00)と特定のVLAN ID付きで 生成する。
ステップ 4 permit any any すべてのパケットに新しい一致規則を生成す る。
ステップ 5 Exit グローバル・コンフィグ・モードに戻る。
ステップ 6 interface interface-id インターフェイスを指定して、インターフェイス 構成モードに入る。 インターフェイスは物理レ イヤー2インターフェイスまたはポートチャネル でありえる(論理インターフェイス)。
ステップ 7 mac access-group acl –name in このインターフェイスに適用されるACLを指定 する。
ステップ 8 exit グローバル・コンフィグ・モードに戻る。
ステップ 9 Exit 特権EXECモードに戻る。
ステップ 10 show access-lists interface interface-id in
構成を確認する。
特定の送信元MACアドレス間のパケットのみ拒否するマックフィルターをインターフェイスに構成するにはmac access-listグローバル・コンフィグ・コマンドを使用します。 構成を表示するにはshow access-lists interface特 権EXECコマンドを使用します。
この例では、インターフェイス 0/1にMACアクセス・リストを構成して特定の送信元MACアドレス・パケットのみ拒 否します。
(BX900-CB1)#configure
(BX900-CB1)(Config)#mac access-list extended acl_mac
(BX900-CB1)(Config-mac-access-list)# deny 00:00:00:00:00:01 00:00:00:00:00:ff any vlan eq 1
Create ACL MAC 1 : Rule ID 1
(BX900-CB1)(Config-mac-access-list)#permit any any Create ACL MAC 1 : Rule ID 2
(BX900-CB1)(Config-mac-access-list)#exit (BX900-CB1)(Config)#interface 0/1
(BX900-CB1)(Interface BX900-CB1/0/1)#mac access-group acl_mac in (BX900-CB1)(Interface BX900-CB1/0/1)#exit
(BX900-CB1)(Config)#exit
(BX900-CB1)#show access-lists interface 0/1 in
ACL Type ACL ID Sequence Number --- --- --- MAC acl_mac 1
(BX900-CB1)#