MAC ACL マスクの構成

このマスクでは、パケットヘッダーでチェックするフィールドを定義します。

コマンドの使用

ACL ルールをポートにバインドする前に、ルールのマスクを構成する必要があります。

コマンド属性

• 「Source/Destination MAC」 – すべてのアドレスに合致させるには「Any」、単一ノードのホストアドレスを指定するには「Host」、アドレス範囲を指定するには「MAC」を使用します（オプション: 「Any」、「Host」、「MAC」、デフォルト: 「Any」）。

• 「Source/Destination MAC Bitmask」 – ルールのアドレスがこのビットマスクに合致する必要があります。

• 「VID Bitmask」 – ルールの VLAN ID がこのビットマスクに合致する必要があります。

• 「Ethernet Type Bitmask」 – ルールのイーサネットタイプがこのビットマスクに合致する必要があります。

• 「Packet Format Bitmask」 – ルールでパケット形式が指定されている必要があります。

ウェブ – MAC イングレスまたはイグレス ACL で必要なルールに合致させるマスクを構成します。送信元または宛先アドレス、ホストアドレス、またはアドレス範囲をチェックするマスクを設定します。特定の VLAN ID やイーサネットタイプを検索するには、ビットマスクを使用します。または、パケット形式が指定されたルールをチェックします。次に、「Add」をクリックします。

図3-37. ACL マスクの構成 - MAC

3

アクセス制御リスト

CLI – この例には、イングレス MAC ACL を作成し、ポートにバインドする方法が示されてい ます。その後、マスクによってルールの順序が変更されたことが示されています。

アクセス制御リストへのポートのバインド

アクセス制御リスト（ACL）を構成したら、トラフィックをフィルタリングする必要のあるポートを適切な ACL にバインドできます。各ポートにバインドできる ACL は、基本タイプ

（IP イングレス、IP イグレス、MAC イングレス、および MAC イグレス）ごとに 1 つのみです。

コマンドの使用

• ACL ルールをポートにバインドする前に、ルールのマスクを構成する必要があります。

• このスイッチでは、イングレスおよびイグレスフィルタリング用の ACL がサポートされます。ただし、イングレスフィルタリング用に各ポートにバインドできる IP ACL と MAC ACL はそれぞれ 1 つのみです。また、イグレスフィルタリング用に各ポートにバインドできる IP ACL と MAC ACL はそれぞれ 1 つのみです。すなわち、1 つのインターフェースには、イングレス IP ACL、イグレス IP ACL、イングレス MAC ACL、およびイグレス MAC ACL の 4 つの ACL のみをバインドできます。

• ACL をイグレスフィルタとしてインターフェースにバインドする場合、ACL のすべてのエントリは拒否ルールである必要があります。そうでない場合、バインドオペレーションが失敗する場合があります。

• スイッチでは、イグレス IP ACL またはイグレス MAC ACL において明示的な「deny any any」ルールはサポートされません。このようなルールが ACL に含まれている場合、イグレスチェックのために ACL をインターフェースにバインドしようとすると、バインドオペレーションが失敗する場合があります。

Console(config)#access-list mac M4 4-100

Console(config-mac-acl)#permit any any 4-101

Console(config-mac-acl)#deny tagged-eth2 00-11-11-11-11-11

ff-ff-ff-ff-ff-ff any vid 3 4-101

Console(config-mac-acl)#end

Console#show access-list 4-109

MAC access-list M4:

permit any any

deny tagged-eth2 host 00-11-11-11-11-11 any vid 3

Console(config)#access-list mac mask-precedence in 4-103 Console(config-mac-mask-acl)#mask pktformat ff-ff-ff-ff-ff-ff any vid 4-104 Console(config-mac-mask-acl)#exit

Console(config)#interface ethernet 1/12 4-124

Console(config-if)#mac access-group M4 in 4-106

Console(config-if)#end Console#show access-list MAC access-list M4:

deny tagged-eth2 host 00-11-11-11-11-11 any vid 3 permit any any

MAC ingress mask ACL:

mask pktformat host any vid Console#

コマンド属性

• 「Port」 – 固定ポートまたは SFP モジュール（範囲: 1 ～ 24、1 ～ 48）

• 「IP」 – ポートにバインドする IP ACL を指定します。

• 「MAC」 – ポートにバインドする MAC ACL を指定します。

• 「IN」 – イングレスパケットの ACL

• 「OUT」 – イグレスパケットの ACL

• 「ACL Name」 – ACL の名前

ウェブ – 「Security」、「ACL」、「Port Binding」の順にクリックします。イングレスまたはイグレストラフィックの ACL にバインドするポートの「Enable」フィールドをオンにし、ドロップダウンリストから必要な ACL を選択して、「Apply」をクリックします。

図3-38. ポートへの ACL のバインド

CLI – この例では、IP および MAC イングレス ACL をポート 1 に、IP イングレス ACL をポート 2 に割り当てています。

Console(config)#interface ethernet 1/1 4-124

Console(config-if)#ip access-group david in 4-96 Console(config-if)#mac access-group jerry in 4-106 Console(config-if)#exit

Console(config)#interface ethernet 1/2 Console(config-if)#ip access-group david in Console(config-if)#

3

ポートコンフィギュレーション

接続ステータスの表示

スピード/二重モード、フロー制御、自動ネゴシエーションなど、現在の接続ステータスを表示するには、「Port Information」または「Trunk Information」ページを使用します。

フィールド属性（ウェブ）

• 「Name」 – インターフェースラベル

• 「Type」 – ポートタイプが示されます（「1000BASE-T」または「SFP」）。

• 「Admin Status 」 – インターフェースが有効にされているか無効にされているかが示されます。

• 「Oper Status」 – リンクが確立されているか切断されているかが示されます。

• 「Speed Duplex Status」 – 現在のスピードおよび二重モードが示されます

（「Auto」または固定選択）。

• 「Flow Control Status」 – 現在使用中のフロー制御のタイプが示されます

（「IEEE 802.3x」、「Back-Pressure」、または「None」）。

• 「Autonegotiation」 – 自動ネゴシエーションが有効にされているか無効にされているかが示されます。

• 「Forced Mode」¹ – コンボポート 21 ～ 24 または 45 ～ 48 に使用される強制/優先ポートタイプが示されます

（「Copper-Forced」、「Copper-Preferred-Auto」、「SFP-Forced」、「SFP-Preferred-Auto」）。

• 「Trunk Member」¹ – ポートがトランクメンバーかどうかが示されます。

• 「Creation」² – トランクが手動で構成されたか LACP によって動的に設定されたかが示されます。

1: 「Port Information」のみ 2: 「Trunk Information」のみ

ウェブ – 「Port」、「Port Information」または「Trunk Information」の順にクリックします。

図3-39. ポート - ポート情報

フィールド属性（CLI）

Basic information:

• 「Port type」 – ポートタイプが示されます（「1000BASE-T」または「SFP」）。

• 「MAC address」 – このポートの物理レイヤーアドレス（ウェブでこの項目にアクセスするには、3-13ページの「スイッチの IP アドレスの設定」を参照）

Configuration:

• 「Name」 – インターフェースラベル

• 「Port admin」 – インターフェースが有効にされているか無効にされているか（稼動中か非稼動か）が示されます。

• 「Speed-duplex」 – 現在のスピードおよび二重モードが示されます

（「Auto」または固定選択）。

• 「Capabilities」 – 自動ネゴシエーション中にアドバタイズするポートの能力を指定します

（ウェブでこの項目にアクセスするには、3-68ページの「インターフェース接続の構成」を参照）。次の能力がサポートされます。

• 10half - 10 Mbps 半二重動作をサポートします。

• 10full - 10 Mbps 全二重動作をサポートします。

• 100half - 100 Mbps 半二重動作をサポートします。

• 100full - 100 Mbps 全二重動作をサポートします。

• 1000full - 1000 Mbps 全二重動作をサポートします。

• Sym - フロー制御用のポーズフレームを送受信します。

• FC - フロー制御をサポートします。

• 「Broadcast storm」 – ブロードキャストストーム制御が有効にされているか無効にされているかが示されます。

• 「Broadcast storm limit」 – ブロードキャストストームしきい値が示されます

（500 ～ 262143 パケット/秒）。

• 「Flow control」 – フロー制御が有効にされているか無効にされているかが示されます。

• 「LACP」 – LACP が有効にされているか無効にされているかが示されます。

• 「Port Security」 – ポートセキュリティが有効にされているか無効にされているかが示されます。

• 「Max MAC count」 – ポートが学習できる最大 MAC アドレス数が示されます

（0 ～ 20 アドレス）。

• 「Port security action」 – セキュリティ違反が検知された場合の対応が示されます

（「shutdown」、「trap」、「trap-and-shutdown」）。

• 「Combo forced mode」 – コンボポート 21 ～ 24 または 45 ～ 48 に使用される強制/優先ポートタイプが示されます

（「copper forced」、「copper preferred auto」、「SFP forced」、「SFP preferred auto」）。

Current Status:

• 「Link Status」 – リンクが確立されているか切断されているかが示されます。

• 「Operation speed-duplex」 – 現在のスピードおよび二重モードが示されます。

• 「Flow control type」 – 現在使用中のフロー制御のタイプが示されます

（「IEEE 802.3x」、「Back-Pressure」、または「none」）。

3

ポートコンフィギュレーション

CLI – この例では、ポート 5 の接続ステータスを表示しています。

Console#show interfaces status ethernet 1/5 4-131 Information of Eth 1/13

Basic information:

Port type: 1000T

Mac address: 00-30-f1-47-58-46 Configuration:

Name:

Port admin: Up Speed-duplex: Auto

Capabilities: 10half, 10full, 100half, 100full, 1000full, Broadcast storm: Enabled

Broadcast storm limit: 500 packets/second Flow control: Disabled

Lacp: Disabled

Port security: Disabled Max MAC count: 0

Port security action: None Combo forced mode: None Current status:

Link status: Down

Operation speed-duplex: 100full Flow control type: None

Console#

インターフェース接続の構成

インターフェースの有効 / 無効、自動ネゴシエーションおよびアドバタイズするインターフェース能力の設定、または手動によるスピード、二重モード、およびフロー制御の設定を行うには、「Port Configuration」または「Trunk Configuration」ページを使用します。

コマンド属性

• 「Name」 – インターフェースにラベルを付けることができます（範囲: 1 ～ 64 文字）。

• 「Admin」 – 手動でインターフェースを無効にできます。異常動作（過剰なコリジョンなど）

が発生した場合にインターフェースを無効にし、問題解決後に再度有効にすることができます。セキュリティ上の理由でインターフェースを無効にすることも可能です。

• 「Speed/Duplex」 – 手動でポートスピードおよび二重モードを設定できます。

• 「Flow Control」 – フロー制御を自動または手動で選択できます。

• 「Autonegotiation」（ポート能力） – 自動ネゴシエーションを有効/無効にできます。自動ネゴシエーションを有効にする場合、アドバタイズする能力を指定する必要があります。自動ネゴシエーションを無効にする場合、スピード、モード、およびフロー制御を強制的に設定できます。次の能力がサポートされます。

- 10half - 10 Mbps 半二重動作をサポートします。

- 10full - 10 Mbps 全二重動作をサポートします。

- 100half - 100 Mbps 半二重動作をサポートします。

- 100full - 100 Mbps 全二重動作をサポートします。

- 1000full - 1000 Mbps 全二重動作をサポートします。

- Sym（ギガビットのみ） - この項目は、ポーズフレームを送受信する場合はオンにし、送信側と受信側で非対称ポーズフレームの自動ネゴシエーションを行う場合はオフにします（現在のスイッチチップは対称ポーズフレームのみをサポート）。

- FC - フロー制御をサポートします。

フロー制御では、バッファが一杯になった場合にスイッチに直接接続されたエンドステーションまたはセグメントからのトラフィックを「ブロック」することにより、フレームの損失を防止できます。有効にした場合、半二重動作時にはバックプレッシャが、全二重動作時には IEEE 802.3x が使用されます（実際に問題を解決する必要がある場合を除き、ハブに接続されたポートでフロー制御を使用しないこと。バックプレッシャによる妨害信号によって、ハブに接続されたセグメントの全体的な性能が低下する可能性がある）。

（デフォルト: 自動ネゴシエーションは有効、アドバタイズする能力は

100BASE-TX – 10half、10full、100half、100full、1000full、1000BASE-SX/LX/LH – 1000full）

• 「Forced Mode」 – コンボポート 21 ～ 24 または 45 ～ 48 に使用される強制/優先ポートタイプが示されます。

- 「Copper-Forced」 - 常に組込み RJ-45 ポートを使用します。

- 「Copper-Preferred-Auto」 - 両方のコンボタイプが機能し、RJ-45 ポートに有効なリンクが存在する場合、組込み RJ-45 ポートを使用します。

- 「SFP-Forced」 - 常に SFP ポートを使用します（モジュールがインストールされていない場合も含む）。

- 「SFP-Preferred-Auto」 - 両方のコンボタイプが機能し、SFP ポートに有効なリンクが存在する場合、SFP ポートを使用します。

ドキュメント内 ES4524.book (ページ 106-118)

MAC ACL マス クの構成

3

ア ク セス制御 リ ス ト へのポー ト のバイ ン ド

3

ポー ト コ ン フ ィ ギ ュ レーシ ョ ン

接続ス テー タ スの表示

3

イ ン タ ー フ ェ ース接続の構成

MAC ACL マスクの構成

アクセス制御リストへのポートのバインド

ポートコンフィギュレーション

接続ステータスの表示

インターフェース接続の構成