| mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip
| xns-idp:非 IP
プロトコル。• cos cos:プライオリティを設定する
0
~7
のIEEE 802.1Q CoS
番号。特権
EXEC
モードに戻ります。end
例:ステップ
5
Device(config-ext-macl)# end
入力を確認します。
show running-config
例:ステップ
6
Device# show running-config
(任意)コンフィギュレーション ファ イルに設定を保存します。
copy running-config startup-config
例:ステップ
7
Device# copy running-config startup-config
IPv4 ACLの設定 名前付きMAC拡張ACLの作成
関連トピック
IPv4
アクセス コントロール リストの設定に関する制約事項(2ページ)VLAN
マップの設定(36
ページ)レイヤ 2 インターフェイスへの MAC ACL の適用
レイヤ
2
インターフェイスへのアクセスを制御するためにMAC
アクセス リストを適用するに は、次の手順を実行します。手順
目的 コマンドまたはアクション
特権
EXEC
モードをイネーブルにしま す。enable
例:ステップ
1
•
パスワードを入力します(要求され た場合)。Device> enable
グローバル コンフィギュレーション モードを開始します。
configureterminal
例:ステップ
2
Device# configure terminal
特定のインターフェイスを指定し、イン ターフェイス コンフィギュレーション
interface interface-id
例:
ステップ
3
モードを開始します。指定するインター
Device(config)# interface フェイスは物理レイヤ
2
インターフェイス(ポート
ACL
)でなければなりませ ん。gigabitethernet1/0/2
MAC
アクセス リストを使用して、指定 されたインターフェイスへのアクセスを 制御します。mac access-group {name} {in | out }
例:Device(config-if)# mac access-group
ステップ
4
ポート
ACL
は発信および着信方向サ ポートされます。mac1 in
特権
EXEC
モードに戻ります。end
例:ステップ
5
Device(config-if)# end
そのインターフェイスまたはすべてのレ イヤ
2
インターフェイスに適用されてい るMAC
アクセス リストを表示します。show mac access-group [interface interface-id]
例:
ステップ
6
IPv4 ACLの設定
レイヤ2インターフェイスへのMAC ACLの適用
目的 コマンドまたはアクション
Device# show mac access-group interface gigabitethernet1/0/2
入力を確認します。
show running-config
例:ステップ
7
Device# show running-config
(任意)コンフィギュレーション ファ イルに設定を保存します。
copy running-config startup-config
例:ステップ
8
Device# copy running-config startup-config
スイッチは、パケットを受信すると、着信
ACL
とパケットを照合します。ACLがパケットを 許可する場合、スイッチはパケットの処理を継続します。ACL
がパケットを拒否する場合、ス イッチはパケットを廃棄します。未定義のACL
をインターフェイスに適用すると、スイッチ はACL
がインターフェイスに適用されていないと判断し、すべてのパケットを許可します。ネットワーク セキュリティのために未定義の
ACL
を使用する場合は、このような結果が生じ ることに注意してください。関連トピック
IPv4
アクセス コントロール リストの設定に関する制約事項(2ページ)VLAN マップの設定
VLAN
マップを作成して、1つまたは複数のVLAN
に適用するには、次のステップを実行しま す。始める前に
VLAN
に適用する標準IPv4 ACL
または拡張IP ACL
、または名前付きMAC
拡張ACL
を作成 します。手順
目的 コマンドまたはアクション
VLAN
マップを作成し、名前と、任意で 番号を付けます。番号は、マップ内のエ ントリのシーケンス番号です。vlan access-map name [number]
例:
Device(config)# vlan access-map map_1
ステップ
1
同じ名前の
VLAN
マップを作成すると、IPv4 ACLの設定 VLANマップの設定
目的 コマンドまたはアクション
れます。マップを変更または削除すると きは、該当するマップ エントリの番号 を入力できます。
VLAN
マップでは、特定のpermit
また はdeny
キーワードを使用しません。VLAN
マップを使用してパケットを拒否 するには、パケットを照合するACL
を 作成して、アクションをドロップに設定 します。ACL
内のpermit
は、一致する という意味です。ACL内のdeny
は、一 致しないという意味です。このコマンドを入力すると、アクセス マップ コンフィギュレーション モード に変わります。
1
つまたは複数の標準または拡張アクセ ス リストに対してパケットを照合しまmatch {ip | mac} address {name | number}
[name | number]
例:
ステップ
2
す(
IP
またはMAC
アドレスを使用)。パケットの照合は、対応するプロトコル
Device(config-access-map)# match ip タイプのアクセス リストに対してだけ
address ip2 行われます。IPパケットは、標準また
は拡張
IP
アクセス リストに対して照合 されます。非IP
パケットは、名前付きMAC
拡張アクセス リストに対してだけ 照合されます。パケット タイプ(
IP
またはMAC)に対する match
句がVLAN
マップに設定されてい る場合で、そのマップ アク ションがドロップの場合は、そのタイプに一致するすべて のパケットがドロップされま す。match句が
VLAN
マップ になく、設定されているアク ションがドロップの場合は、すべての
IP
およびレイヤ2
パ ケットがドロップされます。(注)
マップ エントリに対するアクションを 設定します。
IP
パケットまたは非IP
パケットを(既 知の1 MAC
アドレスのみを使って)指 定し、1
つ以上のACL
(標準または拡 ステップ3
IPv4 ACLの設定
VLANマップの設定
目的 コマンドまたはアクション
張)とそのパケットを照合するには、次 のコマンドのいずれかを入力します。
• action { forward}
Device(config-access-map)# action forward
• action { drop}
Device(config-access-map)# action drop