permit ( MAC )
permit MAC-Access List Configurationモードコマンドは、MAC ACLの許可条件を定義します。
構文
permit {any | {host 送信元 送信元ワイルドカード} any | {宛先 宛先ワイルドカード}} [vlan VLANのID]
[cos CoS CoSワイルドカード] [ethtype Ethernetの種類]
パラ メ ー タ
■ 送信元:パケットの送信元MACアドレスを指定します。
■ 送信元ワイルドカード:送信元MACアドレスに適用するワイルドカードビットを指定します。無視す るビット位置に1を使用します。
■ 宛先:パケットの宛先ホストのMACアドレスを指定します。
■ 宛先ワイルドカード:宛先MACアドレスに適用するワイルドカード ビットを指定します。無視する ビット位置に1を使用します。
■ VLANのID:パケットVLANのIDを指定します。(範囲:0~4095)
■ CoS:パケットのCoS(Class of Service)を指定します。(範囲:0~7)
■ CoSワイルドカード:CoSに適用するワイルドカードビットを指定します。
■ Ethernetの種類:パケットのEthernetの種類を指定します。(範囲:0~65535)
デ フ ォ ル ト 設定
MAC ACLは定義されていません。
コ マン ド モー ド
MAC-Access List Configurationモード コ マン ド の使用法
ACE(Access Control Element)がACLに追加される前は、すべてのパケットが許可されます。ACEが追加さ れた後は暗黙のdeny-any-any条件がリストの末尾に存在するため、permitステートメントで定義された条件 に一致しないパケットは拒否されます。
VLAN IDが指定されていない場合、ポリシ マップをVLANインタフェースに接続することはできません。
例
以下のコマンドは、許可ルールを持つMAC ACLを作成します。
Console(config)# mac access-list macl-acl1
Console(config-mac-al)# permit 6:6:6:6:6:6 0:0:0:0:0:0 any vlan 6
deny ( MAC )
deny MAC-Access List Configurationモードコマンドは、denyステートメントで定義された条件が一致する場 合にトラフィックを拒否します。
構文 deny宛先
deny [disable-port] {any | {送信元送信元ワイルドカード}}{any | {宛先宛先ワイルドカード}}[vlan VLANの ID] [cosCoS cos-wildcard] [ethtype Ethernetの種類]
パラ メ ー タ
■ disable-port:ステートメントが「deny」である場合にポートを無効にすることを示します。
■ 送信元:パケットの送信元ホストのMACアドレスを指定します。
■ 送信元ワイルドカード:(1番目の種類のオプション)ビット位置に1をセットすることで、ワイルド カードビットを指定します。
■ 宛先:パケットの宛先ホストのMACアドレスを指定します。
■ 宛先ワイルドカード:(1番目の種類のオプション)ビット位置に1をセットすることで、ワイルドカー ドビットを指定します。
■ VLANのID:パケットVLANのIDを指定します。
■ CoS:パケットのCoS(Class of Service)を指定します。
■ CoSワイルドカード:CoSに適用するワイルドカード ビットを指定します。
■ Ethernetの種類:パケットのEthernetの種類を指定します。
デ フ ォ ル ト 設定
このコマンドにデフォルトの設定はありません。
コ マン ド モー ド
MAC-Access List Configurationモード コ マン ド の使用法
MAC BPDUパケットを拒否することはできません。
このコマンドは、ACE(Access Control Element)を定義します。no mac access-list Global Configurationモー ド コマンドを使用すると、ACLを削除することによってのみ、ACEを削除できます。また、ACLからの ACEの削除にWebベースのインタフェースを使用することもできます。
以下のユーザ ガイドラインに従ってください。
■ ACE(Access Control Element)がACLに追加される前は、すべてのパケットが許可されます。ACEが追
加された後は暗黙のdeny-any-any条件がリストの末尾に存在するため、permitステートメントで定義さ れた条件に一致しないパケットは拒否されます。
■ VLAN IDが指定されていない場合、ポリシマップをVLANインタフェースに接続することはできませ
ん。
例
以下のコマンドは、デバイス上にdenyルールを持つMAC ACLを作成します。