300シリーズマネージドスイッチでのMACベースアクセスコントロールリスト(ACL)およびアクセスコントロールエントリ(ACE)の設定

ダウンロードオプション

PDF (239.5 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (355.9 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (242.3 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2018 年 12 月 10 日

Document ID:SMB89

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

300シリーズマネージドスイッチでのMACベースアクセスコントロールリスト(ACL)およびアクセスコントロールエントリ(ACE)の設定

目的

アクセスコントロールリスト(ACL)は、ネットワークトラフィックフローを許可または拒否するために使用されるセキュリティテクノロジーです。MACベースのACLは、レイヤ2情報を使用して、トラフィックへのアクセスを許可または拒否します。アクセスコントロールエントリ(ACE)には、実際のアクセスルールの基準が含まれます。ACEが作成されると、ACEはACLに適用されます。300シリーズマネージドスイッチは、最大512のACLと512のACEをサポートします。

この記事では、MACベースのACLを作成する方法と、300シリーズマネージドスイッチのACLにACEを適用する方法について説明します。

該当するデバイス

SG/SF 300シリーズマネージドスイッチ

[Software Version]

1.3.0.62

MACベースのACL

ステップ1:Web設定ユーティリティにログインし、[Access Control] > [MAC Based ACL]を選択します。[MAC Based ACL]ページが開きます。

ステップ2:[Add]をクリックします。[Add MAC-Based ACL]ウィンドウが表示されます。

ステップ3:[ACL Name]フィールドにACLの名前を入力します。

ステップ4:[Apply]をクリックします。ACLが作成されます。

MACベースのACE

ポートでフレームが受信されると、スイッチは最初のACLを介してフレームを処理します。フレームが最初のACLのACEフィルタに一致すると、ACEアクションが実行されます。フレームがいずれのACEフィルタにも一致しない場合、次のACLが処理されます。関連するすべてのACLのACEに一致するものが見つからなかった場合、フレームはデフォルトで廃棄されます。

注：このデフォルトのアクションは、すべてのトラフィックを許可する低優先度ACEを作成することによって回避できます。

ステップ1:Web設定ユーティリティにログインし、[Access Control] > [MAC Based ACE]を選択します。[MAC Based ACE]ページが開きます。

ステップ2:[ACL Name]ドロップダウンリストから、ルールを適用するACLを選択します。

ステップ3:[Go]をクリックします。すでにACLに設定されているACEが表示されます。

ステップ4:[Add]をクリックして、ACLに新しいルールを追加します。[Add MAC-Based ACE]ウィンドウが表示されます。

[ACL名(ACL Name)]フィールドには、ACLの名前が表示されます。

ステップ5:[Priority]フィールドにACEのプライオリティ値を入力します。プライオリティ値が大きいACEが最初に処理されます。値1が最も高い優先度です。

ステップ6：フレームがACEの必須条件を満たしたときに実行される必要なアクションに対応するオプションボタンをクリックします。

Permit：スイッチは、ACEの必須条件を満たすパケットを転送します。
拒否：スイッチは、ACEの必須条件を満たしていないパケットをドロップします。
シャットダウン：スイッチは、ACEの必須条件を満たさないパケットをドロップし、パケットが受信されたポートをディセーブルにします。

注：無効なポートは、[ポートの設定]ページで再アクティブ化することができます。

ステップ7:[Time Range]フィールドの[Enable]チェックボックスをオンにして、ACEに対して時間範囲を設定できるようにします。時間範囲は、ACEが有効な時間を制限するために使用されます。

ステップ8:[Time Range Name]ドロップダウンリストから、ACEに適用する時間範囲を選択します。

注：[編集]をクリックして、[時間範囲]ページに移動し、時間範囲を作成します。

ステップ9:[Destination MAC Address]フィールドで、ACEの目的の条件に対応するオプションボタンをクリックします。

ステップ10:[Source MAC Address]フィールドで、ACEの目的の条件に対応するオプションボタンをクリックします。

Any：すべての宛先MACアドレスがACEに適用されます。
[User Defined]:[Destination MAC Address Value]フィールドと[Destination MAC Wildcard Mask]フィールドに、ACEに適用するMACアドレスとMACワイルドカードマスクを入力します。ワイルドカードマスクは、MACアドレスの範囲を定義するために使用されます。
Any：すべての送信元MACアドレスがACEに適用されます。
[User Defined]:[Destination MAC Address Value]フィールドと[Destination MAC Wildcard Mask]フィールドに、ACEに適用するMACアドレスとMACワイルドカードマスクを入力します。ワイルドカードマスクは、MACアドレスの範囲を定義するために使用されます。

ステップ11：フレームのVLANタグと一致するVLAN IDを入力します。

ステップ12:（オプション）ACE基準に802.1p値を含めるには、[802.1p]フィールドの[含む]をオンにします。802.1pには、テクノロジークラス(CoS)が含まれます。 CoSは、トラフィックの差別化に使用されるイーサネットフレームの3ビットフィールドです。

ステップ13:802.1p値が含まれている場合は、次のフィールドに入力します。

[802.1p値(802.1p Value)]：照合する802.1p値を入力します。802.1pは、レイヤ2スイッチにトラフィックの優先順位付けとダイナミックマルチキャストフィルタリングの実行を許可する仕様です。
802.1p Mask:802.1p値のワイルドカードマスクを入力します。このワイルドカードマスクは、802.1p値の範囲を定義するために使用されます。

ステップ14：一致させるフレームのEthertypeを入力します。Ethertypeは、フレームのペイロードに使用されるプロトコルを示すために使用される、イーサネットフレームの2つのオクテットフィールドです。

ステップ15:[Apply]をクリックします。ACEが作成されます。この例では、作成されたACEは、定義された送信元MACアドレスから送信されるすべての宛先アドレスへのトラフィックを拒否します。