Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: MAC ACL の設定
MAC ACL の設定
MAC ACL の概要
MAC ACL の前提条件
•
MAC ACL を設定するために、MAC アドレッシングおよびプロトコルに関する知識があること。
• 「ACL について」に記載されている内容を理解していること。
注意事項および制約事項
MAC ACL の設定に関する注意事項と制約事項は次のとおりです。
• ほとんどの場合、IP パケットの ACL 処理は、I/O モジュール上で実行されます。管理インターフェイス トラフィックは、常にスーパーバイザ モジュールで処理されます。この場合、速度は遅くなります。
デフォルト設定
表 10-1 に、MAC ACL のデフォルトを示します。
|
|
|
|---|---|
すべての ACL に暗黙ルールが適用されます(「暗黙のルール」を参照)。 |
MAC ACL の設定
MAC ACL の作成
MAC ACL を作成し、これにルールを追加するには、次の手順を実行します。また、ACL をポート プロファイルに追加する場合にも、次の手順を実行します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• また、ポートプロファイルに ACL も追加する場合は、次の事項がわかっていること。
– 既存のポート プロファイルを使用する場合は、『 Cisco Nexus 1000V Port Profile Configuration Guide, Release 4.2(1)SV1(5.1) 』に従ってすでにそのポート プロファイルを作成しており、名前を知っていること。
– 新しいポート プロファイルを作成する場合は、インターフェイス タイプ(イーサネットまたは vEthernet)およびそのプロファイルに付与する名前がわかっていること。
手順の概要
手順の詳細
MAC ACL の変更
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 既存の MAC ACL では、既存のルールを変更できません。
• 既存の MAC ACL 内で、ルールの追加または削除を実行できます。
• 既存のシーケンス番号の間にルールを追加する場合などに、シーケンス番号を再割り当てするには、 resequence コマンドを使用します。
手順の概要
3. [ sequence-number ] { permit | deny } source destination protocol
4. no { sequence-number | { permit | deny } source destination protocol }
手順の詳細
MAC ACL の削除
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• その ACL がインターフェイスに適用されているかどうかを確認します。
• 現在適用されている ACL を削除できます。ACL を削除しても、その ACL が適用されていたインターフェイスの設定は影響を受けません。削除された ACL は空であると見なされます。
• MAC ACL が設定されているインターフェイスを見つけるには、 show mac access-lists コマンドを summary キーワードとともに使用します。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
(任意)MAC ACL の設定を表示します。ACL がインターフェイスに引き続き適用されている場合は、インターフェイスが表示されます。 |
|
MAC ACL 内のシーケンス番号の変更
MAC ACL のルールに割り当てられているシーケンス番号を変更するには、次の手順を実行します。ACL にルールを挿入する必要がある場合で、シーケンス番号が不足しているときは、再割り当てすると便利です。詳細については、「MAC ACL 内のシーケンス番号の変更」を参照してください。
はじめる前に
手順の概要
2. resequence mac access-list name starting-sequence-number increment
手順の詳細
MAC ACL のポート ACL としての適用
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 適用する ACL が存在し、必要な方法でトラフィックをフィルタリングするように設定されていることを確認します。MAC ACL の設定の詳細については、「MAC ACL の設定」を参照してください。
• MAC ACL は、ポート プロファイルを使用してポートに適用することもできる。ポート プロファイルについては、『 Cisco Nexus 1000V Port Profile Configuration Guide, Release 4.2(1)SV1(5.1) 』を参照してください。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
MAC ACL のポート プロファイルへの追加
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 「MAC ACL の作成」に従ってこのポート プロファイルに追加する MAC ACL をすでに作成しており、名前を知っていること。
• 既存のポート プロファイルを使用する場合は、すでにそのポート プロファイルを作成しており、名前を知っていること。
• 新しいポート プロファイルを作成する場合は、インターフェイス タイプ(イーサネットまたは vEthernet)およびそのプロファイルに付与する名前がわかっていること。
• ポート プロファイルの詳細については、『 Cisco Nexus 1000V Port Profile Configuration Guide, Release 4.2(1)SV1(5.1) 』を参照してください。
手順の概要
2. port-profile [ type { ethernet | vethernet }] profile-name
3. mac port access-group name { in | out }
4. show port-profile [ brief | expand-interface | usage ] [ name profile-name]
手順の詳細
MAC ACL の設定の確認
次のコマンドを使用して、MAC ACL 設定を確認できます。
|
|
|
|---|---|
| 例 10-1(P.10-10) を参照してください。 |
|
MAC ACL、MAC ACL が適用されるインターフェイスなど、MAC ACL の設定を表示します。 例 10-2(P.10-10) を参照してください。 |
|
| 例 10-3(P.10-10) を参照してください。 |
例 10-2 show running-config aclmgr
例 10-3 show running-config interface
MAC ACL のモニタリング
MAC ACL のモニタリングには、次のコマンドを使用します。
|
|
|
|---|---|
MAC ACL の設定を表示します。MAC ACL に statistics per-entry コマンドが含まれている場合は、 show mac access-lists コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
|
MAC ACL の設定例
次に、MAC ACL acl-mac-01 を作成して任意のプロトコルの MAC 00c0.4f00.00.000.00ff.ffff を許可し、ACL を vEthernet インターフェイス 35 の発信トラフィックのポートとして適用する例を示します。
次に、ポート プロファイル AccessProf に MAC ACL allaccess4 を追加する例を示します。
その他の関連資料
MAC ACL の実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「標準」
関連資料
標準
|
|
|
|---|---|
MAC ACL 機能の履歴
|
|
|
|
|---|---|---|
フィードバック