Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: M コマンド
M コマンド
mac access-list
Mac Access Control List(ACL; アクセス コントロール リスト)を作成するか、または特定の ACL の MAC アクセス リスト コンフィギュレーション モードを開始するには、 mac access-list コマンドを使用します。MAC ACL を削除するには、このコマンドの no 形式を使用します。
mac access-list access-list-name
no mac access-list access-list-name
構文の説明
MAC ACL の名前。最大 64 文字で、大文字と小文字を区別した英数字で指定します。スペースまたは引用符は使用できません。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
非 IP トラフィックをフィルタリングするには、MAC ACL を使用します。パケットの分類をディセーブルにした場合は、MAC ACL を使用して、すべてのトラフィックをフィルタリングできます。
mac access-list コマンドを使用すると、MAC アクセス リスト コンフィギュレーション モードが開始されます。このモードで、MAC deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合は、このコマンドの入力時に新しい ACL が作成されます。
ACL をインターフェイスに適用するには、 mac port access-group コマンドを使用します。
すべての MAC ACL は、最終ルールとして、次の暗黙ルールが設定されます。
この暗黙ルールによって、デバイスは、トラフィックのレイヤ 2 ヘッダーに指定されているプロトコルに関係なく、不一致トラフィックを確実に拒否します。
MAC ACL の各ルールの統計情報を記録するには、 statistics per-entry コマンドを使用します。デバイスは、暗黙ルールの統計情報を記録しません。暗黙ルールに一致したパケットの統計情報を記録するには、パケットの deny(拒否)ルールを明示的に設定する必要があります。
例
次に、mac-acl-01 という MAC ACL の MAC アクセス リスト コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
mac packet-classify
レイヤ 2 インターフェイスの MAC パケット分類をイネーブルにするには、 mac packet-classify コマンドを使用します。MAC パケット分類をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
MAC パケット分類により、レイヤ 2 インターフェイス上の MAC ACL を、IP トラフィックなどインターフェイスに入るすべてのトラフィックに適用するか、非 IP トラフィックだけに適用するかを制御できます。
レイヤ 2 インターフェイス上で MAC パケット分類がイネーブルにされているとき、インターフェイス上の MAC ACL は、IP トラフィックを含む、インターフェイスに入るすべてのトラフィックに適用されます。また、インターフェイス上の IP ポート ACL は適用できません。
レイヤ 2 インターフェイス上で MAC パケット分類がディセーブルにされているとき、インターフェイス上の MAC ACL は、インターフェイスに入る非 IP トラフィックだけに適用されます。また、インターフェイス上の IP ポート ACL を適用できます。
例
次の例では、イーサネット インターフェイスがレイヤ 2 インターフェイスとして動作するよう設定し、MAC パケット分類をイネーブルにする方法を示します。
次に、MAC パケット分類がイネーブルのときに、インターフェイスに IP ポート ACL の適用を試行する場合に、表示されるイーサネット インターフェイスとエラー メッセージの設定を参照する方法を示します。
関連コマンド
|
|
|
|---|---|
mac port access-group
MAC アクセス コントロール リスト(ACL)をインターフェイスに適用するには、 mac port access-group コマンドを使用します。インターフェイスから MAC ACL を削除するには、このコマンドの no 形式を使用します。
mac port access-group access-list-name
no mac port access-group access-list-name
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、インターフェイスに MAC ACL は適用されません。
デバイス上にレイヤ 3 ヘッダーに基づくトラフィック分類が設定されていない場合を除き、MAC ACL は非 IP トラフィックに適用されます。パケット分類がディセーブルの場合は、MAC ACL がすべてのトラフィックに適用されます。
mac port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、MAC ACL をポート ACL として適用できます。
•
レイヤ 2 イーサネット ポート チャネル インターフェイス
MAC ACL を VLAN ACL として適用することもできます。詳細については、 match(VLAN アクセスマップ)の match(VLAN アクセスマップ)コマンドを参照してください。
MAC ACL が適用されるのは、インバウンド トラフィックだけです。MAC ACL が適用されると、パケットが ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
例
次に、イーサネット インターフェイス 2/1 に対して、mac-acl-01 という MAC ACL を適用する例を示します。
次に、イーサネット インターフェイス 2/1 から、mac-acl-01 という MAC ACL を削除する例を示します。
関連コマンド
|
|
|
|---|---|
match(クラスマップ)
コントロール プレーン クラス マップの一致基準を設定するには、 match コマンドを使用します。コントロール プレーン ポリシー マップの一致基準を削除するには、このコマンドの no 形式を使用します。
match access-group name access-list
match exception {[ ip | ipv6 ] { icmp { redirect | unreachable } | option }}
match redirect { arp-inspect | dhcp-snoop }
no match access-group name access-list
no match exception {[ ip | ipv6 ] { icmp { redirect | unreachable } | option }}
no match redirect { arp-inspect | dhcp-snoop }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン クラス マップの一致基準を指定する例を示します。
次に、コントロール プレーン クラス マップの一致基準を削除する例を示します。
関連コマンド
|
|
|
|---|---|
コントロール プレーン クラス マップを作成または指定して、クラス マップ コンフィギュレーション モードを開始します。 |
|
match(VLAN アクセスマップ)
VLAN アクセス マップ内のトラフィック フィルタリング用としてアクセス コントロール リスト(ACL)を指定するには、 match コマンドを使用します。VLAN アクセス マップから match コマンドを削除するには、このコマンドの no 形式を使用します。
match { ip | ipv6 | mac } address access-list-name
no match { ip | ipv6 | mac } address access-list-name
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
VLAN アクセス マップでは、1 つのエントリについて 1 つまたは複数の match コマンドを指定できます。
デフォルトでは、デバイスによりトラフィックが分類され、IPv4 トラフィックには IPv4 ACL が、IPv6 トラフィックには IPv6 ACL が、その他のすべてのトラフィックには MAC ACL が適用されます。
例
次の例では、vlan-map-01 という名前の VLAN アクセス マップを作成し、それぞれに 2 つの match コマンドと 1 つの action コマンドがある 2 つのエントリを追加する方法を示します。
関連コマンド
|
|
|
|---|---|
monitor session
インターフェイスまたは VLAN 上のトラフィックを選択的にモニタするため、アクセス コントロール リスト(ACL)キャプチャ セッションを設定するには、monitor session コマンドを使用します。
monitor session session type acl-capture
構文の説明
デフォルト
コマンド モード
コマンド履歴
コマンド履歴network-admin
vdc-admin
|
|
|
使用上のガイドライン
例
次に、ACL キャプチャ セッションを設定する例を示します。
|
|
|
|---|---|
すべての仮想デバイス コンテキスト(VDC)上でアクセス コントロール リスト(ACL)のキャプチャをイネーブルにします。 |
|
フィードバック