mac access-group
イーサネットインタフェースまたはVLANインタフェースに対してMACアクセスリストを適用し,MACフィルタ機能を有効にします。装置当たり,ip access-group,ipv6 traffic-filterおよびmac access-groupをインタフェースに対して最大540リスト設定できます。
インタフェースへの設定数については,「■インタフェースへの設定数」を参照してください。
[入力形式]
- 情報の設定
-
mac access-group <access list name> {in | out}
- 情報の削除
-
no mac access-group <access list name> {in | out}
[入力モード]
(config-if)
[パラメータ]
- <access list name>
-
設定するMACフィルタの識別子を指定します。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
31文字以内の名前を指定します。
詳細は,「パラメータに指定できる値」を参照してください。
-
- {in | out}
-
InboundまたはOutboundを指定します。
in :Inbound(受信側の指定)
out:Outbound(送信側の指定)
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
なし
-
[コマンド省略時の動作]
なし
[通信への影響]
1エントリ以上を設定したアクセスリストをインタフェースに適用する場合,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信した全パケットが一時的に廃棄されます。
[設定値の反映契機]
設定値変更後,すぐに運用に反映されます。
[注意事項]
-
MACアクセスリストは同一インタフェースのInboundとOutboundに対して,それぞれ一つ適用できます。すでに設定されている場合,いったん削除してから設定することになります。
-
実在しないMACフィルタを設定した場合は何も動作しません。MACフィルタの識別子は登録されます。
-
受信側フロー検出モードによる設定の可否を次の表に示します。
表19‒18 受信側フロー検出モードによる設定の可否(MAC) 受信側フロー検出モード
設定の可否
イーサネット
VLAN
layer3-1
○
○
layer3-2
×
×
layer3-3
×
×
layer3-4
×
×
layer3-5
×
×
layer3-6
×
×
layer3-dhcp-1
×
×
(凡例) ○:設定可能 ×:設定不可
-
送信側フロー検出モードによる設定の可否を次の表に示します。
表19‒19 送信側フロー検出モードによる設定の可否(MAC) 送信側フロー検出モード
設定の可否
イーサネット
VLAN
layer3-1-out
×
×
layer3-2-out
○
×
layer3-3-out
×
○
(凡例) ○:設定可能 ×:設定不可
-
イーサネットインタフェースに対してMACフィルタを適用する場合は,フロー検出条件にVLANパラメータがあるとき,適用するイーサネットインタフェースの設定内容にVLAN IDが含まれていれば設定できます。
-
VLANインタフェースに対してMACフィルタを適用する場合は,フロー検出条件にVLANパラメータがないときに設定できます。
-
フロー検出条件にVLANパラメータがあるアクセスリストをOutboundに設定する場合は,装置のイーサネットインタフェースに対してトンネリングポートの設定が一つもないときに設定できます。
-
フロー検出条件にVLANパラメータがあるアクセスリストをOutboundに設定する場合は,該当インタフェースに対してTag変換の設定がないときに設定できます。
-
アクセスリストをVLANインタフェースのOutboundに設定する場合,VLANインタフェースに含まれているイーサネットインタフェースに設定されているTag変換の設定が一つもないときに設定できます。
[関連コマンド]
mac access-list extended