mac access-group
イーサネットインタフェースまたはVLANインタフェースに対してMACアクセスリストを適用し,MACフィルタ機能を有効にします。装置当たり,ip access-group,ipv6 traffic-filterおよびmac access-groupをインタフェースに対して最大540リスト設定できます。
インタフェースへの設定数については,「■インタフェースへの設定数」を参照してください。
[入力形式]
- 情報の設定
-
mac access-group <access list name> {in | out | in-mirror}
- 情報の削除
-
no mac access-group <access list name> {in | out | in-mirror}
[入力モード]
- (config-if)
-
イーサネットインタフェース,VLANインタフェース
[パラメータ]
- <access list name>
-
設定するMACフィルタの識別子を指定します。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
31文字以内の名前を指定します。
詳細は,「パラメータに指定できる値」を参照してください。
-
- {in | out | in-mirror}
-
フィルタのInboundかOutbound,またはポリシーベースミラーリングのInboundを指定します。
in :フィルタのInbound(受信側の指定)
out:フィルタのOutbound(送信側の指定)
in-mirror :ポリシーベースミラーリングのInbound(受信側の指定)
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
なし
-
[コマンド省略時の動作]
なし
[通信への影響]
1エントリ以上を設定したアクセスリストをインタフェースに適用する場合,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信した全パケットが一時的に廃棄されます。
[設定値の反映契機]
設定値変更後,すぐに運用に反映されます。
[注意事項]
-
MACアクセスリストは同一インタフェースで,InboundとOutboundのフィルタ,およびInboundのポリシーベースミラーリングを一つずつ適用できます。すでに設定されている場合は,いったん削除してから設定することになります。
-
実在しないMACフィルタを設定した場合は何も動作しません。MACフィルタの識別子は登録されます。
-
イーサネットインタフェースに対してMACフィルタを適用する場合は,switchport mode stackコマンドが設定されていないイーサネットインタフェースに適用できます。
-
イーサネットインタフェースに対してMACフィルタを適用する場合は,フロー検出条件にVLANパラメータがあるとき,適用するイーサネットインタフェースの設定内容にVLAN IDが含まれていれば設定できます。
-
VLANインタフェースに対してMACフィルタを適用する場合は,フロー検出条件にVLANパラメータがないときに設定できます。
-
フロー検出条件にVLANパラメータがあるアクセスリストを送信側に設定する場合は,装置のイーサネットインタフェースに対してトンネリングポートの設定が一つもないときに設定できます。
-
アクセスリストをVLANインタフェースの送信側に設定する場合,装置のイーサネットインタフェースに対してトンネリングポートの設定が一つもないときに設定できます。
-
フロー検出条件にVLANパラメータがあるアクセスリストを送信側に設定する場合は,該当インタフェースに対してTag変換の設定がないときに設定できます。
-
アクセスリストをVLANインタフェースの送信側に設定する場合,VLANインタフェースに含まれているイーサネットインタフェースに設定されているTag変換の設定が一つもないときに設定できます。
-
policy-mirror-listパラメータを指定したアクセスリストをフィルタに適用した場合,policy-mirror-listパラメータの指定は無効となります。
[関連コマンド]
mac access-list extended