コンフィグレーションコマンドレファレンス Vol.2


deny(mac access-list extended)

MACフィルタでのアクセスを拒否する条件を指定します。

[入力形式]

情報の設定・変更
[<sequence>] deny <target flow> [<action specification>]
情報の削除
no <sequence>

<target flow>:

{<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | <destination mac name>} [<ethernet type>] [interface <interface type> <interface number>] [{untagged | [user-priority {<priority> | range <priority start> <priority end>}] [tag-vlan <tag vlan id>] [{inner-untagged | [inner-user-priority {<priority> | range <priority start> <priority end>}] [inner-tag-vlan <tag vlan id>]}]}]

<action specification>:

action log

[入力モード]

(config-ext-macl)

[パラメータ]

<sequence>

フロー検出条件の適用順序であるシーケンス番号を指定します。

  1. 本パラメータ省略時の初期値

    アクセスリスト内に条件がない場合,初期値は10です。

    条件を指定してある場合,指定してあるシーケンス番号の最大値+10です。

    ただし,シーケンス番号の最大値が4294967284より大きい値を指定した場合は省略できません。

  2. 値の設定範囲

    1〜4294967294(10進数)を指定します。

<target flow>パラメータ
{<source mac> <source mac mask> | host <source mac> | any}

送信元MACアドレスを指定します。

host <source mac>を指定すると,<source mac>の完全一致をフロー検出条件とします。

すべての送信元MACアドレスを指定する場合はanyを指定します。anyを指定すると,送信元MACアドレスをフロー検出条件とはしません。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    <source mac>には送信元MACアドレスを指定します。

    <source mac mask>にはMACアドレスの中で任意の値を許可するビットを立てたマスクをMACアドレス形式で指定します。

    MACアドレス(nnnn.nnnn.nnnn):0000.0000.0000〜ffff.ffff.ffff(16進数)

{<destination mac> <destination mac mask> | host <destination mac> | any | <destination mac name>}

宛先MACアドレスを指定します。

host <destination mac>を指定すると,<destination mac>の完全一致をフロー検出条件とします。

すべての宛先MACアドレスを指定する場合はanyを指定します。anyを指定すると,宛先MACアドレスをフロー検出条件とはしません。

  1. 本パラメータ省略時の初期値

    省略できません

  2. 値の設定範囲

    <destination mac>には宛先MACアドレスを指定します。

    <destination mac mask>にはMACアドレスの中で任意の値を許可するビットを立てたマスクをMACアドレス形式で指定します。

    <destination mac name>には宛先MACアドレス名称を指定します。指定できる宛先MACアドレス名称は「表7‒11 指定可能な宛先MACアドレス名称」を参照してください。

    MACアドレス(nnnn.nnnn.nnnn):0000.0000.0000〜ffff.ffff.ffff(16進数)

<ethernet type>

イーサネットタイプ値を指定します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0x0000〜0xffff(16進数)またはイーサネットタイプ名称を指定します。

    指定できるイーサネットタイプ名称は「表7‒10 指定可能なイーサネットタイプ名称」を参照してください。

interface <interface type> <interface number>

入出力フレームが属するインタフェースを指定します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    <interface type> <interface number>には,次に示すインタフェース種別グループに対応するインタフェース名およびインタフェース番号を指定できます。詳細は,「パラメータに指定できる値」の「■インタフェースの指定方法」を参照してください。

    ・イーサネットサブインタフェース

    ・ポートチャネルサブインタフェース

    ・VLANインタフェース

untagged

Untaggedフレームの検出を指定します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

user-priority {<priority> | range <priority start> <priority end>}

1段目のVLAN Tagのユーザ優先度を指定します。

rangeを指定すると,<priority start>から<priority end>の範囲をフロー検出条件とします。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜7(10進数)を指定します。

    <priority end>には<priority start>より大きいユーザ優先度を指定してください。

tag-vlan <tag vlan id>

1段目のVLAN TagのVLAN IDを指定します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜4095(10進数)を指定します。

inner-untagged

2段目のVLAN Tagがないパケットの検出を指定します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    なし

inner-user-priority {<priority> | range <priority start> <priority end>}

2段目のVLAN Tagのユーザ優先度を指定します。

rangeを指定すると,<priority start>から<priority end>の範囲をフロー検出条件とします。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜7(10進数)を指定します。

    <priority end>には<priority start>より大きいユーザ優先度を指定してください。

inner-tag-vlan <tag vlan id>

2段目のVLAN TagのVLAN IDを指定します。

  1. 本パラメータ省略時の初期値

    なし(検出条件としません)

  2. 値の設定範囲

    0〜4095(10進数)を指定します。

<action specification>パラメータ
action

フロー検出したパケットの動作を指定します。

<action specification>パラメータ全体の先頭に指定してください。

  1. 本パラメータ省略時の初期値

    なし(動作を指定しません)

  2. 値の設定範囲

    なし

log

指定したアクセスリストで廃棄したパケットをアクセスリストロギングの対象とします。

  1. 本パラメータ省略時の初期値

    なし(アクセスリストロギングを使用しません)

  2. 値の設定範囲

    なし

[コマンド省略時の動作]

なし

[通信への影響]

アクセスリストをインタフェースに適用した状態でエントリを変更すると,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信したパケットが一時的に廃棄される場合があります。

[設定値の反映契機]

設定値変更後,すぐに運用に反映されます。

[注意事項]

  1. 送信元アドレスおよび宛先アドレスにnnnn.nnnn.nnnn ffff.ffff.ffffと入力したときはanyと表示します。

  2. 宛先MACアドレスに宛先MACアドレス名称または宛先MACアドレス名称のアドレスを入力した場合は,宛先MACアドレス名称を表示します。

    上記以外の送信元アドレスおよび宛先アドレスにnnnn.nnnn.nnnn 0000.0000.0000と入力したときはhost nnnn.nnnn.nnnnと表示します。

[関連コマンド]

mac access-group
mac access-list resequence
permit (mac access-list extended)
remark