permit(mac access-list extended)
MACフィルタでのアクセスを許可する条件を指定します。
[入力形式]
- 情報の設定・変更
[<sequence>] permit <target flow> [<action specification>]
- 情報の削除
no <sequence>
<target flow>:
{<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any | <destination mac name>} [<ethernet type>] [interface <interface type> <interface number>] [{untagged | [user-priority {<priority> | range <priority start> <priority end>}] [tag-vlan <tag vlan id>] [{inner-untagged | [inner-user-priority {<priority> | range <priority start> <priority end>}] [inner-tag-vlan <tag vlan id>]}]}]
<action specification>:
action policy-mirror-list <destination interface list name>
[入力モード]
(config-ext-macl)
[パラメータ]
- <sequence>
-
フロー検出条件の適用順序であるシーケンス番号を指定します。
-
本パラメータ省略時の初期値
アクセスリスト内に条件がない場合,初期値は10です。
条件を指定してある場合,指定してあるシーケンス番号の最大値+10です。
ただし,シーケンス番号の最大値が4294967284より大きい値を指定した場合は省略できません。
-
値の設定範囲
1〜4294967294(10進数)を指定します。
-
- <target flow>パラメータ
-
- {<source mac> <source mac mask> | host <source mac> | any}
-
送信元MACアドレスを指定します。
host <source mac>を指定すると,<source mac>の完全一致をフロー検出条件とします。
すべての送信元MACアドレスを指定する場合はanyを指定します。anyを指定すると,送信元MACアドレスをフロー検出条件とはしません。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
<source mac>には送信元MACアドレスを指定します。
<source mac mask>にはMACアドレスの中で任意の値を許可するビットを立てたマスクをMACアドレス形式で指定します。
MACアドレス(nnnn.nnnn.nnnn):0000.0000.0000〜ffff.ffff.ffff(16進数)
-
- {<destination mac> <destination mac mask> | host <destination mac> | any | <destination mac name>}
-
宛先MACアドレスを指定します。
host <destination mac>を指定すると,<destination mac>の完全一致をフロー検出条件とします。
すべての宛先MACアドレスを指定する場合はanyを指定します。anyを指定すると,宛先MACアドレスをフロー検出条件とはしません。
-
本パラメータ省略時の初期値
省略できません
-
値の設定範囲
<destination mac>には宛先MACアドレスを指定します。
<destination mac mask>にはMACアドレスの中で任意の値を許可するビットを立てたマスクをMACアドレス形式で指定します。
<destination mac name>には宛先MACアドレス名称を指定します。指定できる宛先MACアドレス名称は「表7‒12 指定可能な宛先MACアドレス名称」を参照してください。
MACアドレス(nnnn.nnnn.nnnn):0000.0000.0000〜ffff.ffff.ffff(16進数)
-
- <ethernet type>
-
イーサネットタイプ値を指定します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0x0000〜0xffff(16進数)または,イーサネットタイプ名称を指定します。指定できるイーサネットタイプ名称は「表7‒11 指定可能なイーサネットタイプ名称」を参照してください。
-
- interface <interface type> <interface number>
-
入出力フレームが属するインタフェースを指定します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
<interface type> <interface number>には,次に示すインタフェース種別グループに対応するインタフェース名およびインタフェース番号を指定できます。詳細は,「パラメータに指定できる値」の「■インタフェースの指定方法」を参照してください。
・イーサネットサブインタフェース
・ポートチャネルサブインタフェース
・VLANインタフェース
-
- untagged
-
Untaggedフレームの検出を指定します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- user-priority {<priority> | range <priority start> <priority end>}
-
1段目のVLAN Tagのユーザ優先度を指定します。
rangeを指定すると,<priority start>から<priority end>の範囲をフロー検出条件とします。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜7(10進数)を指定します。
<priority end>には<priority start>より大きいユーザ優先度を指定してください。
-
- tag-vlan <tag vlan id>
-
1段目のVLAN TagのVLAN IDを指定します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜4095(10進数)を指定します。
-
- inner-untagged
-
2段目のVLAN Tagがないパケットの検出を指定します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
なし
-
- inner-user-priority {<priority> | range <priority start> <priority end>}
-
2段目のVLAN Tagのユーザ優先度を指定します。
rangeを指定すると,<priority start>から<priority end>の範囲をフロー検出条件とします。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜7(10進数)を指定します。
<priority end>には<priority start>より大きいユーザ優先度を指定してください。
-
- inner-tag-vlan <tag vlan id>
-
2段目のVLAN TagのVLAN IDを指定します。
-
本パラメータ省略時の初期値
なし(検出条件としません)
-
値の設定範囲
0〜4095(10進数)を指定します。
-
- <action specification>パラメータ
-
- action
-
フロー検出したパケットの動作を指定します。
<action specification>パラメータ全体の先頭に指定してください。
-
本パラメータ省略時の初期値
なし(動作を指定しません)
-
値の設定範囲
なし
-
- policy-mirror-list <destination interface list name>
-
ポリシーベースミラーリングの送信先インタフェースリスト名を指定します。
-
本パラメータ省略時の初期値
なし(ポリシーベースミラーリングを使用しません)
-
値の設定範囲
destination-interface-listコマンドで設定済みの送信先インタフェースリスト名を指定します。
-
[コマンド省略時の動作]
なし
[通信への影響]
アクセスリストをインタフェースに適用した状態でエントリを変更すると,エントリがインタフェースに適用されるまでの間,該当インタフェースで受信したパケットが一時的に廃棄される場合があります。
[設定値の反映契機]
設定値変更後,すぐに運用に反映されます。
[注意事項]
-
送信元アドレスおよび宛先アドレスにnnnn.nnnn.nnnn ffff.ffff.ffffと入力したときはanyと表示します。
-
宛先MACアドレスに宛先MACアドレス名称または宛先MACアドレス名称のアドレスを入力した場合は,宛先MACアドレス名称を表示します。
上記以外の送信元アドレスおよび宛先アドレスにnnnn.nnnn.nnnn 0000.0000.0000と入力したときはhost nnnn.nnnn.nnnnと表示します。
[関連コマンド]
mac access-group mac access-list resequence deny (mac access-list extended) remark destination-interface-list