ACL

ACL

1. 機能概要

アクセスリスト(ACL)とは、フレームの許可・拒否を決めるための条件文のことです。
インターフェースに対してアクセスリストを適用すると、許可したフレームのみを転送し、拒否したフレームを破棄します。
これにより、特定のフレームのみを転送対象とすることができるため、主にセキュリティを確保するために使用されます。
本製品では、アクセスリストとして下表に示す3種類をサポートします。

  • アクセスリストの種類

    アクセスリストの
    種類
    判断基準 アクセスリストID 用 途

    IPv4
    アクセスリスト

    送信元IPv4アドレス
    宛先IPv4アドレス
    IPプロトコル種別

    1~2000

    特定のホスト、ネットワークからのアクセスをフィルタリングします。また、TCP/UDPなどのIPプロトコル種別を特定してフィルタリングします。

    IPv6
    アクセスリスト

    送信元IPv6アドレス

    3001~4000

    特定のホスト、ネットワークからのアクセスをフィルタリングします。

    MAC
    アクセスリスト

    送信元MACアドレス
    宛先MACアドレス

    2001~3000

    特定のデバイスからのアクセス、転送に対してフィルタリングします。

2. 用語の定義

ACL

Access Control List の略。

ワイルドカードマスク

指定したIPv4アドレス, MACアドレスのどこを読み取るかを指定した情報です。ACLの条件で IPv4アドレス, MACアドレスの範囲を指定する際に使用 します。

  • ワイルドカードマスクのビットが "0" の場合 : 該当ビットをチェックします

  • ワイルドカードマスクのビットが "1" の場合 : 該当ビットをチェックしません

ワイルドカードマスクを使用した設定例を以下に示します。 (下線部分がワイルドカードマスク)

  • サブネット 192.168.1.0/24 に対して条件を指定する場合 : 192.168.1.0 0.0.0.255 (10進で指定)

  • ベンダーコード 00-A0-DE---* に対して条件を指定する場合: 00A0.DE00.0000 0000.00FF.FFFF (16進で指定)

3. 機能詳細

3.1. アクセスリストの生成

アクセスリストは、各アクセスリストのID数の分、生成することができます。 ( 1 機能概要 の表を参照ください)
アクセスリストは、1つのリストに対して制御条件を 最大で256件 登録することができます。
登録した制御条件を満たさなかった場合、通常どおり転送処理されます。

3.2. インターフェースへの適用

本製品の入力 (in) / 出力 (out) インターフェースに対するアクセスリストの適用状況は、下表のようになっています。
なお、インターフェースに対して適用可能なアクセスリストは、in / out それぞれに対して 1つ となっています。

  • インターフェースに対するアクセスリストの適用状況

    アクセスリストの種類

    LAN/SFPポート

    VLANインターフェース

    スタティック/LACP論理インターフェース

    in

    out

    in

    out

    in

    out

    IPv4アクセスリスト

    ○(*)

    ○(*)

    ×

    IPv6アクセスリスト

    ×

    MACアクセスリスト

    ×

    ×

    ×

    (*)制約事項として、ポート番号範囲を指定したIPv4アクセスリストは、インターフェースの出力 (out) 側に適用できません。

インターフェースに適用できるアクセスリストの数は、アクセスリストに登録されている制御条件の数に依存します。
本製品では、インターフェースに対して制御条件を 最大で512個 登録することができます。
インターフェースにアクセスリストを適用させると "アクセスリストに登録されている制御条件の数だけ" リソースを消費します。

ただし、システム内部でも制御条件を使用する場合があり、この時もリソースを消費します。

3.3. LAN/SFPポートおよび論理インターフェースに対する設定

LAN/SFPポートおよび論理インターフェースにアクセスリストを適用させる場合の手順について、以下に示します。

  1. フィルタリング条件を決め、アクセスリストを生成します。

    • 必要に応じて、説明文を追加してください。

  2. アクセスリストを確認します。

  3. LAN/SFPポートおよび論理インターフェースにアクセスリストを適用します。

  4. 適用したアクセスリストを確認します。

以下に操作コマンドの一覧を示します。

  • アクセスリスト操作コマンド (LAN/SFPポートおよび論理インターフェース適用時)

    アクセスリストの
    種類
    アクセスリストの
    生成
    アクセスリストの
    確認
    アクセスリストの
    適用
    適用アクセスリストの
    確認

    IPv4アクセスリスト

    access-list

    show access-list

    access-group

    show access-group

    IPv6アクセスリスト

    access-list

    show access-list

    access-group

    show access-group

    MACアクセスリスト

    access-list

    show access-list

    access-group

    show access-group

3.4. VLANインターフェースに対する設定

VLANインターフェースにアクセスリストを適用させる場合の手順について、以下に示します。

  1. フィルタリング条件を決め、アクセスリストを生成します。

    • 必要に応じて、説明文を追加してください。

  2. アクセスリストを確認します。

  3. VLANアクセスマップを生成します。

  4. VLANアクセスマップにアクセスリストを設定します。

  5. VLANアクセスマップを確認します。

  6. VLAN アクセスマップを VLAN に適用します。

  7. 適用したVLANアクセスマップを確認します。

1. 2. の操作については、3.2 に示した操作と同じになります。
以下に 3. 以降の操作コマンドの一覧を示します。

  • VLANアクセスマップ操作コマンド

    アクセスリストの
    種類
    VLANアクセスマップの
    生成
    VLANアクセスマップへの
    アクセスリストの設定
    VLANアクセスマップ
    確認
    VLANアクセスマップの
    適用
    適用した
    VLANアクセスマップの
    確認

    IPv4アクセスリスト

    vlan access-map

    match access-list

    show vlan access-map

    vlan filter

    show vlan filter

    IPv6アクセスリスト

    vlan access-map

    match access-list

    show vlan access-map

    vlan filter

    show vlan filter

    MACアクセスリスト

    vlan access-map

    match access-list

    show vlan access-map

    vlan filter

    show vlan filter

4. 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。

操作項目 操作コマンド

IPv4アクセスリストの適用

access-group

IPv4アクセスリストの生成

access-list

IPv4アクセスリストの説明文追加

access-list description

IPv4アクセスリストの適用

access-group

IPv6アクセスリストの生成

access-list

IPv6アクセスリストの説明文追加

access-list description

IPv6アクセスリストの適用

access-group

MACアクセスリストの生成

access-list

MACアクセスリストの説明文追加

access-list description

MACアクセスリストの適用

access-group

生成したアクセスリストの表示

show access-list

インターフェースに適用したアクセスリストの表示

show access-group

VLANアクセスマップの作成

vlan access-map

VLANアクセスマップへの条件設定

match

VLANアクセスマップのVLANへの割り当て

vlan filter

VLANアクセスマップの表示

show vlan access-map

VLANアクセスマップフィルタの表示

show vlan filter

5. コマンド実行例

5.1. IPv4アクセスリストの設定

5.1.1. LANポートへの適用例

■ホスト指定

LANポート #1 に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの説明文 IPV4-ACL-EX を追加します。

  1. アクセスリスト #123 を生成し、確認します。

    Yamaha(config)#access-list 123 permit any host 192.168.1.1 host 10.1.1.1 (1)
    Yamaha(config)#access-list 123 deny any any any
    Yamaha(config)#access-list 123 description IPV4-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123 (3)
    IPv4 access list 123
        10 permit any host 192.168.1.1 host 10.1.1.1
        20 deny any any any
    Yamaha#
    1 アクセスリストの生成
    2 アクセスリストの説明文追加
    3 アクセスリストの確認
  2. LANポート #1アクセスリスト #123 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 123 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : IPv4 access group 123 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
上記設定に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスを許可する設定を削除し、ホスト: 192.168.1.1 から ホスト: 10.1.1.2 へのアクセスを許可する設定を追加します。

  1. LANポート #1 から アクセスリスト #123 の適用を一旦解除します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#no access-group 123 in (1)
    1 アクセスリストの適用解除
  2. アクセスリスト #123 に設定の削除と追加を行い、確認します。

    Yamaha(config)#no access-list 123 10 (1)
    Yamaha(config)#access-list 123 10 permit any host 192.168.1.1 host 10.1.1.2 (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123 (3)
    IPv4 access list 123
        10 permit any host 192.168.1.1 host 10.1.1.2
        20 deny any any any
    1 アクセスリストから削除
    2 アクセスリストに追加
    3 アクセスリストの確認
  3. LANポート #1アクセスリスト #123 を再度適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 123 in (1)
    1 アクセスリストの適用

■ネットワーク指定

LANポート #1 に対して、ネットワーク: 192.168.1.0/24 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの説明文 IPV4-ACL-EX を追加します。

  1. アクセスリスト #123 を生成し、確認します。

    Yamaha(config)#access-list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1 (1)
    Yamaha(config)#access-list 123 deny any any any
    Yamaha(config)#access-list 123 description IPV4-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show ip access-list (3)
    IPv4 access list 123
        10 permit any 192.168.1.0/24 host 10.1.1.1
        20 deny any any any
    Yamaha#
    1 アクセスリストの生成
    2 アクセスリストの説明文追加
    3 ACLの確認
  2. LANポート #1アクセスリスト #123 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 123 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : IPv4 access group 123 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、ホスト指定の場合と同様です。

5.1.2. VLANインターフェースへの適用例

■ホスト指定

VLAN #1000 に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とします。
使用するVLANアクセスマップは、 VAM-002 とし、 アクセスリスト #123 を設定します。

  1. アクセスリスト #123 を生成し、確認します。

    Yamaha(config)#access-list 123 permit any host 192.168.1.1 host 10.1.1.1 (1)
    Yamaha(config)#access-list 123 deny any any any
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123 (2)
    IPv4 access list 123
        10 permit any host 192.168.1.1 host 10.1.1.1
        20 deny any any any
    1 アクセスリストの生成
    2 アクセスリストの確認
  2. VLANアクセスマップ VAM-002 を生成し、 アクセスリスト #123 を設定します。

    Yamaha(config)#vlan access-map VAM-002 (1)
    Yamaha(config-vlan-access-map)#match access-list 123 (2)
    Yamaha(config-vlan-access-map)#end
    Yamaha#
    Yamaha#show vlan access-map (3)
    Vlan access-map VAM-002
        match ipv4 access-list 123
    1 VLANアクセスマップの生成
    2 アクセスリストの登録
    3 VLANアクセスマップとアクセスリストの設定を確認
  3. VLAN #1000VLANアクセスマップ VAM-002 を適用し、状態を確認します。

    Yamaha(config)#vlan filter VAM-002 1000 in (1)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show vlan filter (2)
    Vlan filter VAM-002 is applied to vlan 1000 in
    1 VLANにVLANアクセスマップを適用
    2 VLANアクセスマップの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
上記設定に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスを許可する設定を削除し、ホスト: 192.168.1.1 から ホスト: 10.1.1.2 へのアクセスを許可する設定を追加します。

  1. VLAN #1000 から VLANアクセスマップ VAM-002 の適用を一旦解除します。

    Yamaha(config)#no vlan filter VAM-002 1000 in (1)
    1 VLANからVLANアクセスマップの適用解除
  2. VLANアクセスマップ VAM-002 から、 アクセスリスト #123 の設定を一旦解除します。

    Yamaha(config)#vlan access-map VAM-002 (1)
    Yamaha(config-vlan-access-map)#no match access-list 123 (2)
    1 VLANアクセスマップの変更
    2 アクセスリストの登録解除
  3. アクセスリスト #123 に設定の削除と追加を行い、確認します。

    Yamaha(config)#no access-list 123 10 (1)
    Yamaha(config)#access-list 123 10 permit any host 192.168.1.1 host 10.1.1.2 (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123 (3)
    IPv4 access list 123
        10 permit any host 192.168.1.1 host 10.1.1.2
        20 deny any any any
    1 アクセスリストから削除
    2 アクセスリストに追加
    3 アクセスリストの確認
  4. VLANアクセスマップ VAM-002 に、 アクセスリスト #123 を再設定します。

    Yamaha(config)#vlan access-map VAM-002 (1)
    Yamaha(config-vlan-access-map)#match access-list 123 (2)
    1 VLANアクセスマップの変更
    2 アクセスリストの登録
  5. VLAN #1000VLANアクセスマップ VAM-002 を再度適用します。

    Yamaha(config)#vlan filter VAM-002 1000 in (1)
    1 VLANにVLANアクセスマップを適用

■ネットワーク指定

VLAN #1000 に対して、ネットワーク: 192.168.1.0/24 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とします。
使用するVLANアクセスマップは、 VAM-002 とし、 アクセスリスト #123 を設定します。

  1. アクセスリスト #123 を生成し、確認します。

    Yamaha(config)#access-list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1 (1)
    Yamaha(config)#access-list 123 deny any any any
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123 (2)
    IPv4 access list 123
        10 permit any 192.168.1.0/24 host 10.1.1.1
        20 deny any any any
    1 アクセスリストの生成
    2 アクセスリストの確認
  2. VLANアクセスマップ VAM-002 を生成し、 アクセスリスト #123 を設定します。

    Yamaha(config)#vlan access-map VAM-002 (1)
    Yamaha(config-vlan-access-map)#match access-list 123 (2)
    Yamaha(config-vlan-access-map)#end
    Yamaha#
    Yamaha#show vlan access-map (3)
    Vlan access-map VAM-002
        match ipv4 access-list 123
    1 VLANアクセスマップの生成
    2 アクセスリストの登録
    3 VLANアクセスマップとアクセスリストの設定を確認
  3. VLAN #1000VLANアクセスマップ VAM-002 を適用し、状態を確認します。

    Yamaha(config)#vlan filter VAM-002 1000 in (1)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show vlan filter (2)
    Vlan filter VAM-002 is applied to vlan 1000 in
    1 VLANにVLANアクセスマップを適用
    2 VLANアクセスマップの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、ホスト指定の場合と同様です。

5.1.3. 片方向からのTCP通信のみ許可する (TCPフラグの使用例)

VLAN10 と VLAN20 がありTCPの片方向通信制御を実現します。

  • VLAN10 → VLAN20 は Telnet 等による通信が可能

  • VLAN20 → VLAN10 は Telnet 等による通信は不可

  1. アクセスリスト #1 を生成します。
    ACK または RST フラグが立っているIPv4 TCPパケットのみを許可するように設定します。

    Yamaha(config)#access-list 1 permit tcp any any ack (1)
    Yamaha(config)#access-list 1 permit tcp any any rst
    Yamaha(config)#access-list 1 deny any any any
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list (2)
    IPv4 access list 1
        10 permit tcp any any ack
        20 permit tcp any any rst
        30 deny any any any
    1 アクセスリストの設定
    2 アクセスリストの設定確認
  2. VLANアクセスマップ VAM-ESTABLISHED を生成し、 アクセスリスト #1 を設定します。

    Yamaha(config)#vlan access-map VAM-ESTABLISHED (1)
    Yamaha(config-vlan-access-map)#match access-list 1 (2)
    Yamaha(config-vlan-access-map)#end
    Yamaha#
    Yamaha#show vlan access-map (3)
    Vlan access-map VAM-ESTABLISHED
        match ipv4 access-list 1
    1 VLANアクセスマップの生成
    2 アクセスリストの登録
    3 VLANアクセスマップの設定確認
  3. VLAN #20VLANアクセスマップ VAM-ESTABLISHED を適用します。

    Yamaha(config)#vlan filter VAM-ESTABLISHED 20 in (1)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show vlan filter (2)
    Vlan filter VAM-ESTABLISHED is applied to vlan 20 in
    1 VLANにVLANアクセスマップを適用
    2 VLANへの適用状態の確認

5.2. IPv6アクセスリストの設定

5.2.1. LANポートへの適用例

■ホスト指定

LANポート #1 に対して、ホスト: 2001:db8::1 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの説明文 IPV6-ACL-EX を追加します。

  1. アクセスリスト #3001 を生成し、確認します。

    Yamaha(config)#access-list 3001 permit 2001:db8::1/128 (1)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#access-list 3001 description IPV6-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 3001 (3)
    IPv6 access list 3001
        10 permit 2001:db8::1/128
        20 deny any
    1 アクセスリストの生成
    2 アクセスリストの説明文追加
    3 アクセスリストの確認
  2. LANポート #1アクセスリスト #3001 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 3000 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : IPv6 access group 3001 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定LANポートへの適用例 を参考にしてください。

■ネットワーク指定

LANポート #1 に対して、ネットワーク: 2001:db8::/64 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの説明文 IPV6-ACL-EX を追加します。

  1. アクセスリスト #3001 を生成し、確認します。

    Yamaha(config)#access-list 3001 permit 2001:db8::/64 (1)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#access-list 3001 description IPV6-ACL-EX (2)
    Yamaha(config)#end
    
    Yamaha# show access-list 3001 (3)
    IPv6 access list 3001
        10 permit 2001:db8::/64
        20 deny any
    1 アクセスリストの生成
    2 アクセスリストの説明文追加
    3 アクセスリストの確認
  2. LANポート #1アクセスリスト #3001 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 3001 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : IPv6 access group 3001 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定LANポートへの適用例 を参考にしてください。

5.2.2. VLANインターフェースへの適用例

■ホスト指定

VLAN #1000 に対して、ホスト: 2001:db8::1 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #3001 を設定します。

  1. アクセスリスト #3001 を生成し、確認します。

    Yamaha(config)#access-list 3001 permit 2001:db8::1/128 (1)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 3001 (2)
    IPv6 access list 3001
        10 permit 2001:db8::1/128
        20 deny any
    1 アクセスリストの生成
    2 アクセスリストの確認
  2. VLANアクセスマップ VAM-001 を生成し、 アクセスリスト #3001 を設定します。

    Yamaha(config)#vlan access-map VAM-001 (1)
    Yamaha(config-vlan-access-map)#match access-list 3001 (2)
    Yamaha(config-vlan-access-map)#end
    Yamaha#
    Yamaha#show vlan access-map (3)
    Vlan access-map VAM-001
        match ipv6 access-list 3001
    1 VLANアクセスマップの生成
    2 アクセスリストの設定
    3 VLANアクセスマップとアクセスリストの設定を確認
  3. VLAN #1000VLANアクセスマップ VAM-001 を適用し、状態を確認します。

    Yamaha(config)#vlan filter VAM-001 1000 in (1)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show vlan filter (2)
    Vlan filter VAM-001 is applied to vlan 1000 in
    1 VLANにVLANアクセスマップを適用
    2 VLANアクセスマップの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定VLANインターフェースへの適用例 を参考にしてください。

■ネットワーク指定

VLAN #1000 に対して、ネットワーク: 2001:db8::/64 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #3001 を設定します。

  1. アクセスリスト #2 を生成し、確認します。

    Yamaha(config)#access-list 3001 permit 2001:db8::/64 (1)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 3001 (2)
    IPv6 access list 3001
        10 permit 2001:db8::/64
        20 deny any
    1 アクセスリストの生成
    2 アクセスリストの確認
  2. VLANアクセスマップ VAM-001 を生成し、 アクセスリスト #3001 を設定します。

    Yamaha(config)#vlan access-map VAM-001 (1)
    Yamaha(config-vlan-access-map)#match access-list 3001 (2)
    Yamaha(config-vlan-access-map)#end
    Yamaha#
    Yamaha#show vlan access-map (3)
    Vlan access-map VAM-001
        match ipv6 access-list 3001
    1 VLANアクセスマップの生成
    2 アクセスリストの設定
    3 VLANアクセスマップとアクセスリストの設定を確認
  3. VLAN #1000VLANアクセスマップ VAM-001 を適用し、状態を確認します。

    Yamaha(config)#vlan filter VAM-001 1000 in (1)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show vlan filter (2)
    Vlan filter VAM-001 is applied to vlan 1000 in
    1 VLANにVLANアクセスマップを適用
    2 VLANアクセスマップの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定VLANインターフェースへの適用例 を参考にしてください。

5.3. MACアクセスリストの設定

5.3.1. LANポートへの適用例

■ホスト指定

LANポート #1 に対して、ホスト: 00-A0-DE-12-34-56 からのアクセスのみを拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの説明文 MAC-ACL-EX を追加します。

  1. アクセスリスト #2001 を生成し、確認します。

    Yamaha(config)#access-list 2001 deny host 00a0.de12.3456 any (1)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 2001 (3)
    MAC access list 2001
        10 deny host 00A0.DE12.3456 any
    1 アクセスリストの生成
    2 アクセスリストの説明文追加
    3 アクセスリストの確認
  2. LANポート #1アクセスリスト #2001 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 2001 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : MAC access group 2001 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定LANポートへの適用例 を参考にしてください。

■ベンダー指定

LANポート #1 に対して、ベンダーコード: 00-A0-DE---* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのアクセスのみを拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの説明文 MAC-ACL-EX を追加します。

  1. アクセスリスト #2001 を生成し、確認します。

    Yamaha(config)#access-list 2001 deny 00a0.de00.0000 0000.00ff.ffff any (1)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 2001 (3)
    MAC access list 2001
        10 deny 00A0.DE00.0000 0000.00FF.FFFF any
    1 アクセスリストの生成
    2 アクセスリストの説明文追加
    3 アクセスリストの確認
  2. LANポート #1アクセスリスト #2001 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 2001 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : MAC access group 2001 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定LANポートへの適用例 を参考にしてください。

5.3.2. VLANインターフェースへの適用例

■ホスト指定

VLAN #1000 に対して、ホスト: 00-A0-DE-12-34-56 からのアクセスのみ拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの説明文 MAC-ACL-EX を追加します。
使用するVLANアクセスマップは、 VAM-003 とし、 アクセスリスト #2001 を設定します。

  1. アクセスリスト #2000 を生成し、確認します。

    Yamaha(config)#access-list 2001 deny host 00a0.de12.3456 any (1)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list (3)
    MAC access list 2001
        10 deny host 00A0.DE12.3456 any
    1 アクセスリスト #2001 の生成
    2 アクセスリストの説明文追加
    3 アクセスリストの確認
  2. VLANアクセスマップ VAM-003 を生成し、 アクセスリスト #2001 を設定します。

    Yamaha(config)# vlan access-map VAM-003 (1)
    Yamaha(config-vlan-access-map)# match access-list 2001 (2)
    Yamaha(config-vlan-access-map)# end
    Yamaha#
    Yamaha#show vlan access-map (3)
    Vlan access-map VAM-003
        match mac access-list 2001
    1 VLANアクセスマップの生成
    2 アクセスリストの登録
    3 VLANアクセスマップとアクセスリストの設定を確認
  3. VLAN #1000VLANアクセスマップ VAM-003 を適用し、状態を確認します。

    Yamaha(config)#vlan filter VAM-003 1000 in (1)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show vlan filter (2)
    Vlan filter VAM-003 is applied to vlan 1000 in
    1 VLANにVLANアクセスマップを適用
    2 VLANアクセスマップの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定VLANインターフェースへの適用例 を参考にしてください。

■ベンダー指定

VLAN #1000 に対して、ベンダーコード: 00-A0-DE---* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのアクセスのみを拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの説明文 MAC-ACL-EX を追加します。
使用するVLANアクセスマップは、 VAM-003 とし、 アクセスリスト #2001 を設定します。

  1. アクセスリスト #2001 を生成し、確認します。

    Yamaha(config)#access-list 2001 deny 00a0.de00.0000 0000.00ff.ffff any (1)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 2001 (3)
    MAC access list 2001
        10 deny 00A0.DE00.0000 0000.00FF.FFFF any
    1 アクセスリスト #2001 の生成
    2 アクセスリストの説明文追加
    3 アクセスリストの確認
  2. VLANアクセスマップ VAM-003 を生成し、 アクセスリスト #2001 を設定します。

    Yamaha(config)# vlan access-map VAM-003 (1)
    Yamaha(config-vlan-access-map)# match access-list 2001 (2)
    Yamaha(config-vlan-access-map)# end
    Yamaha#
    Yamaha#show vlan access-map (3)
    Vlan access-map VAM-003
        match mac access-list 2001
    1 VLANアクセスマップの生成
    2 アクセスリストの登録
    3 VLANアクセスマップとアクセスリストの設定を確認
  3. VLAN #1000VLANアクセスマップ VAM-003 を適用し、状態を確認します。

    Yamaha(config)#vlan filter VAM-003 1000 in (1)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show vlan filter (2)
    Vlan filter VAM-003 is applied to vlan 1000 in
    1 VLANにVLANアクセスマップを適用
    2 VLANアクセスマップの設定確認

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 IPv4アクセスリストの設定VLANインターフェースへの適用例 を参考にしてください。

6. 注意事項

  • 受信フレームに対するアクセスリストが設定されたLAN/SFPポートは論理インターフェースに所属できません。

  • インターフェースの受信フレームに対するアクセスリスト設定は、論理インターフェースに所属しているLAN/SFPポートに対して適用できません。ただし、スタートアップコンフィグ上に論理インターフェースに所属しているLAN/SFPポートの受信フレームに対するアクセスリスト設定がある場合、最若番ポートの設定が論理インターフェースに適用されます。

  • フラグメントパケットは正しく条件判定できない場合があります。具体的には、条件にレイヤー 4 の情報(送信元ポート番号、宛先ポート番号、TCP の各種フラグ)が含まれる場合、2 番目以降のフラグメントパケットにそれらの情報が含まれないため正しい判定ができません。フラグメントパケットを処理する可能性がある場合には条件にレイヤー 4 の情報を含めないようにしてください。