ACL


1 機能概要

アクセスリスト(ACL)とは、フレームの許可・拒否を決めるための条件文のことです。
インターフェースに対してアクセスリストを適用すると、許可したフレームのみを転送し、拒否したフレームを破棄します。
これにより、特定のフレームのみを転送対象とすることができるため、主にセキュリティを確保するために使用されます。
本製品では、アクセスリストとして下表に示す3種類をサポートします。



2 用語の定義

ACL

Access Control List の略。


ワイルドカードマスク

指定したIPv4アドレス, MACアドレスのどこを読み取るかを指定した情報です。ACLの条件で IPv4アドレス, MACアドレスの範囲を指定する際に使用 します。

ワイルドカードマスクを使用した設定例を以下に示します。 (下線部分がワイルドカードマスク)


3 機能詳細

3.1 アクセスリストの生成

アクセスリストは、各アクセスリストのID数の分、生成することができます。 ( 1 機能概要 の表を参照ください)
アクセスリストは、1つのリストに対して制御条件を 最大で768件 登録することができます。
登録した制御条件を満たさなかった場合、通常どおり転送処理されます。

3.2 インターフェースへの適用

本製品の入力 (in) / 出力 (out) インターフェースに対するアクセスリストの適用状況は、下表のようになっています。
なお、インターフェースに対して適用可能なアクセスリストは、in / out それぞれに対して 1つ となっています。

(*)制約事項として、ポート番号範囲を指定したIPv4アクセスリストは、インターフェースの出力 (out) 側に適用できません。

インターフェースに適用できるアクセスリストの数は、アクセスリストに登録されている制御条件の数に依存します。
本製品では、インターフェースに対して制御条件を 最大で1536個 登録することができます。
インターフェースにアクセスリストを適用させると "アクセスリストに登録されている制御条件の数だけ" リソースを消費します。

ただし、システム内部でも制御条件を使用する場合があり、この時もリソースを消費します。


3.3 LAN/SFPポートおよび論理インターフェースに対する設定

LAN/SFPポートおよび論理インターフェースにアクセスリストを適用させる場合の手順について、以下に示します。

  1. フィルタリング条件を決め、アクセスリストを生成します。
  2. アクセスリストを確認します。
  3. LAN/SFPポートおよび論理インターフェースにアクセスリストを適用します。
  4. 適用したアクセスリストを確認します。


以下に操作コマンドの一覧を示します。


3.4 VLANインターフェースに対する設定

VLANインターフェースにアクセスリストを適用させる場合の手順について、以下に示します。

  1. フィルタリング条件を決め、アクセスリストを生成します。
  2. アクセスリストを確認します。
  3. VLANアクセスマップを生成します。
  4. VLANアクセスマップにアクセスリストを設定します。
  5. VLANアクセスマップを確認します。
  6. VLAN アクセスマップを VLAN に適用します。
  7. 適用したVLANアクセスマップを確認します。


1. 2. の操作については、3.2 に示した操作と同じになります。
以下に 3. 以降の操作コマンドの一覧を示します。



4 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。



5 コマンド実行例

5.1 IPv4アクセスリストの設定

5.1.1 LANポートへの適用例

■ホスト指定

LANポート #1 に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を IPV4-ACL-EX を追加します。

  1. アクセスリスト #123 を生成し、確認します。
    Yamaha(config)#access-list 123 permit any host 192.168.1.1 host 10.1.1.1   ... (アクセスリストの生成)
    Yamaha(config)#access-list 123 deny any any any
    Yamaha(config)#access-list 123 description IPV4-ACL-EX                     ... (アクセスリストに名前を付ける)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123 ... (アクセスリストの確認)
    IPv4 access list 123
        10 permit any host 192.168.1.1 host 10.1.1.1
        20 deny any any any
    Yamaha#
    
  2. LANポート #1アクセスリスト #123 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 123 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : IPv4 access group 123 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
上記設定に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスを許可する設定を削除し、ホスト: 192.168.1.1 から ホスト: 10.1.1.2 へのアクセスを許可する設定を追加します。

  1. LANポート #1 から アクセスリスト #123 の適用を一旦解除します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#no access-group 123 in   ... (アクセスリストの適用解除)
    
  2. アクセスリスト #123 に設定の削除と追加を行い、確認します。
    Yamaha(config)#no access-list 123 10                                          ... (アクセスリストから削除)
    Yamaha(config)#access-list 123 10 permit any host 192.168.1.1 host 10.1.1.2   ... (アクセスリストに追加)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123   ... (アクセスリストの確認)
    IPv4 access list 123
        10 permit any host 192.168.1.1 host 10.1.1.2
        20 deny any any any
    
  3. LANポート #1アクセスリスト #123 を再度適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 123 in   ... (アクセスリストの適用)
    


■ネットワーク指定

LANポート #1 に対して、ネットワーク: 192.168.1.0/24 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を IPV4-ACL-EX を追加します。

  1. アクセスリスト #123 を生成し、確認します。
    Yamaha(config)#access-list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1   ... (アクセスリストの生成)
    Yamaha(config)#access-list 123 deny any any any
    Yamaha(config)#access-list 123 description IPV4-ACL-EX                          ... (アクセスリストに名前を付ける)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show ip access-list  ... (ACLの確認)
    IPv4 access list 123
        10 permit any 192.168.1.0/24 host 10.1.1.1
        20 deny any any any
    Yamaha#
    
  2. LANポート #1アクセスリスト #123 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 123 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : IPv4 access group 123 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、ホスト指定の場合と同様です。

5.1.2 VLANインターフェースへの適用例

■ホスト指定

VLAN #1000 に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とします。
使用するVLANアクセスマップは、 VAM-002 とし、 アクセスリスト #123 を設定します。

  1. アクセスリスト #123 を生成し、確認します。
    Yamaha(config)#access-list 123 permit any host 192.168.1.1 host 10.1.1.1  ... (アクセスリストの生成)
    Yamaha(config)#access-list 123 deny any any any
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123 ... (アクセスリストの確認)
    IPv4 access list 123
        10 permit any host 192.168.1.1 host 10.1.1.1
        20 deny any any any
    
  2. VLANアクセスマップ VAM-002 を生成し、 アクセスリスト #123 を設定します。
    Yamaha(config)#vlan access-map VAM-002                ... (VLANアクセスマップの生成)
    Yamaha(config-vlan-access-map)#match access-list 123  ... (アクセスリストの登録)
    Yamaha(config-vlan-access-map)#end
    Yamaha#
    Yamaha#show vlan access-map  ... (VLANアクセスマップとアクセスリストの設定を確認)
    Vlan access-map VAM-002
        match ipv4 access-list 123
    
  3. VLAN #1000VLANアクセスマップ VAM-002 を適用し、状態を確認します。
    Yamaha(config)#vlan filter VAM-002 1000 in  ... (VLANにVLANアクセスマップを適用)
    Yamaha(config)#end
    Yamaha# 
    Yamaha#show vlan filter  ... (VLANアクセスマップの設定確認)
    Vlan filter VAM-002 is applied to vlan 1000 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
上記設定に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスを許可する設定を削除し、ホスト: 192.168.1.1 から ホスト: 10.1.1.2 へのアクセスを許可する設定を追加します。

  1. VLAN #1000 から VLANアクセスマップ VAM-002 の適用を一旦解除します。
    Yamaha(config)#no vlan filter VAM-002 1000 in   ... (VLANからVLANアクセスマップの適用解除)
    
  2. VLANアクセスマップ VAM-002 から、 アクセスリスト #123 の設定を一旦解除します。
    Yamaha(config)#vlan access-map VAM-002                    ... (VLANアクセスマップの変更)
    Yamaha(config-vlan-access-map)#no match access-list 123   ... (アクセスリストの登録解除)
    
  3. アクセスリスト #123 に設定の削除と追加を行い、確認します。
    Yamaha(config)#no access-list 123 10                                          ... (アクセスリストから削除)
    Yamaha(config)#access-list 123 10 permit any host 192.168.1.1 host 10.1.1.2   ... (アクセスリストに追加)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123   ... (アクセスリストの確認)
    IPv4 access list 123
        10 permit any host 192.168.1.1 host 10.1.1.2
        20 deny any any any
    
  4. VLANアクセスマップ VAM-002 に、 アクセスリスト #123 を再設定します。
    Yamaha(config)#vlan access-map VAM-002                 ... (VLANアクセスマップの変更)
    Yamaha(config-vlan-access-map)#match access-list 123   ... (アクセスリストの登録)
    
  5. VLAN #1000VLANアクセスマップ VAM-002 を再度適用します。
    Yamaha(config)#vlan filter VAM-002 1000 in   ... (VLANにVLANアクセスマップを適用)
    


■ネットワーク指定

VLAN #1000 に対して、ネットワーク: 192.168.1.0/24 から ホスト: 10.1.1.1 へのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #123 とします。
使用するVLANアクセスマップは、 VAM-002 とし、 アクセスリスト #123 を設定します。

  1. アクセスリスト #123 を生成し、確認します。
    Yamaha(config)#access-list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1  ... (アクセスリストの生成)
    Yamaha(config)#access-list 123 deny any any any
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123 ... (アクセスリストの確認)
    IPv4 access list 123
        10 permit any 192.168.1.0/24 host 10.1.1.1
        20 deny any any any
    
  2. VLANアクセスマップ VAM-002 を生成し、 アクセスリスト #123 を設定します。
    Yamaha(config)#vlan access-map VAM-002                ... (VLANアクセスマップの生成)
    Yamaha(config-vlan-access-map)#match access-list 123  ... (アクセスリストの登録)
    Yamaha(config-vlan-access-map)#end
    Yamaha#
    Yamaha#show vlan access-map  ... (VLANアクセスマップとアクセスリストの設定を確認)
    Vlan access-map VAM-002
        match ipv4 access-list 123
    
  3. VLAN #1000VLANアクセスマップ VAM-002 を適用し、状態を確認します。
    Yamaha(config)#vlan filter VAM-002 1000 in  ... (VLANにVLANアクセスマップを適用)
    Yamaha(config)#end
    Yamaha# 
    Yamaha#show vlan filter  ... (VLANアクセスマップの設定確認)
    Vlan filter VAM-002 is applied to vlan 1000 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、ホスト指定の場合と同様です。

5.1.3 片方向からのTCP通信のみ許可する (TCPフラグの使用例)

VLAN10 と VLAN20 がありTCPの片方向通信制御を実現します。

  1. アクセスリスト #1 を生成します。
    ACK または RST フラグが立っているIPv4 TCPパケットのみを許可するように設定します。
    Yamaha(config)#access-list 1 permit tcp any any ack   ... (アクセスリストの設定)
    Yamaha(config)#access-list 1 permit tcp any any rst
    Yamaha(config)#access-list 1 deny any any any
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list   ... (アクセスリストの設定確認)
    IPv4 access list 1
        10 permit tcp any any ack
        20 permit tcp any any rst
        30 deny any any any
    
  2. VLANアクセスマップ VAM-ESTABLISHED を生成し、 アクセスリスト #1 を設定します。
    Yamaha(config)#vlan access-map VAM-ESTABLISHED       ... (VLANアクセスマップの生成)
    Yamaha(config-vlan-access-map)#match access-list 1   ... (アクセスリストの登録)
    Yamaha(config-vlan-access-map)#end
    Yamaha#
    Yamaha#show vlan access-map   ... (VLANアクセスマップの設定確認)
    Vlan access-map VAM-ESTABLISHED
        match ipv4 access-list 1
    
  3. VLAN #20VLANアクセスマップ VAM-ESTABLISHED を適用します。
    Yamaha(config)#vlan filter VAM-ESTABLISHED 20 in   ... (VLANにVLANアクセスマップを適用)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show vlan filter   ... (VLANへの適用状態の確認)
    Vlan filter VAM-ESTABLISHED is applied to vlan 20 in
    


5.2 IPv6アクセスリストの設定

5.2.1 LANポートへの適用例

■ホスト指定

LANポート #1 に対して、ホスト: 2001:db8::1 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの名前を IPV6-ACL-EX とします。

  1. アクセスリスト #3001 を生成し、確認します。
    Yamaha(config)#access-list 3001 permit 2001:db8::1/128  ... (アクセスリストの生成)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#access-list 3001 description IPV6-ACL-EX ... (アクセスリストに名前を付ける)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 3001 ... (アクセスリストの確認)
    IPv6 access list 3001
        10 permit 2001:db8::1/128
        20 deny any
    
  2. LANポート #1アクセスリスト #3001 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 3000 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : IPv6 access group 3001 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、 5.1 IPv4アクセスリストの設定5.1.1 LANポートへの適用例 を参考にしてください。

■ネットワーク指定

LANポート #1 に対して、ネットワーク: 2001:db8::/64 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの名前を IPV6-ACL-EX とします。

  1. アクセスリスト #3001 を生成し、確認します。
    Yamaha(config)#access-list 3001 permit 2001:db8::/64     ... (アクセスリストの生成)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#access-list 3001 description IPV6-ACL-EX  ... (アクセスリストに名前を付ける)
    Yamaha(config)#end
    
    Yamaha# show access-list 3001 ... (アクセスリストの確認)
    IPv6 access list 3001
        10 permit 2001:db8::/64
        20 deny any
    
  2. LANポート #1アクセスリスト #3001 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 3001 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : IPv6 access group 3001 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、 5.1 IPv4アクセスリストの設定5.1.1 LANポートへの適用例 を参考にしてください。

5.2.2 VLANインターフェースへの適用例

■ホスト指定

VLAN #1000 に対して、ホスト: 2001:db8::1 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #3001 を設定します。

  1. アクセスリスト #3001 を生成し、確認します。
    Yamaha(config)#access-list 3001 permit 2001:db8::1/128  ... (アクセスリストの生成)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 3001 ... (アクセスリストの確認)
    IPv6 access list 3001
        10 permit 2001:db8::1/128
        20 deny any
    
  2. VLANアクセスマップ VAM-001 を生成し、 アクセスリスト #3001 を設定します。
    Yamaha(config)#vlan access-map VAM-001                 ... (VLANアクセスマップの生成)
    Yamaha(config-vlan-access-map)#match access-list 3001  ... (アクセスリストの設定)
    Yamaha(config-vlan-access-map)#end
    Yamaha# 
    Yamaha#show vlan access-map  ... (VLANアクセスマップとアクセスリストの設定を確認)
    Vlan access-map VAM-001
        match ipv6 access-list 3001
    
  3. VLAN #1000VLANアクセスマップ VAM-001 を適用し、状態を確認します。
    Yamaha(config)#vlan filter VAM-001 1000 in  ... (VLANにVLANアクセスマップを適用)
    Yamaha(config)#end
    Yamaha# 
    Yamaha#show vlan filter  ... (VLANアクセスマップの設定確認)
    Vlan filter VAM-001 is applied to vlan 1000 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 5.1 IPv4アクセスリストの設定5.1.2 VLANインターフェースへの適用例 を参考にしてください。

■ネットワーク指定

VLAN #1000 に対して、ネットワーク: 2001:db8::/64 からのアクセスのみを許可するように設定します。
使用するアクセスリストのIDは、 #3001 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #3001 を設定します。

  1. アクセスリスト #2 を生成し、確認します。
    Yamaha(config)#access-list 3001 permit 2001:db8::/64  ... (アクセスリストの生成)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 3001 ... (アクセスリストの確認)
    IPv6 access list 3001
        10 permit 2001:db8::/64
        20 deny any
    
  2. VLANアクセスマップ VAM-001 を生成し、 アクセスリスト #3001 を設定します。
    Yamaha(config)#vlan access-map VAM-001                 ... (VLANアクセスマップの生成)
    Yamaha(config-vlan-access-map)#match access-list 3001  ... (アクセスリストの設定)
    Yamaha(config-vlan-access-map)#end
    Yamaha# 
    Yamaha#show vlan access-map  ... (VLANアクセスマップとアクセスリストの設定を確認)
    Vlan access-map VAM-001
        match ipv6 access-list 3001
    
  3. VLAN #1000VLANアクセスマップ VAM-001 を適用し、状態を確認します。
    Yamaha(config)#vlan filter VAM-001 1000 in  ... (VLANにVLANアクセスマップを適用)
    Yamaha(config)#end
    Yamaha# 
    Yamaha#show vlan filter  ... (VLANアクセスマップの設定確認)
    Vlan filter VAM-001 is applied to vlan 1000 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 5.1 IPv4アクセスリストの設定5.1.2 VLANインターフェースへの適用例 を参考にしてください。

5.3 MACアクセスリストの設定

5.3.1 LANポートへの適用例

■ホスト指定

LANポート #1 に対して、ホスト: 00-A0-DE-12-34-56 からのアクセスのみを拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの名前を MAC-ACL-EX を追加します。

  1. アクセスリスト #2001 を生成し、確認します。
    Yamaha(config)#access-list 2001 deny host 00a0.de12.3456 any  ... (アクセスリストの生成)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX        ... (アクセスリストの名前の設定)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 2001 ... (アクセスリストの確認)
    MAC access list 2001
        10 deny host 00A0.DE12.3456 any
    
  2. LANポート #1アクセスリスト #2001 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 2001 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : MAC access group 2001 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦LANポートへの適用を解除する必要があります。
具体的な手順については、 5.1 IPv4アクセスリストの設定5.1.1 LANポートへの適用例 を参考にしてください。

■ベンダー指定

LANポート #1 に対して、ベンダーコード: 00-A0-DE-*-*-* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのアクセスのみを拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの名前を MAC-ACL-EX を追加します。

  1. アクセスリスト #2001 を生成し、確認します。
    Yamaha(config)#access-list 2001 deny 00a0.de00.0000 0000.00ff.ffff any  ... (アクセスリストの生成)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX                  ... (アクセスリストの名前の設定)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 2001 ... (アクセスリストの確認)
    MAC access list 2001
        10 deny 00A0.DE00.0000 0000.00FF.FFFF any
    
  2. LANポート #1アクセスリスト #2001 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 2001 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : MAC access group 2001 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 5.1 IPv4アクセスリストの設定5.1.1 LANポートへの適用例 を参考にしてください。

5.3.2 VLANインターフェースへの適用例

■ホスト指定

VLAN #1000 に対して、ホスト: 00-A0-DE-12-34-56 からのアクセスのみ拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とします。アクセスリストの名前は MAC-ACL-EX とします。
使用するVLANアクセスマップは、 VAM-003 とし、 アクセスリスト #2001 を設定します。

  1. アクセスリスト #2000 を生成し、確認します。
    Yamaha(config)#access-list 2001 deny host 00a0.de12.3456 any  ... (アクセスリスト #2001 の生成)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX        ... (アクセスリストの名前の設定)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list  ... (アクセスリストの確認)
    MAC access list 2001
        10 deny host 00A0.DE12.3456 any
    
  2. VLANアクセスマップ VAM-003 を生成し、 アクセスリスト #2001 を設定します。
    Yamaha(config)# vlan access-map VAM-003                 ... (VLANアクセスマップの生成)
    Yamaha(config-vlan-access-map)# match access-list 2001  ... (アクセスリストの登録)
    Yamaha(config-vlan-access-map)# end
    Yamaha#
    Yamaha#show vlan access-map  ... (VLANアクセスマップとアクセスリストの設定を確認)
    Vlan access-map VAM-003
        match mac access-list 2001
    
  3. VLAN #1000VLANアクセスマップ VAM-003 を適用し、状態を確認します。
    Yamaha(config)#vlan filter VAM-003 1000 in  ... (VLANにVLANアクセスマップを適用)
    Yamaha(config)#end
    Yamaha# 
    Yamaha#show vlan filter  ... (VLANアクセスマップの設定確認)
    Vlan filter VAM-003 is applied to vlan 1000 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 5.1 IPv4アクセスリストの設定5.1.2 VLANインターフェースへの適用例 を参考にしてください。

■ベンダー指定

VLAN #1000 に対して、ベンダーコード: 00-A0-DE-*-*-* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのアクセスのみを拒否するように設定します。
使用するアクセスリストのIDは、 #2001 とします。アクセスリストの名前は MAC-ACL-EX とします。
使用するVLANアクセスマップは、 VAM-003 とし、 アクセスリスト #2001 を設定します。

  1. アクセスリスト #2001 を生成し、確認します。
    Yamaha(config)#access-list 2001 deny 00a0.de00.0000 0000.00ff.ffff any  ... (アクセスリスト #2001 の生成)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX                  ... (アクセスリストの名前の設定)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 2001 ... (アクセスリストの確認)
    MAC access list 2001
        10 deny 00A0.DE00.0000 0000.00FF.FFFF any
    
  2. VLANアクセスマップ VAM-003 を生成し、 アクセスリスト #2001 を設定します。
    Yamaha(config)# vlan access-map VAM-003                 ... (VLANアクセスマップの生成)
    Yamaha(config-vlan-access-map)# match access-list 2001  ... (アクセスリストの登録)
    Yamaha(config-vlan-access-map)# end
    Yamaha#
    Yamaha#show vlan access-map  ... (VLANアクセスマップとアクセスリストの設定を確認)
    Vlan access-map VAM-003
        match mac access-list 2001
    
  3. VLAN #1000VLANアクセスマップ VAM-003 を適用し、状態を確認します。
    Yamaha(config)#vlan filter VAM-003 1000 in  ... (VLANにVLANアクセスマップを適用)
    Yamaha(config)#end
    Yamaha# 
    Yamaha#show vlan filter  ... (VLANアクセスマップの設定確認)
    Vlan filter VAM-003 is applied to vlan 1000 in
    

アクセスリストを変更(設定の削除や追加)したい場合は、一旦VLANインターフェースへの適用やVLANアクセスマップへの設定を解除する必要があります。
具体的な手順については、 5.1 IPv4アクセスリストの設定5.1.2 VLANインターフェースへの適用例 を参考にしてください。


6 注意事項


7 関連文書


トップへ戻る