|
◆ PACL(Port access-list)とは
PACLとは、アクセスポート、トランクポート、L2 EtherChannelポートなどのL2ポートに対して着信する
トラフィックに適用できるACLのことです。VACLと同様、PACLは着信トラフィックにのみ適用できるACL。
PACLはCatalystスイッチが送出するL2制御パケット(CDP、STP、VTP、DTP)には影響しません。なお、
PACLの機能はハードウェアだけでサポートされ、PACLを作成するとACL TCAMにエントリが作成されます。
PACLにはVACL同様に「IPアクセスリスト」と「MACアクセスリスト」の大きく2種類のACLがあります。
| 2種類のPACL |
説明 |
| IPアクセスリスト |
IPv4パケット、IPv6パケットをフィルタリングする標準、拡張、名前付きACL |
| MACアクセスリスト |
イーサネットフレームのフィールドに基づいてIP以外のパケットをフィルタリングするACL |
PACLとその他のACLとの相互作用における動作において、PACLでは以下の2つのモードがあります。
| 2種類のモード |
説明 |
| 優先ポートモード |
PACLがL2ポートに適用している場合はPACLだけが有効になり、その他のACL(RACL VACL)を
無効にするモード。PACL は優先ポートモードが選択された場合だけトランク ポートで設定可能。
|
| マージモード |
PACL、VACL、RACLの順番でフィルタリングされていき、入力方向にマージされていくモード。
PACLのモードのデフォルトはこの「マージモード」となる。
|
◆ PACL(Port access-list)- MACアクセスリストの設定
Step1:MACアクセスリストの作成
(config)# mac access-list extended acl-name
(config-ext-macl)# permit [ host source-mac | any ] [ host dest-mac | any ]
Step2:L2ポートへの適用
(config)# interface interface-id
(config-if)# match access-group acl-name in
◆ PACL(Port access-list)- IPアクセスリストの設定
Step1:IPアクセスリストの作成
(config)# access-list number [ permit | deny ] protocol source-ip port destination-ip port
Step2:L2ポートへの適用
(config)# interface interface-id
(config-if)# ip access-group acl-number in
◆ PACL(Port access-list)- オプション:モードの設定
(config-if)# access-group mode [ prefer port | merge ]
| コマンド引数 |
説明 |
| prefer port |
優先ポートモードの設定 |
| merge |
マージモードの設定(デフォルト) |
◆ PACL(Port access-list)- 設定例
MACアドレスのベンダー識別子が「1111.aaxx.xxxx」であるMACアドレスのみをGi0/1で許可する設定
Catalyst(config)# mac access-list extended M-VIDEO
Catalyst(config-ext-macl)# permit 1111.aa00.0000 0000.00ff.ffff any
Catalyst(config)# interface GigabitEthernet0/1
Catalyst(config-if)# mac access-group M-VIDEO in
|
◆ 参考:mac access-list extended について
mac access-list extendedのACLにより、VACLまたはPACLで非IPトラフィックをフィルタリングできます。
フィルタリングの対象は非IPトラフィックなので、どのようなMAC ACLであっても、IPトラフィック自体は
許可されます。ただし、IPトラフィックが完全に許可されていても、例えばARP(非IPトラフィック)が許可
されていないとEthernetでの通信は不可です。ここではCCIEラボ試験に出題されそうな例を見てみましょう。
以下のコンフィグでは、DECnetプロトコルを使用する全てのMACアドレスのホストの非IPトラフィックが
ブロックされます。また、それ以外のトラフィックは許可されるようにGi0/1にPACLをINで適用しています。
設定例では、permit any any がない場合でも全てのIPトラフィックは許可されています。ただし先に述べた
理由(ARPトラフィックの許可)から非IPトラフィックの許可も必要なので最後に permit any any とします。
Catalyst(config)# mac access-list extended M-DECNET
Catalyst(config-ext-macl)# deny any any decnet-v
Catalyst(config-ext-macl)# permit any any
Catalyst(config)# interface GigabitEthernet0/1
Catalyst(config-if)# mac access-group M-DECNET in
|
以下のコンフィグでは、VLAN30において送信元MACアドレス「1234.5678.1234」から宛先MACアドレス
「1234.5678.abcd」へのARPトラフィックをブロックするように設定しています。また、このARPフレーム
以外の全てのトラフィック(IPおよび非IPトラフィック)はVLAN30上で転送されるように設定しています。
Catalyst(config)# mac access-list extended M-ARP
Catalyst(config-ext-macl)# permit host 1234.5678.1234 host 1234.5678.abcd 0x0806 0x0
Catalyst(config)# vlan access-map V-MAP 10
Catalyst(config-access-map)# match mac-address M-ARP
Catalyst(config-access-map)# action drop
Catalyst(config)# vlan access-map V-MAP 20
Catalyst(config-access-map)# action forward
Catalyst(config)# vlan filter V-MAP vlan-list 30
|
|