特定の端末だけネットワークへのアクセスを許可(LAN / MACアクセスリスト) : コマンド設定

管理番号:YMHSW-4148

本設定例の対応機種は、SWX2310P-28GTSWX2310P-18GSWX2310P-10GSWX2300-24GSWX2300-16GSWX2300-8Gです。

図 特定の端末だけネットワークへのアクセスを許可(LAN / MACアクセスリスト) : コマンド設定

インテリジェントL2スイッチのLANポートにMACアクセスリストを適用し、特定の端末だけ、ネットワークへのアクセスを許可する設定例です。ルーターで行っていたフィルタリングをスイッチで行うことにより、ルーターの負荷を軽減できます。

インターフェースに対してMACアクセスリストを適用すると、許可したMACアドレスを送信元MACアドレス、宛先MACアドレスとするフレームだけを転送し、その他のフレームをすべて破棄します。特定のフレームだけを転送対象としますので、セキュリティーの向上に役立てることができます。

技術情報:ACL(SWX2310PSWX2300

本設定例では、以下の構成で説明します。

  • スイッチ
    - ポート8:ルーターと接続
    - ポート1,2:
     許可したMACアドレス(xx:xx:xx:xx:xx:xx)からのフレームだけを転送します。

スイッチの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

SWX2310Pの場合

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2310P>enable
    SWX2310P#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2310P#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2310P(config)#
    
  3. MACアクセスリスト(ID:2001)を生成します。
    フレームの転送を許可する端末のMACアドレスを設定します。MACアドレスは「xxxx.xxxx.xxxx」の形式で入力します。
    [コンソール]
    SWX2310P(config)#access-list 2001 permit mac host (許可する端末のMACアドレス) any
    SWX2310P(config)#access-list 2001 deny any any
    SWX2310P(config)#
    
  4. ポート1,2の受信フレーム(IN方向)にMACアクセスリスト(ID:2001)を適用します。
    必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。
    [コンソール]
    SWX2310P(config)#interface port1.1
    SWX2310P(config-if)#access-group 2001 in
    SWX2310P(config-if)#exit
    SWX2310P(config)#interface port1.2
    SWX2310P(config-if)#access-group 2001 in
    SWX2310P(config-if)#exit
    SWX2310P(config)#
    

設定内容

MACアクセスリストの設定 access-list 2001 permit mac host (許可する端末のMACアドレス) any
access-list 2001 deny any any
interface port1.1
  access-group 2001 in
  exit
interface port1.2
  access-group 2001 in
  exit

設定の確認

・「show access-list」コマンドで、生成したMACアクセスリストを確認します。

[コンソール]
SWX2310P#show access-list
MAC access list 2001
    10 permit host (許可する端末のMACアドレス) any
    20 deny any any
SWX2310P#
[解説]
MACアクセスリスト(ID:2001) には、設定手順3で設定した内容が反映されます。
設定したMACアドレスからのフレームを許可しています。 コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show access-group」コマンドで、アクセスリストの適用状況を確認します。

[コンソール]
SWX2310P#show access-group
Interface port1.1 : MAC access group 2001 in
Interface port1.2 : MAC access group 2001 in
SWX2310P#
[解説]
設定手順4で設定した内容が反映されます。
ポート1,2の受信フレーム(IN方向)に対して、MACアクセスリスト(ID:2001)が適用されています。
コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。
SWX2300の場合

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2300>enable
    SWX2300#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2300#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2300(config)#
    
  3. MACアクセスリスト(ID:2000)を生成します。
    フレームの転送を許可する端末のMACアドレスを設定します。MACアドレスは「xxxx.xxxx.xxxx」の形式で入力します。
    [コンソール]
    SWX2300(config)#access-list 2000 permit mac host (許可する端末のMACアドレス) any
    SWX2300(config)#
    
  4. ポート1,2の受信フレーム(IN方向)にMACアクセスリスト(ID:2000)を適用します。
    必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。
    [コンソール]
    SWX2300(config)#interface ge1
    SWX2300(config-if)#mac access-group 2000 in
    SWX2300(config-if)#exit
    SWX2300(config)#interface ge2
    SWX2300(config-if)#mac access-group 2000 in
    SWX2300(config-if)#exit
    SWX2300(config)#
    

設定内容

MACアクセスリストの設定 access-list 2000 permit mac host (許可する端末のMACアドレス) any
interface ge1
  mac access-group 2000 in
  exit
interface ge2
  mac access-group 2000 in
  exit

設定の確認

・「show mac access-list」コマンドで、生成したMACアクセスリストを確認します。

[コンソール]
SWX2300#show mac access-list
MAC access list 2000
    permit mac host (許可する端末のMACアドレス) any

SWX2300#
[解説]
MACアクセスリスト(ID:2000) には、設定手順3で設定した内容が反映されます。
設定したMACアドレスからのフレームを許可しています。 コマンドの詳細は、生成したMACアクセスリストの表示をご覧ください。

・「show access-group」コマンドで、アクセスリストの適用状況を確認します。

[コンソール]
SWX2300#show access-group
Interface ge1  : MAC access group 2000 in
Interface ge2  : MAC access group 2000 in
SWX2300#
[解説]
設定手順4で設定した内容が反映されます。
ポート1,2の受信フレーム(IN方向)に対して、MACアクセスリスト(ID:2000)が適用されています。
※本コマンドは、Rev.2.00.10以降で使用できます。 コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ