MACアドレスフィルタ
イーサネットフレームのMACアドレスによってフレームの受信を制御する、MACアドレスフィルタ機能を提供します。
概要
- 送信元MACアドレスを指定し、フレームをブロック(block)またはパス(pass)します。
- 全てのMACアドレス(any)を指定するフィルタは、個別のフィルタにマッチしない場合にデフォルトルールとして適用されます。
- MACアドレスフィルタが設定されていない状態のデフォルト動作はパス(pass)です。
- 適用条件
- フィルタ適用箇所
- 任意のイーサネットインタフェース(LANまたはVLAN)、及びブリッジ
- 送信元MACアドレス
- 個別のMACアドレス、またはMACアドレスリストを取得するURL(及びリスト更新間隔)
- 処理方法
- アクション
- ブロック(block)またはパス(pass)
- ログ出力の制御
- on/off
- DHCPv4でのアドレス配布の禁止
- on(禁止する)/off(禁止しない)
- デフォルト(off)では、MACフィルタのアクションがblockであるホストに対してもDHCPv4によるアドレス配布(リクエスト)は受け付けます。
- アドレス配布を禁止(on)とすると、DHCPv4サーバ機能に作用し、 該当MACアドレスに対してIPアドレスの配布を停止します。
注: アドレス配布禁止の設定有無に関わらず、DHCPv4パケットに関してはMACアドレスフィルタの処理統計及びログの記録対象となりません。
MACアドレスフィルタの動作
- MACアドレスフィルタをイーサネットインタフェースに適用した場合
- 送信元MACアドレスを条件として、フレームの受信可否を制御します。
- MACアドレスフィルタをブリッジに適用した場合
- 送信元MACアドレスを条件として、ブリッジポート間の転送可否を制御します。
VLANインタフェースにMACアドレスフィルタを適用する場合の注意
VLANインタフェースの下位レイヤとなるLANインタフェースにMACアドレスフィルタが設定されている場合、 VLANインタフェースのMACアドレスフィルタは、LANインタフェースのMACアドレスフィルタの後に適用されます。
注:
- LANインタフェースのMACアドレスフィルタでブロックされたイーサネットフレームは、VLANインタフェースで受信されません。
- LANインタフェースのMACアドレスフィルタでパスされたイーサネットフレームは、VLANインタフェースのMACアドレスフィルタの評価対象になります。
MACアドレスリスト取得の動作
URLで指定された場所から「MACアドレスリスト」ファイルを定期的に自動取得してMACアドレスフィルタを構成することができます。
MACアドレスリストの取得について
MACアドレスリストの更新時、blockルールが約1秒間無効となります。
MACアドレスリストファイルとMACアドレスを直接指定する設定を併用する場合、MACアドレスリストの更新時に showコマンド(show status macfilter)で表示されるカウンタ値がリセットされます。
URLからのMACアドレスリスト取得に時間がかかる場合、20秒で取得失敗になります。
URLからのMACアドレスリスト取得に失敗した場合、1分後に再取得を試みます。 取得に失敗する場合は、初回の取得と再取得を合わせて最大10回行います。 再取得に成功、あるいは10回すべて取得に失敗した場合、次回取得は指定された定期取得間隔の時間経過後となります。
10回すべての取得に失敗した場合、以前に成功したリスト内容が保持されます。