MACアドレスフィルタ

イーサネットフレームのMACアドレスによってフレームの受信をフィルタリングする機能です。

1. デフォルトの動作状態
機能 状態 備考
MACアドレスフィルタ 無効

動作の概要

本装置のインタフェースに入力されたイーサネットフレームを、送信元のMACアドレスによってパス(受信)またはブロック(破棄)するフィルタルールを設定できます。

  • 個別のMACアドレスを指定するフィルタルールのほか、どのフィルタルールにもマッチしない場合のデフォルト動作(パス/ブロック)を設定できます。
MACアドレスフィルタをイーサネットインタフェースに適用した場合
送信元MACアドレスを条件として、指定インタフェース(ge[], vlan[], wlan[])におけるフレーム受信の可否を制御します。
MACアドレスフィルタをブリッジインタフェースに適用した場合
送信元MACアドレスを条件として、ブリッジに所属するインタフェース間でのフレーム転送の可否を制御します。
ブリッジインタフェース(bridge[])によるフレームの送受信には影響しません。
注:
  • MACアドレスフィルタが設定されていない状態のデフォルト動作はパス(受信する)です。
  • MACアドレスの部分一致指定はできません。
  • DHCPサーバ機能を使用している場合、MACアドレスフィルタによるブロック対象のホストからのDHCPリクエストには応答しません。
    • 本装置の仕様上DHCPv4パケットはMACアドレスフィルタによるブロックができないため、ブロック対象ホストからのリクエストについてはDHCPサーバ機能との連携により無視しています。そのため、DHCPv4パケットのブロックについてはMACアドレスフィルタの処理統計及びログ記録の対象となりません。

フィルタリング可能なインタフェース

MACアドレスフィルタは次のインタフェースに設定できます。
  • GE
  • VLAN
  • 無線LAN
注:
ge1インタフェースにMACアドレスフィルタを設定したとき、スイッチポート内で処理されるフレーム(ge1p[0-3] に入力し、スイッチングによりge1p[0-3] から出力するフレーム)には、フィルタが適用されません。

VLANインタフェースにMACアドレスフィルタを適用する際の注意

VLANインタフェースの下位レイヤとなるGEインタフェースにMACアドレスフィルタが設定されている場合、 VLANインタフェースのMACアドレスフィルタは、GEインタフェースのMACアドレスフィルタの後に適用されます。

注:
  • GEインタフェースのMACアドレスフィルタでブロックされたイーサネットフレームは、VLANインタフェースで受信されません。
  • GEインタフェースのMACアドレスフィルタでパスされたイーサネットフレームは、VLANインタフェースのMACアドレスフィルタの評価対象になります。

MACアドレスリストの外部読み込み

MACアドレスの一覧を記載したリストファイルを任意の外部ファイルサーバから読み込み、一括でパスまたはブロックの対象とすることができます。
  • ファイルサーバへのアクセスはURLの指定によりHTTPまたはHTTPSを使用できます。
    • ベーシック認証を使用可能ですが、アクセス時にリダイレクトされる場合にリダイレクト前後で認証情報が異なるケースをサポートしていません。
    • Proxyサーバは利用できません。
  • ファイルサーバからのMACアドレスリスト取得に時間がかかる場合、20秒で取得失敗となります。
  • MACアドレスリストの取得に失敗した場合は、1分後に再取得を試みます。連続10回取得に失敗した場合は、次回の取得は定期取得間隔(設定による)経過後となります。
  • 起動後に一度でもMACアドレスリストの取得に成功し、その後MACアドレスリストの更新に失敗した場合は、最後に取得したリストの内容を保持します。

無線LANインタフェースに適用する場合

MACアドレスフィルタは、アクセスポイントへの接続状況とは無関係に受信フレームの送信元MACアドレスを評価します。
  • アクセスポイントへの接続可否は無線LANインタフェースの認証機能で行う必要があります。
  • MACアドレスフィルタでブロックされる端末からの接続は、認証処理(ハンドシェーク)開始後にMACアドレスフィルタでブロックされ認証が完了しない場合があります。
  • MACアドレスフィルタは、個別の無線LANクライアントに対してSSIDを隠蔽する目的に対して機能しません。

機能の併用に関する制限

MACアドレスフィルタとMACアドレス認証は併用できません。