smineta様

早急の返信ありがとうございました。

MACフィルタリング/セキュアMACの回答は、上記のマニュアルで解決しました。

#使用コマンドを別の製品と混在してました。お手を煩わせて申し訳ありませんでした。

ところで、私がMACフィルタリング/セキュアMAC機能の動作を勘違いしていたようです。

上記機能は、switchポートに接続するMACを制限する機能ですよね？

実現したかったことは、以下です。言葉足らずで大変申し訳ありません。

端末A  ----|インターネット|----|892J|---port1:OK port2:NG

端末B  ----|インターネット|----|892J|---port1:NG port2:OK

#インタ-ネットを通じたアクセスをMACで制限。

#NAT変換で、アクセスポートを振り分け。

マニュアルから、892JはMACのアクセスリストには対応していないようなので

892Jでは上記アクセス制限は実現できないという理解であっていますでしょうか？

※端末A,Bは動的IPなので、IPのアクセスリストでは制限できないと考えています。

以上、ご回答よろしくお願いします。

その構成ですと、遠隔地のMACアドレスをインターネットというIP網を超えて送る必要があります。通常、MACアドレスは、L2のEthernetフレームのヘッダに含まれますので、L3のネットワークを超える時に落とされてしまいます。従って、このL2のEthernetフレームのヘッダをIPというL3網を超えて送るにはトンネリング技術を使用しなければなりません。遠隔地をL2で接続するトンネル技術としてはL2TPという技術になります。

さらに、L2TPは単なるトンネリング技術ですので、インターネットを超えて接続するには、それとは別に暗号化を設定する必要があります。そこで、IPSecを使用します。このIPSecを行なってL2TPでトンネルする技術を"L2TP Over IPSec"と呼んでいます。

さらに、このデザインの場合、MACアドレスでアクセスするポートを分ける必要がありますので、なんらかの認証もしくはフィルタリングが必要になります。

ISRルータ（892を含む）では、L2TP over IPSecはサポートしていますが、このMACアドレスでアクセスポートを分ける手段が、私の知識では思いつきません。

ファイアーウォール製品であるASAもL2TP over IPSecをサポートしています。しかし、MACアドレスでアクセスするポートを分ける手段が、やはり無さそうに見えます。（申し訳ないですが、確信は持てません）

では、実際にこのような場合にどうデザインするのがベストなのかということになります。

もし、端末というのがPCやスマホを想定されているのであれば、ASAを使用してユーザ認証の仕組みを導入し、ユーザによってアクセスする先を制限するほうが、技術的にリスクが少ないと思います。

smineta 様

お世話になっております。

色々アドバイスありがとうございました。

ASAを使用する方向で、再検討してみます。