はじめに
ME3800X / ME3600X では service instance 設定ありの物理ポートに ACL の設定がサポートされていませんので、直接 ACL の適用によるトラフィックのフィルタリングはできません。
本ドキュメントは、service instance 設定ありの物理ポートのトラフィックフィルタリング方法を紹介します。
*** CCO 上ダウンロードできるすべてのバージョンが対象となります。
service instance 設定ありのポートのトラフィックフィルタリング方法について
service instance の下では ACL がサポートしているため、下記のように service instance の下に ACL を設定することで関連トラフィックがフィルタリングできます。
Switch(config)#interface xx
Switch(config-if)#service instance xx ethernet
Switch(config-if-srv)#ip access-group xx in / out
実機例
構成と基本設定
手順
1.Traffic Generator から UDP 5353 のマルチキャストパケットを ME3800X へ印加します。
2.下記のコマンドで In 方向にカウントアップしていることを確認します。
Switch#show ethernet service instance id 1075 interface GigabitEthernet 0/1 stats
Port maximum number of service instances: 4000
Service Instance 1075, Interface GigabitEthernet0/1
Pkts In Bytes In Pkts Out Bytes Out
0 0<<<< 0 0
Switch#show ethernet service instance id 1075 interface GigabitEthernet 0/1 stats
Port maximum number of service instances: 4000
Service Instance 1075, Interface GigabitEthernet0/1
Pkts In Bytes In Pkts Out Bytes Out
9577 689544<<<< 0 0
Switch#show ethernet service instance id 1075 interface GigabitEthernet 0/1 stats
Port maximum number of service instances: 4000
Service Instance 1075, Interface GigabitEthernet0/1
Pkts In Bytes In Pkts Out Bytes Out
47525 3421800<<<< 0 0
3.service instance の下に ACL を適用します。
Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#service instance 1075 ethernet
Switch(config-if-srv)#ip access-group 100 in
Switch#show running-config | include access
ip access-group 100 in
access-list 100 deny udp any any eq 5353 log
access-list 100 permit ip any any log
4.コマンドでカウントアップしなくなったことを確認します。
Switch#show ethernet service instance id 1075 interface GigabitEthernet 0/1 stats
Port maximum number of service instances: 4000
Service Instance 1075, Interface GigabitEthernet0/1
Pkts In Bytes In Pkts Out Bytes Out
47525 3421800<<<< 0 0
Switch#show ethernet service instance id 1075 interface GigabitEthernet 0/1 stats
Port maximum number of service instances: 4000
Service Instance 1075, Interface GigabitEthernet0/1
Pkts In Bytes In Pkts Out Bytes Out
47525 3421800<<<< 0 0
Switch#show ethernet service instance id 1075 interface GigabitEthernet 0/1 stats
Port maximum number of service instances: 4000
Service Instance 1075, Interface GigabitEthernet0/1
Pkts In Bytes In Pkts Out Bytes Out
47525 3421800<<<< 0 0
参考情報
Cisco ME 3800x and ME 3600x Switches Software Configuration Guide, Cisco IOS Release 15.5(1)S
https://www.cisco.com/c/en/us/td/docs/switches/metro/me3600x_3800x/software/release/15-5_1_S/configuration/guide/3800x3600xscg/swacl.html
Configuring Network Security with ACLs