はじめに
このドキュメントでは、Cisco IOS XE デバイスでアクセスリスト(ACL)を設定して、Web サービス宛てのトラフィックをフィルタ処理する方法について説明します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントは、Cisco IOS® XE ソフトウェアを実行しているエンタープライズデバイスを対象としています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
バックグラウンド
IOS XE デバイスを管理するための WebUI アクセス権を得るため、または webauth/ゲストユーザーがアクセスできるようにするために、HTTP Web サービスを有効にする必要がある場合は、トラフィックフィルタリング機能を導入できます。これにより、必要な IP アドレスのみが WebUI にアクセスできるようになるため、ゲストユーザーはネットワークへのオンボーディングを続行できます。
設定
HTTP サービスアクセスクラスの設定
アクセスを定義する最も簡単な方法は、HTTP Web サーバーの IP アクセスクラスサポートを介して実行できます。 この設定例では、ipv4サブネット192.168.10.0/24が許可され、ipv6サブネットfd00::/64が許可され、その他すべてが拒否されます。 アクセスリストの最後に暗黙の deny any any がありますが、必要に応じて明示的な deny any any を追加することもできます。C9800 ワイヤレス LAN コントローラの場合は、ワイヤレス管理インターフェイス(WMI)およびアウトオブバンド管理/サービスポートへの HTTP/HTTPS アクセスを必ず考慮してください。
IPv4 の例
ステップ 1:標準 ACL を設定し、HTTP/HTTPS を介した Cisco IOS XE デバイスへのアクセスが許可されている信頼できるデバイス/サブネットを含めます
ip access-list standard restrict_ipv4_webui
permit 192.168.10.0 0.0.0.255
注:この ACL には、IOS XE デバイスへの Web 管理アクセス権を持つ信頼できるサブネットのみを含める必要があります。つまり、ゲストサブネットをこの ACL に含めることはできません。ゲストサブネットを含めなくても、Web 認証やゲストアクセス、Web リダイレクトは中断されません。
ステップ 2:標準 ACL を HTTP Web サービスの access-class に割り当てます。
ip http access-class ipv4 restrict_ipv4_webui
IPv6 の例
ステップ 1:HTTP/HTTPS を介した Cisco IOS XE デバイスへのアクセスが許可されている信頼できるデバイス/サブネットを含む IPv6 ACL を設定します。
ipv6 access-list restrict_ipv6_webui
permit fd00::/64 any
ステップ 2:標準 ACL を HTTP Web サービス機能に割り当てます。
ip http access-class ipv6 restrict_ipv6_webui
確認
IPv4 ACL エントリを確認します。
show ip access-list restrict_ipv4_webui
Standard IP access list restrict_ipv4_webui
10 permit 192.168.10.0 0.0.0.255
IPv6 ACL エントリを確認します。
show ipv6 access restrict_ipv4_webui
IPv6 access list restrict_ipv6_webui
permit ipv6 FD00::/64 any sequence 10
Q:アクセスリストを適用した後、応答がないのではなく 403 応答が返ってきます。 これは、なぜですか。
A:これは想定されている動作です。 access-list は、http/https プロセスにアクセスできるユーザーを制限するように設計されています。 403 応答はこのリソースへのアクセスが禁止されていることを示しており、この access-list はインターフェイスレベルの access-list とは対照的に HTTP/HTTPS プロセスに適用されるため、このシナリオでは適切な応答です。 access-list が HTTP/HTTPS プロセスではなくインターフェイスに適用される場合は、応答なしが適切です。