WAAS デバイス用の IP ACL の作成と管理
この項では、WAAS Central Manager GUI を使用して、WAAS デバイス用の IP ACL を作成し、管理するためのガイドラインと例を提供します。
IP ACL を作成するときは、次の重要事項に注意する必要があります。
- IP ACL 名はデバイス内で一意である必要があります。
- IP ACL 名は、空白や特殊文字を含まない 30 文字以下にする必要があります。
- 1 台の WAAS Central Manager デバイスで、最大 50 個の IP ACL とデバイス当たり合計 500 個の条件を管理できます。
- IP ACL 名が数値の場合、1 ~ 99 は標準の IP ACL を表し、100 ~ 199 は拡張 IP ACL を表します。数字で始まる IP ACL 名には、数字以外の文字を使用できません。
- WAAS Central Manager GUI を使用すると、標準の IP ACL を SNMP と WCCP に関連付けることができます。ACL に関連付けられたこれらのアプリケーションのいずれかにアクセスしようとするデバイスはすべて、アクセスを許可される信頼されたデバイスのリストに含まれている必要があります。
- 以前に設定された標準 IP ACL を SNMP および WCCP に関連付けることができます。ただし、拡張 IP ACL は WCCP アプリケーションにのみ関連付けることができます。
- すべての条件とネットワーク インターフェイスやアプリケーションとの関連付けを含む IP ACL を削除できます。あるいは、IP ACL 条件だけ削除できます。すべての条件を削除すると、必要に応じ、IP ACL の種類を変更できます。IP ACL エントリは、IP ACL リストに引き続き表示されます。ただし、これは事実上、存在しません。
- WAAS によって使用される任意の種類の ACL に対して空の ACL を指定すると、すべてのトラフィックが許可されます。
WAAS Central Manager GUI を使用して、1 台の WAE 用の IP ACL を作成し、変更する方法と、IP ACL をアプリケーションに関連付け、WAE 上のインターフェイスに適用するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ] を選択します。
ステップ 2 [Configure] > [Network] > [TCP/IP Settings] > [IP ACL] を選択します。
[IP ACL] ウィンドウが表示されます。デフォルトでは、WAE 用の IP ACL は、定義されていません。[IP ACL] ウィンドウで、現在、WAE 用の IP ACL が設定されていないかどうかを確認します。
ステップ 3 表見出し行で [Add IP ACL] をクリックします。
[IP ACL] ウィンドウが表示されます。次のようにフィールドに入力します。
- [Name] フィールドに、管理者の名前(例:test1)を入力します。IP ACL 名は、デバイス内で一意であり、30 文字以内でなければならず、余白や特殊文字を使用できません。
デフォルトで、この新しい IP ACL は、標準 ACL として作成されます。
- このデフォルト設定を変更して、この新しい ACL を拡張 ACL として作成する場合は、[ACL Type] ドロップダウン リストから [Extended] を選択します。
ステップ 4 [OK] をクリックして、test1 という名前の IP ACL を保存します。条件が何も定義されていない IP ACL は、個々のデバイスに表示されません。
ステップ 5 作成した test1 という名前の標準 IP ACL に条件を追加します。
a. [Add IP ACL Condition] をクリックします。
[IP ACL Condition] ウィンドウが表示されます(図 9-1)。
(注) IP ACL の条件を作成するために使用できるフィールドの数は、作成した IP ACL の種類(標準または拡張)によって異なります。
図 9-1 [Extended IP ACL] ウィンドウでの新しい状態の作成
b. 次のようにして、作成する IP ACL のタイプに使用できるプロパティの値を入力します。
– 標準 IP ACL 用の条件を設定するには、ステップ 6 へ進みます。
– 拡張 IP ACL 用の条件を設定するには、ステップ 7 を参照してください。
ステップ 6 標準 IP ACL 用の条件を設定します。
a. [Purpose] ドロップダウン リストから、目的([Permit] または [Deny])を選択します。
b. [Source IP] フィールドにソース IP アドレスを入力します。
c. [Source IP Wildcard] フィールドに、ソース IP ワイルドカード アドレスを入力します。
d. [OK] をクリックして、条件を保存します。
新しく作成された IP ACL とその設定されたパラメータの IP ACL 条件が 表 9-1 に表示されています。
e. IP ACL に別の条件を追加するには、それを選択して、[Add IP ACL Condition] をクリックします。
f. 条件の詳細を入力し、[OK] をクリックして、追加の条件を保存します。
g. 新しく作成された IP ACL を特定の位置に表示するには、位置を選択して、[Insert] をクリックします。IP ACL 条件が、指定された位置に配置されます。
h. 条件のリストの順序を変更するには、上矢印と下矢印を使用して、条件(または連続する複数の条件)を選択します。さらに、[Save Moved Rows] をクリックして変更をコミットします。
あるいは、1 つ以上の連続する条件を選択して、[Move to] をクリックし、IP ACL 条件を配置する位置の行番号を指定できます。これは、多くの条件が表にリストされている場合に特に役立ちます。すべてのエントリと条件がリストされる順序を入力したら、[Save Moved Rows] をクリックして変更をコミットします。
(注) WAAS Central Manager GUI に表示される条件の順序は、IP ACL がデバイスに適用される順序になります。
(注) 設定されたパラメータを基準にしてソートするには、列見出しをクリックします。
表 9-1 で、標準 IP ACL のフィールドについて説明します。
表 9-1 標準 IP ACL の条件
|
|
|
目的 |
Permit |
パケットを許可する([Permit])か拒否する([Deny])かを指定します。 |
Source IP |
0.0.0.0 |
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定したパケットの送信元ネットワークまたはホストの番号。 |
Source IP Wildcard |
255.255.255.255 |
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定した送信元に適用するワイルドカード ビット。無視するビット位置には 1、意味のあるビット位置には 0 を入れます。 |
ステップ 7 拡張 IP ACL 用の条件を設定します。
a. [Purpose] ドロップダウン リストから、目的([Permit] または [Deny])を選択します。
b. [Extended Type] ドロップダウン リストから、値([Generic]、[TCP]、[UDP]、または [ICMP])を選択します。 ( 表 9-2 を参照)。
表 9-2 拡張 IP ACL の条件
|
|
|
目的 |
Permit |
パケットを許可するか拒否するかを指定します。[Permit] または [Deny] を選択します。 |
Extended Type |
Generic |
条件に適用するインターネット プロトコルを指定します。 選択すると、[GUI] ウィンドウが更新され、該当するフィールド オプションが有効になります。オプションは、[generic]、[TCP]、[UDP]、または [ICMP] です。 |
拡張 IP ACL の種類を選択すると、選択した種類によって GUI でさまざまなオプションが使用できるようになります。
c. 選択したタイプが有効になっているフィールドに、データを入力します。(詳細については、 表 9-4 ~ 表 9-7 を参照してください)。
d. [OK] をクリックして、条件を保存します。
新しく作成された IP ACL とその設定されたパラメータの IP ACL 条件が 表 9-1 に表示されています。
e. IP ACL に別の条件を追加するには、それを選択して、[Add IP ACL Condition] をクリックします。
f. 条件の詳細をウィンドウに入力し、[OK] をクリックして、追加の条件を保存します。
g. 新しく作成された IP ACL を特定の位置に表示するには、位置を選択して、[Insert] をクリックします。IP ACL 条件が、指定された位置に配置されます。
h. 条件のリストの順序を変更するには、上矢印と下矢印を使用して、条件(または連続する複数の条件)を選択します。[Save Moved Rows] をクリックして、変更をコミットします。
あるいは、1 つ以上の連続する条件を選択して、[Move to] をクリックし、IP ACL 条件を配置する位置の行番号を指定できます。これは、多くの条件が表にリストされている場合に特に役立ちます。すべてのエントリと条件がリストされる順序を入力したら、[Save Moved Rows] をクリックして変更をコミットします。
(注) WAAS Central Manager GUI に表示される条件の順序は、IP ACL がデバイスに適用される順序になります。
(注) 設定されたパラメータを基準にしてソートするには、列見出しをクリックします。
ステップ 8 IP ACL から個々の条件を変更または削除します。
a. 条件を変更する IP ACL の名前を選択します。
b. IP ACL に現在適用されているすべての条件のリストが、IP ACL の条件に表示されます( 表 9-1 )。条件を選択して、[Edit] をクリックします。
c. 条件を変更するには、[IP ACL Condition] ウィンドウの対応するフィールドを必要に応じて変更し、[OK] をクリックして、変更を保存します。
d. 条件を削除するには、条件を選択し、表見出しの [Delete] をクリックします。
e. 条件のリストの順序を変更するには、上矢印と下矢印を使用するか、手順 6f と 7f で説明されている [Move to] 列を使用します。
ステップ 9 標準 IP ACL を SNMP または WCCP に関連付けます。
a. 標準 IP ACL を SNMP または WCCP に関連付けるデバイスの名前の横にある [Edit] アイコンをクリックします。
b. [Configure] > [Network] > [TCP/IP Settings] > [IP ACL Feature Usage] を選択します。
[IP ACL Feature Settings] ウィンドウが表示されます。
c. SNMP または WCCP ドロップダウン リストから、SNMP または WCCP の IP ACL の名前を選択します。(詳細については、 表 9-3 を参照してください)。IP ACL をアプリケーションの 1 つに関連付けない場合は、[Do Not Set] を選択します。
表 9-3 IP ACL Feature Settings(IP ACL 機能設定)
Cisco WAAS Central Manager GUI のパラメータ
|
|
SNMP |
標準 IP ACL を SNMP に関連付けます。このオプションは、すべての WAAS デバイスにサポートされています。 |
WCCP |
任意の IP ACL を WCCP バージョン 2 に関連付けます。このオプションは、WCCP 代行受信モードで動作中の WAAS デバイスだけでサポートされ、WAAS Central Manager デバイスではサポートされません。 |
d. [Submit] をクリックして、設定を保存します。
ステップ 10 IP ACL をインターフェイスに適用します。
a. IP ACL を WAE 上のインターフェイスに適用するデバイスの名前の横にある [Edit] アイコンをクリックします。
b. [Configure] > [Network] > [Network Interfaces] を選択します。
デバイス用の [Network Interfaces] ウィンドウが表示されます。このウィンドウには、そのデバイスで使用可能なすべてのインターフェイスが表示されます。
c. IP ACL を適用するインターフェイスの名前の横にある [Edit] アイコンをクリックします。
[Network Interface settings] ウィンドウが表示されます。
d. ウィンドウの下部にある [Inbound ACL] ドロップダウン リストから、IP ACL の名前を選択します。
e. [Outbound ACL] ドロップダウン リストから、ACL の名前を選択します。
WAAS Central Manager GUI から変更できるネットワーク インターフェイス プロパティはインバウンド IP ACL とアウトバウンド IP ACL だけです。他のすべてのプロパティの値はデバイス データベースから入力され、WAAS Central Manager GUI では読み取り専用です。
ステップ 11 [Submit] をクリックして、設定を保存します。
ステップ 12 代行受信されるトラフィックの定義に IP ACL を使用する方法については、第 5 章「トラフィック代行受信の設定」の代行受信アクセス コントロール リストの設定を参照してください。
ステップ 13 (任意)IP ACL を削除します。
a. 削除する IP ACL を持つデバイスの名前の横にある [Edit] アイコンをクリックします。
b. [Configure] > [Network] > [TCP/IP Settings] > [IP ACL] を選択します。
IP ACL 用の条件を作成した場合は、2 つの削除オプションがあります。
– [Delete ACL]:すべての条件とネットワーク インターフェイスやアプリケーションとの関連付けを含む IP ACL を削除します。
– [Delete All Conditions]:すべての条件を削除しますが、IP ACL 名は保持されます。
c. IP ACL とその条件全体を削除するには、対応する IP ACL を選択して、[Delete] をクリックします。処理を確認するプロンプトが表示されます。[OK] をクリックします。記録が削除されます。
d. 条件のみを削除するには、条件または複数の条件(連続する条件または連続しない条件)を選択して、[Delete] をクリックします。処理を確認するプロンプトが表示されたら、[OK] をクリックします。条件が削除されます。
CLI から IP ACL を定義するには、 ip access-list グローバル コンフィギュレーション コマンドを使用でき、WAAS デバイス上のインターフェイスに IP ACL を適用するには、 ipaccess-group インターフェイス コンフィギュレーション コマンドを使用できます。SNMP 用の IP ACL の使用を設定するには、 snmp-server access-list グローバル コンフィギュレーション コマンドを使用できます。WAE が受信する着信 WCCP リダイレクト トラフィックに適用する IP ACL を指定するには、 wccp access-list グローバル コンフィギュレーション コマンドを使用できます。代理受信 ACL を設定するには、 interception access-list グローバル コンフィギュレーション コマンドを使用できます。