ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

ワイヤレス LAN コントローラの ACL: ルール、制約事項、および例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 11 月 3 日) | フィードバック


目次


概要

このドキュメントでは、ワイヤレス LAN コントローラ(WLC)のアクセス コントロール リスト(ACL)について説明します。 このドキュメントでは、現在のルールと制限事項について説明し、関連する例を示します。 このドキュメントは、『ワイヤレス LAN コントローラでの ACL の設定例』に代わるものではなく、補足情報を提供するものです。

レイヤ 2 ACL またはレイヤ 3 ACL ルールをさらに柔軟にするには、コントローラに接続されるファースト ホップ ルータで ACL を設定することを推奨します。

最も一般的な誤りは、IP パケットを許可または拒否するために ACL 行でプロトコル フィールドが IP(プロトコル = 4)に設定されている場合に発生します。 このフィールドでは、TCP、ユーザ データグラム プロトコル(UDP)、およびインターネット制御メッセージ プロトコル(ICMP)などの IP パケット内にカプセル化された項目が実際には選択されるため、IP-in-IP パケットを拒否または許可するように変換されます。 モバイル IP パケットを拒否する場合を除き、IP は ACL 行で選択するべきではありません。 Cisco Bug ID CSCsh22975登録ユーザ専用)は IP を IP-in-IP に変更します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • WLC と Lightweight アクセス ポイント(LAP)の基本動作のための設定方法に関する知識

  • Lightweight アクセス ポイント プロトコル(LWAPP)とワイヤレスのセキュリティ方式に関する基本的な知識

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

WLC の ACL を理解する

ACL は 1 つまたは複数の ACL 行で構成され、ACL の末尾には暗黙の「deny any any」が続きます。 各行には、次のフィールドがあります。

  • シーケンス番号

  • 方向

  • 送信元 IP アドレスおよびマスク

  • 宛先 IP アドレスおよびマスク

  • プロトコル

  • 送信元ポート

  • 宛先ポート

  • DSCP

  • Action

このドキュメントでは各フィールドについて説明します。

  • シーケンス番号:パケットに対して処理される ACL 行の順序を示します。 パケットは、ACL の最初の行と照合されるまで ACL に対して処理されます。 また、ACL の作成後も ACL 内のどこにでも ACL 行を挿入できるようにします。 たとえば、シーケンス番号 1 の ACL 行がある場合、その行の前に新しい ACL 行を挿入するには、新しい ACL 行にシーケンス番号 1 を付けます。 これにより、ACL 内お現在の行が自動的に下に移動します。

  • 方向:ACL 行を適用する方向をコントローラに通知します。 次の 3 つの方向があります。 Inbound、Outbound、および Any。 これらの方向は、ワイヤレス クライアントではなく、WLC を基準とする位置から取得されます。

    • Inbound:ワイヤレス クライアントを発信元とする IP パケットは ACL 行と一致するかどうかを確認するために検査されます。

    • Outbound:ワイヤレス クライアントを宛先とする IP パケットは ACL 行と一致するかどうかを確認するために検査されます。

    • Any:ワイヤレス クライアントを発信元および宛先とする IP パケットは ACL 行と一致するかどうかを確認するために検査されます。 ACL 行は Inbound と Outbound の両方の方向に適用されます。

      方向に Any を選択した場合、使用する必要があるアドレスとマスクは 0.0.0.0/0.0.0.0 (Any) のみです。 「Any」方向を使用する場合、リターン トラフィックを許可するためにスワップされるアドレスやサブネットに新しい行が必要になるので、特定のホストまたはサブネットを指定してはなりません。

      Any 方向は、ワイヤレス クライアントを宛先とする方向(Outbound)およびワイヤレス クライアントを発信元とする方向(Inbound)の両方向で、特定の IP プロトコルやポートを拒否または許可する特定の状況でのみ使用する必要があります。

      IP アドレスやサブネットを指定する場合は、方向を Inbound または Outbound として指定し、反対方向のリターン トラフィックのために 2 つ目の新しい ACL 行を作成する必要があります。 ACL がインターフェイスに適用され、リターン トラフィックが戻ってくることを具体的に許可しない場合、リターン トラフィックは ACL リストの末尾にある暗黙の「deny any any」によって拒否されます。

  • 送信元 IP アドレスおよびマスク:単一のホストから複数のサブネットへの送信元 IP アドレスを定義します。これは、マスクによって異なります。 IP アドレスとパケット内の IP アドレスを比較したときに、IP アドレスのどのビットを無視する必要があるかを特定するために、マスクは IP アドレスとともに使用されます。

    WLC ACL のマスクは Cisco IOS で使用されるワイルドカードか反転マスクのようではないですか。 ACL. コントローラ ACL では、255 は IP アドレスのオクテットと正確に一致する一方で、0 はワイルドカードです。 アドレスとマスクは、ビットごとに組み合わされます。

    • マスク ビット 1 は、対応するビット値を確認することを示します。 マスク内の 255 の指定は、検査するパケットの IP アドレス内のオクテットが ACL アドレス内の対応するオクテットと正確に一致する必要があることを示します。

    • マスク ビット 0 は、対応するビット値を確認しない(無視する)ことを示します。 マスク内の 0 の指定は、検査するパケットの IP アドレス内のオクテットが無視されることを示します。

    • 0.0.0.0/0.0.0.0 は「Any」IP アドレスと同じです(アドレスは 0.0.0.0、マスクは 0.0.0.0)。

  • 宛先 IP アドレスおよびマスク:送信元 IP アドレスおよびマスクと同じマスク ルールに従います。

  • プロトコル:IP パケット ヘッダー内のプロトコル フィールドを指定します。 プロトコル番号の一部は、ユーザが使用しやすいように変換され、プルダウン メニューで定義されています。 それぞれの値は次のとおりです。

    • Any(すべてのプロトコル番号が一致)

    • TCP(IP プロトコル 6)

    • UDP(IP プロトコル 17)

    • ICMP(IP プロトコル 1)

    • ESP(IP プロトコル 50)

    • AH(IP プロトコル 51)

    • GRE(IP プロトコル 47)

    • IP(IP プロトコル 4 IP-in-IP [CSCsh22975])

    • Eth Over IP(IP プロトコル 97)

    • OSPF(IP プロトコル 89)

    • Other(指定)

    Any 値は、パケットの IP ヘッダーに含まれるすべてのプロトコルに一致します。 これは、特定のサブネットを送信元または宛先とする IP パケットを完全に拒否または許可するために使用されます。 IP-in-IP パケットを照合するには、IP を選択します。 特定の送信元および宛先ポートを設定する、一般的な選択は UDP および TCP です。 Other を選択した場合、IANA leavingcisco.com で定義された任意の IP パケット プロトコル番号を指定できます。

  • 送信元ポート:TCP および UDP プロトコルでのみ指定できます。 0 ~ 65535 は Any ポートと同等です。

  • 宛先ポート:TCP および UDP プロトコルでのみ指定できます。 0 ~ 65535 は Any ポートと同等です。

  • DiffServ コード ポイント(DSCP):IP パケット ヘッダーに一致する特定の DSCP 値を指定できます。 プルダウン メニューの選択は、specific または Any です。 specific を設定する場合は、DSCP フィールドで値を示します。 たとえば、0 から 63 までの値を使用できます。

  • アクション:2 つのアクションは拒否または許可です。 拒否は、指定されたパケットをブロックします。 許可は、パケットを転送します。

ACL のルールと制限事項

WLC ベースの ACL に関する制限事項

以下は、WLC ベースの ACL に関する制限事項です。

  • パケットでどの ACL 行が一致したかを確認できません(Cisco Bug ID CSCse36574登録ユーザ専用)を参照)。

  • 特定の ACL 行に一致するパケットをログに記録できません(Cisco Bug ID CSCse36574登録ユーザ専用)を参照)。

  • IP パケット(IP [0x0800] と等しいイーサネットのプロトコル フィールドを持つすべてのパケット)は、ACL により検査される唯一のパケットです。 その他のタイプのイーサネット パケットは、ACL でブロックできません。 たとえば、ARP パケット(イーサネット プロトコル 0x0806)は、ACL を使用してブロックまたは許可することができません。

  • コントローラには、最大 64 個の ACL を設定できます。 各 ACL には、最大 64 行を含められます。

  • ACL は、アクセス ポイント(AP)およびワイヤレス クライアントから転送される、またはアクセス ポイント(AP)およびワイヤレス クライアントに転送されるマルチキャスト トラフィックとブロードキャスト トラフィックには影響しません(Cisco Bug ID CSCse65613登録ユーザ専用)を参照)。

  • WLC バージョン 4.0 よりも前のバージョンでは、管理インターフェイスでは ACL を迂回しており、管理インターフェイス宛てのトラフィックに影響を与えることができません。 WLC バージョン 4.0 以降では、CPU ACL を作成できます。 この種類の ACL を設定する方法の詳細については、『CPU ACL の設定』を参照してください。

    管理インターフェイスおよび AP マネージャ インターフェイスに適用される ACL は無視されます。 WLC 上の ACL は、有線ネットワークと WLC ワイヤレス ネットワークではなく、有線ネットワーク間のトラフィックをブロックするように設計されています。 そのため、特定のサブネットの AP が WLC と通信することを完全に防ぐには、断続的なスイッチまたはルータにアクセス リストを適用する必要があります。 これは、WLC に対するこれらの AP(VLAN)からの LWAPP のトラフィックをブロックします。

  • ACL はプロセッサに依存し、高負荷時にはコントローラのパフォーマンスに影響を与える可能性があります。

  • ACL は仮想 IP アドレス(1.1.1.1)へのアクセスをブロックすることはできません。 このため、ワイヤレス クライアントでは DHCP をブロックできません。

  • ACL は、WLC のサービス ポートには影響しません。

WLC ベースの ACL に関するルール

以下は、WLC ベースの ACL に関するルールです。

  • ACL は IP パケットのみに制限されるため、ACL 行では IP ヘッダー内のプロトコル番号(TCP、UDP、ICMP など)のみを指定できます。 IP を選択した場合、これは IP-in-IP パケットを許可または拒否することを示します。 Any を選択した場合、これはすべての IP プロトコルのパケットを許可または拒否することを示します。

  • Any を方向に選択した場合、送信元および宛先を Any(0.0.0.0/0.0.0.0)にする必要があります。

  • 送信元 IP アドレスと宛先 IP アドレスのいずれかが Any でない場合は、フィルタの方向を指定する必要があります。 また、リターン トラフィックのために逆方向の inverse ステートメント(送信元 IP アドレスまたはポートと宛先 IP アドレスまたはポートがスワップされた)を作成する必要があります。

  • ACL の末尾には、暗黙的な「deny any any」があります。 パケットがどの ACL 行とも一致しない場合、コントローラによってドロップされます。

設定

DHCP、PING、HTTP、および DNS を使用した ACL の例

この設定例では、クライアントは以下のみを実行できます。

  • DHCP アドレスの受信(DHCP は ACL でブロックできません)

  • ping の実行と ping の応答(すべての ICMP メッセージ タイプ:ping のみに制限できません)

  • HTTP 接続の確立(発信)

  • ドメイン ネーム システム(DNS)解決(発信)

これらのセキュリティ要件を設定するには、次を許可する行を ACL に含める必要があります。

  • 双方向のすべての ICMP メッセージ(ping のみに制限できません)

  • UDP ポートから DNS へのすべての着信

  • DNS から UDP ポートへのすべての発信(リターン トラフィック)

  • TCP ポートから HTTP へのすべての着信

  • HTTP から TCP ポートへのすべての発信(リターン トラフィック)

show acl detailed "MY ACL 1"(引用符は ACL の名前が 1 つの単語以上の場合にのみ必要です)コマンド出力では、ACL は次のように表示されます。

Seq  Direction  Source IP/Mask   Dest IP/Mask     Protocol  Src Port  Dest Port  DSCP  Action    
---  ---------  ---------------  ---------------  --------  --------  ---------  ----  ------
1      Any      0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     1      0-65535   0-65535     Any  Permit
2      In       0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     17     0-65535   53-53       Any  Permit
3      Out      0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     17     53-53     0-65535     Any  Permit

DNS および HTTP の ACL 行で Any IP アドレスの代わりに、ワイヤレス クライアントが存在するサブネットを指定すると、ACL はより限定的になります。

クライアントは最初に 0.0.0.0 を使用して IP アドレスを受信してから、サブネット アドレス経由で自身の IP アドレスを更新するため、DHCP ACL 行はサブネットで制限できません。

GUI では、同じ ACL が次のように表示されます。

http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/81733-contr-acls-rle1.gif

DHCP、PING、HTTP、および SCCP を使用した ACL の例

この設定例では、7920 IP フォンは以下のみを実行できます。

  • DHCP アドレスの受信(ACL でブロックできません)

  • ping の実行と ping の応答(すべての ICMP メッセージ タイプ:ping のみに制限できません)

  • DNS 解決の許可(着信)

  • IP フォンから CallManager への接続とその逆(Any 方向)

  • IP フォンから TFTP サーバへの接続(CallManager は UDP のポート 69 への最初の TFTP 接続後にダイナミック ポートを使用します)(発信)

  • 7920 IP フォンから IP フォンへの通信(Any 方向)

  • IP フォン Web または Phone Directory の拒否(発信)。 これは、ACL 行の末尾にある暗黙的な「deny any any」によって実行されます。

    これにより、IP フォン間の音声通信に加えて、IP フォンと CallManager 間の通常の起動動作が可能になります。

これらのセキュリティ要件を設定するには、次を許可する行を ACL に含める必要があります。

  • すべての ICMP メッセージ(ping のみに制限できません)(Any 方向)

  • IP フォンから DNS サーバ(UDP ポート 53)(着信)

  • DNS サーバから IP フォン(UDP ポート 53)(発信)

  • IP フォンの TCP ポートから CallManager の TCP ポート 2000(デフォルト ポート)(着信)

  • CallManager の TCP ポート 2000 から IP フォン(発信)

  • IP フォンの UDP ポートから TFTP サーバ。 CallManager はデータ転送の最初の接続要求後にダイナミック ポートを使用するため、これは標準の TFTP ポート(69)に制限できません。

  • IP フォン間の音声トラフィック RTP 用の UDP ポート(UDP ポート 16384 ~ 32767)(Any 方向)

この例では、7920 IP フォンのサブネットは 10.2.2.0/24、CallManager のサブネットは 10.1.1.0/24 です。 DNS サーバは 172.21.58.8 です。 以下は、show acl detail Voice コマンドの出力です。

Seq Direction Source IP/Mask          Dest IP/Mask            Protocol Src Port  Dest Port  DSCP  Action
--- --------- ---------------         ---------------         -------- --------  ---------  ----  ------
1     Any     0.0.0.0/0.0.0.0         0.0.0.0/0.0.0.0            1     0-65535   0-65535    Any  Permit
2     In      10.2.2.0/255.255.255.0 172.21.58.8/255.255.255.255 17    0-65535   53-53      Any  Permit
3     Out     172.21.58.8/255.255.255.255 10.2.2.0/255.255.255.0 17    53-53     0-65535    Any  Permit
4     In      10.2.2.0/255.255.255.0  10.1.1.0/255.255.255.0     6     0-65535   2000-2000  Any  Permit
5     Out     10.1.1.0/255.255.255.0  10.2.2.0/255.255.255.0     6     2000-2000 0-65535    Any  Permit
6     In      10.2.2.0/255.255.255.0  10.1.1.0/255.255.255.0     17    0-65535   0-65535    Any  Permit
7     Out     10.1.1.0/255.255.255.0  10.2.2.0/255.255.255.0     17    0-65535   0-65535    Any  Permit
8     In      10.2.2.0/255.255.255.0  0.0.0.0/0.0.0.0            17 16384-32767 16384-32767 Any  Permit
9     Out     0.0.0.0/0.0.0.0         10.2.2.0/255.255.255.0     17 16384-32767 16384-32767 Any  Permit

GUI では次のように表示されます。

http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wireless-lan-wlan/81733-contr-acls-rle2.gif

付録: 7920 IP Phone のポート

以下は、7920 IP フォンが Cisco CallManager(CCM)およびその他の IP フォンと通信するために使用するポートの簡単な説明です。

  • IP フォンから CCM [TFTP](最初は UDP ポート 69、その後データ転送のためにダイナミック ポート [一時的なポート] に変更):ファームウェアとコンフィギュレーション ファイルのダウンロードにトリビアル ファイル転送プロトコル(TFTP)を使用します。

  • IP フォンから CCM [Web サービス、ディレクトリ](TCP ポート 80):XML アプリケーション、認証、ディレクトリ、サービスなどの IP フォンの URL です。 これらのポートは、サービスごとに設定可能です。

  • IP フォンから CCM [音声シグナリング](TCP ポート 2000):Skinny Client Control Protocol(SCCP)です。 このポートは、設定可能です。

  • IP フォンから CCM [セキュア音声シグナリング](TCP ポート 2443):Secure Skinny Client Control Protocol(SCCPS)です。

  • IP フォンから CAPF [証明書](TCP ポート 3804):IP フォンにローカルで有効な証明書(LSC)を発行するための Certificate Authority Proxy Function(CAPF)リスニング ポートです。

  • ボイス ベアラーから IP フォンまたは IP フォンからボイス ベアラー [電話コール](UDP ポート 16384 ~ 32768):リアルタイム プロトコル(RTP)、セキュア リアルタイム プロトコル(SRTP)です。

    CCM は UDP ポート 24576 ~ 32768 のみを使用しますが、他のデバイスは全範囲を使用できます。

  • IP フォンから DNS サーバ [DNS](UDP ポート 53):システムが IP アドレスではなく、名前を使用するように設定されている場合、IP フォンは DNS を使用し、TFTP サーバ、CallManagers、および Web サーバのホスト名を解決します。

  • IP フォンから DHCP サーバ [DHCP](UDP ポート 67 [クライアント] および 68 [サーバ]):静的に設定されていない場合、IP フォンは DHCP を使用して IP アドレスを取得します。

5.0 CallManager が通信に使用するポートについては、『Cisco Unified CallManager 5.0 における TCP ポートおよび UDP ポートの使用状況』を参照してください。 また、4.1 CallManager が 7920 IP フォンとの通信に使用する特定のポートもあります。

4.1 CallManager が通信に使用するポートについては、『Cisco Unified CallManager 4.1 における TCP ポートおよび UDP ポートの使用状況』を参照してください。 また、4.1 CallManager が 7920 IP フォンとの通信に使用する特定のポートもあります。


関連情報


Document ID: 81733