Cisco Aironet 1200 シリーズ アクセス ポイント インストレーション コンフィギュレーション ガイド, 12.2(8)JA
フィルタの設定
フィルタの設定
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

フィルタの設定

フィルタの概要

CLI を使用したフィルタの設定

Web ブラウザ インターフェイスを使用したフィルタの設定

MAC アドレス フィルタの設定と有効化

MAC アドレス フィルタの作成

IP フィルタの設定と有効化

IP フィルタの作成

Ethertype フィルタの設定と有効化

Ethertype フィルタの作成

フィルタの設定

この章では、Web ブラウザ インターフェイスを使用してアクセス ポイントに MAC アドレス、IP、Ethertype フィルタを設定し、管理する方法について説明します。 この章の内容は次のとおりです。

「フィルタの概要」

「CLI を使用したフィルタの設定」

「Web ブラウザ インターフェイスを使用したフィルタの設定」

フィルタの概要

プロトコル フィルタ(IP プロトコル、IP ポート、Ethertype)は、アクセス ポイントのイーサネット ポートと無線ポートを通じた特定のプロトコルの使用を禁止または許可します。 プロトコル フィルタは個別に設定することも、セットとして設定することもできます。 プロトコルは、ワイヤレス クライアント デバイス、またはワイヤード LAN 上のユーザ、あるいはその両方に対してフィルタできます。 たとえば、アクセス ポイントの無線ポートに SNMP フィルタを設定すると、ワイヤレス クライアント デバイスはアクセス ポイントで SNMP を使用できなくなります。しかし、ワイヤード LAN からの SNMP を使用したアクセスは可能です。

IP アドレスと MAC アドレスのフィルタは、特定の IP または MAC アドレス間で送受信されるユニキャストおよびマルチキャスト パケットの転送を許可または禁止します。 指定以外のすべてのアドレスにトラフィックを転送するフィルタを作成することも、指定以外のすべてのアドレスへのトラフィックを排除するフィルタを作成することもできます。

フィルタは Web ブラウザ インターフェイスを使用するか、CLI でコマンドを入力して設定します。


ヒント アクセス ポイントの QoS ポリシーにフィルタを指定することができます。 QoS ポリシーの設定手順の詳細については、第13章「QoS の設定」を参照してください。


CLI を使用したフィルタの設定

IOS コマンドを使用してフィルタを設定する場合、access control list(ACL;アクセス制御リスト)とブリッジ グループを使用します。 これらの概念の説明とその実装手順については、次の文書を参照してください。

『Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.2』 次のリンクをクリックすると、「トランスペアレント ブリッジングの設定」の章を参照できます。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fibm_c/bcfpart1/bcftb.htm

『Catalyst 4908G-L3 Cisco IOS Release 12.0(10)W5(18e) Software Feature and Configuration Guide』 次のリンクをクリックすると、「コマンド リファレンス」の章を参照できます。
http://www.cisco.com/univercd/cc/td/doc/product/l3sw/4908g_l3/ios_12/10w518e/config/cmd_ref.htm

Web ブラウザ インターフェイスを使用したフィルタの設定

次の項で、Web ブラウザ インターフェイスを使用してフィルタを設定し、有効にする方法について説明しています。 フィルタは 2 つの手順を使って設定し、有効にします。

1. フィルタ設定ページを使用して、フィルタに名前を付け、設定を行います。

2. [Apply Filters]ページを使用してフィルタを有効にします。

次の項で、3 つのフィルタ タイプの設定と有効化を説明します。

「MAC アドレス フィルタの設定と有効化」

「IP フィルタの設定と有効化」

「Ethertype フィルタの設定と有効化」

MAC アドレス フィルタの設定と有効化

MAC アドレス フィルタは、特定の MAC アドレスとの間で送受信されるユニキャストおよびマルチキャスト パケットの転送を許可または禁止します。 指定以外のすべての MAC アドレスにトラフィックを転送するフィルタを作成することも、指定以外のすべての MAC アドレスへのトラフィックを排除するフィルタを作成することもできます。 作成したフィルタは、イーサネット ポートと無線ポートのいずれか、または両方、および到着パケットと発信パケットのいずれか、または両方に適用できます。


) MAC アドレス フィルタは強力なので、フィルタの設定を間違えると自分自身をアクセス ポイントからロックアウトしてしまう可能性があります。 不注意でアクセス ポイントからロックアウトされた場合は、CLI を使用してフィルタを無効にします。


[MAC Address Filters]ページで、アクセス ポイントの MAC アドレス フィルタを作成します。図 15-1 は[MAC Address Filters]ページを示しています。

図 15-1 [MAC Address Filters]ページ

 

次のリンク パスに従って、[Address Filters]ページを表示します。

1. ページ ナビゲーション バーの[Services]をクリックします。

2. [Services]ページで[Filters]をクリックします。

3. [Apply Filters]ページで、上部にある[MAC Address Filters]タブをクリックします。

MAC アドレス フィルタの作成

MAC アドレス フィルタを作成する手順は、次のとおりです。


ステップ 1 リンク パスに従って、[MAC Address Filters]ページを表示します。

ステップ 2 MAC アドレス フィルタを新規に作成する場合、[Create/Edit Filter Index]メニューで[NEW](デフォルト)が選択されていることを確認してください。 フィルタを編集する場合は、[Create/Edit Filter Index]メニューからフィルタ番号を選択します。

ステップ 3 [Filter Index]フィールドでフィルタに 700 ~ 799 までの番号を付けます。割り当てた番号でフィルタの ACL が作成されます。

ステップ 4 [Add MAC Address]フィールドに MAC アドレスを入力します。 4 文字の 3 つのグループをピリオドで区切ってアドレスを入力します(0040.9612.3456 など)。

ステップ 5 [Mask]入力フィールドで、フィルタが MAC アドレスと比べて左から右にチェックするビット数を指定します。 たとえば、MAC アドレスと完全に一致する必要がある場合(すべてのビットをチェックする場合)は、FFFF.FFFF.FFFF と入力します。 最初の 4 バイトのみをチェックする場合は、FFFF.FFFF.0000 と入力します。

ステップ 6 [Action]メニューから[Forward]または[Block]を選択します。

ステップ 7 [Add]をクリックします。[Filters Classes]フィールドに MAC アドレスが表示されます。[Filters Classes]リストから MAC アドレスを削除するには、そのアドレスを選択してから[Delete]をクリックします。

ステップ 8 ステップ 4ステップ 7 を繰り返して、フィルタにアドレスを追加します。

ステップ 9 [Default Action]メニューから[Forward All]または[Block All]を選択します。 フィールドの 1 つ以上のアドレスに指定されているアクションと逆のアクションを、フィルタのデフォルトのアクションとして指定します。 たとえば、複数のアドレスを入力し、すべてのアクションに[Block]を選択した場合、フィルタのデフォルト アクションに[Forward All]を選択する必要があります。


ヒント 許可される MAC アドレスのリストは、ネットワーク上の認証サーバに作成することができます。 MAC ベースの認証の使用については、「認証タイプの設定」を参照してください。


ステップ 10 [Apply]をクリックします。 フィルタはアクセス ポイントに保存されますが、[Apply Filters]ページで適用するまで有効になりません。

ステップ 11 [Apply Filters]タブをクリックして[Apply Filters]ページに戻ります。図 15-2に[Apply Filters]ページを示します。

図 15-2 [Apply Filters]ページ

 

ステップ 12 MAC のドロップダウン メニューの 1 つからフィルタ番号を選択します。 フィルタは、イーサネット ポートと無線ポートのいずれか、または両方、および到着パケットと発信パケットのいずれか、または両方に適用できます。

ステップ 13 [Apply]をクリックします。 フィルタは選択したポートで有効になります。

クライアントが直ちにフィルタされない場合は、[System Configuration]ページの[Reload]をクリックして、アクセス ポイントを再起動します。[System Configuration]ページを表示するには、タスク メニューの[System Software]をクリックして、[System Configuration]をクリックします。


) 排除された MAC アドレスを持つクライアント デバイスは、アクセス ポイントを介してデータを送受信することはできませんが、許可されていないクライアント デバイスとして[Association Table]に保持されている場合があります。 排除された MAC アドレスを持つクライアント デバイスは、アクセス ポイントからの監視が終了した場合、アクセス ポイントがリブートした場合、または別のアクセス ポイントと結合したときに[Association Table]から消去されます。



 

IP フィルタの設定と有効化

IP フィルタ(IP アドレス、IP プロトコル、IP ポート)は、アクセス ポイントのイーサネット ポートと無線ポートを介した特定のプロトコルの使用を禁止または許可し、IP アドレス フィルタは、特定の IP アドレスとの間で送受信されるユニキャストおよびマルチキャスト パケットの転送を許可または禁止します。 指定以外のすべてのアドレスにトラフィックを転送するフィルタを作成することも、指定以外のすべてのアドレスへのトラフィックを排除するフィルタを作成することもできます。 3 つの IP フィルタリング方式の 1 つ、2 つ、または 3 つすべてを使用するフィルタを作成できます。 作成したフィルタは、イーサネット ポートと無線ポートのいずれか、または両方、および到着パケットと発信パケットのいずれか、または両方に適用できます。

[IP Filters]ページで、アクセス ポイントの IP フィルタを作成します。図 15-3 は[IP Filters]ページを示しています。

図 15-3 [IP Filters]ページ

 

次のリンク パスに従って、[IP Filters]ページを表示します。

1. ページ ナビゲーション バーの[Services]をクリックします。

2. [Services]ページで[Filters]をクリックします。

3. [Apply Filters]ページで、上部にある[IP Filters]タブをクリックします。

IP フィルタの作成

IP フィルタを作成する手順は、次のとおりです。


ステップ 1 リンク パスに従って、[IP Filters]ページを表示します。

ステップ 2 フィルタを新規に作成する場合、[Create/Edit Filter Index]メニューで[NEW](デフォルト)が選択されていることを確認してください。 既存のフィルタを編集する場合は、[Create/Edit Filter Index]メニューからフィルタ名を選択します。

ステップ 3 [Filter Name]フィールドに、新規フィルタのわかりやすい名前を入力します。

ステップ 4 [Default Action]メニューからフィルタのデフォルト アクションとして、[Forward all]または[Block all]を選択します。 フィールドの 1 つ以上のアドレスに指定されているアクションと逆のアクションを、フィルタのデフォルトのアクションとして指定します。 たとえば、IP アドレス、IP プロトコル、IP ポートに適用されるフィルタを作成し、それらのすべてのアクションに[Block]を選択した場合、フィルタのデフォルト アクションに[Forward All]を選択する必要があります。

ステップ 5 IP アドレスをフィルタリングする場合は、[IP Address]フィールドにアドレスを入力します。


) IP アドレスへのトラフィックで、許可した以外のすべてのトラフィックを排除する予定であれば、許可アドレスのリストに使用している PC のアドレスを入力し、アクセス ポイントとの接続が損なわれないようにします。


ステップ 6 [Mask]フィールドに IP アドレスのマスクを入力します。 文字のグループをピリオドで区切ってマスクを入力します(112.334.556.778 など)。 マスクに 255.255.255.255 を入力した場合、アクセス ポイントはすべての IP アドレスを受け付けます。 0.0.0.0 を入力した場合、アクセス ポイントは[IP アドレス]フィールドに入力した IP アドレスと完全に一致するアドレスを探します。 このフィールドに入力するマスクは、CLI で入力した場合のマスクと同じように動作します。

ステップ 7 [Action]メニューから[Forward]または[Block]を選択します。

ステップ 8 [Add]をクリックします。[Filters Classes]フィールドにアドレスが表示されます。[Filters Classes]リストからアドレスを削除するには、そのアドレスを選択してから[Delete]をクリックします。 ステップ 5ステップ 8 を繰り返して、フィルタにアドレスを追加します。

フィルタに IP プロトコルまたは IP ポート要素を追加する必要がない場合は、ステップ 15 を省略して、アクセス ポイントにフィルタを保存します。

ステップ 9 IP プロトコルをフィルタリングする場合は、[IP Protocol]ドロップダウン メニューから共通のプロトコルのいずれかを選択するか、[Custom]ラジオ ボタンを選択して[Custom]フィールドに既存の ACL の番号を入力します。 0 ~ 255 の ACL 番号を入力します。IP プロトコルとその数値の指定名のリストについては、 Appendix D, "プロトコル フィルタ," を参照してください。

ステップ 10 [Action]メニューから[Forward]または[Block]を選択します。

ステップ 11 [Add]をクリックします。[Filters Classes]フィールドにプロトコルが表示されます。[Filters Classes]リストからプロトコルを削除するには、そのプロトコルを選択してから[Delete Class]をクリックします。 ステップ 9ステップ 11 を繰り返して、フィルタにプロトコルを追加します。

フィルタに IP ポート要素を追加する必要がない場合は、ステップ 15 を省略して、アクセス ポイントにフィルタを保存します。

ステップ 12 TCP または UDP ポート プロトコルをフィルタリングする場合は、[TCP Port]または[UDP Port]ドロップダウン メニューから共通のポート プロトコルのいずれかを選択するか、[Custom]ラジオ ボタンを選択して[Custom]フィールドに既存のプロトコルの番号を入力します。 0 ~ 65535 のプロトコル番号を入力します。IP ポート プロトコルとその数値の指定名のリストについては、 Appendix D, "プロトコル フィルタ," を参照してください。

ステップ 13 [Action]メニューから[Forward]または[Block]を選択します。

ステップ 14 [Add]をクリックします。[Filters Classes]フィールドにプロトコルが表示されます。[Filters Classes]リストからプロトコルを削除するには、そのプロトコルを選択してから[Delete Class]をクリックします。 ステップ 12ステップ 14 を繰り返して、フィルタにプロトコルを追加します。

ステップ 15 フィルタの設定が終了したら、[Apply]をクリックします。 フィルタはアクセス ポイントに保存されますが、[Apply Filters]ページで適用するまで有効になりません。

ステップ 16 [Apply Filters]タブをクリックして[Apply Filters]ページに戻ります。図 15-4に[Apply Filters]ページを示します。

図 15-4 [Apply Filters]ページ

 

ステップ 17 IP のドロップダウン メニューの 1 つからフィルタ名を選択します。 フィルタは、イーサネット ポートと無線ポートのいずれか、または両方、および到着パケットと発信パケットのいずれか、または両方に適用できます。

ステップ 18 [Apply]をクリックします。 フィルタは選択したポートで有効になります。


 

Ethertype フィルタの設定と有効化

Ethertype フィルタは、アクセス ポイントのイーサネット ポートと無線ポートを経由した特定のプロトコルの使用を禁止または許可します。 作成したフィルタは、イーサネット ポートと無線ポートのいずれか、または両方、および到着パケットと発信パケットのいずれか、または両方に適用できます。

[Ethertype Filters]ページで、アクセス ポイントの Ethertype フィルタを作成します。図 15-5 は[Ethertype Filters]ページを示しています。

図 15-5 [Ethertype Filters]ページ

 

次のリンク パスに従って、[Ethertype Filters]ページを表示します。

1. ページ ナビゲーション バーの[Services]をクリックします。

2. [Services]ページで[Filters]をクリックします。

3. [Apply Filters]ページで、上部にある[Ethertype Filters]タブをクリックします。

Ethertype フィルタの作成

Ethertype フィルタを作成する手順は、次のとおりです。


ステップ 1 リンク パスに従って、[Etherype Filters]ページを表示します。

ステップ 2 フィルタを新規に作成する場合、[Create/Edit Filter Index]メニューで[NEW](デフォルト)が選択されていることを確認してください。 既存のフィルタを編集する場合は、[Create/Edit Filter Index]メニューからフィルタ番号を選択します。

ステップ 3 [Filter Index]フィールドでフィルタに 200 ~ 299 までの番号を付けます。割り当てた番号でフィルタの ACL が作成されます。

ステップ 4 [Add Ethertype]フィールドに Ethertype 番号を入力します。 プロトコルとその数値の指定値のリストについては、 Appendix D, "プロトコル フィルタ," を参照してください。

ステップ 5 [Mask]フィールドに Ethertype のマスクを入力します。

ステップ 6 [Action]メニューから[Forward]または[Block]を選択します。

ステップ 7 [Add]をクリックします。[Filters Classes]フィールドに Ethertype が表示されます。[Filters Classes]リストから Ethertype を削除するには、その Ethertype を選択してから[Delete Class]をクリックします。 ステップ 4ステップ 7 を繰り返して、フィルタに Ethertype を追加します。

ステップ 8 [Default Action]メニューから[Forward All]または[Block All]を選択します。 フィルタの 1 つ以上の Ethertype に指定したアクションと逆のアクションを、フィルタのデフォルト アクションに指定します。 たとえば、複数の Ethertype を入力し、そのすべてのアクションに[Block]を選択した場合、フィルタのデフォルト アクションに[Forward All]を選択する必要があります。

ステップ 9 [Apply]をクリックします。 フィルタはアクセス ポイントに保存されますが、[Apply Filters]ページで適用するまで有効になりません。

ステップ 10 [Apply Filters]タブをクリックして[Apply Filters]ページに戻ります。図 15-6に[Apply Filters]ページを示します。

図 15-6 [Apply Filters]ページ

 

ステップ 11 Ethertype のドロップダウン メニューの 1 つからフィルタ番号を選択します。 フィルタは、イーサネット ポートと無線ポートのいずれか、または両方、および到着パケットと発信パケットのいずれか、または両方に適用できます。

ステップ 12 [Apply]をクリックします。 フィルタは選択したポートで有効になります。