Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
FlexConnect ACL の設定
FlexConnect ACL の設定
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

FlexConnect ACL の設定

アクセス コントロール リストについて

アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。 ACL を使用すると、ネットワーク トラフィックのアクセス制御を行えます。 コントローラで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、または WLAN に適用できます。 ACL を使用すると、ワイヤレス クライアントで送受信されるデータ トラフィックやコントローラの中央処理装置(CPU)へのデータ トラフィックを制御できます。FlexConnect アクセス ポイント上で ACL を設定して、ローカルでスイッチされるアクセス ポイント上のデータ トラフィックの効率的な使用およびアクセス制御を実現できます。

注意事項と制約事項

  • FlexConnect ACL は FlexConnect アクセス ポイントにのみ適用できます。 設定は、AP ごと、VLAN ごとに適用されます。
  • FlexConnect ACL は、入力と出力の両方のモードのアクセス ポイントで VLAN インターフェイスに適用できます。
  • コントローラ上に最大 512 の ACL を設定できます。
  • アクセス ポイントの既存のインターフェイスを ACL にマッピングできます。 インターフェイスを作成し、FlexConnect アクセス ポイント上での WLAN-VLAN マッピングを設定できます。
  • FlexConnect ACL は、VLAN サポートが FlexConnect アクセス ポイントで有効になっている場合のみ、アクセス ポイントの VLAN に適用できます。
  • コントローラで設定されている FlexConnect 以外の ACL は、FlexConnect AP に適用できません。
  • FlexConnect ACL では、ルールごとの方向はサポートされていません。 通常の ACL とは異なり、Flexconnect ACL では方向を持たせて設定することはできません。 ACL 全体を入力または出力としてインターフェイスに適用する必要があります。
  • 最大で 512 の FlexConnect ACL を定義することができ、各 ACL に最大 64 のルール(またはフィルタ)を設定できます。 各ルールには、ルールの処理に影響を与えるパラメータがあります。 パケットが 1 つのルールの全パラメータと一致した場合、そのルールに設定された処理がそのパケットに適用されます。
  • CAPWAP が LWAPP と異なるポートを使用していることが原因で、ネットワーク内の ACL を変更する必要がある場合があります。
  • すべての ACL で、最後のルールとして暗黙の「deny all」ルールが適用されます。 パケットがどのルールとも一致しない場合、アクセス ポイントによってドロップされます。
  • FlexConnect ACL は同じ WLAN 上でローカル モードの ACL と組み合わせることはできません。 ACL が FlexConnect とローカル モードの両方の AP で必要な場合は、両方の動作モード(FlexConnect AP 用の WLAN とローカル モードの AP 用の WLAN)で ACL を使用できるように、2 つの異なる WLAN を適用できます。

FlexConnect ACL の設定(GUI)


    ステップ 1   [Security] > [Access Control Lists] > [FlexConnect Access Control Lists] を選択して、[FlexConnect ACL] ページを開きます。

    このページには、コントローラ上で設定したすべての FlexConnect ACL が一覧表示されます。 このページには、このコンとローラ上で作成した FlexConnect ACL が表示されます。 ACL を削除するには、青のドロップダウン矢印の上にカーソルを移動し、[Remove] を選択します。

    ステップ 2   [New] をクリックして、新しい ACL を追加します。

    [Access Control Lists > New] ページが表示されます。

    ステップ 3   [Access Control List Name] テキスト ボックスに、新しい ACL の名前を入力します。 最大 32 文字の英数字を入力できます。
    ステップ 4   [Apply] をクリックします。

    [Access Control Lists] ページが再度表示されたら、新しい ACL の名前をクリックします。

    ステップ 5   [Access Control Lists > Edit] ページが表示されたら、[Add New Rule] をクリックします。

    [Access Control Lists > Rules > New] ページが表示されます。

    ステップ 6   この ACL のルールを次のように設定します。
    1. コントローラは各 ACL について最大 64 のルールをサポートします。 これらのルールは、1 から 64 の順にリストアップされます。 [Sequence] テキスト ボックスで、値(1 ~ 64)を入力し、この ACL に定義されている他のルールに対するこのルールの順番を決定します。
      (注)     

      ルール 1 ~ 4 がすでに定義されている場合にルール 29 を追加すると、これはルール 5 として追加されます。 ルールのシーケンス番号を追加または変更した場合は、順序を維持するために他のルールのシーケンス番号が調整されます。 たとえば、ルールのシーケンス番号を 7 から 5 に変更した場合、シーケンス番号 5 および 6 のルールはそれぞれ 6 および 7 へと自動的に番号が変更されます。

    2. [Source] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するパケットの送信元を指定します。

      [Any]:任意の送信元(これはデフォルト値です)。

      [IP Address]:特定の送信元。 このオプションを選択する場合は、テキスト ボックスに送信元の IP アドレスとネットマスクを入力します。

    3. [Destination] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するパケットの宛先を指定します。

      [Any]:任意の宛先(これはデフォルト値です)。

      [IP Address]:特定の宛先。 このオプションを選択する場合は、テキスト ボックスに宛先の IP アドレスとネットマスクを入力します。

    4. [Protocol] ドロップダウン リストから、この ACL に使用する IP パケットのプロトコル ID を選択します。 使用できるプロトコル オプションは、次のとおりです。
      • [Any]:任意のプロトコル(これはデフォルト値です)
      • [TCP]:トランスミッション コントロール プロトコル
      • [UDP]:ユーザ データグラム プロトコル
      • [ICMP]:インターネット制御メッセージ プロトコル
      • [ESP]:IP カプセル化セキュリティ ペイロード
      • [AH]:認証ヘッダー
      • [GRE]:Generic Routing Encapsulation
      • [IP in IP]:Internet Protocol(IP)in IP(IP-in-IP パケットのみを許可または拒否)
      • [Eth Over IP]:Ethernet-over-Internet プロトコル
      • [OSPF]:Open Shortest Path First
      • [Other]:その他の Internet Assigned Numbers Authority(IANA)プロトコル
        (注)      [Other] を選択する場合は、[Protocol] テキスト ボックスに目的のプロトコルの番号を入力します。 使用可能なプロトコルのリストは IANA Web サイトで確認できます。

      コントローラは ACL の IP パケットのみを許可または拒否できます。 他のタイプのパケット(ARP パケットなど)は指定できません。

      [TCP] または [UDP] を選択すると、[Source Port] および [Destination Port] の 2 つのパラメータも追加で表示されます。 これらのパラメータを使用すれば、特定の送信元ポートと宛先ポート、またはポート範囲を選択することができます。 ポート オプションは、ネットワーキング スタックとのデータ送受信をするアプリケーションによって使用されます。 一部のポートは、Telnet、SSH、HTTP など特定のアプリケーション用に指定されています。

    5. [DSCP] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL の Differentiated Service Code Point(DSCP)値を指定します。 [DSCP] は、インターネット上の QoS を定義するために使用できる IP ヘッダー テキスト ボックスです。
      • [Any]:任意の DSCP(これはデフォルト値です)
      • [Specific]:DSCP 編集ボックスに入力する、0 ~ 63 の特定の DSCP
    6. [Action] ドロップダウン リストから、[Deny] を選択してこの ACL でパケットがブロックされるようにするか、[Permit] を選択してこの ACL でパケットが許可されるようにします。 デフォルト値は [Deny] です。
    7. [Apply] をクリックして、変更を確定します。 [Access Control Lists > Edit] ページが再表示され、この ACL のルールが示されます。
    8. この ACL にさらにルールを追加するにはこの手順を繰り返します。
    ステップ 7   [Save Configuration] をクリックして、変更を保存します。

    FlexConnect ACL の設定(CLI)

    • config flexconnect acl create name:FlexConnect アクセス ポイントの ACL を作成します。 name は、最大 32 文字の IPv4 ACL 名にする必要があります。
    • config flexconnect acl delete name:FlexConnect ACL を削除します。
    • config flexconnect acl rule action acl-name rule-index {permit |deny}:ACL を許可または拒否します。
    • config flexconnect acl rule add acl-name rule-index:ACL ルールを追加します。
    • config flexconnect acl rule change index acl-name old-index new-index:ACL ルールのインデックス値を変更します。
    • config flexconnect acl rule delete name:ACL ルールを削除します。
    • config flexconnect acl rule dscp acl-name rule-index {0-63 | any }このルール インデックスの DiffServ コード ポイント(DSCP)値を指定します。 DSCP は、インターネット上のサービスの質を定義するのに使用できる IP ヘッダーです。 0 ~ 63 の値または「any」を入力します。 デフォルトは any です。
    • config flexconnect acl rule protocol acl-name rule-index {0-255 | any}ルール インデックスを ACL ルールに割り当てます。 0 ~ 255 の値または「any」を指定します。 デフォルトは「any」です。
    • config flexconnect acl rule destination address acl-name rule-index ipv4-addr subnet-mask:ルールの宛先 IP アドレス、ネットマスク、およびポート範囲を設定します。
    • config flexconnect acl rule destination port range acl-name rule-index start-port end-port:ルールの宛先ポート範囲を設定します。
    • config flexconnect acl rule source address acl-name rule-index ipv4-addr subnet-mask:ルールの送信元 IP アドレスおよびネットマスクを設定します。
    • config flexconnect acl apply acl-name:FlexConnect アクセス ポイントに ACL を適用します。
    • config flexconnectacl rule swap acl-name index-1 index-2:2 つのルールのインデックス値を入れ替えます。
    • config ap flexconnect vlan add acl vlan-id ingress-aclname egress-acl-name ap-name:FlexConnect アクセス ポイントに VLAN を追加します。
    • config flexconnect acl rule source port range acl-name rule-index start-port end-port:ルールの送信元ポート範囲を設定します。

    FlexConnect ACL の表示およびデバッグ(CLI)

    • show flexconnect acl summary:アクセス コントロール リストの概要を表示します。

    • show flexconnect acl detailed acl-name:アクセス コントロール リストの詳細な ACL 情報を表示します。

    • debug flexconnect acl {enable | disable}:FlexConnect ACL を有効または無効にします。 トラブルシューティングするには、このコマンドを使用します。

    • debug capwap reap:CAPWAP のデバッグを有効にします。