Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
アクセス コントロール リストの設定と適用
アクセス コントロール リストの設定と適用
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

アクセス コントロール リストの設定と適用

アクセス コントロール リストについて

アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。 コントローラで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、またはワイヤレス クライアントとやり取りするデータ トラフィックの制御用の WLAN、あるいは Central Processing Unit(CPU; 中央処理装置)宛のすべてのトラフィックの制御用のコントローラ CPU に適用できます。

または、Web 認証用に事前認証 ACL を作成することもできます。 事前認証 ACL を使用すると、認証が完了する前に、特定の種類のトラフィックを許可することができます。

IPv4 ACL および IPv6 ACL のどちらもサポートされています。 IPv6 ACL は、送信元、宛先、送信元ポート、宛先ポートなど、IPv4 ACL と同じオプションをサポートします。


(注)  


ネットワーク内で IPv4 トラフィックだけを有効にするには、IPv6 トラフィックをブロックします。 つまり、すべての IPv6 トラフィックを拒否するように IPv6 ACL を設定し、これを特定またはすべての WLAN 上で適用します。


注意事項および制約事項

  • IPv4 および IPv6 の両方に最大 64 の ACL を定義し、各 ACL に最大 64 のルール(またはフィルタ)を適用できます。 各ルールには、ルールの処理に影響を与えるパラメータがあります。 パケットが 1 つのルールの全パラメータと一致した場合、そのルールに設定された処理がそのパケットに適用されます。
  • Cisco 5500 シリーズ コントローラまたは Cisco WiSM2 で CPU ACL を適用する場合、Web 認証のために仮想インターフェイス IP アドレスに送信されるトラフィックを許可する必要があります。
  • すべての ACL で、最後のルールとして暗黙の「deny all」ルールが適用されます。 パケットがどのルールとも一致しない場合、コントローラによってドロップされます。
  • Cisco 5500 シリーズ コントローラまたはコントローラ ネットワーク モジュールと共に外部の Web サーバを使用している場合は、WLAN 上で外部 Web サーバに対する事前認証 ACL を設定する必要があります。
  • インターフェイスまたは WLAN に ACL を適用すると、1 Gbps ファイル サーバからのダウンロードの際にワイヤレス スループットが低下します。 スループットを改善するには、インターフェイスまたは WLAN から ACL を削除するか、ポリシー レート制限制約機能を持つ隣接有線デバイスに ACL を移動するか、1 Gbps ではなく 100 Mbps を使用してファイル サーバを接続します。
  • 無線クライアントに向かう有線ネットワークから受け取るマルチキャスト トラフィックは WLC ACL では処理されません。 同じコントローラの有線ネットワークまたはその他のワイヤレス クライアントに向かう無線クライアントから開始されるマルチキャスト トラフィックは WLC、ACL によって処理されます。
  • ACL はコントローラ上で直接設定されるか、 のテンプレートを使用して設定されます。 ACL 名は固有の名前でなければなりません。
  • クライアント(AAA によって上書きされる ACL)ごと、またはインターフェイスか WLAN 上に ACL を設定できます。 AAA によって上書きされる ACL の優先度が最も高くなります。 ただし、各インターフェイス、WLAN、または適用するクライアントごとの ACL 設定が、お互いに上書きする可能性があります。
  • ピア ツー ピア ブロッキングが有効になると、ACL によってピア間のトラフィックが許可されている場合でも、そのトラフィックはブロックされます。

アクセス コントロール リストの設定と適用(GUI)

アクセス コントロール リストの設定


    ステップ 1   [Security] > [Access Control Lists] > [Access Control Lists] を選択して、[Access Control Lists] ページを開きます。
    ステップ 2   パケットがコントローラに設定された ACL のいずれかに一致するかどうかを確認する場合は、[Enable Counters] チェックボックスをオンにして [Apply] をクリックします。 それ以外の場合、このチェックボックスはオフ(デフォルト値)のままにしておきます。 この機能は、システムのトラブルシューティングを実行する際に役立ちます。
    (注)     

    ACL のカウンタをクリアするには、その ACL の青いドロップダウンの矢印の上にカーソルを置いて、[Clear Counters] を選択します。

    ステップ 3   [New] をクリックして、新しい ACL を追加します。 [Access Control Lists > New] ページが表示されます。
    ステップ 4   [Access Control List Name] テキスト ボックスに、新しい ACL の名前を入力します。 最大 32 文字の英数字を入力できます。
    ステップ 5   ACL タイプを選択します。 IPv4 と IPv6 の 2 つの ACL のタイプがサポートされています。
    ステップ 6   [Apply] をクリックします。 [Access Control Lists] ページが再度表示されたら、新しい ACL の名前をクリックします。
    ステップ 7   [Access Control Lists > Edit] ページが表示されたら、[Add New Rule] をクリックします。 [Access Control Lists > Rules > New] ページが表示されます。
    ステップ 8   この ACL のルールを次のように設定します。
    1. コントローラは各 ACL について最大 64 のルールをサポートします。 これらのルールは、1 から 64 の順にリストアップされます。 [Sequence] テキスト ボックスで、値(1 ~ 64)を入力し、この ACL に定義されている他のルールに対するこのルールの順番を決定します。
      (注)     

      ルール 1 ~ 4 がすでに定義されている場合にルール 29 を追加すると、これはルール 5 として追加されます。 ルールのシーケンス番号を追加または変更した場合は、順序を維持するために他のルールのシーケンス番号が調整されます。 たとえば、ルールのシーケンス番号を 7 から 5 に変更した場合、シーケンス番号 5 および 6 のルールはそれぞれ 6 および 7 へと自動的に番号が変更されます。

    2. [Source] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するパケットの送信元を指定します。
      • [Any]:任意の送信元(これはデフォルト値です)。
      • [IP Address]:特定の送信元。 このオプションを選択する場合は、テキスト ボックスに送信元の IP アドレスとネットマスクを入力します。 IPv6 ACL を設定している場合は、テキスト ボックスに宛先の IPv6 アドレスとプレフィックスの長さを入力します。
    3. [Destination] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するパケットの宛先を指定します。
      • [Any]:任意の宛先(これはデフォルト値です)。
      • [IP Address]:特定の宛先。 このオプションを選択する場合は、テキスト ボックスに宛先の IP アドレスとネットマスクを入力します。 IPv6 ACL を設定している場合は、テキスト ボックスに宛先の IPv6 アドレスとプレフィックスの長さを入力します。
    4. [Protocol] ドロップダウン リストから、この ACL に使用する IP パケットのプロトコル ID を選択します。 プロトコル オプションは次のとおりです。
      • [Any]:任意のプロトコル(これはデフォルト値です)
      • [TCP]:トランスミッション コントロール プロトコル
      • [UDP]:ユーザ データグラム プロトコル
      • [ICMP/ICMPv6]:インターネット制御メッセージ プロトコル
        (注)      ICMPv6 は IPv6 ACL でのみ使用可能です。
      • [ESP]:IP カプセル化セキュリティ ペイロード
      • [AH]:認証ヘッダー
      • [GRE]:Generic Routing Encapsulation
      • [IP in IP]:Internet Protocol(IP)in IP(IP-in-IP パケットのみを許可または拒否)
      • [Eth Over IP]:Ethernet-over-Internet プロトコル
      • [OSPF]:Open Shortest Path First
      • [Other]:その他の Internet Assigned Numbers Authority(IANA)プロトコル
        (注)     

        [Other] を選択する場合は、[Protocol] テキスト ボックスに目的のプロトコルの番号を入力します。 使用可能なプロトコルのリストは IANA Web サイトで確認できます。

      コントローラは ACL の IP パケットのみを許可または拒否できます。 他のタイプのパケット(ARP パケットなど)は指定できません。
    5. 前の手順で [TCP] または [UDP] を選択すると、[Source Port] および [Destination Port] の 2 つのパラメータも追加で表示されます。 これらのパラメータを使用すれば、特定の送信元ポートと宛先ポート、またはポート範囲を選択することができます。 ポート オプションは、ネットワーキング スタックとのデータ送受信をするアプリケーションによって使用されます。 一部のポートは、Telnet、SSH、HTTP など特定のアプリケーション用に指定されています。
      (注)     

      ACL タイプに基づく送信元および宛先ポート。

    6. [DSCP] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL の Differentiated Service Code Point(DSCP)値を指定します。 [DSCP] は、インターネット上の QoS を定義するために使用できる IP ヘッダー テキスト ボックスです。
      • [Any]:任意の DSCP(これはデフォルト値です)
      • [Specific]:DSCP 編集ボックスに入力する、0 ~ 63 の特定の DSCP
    7. [Direction] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するトラフィックの方向を指定します。
      • [Any]:任意の方向(これはデフォルト値です)
      • [Inbound]:クライアントから
      • [Outbound]:クライアントへ
      (注)     

      この ACL をコントローラ CPU に適用する予定の場合、パケットの方向は重要ではないので常に「Any」です。

    8. [Action] ドロップダウン リストから、[Deny] を選択してこの ACL でパケットがブロックされるようにするか、[Permit] を選択してこの ACL でパケットが許可されるようにします。 デフォルト値は [Deny] です。
    9. [Apply] をクリックして、変更を確定します。 [Access Control Lists > Edit] ページが再表示され、この ACL のルールが示されます。 [Deny Counters] フィールドには、パケットが明示的拒否 ACL ルールに一致した回数が表示されます。 [Number of Hits] フィールドには、パケットが ACL ルールに一致した回数が表示されます。 これらのフィールドを有効にするには、[Access Control Lists] ページ上で ACL カウンタを有効にする必要があります。
      (注)     

      ルールを編集する場合は、希望のルールのシーケンス番号をクリックし、[Access Control Lists > Rules > Edit] ページを開きます。 ルールを削除するには、該当するルールの青いドロップダウン矢印の上にカーソルを置き、[Remove] を選択します。

    10. この ACL にさらにルールを追加するにはこの手順を繰り返します。
    ステップ 9   [Save Configuration] をクリックして、変更を保存します。
    ステップ 10   さらに ACL を追加するにはこの手順を繰り返します。

    インターフェイスへのアクセス コントロール リストの適用


      ステップ 1   [Controller] > [Interfaces] の順に選択します。
      ステップ 2   目的のインターフェイスの名前をクリックします。 そのインターフェイスの [Interfaces > Edit] ページが表示されます。
      ステップ 3   [ACL Name] ドロップダウン リストから必要な ACL を選択し、[Apply] をクリックします。 デフォルトは [None] です。
      (注)      インターフェイス ACL としてサポートされるのは IPv4 ACL だけです。
      ステップ 4   [Save Configuration] をクリックして、変更を保存します。

      コントローラ CPU へのアクセス コントロール リストの適用


        ステップ 1   [Security] > [Access Control Lists] > [CPU Access Control Lists] の順に選択して、[CPU Access Control Lists] ページを開きます。
        ステップ 2   [Enable CPU ACL] チェックボックスをオンにして、指定した ACL でコントローラの CPU へのトラフィックを制御できるようにするか、チェックボックスをオフにして CPU ACL の機能を無効にし、CPU にすでに適用されている ACL をすべて削除します。 デフォルト値はオフです。
        ステップ 3   [ACL Name] ドロップダウン リストから、コントローラの CPU へのトラフィックを制御する ACL を選択します。 デフォルト値は [None] で、CPU ACL 機能は無効にされています。 [CPU ACL Enable] チェックボックスをオンにして [None] を選択すると、ACL を選択する必要があることを示すエラー メッセージが表示されます。
        (注)     

        このパラメータは、[CPU ACL Enable] チェックボックスをオンにした場合のみ使用できます。

        (注)     

        CPU ACL が有効な場合、その CPU ACL は無線トラフィックと有線トラフィックの両方に適用されます。 CPU ACL としてサポートされるのは IPv4 ACL だけです。

        ステップ 4   [Apply] をクリックして、変更を確定します。
        ステップ 5   [Save Configuration] をクリックして、変更を保存します。

        WLAN へのアクセス コントロール リストの適用


          ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
          ステップ 2   必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
          ステップ 3   [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。
          ステップ 4   [Override Interface ACL] ドロップダウン リストから、この WLAN に適用する IPv4 または IPv6 ACL を選択します。 選択した ACL は、インターフェイスに設定されたすべての ACL を上書きします。 デフォルト値は [None] です。
          (注)     

          ISE や ACS などの AAA サーバを介した中央集中型のアクセス制御をサポートするには、コントローラに IPv6 ACL を設定し、WLAN で AAA Override 機能を有効にする必要があります。

          ステップ 5   [Apply] をクリックします。
          ステップ 6   [Save Configuration] をクリックします。

          WLAN への事前認証アクセス コントロール リストの適用


            ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
            ステップ 2   必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
            ステップ 3   [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。
            ステップ 4   [Web Policy] チェックボックスをオンにします。
            ステップ 5   [Preauthentication ACL] ドロップダウン リストから目的の ACL を選択し、[Apply] をクリックします。 デフォルト値は [None] です。
            ステップ 6   [Save Configuration] をクリックして、変更を保存します。

            アクセス コントロール リストの設定と適用(CLI)

            アクセス コントロール リストの設定


              ステップ 1   次のコマンドを入力して、コントローラ上に設定されているすべての ACL を表示します。

              show [ipv6] acl summary

              ステップ 2   次のコマンドを入力して、特定の ACL の詳細情報を表示します。 show [ipv6] acl detailed acl_name

              
パケットが ACL ルールと一致するたびに、[Counter] テキスト ボックスの値が増加します。[DenyCounter] テキスト ボックスの値は、パケットがいずれのルールとも一致しない場合に増加します。

              (注)     

              許可ルールによってトラフィック/要求がコントローラから許可されると、反対方向でもトラフィック/要求への応答が許可され、ACL の拒否ルールではブロックできなくなります。

              ステップ 3   次のコマンドを入力して、コントローラの ACL カウンタを有効または無効にします。

              config acl counter {start | stop}

              (注)     

              ACL の現在のカウンタをクリアする場合は、clear acl counters acl_name コマンドを入力します。

              ステップ 4   次のコマンドを入力して、新しい ACL を追加します。 config [ipv6] acl create acl_name

              acl_name パラメータには、最大 32 文字の英数字を入力できます。

              (注)     

              スペースが含まれたインターフェイス名を作成しようとすると、コントローラ CLI でインターフェイスは作成されません。 たとえば、int 3 というインターフェイス名を作成しようとすると、int と 3 の間にスペースがあるため CLI でこのインターフェイス名は作成されません。 int 3 をインターフェイス名として使用するには、'int 3' のように単一引用符で囲む必要があります。

              ステップ 5   次のコマンドを入力して、ACL のルールを追加します。 config [ipv6] acl rule add acl_name rule_index
              ステップ 6   config [ipv6] acl rule コマンドを入力して、ACL のルールを設定します。
              ステップ 7   次のコマンドを入力して、設定を保存します。

              save config

              (注)     

              ACL を削除するには、config [ipv6] acl delete acl_name コマンドを入力します。 ACL ルールを削除するには、config [ipv6] acl rule delete acl_name rule_index コマンドを入力します。


              アクセス コントロール リストの適用


                ステップ 1   次のいずれかの操作を行います。
                • ACL をデータ パスに適用するには、次のコマンドを入力します。

                  config acl apply acl_name

                • ACL をコントローラの CPU に適用して、CPU に転送されるトラフィックのタイプ(有線、無線、または両方)を制限するには、次のコマンドを入力します。

                  config acl cpu acl_name {wired | wireless | both}

                  (注)     

                  コントローラ CPU に適用されている ACL を表示するには、show acl cpu コマンドを入力します。 コントローラ CPU に適用されている ACL を削除するには、config acl cpu none コマンドを入力します。

                • ACL を WLAN に適用するには、次のコマンドを入力します。

                  config wlan acl wlan_id acl_name

                  (注)     

                  WLAN に適用されている ACL を表示するには、show wlan wlan_id コマンドを入力します。 WLAN に適用されている ACL を削除するには、config wlan acl wlan_id none コマンドを入力します。

                • 事前認証 ACL を WLAN に適用するには、次のコマンドを入力します。

                  config wlan security web-auth acl wlan_id acl_name

                ステップ 2   次のコマンドを入力して、変更を保存します。 save config