Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0
アクセス コントロール リストの設定と適用
アクセス コントロール リストの設定と適用

目次

アクセス コントロール リストの設定と適用

アクセス コントロール リストについて

アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。 コントローラで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、またはワイヤレス クライアントとやり取りするデータ トラフィックの制御用の WLAN、あるいは Central Processing Unit(CPU; 中央処理装置)宛のすべてのトラフィックの制御用のコントローラ CPU に適用できます。

または、Web 認証用に事前認証 ACL を作成することもできます。 事前認証 ACL を使用すると、認証が完了する前に、特定の種類のトラフィックを許可することができます。

IPv4 ACL および IPv6 ACL のどちらもサポートされています。 IPv6 ACL は、送信元、宛先、送信元ポート、宛先ポートなど、IPv4 ACL と同じオプションをサポートします。


(注)  


ネットワーク内で IPv4 トラフィックだけを有効にするには、IPv6 トラフィックをブロックします。 つまり、すべての IPv6 トラフィックを拒否するように IPv6 ACL を設定し、これを特定またはすべての WLAN 上で適用します。


アクセス コントロール リストの制約事項

  • IPv4 および IPv6 の両方に最大 64 の ACL を定義し、各 ACL に最大 64 のルール(またはフィルタ)を適用できます。 各ルールには、ルールの処理に影響を与えるパラメータがあります。 パケットが 1 つのルールの全パラメータと一致した場合、そのルールに設定された処理がそのパケットに適用されます。

  • Cisco 5500 シリーズ コントローラまたは Cisco WiSM2 で CPU ACL を適用する場合、Web 認証のために仮想インターフェイス IP アドレスに送信されるトラフィックを許可する必要があります。

  • すべての ACL で、最後のルールとして暗黙の「deny all」ルールが適用されます。 パケットがどのルールとも一致しない場合、コントローラによってドロップされます。

  • Cisco 5500 シリーズ コントローラまたはコントローラ ネットワーク モジュールと共に外部の Web サーバを使用している場合は、WLAN 上で外部 Web サーバに対する事前認証 ACL を設定する必要があります。

  • インターフェイスまたは WLAN に ACL を適用すると、1 Gbps ファイル サーバからのダウンロードの際にワイヤレス スループットが低下します。 スループットを改善するには、インターフェイスまたは WLAN から ACL を削除するか、ポリシー レート制限制約機能を持つ隣接有線デバイスに ACL を移動するか、1 Gbps ではなく 100 Mbps を使用してファイル サーバを接続します。

  • 有線ネットワークから受信した無線クライアントに向かうマルチキャスト トラフィックは WLC ACL では処理されません。 無線クライアントから開始され同じコントローラの有線ネットワークまたはその他のワイヤレス クライアントに向かうマルチキャスト トラフィックは、WLC ACL によって処理されます。

  • ACL はコントローラ上で直接設定されるか、Cisco Prime Infrastructure のテンプレートを使用して設定されます。 ACL 名は固有の名前でなければなりません。

  • クライアント(AAA によって上書きされる ACL)ごと、もしくはインターフェイスまたは WLAN で ACL を設定できます。 AAA によって上書きされる ACL の優先度が最も高くなります。 ただし、適用する各インターフェイス、WLAN、またはクライアントごとの ACL の設定は、お互いを上書きできます。

  • ピアツーピア ブロッキングが有効になると、トラフィックは ACL で許可されてもピア間でブロックされます。

  • 認証トラフィックは、DNS ベースの ACL が AP に対してローカルであっても、この機能がサポートされるように Cisco WLC を経由する必要があります。

  • ACL を作成する場合は、CLI または GUI から 2 つのアクション(ACL または ACL ルールの作成と、ACL または ACL ルールの適用)を連続して行うことが推奨されます。

アクセス コントロール リストの設定と適用(GUI)

アクセス コントロール リストの設定


    ステップ 1   [Security] > [Access Control Lists] > [Access Control Lists] を選択して、[Access Control Lists] ページを開きます。
    ステップ 2   パケットがコントローラに設定された ACL のいずれかに一致するかどうかを確認する場合は、[Enable Counters] チェックボックスをオンにして [Apply] をクリックします。 それ以外の場合、このチェックボックスはオフ(デフォルト値)のままにしておきます。 この機能は、システムのトラブルシューティングを実行する際に役立ちます。
    (注)     

    ACL のカウンタをクリアするには、その ACL の青いドロップダウンの矢印の上にカーソルを置いて、[Clear Counters] を選択します。

    ステップ 3   [New] をクリックして、新しい ACL を追加します。 [Access Control Lists > New] ページが表示されます。
    ステップ 4   [Access Control List Name] テキスト ボックスに、新しい ACL の名前を入力します。 最大 32 文字の英数字を入力できます。
    ステップ 5   ACL タイプを選択します。 IPv4 と IPv6 の 2 つの ACL のタイプがサポートされています。
    ステップ 6   [Apply] をクリックします。 [Access Control Lists] ページが再度表示されたら、新しい ACL の名前をクリックします。
    ステップ 7   [Access Control Lists > Edit] ページが表示されたら、[Add New Rule] をクリックします。 [Access Control Lists > Rules > New] ページが表示されます。
    ステップ 8   この ACL のルールを次のように設定します。
    1. コントローラは各 ACL について最大 64 のルールをサポートします。 これらのルールは、1 から 64 の順にリストアップされます。 [Sequence] テキスト ボックスで、値(1 ~ 64)を入力し、この ACL に定義されている他のルールに対するこのルールの順番を決定します。
      (注)     

      ルール 1 ~ 4 がすでに定義されている場合にルール 29 を追加すると、これはルール 5 として追加されます。 ルールのシーケンス番号を追加または変更した場合は、順序を維持するために他のルールのシーケンス番号が調整されます。 たとえば、ルールのシーケンス番号を 7 から 5 に変更した場合、シーケンス番号 5 および 6 のルールはそれぞれ 6 および 7 へと自動的に番号が変更されます。

    2. [Source] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するパケットの送信元を指定します。
      • [Any]:任意の送信元(これはデフォルト値です)。

      • [IP Address]:特定の送信元。 このオプションを選択する場合は、テキスト ボックスに送信元の IP アドレスとネットマスクを入力します。 IPv6 ACL を設定している場合は、テキスト ボックスに宛先の IPv6 アドレスとプレフィックスの長さを入力します。

    3. [Destination] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するパケットの宛先を指定します。
      • [Any]:任意の宛先(これはデフォルト値です)。

      • [IP Address]:特定の宛先。 このオプションを選択する場合は、テキスト ボックスに宛先の IP アドレスとネットマスクを入力します。 IPv6 ACL を設定している場合は、テキスト ボックスに宛先の IPv6 アドレスとプレフィックスの長さを入力します。

    4. [Protocol] ドロップダウン リストから、この ACL に使用する IP パケットのプロトコル ID を選択します。 プロトコル オプションは次のとおりです。
      • [Any]:任意のプロトコル(これはデフォルト値です)

      • [TCP]:トランスミッション コントロール プロトコル

      • [UDP]:ユーザ データグラム プロトコル

      • [ICMP/ICMPv6]:インターネット制御メッセージ プロトコル

        (注)      ICMPv6 は IPv6 ACL でのみ使用可能です。
      • [ESP]:IP カプセル化セキュリティ ペイロード

      • [AH]:認証ヘッダー

      • [GRE]:Generic Routing Encapsulation

      • [IP in IP]:Internet Protocol(IP)in IP(IP-in-IP パケットのみを許可または拒否)

      • [Eth Over IP]:Ethernet-over-Internet プロトコル

      • [OSPF]:Open Shortest Path First

      • [Other]:その他の Internet Assigned Numbers Authority(IANA)プロトコル

        (注)     

        [Other] を選択する場合は、[Protocol] テキスト ボックスに目的のプロトコルの番号を入力します。 使用可能なプロトコルのリストは IANA Web サイトで確認できます。

      コントローラは ACL の IP パケットのみを許可または拒否できます。 他のタイプのパケット(ARP パケットなど)は指定できません。
    5. 前の手順で [TCP] または [UDP] を選択すると、[Source Port] および [Destination Port] の 2 つのパラメータも追加で表示されます。 これらのパラメータを使用すれば、特定の送信元ポートと宛先ポート、またはポート範囲を選択することができます。 ポート オプションは、ネットワーキング スタックとのデータ送受信をするアプリケーションによって使用されます。 一部のポートは、Telnet、SSH、HTTP など特定のアプリケーション用に指定されています。
      (注)     

      ACL タイプに基づく送信元および宛先ポート。

    6. [DSCP] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL の Differentiated Service Code Point(DSCP)値を指定します。 [DSCP] は、インターネット上の QoS を定義するために使用できる IP ヘッダー テキスト ボックスです。
      • [Any]:任意の DSCP(これはデフォルト値です)

      • [Specific]:DSCP 編集ボックスに入力する、0 ~ 63 の特定の DSCP

    7. [Direction] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するトラフィックの方向を指定します。
      • [Any]:任意の方向(これはデフォルト値です)

      • [Inbound]:クライアントから

      • [Outbound]:クライアントへ

      (注)     

      この ACL をコントローラ CPU に適用する予定の場合、パケットの方向は重要ではないので常に「Any」です。

    8. [Action] ドロップダウン リストから、[Deny] を選択してこの ACL でパケットがブロックされるようにするか、[Permit] を選択してこの ACL でパケットが許可されるようにします。 デフォルト値は [Deny] です。
    9. [Apply] をクリックして、変更を確定します。 [Access Control Lists > Edit] ページが再表示され、この ACL のルールが示されます。 [Deny Counters] フィールドには、パケットが明示的拒否 ACL ルールに一致した回数が表示されます。 [Number of Hits] フィールドには、パケットが ACL ルールに一致した回数が表示されます。 これらのフィールドを有効にするには、[Access Control Lists] ページ上で ACL カウンタを有効にする必要があります。
      (注)     

      ルールを編集する場合は、希望のルールのシーケンス番号をクリックし、[Access Control Lists > Rules > Edit] ページを開きます。 ルールを削除するには、該当するルールの青いドロップダウン矢印の上にカーソルを置き、[Remove] を選択します。

    10. この ACL にさらにルールを追加するにはこの手順を繰り返します。
    ステップ 9   [Save Configuration] をクリックして、変更を保存します。
    ステップ 10   さらに ACL を追加するにはこの手順を繰り返します。

    インターフェイスへのアクセス コントロール リストの適用


      ステップ 1   [Controller] > [Interfaces] の順に選択します。
      ステップ 2   目的のインターフェイスの名前をクリックします。 そのインターフェイスの [Interfaces > Edit] ページが表示されます。
      ステップ 3   [ACL Name] ドロップダウン リストから必要な ACL を選択し、[Apply] をクリックします。 デフォルトは [None] です。
      (注)      インターフェイス ACL としてサポートされるのは IPv4 ACL だけです。
      ステップ 4   [Save Configuration] をクリックして、変更を保存します。

      コントローラ CPU へのアクセス コントロール リストの適用


        ステップ 1   [Security] > [Access Control Lists] > [CPU Access Control Lists] の順に選択して、[CPU Access Control Lists] ページを開きます。
        ステップ 2   [Enable CPU ACL] チェックボックスをオンにして、指定した ACL でコントローラの CPU への IPv4 トラフィックを制御できるようにするか、チェックボックスをオフにして CPU ACL の機能を無効にし、CPU にすでに適用されている ACL をすべて削除します。 デフォルト値はオフです。
        ステップ 3   [ACL Name] ドロップダウン リストから、コントローラの CPU への IPv4 トラフィックを制御する ACL を選択します。 デフォルト値は [None] で、CPU ACL 機能は無効にされています。 [Enable CPU ACL] チェックボックスをオンにして [None] を選択すると、ACL を選択する必要があることを示すエラー メッセージが表示されます。
        (注)      このパラメータは、[CPU ACL Enable] チェックボックスをオンにした場合のみ使用できます。
        (注)      CPU ACL が有効な場合、その CPU ACL は無線トラフィックと有線トラフィックの両方に適用されます。
        ステップ 4   [Enable CPU IPv6 ACL] チェックボックスをオンにして、指定した ACL でコントローラの CPU への IPv6 トラフィックを制御できるようにするか、チェックボックスをオフにして CPU ACL の機能を無効にし、CPU にすでに適用されている ACL をすべて削除します。 デフォルト値はオフです。
        ステップ 5   [IPv6 ACL Name] ドロップダウン リストから、コントローラの CPU への IPv6 トラフィックを制御する ACL を選択します。 デフォルト値は [None] で、CPU ACL 機能は無効にされています。 [Enable CPU IPv6 ACL] チェックボックスをオンにして [None] を選択すると、ACL を選択する必要があることを示すエラー メッセージが表示されます。
        ステップ 6   [Apply] をクリックして、変更を確定します。
        ステップ 7   [Save Configuration] をクリックして、変更を保存します。

        WLAN へのアクセス コントロール リストの適用


          ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
          ステップ 2   必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
          ステップ 3   [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。
          ステップ 4   [Override Interface ACL] ドロップダウン リストから、この WLAN に適用する IPv4 または IPv6 ACL を選択します。 選択した ACL は、インターフェイスに設定されたすべての ACL を上書きします。 デフォルト値は [none] です。
          (注)     

          ISE や ACS などの AAA サーバを介した中央集中型のアクセス制御をサポートするには、コントローラに IPv6 ACL を設定し、WLAN で AAA Override 機能を有効にする必要があります。

          ステップ 5   [Apply] をクリックします。
          ステップ 6   [Save Configuration] をクリックします。

          WLAN への事前認証アクセス コントロール リストの適用


            ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
            ステップ 2   必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
            ステップ 3   [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。
            ステップ 4   [Web Policy] チェックボックスをオンにします。
            ステップ 5   [Preauthentication ACL] ドロップダウン リストから目的の ACL を選択し、[Apply] をクリックします。 デフォルト値は [none] です。
            ステップ 6   [Save Configuration] をクリックして、変更を保存します。

            アクセス コントロール リストの設定と適用(CLI)

            アクセス コントロール リストの設定


              ステップ 1   次のコマンドを入力して、コントローラ上に設定されているすべての ACL を表示します。

              show [ipv6] acl summary

              ステップ 2   次のコマンドを入力して、特定の ACL の詳細情報を表示します。 show [ipv6] acl detailed acl_name

              
パケットが ACL ルールと一致するたびに、[Counter] テキスト ボックスの値が増加します。[DenyCounter] テキスト ボックスの値は、パケットがいずれのルールとも一致しない場合に増加します。

              (注)     

              許可ルールによってトラフィック/要求がコントローラから許可されると、反対方向でもトラフィック/要求への応答が許可され、ACL の拒否ルールではブロックできなくなります。

              ステップ 3   次のコマンドを入力して、コントローラの ACL カウンタを有効または無効にします。

              config acl counter {start | stop}

              (注)     

              ACL の現在のカウンタをクリアする場合は、clear acl counters acl_name コマンドを入力します。

              ステップ 4   次のコマンドを入力して、新しい ACL を追加します。 config [ipv6] acl create acl_name.

              acl_name パラメータには、最大 32 文字の英数字を入力できます。

              (注)     

              スペースが含まれたインターフェイス名を作成しようとすると、コントローラ CLI でインターフェイスは作成されません。 たとえば、int 3 というインターフェイス名を作成しようとすると、int と 3 の間にスペースがあるため CLI でこのインターフェイス名は作成されません。 int 3 をインターフェイス名として使用するには、'int 3' のように単一引用符で囲む必要があります。

              ステップ 5   次のコマンドを入力して、ACL のルールを追加します。 config [ipv6] acl rule add acl_name rule_index
              ステップ 6   config [ipv6] acl rule コマンドを入力して、ACL のルールを設定します。
              ステップ 7   次のコマンドを入力して、設定を保存します。

              save config

              (注)     

              ACL を削除するには、config [ipv6] acl delete acl_name コマンドを入力します。 ACL ルールを削除するには、config [ipv6] acl rule delete acl_name rule_index コマンドを入力します。


              アクセス コントロール リストの適用


                ステップ 1   IPv4 ACL を適用するには、次のように実行します。
                • ACL を IPv4 データ パスに適用するには、次のコマンドを入力します。

                  config acl apply acl_name

                • ACL をコントローラの CPU に適用して、CPU に転送されるトラフィックの IPv4 タイプ(有線、無線、または両方)を制限するには、次のコマンドを入力します。

                  config acl cpu acl_name {wired | wireless | both}

                  (注)      コントローラ CPU に適用されている ACL を表示するには、show acl cpu コマンドを入力します。 コントローラ CPU に適用されている ACL を削除するには、config acl cpu none コマンドを入力します。
                  (注)      2504 および 4400 シリーズの WLC の場合、CAPWAP トラフィックの制御に、CPU ACL は使用できません。 ネットワークのアクセス リストを使用して、CAPWAP トラフィックを制御します。
                ステップ 2   IPv6 ACL を適用するには、次のように実行します。
                • ACL を IPv6 データ パスに適用するには、次のコマンドを入力します。

                  config ipv6 acl apply name

                • ACL をコントローラの CPU に適用して、CPU に転送されるトラフィックの IPv6 タイプ(有線、無線、または両方)を制限するには、次のコマンドを入力します。

                  config ipv6 acl cpu {name|none}

                ステップ 3   ACL を WLAN に適用するには、次のコマンドを入力します。
                • config wlan acl wlan_id acl_name

                  (注)      WLAN に適用されている ACL を表示するには、show wlan wlan_id コマンドを入力します。 WLAN に適用されている ACL を削除するには、config wlan acl wlan_id none コマンドを入力します。
                ステップ 4   事前認証 ACL を WLAN に適用するには、次のコマンドを入力します。
                • config wlan security web-auth acl wlan_id acl_name

                ステップ 5   次のコマンドを入力して、変更を保存します。 save config

                レイヤ 2 アクセス コントロール リストの設定

                レイヤ 2 アクセス コントロール リストの設定について

                パケットに関連付けられた EtherType に基づいてレイヤ 2 アクセス コントロール リスト(ACL)のルールを設定できます。 中央スイッチングの WLAN に PPPoE クライアントのみをサポートさせる必要がある場合は、この機能を使用してレイヤ 2 ACL ルールを WLAN に適用し、クライアントが認証され他のパケットがドロップされてから PPPoE パケットのみを許可することができます。 同様に、WLAN に IPv4 クライアントまたは IPv6 クライアントのみをサポートさせる必要がある場合は、レイヤ 2 ACL ルールを WLAN に適用し、クライアントが認証され他のパケットがドロップされてから IPv4 または IPv6 パケットのみを許可することができます。 ローカルにスイッチされる WLAN の場合、WLAN または FlexConnect AP のいずれかに同じレイヤ 2 ACL を適用できます。 AP 固有のレイヤ 2 ACL は FlexConnect AP にのみ設定できます。 これは、ローカルにスイッチされる WLAN にのみ適用されます。 FlexConnect AP に適用されるレイヤ 2 ACL は WLAN に適用されるレイヤ 2 ACL よりも優先されます。

                モビリティのシナリオでは、モビリティ アンカー設定が適用できます。

                次のトラフィックはブロックされません。
                • ワイヤレス クライアントのワイヤレス トラフィック
                  • 802.1X

                  • Inter-Access Point Protocol

                  • 802.11

                  • Cisco Discovery Protocol

                • 分散システムのトラフィック
                  • Broadcast

                  • マルチキャスト

                  • IPv6 ネイバー探索プロトコル(NDP)

                  • アドレス解決プロトコル(ARP)および Gratuitous ARP の保護(GARP)

                  • ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)

                  • ドメイン ネーム システム(DNS)

                WLAN にマッピングされているレイヤ 2 ACL

                WLAN にレイヤ 2 ACL をマッピングすると、設定したレイヤ 2 ACL がその WLAN に関連付けられたすべてのクライアントに適用されます。

                レイヤ 2 ACL を中央でスイッチされる WLAN にマッピングすると、EtherType に基づいてトラフィックを渡すルールが WLAN に関連付けられたすべてのクライアントに対してファスト パスにより決定されます。 ファスト パスは、パケットに関連付けられたイーサネット ヘッダー内を検索し、ACL に対して設定されたものと一致する Ethertype を持つパケットを転送します。

                レイヤ 2 ACL をローカルにスイッチされる WLAN にマッピングすると、EtherType に基づいてトラフィックを渡すルールが WLAN に関連付けられたすべてのクライアントに対して AP の転送プレーンにより決定されます。 AP の転送プレーンは、パケットに関連付けられたイーサネット ヘッダー内を検索し、Ethertype が ACL に対する設定と一致するアクションに基づいてパケットを転送または拒否します。

                レイヤ 2 アクセス コントロール リストの制約事項

                • レイヤ 2 ACL に対して最大 16 のルールを作成できます。

                • AP 固有のレイヤ 2 ACL は FlexConnect AP にのみ設定できます。 これは、ローカルにスイッチされる WLAN にのみ適用されます。

                • コントローラには、最大で 64 個の Layer2 ACL を作成できます。

                • AP は最大 16 の WLAN をサポートするので、AP ごとに最大 16 のレイヤ 2 ACL がサポートされます。

                • AP はレイヤ 2 およびレイヤ 3 の同じ ACL 名をサポートしないため、レイヤ 2 ACL 名が FlexConnect ACL 名と競合しないことを確認します。

                レイヤ 2 アクセス コントロール リストの設定(CLI)

                • config acl layer2 {create | delete} acl-name:レイヤ 2 ACL を作成または削除します。

                • config acl layer2 apply acl-name:データ パスにレイヤ 2 ACL を適用します。

                • config acl layer2 rule {add | delete} acl-rule-name index:レイヤ 2 ACL ルールを作成または削除します。

                • config acl layer2 rule change index acl-rule-name old-index new-index:レイヤ 2 ACL ルールのインデックスを変更します。

                • config acl layer2 rule action acl-rule-name index {permit | deny}:ルールのアクションを設定します。

                • config acl layer2 rule etherType name index ether-type-number-in-hex ether-type-mask-in-hex:ルールの宛先 IP アドレスおよびネットマスクを設定します。

                • config acl layer2 rule swap index acl-rule-name index-1 index-2:2 つのルールのインデックス値をスワップします。

                • config acl counter {start | stop}:ACL カウンタを開始または停止します。 このコマンドはすべての ACL のタイプに適用されます。 HA 環境では、カウンタは、アクティブ コントローラとスタンバイ コントローラ間では同期されません。

                • show acl layer2 summary:レイヤ 2 ACL プロファイルの要約を表示します。

                • show acl layer2 detailed acl-name:指定されたレイヤ 2 ACL プロファイルの詳細な説明を表示します。

                • show client detail client-mac-addr:クライアントに適用されるレイヤ 2 ACL ルールを表示します。

                WLAN とレイヤ 2 ACL のマッピング(CLI)

                これは、中央でスイッチされる WLAN、および FlexConnect アクセス ポイントがなくローカルにスイッチされる WLAN に適用されます。

                • config wlan layer2 acl wlan-id acl-name:レイヤ 2 ACL を中央でスイッチされる WLAN にマッピングします。

                • config wlan layer2 acl wlan-id none:WLAN にマッピングされたレイヤ 2 ACL をクリアします。

                • show wlan wlan-id:WLAN にマッピングされたレイヤ 2 ACL のステータスを表示します。

                FlexConnect アクセス ポイントを使用したローカルにスイッチされる WLAN とレイヤ 2 ACL のマッピング(CLI)

                これは、FlexConnect アクセス ポイントを持つローカルにスイッチされる WLAN に適用されます。

                • config ap flexconnect wlan l2acl add wlan-id ap-name acl-name:レイヤ 2 ACL をローカルにスイッチされる WLAN にマッピングします。

                • config ap flexconnect wlan l2acl delete wlan-id ap-name:マッピングを削除します。

                • show ap config general ap-name:マッピングの詳細を表示します。

                レイヤ 2 アクセス コントロール リストの設定(GUI)


                  ステップ 1   [Security] > [Access Control Lists] > [Layer2 ACLs] の順に選択して、[Layer2 Access Control Lists] ページを開きます。
                  ステップ 2   [New] をクリックして、新しい ACL を追加します。 [Layer2 Access Control Lists > New] ページが表示されます。
                  ステップ 3   [Access Control List Name] テキスト ボックスに、新しい ACL の名前を入力します。 最大 32 文字の英数字を入力できます。
                  ステップ 4   [Apply] をクリックします。 [Layer2 Access Control Lists] ページが再度表示されたら、新しい ACL の名前をクリックします。
                  ステップ 5   [Layer2 Access Control Lists > Edit] ページが表示されたら、[Add New Rule] をクリックします。 [Layer2 Access Control Lists > Rules > New] ページが表示されます。
                  ステップ 6   この ACL のルールを次のように設定します。
                  1. コントローラは各 ACL について最大 16 のルールをサポートします。 これらのルールは、1 から 16 の順にリストアップされます。 [Sequence] テキスト ボックスで、値(1 ~ 16)を入力し、この ACL に定義されている他のルールに対するこのルールの順番を決定します。
                    (注)     

                    ルール 1 ~ 4 がすでに定義されている場合にルール 15 を追加すると、これはルール 5 として追加されます。 ルールのシーケンス番号を追加または変更した場合は、順序を維持するために他のルールのシーケンス番号が調整されます。 たとえば、ルールのシーケンス番号を 7 から 5 に変更した場合、シーケンス番号 5 および 6 のルールはそれぞれ 6 および 7 へと自動的に番号が変更されます。

                  2. [Ether Type] ドロップダウン リストから、次のイーサネット タイプのいずれかのオプションを選択します。
                    • AppleTalk Address Resolution Protocol
                    • VLAN-tagged Frame & Short Path Bridging
                    • IPX (0x8137)
                    • IPX (0x8138)
                    • QNS Qnet
                    • Internet Protocol Version 6
                    • Ethernet Flow Control
                    • Slow Protocol
                    • CobraNet
                    • MPLS Unicast
                    • MPLS Multicast
                    • PPPoE Discovery Stage
                    • PPPoE Session Stage
                    • ジャンボ フレーム
                    • HomePlug 1.0 MME
                    • EAP over LAN
                    • PROFINET over Protocol
                    • HyperSCSI
                    • ATA over Ethernet
                    • EtherCAT Protocol
                    (注)      [Ether Type] ドロップダウン リストから定義済みのイーサネット タイプを選択することもできますし、[Ether Type] ドロップダウン リストのカスタム オプションを使用して独自のイーサネット タイプ値を入力することもできます。
                  3. [Action] ドロップダウン リストから、[Deny] を選択してこの ACL でパケットがブロックされるようにするか、[Permit] を選択してこの ACL でパケットが許可されるようにします。 デフォルト値は [Deny] です。
                  4. [Apply] をクリックして、変更を確定します。 [Layer2 Access Control Lists > Edit] ページが再表示され、この ACL のルールが示されます。
                  5. この ACL にさらにルールを追加するにはこの手順を繰り返します。
                  ステップ 7   [Save Configuration] をクリックして、変更を保存します。
                  ステップ 8   さらに ACL を追加するにはこの手順を繰り返します。

                  WLAN へのレイヤ 2 アクセス コントロール リストの適用(GUI)


                    ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
                    ステップ 2   必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
                    ステップ 3   [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。
                    ステップ 4   [Layer2 ACL] ドロップダウン リストから、作成した ACL を選択します。
                    ステップ 5   [Apply] をクリックします。
                    ステップ 6   [Save Configuration] をクリックします。

                    WLAN の AP へのレイヤ 2 アクセス コントロール リストの適用(GUI)


                      ステップ 1   [Wireless] > [Access Points] > [All APs] の順に選択して、[All APs] ページを開きます。
                      ステップ 2   目的のアクセス ポイントの名前をクリックして、[All APs > Details] ページを開きます。
                      ステップ 3   [All APs > Details] ページで、[FlexConnect] タブをクリックします。
                      ステップ 4   [PreAuthentication Access Control Lists] 領域で、[Layer2 ACLs] リンクをクリックして [ACL Mappings] ページを開きます。
                      ステップ 5   [WLAN ACL Mapping] 領域の [Layer2 ACL] ドロップダウン リストから、作成した ACL を選択して [Add] をクリックします。
                      ステップ 6   [Apply] をクリックします。
                      ステップ 7   [Save Configuration] をクリックします。

                      DNS ベースのアクセス コントロール リストの設定

                      DNS ベースのアクセス コントロール リストについて

                      DNS ベースの ACL は、Apple および Android デバイスなどのクライアント デバイスに使用されます。 これらのデバイスを使用する場合、デバイスがアクセス権を持つ範囲を特定するために Cisco WLC に事前認証 ACL を設定できます。

                      Cisco WLC で DNS ベースの ACL を有効にするには、ACL の許可された URL を設定する必要があります。 URL は、ACL で事前設定しておく必要があります。

                      DNS ベースの ACL によって、登録フェーズ中のクライアントは、設定された URL への接続を許可されます。 Cisco WLC は ACL 名で設定され、事前認証 ACL が適用されるように AAA サーバによって返されます。 ACL 名が AAA サーバによって返されると、ACL は Web リダイレクト用にクライアントに適用されます。

                      クライアント認証フェーズでは、ISE サーバが事前認証 ACL (url-redirect acl)を返します。 DNS スヌーピングは、登録が完了してクライアントが SUPPLICANT PROVISIONING 状態になるまで、各クライアントの AP で実行されます。 URL で設定された ACL が Cisco WLC で受信されると、CAPWAP ペイロードは AP に送信され、クライアントの DNS スヌーピングが有効になり URL がスヌーピングされます。

                      適切な URL スヌーピングにより、AP は DNS 応答の解決済みドメイン名の IP アドレスを学習します。 ドメイン名が設定された URL に一致すると、DNS 応答が IP アドレスについて解析され、IP アドレスは CAPWAP ペイロードとして Cisco WLC に送信されます。 Cisco WLC によって IP アドレスの許可リストに IP アドレスが追加されるため、クライアントは設定された URL にアクセスできます。

                      DNS ベースのアクセス コントロール リストの制約事項

                      • 最大 10 の URL をアクセス コントロール リストに許可できます。

                      • Cisco WLC では、1 つのクライアントに対して 20 の IP アドレスが許可されています。

                      • ローカル認証は FlexConnect AP でサポートされていません。

                      • DNS ベースの ACL は、Cisco 1130 および 1240 シリーズのアクセス ポイントでサポートされていません。

                      • 認証トラフィックは、DNS ベースの ACL が AP に対してローカルであっても、この機能がサポートされるように Cisco WLC を経由する必要があります。

                      DNS ベースのアクセス コントロール リストの設定(CLI)


                        ステップ 1   ACL を作成するように指定します。 最大 32 文字の英数字で IPv4 ACL の名前を入力できます。

                        例:
                        (Cisco Controller) >> config acl create android

                        config acl create name

                        ステップ 2   アクセス コントロール リストの新しい URL ドメインを追加するように指定します。 URL ドメイン名は有効な形式(たとえば、Cisco.com、bbc.in、または play.google.com)で指定する必要があります。 ホスト名比較は、一致するサブストリングです(ワイルドカード ベース)。 作成済みの ACL 名を使用する必要があります。

                        例:
                        (Cisco Controller) >> config acl url-domain add cisco.com android
                        (Cisco Controller) >> config acl url-domain add play.google.com android

                        config acl url-domain add domain-name acl-name

                        ステップ 3   アクセス コントロール リストの既存の URL ドメインを削除するように指定します。

                        例:
                        (Cisco Controller) >> config acl url-domain delete cisco.com android

                        config acl url-domain delete domain-name acl-name

                        ステップ 4   ACL を適用するように指定します。

                        例:
                        (Cisco Controller) >> config acl apply android

                        config acl apply acl-name

                        ステップ 5   次のコマンドを入力して、DNS ベースの ACL 情報を表示します。

                        例:
                        (Cisco Controller) >> show acl summary
                        
                        ACL Counter Status              Disabled
                        ----------------------------------------
                        IPv4 ACL Name                    Applied
                        -------------------------------- -------
                        android                          No     
                        StoreACL                         Yes    
                        ----------------------------------------
                        IPv6 ACL Name                    Applied
                        -------------------------------- -------
                        

                        show acl summary

                        ステップ 6   次のコマンドを入力して、DNS ベースの ACL 詳細情報を表示します。

                        例:
                        (Cisco Controller) >> show acl detailed android
                        o rules are configured for this ACL.
                        DenyCounter : 0 
                        URLs configured in this ACL
                        ---------------------------
                        *.play.google.com 
                        *.store.google.com 
                        

                        show acl detailed acl-name

                        ステップ 7   次のコマンドを入力して、DNS スヌーピング(DNS ベースの ACL)によって学習されたクライアントごとの IP アドレスを表示します。

                        例:
                        (Cisco Controller) >> show client detail mac-address
                        

                        show client detail mac-address

                        ステップ 8   DNS ベースの ACL に関連する情報のデバッグを有効にします。

                        例:
                        (Cisco Controller) >> debug aaa events enable

                        debug aaa events enable


                        DNS ベースのアクセス コントロール リストの設定(GUI)


                          ステップ 1   [Security] > [Access Control Lists] > [Access Control Lists] を選択して、[Access Control Lists] ページを開きます。
                          ステップ 2   パケットがコントローラに設定された ACL のいずれかに一致するかどうかを確認する場合は、[Enable Counters] チェックボックスをオンにして [Apply] をクリックします。 それ以外の場合、このチェックボックスはオフ(デフォルト値)のままにしておきます。 この機能は、システムのトラブルシューティングを実行する際に役立ちます。
                          (注)     

                          ACL のカウンタをクリアするには、その ACL の青いドロップダウンの矢印の上にカーソルを置いて、[Clear Counters] を選択します。

                          ステップ 3   [New] をクリックして、新しい ACL を追加します。 [Access Control Lists > New] ページが表示されます。
                          ステップ 4   [Access Control List Name] テキスト ボックスに、新しい ACL の名前を入力します。 最大 32 文字の英数字を入力できます。
                          ステップ 5   ACL タイプとして IPv4 を選択します。
                          ステップ 6   [Apply] をクリックします。
                          ステップ 7   [Access Control Lists] ページが再度表示されたら、新しい ACL の名前をクリックします。 ACL に IP ルールはありません。 青いドロップダウンの矢印の上にカーソルを置き、ドロップダウン リストから [Add-Remove URL] を選択して[URL List] ページを開きます。
                          ステップ 8   ACL の新しい URL ドメインを追加するには、[URL String Name] テキスト ボックスにアクセス コントロール リストの新しい URL ドメインを入力します。 URL ドメイン名は有効な形式(たとえば、Cisco.com、bbc.in、または play.google.com)で指定する必要があります。
                          ステップ 9   URL ドメインを削除するには、削除する URL 名の下の青いドロップダウン矢印の上にカーソルを置いて [Delete] を選択します。