目次

はじめに

このドキュメントでは、URL ACL(Enhanced)機能と、その導入についての一般的なガイドラインについて説明します。このドキュメントでは、次のことを目的としています。

  • URL ACL(Enhanced)機能の概要説明

  • サポートされている主要機能のハイライト

  • WLC での URL ACL(Enhanced)機能の導入と管理の詳細説明

前提条件

8.4 コードにアップグレードするには、ワイヤレス LAN コントローラに AireOS 8.0 以降のリリースがインストールされている必要があります。

使用されるコンポーネント

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このマニュアルで使用されるデバイスはすべて、初期設定(デフォルト)の状態から作業が開始されています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『Cisco Technical Tips Conventions』を参照してください。

機能概要

URL フィルタリング機能により、Web サイトへのアクセスを制限することでネットワーク帯域幅の使用が最適化されます。この機能では、DNS スヌーピングを使用して、DNS サーバからワイヤレス クライアントに送信される DNS 応答をスヌープします。HTTP や HTTPS を含むあらゆるプロトコルで URL を制限する ACL ベースの実装です。

実装

URL フィルタリング ACL は一連の URL のリストとして定義されます。このリストでは、すべての URL の拒否または許可アクションと関連付けられます。ACL タイプは、ホワイトリストまたはブラックリストのどちらかとなります。ホワイトリスト ルールとブラックリスト ルールの混在はサポートされていません。外部サーバの IP アドレスが設定されます。このアドレスは、アクセス URL が設定によりブロックされた際にブロック ページをクライアントにリダイレクトするために使用されます。

ワーク フロー

クライアントへの DNS 応答は WLC によってスヌープされます。URL が設定(ACL ルール)によって許可されていれば、DNS 応答はクライアントに送信されます。URL が設定(ACL ルール)によって許可されていない場合、解決済み IP は外部サーバの IP(後ほど設定します)で上書きされてクライアントに返されます。この外部サーバはブロックページをクライアントにリダイレクトします。ACL で拒否された DNS 応答と許可された DNS 応答の数はリアルタイムで確認できます。

設定手順

  1. ACL をホワイトリストまたはブラックリストとして設定し、ドメインへのアクセスを許可または拒否する
  2. 外部サーバの IP アドレスを設定する

  3. 作成した URL ACL を次のいずれかに関連付ける

  • インターフェイス

  • WLAN

  • ローカル ポリシー(最高優先順位)

すべてのプロトコルに対して、指定したドメインへの参照が制限されます。

プラットフォームのサポート

  1. この機能は 5520 と 8540 でサポートされます。5508、8510、vWLC、2504、ME ではサポートされません。

  2. ローカル モードと [Flex central switching] でのみサポートされます。

考慮事項

    • ワイルドカード サポート(「*.domain.com」など)

      1. 最大 10 件

      2. ワイルドカード 1 つ当たりサブドメイン 5 つ

  2. URL フィルタリングには次のものが含まれます。

    1. URL 100 件のサポート

    2. サブ URL(www.domain.com と www.domain.com/resources など)はサポート対象外

  3. URL は最大 32 文字までサポート

  4. この機能は AVC に依存しません。DNS スヌーピングのみに基づいて動作します

  5. URL フィルタリング ACL 名を返す RADIUS サーバはサポートされていません

  6. リバース DNS はサポートされていません。ダイレクト IP による(DNS を介さない)クライアント アクセスは許可されません

  7. IPv6 はサポートされていません

URL フィルタリングの設定

URL フィルタリングは、ローカル ポリシーによって WLAN、インターフェイス、または個々のクライアント セッションに割り当てられている ACL およびルールを使用して、許可または拒否する URL を決定します。次の手順では、2 つの一般的なシナリオに基づいて、URL に基づく ACL ルールを作成する方法を示します。

  • シナリオ 1:特定の URL へのアクセスを拒否するためのルールが定義されているリスト タイプ「Blacklist」を使用した ACL。これは、一般的に「ブラックリスト」と呼ばれます。
  • シナリオ 2:特定の URL へのアクセスのみを許可するためのルールが定義されているリスト タイプ「Whiitelist」を使用した ACL。これは、一般的に「ホワイトリスト」と呼ばれます。

アクセス コントロール リスト

GUI を使用したコントロール リストへのアクセス

GUI を使用してコントロール リストにアクセスするには、次の手順を実行します。

手順
    ステップ 1   WLC のメイン メニューから [SECURITY]> [Access Control Lists] > [URL ACLs]の順に選択します。[New]をクリックします。

    ステップ 2   [URL ACL Name]に入力し、[Apply]をクリックします。この例では、「BLOCK-SITES」という名前で ACL を定義しています。

    ステップ 3   [List Type] のドロップダウンリストから [Blacklist]を選択し、[Apply] をクリックします。

    ステップ 4   [External Server IP]フィールドに入力し、[Apply]をクリックします。この例では、「10.10.10.10」に設定しています。これにより、ブロックページをクライアントにリダイレクトします。

    ステップ 5   [New]をクリックし、他の ACL を定義します。

    ステップ 6   [URL ACL Name]に入力し、[Apply]をクリックします。この例では、「PERMIT-SITES」という名前で 2 つ目の ACL を定義しています。

    CLI を使用したコントロール リストへのアクセス

    手順
      ステップ 1   BLOCK-SITES」および「PERMIT-SITES」という名前で URL ACL を作成します。 
      (Cisco Controller)> config acl url-acl create BLOCK-SITES
(Cisco Controller)> config acl url-acl create PERMIT-SITES

      ステップ 2   BLOCK-SITES のリスト タイプを BlacklistPERMIT-SITES のリスト タイプを Whitelist に設定します。
      (Cisco Controller)> config acl url-acl list-type BLOCK-SITES blacklist
(Cisco Controller)> config acl url-acl list-type PERMIT-SITES whitelist

      ステップ 3   ページのリダイレクトに使用する外部サーバの IP を設定します。 
      (Cisco Controller)> config acl url-acl external-server-ip 10.10.10.10
      ステップ 4   ACL が作成されたことを確認します。ルールが追加され、ACL が適用されるまで、両方の ACL の [Applied] ステータス フィールドに [No] が表示されることに注意してください。 
      (Cisco Controller) > show acl url-acl summary
   ACL Counter Status               Enabled
   External Server IP              10.10.10.10
   ----------------------------------------
   URL ACL Name       Applied       List Type
   ---------------    -------       --------------
   BLOCK-SITES          No        BlackList
   PERMIT-SITES         No        WhiteList

      ルール - ブラックリストの例

      次の設定手順は、ルールを使用して特定の URL へのアクセスを拒否する方法(ブラックリスト)を示しています。この例では、拒否アクションが設定された URL の番号付きリストを定義し、要求されている特定の URL へのアクセスをブロックします。ACL 自体に暗黙の拒否アクションがあるため、要求されたその他のすべての URL にアクセスできるように、リストの最後にワイルドカードの許可ルールを追加します。

      GUI を使用してブラックリストを作成する手順

      手順
        ステップ 1   WLC のメイン メニューから [SECURITY]> [Access Control Lists] > [URL ACLs]の順に選択します。ルールを追加するには、[URL ACL Name]をクリックします。

        ステップ 2   [Add New Rule] をクリックします。

        ステップ 3   [Rule Index]を入力し、一致させる URLと一致した際のアクションを指定します。この例では、最初のルールとして URL に www.cisco.com、アクションに Deny を指定しています。[Apply]をクリックします。必要に応じて、ブラックリストにルールを追加します。

        ステップ 4   ルールに間違いがないことを確認し、[Apply All]をクリックします。[Status]フィールドが [Not Applied] から [Applied] に変わります。

        (注)     

        ルール 2 と 3 を追加するための設定手順はこの例に示しませんが、ルールを追加する手順は手順 3 で説明した手順とまったく同じです。

        CLI を使用してブラックリストを作成する手順

        手順
          ステップ 1   BLOCK-SITES という名前の ACL 用のルールを作成します。
          (Cisco Controller)> config acl url-acl rule add BLOCK-SITES 1
(Cisco Controller)> config acl url-acl rule url BLOCK-SITES 1 www.cisco.com
(Cisco Controller)> config acl url-acl rule action BLOCK-SITES 1 deny
(Cisco Controller)> config acl url-acl rule add BLOCK-SITES 2
(Cisco Controller)> config acl url-acl rule url BLOCK-SITES 2 www.nba.com
(Cisco Controller)> config acl url-acl rule action BLOCK-SITES 2 deny
(Cisco Controller)> config acl url-acl rule add BLOCK-SITES 3
(Cisco Controller)> config acl url-acl rule url BLOCK-SITES 3 www.disney.com
(Cisco Controller)> config acl url-acl rule action BLOCK-SITES 3 deny

          ステップ 2   ACL を適用します。 
          (Cisco Controller)> config acl url-acl apply BLOCK-SITES
          ステップ 3   ACL のルールを確認します。 
          (Cisco Controller)> show acl url-acl detailed BLOCK-SITES
RuleIndex   Action                  URL                    Hit Count
--------- ----------- ---------------------------------- -------------
     1        Deny     www.cisco.com                            0 
     2        Deny     www.nba.com                              0 
     3        Deny     www.disney.com                           0

          ステップ 4   ACL が適用されていることを確認します。適用されると、BLOCK-SITES の [Applied] フィールドのステータスが [No] から [Yes] に変わります。 
          (Cisco Controller)> show acl url-acl summary
ACL Counter Status               Enabled
External Server IP              10.10.10.10
----------------------------------------
URL ACL Name       Applied       List Type
---------------    -------       --------------
BLOCK-SITES          Yes       BlackList
PERMIT-SITES         No        WhiteList

          ルール - ホワイトリストの例

          次の設定手順は、ルールを使用して特定の URL へのアクセスのみを許可する方法(通常はホワイトリストと呼ばれる)を示しています。この例では、許可アクションが設定された URL の番号付きリストを定義し、要求されている特定の URL へのアクセスを許可します。ACL に暗黙の拒否アクションがあるため、要求されたその他のすべての URL へのアクセスがブロックされます。

          GUI を使用してホワイトリストを作成する手順

          手順
            ステップ 1   WLC のメイン メニューから [SECURITY]> [Access Control Lists] > [URL ACLs]の順に選択します。ルールを追加するには、[URL ACL Name]をクリックします。

            ステップ 2   [Add New Rule]をクリックします。

            ステップ 3   [Rule Index]を入力し、一致させる URLを指定します。この例では、最初のルールとして URL に www.cisco.com、アクションに Permit を指定しています。[Apply]をクリックします。必要に応じて、Permitアクションのルールを追加します。

            ステップ 4   ルールに間違いがないことを確認し、[Apply All]をクリックします。[Status] フィールドが [Not Applied]から [Applied] に変わります。

            CLI を使用してホワイトリストを作成する手順

            手順
              ステップ 1   PERMIT-SITES という名前の ACL にルールを作成します。 
              (Cisco Controller)> config acl url-acl rule add PERMIT-SITES 1
(Cisco Controller)> config acl url-acl rule url PERMIT-SITES 1 www.cisco.com
(Cisco Controller)> config acl url-acl rule action PERMIT-SITES 1 permit

              ステップ 2   ACL を適用します。 
              (Cisco Controller)> config acl url-acl apply PERMIT-SITES
              ステップ 3   ACL のルールを確認します。 
              (Cisco Controller)> show acl url-acl detailed PERMIT-SITES
RuleIndex   Action                  URL                    Hit Count
--------- ----------- ---------------------------------- -------------
     1      Permit     www.cisco.com                            0
              ステップ 4   ACL が適用されていることを確認します。適用されると、PERMIT-SITES の [Applied] フィールドのステータスが [No] から [Yes] に変わります。 
              (Cisco Controller)> show acl url-acl summary
ACL Counter Status               Enabled
External Server IP              10.10.10.10
----------------------------------------
URL ACL Name       Applied       List Type
---------------    -------       --------------
BLOCK-SITES          Yes       BlackList
PERMIT-SITES         Yes        WhiteList

              ヒット カウンタの有効化

              オプションでヒット カウンタを有効化して、URL ACL の各ルールのヒット数をモニタできます。ヒット カウンタは、ルールが一致するたびにカウンタが 1 増えるため、ACL のトラブルシューティングに役立ちます。次の手順は、WLC で ACL のヒット カウンタをグローバルに有効化する方法を示しています。

              GUI を使用してヒット カウンタを有効化する手順

              手順
                ステップ 1   WLC のメイン メニューから [SECURITY]> [Access Control Lists]の順に選択します。[Enable Counters]を選択し、[Apply] をクリックします。

                ステップ 2   WLC のメイン メニューから [SECURITY]> [Access Control Lists] > [URL ACLs]の順に選択します。一致したそれぞれの URL の [Hit Count] を表示するには、目的の URL ACL の名前をクリックします。

                CLI を使用してヒット カウンタを有効化する手順

                手順
                  ステップ 1   ACL ヒット カウンタをグローバルに有効化します。 
                  (Cisco Controller)> config acl counter start
                  ステップ 2   特定の ACL のヒット カウンタを表示します。この例では、BLOCK-SITES という名前の ACL のヒット数を表示しています。 
                  (Cisco Controller)> show acl url-acl detailed BLOCK-SITES
RuleIndex   Action                  URL                    Hit Count
--------- ----------- ---------------------------------- -------------
     1        Deny     www.cisco.com                            41 
     2        Deny     www.nba.com                              24 
     3        Deny     www.disney.com                           7

                  アクセス コントロール リストの適用

                  URL ACL は、ローカル ポリシーを使用して動的にクライアントに割り当てることも、WLAN やインターフェイスに直接割り当てることもできます。

                  • ローカル ポリシー - URL ACL は、ローカル ポリシーが割り当てられているすべてのクライアントに適用されます。ローカル ポリシーを使用して割り当てられた URL ACL は優先順位が最も高く、WLAN やインターフェイスに割り当てられている URL ACL をオーバーライドします。
                  • WLAN - URL ACL は、対象の WLAN に関連付けられたすべてのクライアントに適用されます(クライアントにローカル ポリシー経由で URL ACL が割り当てられている場合を除く)。WLAN に割り当てられた URL ACL は、インターフェイスに割り当てられた URL ACL をオーバーライドします。
                  • インターフェイス - URL ACL は、特定のインターフェイスに転送されたすべてのトラフィックに適用されます。

                  次の手順は、WLC の URL ACL を WLAN、インターフェイス、ローカル ポリシーに割り当てる方法を示しています。

                  GUI を使用して WLAN に割り当てる手順

                  手順
                  WLC のメイン メニューで、[WLANs]> [WLANs]の順に選択します。変更する WLAN の [WLAN ID]を選択します。[Advanced]タブに移動し、目的の [URL ACL]を割り当てます。[Apply]をクリックします。


                  CLI を使用して WLAN に割り当てる手順

                  手順
                    ステップ 1   目的の WLAN を無効化します。この例では、WLAN ID 1 を無効化しています。対象の WLAN が有効になっていると、WLC で ACL を割り当てることができません。 
                    (Cisco Controller)> config wlan disable 1
                    ステップ 2   WLAN に URL ACL を割り当てます。この例では、BLOCK-SITES という名前の URL ACL を WLAN 1 に割り当てています。 
                    (Cisco Controller)> config wlan url-acl 1 BLOCK-SITES
                    ステップ 3   無効になっている WLAN を再度有効化します。 
                    (Cisco Controller)> config wlan enable 1
                    ステップ 4   ACL が割り当てられたことを確認します。ACL が WLAN に割り当てられていない場合、[WLAN URL ACL]フィールドには [unconfigured] と表示されます。 
                    (Cisco Controller) > show wlan 1
WLAN Identifier.................................. 1
Profile Name..................................... pod2
Network Name (SSID).............................. pod2
Status........................................... Enabled
MAC Filtering.................................... Disabled
!
! Output Suppressed
!
WLAN Layer2 ACL.................................. unconfigured
WLAN URL ACL..................................... BLOCK-SITES
mDNS Status...................................... Enabled
!

                    (注)     

                    WLAN から ACL を削除するには、config wlan url-acl <wlan-id> none コマンドを実行します。

                    GUI を使用してインターフェイスに割り当てる手順

                    手順
                    WLC のメイン メニューから [Controller]> [Interfaces]の順に選択します。変更するインターフェイス名を選択し、[Access Control List] で目的の URL ACLを割り当てます。[Apply]をクリックします。


                    CLI を使用してインターフェイスに割り当てる手順

                    手順
                      ステップ 1   目的のインターフェイスを使用している WLAN を無効にします。この例では、WLAN ID 3 がクライアントの管理をマッピングしています。目的のインターフェイスを使用しているアクティブな WLAN があると、WLC で ACL をインターフェイスに割り当てることができません。 
                      (Cisco Controller) > config wlan disable 3
                      ステップ 2   インターフェイスに URL ACL を割り当てます。 
                      (Cisco Controller) > config interface url-acl management BLOCK-SITES
                      ステップ 3   無効になっている WLAN を再度有効化します。 
                      (Cisco Controller) > config wlan enable 3
                      ステップ 4   ACL が割り当てられたことを確認します。ACL がインターフェイスに割り当てられていない場合、[WLAN URL ACL]フィールドには [unconfigured] と表示されます。 
                      (Cisco Controller) > show interface detailed management
Interface Name................................... management
MAC Address...................................... 4c:00:82:71:4f:af
IP Address....................................... 10.10.20.2
IP Netmask....................................... 255.255.255.0
IP Gateway....................................... 10.10.20.1
!
! Output Suppressed
!
IPv4 ACL......................................... Unconfigured
URL ACL.......................................... BLOCK-SITES
!

                      (注)     

                      インターフェイスから ACL を削除するには、config interface url-acl <interface-name> none コマンドを実行します。

                      GUI を使用してローカル ポリシーに割り当てる手順

                      手順
                      WLC のメイン メニューから [SECURITY]> [Local Policies]の順に選択します。変更するポリシー名を選択し、[Action] で目的の URL ACLを割り当てます。[Apply]をクリックします。

                      (注)     

                      詳細については、テクニカル リファレンスの『Wireless Device Profiling and Policy Classification Engine on WLC』を参照してください。

                      CLI を使用してローカル ポリシーに割り当てる手順

                      手順
                        ステップ 1   ACL を目的のローカル ポリシーに割り当てます。この例では、BLOCK-SITES という名前の ACL を STUDENTS という名前のローカル ポリシーに割り当てています。 
                        (Cisco Controller) > config policy STUDENTS action url-acl enable BLOCK-SITES
                        ステップ 2   ACL が割り当てられたことを確認します。 
                        (Cisco Controller) > config interface url-acl management BLOCK-SITES
                        ステップ 3   無効になっている WLAN を再度有効化します。 
                        (Cisco Controller) > config wlan enable 3
                        ステップ 4   ACL が割り当てられたことを確認します。ACL がローカル ポリシーに割り当てられていない場合、[URL ACL]フィールドには [<none>] と表示されます。 
                        (Cisco Controller) > show POLICY STUDENTS
Policy Index..................................... 1
Match Role....................................... STUDENTS 
Match Eap Type................................... <none> 
IPv4 ACL......................................... <none> 
URL ACL.......................................... BLOCK-SITES 
FlexConnect Client ACL........................... <none> 
QOS.............................................. BRONZE
!
! Output Suppressed
!

                        (注)     

                        ローカル ポリシーから ACL を削除するには、config policy <policy-name> action url-acl disable コマンドを実行します。

                        URL ACL の設定の移行

                        • 8.3 から 8.4 へのアップグレード

                          1. 8.3 の設定に、すべて拒否ルールで構成されるブラックリスト ACL が含まれている場合:8.4 の設定では、ACL タイプがホワイトリスト(デフォルト)として表示され、拒否ルールは消去されます。そのため、手動で新しい ACL リストのタイプをブラックリストに設定し、拒否ルールを追加する必要があります。

                          2. 8.3 の設定に、許可ルールのみで構成されるホワイトリスト ACL が含まれている場合:この設定は 8.4 でも同一です。ACL タイプは、許可ルールが登録されたホワイトリストとして表示されます。この場合、ユーザによる操作は必要ありません。

                          3. 8.3 の設定に、ホワイトリスト(許可ルール)とブラックリスト(拒否ルール)が混在している場合:8.4 の設定では、ACL タイプがホワイトリストとして表示され(デフォルト)、拒否ルールは消去されますが、許可ルールは維持されます。

                        • 8.4 から 8.3 へのダウングレード

                          1. URL ACL ルールの変更はありません。

                          2. 8.3 では HTTP プロトコルのみがサポートされます。

                          3. NBAR エンジンに基づく URL フィルタリングと DNS スヌーピングは使用されません。

                        Copyright © 2017, Cisco Systems, Inc. All rights reserved.