SG350XGおよびSG550XGでのMACベースのACLの作成

ダウンロード オプション

  • PDF     (1.1 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2017 年 8 月 3 日
Document ID:SMB5108

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

SG350XGおよびSG550XGでのMACベースのACLの作成

目的

アクセスコントロールリスト(ACL)は、パケットが特定の基準を満たしているかどうかによってパケットを操作するために作成できる一連のルールです。これらの基準には、送信元アドレスまたは宛先アドレス、ヘッダーフィールド、およびパケットの他のさまざまなコンポーネントを使用できます。パケットがACLの指定された基準に一致すると、そのパケットはドロップされるか、続行が許可されます。MACベースのACLでは、MACアドレス、VLAN ID、Ethertype値などの基準を満たすために、パケットのレイヤ2ヘッダーを分析するルールが使用されます。MACベースのACLを実装すると、スイッチを通過するパケットをレイヤ2レベルで制御できます。

このドキュメントの目的は、SG350XGおよびSG550XGスイッチでMACベースのACLを作成して設定する方法を説明することです。

適用可能なデバイス

  • SG350XG
  • SG550XG

[Software Version]

  • v2.0.0.73

Fast SSID Changing の設定 MACベースのACL

作成 ACLとルール

ステップ 1:Web設定ユーティリティにログインし、Access Control > MAC-Based ACLの順に選択します。MAC-Based ACLページが開きます。

ステップ 2:MACベースのACLテーブルには、現在スイッチにあるすべてのMACベースのACLが表示されます。新しいACLを作成するには、Add...ボタンをクリックします。Add MAC-Based ACLウィンドウが開きます。

ステップ 3:ACL Nameフィールドに、新しいACLの名前を入力します。この名前はACLの機能に影響を与えず、単なる識別目的のためのものです。

ステップ 4:[APPLY] をクリックします。新しいACLがMACベースのACLテーブルに追加されます。CloseをクリックしてMAC-Based ACLページに戻るか、前の手順を繰り返して別のACLを作成します。

ステップ 5:新しく作成されたACLは空になります。つまり、MACアドレスに基づいてパケットをブロックまたは許可するルールは含まれません。これらのルールを作成するには、アクセスコントロールエントリ(ACE)をACLに追加する必要があります。そのためには、MAC-Based ACE Tableボタンをクリックして、MAC-Based ACEページに移動します。

手順 6:MAC-Based ACEページで、MAC-Based ACE Tableの上部にあるドロップダウンリストを使用して、ACEを追加するACLを選択し、Goをクリックします。テーブルには、選択したACLに現在関連付けられているACEが表示されます。ACEを追加するには、Add...ボタンをクリックします。Add MAC-Based ACEウィンドウが開きます。

手順 7:ACL Nameフィールドに、ACEを追加するACLの名前が表示されます。Priorityフィールドに、ACEのプライオリティ番号を入力します。ACEのプライオリティが高いほど、処理が早くなります。範囲は1 ~ 2147483647で、1が最も高い優先順位です。

ステップ 8:Actionフィールドで、ACEの基準が満たされた場合の動作を指定するオプションボタンを選択します。

次のオプションがあります。

  • Permit:基準を満たすパケットを転送します。
  • Deny:基準を満たすパケットをドロップします。
  • Shutdown:基準を満たすパケットをドロップしてから、ポートをディセーブルにします。

ステップ 9:Loggingフィールドで、Enableチェックボックスにチェックマークを付けて、ACEルールに一致するACLフローのロギングを有効にします。基本表示モードを使用している場合は、ステップ12に進んでください。表示モードは、Webユーティリティの右上隅にあるドロップダウンリストで変更できます。

ステップ 10:ACEが指定した時間範囲内だけアクティブになるように、Time RangeフィールドでEnableチェックボックスにチェックマークを付けます。スイッチに既存の時間範囲が設定されていない場合、このフィールドは使用できません。

ステップ 11このACEで時間範囲を有効にしている場合は、Time Range Nameフィールドが使用可能になります。ドロップダウンリストを使用して、ACEに適用するスイッチにすでに設定されている時間範囲を選択します。スイッチに時間範囲が存在しない場合、このフィールドは使用できません。「編集」リンクをクリックして「時間範囲」ページに移動し、時間範囲を作成または変更します。詳細については、『SG350XGおよびSG550XGでの時間範囲の設定』を参照してください。

ステップ 12Destination MAC Addressフィールドで、オプションボタンを選択して、一致を構成する宛先MACアドレスを指定します。任意の宛先アドレスを一致させる場合はAnyを選択し、アドレスまたはアドレス範囲を指定する場合はUser Definedを選択します。

User Definedを選択した場合は、次のフィールドに入力します。

  • Destination MAC Address Value:宛先MACアドレスを入力します。パケットにこの宛先アドレスが含まれている場合、ACEは一致するものとみなします。
  • 宛先MACワイルドカードマスク:マスクを入力して、アドレスの範囲を定義します。ビットを1に設定すると、MACアドレスの対応するビットが無視され、0は一致するビットになります。

:0000 0000 0000 00000 00000 0000 00000 000000 000000 11111というマスクを指定します(つまり、0のビットで一致し、1のビットでは一致しないということです)。 1を16進数に変換する必要があり、0を4個の0ごとに書き込みます。この例では、1111 111 = FFなので、マスクは00:00:00:00:00:FFと書かれます。

ステップ 13Source MAC Addressフィールドで、オプションボタンを選択して、一致を構成する送信元MACアドレスを指定します。発信元アドレスが一致する場合はAnyを選択し、アドレスまたはアドレス範囲を指定する場合はUser Definedを選択します。

User Definedを選択した場合は、次のフィールドに入力します。

  • Source MAC Address Value:送信元MACアドレスを入力します。パケットにこの送信元アドレスが含まれている場合、ACEは一致するものとみなします。
  • 送信元MACワイルドカードマスク:マスクを入力して、アドレスの範囲を定義します。ビットを1に設定すると、MACアドレスの対応するビットが無視され、0は一致するビットになります(例:00:00:00:00:00:11)。

:0000 0000 0000 00000 00000 0000 00000 000000 000000 11111というマスクを指定します(つまり、0のビットで一致し、1のビットでは一致しないということです)。 1を16進数に変換する必要があり、0を4個の0ごとに書き込みます。この例では、1111 111 = FFなので、マスクは00:00:00:00:00:FFと書かれます。

ステップ 14:VLAN IDフィールドに1 ~ 4094のVLAN IDを入力します。パケットにこのVLAN IDが含まれている場合、ACEはそれを一致するものとみなします。このフィールドは必須ではありません。このフィールドを空白のままにすると、ACEでは、パケットの検査時にVLAN IDが考慮されません。

ステップ 15:ACEに802.1p基準を含めるために、802.1pフィールドのIncludeチェックボックスにチェックマークを付けます。802.1p基準を含めた場合、802.1p値とマスクを802.1p Valueフィールドと802.1p Maskフィールドにそれぞれ入力します。両方のフィールドの値の範囲は0 ~ 7です。対応する802.1p値を含むパケットがマスクに適合する場合、ACEはそれを一致と見なします。

ステップ 16:Ethertypeフィールドに、着信パケットと比較するEthertype値を入力します。Ethertypeは、パケットにカプセル化されているプロトコルを示す、フレーム内の2オクテットフィールドです。範囲は5DD- FFFFです。指定されたEthertype値がパケットに含まれている場合、ACEはそれを一致するものとみなします。Ethertype値のリストについては、このIEEE標準ページを参照してください。

ステップ 17:[APPLY] をクリックします。ACEは指定したACLに追加されます。Closeをクリックして、MAC-Based ACEページに戻ります。

MACベースのACLのマッピング ポートへ

ステップ 1:ACLはポートまたはVLANにマッピングできます。MACベースのACLをポート(複数可)にマッピングするには、Access Control > ACL Binding (Port)の順に選択します。 ACLバインディング(ポート)ページが開きます。

ステップ 2:ACLバインディングテーブルの上部にあるドロップダウンリストで、インターフェイスタイプとしてポート(LAG)またはポート(リンクアグリゲーショングループ)を選択します。スイッチがスタックの一部である場合は、他のユニットのポートを選択できます。Goをクリックして、指定したインターフェイスタイプのリストを表示します。

ステップ 3:インターフェイスのチェックボックスを選択し、Edit...ボタンをクリックします。Edit ACL Bindingウィンドウが開きます。

ステップ 4:Interfaceフィールドには、現在設定されているポートまたはLAGが表示されます。ACLバインディングテーブルで選択されたインターフェイスが自動的に表示されます。このフィールドを使用すると、ACL Binding (Port)ページに戻らずに、異なるインターフェイス間をすばやく切り替えることができます。

ステップ 5:Select MAC-Based ACLチェックボックスにチェックマークを付け、ドロップダウンリストを使用して、指定したインターフェイスにマッピングするACLを選択します。

手順 6:Default Actionフィールドで、オプションボタンを選択して、ACLの基準に一致しないパケットの処理方法を指定します。デフォルトはDeny Anyで、ACLの基準に一致しないパケットはすべて廃棄されます。Permit Anyは一致しないパケットを転送します。

手順 7:[APPLY] をクリックします。ACLは指定されたインターフェイスにマッピングされます。Interfaceフィールドを使用して設定する別のインターフェイスを選択するか、CloseをクリックしてACL Binding (Port)ページに戻ります。

ステップ 8:インターフェイスの設定を他のインターフェイスにすばやくコピーするには、コピーするインターフェイスのチェックボックスをオンにして、Copy Settings...ボタンをクリックします。設定のコピーウィンドウが開きます。

ステップ 9:テキストフィールドに、設定のコピー先となる1つまたは複数のインターフェイスを入力します。インターフェイスはカンマで区切るか、または範囲を指定できます。

ステップ 10:[APPLY] をクリックします。設定がコピーされます。

ステップ 11インターフェイスの設定をクリアする場合は、そのインターフェイスのチェックボックスをオンにして、Clearをクリックします。複数のインターフェイスを同時に選択およびクリアできることに注意してください。

MACベースのACLのVLANへのマッピング

ステップ 1:ACLはポートまたはVLANにマッピングできます。MACベースのACLをVLANにマッピングするには、Access Control > ACL Binding (VLAN)の順に選択します。 ACLバインディング(VLAN)ページが開きます。

ステップ 2:ACLバインディングテーブルには、現在VLANにマップされているすべてのACLが表示されます。ACLがマッピングされていない場合、テーブルは空です。ACLをVLANにマップするには、Add...ボタンをクリックします。Add ACL Bindingウィンドウが開きます。

ステップ 3:VLAN IDフィールドのドロップダウンリストを使用して、ACLをマッピングするVLANを選択します。このフィールドは、ACLバインディング(VLAN)ページに戻らずに異なるVLAN間をすばやく切り替えるためにも使用できます。

ステップ 4:Select MAC-Based ACLチェックボックスにチェックマークを付け、ドロップダウンリストを使用して、指定したVLANにマッピングするACLを選択します。

注:基準の一部としてVLAN IDを使用するMACベースのACLをVLANにバインドすることはできません。また、時間範囲が指定されたACLはVLANにバインドできません。

ステップ 5:Default Actionフィールドで、オプションボタンを選択して、ACLの基準に一致しないパケットの処理方法を指定します。デフォルトはDeny Anyで、ACLの基準に一致しないパケットはすべて廃棄されます。Permit Anyは一致しないパケットを転送します。

手順 6:[APPLY] をクリックします。ACLは指定されたVLANにマッピングされます。VLAN IDフィールドを使用して、設定する別のVLANを選択するか、CloseをクリックしてACL Binding (VLAN)ページに戻ります。

手順 7:VLANの設定を他のVLANにすばやくコピーするには、コピーするVLAN設定のチェックボックスをオンにして、Copy Settings...ボタンをクリックします。設定のコピーウィンドウが開きます。

ステップ 8:テキストフィールドに、設定のコピー先のVLAN IDを入力します。IDはカンマで区切ることも、範囲を指定することもできます。

ステップ 9:[APPLY] をクリックします。設定がコピーされます。

ステップ 10:VLANの設定をクリアするには、該当するVLANのチェックボックスをオンにして、Deleteをクリックします。複数のVLANを同時に選択およびクリアできることに注意してください。

更新履歴

改定 発行日 コメント
1.0
11-Dec-2018
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ