ワイヤレスアクセスポイントでのMAC、IPv4、およびIPv6アクセスコントロールリストの設定
目的
アクセスコントロールリスト(ACL)は、セキュリティの向上に使用されるネットワークトラフィックフィルタと関連付けられたアクションのリストです。権限のないユーザをブロックし、権限のあるユーザが特定のリソースにアクセスできるようにします。ACLには、ネットワークデバイスへのアクセスを許可または拒否するホストが含まれています。ACLは、次の2つの方法のいずれかで定義できます。IPv4アドレスまたはIPv6アドレスによって実行されます。
この記事では、ACLを正常に作成し、ワイヤレスアクセスポイント(WAP)でIPv4、IPv6、およびメディアアクセスコントロール(MAC)ベースのACLを設定して、ネットワークセキュリティを向上させる方法について説明します。
該当するデバイス
WAP100シリーズ
WAP300シリーズ
WAP500シリーズ
[Software Version]
1.0.6.2 - WAP121、WAP321
1.2.0.2 - WAP371、WAP551、WAP561
1.0.1.4 - WAP131、WAP351
1.0.0.16 - WAP150、WAP361
ACL の作成
注: この設定に使用されるイメージは、WAP150のものです。
ステップ1:アクセスポイントのWebベースユーティリティにログインし、[ACL ] > [ACL Rule]を選択します 。
注: WAP121、WAP321、WAP371、WAP551、およびWAP561の場合:アクセスポイントのWebベースのユーティリティにログインし、[Client QoS ] > [ACL]を選択します 。
ステップ2:[ACL Configuration]ページが開いたら、[ACL Name]フィールドにACL名を入力 します。
ステップ3:[ACL Type]ドロップダウンリ ストから[ACL Type]を選択します。
IPv4:32ビット(4バイト)のアドレス。
IPv6:IPv4のサクセサで、128ビット(8バイト)のアドレスで構成されます。
MAC:MACアドレスは、ネットワークインターフェイスに割り当てられた一意のアドレスです。
ステップ4:[Add ACL]ボタンをクリック します。
MACを選択した場合は、「MACベースのACLの設定」に進みます 。
IPv4を選択した場合は、「IPv4ベースACLの設定」に進みます 。
IPv6を選択した場合は、「IPv6ベースACLの設定」に進みます 。
これで、ACLが正常に作成されました。
MACベースのACLの設定
ステップ1:[ACL Name - ACL Type]ドロップダウンリストから、ルールを追加するACLを選択します。
注: 次の図では、例としてACL1 MACが選択されています。
ステップ2:選択したACLに対して新しいルールを設定する必要がある場合は、[Rule]ドロップダウンリスト から[New Rule ]を選択します。それ以外の場合は、[ルール]ドロップダウンリストから現在の ルールを1つ選択します。
注:1つの ACLに対して最大10のルールを作成できます。
ステップ3:[Action]ドロップダウンリストからACLルールのアクショ ンを選択します。
注:この 例では、Denyステートメントが作成されます。
[Deny]:ルールの基準を満たすすべてのトラフィックをブロックして、WAPに出入りします。すべてのACLの最後には暗黙的なdeny-allルールがあるため、明示的に許可されていないトラフィックはドロップされます。
[許可(Permit)]:ルール基準を満たすすべてのトラフィックがWAPに出入りできるようにします。基準を満たさないトラフィックは廃棄されます。
注: 手順4 ~ 11はオプションです。チェックされているフィルタが有効になります。この特定のルールに適用しないフィルタのチェックボックスをオフにします。
ステップ4:[Match Every Packet]チェックボックスをオンに すると、フレームまたはパケットの内容に関係なく、各フレームのルールに一致します。このチェックボックスをオフにして、追加の照合基準を設定します。
ヒント:[Match Every Packet] が既にオンになっている場合は、ステップ12にスキップしてください 。
ステップ5:[EtherType]領域で、オプションボタンを選択し、一致した基準をイーサネットフレームのヘッダーの値と比較します。次のいずれかのオプションを選択するか、[Any]を選択します。
[Select From List]:ドロップダウンリストからプロトコルを選択します。このリストには次のオプションがあります。appletalk、arp、IPv4、IPv6、ipx、netbios、pppoe。
[Match to Value]:カスタムプロトコル識別子に対して、0600 ~ FFFFの範囲の識別子を入力します。
ステップ6:[Class Of Service(サービスクラス)]エリアで、オプションボタンを選択して、イーサネットフレームと比較する802.1pユーザプライオリティを入力します。[任意(Any)]または[ユーザ定義優先度(User Defined priority)]を選択できます。[ユーザー定義]フィールドに0 ~ 7の範囲の優先度を入力 します。
ステップ7:[Source MAC]エリアで、オプションボタンを選択して、送信元MACアドレスをイーサネットフレームと比較します。[Any]を選択するか、[User Defined ]を選択し、表示されたフィールドに送信元MACアドレスを入力できます。
ステップ8:[Source MAC Mask]フィールドに送信元MACアドレスマスクを入力します。このフィールドには、送信元MACのどのビットをイーサネットフレームと比較するかを指定します。
注: MACマスクが0ビットを使用している場合、アドレスが受け入れられ、1ビットを使用している場合、アドレスは無視されます。
ステップ9:[Destination MAC]エリアで、オプションボタンを選択して、宛先MACアドレスをイーサネットフレームと比較します。[Any]を選択するか、[User Defined]を選択して、表示されたフィールドに宛先MACアドレスを入力できます。
ステップ10:[Destination MAC Mask]フィールドに宛先MACアドレスマスクを入力します。このフィールドには、宛先MACのどのビットをイーサネットフレームと比較するかを指定します。
注: MACマスクが0ビットを使用する場合、アドレスが受け入れられ、1ビットを使用する場合、アドレスは無視されます。
ステップ11:[VLAN ID ]領域で、 オプションボタンを選択して、VLAN IDをイーサネットフレームと比較します。表示されるフィールドに、0 ~ 4095の範囲のVLAN IDを入力します。
ステップ12:[Save ]をクリックします 。
ステップ13:(オプション)設定済みのACLを削除するには、[ACLの削除]チェックボックスをオン にして、[保存]をクリックします 。
これで、WAPでMAC ACLが正しく設定されました。
IPv4ベースACLの設定
ステップ1:[ACL Rule Configuration]領域で、次のルールパラメータを設定します。
ACL名:ACLタイプ:新しいルールで設定するACLを選択します。
注: 次の図では、例としてIPv4_ACL-IPv4が選択されています。
ステップ2:選択したACLに対して新しいルールを設定する必要がある場合は、[Rule]ドロップダウンリスト から[New Rule ]を選択します。それ以外の場合は、[ルール]ドロップダウンリストから現在の ルールを1つ選択します。
注:1つの ACLに対して最大10のルールを作成できます。
ステップ3:[Action]ドロップダウンリストからACLルールのアクショ ンを選択します。
注: この例では、Permit文が作成されています。
[Deny]:ルールの基準を満たすすべてのトラフィックをブロックして、WAPに出入りします。すべてのACLの最後には暗黙的なdeny-allルールがあるため、明示的に許可されていないトラフィックはドロップされます。
[許可(Permit)]:ルール基準を満たすすべてのトラフィックがWAPに出入りできるようにします。基準を満たさないトラフィックは廃棄されます。
注: 手順4 ~ 9はオプションです。チェックされているフィルタが有効になります。この特定のルールに適用しない場合は、フィルタのチェックボックスをオフにします。
ステップ4:[Match Every Packet]チェックボックスをオンに すると、フレームまたはパケットの内容に関係なく、各フレームのルールに一致します。追加の照合基準を設定するには、このチェックボックスをオフにします。
ヒント: Match Every Packetはデフォルトで有効になっています。この設定を維持する場合は、ステップ11 に進みます 。
ステップ5:[Protocol(プロトコル)]領域で、オプションボタンを選択し、一致した基準をイーサネットフレームのヘッダーの値と比較します。[Any]を選択するか、ドロップダウンリストから選択します
[リストから選択(Select From List)]:次のいずれかのプロトコルを選択します。
— IP:ネットワーク間でデータを中継するためのインターネットプロトコルスイートの基本的な通信プロトコル。 — ICMP:ルータなどのデバイスがエラーメッセージを送信するために使用する、Internet Protocol Suiteのプロトコル。 — IGMP:ホストがIPv4ネットワーク上でマルチキャストグループメンバーシップを確立するために使用する通信プロトコル。 — TCP:2台のホストが接続を確立し、データストリームを交換できるようにします。 — UDP:コネクションレス型伝送モデルを使用するインターネットプロトコルスイートのプロトコル。
[Match to Value]:0 ~ 255の標準IANA割り当てプロトコルIDを入力します。この方法を選択すると、[Select From List]に名前でリストされていないプロトコルを識別できます。
ステップ6:[Source IP(送信元IP)]領域で、照合条件に送信元のIPアドレスを含めるオプションボタンを選択します。[Any]または[User Defined]を選択し、それぞれのフィールドに送信元のIPアドレスとワイルドカードマスクを入力できます。
[Source IP Address]:この基準を適用するIPアドレスを入力します。
[ワイルドカードマスク(Wild Card Mask)]:宛先IPアドレスワイルドカードマスクを入力します。ワイルドカードマスクは、使用されるビットと無視されるビットを決定します。ワイルドカードマスク255.255.255.255は、ビットが重要でないことを示します。0.0.0.0のワイルドカードは、すべてのビットが重要であることを示します。このフィールドは、[送信元IPアドレス(Source IP Address)]が選択されている場合に必須です。
注: ワイルドカードマスクは、基本的にサブネットマスクの逆です。たとえば、条件を単一のホストアドレスに一致させるには、ワイルドカードマスク0.0.0.0を使用します。条件を24ビットサブネット(たとえば、192.168.10.0/24)に一致させるには、ワイルドカードマスク0.0.0.255を使用します。
ステップ7:[Source Port(送信元ポート)]領域で、オプションボタンを選択して、照合条件に送信元ポートを含めます。任意の送信元ポートに一致する[Any]を選択するか、次の項目を選択できます。
[Select From List]:[Select From List]ドロップダウンリストから送信元ポートを選択します。オプションは次のとおりです。
— File Transfer Protocol(FTP):FTPは、インターネットなどのTransmission Control Protocol(TCP)ベースのネットワークを介して、あるホストから別のホストにファイルを転送するために使用される標準ネットワークプロトコルです。
— FTPデータ:クライアントに接続されたサーバによって開始されるデータチャネル(通常はポート20経由)。
— Hypertext Transfer Protocol(HTTP) — HTTPは、World Wide Webのデータ通信の基盤となるアプリケーションプロトコルです。
— Simple Mail Transfer Protocol(SMTP) — SMTPは、電子メール(電子メール)送信のインターネット標準です。
— Simple Network Management Protocol(SNMP):SNMPは、IPネットワーク上のデバイスを管理するためのインターネット標準プロトコルです。
— Telnet – インターネットまたはローカルエリアネットワークで双方向のインタラクティブなテキスト指向通信を提供するために使用されるセッション層プロトコル。
— Trivial File Transfer Protocol(TFTP):TFTPは、FTPよりも簡単に使用できるが機能の低いファイルを転送するためのインターネットソフトウェアユーティリティです。
— World Wide Web (WWW) — WWWはHTTP形式のドキュメントをサポートするインターネットサーバーのシステムです。
[Match to Port]:リストに表示されていないポート番号を入力します。ポート番号の範囲は、リストされていない送信元ポートのMatch to Portフィ ールドで0~65535です。範囲には3種類のポートがあります。範囲は次のとおりです
— 0 ~ 1023 – 既知のポート
— 1024 ~ 49151 – 登録ポート
— 49152 ~ 65535 – ダイナミックポートおよび/またはプライベートポート
[Mask]:ポートマスクを入力します。マスクは、使用されるビットと無視されるビットを決定します。16進数(0 — 0xFFFF)だけが許可されます。0はビットが重要であることを意味し、1は、このビットを無視する必要があることを意味します。
ステップ8:[Destination IP(宛先IP)]エリアで、オプションボタンを選択して、照合条件に宛先のIPアドレスを含めます。[Any]または[User Defined]を選択し、宛先のIPアドレスとワイルドカードマスクを各フィールドに入力できます。
[Destination IP Address]:この基準を適用するIPアドレスを入力します。
[ワイルドカードマスク(Wild Card Mask)]:宛先IPアドレスワイルドカードマスクを入力します。ワイルドカードマスクは、使用されるビットと無視されるビットを決定します。ワイルドカードマスク255.255.255.255は、ビットが重要でないことを示します。0.0.0.0のワイルドカードは、すべてのビットが重要であることを示します。このフィールドは、宛先IPアドレスが選択されている場合に必須です。
注: ワイルドカードマスクは、基本的にサブネットマスクの逆です。たとえば、条件を単一のホストアドレスに一致させるには、ワイルドカードマスク0.0.0.0を使用します。条件を24ビットサブネット(たとえば、192.168.10.0/24)に一致させるには、ワイルドカードマスク0.0.0.255を使用します。
ステップ9:[Destination Port(宛先ポート)]エリアで、オプションボタンを選択して、照合条件に宛先ポートを含めます。任意の宛先ポートに一致する[任意(Any)]を選択するか、次のいずれかを選択できます。
[Select From List]:ドロップダウンリストから宛先ポートを選択します。オプションは次のとおりです
— FTP – インターネットなどのTCPベースのネットワークを介して、あるホストから別のホストにファイルを転送するために使用される標準ネットワークプロトコル。 — FTPデータ:クライアントに接続されたサーバによって開始されるデータチャネル(通常はポート20経由)。 — HTTP:World Wide Webのデータ通信の基盤となるアプリケーションプロトコル。 — SMTP – 電子メール(電子メール)送信のインターネット標準。 — SNMP:IPネットワーク上のデバイスを管理するためのインターネット標準プロトコル。 — Telnet – インターネットまたはローカルエリアネットワークで双方向のインタラクティブなテキスト指向通信を提供するために使用されるセッション層プロトコル。 — TFTP:FTPよりも使用が簡単で機能が低いファイルを転送するためのインターネットソフトウェアユーティリティ。 — WWW — HTTP形式のドキュメントをサポートするインターネットサーバのシステム。
[Match to Port]:リストに表示されていないポート番号を入力します。ポート番号の範囲は、リストされていない送信元ポートのMatch to Portフィ ールドで0~65535です。範囲には3種類のポートがあります。範囲は次のように説明されます。
— 0 ~ 1023 – 既知のポート — 1024 ~ 49151 – 登録ポート — 49152 ~ 65535 – ダイナミックポートおよび/またはプライベートポート
[Mask]:ポートマスクを入力します。マスクは、使用されるビットと無視されるビットを決定します。16進数(0 ~ 0xFFFF)だけが許可されます。0はビットが重要であることを意味し、1は、このビットを無視する必要があることを意味します。
ステップ10:[Service Type]領域で、特定のサービスタイプに基づいてパケットを照合するオプションボタンを選択します。[任意(Any)]を選択するか、次の中から選択できます。
[IP DSCP Select From List]:DiffServコードポイント(DSCP)Assured Forwarding(AS)、サービスクラス(CS)、またはExpedited Forwarding(EF)の値に基づいてパケットを照合します。
IP DSCP Match to Value:カスタムDSCP値に基づいてパケットを照合します。選択した場合、このフィールドに0 ~ 63の値を入力します。
IP Precedence:IP precedence値に基づいてパケットを照合します。選択した場合は、0 ~ 7のIP Precedence値を入力します。
IP TOS Bits:照合基準としてIPヘッダーのパケットのTOSビットを使用する値を指定します。
パケット内のIP TOSフィールドは、IPヘッダー内のService Typeオクテットの8ビットすべてとして定義されます。IP TOS Bits値は、00 ~ ffの2桁の16進数です。上位3ビットは、IP優先順位値を表します。上位6ビットはIP DSCP値を表します。
[IP TOS Mask]:IP TOS Mask値を入力して、パケットのIP TOSフィールドとの比較に使用されるIP TOS Bits値のビット位置を特定します。
IP TOSマスクの値は、00 ~ FFの2桁の16進数で、反転(つまりワイルドカード)マスクを表します。IP TOSマスクのゼロ値ビットは、パケットのIP TOSフィールドとの比較に使用されるIP TOSビット値のビット位置を表します。たとえば、ビット7と5が設定され、ビット1がクリアされているIP TOS値を確認するには、ビット7が最も重要なIP TOSビット値0とIP TOSマスク00を使用します。
ステップ11:[Save]をクリックします。
これで、IPv4ベースのACLが正常に設定されました。
IPv6ベースACLの設定
ステップ1:[ACL Rule Configuration]領域で、次のルールパラメータを設定します。 [ACL Name - ACL Type]:新しいルールで設定するACLを選択します。 注: 次の図では、例としてIPv6_ACL:Pv6が選択されています。 ステップ2:選択したACLに新しいルールを設定する必要がある場合は、[Rule]ドロップダウンリストから[New Rule]を選択します。それ以外の場合は、[Rule]ドロップダウンリストから現在のルールのいずれかを選択します。 注: 1つのACLに対して最大10のルールを作成できます。 ステップ3:[Action]ドロップダウンリストからACLルールのアクションを 選択します
[Deny]:ルールの基準を満たすすべてのトラフィックをブロックして、WAPに出入りします。すべてのACLの最後には暗黙的なdeny-allルールがあるため、明示的に許可されていないトラフィックはドロップされます。
[許可(Permit)]:ルール基準を満たすすべてのトラフィックがWAPに出入りできるようにします。基準を満たさないトラフィックは廃棄されます。
注: 手順4 ~ 11はオプションです。チェックされているフィルタが有効になります。この特定のルールに適用しない場合は、フィルタのチェックボックスをオフにします。 ステップ4:[Match Every Packet] チェックボックスをオンにし、内容に関係なく、すべてのフレームまたはパケットのルールを照合します。追加の照合基準を設定するには、このチェックボックスをオフにします。 ヒント: Match Every Packetはデフォルトで有効になっています。この設定を維持する場合は、ステップ12に進みます。 ステップ5:[Protocol(プロトコル)]領域で、オプションボタンを選択し、一致した基準をイーサネットフレームのヘッダーの値と比較します。次のいずれかのオプションを選択するか、[Any]を選択します。
[リストから選択(Select From List)]:次のいずれかのプロトコルを選択します。
— IP:ネットワーク間でデータを中継するためのインターネットプロトコルスイートの基本的な通信プロトコル。
— ICMP:ルータなどのデバイスがエラーメッセージを送信するために使用する、Internet Protocol Suiteのプロトコル。
— IGMP:ホストがIPv4ネットワーク上でマルチキャストグループメンバーシップを確立するために使用する通信プロトコル。
— TCP:2台のホストが接続を確立し、データストリームを交換できるようにします。
— UDP:コネクションレス型伝送モデルを使用するインターネットプロトコルスイートのプロトコル。
[Match to Value]:0 ~ 255の標準IANA割り当てプロトコルIDを入力します。この方法を選択すると、[Select From List]に名前でリストされていないプロトコルを識別できます。
ステップ6:[Source IPv6(送信元IPv6)]領域で、照合条件に送信元のIPアドレスを含めるオプションボタンを選択します。[Any]または[User Defined]を選択し、IPv6アドレスと送信元IPv6プレフィクス長を入力できます。
[送信元IPv6アドレス(Source IPv6 Address)]:この基準を適用するIPv6アドレスを入力します。
[Source IPv6 Prefix Length]:送信元IPv6アドレスのプレフィクス長を入力します。
ステップ7:[Source Port]領域で 、照合条件に送信元ポートを含めるオプションボタンを選択します。任意の送信元ポートに一致する[任意(Any)]を選択するか、次のいずれかを選択できます。
「リストから選択」(Select From List) - 「リストから選択」(Select From List)ドロップダウンリ ストからソースポートを選択します。オプションは次のとおりです。
— FTP – インターネットなどのTCPベースのネットワークを介して、あるホストから別のホストにファイルを転送するために使用される標準ネットワークプロトコル。
— FTPデータ:クライアントに接続されたサーバによって開始されるデータチャネル(通常はポート20経由)。
— HTTP:World Wide Webのデータ通信の基盤となるアプリケーションプロトコル。
— SMTP – 電子メール(電子メール)送信のインターネット標準。
— SNMP:IPネットワーク上のデバイスを管理するためのインターネット標準プロトコル。
— Telnet – インターネットまたはローカルエリアネットワークで双方向のインタラクティブなテキスト指向通信を提供するために使用されるセッション層プロトコル。
— TFTP:FTPよりも使用が簡単で機能が低いファイルを転送するためのインターネットソフトウェアユーティリティ。
— WWW — HTTP形式のドキュメントをサポートするインターネットサーバのシステム。
[Match to Port]:リストに表示されていないポート番号を入力します。ポート番号の範囲は、リストされていない送信元ポートのMatch to Portフィ ールドで0~65535です。範囲には3種類のポートがあります。範囲は次のように説明されます。
— 0 ~ 1023 – 既知のポート — 1024 ~ 49151 – 登録ポート — 49152 ~ 65535 – ダイナミックポートおよび/またはプライベートポート
[Mask]:ポートマスクを入力します。マスクは、使用されるビットと無視されるビットを決定します。16進数(0xFFFF)のみが許可されます。0はビットが重要であることを意味し、1は、このビットを無視する必要があることを意味します。
ステップ8:[Destination IPv6(宛先IPv6)]領域で、オプションボタンを選択して、照合条件に宛先のIPアドレスを含めます。[Any]を選択するか、[User Defined]を選択して、IPv6アドレスと宛先IPv6プレフィクス長を入力します。
[Destination IPv6 Address]:この基準を適用するIPv6アドレスを入力します。
Destination IPv6 Prefix Length:宛先IPv6アドレスのプレフィクス長を入力します。
ステップ9:[Destination Port(宛先ポート)]エリアで、オプションボタンを選択して、照合条件に宛先ポートを含めます。任意の宛先ポートに一致する[任意(Any)]を選択するか、次のいずれかを選択できます。
「リストから選択」(Select From List) - 「リストから選択」(Select From List)ドロップダウンリ ストから宛先ポートを選択します。オプションは、FTP、FTPデータ、HTTP、SNMP、SMTP、TFTP、Telnet、WWWです。
[Match to Port]:リストに表示されていないポート番号を入力します。ポート番号の範囲は、リストされていない送信元ポートのMatch to Portフィ ールドで0~65535です。範囲には3種類のポートがあります。範囲は次のように説明されます。
— 0 ~ 1023 – 既知のポート
— 1024 ~ 49151 – 登録ポート
— 49152 ~ 65535 – ダイナミックポートおよび/またはプライベートポート
[Mask]:ポートマスクを入力します。マスクは、使用されるビットと無視されるビットを決定します。16進数(0 ~ 0xFFFF)だけが許可されます。0はビットが重要であることを意味し、1は、このビットを無視する必要があることを意味します。
ステップ10:[IPv6 Flow Label(IPv6フローラベル)]領域で、IPv6フローラベルを照合条件に含めるオプションボタンを選択します。[Any]または[User Defined]を選択し、IPv6パケットに固有の20ビットの番号を入力できます。範囲は0 ~ 0xffffです。 ステップ11:[IPv6 DSCP]領域で、IP DSCP値とパケットを照合するオプションボタンを選択します。[任意(Any)]を選択するか、次のいずれかを選択できます。
「リストから選択」(Select from list) – 次のいずれかの値を選択します。DSCP Assured Forwarding(AF)、Class of Service(CS)、またはExpedited Forwarding(EF)。
[Match to Value]:カスタムDSCP値を0 ~ 63の範囲で入力します。
ステップ12:[保 存] をクリックします。 ステップ13:(オプション)ACLを削除するには、[ACL Name-ACL Type]リストでACL名が選択されていることを確認し、[Delete ACL]をオンにします。 これで、IPv6ベースのACLが正常に設定されました。