メディアアクセスコントロール(MAC)アクセスコントロールリスト(ACL)は、レイヤ2 ACLです。各ACLは、ワイヤレスアクセスポイント(WAP)によって受信されるトラフィックに適用される一連のルールです。 このルールは、ネットワークへのアクセスを許可または拒否するために、特定のフィールドの内容を使用するかどうかを指定します。ACLは、送信元または宛先MACアドレス、仮想ローカルエリアネットワーク(VLAN)識別子(ID)、サービスクラス(CoS)などのフレームのフィールドを検査するように設定できます。 フレームがWAPデバイスポートに入ると、フレームが検査され、ACLルールがフレームの内容と照合されます。いずれかのルールがコンテンツに一致する場合、許可または拒否アクションがフレームで実行されます。MAC ACLの設定は、通常、ネットワークリソースへのアクセスを許可して、ネットワーク内のデバイスを選択するために使用されます。
注:作成されたすべてのルールの最後には、暗黙のdenyがあります。
このシナリオでは、PC1を除き、ネットワーク内のすべてのデバイスがWAPの背後にあるLaptop2へのアクセスを許可されます。
この記事では、PC1がWAPの背後にあるLaptop2にアクセスするのを防ぐために、WAP125またはWAP581アクセスポイントでMACベースのACLを設定する方法を説明します。
注:メニューオプションは、使用しているWAPの正確なモデルによって異なります。次の図は、WAP125から取得したものです。
ステップ1:WAPのWebベースのユーティリティにログインし、[Access Control] > [ACL]を選択します。
ステップ2:ボタンをクリッ クします。
ステップ3:ACLがアクティブであることを確認するために、[Enable]チェックボックスがオンになっていることを確認します。このオプションはデフォルトでオンになっています。
ステップ4:[ACL Name]フィールドにACLの名前を入力し、ACLを識別します。
注:この例では、AccessNotを入力します。
ステップ5:[ACL Type] ドロップダウンリストから[MAC]を選択します。
ステップ6:ボタンをクリック し、[Associated Interface]ドロップダウンリストからインターフェイスを選択します。次のオプションがあります。
注:1つのACLに複数のインターフェイスを関連付けることができます。対応するインターフェイスのチェックボックスをオンにして、インターフェイスをACLに関連付けます。インターフェイスとACLの関連付けを解除するには、このチェックボックスをオフにします。この例では、イーサネットポートがACLに関連付けられています。
手順 7:[OK] をクリックします。
ステップ8:[More...]ボタンをクリックして、ACLのパラメータを設定します。
ステップ9:ボタンをクリックし て、新しいルールを追加します。
ステップ10:[Action]ドロップダウンリストからアクションを選択します。次のオプションがあります。
注:この例では、[Deny]が選択されています。
ステップ11:[Service (Protocol)]ドロップダウンリストから、フィルタリングするサービスまたはプロトコルを選択します。次のオプションがあります。
注:この例では、[All Traffic]が選択されています。
ステップ12:(オプション)[Select from]リストを選択した場合は、次のいずれかのオプションを選択します。
注:この例では、ipv4が選択されています。
ステップ13:[Source MAC Address]ドロップダウンリストから送信元MACアドレスを定義します。次のオプションがあります。
注:この例では、[Single Address]が選択されています。
ステップ14:[Source MAC Address]フィールドに送信元MACアドレスを入力してください。
注:この例では、10:60:4b:70:97:07と入力します。これはPC1のMACアドレスです。
ステップ15:[Destination MAC Address]ドロップダウンリストから宛先MACアドレスを定義します。次のオプションがあります。
注:この例では、[Single Address]が選択されています。
ステップ16:[Destination MAC Address]フィールドに宛先MACアドレスを入力します。
注:この例では、28:f0:76:2a:21:92と入力します。これはLaptop2のMACアドレスです。
ステップ17:ドロップダウンリストからVLAN IDを選択します。
注:この例では、[Any]が選択されています。
ステップ18:(オプション)[カスタム]を選択した場合は、[VLAN ID]フィールドにVLAN IDを入力します。
注:この例では、99を入力します。
ステップ19:(オプション)ドロップダウンリストからサービスクラスを選択します。次のオプションがあります。
注:この例では、[Any]が選択されています。[カスタム]を選択した場合は、[サービスクラス]フィールドに[優先度]を入力します。
ステップ20:もう一度ボタンをクリック して、許可ルールを追加します。
注:作成されたすべてのルールの最後には暗黙の拒否があるため、ネットワーク内の他のデバイスからのトラフィックを許可するために、許可ルールをACLに追加することを強く推奨します。
ステップ21:[Action]ドロップダウン矢印をクリックし、[Permit]を選択します。
ステップ22:[Service(ETH Type)]ドロップダウン矢印をクリックし、[All Traffic]を選択します。
ステップ23:[Source MAC Address]ドロップダウンメニューをクリックし、[Any]を選択します。これにより、ネットワーク内の他のMACアドレスからのトラフィックが許可されます。ただし、最初のルールに示されているPC1のMACアドレスは許可されません。
ステップ24:[Destination MAC Address]ドロップダウンメニューをクリックし、[Any]を選択します。これにより、ネットワーク内の任意のMACアドレスへのトラフィックが許可されます。
ステップ25.(オプション)ルールが設定されるまで、上下の矢印をクリックしてルールの優先順位を変更します。
手順 26:[OK] をクリックします。
ステップ27:[Save]をクリックします。
これで、WAP125またはWAP581アクセスポイントにMAC ACLが設定されました。