WAP371でのACLルールの設定

目的

ネットワークアクセスコントロールリスト(ACL)は、サブネットの内外のトラフィックを制御するためのファイアウォールとして機能する、オプションのセキュリティレイヤです。アクセスリストは、さまざまな理由でセキュリティを提供する許可および拒否条件、またはルールの集合です。たとえば、これらのルールは、許可されていないユーザをブロックし、許可されたユーザが特定のリソースにアクセスできるようにし、ネットワークリソースへのアクセスを保証されていない試みをブロックします。

このドキュメントの目的は、WAP 371でACLルールを設定する方法を示すことです。

該当するデバイス

・ WAP371

[Software Version]

・ v1.2.0.2

ACLルールの設定

ACLの設定

ステップ1:Web設定ユーティリティにログインし、[Client QoS] > [ACL] を選択します。[ACL]ページが開きます。

ステップ2:[ACL Name]フィールドに目的のACL名を入力します。範囲は1 ～ 31文字です。

注：ACL名は特定のACLの識別子です。デバイスの動作には影響しません。

ステップ3:[ACL Type]ドロップダウンリストからACLタイプを選択します。

オプションは次のとおりです。

・ IPv4 - 32ビット（4バイト）アドレス。

・ IPv6 - IPv4のサクセサで、128ビット（8バイト）のアドレスで構成されます。

・ MAC - MACアドレスは、ネットワークインターフェイスに割り当てられた一意のアドレスです。

注：IPv4およびIPv6 ACLは、レイヤ3およびレイヤ4の基準に基づいてネットワークリソースへのアクセスを制御します。MAC ACLは、レイヤ2の基準に基づいてアクセスを制御します。

ステップ4:[Add ACL]をクリックして、新しいACLを追加します。


 

IPv4およびIPv6のACLルール設定

注：次のスクリーンショットはIPv4 ACLルール用ですが、IPv6 ACLルールと互換性があります。

ステップ1:[Action]ドロップダウンリストからルールのアクションを選択します。

オプションは次のとおりです。

・許可 – ルールは、ルール基準を満たすすべてのトラフィックがWAPデバイスに出入りすることを許可します。基準を満たさないトラフィックは廃棄されます。

・ Deny – ルール基準を満たすすべてのトラフィックがWAPデバイスに着信または発信するのをブロックします。基準を満たさないトラフィックは、次のルールに転送されます。これが最終的なルールである場合、明示的に許可されていないトラフィックは廃棄されます。

ステップ2:[Match Every Packet]チェックボックスをオンまたはオフにすること。選択した場合、許可または拒否アクションを持つルールは、その内容に関係なく、フレームまたはパケットに一致します。

注：このフィールドを選択すると、追加の一致基準を設定することはできません。新しいルールに対してデフォルトでは[Match Every Packet]オプションが選択されています。他の一致フィールドを設定するには、このオプションをオフにする必要があります。

ステップ3:[Protocol]チェックボックスをオンにし、IPv4パケットの[IP Protocol]フィールドまたはIPv6パケットの[Next Header]フィールドの値に基づいて、L3またはL4プロトコルの一致条件を使用します。[プロトコル]チェックボックスがオンになっている場合は、次のいずれかのオプションボタンを選択します。

オプションは次のとおりです。

・ [リストから選択]:[リストから選択]ドロップダウンリストからプロトコルを選択します。オプションは次のとおりです。

- IP：インターネットプロトコル(IP)は、ネットワーク間でデータを中継するためのインターネットプロトコルスイートの基本的な通信プロトコルです。

- ICMP:Internet Control Message Protocol(ICMP)は、ルータなどのデバイスがエラーメッセージを送信するために使用する、Internet Protocol Suiteのプロトコルです。

- IGMP:Internet Group Management Protocol(IGMP)は、ホストがIPv4ネットワーク上でマルチキャストグループメンバーシップを確立するために使用する通信プロトコルです。

- TCP:Transmission Control Protocol（TCP；伝送制御プロトコル）により、2台のホストが接続を確立し、データストリームを交換できます。

- UDP:User Datagram Protocol（UDP；ユーザデータグラムプロトコル）は、コネクションレス型伝送モデルを使用するインターネットプロトコルスイートのプロトコルです。

・ Match to Value：リストされていないすべてのプロトコルに対して0 ～ 255の範囲の標準IANA割り当てプロトコルIDを入力します。IANAによって割り当てられたプロトコルIDの詳細は、『割り当てられたインターネットプロトコル番号』を参照してください。

ステップ4:[Source IP Address]チェックボックスをオンにすると、照合条件に送信元のIPアドレスが含まれます。それぞれのフィールドに、送信元のIPアドレスとワイルドカードマスクを入力します。ワイルドカードマスクは、送信元アドレスのどのビットが使用され、どのビットが無視されるかを決定します。これは逆サブネットマスクと考えることができます。これは、一部のルーティングプロトコルのネットワークまたはサブネットのサイズを示したり、IPアドレスの範囲を許可または拒否したりする場合に便利です。

注：[Source IP Address]チェックボックスがオンになっている場合は、[Wild Card Mask]フィールドが必要になります。

ステップ5:[Source Port]チェックボックスをオンにすると、一致条件に送信元ポートが含まれます。[Source Port]チェックボックスがオンの場合は、次のいずれかのラジオボタンを選択します。

オプションは次のとおりです。

・ [リストから選択(Select From List)]:[リストから選択(Select From List)]ドロップダウンリストから送信元ポートを選択します。オプションは次のとおりです。

- FTP（ファイル転送プロトコル）は、インターネットなどのTCPベースのネットワークを介して、あるホストから別のホストにファイルを転送するために使用される標準ネットワークプロトコルです。

- FTPデータ：クライアントに接続されたサーバによって開始されるデータチャネル（通常はポート20経由）。

- HTTP：ハイパーテキスト転送プロトコル(HTTP)は、World Wide Webのデータ通信の基盤となるアプリケーションプロトコルです。

- SMTP - Simple Mail Transfer Protocol(SMTP)は、電子メール（電子メール）送信のインターネット標準です。

- SNMP:Simple Network Management Protocol(SNMP)は、IPネットワーク上のデバイスを管理するためのインターネット標準プロトコルです。

- Telnet – インターネットまたはローカルエリアネットワークで双方向のインタラクティブなテキスト指向通信を提供するために使用されるセッション層プロトコル。

- TFTP - Trivial File Transfer Protocol(TFTP)は、FTPよりも簡単に使用できるが機能の少ないファイルを転送するためのインターネットソフトウェアユーティリティです。

- WWW - World Wide Webは、HTTP形式のドキュメントをサポートするインターネットサーバーのシステムです。

・ Match to Port：リストされていない送信元ポートの[Match to Port]フィールドに、0 ～ 65535の範囲のポート番号を入力します。範囲には3種類のポートがあります。範囲は次のように説明されます。

- 0 ～ 1023 – 既知のポート。

- 1024 ～ 49151：登録ポート。

- 49152 ～ 65535：ダイナミックポートおよび/またはプライベートポート。

ステップ6:[Destination IP Address]チェックボックスをオンにして、照合条件に宛先のIPアドレスを含めます。それぞれのフィールドに、宛先のIPアドレスとワイルドカードマスクを入力します。ワイルドカードマスクは、送信元アドレスのどのビットが使用され、どのビットが無視されるかを決定します。これは逆サブネットマスクと考えることができます。これは、一部のルーティングプロトコルのネットワークまたはサブネットのサイズを示したり、IPアドレスの範囲を許可または拒否したりする場合に便利です。

注：[Destination IP Address]チェックボックスがオンになっている場合は、[Wild Card Mask]フィールドが必要です。

注：1つのIPアドレスだけを一致させる場合は、ワイルドカードマスク0.0.0.0を使用します。

ステップ7:[Destination Port]チェックボックスをオンにして、照合条件に宛先ポートを含めます。[宛先ポート]チェックボックスがオンになっている場合は、次のいずれかのオプションボタンを選択します。

オプションは次のとおりです。

・ [リストから選択(Select From List)]:[リストから選択(Select From List)]ドロップダウンリストから宛先ポートを選択します。ドロップダウンリストオプションは次のとおりです。

- FTP（ファイル転送プロトコル）は、インターネットなどのTCPベースのネットワークを介して、あるホストから別のホストにファイルを転送するために使用される標準ネットワークプロトコルです。

- FTPデータ：クライアントに接続されたサーバによって開始されるデータチャネル（通常はポート20経由）。

- HTTP：ハイパーテキスト転送プロトコル(HTTP)は、World Wide Webのデータ通信の基盤となるアプリケーションプロトコルです。

- SMTP - Simple Mail Transfer Protocol(SMTP)は、電子メール（電子メール）送信のインターネット標準です。

- SNMP:Simple Network Management Protocol(SNMP)は、IPネットワーク上のデバイスを管理するためのインターネット標準プロトコルです。

- Telnet – インターネットまたはローカルエリアネットワークで双方向のインタラクティブなテキスト指向通信を提供するために使用されるセッション層プロトコル。

- TFTP - Trivial File Transfer Protocol(TFTP)は、FTPよりも簡単に使用できるが機能の少ないファイルを転送するためのインターネットソフトウェアユーティリティです。

- WWW - World Wide Webは、HTTP形式のドキュメントをサポートするインターネットサーバーのシステムです。

・ Match to Port：リストされていない宛先ポートの[Match to Port]フィールドに、0 ～ 65535の範囲のポート番号を入力します。範囲には3種類のポートがあります。範囲は次のように説明されます。

- 0 ～ 1023 – 既知のポート。

- 1024 ～ 49151：登録ポート。

- 49152 ～ 65535：ダイナミックポートおよび/またはプライベートポート。

注：[サービスタイプ(Service Type)]領域から選択できるサービスは1つのみで、一致条件に追加できます。
 

IPv4のACLルールサービスタイプの設定

ステップ1:IP DSCP値に基づいてパケットを照合するには、[IP DSCP]チェックボックスをオンにします。DSCPは、フレームのIPヘッダー上でトラフィックの優先順位を指定するために使用されます。これにより、関連付けられたトラフィックストリームのすべてのパケットが、リストから選択したIP DSCP値で分類されます。[IP DSCP]チェックボックスがオンになっている場合は、次のいずれかのオプションボタンを選択します。

オプションは次のとおりです。

・ [リストから選択(Select From List)]:[リストから選択(Select From List)]ドロップダウンリストからIP DSCP値を選択します。オプションは次のとおりです。

- DSCP Assured Forwarding(AS)：トラフィックが一部のサブスクライブレートを超えない限り、オペレータは確実な配信を提供できます。

- Class of Service（CS；サービスクラス） - Precedenceフィールドを使用しているネットワークデバイスとの下位互換性を確保します。

- Expedited Forwarding(EF)：低損失、低遅延、低ジッタ、保証された帯域幅、DS(DiffServ)ドメインを介したエンドツーエンドサービスを構築するために使用されます。

・ Match to Value — DSCP値をカスタマイズするため、[Match to Value]フィールドに0 ～ 63の範囲のDSCP値を入力します。

注：DSCPの詳細については、「DSCP値と優先順位値」を参照してください。

ステップ2:[IP Precedence]チェックボックスをオンにして、一致条件にIP Precedence値を含めます。これは、各IPパケットに優先順位を割り当てるメカニズムです。0は最低の優先順位、7は最高の優先順位です。[IP Precedence]チェックボックスがオンになっている場合は、0 ～ 7の範囲のIP precedence値を入力します。

注：IP Precedenceの詳細は、『DSCP値と優先順位値』を参照してください。

ステップ3:[IP TOS Bits]チェックボックスをオンにし、IPヘッダーのパケットのタイプオブサービス(TOS)ビットを照合基準として使用します。TOSフィールドは、データグラムの優先順位を指定し、それに応じてルーティングするために使用されます。[IP TOS Bits]チェックボックスをオンにした場合、00-FFの範囲のIP TOSビットと、00-FFの範囲のIP TOSマスクをそれぞれのフィールドに入力します。

ステップ4:（オプション）設定済みのACLを削除する場合は、[ACLの削除]チェックボックスをオンにします。

ステップ5:[Save]をクリックして、設定を保存します。

IPv6のACLルール設定

ステップ1:[IPv6 Flow Label]チェックボックスをオンにして、IPv6パケットに固有の20ビット番号を設定します。ルータ(0 ～ 1048575)でのQoS処理を示すためにエンドステーションで使用されます。

ステップ2:IPv6 DSCP値に基づいてパケットを照合するには、[IPv6 DSCP]チェックボックスをオンにします。DSCPは、フレームのIPヘッダー上でトラフィックの優先順位を指定するために使用されます。これにより、関連付けられたトラフィックストリームのすべてのパケットが、リストから選択したIP DSCP値で分類されます。[IPv6 DSCP]チェックボックスがオフになっている場合は、次のいずれかのオプションボタンを選択します。

オプションは次のとおりです。

・ [リストから選択(Select From List)]:[リストから選択(Select From List)]ドロップダウンリストからIP DSCP値を選択します。オプションは次のとおりです。

- DSCP Assured Forwarding(AS)：トラフィックが一部のサブスクライブレートを超えない限り、オペレータは確実な配信を提供できます。

- Class of Service（CS；サービスクラス）:Precedenceフィールドを使用しているネットワークデバイスとの下位互換性を確保します。

- Expedited Forwarding(EF):DS(DiffServ)ドメインを通じて、低損失、低遅延、低ジッタ、保証された帯域幅、エンドツーエンドのサービスを構築するために使用されます。

・ Match to Value — DSCP値をカスタマイズするため、[Match to Value]フィールドに0 ～ 63の範囲のDSCP値を入力します。

注：DSCPの詳細については、「DSCP値と優先順位値」を参照してください。

ステップ3:（オプション）設定済みのACLを削除する場合は、[ACLの削除]チェックボックスをオンにします。

ステップ4:[Save(保存)]をクリックして設定を保存します。

MACのACLルール設定

ステップ1:[Action]ドロップダウンリストからルールのアクションを選択します。

オプションは次のとおりです。

・許可 – ルールは、ルール基準を満たすすべてのトラフィックがWAPデバイスに出入りすることを許可します。基準を満たさないトラフィックは廃棄されます。

・ Deny – ルール基準を満たすすべてのトラフィックがWAPデバイスに着信または発信するのをブロックします。基準を満たさないトラフィックは、次のルールに転送されます。これが最終的なルールである場合、明示的に許可されていないトラフィックは廃棄されます。

ステップ2:[Match Every Packet]チェックボックスをオンまたはオフにすること。選択した場合、許可または拒否アクションを持つルールは、その内容に関係なく、フレームまたはパケットに一致します。

注：このフィールドを選択すると、追加の一致基準を設定することはできません。新しいルールには、デフォルトで[Match Every Packet]オプションが選択されています。他の一致フィールドを設定するには、このオプションをオフにする必要があります。

ステップ3:[Ether Type]チェックボックスをオンにし、一致基準をイーサネットフレームのヘッダーの値と比較します。[Ether Type]チェックボックスがオンの場合は、次のいずれかのオプションボタンを選択します。

オプションは次のとおりです。

・「リストから選択」 – 「リストから選択」ドロップダウンリストからプロトコルを選択します。オプションは次のとおりです。

- AppleTalk - AppleTalkは、Apple Inc.がMacintoshコンピュータ用に開発した独自のネットワークプロトコルスイートです。AppleTalkには、ローカルエリアネットワークを事前の設定なしで接続できる機能が数多く含まれていました。また、中央集中型のルータやサーバを必要としません。

- ARP：アドレス解決プロトコル(ARP)は、複数アクセスネットワークの重要な機能であるリンク層アドレスにネットワーク層アドレスを解決するために使用される通信プロトコルです。

- IPv4：インターネットプロトコルバージョン4(IPv4)は、インターネットプロトコル(IP)の開発における4番目のバージョンです。 インターネットにおける標準ベースのインターネットワーキング方式のコアプロトコルの1つです。

- IPv6 - Internet Protocol version 6(IPv6)は、ネットワーク上のコンピュータの識別とロケーションシステムを提供し、インターネット上のトラフィックをルーティングするインターネットプロトコル(IP)の最新バージョンです。

- IPX - Internetwork Packet Exchange(IPX)は、IPX/SPXプロトコルスイートのネットワーク層プロトコルです。IPXは、Xerox Network SystemsのIDPから派生しています。トランスポート層プロトコルとしても機能します。

- NetBIOS - NetBIOSはNetwork Basic Input/Output Systemの略語です。OSIモデルのセッション層に関連するサービスを提供し、個別のコンピュータ上のアプリケーションがローカルエリアネットワーク経由で通信できるようにします。NetBIOSはAPIであるため、ネットワークプロトコルではありません。

- PPPOE:Point-to-Point Protocol over Ethernet(PPPoE)は、イーサネットフレーム内でPPPフレームをカプセル化するためのネットワークプロトコルです。

・ Match to Value：パケットが一致するカスタムプロトコル識別子を入力します。この値は、0600 ～ FFFFの範囲の4桁の16進数です。

ステップ4:[Class of Service] チェックボックスをオンにして、イーサネットフレームと比較する802.1pユーザプライオリティを入力します。IP Precedenceと同様に、0が最も低いプライオリティで、7が最も高いプライオリティです。有効な範囲は0 ～ 7です。

ステップ5:[Source MAC Address]チェックボックスをオンにして、イーサネットフレームと比較する送信元MACアドレスを入力します。[Source MAC Address]チェックボックスをオンにした場合は、[Source MAC Address]フィールドに送信元MACアドレスを入力します。次に、[Source MAC Mask]フィールドに送信元MACアドレスマスクを入力します。これにより、送信元MACアドレスのどのビットがイーサネットフレームと比較されるかを指定します。

注：1つのMACアドレスだけを一致させる場合は、ワイルドカードマスク00:00:00:00:00:00を使用します。

ステップ6:[Destination MAC Address]チェックボックスをオンにして、イーサネットフレームと比較する宛先MACアドレスを入力します。[Destination MAC Address]チェックボックスをオンにした場合は、[Destination MAC Address]フィールドに宛先MACアドレスを入力します。次に、[Destination MAC Mask]フィールドにMACアドレスマスクを入力します。これにより、宛先MACアドレスのどのビットがイーサネットフレームと比較されるかを指定します。



注：1つのMACアドレスだけを一致させる場合は、ワイルドカードマスク00:00:00:00:00:00を使用します。

ステップ7:[VLAN ID]チェックボックスをオンにして、イーサネットフレームと比較するVLAN IDを入力します。[VLAN ID]チェックボックスがオンになっている場合は、[VLAN ID]フィールドにVLAN IDを入力します。VLAN IDの範囲は0 ～ 4095です。

ステップ8:（オプション）設定済みのACLを削除する場合は、[ACLの削除]チェックボックスをオンにします。

ステップ9:[Save]をクリックして設定を保存します。