FQDN ACL の設定

このドキュメントでは、完全修飾ドメイン名(FQDN)を使用したアクセス コントロール リスト(ACL )を設定する方法について説明します。FQDN ACL 機能を設定することによって、ドメイン名システム(DNS )に基づいて、ワイヤレス セッションに ACL を設定および適用することができます。ドメイン名を IP アドレスに解決されます。IP アドレスは、DNS 応答の一部としてクライアントに提供され、FQDN は、IP アドレスに基づいて、ACL にマッピングされます。

FQDN ACL の設定に関する制約事項

FQDN ACL 機能の設定は、IPv4 ワイヤレス セッションでのみサポートされます。

FQDN ACL の設定に関する情報

FQDN ACL の設定

アクセス コントロール リスト(ACL)が、完全修飾ドメイン名(FQDN)を使用して設定されている場合、宛先ドメイン名に基づいて ACL を適用できます。宛先のドメイン名はその後、DNS 応答の一部としてクライアントに提供される IP アドレスに解決されます。

ゲスト ユーザーは、FQDN ACL 名で構成されるパラメータ マップでネットワーク認証を使用してログインできます。

FQDN ACL を設定する前に、次の作業を実行してください。

  • IP アクセス リストを設定します。

  • IP ドメイン名のリストを設定します。

  • ドメイン名と FQDN ACL をマッピングします。

コントローラに fqdn-acl-name AAA 属性を送信するように RADIUS サーバーを設定して、アクセス リストを特定のドメインに適用できます。オペレーティング システムは、パススルー ドメイン リストとそのマッピングを確認し、FQDN を許可します。FQDN ACL により、クライアントは認証なしで設定されたドメインのみにアクセスできます。


(注)  
デフォルトでは、IP アクセスリスト名は、パススルー ドメイン名と同じ名前で設定されます。デフォルト名を上書きするために、グローバル コンフィギュレーション モードでaccess-session passthrou-access-group access-group-name passthrou-domain-list domain-list-name コマンドを使用できます。

FQDN ACL の設定方法

IP アクセス リストの設定

手順の概要

  1. ip access-list extended name
  2. permit ip any any

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

ip access-list extended name

例:

Device (config)# ip access-list extended ABC

IP アクセス リストを作成します。

ステップ 2

permit ip any any

例:

Device (config-ext-nacl)# permit ip any any

ワイヤレス クライアントに許可されるドメインを指定します。ドメインはドメイン名リストで指定されます。

ドメイン名リストの設定

アクセス ポイントによる DNS スヌーピングが許可されたドメイン名のリストを含むドメイン名リストを設定できます。DNS ドメイン リスト名の文字列は、拡張アクセス リスト名と一致している必要があります。

手順の概要

  1. passthrou-domain-list name
  2. match word

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

passthrou-domain-list name

例:


Device (config)# passthrou-domain-list abc
Device (config-fqdn-acl-domains)#

パススルー ドメイン名リストを設定します。

ステップ 2

match word

例:


Device (config-fqdn-acl-domains)# match play.google.com
Device (config-fqdn-acl-domains)# match www.yahoo.com

パススルー ドメイン リストを設定します。クライアントが RADIUS サーバーを介して認証される必要なくアクセスの照会が許可される Web サイトのリストを追加します。

ドメイン名と FQDN ACL のマッピング

手順の概要

  1. access-session passthrou-access-group access-group-name passthrou-domain-list domain-list-name
  2. parameter-map type webauth domain-list-name and login-auth-bypass fqdn-acl-name acl-name domain-name domain-name

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

access-session passthrou-access-group access-group-name passthrou-domain-list domain-list-name

例:

Device (config)# access-session passthrou-access-group abc passthrou-domain-list abc

ドメイン名リストと FQDN ACL AAA 属性名をマッピングします。中央 Web 認証を設定する場合、このコマンドを使用します。

ステップ 2

parameter-map type webauth domain-list-name and login-auth-bypass fqdn-acl-name acl-name domain-name domain-name

例:

Device (config)# parameter-map type webauth abc
SwitchControllerDevice (config-params-parameter-map)# login-auth-bypass fqdn-acl-name abc domain-name abc

ドメイン名リストと FQDN ACL 名をマッピングします。コントローラでローカル認証を設定する場合、このコマンドを使用します。

RADIUS サーバーは、認証されたユーザー プロファイルの一部として FQDN ACL 名を返すように設定できます。FQDN ACL がコントローラで定義される場合、コントローラは FQDN ACL をユーザーに動的に適用します。

FQDN ACL のモニタリング

次のコマンドを使用して FQDN ACL をモニターできます。

コマンド

目的

show access-session interface interface-name details

インターフェイスに設定された FQDN ACL 情報を表示します。

show access-session fqdn fqdn-maps

ドメイン名リストにマッピングされた FQDN ACL を表示します。

show access-session fqdn list-domain domain-name

ドメイン名を表示します。

show access-session fqdn passthru-domain-list

設定されているドメインを表示します。

FQDN ACL の設定例

例:FQDN ACL の設定

次に、IP アクセス リストを作成する例を示します。 

# config terminal
(config)# ip access-list extended abc
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# end
# show ip access-list abc
次に、ドメイン名のリストを設定する例を示します。 

# config terminal
(config)# passthrou-domain-list abc
(config-fqdn-acl-domains)# match play.google.com
(config-fqdn-acl-domains)# end
# show access-session fqdn fqdn-maps
次に、中央集中型 Web 認証を使用してドメイン名と FQDN ACL をマッピングする例を示します。 

# config terminal
(config)# access-session passthrou-access-group abc passthrou-domain-list abc
(config)# end
# show access-session interface vlan 20
次に、ローカル認証を使用してドメイン名と FQDN ACL をマッピングする例を示します。 

# config terminal
(config)# parameter-map type webauth abc
(config-params-parameter-map)# login-auth-bypass fqdn-acl-name abc domain-name abc
(config-params-parameter-map)# end
# show access-session fqdn fqdn-maps

FQDN ACL の設定に関するその他の参考資料

関連資料

関連項目

マニュアル タイトル

Cisco IOS コマンド

『Cisco IOS Master Command List, All Releases』

セキュリティ コマンド

ACL 設定ガイド

『セキュリティコンフィギュレーションガイド』の「アクセスコントロールリスト」

シスコのテクニカル サポート

説明

リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

FQDN ACL の設定に関する機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
表 1. FQDN ACL の設定に関する機能情報

機能名

リリース

機能情報

FQDN ACL の設定

FQDN ACL 機能を設定することで、ドメイン名システム(DNS)に基づいてワイヤレス セッションにアクセス コントロール リスト(ACL)を設定、適用することができます。ドメイン名が IP アドレスが DNS 応答の一部として、クライアントに割り当てるられる IP アドレスに解決されます。次に FQDN が IP アドレスに基づいて ACL にマッピングされます。

次のコマンドが導入または変更されました。access session passthrou access group login-auth-bypass parameter-map type webauth global pass throu domain list name show access-session fqdn