FlexConnect ACL の設定

アクセス コントロール リストについて

アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。 ACL を使用すると、ネットワーク トラフィックのアクセス制御を行えます。 コントローラで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、または WLAN に適用できます。 ACL を使用すると、ワイヤレス クライアントで送受信されるデータ トラフィックやコントローラの CPU へのデータ トラフィックを制御できます。FlexConnect アクセス ポイント上で ACL を設定して、ローカルにスイッチされるアクセス ポイント上のデータ トラフィックの効率的な使用およびアクセス制御を実現できます。

FlexConnect ACL は、入力と出力の両方のモードのアクセス ポイントで VLAN インターフェイスに適用できます。

アクセス ポイントの既存のインターフェイスを ACL にマッピングできます。 インターフェイスは、FlexConnect アクセス ポイントで WLAN-VLAN マッピングを設定することによって作成できます。

FlexConnect ACL は、VLAN サポートが FlexConnect アクセス ポイントで有効になっている場合のみ、アクセス ポイントの VLAN に適用できます。

FlexConnect ACL の制限

  • FlexConnect ACL は FlexConnect のアクセス ポイントにのみ適用できます。 設定は、AP および VLAN ごとに適用されます。

  • コントローラ上に最大 512 の ACL を設定できます。

  • コントローラに設定されている非 FlexConnect ACL は FlexConnect AP には適用できません。

  • FlexConnect ACL では、ルールごとの方向はサポートされていません。 通常の ACL とは異なり、Flexconnect ACL では方向を持たせて設定することはできません。 ACL 全体を入力または出力としてインターフェイスに適用する必要があります。

  • 最大で 512 の FlexConnect ACL を定義することができ、各 ACL に最大 64 のルール(またはフィルタ)を設定できます。 各ルールには、ルールの処理に影響を与えるパラメータがあります。 パケットがルールに関連するすべてのパラメータに一致すると、そのルールに関連するアクション設定がパケットに適用されます。

  • ネットワークの ACL は、Control and Provisioning of Wireless Access Points(CAPWAP)が Lightweight Access Point Protocol (LWAPP)で使用されているものとは異なるポートを使用するため、変更を必要とする場合があります。

  • すべての ACL で、最後のルールとして暗黙の deny all ルールが適用されます。 パケットがどのルールとも一致しない場合、対応するアクセス ポイントによってドロップされます。

  • WLAN-VLAN マッピングを使用して AP で作成された VLAN の ACL マッピングは、AP ベースごとでのみ実行する必要があります。 VLAN は AAA Override の FlexConnect グループで作成できます。 これらの VLAN に WLAN のマッピングはありません。

  • FlexConnect グループで作成された VLAN の ACL は、FlexCconnect グループのみでマッピングする必要があります。 同じ VLAN が、対応する AP および FlexConnect グループにある場合、AP VLAN が優先されます。 つまり、ACL が AP にマッピングされていない場合、FlexConnect グループの VLAN にマッピングされていても VLAN には ACL がないということです。

  • AAA クライアントの ACL のサポート

    • AAA がクライアント ACL を送信する前に、ACL が FlexConnect グループまたは AP で作成されることを確認してください。 ACL は、クライアントが AP に関連付けられるときに AP に動的にダウンロードされることはありません。

    • 最大 96 の ACL を AP で設定できます。 各 ACL には最大 64 のルールを設定できます。

    • FlexConnect ACL には方向がありません。 ACL 全体が入力または出力として適用されます。

    • AAA によって返される ACL は、クライアントの 802.11 側の入力と出力の両方に適用されます。

FlexConnect ACL の設定(GUI)

    ステップ 1   [Security] > [Access Control Lists] > [FlexConnect Access Control Lists] を選択します。

    [FlexConnect ACL] ページが表示されます。

    このページには、コントローラ上で設定したすべての FlexConnect ACL が一覧表示されます。 このページには、対応するコントローラで作成した FlexConnect ACL も表示されます。 ACL を削除するには、該当する ACL 名の横にある青のドロップダウン矢印の上にカーソルを移動し、[Remove] を選択します。

    ステップ 2   [New] をクリックして、新しい ACL を追加します。

    [Access Control Lists > New] ページが表示されます。

    ステップ 3   [Access Control List Name] テキスト ボックスに、新しい ACL の名前を入力します。 最大 32 文字の英数字を入力できます。
    ステップ 4   [Apply] をクリックします。
    ステップ 5   [Access Control Lists] ページが再度表示されたら、新しい ACL の名前をクリックします。

    [Access Control Lists > Edit] ページが表示されたら、[Add New Rule] をクリックします。

    [Access Control Lists > Rules > New] ページが表示されます。

    ステップ 6   この ACL のルールを次のように設定します。
    1. コントローラは各 ACL について最大 64 のルールをサポートします。 これらのルールは、1 から 64 の順にリストアップされます。 [Sequence] テキスト ボックスで、値(1 ~ 64)を入力し、この ACL に定義されている他のルールに対するこのルールの順番を決定します。
      (注)     

      ルール 1 ~ 4 がすでに定義されている場合にルール 29 を追加すると、これはルール 5 として追加されます。 ルールのシーケンス番号を追加または変更した場合は、順序を維持するために他のルールのシーケンス番号が自動的に調整されます。 たとえば、ルールのシーケンス番号を 7 から 5 に変更した場合、シーケンス番号 5 および 6 のルールはそれぞれ 6 および 7 へと自動的に番号が変更されます。

    2. [Source] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するパケットの送信元を指定します。

      • [Any]:任意の送信元(これはデフォルト値です)。

      • [IP Address]:特定の送信元。 このオプションを選択する場合は、該当するテキスト ボックスに送信元の IP アドレスとネットマスクを入力します。

    3. [Destination] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するパケットの宛先を指定します。

      • [Any]:任意の宛先(これはデフォルト値です)。

      • [IP Address]:特定の宛先。 このオプションを選択する場合は、テキスト ボックスに宛先の IP アドレスとネットマスクを入力します。

    4. [Protocol] ドロップダウン リストから、この ACL に使用する IP パケットのプロトコル ID を選択します。 使用できるプロトコル オプションは、次のとおりです。

      • [Any]:任意のプロトコル(これは、デフォルト値です)。

      • TCP

      • UDP

      • [ICMP]:インターネット制御メッセージ プロトコル

      • [ESP]:IP カプセル化セキュリティ ペイロード

      • [AH]:認証ヘッダー

      • [GRE]:Generic Routing Encapsulation

      • [IP-in-IP]:IP-in-IP パケットを許可または拒否します

      • [Eth Over IP]:Ethernet-over-Internet プロトコル

      • [OSPF]:Open Shortest Path First

      • [Other]:その他の Internet Assigned Numbers Authority(IANA)プロトコル

        (注)      [Other] を選択する場合は、[Protocol] テキスト ボックスに目的のプロトコルの番号を入力します。 使用可能なプロトコルのリストは IANA Web サイトで確認できます。

      コントローラは ACL の IP パケットのみを許可または拒否できます。 他のタイプのパケット(アドレス解決プロトコル(ARP)パケットなど)は指定できません。

      [TCP] または [UDP] を選択すると、[Source Port] および [Destination Port] の 2 つの追加のパラメータが表示されます。 これらのパラメータを使用すれば、特定の送信元ポートと宛先ポート、またはポート範囲を選択することができます。 ポート オプションは、ネットワーキング スタックとのデータ送受信をするアプリケーションによって使用されます。 一部のポートは、Telnet、SSH、HTTP など特定のアプリケーション用に指定されています。

    5. [DSCP] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL の Differentiated Service Code Point(DSCP)値を指定します。 [DSCP] は、インターネット上の QoS を定義するために使用できる IP ヘッダー テキスト ボックスです。

      • [Any]:任意の DSCP(これは、デフォルト値です)

      • [Specific]:[DSCP] テキスト ボックスに入力する、0 ~ 63 の特定の DSCP

    6. [Action] ドロップダウン リストから、[Deny] を選択してこの ACL でパケットがブロックされるようにするか、[Permit] を選択してこの ACL でパケットが許可されるようにします。 デフォルト値は [Deny] です。
    7. [Apply] をクリックします。

      [Access Control Lists > Edit] ページが表示され、この ACL のルールが示されます。

    8. この ACL にさらにルールを追加するにはこの手順を繰り返します。
    ステップ 7   [Save Configuration] をクリックします。

    FlexConnect ACL の設定(CLI)

    • config flexconnect acl create name:FlexConnect アクセス ポイントの ACL を作成します。 name は、最大 32 文字の IPv4 ACL 名にする必要があります。

    • config flexconnect acl delete name:FlexConnect ACL を削除します。

    • config flexconnect acl rule action acl-name rule-index {permit |deny}:ACL を許可または拒否します。

    • config flexconnect acl rule add acl-name rule-index:ACL ルールを追加します。

    • config flexconnect acl rule change index acl-name old-index new-index:ACL ルールのインデックス値を変更します。

    • config flexconnect acl rule delete name:ACL ルールを削除します。

    • config flexconnect acl rule dscp acl-name rule-index {0-63 | any }ルール インデックスの DiffServ コード ポイント(DSCP)値を指定します。 DSCP は、インターネット上のサービスの質を定義するのに使用できる IP ヘッダーです。 0 ~ 63 の値または値 any を入力します。 デフォルト値は any です。

    • config flexconnect acl rule protocol acl-name rule-index {0-255 | any}ルール インデックスを ACL ルールに割り当てます。 0 ~ 255 の値または「any」を指定します。 デフォルトは「any」です。

    • config flexconnect acl rule destination address acl-name rule-index ipv4-addr subnet-mask:ルールの宛先 IP アドレス、ネットマスク、およびポート範囲を設定します。

    • config flexconnect acl rule destination port range acl-name rule-index start-port end-port:ルールの宛先ポート範囲を設定します。

    • config flexconnect acl rule source address acl-name rule-index ipv4-addr subnet-mask:ルールの送信元 IP アドレスおよびネットマスクを設定します。

    • config flexconnect acl apply acl-name:FlexConnect アクセス ポイントに ACL を適用します。

    • config flexconnectacl rule swap acl-name index-1 index-2:2 つのルールのインデックス値を入れ替えます。

    • config ap flexconnect vlan add acl vlan-id ingress-aclname egress-acl-name ap-name:FlexConnect アクセス ポイントに VLAN を追加します。

    • config flexconnect acl rule source port range acl-name rule-index start-port end-port:ルールの送信元ポート範囲を設定します。

    FlexConnect ACL の表示およびデバッグ(CLI)

    • show flexconnect acl summary:ACL の要約を表示します。

    • show client detail <mac-address>:[FlexConnect ACL Applied Status] および [IPv4 ACL Applied Status] を表示します。 IPv4 ACL 名フィールドに、ローカル/中央スイッチングに基づいてクライアントに適用される ACL が表示されます。

    • show flexconnect acl detailed acl-name:ACL の詳細情報を表示します。

    • debug flexconnect acl {enable | disable}:FlexConnect ACL のデバッグを有効または無効にします。

    • debug capwap reap:CAPWAP のデバッグを有効にします。