IPv6 ACL について
アクセスコントロールリスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用する一連のルールです(たとえば、無線クライアントからコントローラ の管理インターフェイスに ping が実行されるのを制限する場合などに使用します)。deviceで設定した ACL は、管理インターフェイス、AP マネージャインターフェイス、任意の動的インターフェイス、またはワイヤレスクライアントとやり取りするデータトラフィックの制御用の WLAN、あるいは中央処理装置(CPU)宛のすべてのトラフィックの制御用のコントローラ CPU に適用されます。
Web 認証用に事前認証 ACL を作成することもできます。このような ACL は、認証が完了するまでに特定のタイプのトラフィックを許可するために使用されます。
IPv6 ACL は、送信元、宛先、送信元ポート、宛先ポートなど、IPv4 ACL と同じオプションをサポートします。
(注) |
ネットワーク内で IPv4 トラフィックだけを有効にするには、IPv6 トラフィックをブロックします。つまり、すべての IPv6 トラフィックを拒否するように IPv6 ACL を設定し、これを特定またはすべての WLAN 上で適用します。 |
IPv6 ACL の概要
ACL のタイプ
ユーザあたりの IPv6 ACL
ユーザあたりの ACL の場合、テキスト文字列としての完全なアクセス コントロール エントリ(ACE)が Cisco Secure Access Control Server(Cisco Secure ACS)で設定されます。
ACE はコントローラ 組み込みワイヤレスコントローラで設定されません。ACE は ACCESS-Accept
属性でdeviceに送信され、クライアント用に直接適用されます。ワイヤレス クライアントが外部deviceにローミングするときに、ACE が、AAA 属性としてモビリティ ハンドオフ メッセージで外部deviceに送信されます。ユーザあたりの ACL を使用した出力方向はサポートされていません。
フィルタ ID IPv6 ACL
filter-Id ACL の場合、完全な ACE および acl name(filter-id)
がdeviceで設定され、filter-id
のみが Cisco Secure ACS で設定されます。
filter-id
は ACCESS-Accept 属性でdeviceに送信され、deviceは ACE の filter-id をルックアップしてから、クライアントに ACE を適用します。クライアント L2 が外部deviceにローミングするときに、filter-id だけがモビリティ ハンドオフ メッセージで外部deviceに送信されます。ユーザあたりの ACL を使用した出力フィルタ ACL はサポートされていません。外部deviceは filter-id と ACE を事前に設定する必要があります。
ダウンロード可能 IPv6 ACL
ダウンロード可能 ACL(dACL)の場合、完全な ACE および dacl
名は Cisco Secure ACS のみで設定されます。
Cisco Secure ACS はその ACCESS-Accept
属性で dacl
名をdeviceに送信します。デバイスは dacl
名を取得し、ACE のために dACL
名を ACCESS-request
属性を使用して Cisco Secure ACS に送り返します。