Cisco Catalyst 9800 シリーズワイヤレスコントローラ（Cisco IOS XE 17.15.x）ソフトウェアコンフィギュレーションガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2025年2月5日水曜日

章のタイトル：ダウンロード可能 ACL

ダウンロード可能 ACL
ダウンロード可能 ACL の機能履歴
ダウンロード可能 ACL について
- ダウンロード可能 ACL のスケールに関する考慮事項
ダウンロード可能 ACL に関するガイドラインと制限事項
Cisco ISE での dACL の名前と定義の設定
コントローラでの dACL の設定（CLI）
明示的な認可サーバーリストの設定（CLI）
dACL 設定の確認

ダウンロード可能 ACL

ダウンロード可能 ACL の機能履歴

次の表に、このセクションで説明する機能のリリースおよび関連情報を示します。

この機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースでも使用できます。

表 1. ダウンロード可能 ACL の機能履歴

リリース

機能

機能情報

Cisco IOS XE Dublin 17.10.1

ダウンロード可能 ACL

ダウンロード可能 ACL（dACL）機能は、1 ヵ所（Cisco ISE）のアクセス制御リスト（ACL）を定義および更新し、該当するすべてのコントローラへの ACL のダウンロードを可能にします。

Cisco IOS-XE 17.8 以前のリリースでは、Cisco ISE で名前を設定し、各コントローラで個別に ACL を定義する必要がありました。

dACL 機能は、ローカルモードアクセスポイントを備えた集中型コントローラでのみサポートされます。

（注）

dACL 機能は、RLAN 環境ではサポートされません。

ダウンロード可能 ACL について

ACL は、事前定義された基準に基づいて一部のユーザーまたはデバイスへのネットワークアクセスを制限するために使用されます。これらの基準は、アクセスコントロールエントリ（ACE）のリストとして指定されます。

各 ACE には、次のようにパケットヘッダーフィールドに基づく一致条件があります。

IP アドレス
ポート
プロトコル
IP アドレス、ポート、およびプロトコルの組み合わせ
結果（許可または拒否）

ACL は、ワイヤレスクライアントごとにコントローラに適用されます。通常、コントローラ自体に ACL を設定できます。ただし、接続された Cisco ISE サーバーに ACL を設定し、ワイヤレスクライアントが参加するときにコントローラにダウンロードすることもできます。このような ACL は、ダウンロード可能 ACL、ユーザー単位のダイナミック ACL、または dACL と呼ばれます。

ダウンロード可能 ACL は、Cisco ISE で ACL を定義または更新し、該当するすべてのコントローラにダウンロードできるため、メンテナンスが容易です（Cisco IOS-XE 17.8 以前のリリースでは、Cisco ISE で名前を設定し、各コントローラで個別に ACL を定義する必要がありました）。

ダウンロード可能 ACL のスケールに関する考慮事項

次の表に、コントローラの ACL スケール数を示します。

表 2. コントローラの ACL スケール
コントローラ	ACL スケール
Cisco Catalyst 9800-40 ワイヤレスコントローラ（小規模または中規模）	128 個の ACL と 128 個の ACE をサポートします。
Cisco Catalyst 9800-80 ワイヤレスコントローラ（大規模）	256 個の ACL と 256 個の ACE をサポートします。

ダウンロード可能 ACL に関するガイドラインと制限事項

dACL は、FlexConnect ローカルスイッチングをサポートしません。
IPv6 dACL は、Cisco ISE 3.0 以降のリリースでのみサポートされます。

dACL 機能は、ローカルモードアクセスポイントを備えた集中型コントローラでのみサポートされます。

（注）

dACL 機能は、RLAN 環境ではサポートされません。

Cisco ISE での dACL の名前と定義の設定

コントローラで dACL を設定する前に、Cisco ISE で dACL の名前と定義を設定する必要があります。詳細については、「Configure Per-User Dynamic Access Control Lists in ISE」を参照してください。

コントローラでの dACL の設定（CLI）

始める前に

RADIUS サーバーを設定しておく必要があります。
ポリシープロファイルで aaa-override コマンドを設定しておく必要があります。詳細については、「ローカル認証用の AAA の設定（CLI）」を参照してください。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile policy `policy-profile-name` 例: `Device(config)# wireless profile policy named-policy-profile_4`	ワイヤレスプロファイルポリシーを設定します。
ステップ 3	aaa-override 例: `Device(config-wireless-policy)# aaa-override`	Cisco ISE サーバーから受信したポリシーを適用するように AAA オーバーライドを設定します。
ステップ 4	no shutdown 例: `Device(config-wireless-policy)# no shutdown`	プロファイルポリシーを有効にします。

明示的な認可サーバーリストの設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

radius server server-name

例:

Device(config)# radius server Test-SERVER2

RADIUS サーバー名を指定します。

ステップ 3

address ipv4 ip-address

例:

Device(config-radius-server)# address ipv4 124.3.52.62

RADIUS サーバーのパラメータを指定します。

ステップ 4

pac key key

例:

Device(config-radius-server)# pack key cisco

デバイスと、RADIUS サーバー上で動作するキー文字列 RADIUS デーモンとの間で使用される認可および暗号キーを指定します。

ステップ 5

exit

例:

Device(config-radius-server)# exit

コンフィギュレーションモードに戻ります。

ステップ 6

aaa group server radius server-group-name

例:

Device(config)# aaa group server radius authz-server-group

RADIUS サーバグループの ID を作成します。

（注）

server-group はサーバーグループ名です。有効な範囲は 1 ～ 32 文字の英数字です。

ステップ 7

aaa authorization network authorization-list group server-group-name

例:

Device(config)# aaa authorization network authZlist group authz-server-group

Web ベース許可の許可方式リストを作成します。

（注）

すでに作成されている許可方式リストを使用する必要があります。

ステップ 8

end

例:

Device(config)# end

特権 EXEC モードに戻ります。

dACL 設定の確認

dACL を確認するには、次のコマンドを使用します。

Device# show wireless client mac-address <client_mac> detail
Local Policies:
  	Service Template : wlan_svc_named-policy-profile_1_local (priority 254)
  		VLAN             : 16
  		Absolute-Timer   : 1800
  Server Policies:
  		ACS ACL          : xACSACLx-IP-tftpv4_2-62de6299
  		ACS ACL          : xACSACLx-IPV6-tftpv6_2-62de8087
  Resultant Policies:
  		ACS ACL          : xACSACLx-IP-tftpv4_2-62de6299
  		ACS ACL          : xACSACLx-IPV6-tftpv6_2-62de8087
  		VLAN Name        : VLAN0016
  		VLAN             : 16
  		Absolute-Timer   : 1800

dACL を確認するには、次のコマンドを使用します。

Device# show ip access-lists xACSACLx-IP-tftpv4_2-62de6299
Extended IP access list xACSACLx-IP-tftpv4_2-62de6299
    1 deny ip any host 9.8.29.13
    2 permit ip any any (58 matches)

Device# show ipv6 access-list xACSACLx-IPV6-tftpv6_2-62de8087
IPv6 access list xACSACLx-IPV6-tftpv6_2-62de8087
    deny ipv6 any host 2001:9:8:29:3AAD:A27A:973A:97CC sequence 1
    permit ipv6 any any (2 matches) sequence 2

ダウンロードしたすべての dACL を表示するには、次のコマンドを使用します。

Device# show ip access-lists

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ（Cisco IOS XE 17.15.x）ソフトウェア コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ダウンロード可能 ACL

ダウンロード可能 ACL

ダウンロード可能 ACL の機能履歴

ダウンロード可能 ACL について

ダウンロード可能 ACL のスケールに関する考慮事項

ダウンロード可能 ACL に関するガイドラインと制限事項

Cisco ISE での dACL の名前と定義の設定

コントローラでの dACL の設定（CLI）

始める前に

手順

例:

例:

例:

例:

明示的な認可サーバーリストの設定（CLI）

手順

例:

例:

例:

例:

例:

例:

例:

例:

dACL 設定の確認

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco Catalyst 9800 シリーズワイヤレスコントローラ（Cisco IOS XE 17.15.x）ソフトウェアコンフィギュレーションガイド

章のタイトル：ダウンロード可能 ACL