DNS ベースのアクセス コントロール リスト

DNS ベースのアクセス コントロール リストについて

DNS ベースの ACL は、ワイヤレス クライアント デバイスに使用されます。これらのデバイスを使用する場合は、許可またはブロックするデータ要求を決定するために、Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ で認証前 ACL を設定できます。

コントローラ で DNS ベースの ACL を有効にするには、ACL の許可 URL または拒否 URL を設定する必要があります。URL は、ACL で事前設定しておく必要があります。

DNS ベースの ACL によって、登録フェーズ中のクライアントは、設定された URL への接続を許可されます。コントローラ は ACL 名で設定され、AAA サーバーから返されます。ACL 名が AAA サーバーによって返されると、ACL は Web リダイレクト用にクライアントに適用されます。

クライアント認証フェーズで、AAA サーバーは事前認証 ACL(url-redirect-acl:AAA サーバーに与えられた属性名)を返します。DNS スヌーピングは、登録が完了してクライアントが SUPPLICANT PROVISIONING 状態になるまで、各クライアントの AP で実行されます。URL で設定された ACL がコントローラ で受信されると、CAPWAP ペイロードが AP に送信され、クライアントの DNS スヌーピングが有効になり、URL がスヌーピングされます。

適切な URL スヌーピングにより、AP は DNS 応答の解決済みドメイン名の IP アドレスを学習します。設定された URL にドメイン名が一致した場合は、IP アドレスを求めるために DNS 応答が解析され、IP アドレスが CAPWAP ペイロードとしてコントローラ に送信されます。コントローラ によって IP アドレスの許可リストに IP アドレスが追加されるため、クライアントは設定された URL にアクセスできます。

URL フィルタリングにより、DNS ポート 80 または 443 の IP アドレスへのアクセスが許可されます。

事前認証または事後認証中に、DNS ACL がアクセスポイントのクライアントに適用されます。クライアントが、ある AP から別の AP にローミングした場合、古い AP で DNS により学習された IP アドレスは新しい AP でも有効になります。


(注)  

標準 URL フィルタリングはローカルモードで使用され、拡張 URL フィルタリングは Flex モードのローカルスイッチングで使用されます。

(注)  

ローカルモードの場合は、ポリシープロファイルに URL フィルタをアタッチする必要があります。フレックスモードでは、URL フィルタはフレックスプロファイルにアタッチされるため、ポリシープロファイルにアタッチする必要はありません。


(注)  

DNS ベースの URL は、クライアントからのアクティブな DNS クエリで機能します。したがって、URL フィルタリングでは、DNS を正しく設定する必要があります。

(注)  

URL フィルタは、パントまたはリダイレクト ACL、およびカスタムまたは静的事前認証 ACL よりも優先されます。

ACL の定義

拡張 ACL は標準 ACL に似ていますが、トラフィックをより正確に識別します。

次の CLI では、名前または ID 番号で ACL を定義できます。 
Device(config)#ip access-list extended ?
<100-199> Extended IP access-list number
<2000-2699> Extended IP access-list number (expanded range)
WORD Access-list name
CLI ACL ステートメントの構造は次のとおりです。
<sequence number> [permit/deny] <protocol> <address or any> eq <port number> <subnet> <wildcard>

次に例を示します。

1 permit tcp any eq www 192.168.1.0 0.0.0.255

シーケンス番号は、ACE の ACL の順序でアクセス制御リストエントリ(ACE)を挿入する場所を指定します。10、20、30、40 などのシーケンスを使用してステートメントを定義できます。

コントローラ GUI を使用すると、[Configuration] > [Security] > [ACL] ページに移動して、完全な ACL を作成できます。選択するプロトコルのリストを表示し、既存の ACL を変更できます。

ACL の適用

ACL を適用する方法は次のとおりです。

  • セキュリティ ACL:セキュリティ ACL は、デバイスの通過を許可するトラフィックのタイプと、ブロックまたはドロップするトラフィックのタイプを定義します。

    セキュリティ ACL は以下に適用されます。

    • SVI インターフェイス上:ACL は、インターフェイスを介してルーティングされるトラフィックに対してのみ評価されます。 

      Device(config)# interface Vlan<number>
Device(config-if)# ip access-group myACL in/out

    • コントローラの物理インターフェイス上:ACL は、インターフェイスを通過するすべてのトラフィックに対して評価されます。これは、SVI での ACL の適用とともに、コントローラ管理プレーンでトラフィックを制限するもう 1 つのオプションです。 

      Device(config)#interface GigabitEthernet1
Device(config-if)#ip access-group myACL in/out

    • ワイヤレス ポリシー プロファイルまたは WLAN 内:このオプションには、トラフィックの中央スイッチングまたはローカルスイッチングの場合に、ワイヤレス クライアント トラフィックに適用される ACL を設定できる複数の場所が含まれます。このような ACL は、着信方向でのみサポートされます。

    • AP 上:FlexConnect ローカルスイッチングの場合、ACL はコントローラのポリシープロファイルから設定され、適用されます。この ACL は、Flex プロファイルを介して AP にダウンロードする必要があります。ACL は、適用する前に AP にダウンロードする必要があります。例外として、ファブリックモード AP(SD-Access の場合)もまた、AP が Flex モードで動作していなくても Flex ACL を使用します。

  • パント ACL またはリダイレクト ACL:パント ACL またはリダイレクト ACL は、その後の処理のために(データプレーンによる予期される通常の処理の代わりに)CPU に送信されるトラフィックを指定する ACL を指します。たとえば、中央 Web 認証(CWA)リダイレクト ACL は、代行受信されて Web ログインポータルにリダイレクトされるトラフィックを定義します。ACL は、ドロップまたは許可するトラフィックを定義しませんが、通常の処理または転送ルール、および代行受信のために CPU に送信される対象に従います。

    リダイレクト ACL には、暗黙的な拒否である非表示の最後のステートメントがあります。この暗黙的な拒否は、セキュリティ アクセス リスト エントリとして適用されます(したがって、明示的に通過を許可されていない、または CPU に送信されないトラフィックはドロップされます)。

URL フィルタのタイプ

URL フィルタには次の 2 つのタイプがあります。

  • 標準:標準 URL フィルタは、クライアント認証の前(認証前)またはクライアント認証の成功後(認証後)に適用できます。認証前フィルタは、外部 Web 認証で、認証が行われる前に外部ログインページや一部の内部 Web サイトへのアクセスを許可する場合に非常に役立ちます。認証後フィルタは、特定の Web サイトをブロックしたり、特定の Web サイトのみを許可して他はすべてデフォルトでブロックしたりするために機能します。このタイプの認証後の URL フィルタリングは、Cisco DNS レイヤセキュリティ(旧称 Umbrella)を使用することでより適切に処理され、柔軟性が向上します。標準 URL フィルタは、URL のリスト全体に同じアクション(許可または拒否)を適用します。そのため、すべて許可またはすべて拒否のいずれかになります。標準 URL フィルタは、ローカルモードの AP でのみ機能します。

  • 拡張:拡張 URL フィルタではリスト内の URL ごとに異なるアクション(拒否または許可)を指定でき、URL ごとのヒットカウンタがあります。拡張 URL フィルタは、FlexConnect モードの AP でのみ機能します。

どちらのタイプの URL フィルタでも、*.cisco.com などのワイルドカードサブドメインを使用できます。URL フィルタはスタンドアロンですが、常に IP ベースの ACL とともに適用されます。特定の URL フィルタでは最大 20 個の URL がサポートされます。1 つの URL で複数の IP アドレスを解決できることを考慮すると、クライアントごとに最大 40 個の解決済み IP アドレスのみを追跡できます。DNS レコードのみが URL フィルタによって追跡されます。DNS 応答で CNAME エイリアスレコードが使用されている場合、コントローラまたは AP は URL の解決済み IP アドレスを追跡しません。


(注)  

POST タイプの URL フィルタと、ポリシープロファイルに適用される ACL があるシナリオでは、URL に関する許可ステートメントがない場合、URL へのトラフィックは ACL によってブロックされます。これは、URL フィルタが POST で許可ステートメントがあり、ACL 内にその URL の許可ステートメントがない場合に発生する可能性があります。そのため、POST URL フィルタを使用する代わりに、URL の IP アドレスに関する許可ステートメントを ACL 内に作成することを推奨します。

DNS ベースのアクセス コントロール リストの制約事項

DNS ベースの ACL には次の制約があります。

  • 認証前フィルタと認証後フィルタはローカル モードでサポートされています。Flex(ファブリック)モードでは認証前フィルタのみがサポートされています。

  • ISE からプッシュされる ACL オーバーライドはサポートされていません。

  • URL フィルタリングを使用した外部 Web 認証による FlexConnect ローカルスイッチングは、Cisco IOS XE Gibraltar 16.12.x まではサポートされていません。

  • 完全修飾ドメイン名(FQDN)または DNS ベースの ACL は、Cisco Wave 1 アクセスポイントではサポートされていません。

  • URL フィルタでは最初の 20 個の URL のみ考慮されますが、追加もできます。

  • URL フィルタでは通常の正規表現パターンが採用され、ワイルドカード文字は URL の先頭または末尾でのみ使用できます。

  • URL ACL が定義され、WLAN に関連付けられる FlexConnect ポリシープロファイルに追加されます。URL ACL は、ローカルモードの URL ACL と同様の方法で作成されます。

  • FlexConnect モードでは、URL ドメイン ACL は、FlexConnect ポリシープロファイルに接続されている場合にのみ機能します。

  • ポリシープロファイルを WLAN またはローカル ポリシーに関連付けることにより、ACL を WLAN に適用できます。ただし、「url-redirect-acl」を使用してオーバーライドできます。

  • ISE から受信した Cisco AV ペアの場合、特定のクライアントに適用する必要があるポリシーは、ADD MOBILE メッセージの一部としてプッシュされます

  • AP が参加するか、既存の URL ACL が変更されて FlexConnect プロファイルに適用されると、マッピングされた URL フィルタリストとともに ACL 定義が AP にプッシュされます。

  • AP は、マッピングされた ACL 名を使用して URL ACL 定義を保存し、DNS パケットをスヌープして、ACL の各 URL の最初の IP アドレスを学習します。AP は、IP アドレスを学習すると、URL および IP バインディングのコントローラを更新します。コントローラは、将来使用するためにこの情報をクライアントデータベースに記録します。

  • 事前認証状態の間にクライアントが別の AP にローミングすると、学習した IP アドレスが新しい AP にプッシュされます。それ以外の場合、学習した IP アドレスは、クライアントが認証後の状態に移行したとき、または学習した IP アドレスの TTL が期限切れになったときに消去されます。

URL でのワイルドカードサポートに関する制限事項

  • *.* などの汎用ワイルドカード URL は使用できません。

  • ドメイン名間のワイルドカード(*a.cisco.coma.cisco*.coma.b.c.test*.apply.play など)は使用できません。

  • test.*.cisco.*.com などの複数のワイルドカードは、URL では使用できません。

  • URL では、*.cisco.com などのワイルドカードを使用できます。

  • wpr.cisco.* などのサフィックスのワイルドカードは有効な設定です。

  • 1 つの ACL に対して設定できるワイルドカードベースの URL の数は、最大 16 です。

フレックス モード

URL フィルタ リストの定義

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

urlfilter enhanced-list list-name

例:

Device(config)# urlfilter enhanced-list urllist_flex_preauth

拡張版 URL フィルタリストを設定します。

ここで、list-name は URL フィルタ リスト名を指します。リスト名は 32 文字以内の英数字にする必要があります。

ステップ 3

url url-name preference 0-65535 action { deny | permit}

例:

Device(config-urlfilter-enhanced-params)# url url-name 
preference 1 action permit

permit(許可リスト)または deny(ブロックリスト)のいずれかのアクションを設定します。

ステップ 4

end

例:

Device(config-urlfilter-params)# end

特権 EXEC モードに戻ります。

Flex プロファイルへの URL フィルタ リストの適用

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile flex default-flex-profile

例:

Device(config)# wireless profile flex default-flex-profile

新しい Flex ポリシーを作成します。

デフォルトの Flex プロファイル名は default-flex-profile です。

ステップ 3

acl-policy acl policy name

例:

Device(config-wireless-flex-profile)# acl-policy acl_name

ACL ポリシーを設定します。

ステップ 4

urlfilter list name

例:

Device(config-wireless-flex-profile-acl)# urlfilter list 
urllist_flex_preauth

Flex プロファイルに URL リストを適用します。

ステップ 5

end

例:

Device(config-wireless-flex-profile-acl)# end

特権 EXEC モードに戻ります。

中央 Web 認証用の ISE の設定(GUI)

中央 Web 認証用に ISE を設定するには、次の手順に従います。

手順

ステップ 1

Cisco Identity Services Engine(ISE)にログインします。

ステップ 2

[Policy] をクリックし、[Policy Elements] をクリックします。

ステップ 3

[Results] をクリックします。

ステップ 4

[Authorization] を展開し、[Authorization Profiles] をクリックします。

ステップ 5

[Add] をクリックして、URL フィルタ用の新しい許可プロファイルを作成します。

ステップ 6

[Name] フィールドにプロファイルの名前を入力します。たとえば、CentralWebauth と入力します。

ステップ 7

[Access Type] ドロップダウン リストから [ACCESS_ACCEPT] オプションを選択します。

ステップ 8

または、[Common Tasks] セクションで、[Web Redirection] をオンにします。

ステップ 9

ドロップダウンリストから [Centralized Web Auth] オプションを選択します。

ステップ 10

ACL を指定し、ドロップダウンリストから ACL 値を選択します。

ステップ 11

[Advanced Attributes Setting] セクションで、ドロップダウン リストから [Cisco:cisco-av-pair] を選択します。

(注)  

 

優先順位に基づいて、複数の ACL をコントローラに適用できます。L2 認証 + WebAuth マルチ認証のシナリオでは、ISE が L2 認証中に ACL を返す場合、ISE ACL はデフォルトの WebAuth リダイレクト ACL よりも優先されるため、ISE ACL に許可ルールがある場合、トラフィックは WebAuth 保留状態で実行されます。このシナリオを回避するには、L2 認証 ISE から返される ACL の優先順位を設定する必要があります。デフォルトの WebAuth リダイレクト ACL の優先順位は 100 です。トラフィックの問題を回避するには、ISE によって返される ACL のリダイレクト ACL 優先順位を 100 より上の値に設定する必要があります。

ステップ 12

それぞれのペアの後にある([+])アイコンをクリックして 1 つずつ入力します。

  • url-redirect-acl=<sample_name>

  • url-redirect=<sample_redirect_URL>

    次に例を示します。
    Cisco:cisco-av-pair = priv-lvl=15
Cisco:cisco-av-pair = url-redirect-acl=ACL-REDIRECT2
Cisco:cisco-av-pair = url-redirect=
https://9.10.8.247:port/portal/gateway?
sessionId=SessionIdValue&portal=0ce17ad0-6d90-11e5-978e-005056bf2f0a&daysToExpiry=value&action=cwa

ステップ 13

[Attributes Details] セクションの内容を確認し、[Save] をクリックします。

ローカル モード

URL フィルタ リストの定義

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

urlfilter list list-name

例:

Device(config)# urlfilter list urllist_local_preauth

URL フィルタ リストを設定します。

ここで、list-name は URL フィルタ リスト名を指します。リスト名は 32 文字以内の英数字にする必要があります。

ステップ 3

action permit

例:

Device(config-urlfilter-params)# action permit

permit(許可リスト)または deny(ブロックリスト)のいずれかのアクションを設定します。

ステップ 4

filter-type post-authentication

例:

Device(config-urlfilter-params)# filter-type post-authentication

(注)  

 

このステップは、認証後 URL フィルタを設定するときにのみ適用されます。

URL リストを認証後フィルタとして設定します。

ステップ 5

redirect-server-ip4 IPv4-address

例:

Device(config-urlfilter-params)# redirect-server-ipv4 9.1.0.101

URL リストの IPv4 リダイレクト サーバーを設定します。

ここで、IPv4-address は IPv4 アドレスを指します。

ステップ 6

redirect-server-ip6 IPv6-address

例:

Device(config-urlfilter-params)# redirect-server-ipv6 
2001:300:8::82

URL リストの IPv6 リダイレクト サーバーを設定します。

ここで、IPv6-address は IPv6 アドレスを指します。

ステップ 7

url url

例:

Device(config-urlfilter-params)# url url1.dns.com

URL を設定します。

ここで、url は URL の名前を指します。

ステップ 8

end

例:

Device(config-urlfilter-params)# end

特権 EXEC モードに戻ります。

ポリシープロファイルへの URL フィルタリストの適用(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Policy] を選択します。

ステップ 2

[Policy Name] をクリックします。

ステップ 3

[Access Policies] タブに移動します。

ステップ 4

[URL Filters] セクションで、[Pre Auth] および [Post Auth] ドロップダウンリストからフィルタを選択します。

ステップ 5

[Update & Apply to Device] をクリックします。

ポリシー プロファイルへの URL フィルタ リストの適用

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy profile-policy

例:

Device(config)# wireless profile policy default-policy-profile

ワイヤレス ポリシー プロファイルを設定します。

ここで、profile-policy は WLAN ポリシー プロファイルの名前を指します。

ステップ 3

urlfilter list {pre-auth-filter name | post-auth-filter name}

例:

Device(config-wireless-policy)# urlfilter list 
pre-auth-filter urllist_local_preauth
Device(config-wireless-policy)# urlfilter list 
post-auth-filter urllist_local_postauth

ポリシー プロファイルに URL リストを適用します。

ここで、name は、以前に設定された認証前または認証後 URL フィルタ リストの名前を指します。

(注)  

 

クライアントの参加中に、ポリシーで設定された URL フィルタが適用されます。

ステップ 4

end

例:

Device(config-wireless-policy)# end

特権 EXEC モードに戻ります。

中央 Web 認証用の ISE の設定

許可プロファイルの作成

手順

ステップ 1

Cisco Identity Services Engine(ISE)にログインします。

ステップ 2

[Policy] をクリックし、[Policy Elements] をクリックします。

ステップ 3

[Results] をクリックします。

ステップ 4

[Authorization] を展開し、[Authorization Profiles] をクリックします。

ステップ 5

[Add] をクリックして、URL フィルタ用の新しい許可プロファイルを作成します。

ステップ 6

[Name] フィールドに、プロファイルの名前を入力します。たとえば、CentralWebauth と入力します。

ステップ 7

[Access Type] ドロップダウン リストから [ACCESS_ACCEPT] を選択します。

ステップ 8

[Advanced Attributes Setting] セクションで、ドロップダウン リストから [Cisco:cisco-av-pair] を選択します。

ステップ 9

それぞれのペアの後にある([+])アイコンをクリックして 1 つずつ入力します。

  • url-filter-preauth=<preauth_filter_name>

  • url-filter-postauth=<postauth_filter_name>

次に例を示します。


Cisco:cisco-av-pair = url-filter-preauth=urllist_pre_cwa
Cisco:cisco-av-pair = url-filter-postauth=urllist_post_cwa

ステップ 10

[Attributes Details] セクションの内容を確認し、[Save] をクリックします。

認証ルールへの許可プロファイルのマッピング

手順

ステップ 1

[Policy] > [Authentication] ページで、[Authentication] をクリックします。

ステップ 2

認証ルールの名前を入力します。

たとえば、「MAB」と入力します。

ステップ 3

[If] 条件フィールドで、プラス([+])アイコンをクリックします。

ステップ 4

[Compound condition] を選択し、[WLC_Web_Authentication] を選択します。

ステップ 5

[and ...] の横にある矢印をクリックして、ルールをさらに展開します。

ステップ 6

[Identity Source] フィールドの [+] アイコンをクリックし、[Internal endpoints] を選択します。

ステップ 7

[If user not found] ドロップダウン リストから [Continue] を選択します。

このオプションを使用すると、MAC アドレスが不明な場合でもデバイスを認証できます。

ステップ 8

[Save] をクリックします。

許可ルールへの許可プロファイルのマッピング

手順

ステップ 1

[Policy] > [Authorization] をクリックします。

ステップ 2

[Rule Name] フィールドに、名前を入力します。

たとえば、「CWA Post Auth」などと入力します。

ステップ 3

[Conditions] フィールドで、プラス([+])アイコンを選択します。

ステップ 4

ドロップダウン リストをクリックして、[Identity Groups] 領域を表示します。

ステップ 5

[User Identity Groups] > [user_group] を選択します。

ステップ 6

[and ...] の横にあるプラス記号([+])をクリックして、ルールをさらに展開します。

ステップ 7

[Conditions] フィールドで、プラス([+])アイコンを選択します。

ステップ 8

[Compound Conditions] を選択し、新しい条件の作成を選択します。

ステップ 9

設定アイコンで、オプションから [Add Attribute/Value] を選択します。

ステップ 10

[Description] フィールドで、ドロップダウン リストから属性として [Network Access] > [UseCase] を選択します。

ステップ 11

[Equals] 演算子を選択します。

ステップ 12

右側のフィールドから、[GuestFlow] を選択します。

ステップ 13

[Permissions] フィールドで、プラス([+])アイコンを選択してルールの結果を選択します。

[Standard] > [PermitAccess] オプションを選択するか、または必要な属性を返すカスタム プロファイルを作成できます。

DNS ベースのアクセス コントロール リストの表示

指定されたワイヤレス URL フィルタの詳細を表示するには、次のコマンドを使用します。

Device# show wireless urlfilter details <urllist_flex_preauth>

すべてのワイヤレス URL フィルタのサマリーを表示するには、次のコマンドを使用します。

Device# show wireless urlfilter summary

結果のポリシー セクションでクライアントに適用された URL フィルタを表示するには、次のコマンドを使用します。

Device# show wireless client mac-address <MAC_addr> detail

DNS ベースのアクセス コントロール リストの設定例

フレックスモード

例:URL フィルタ リストの定義

次に、Flex モードで URL リストを定義する例を示します。


Device# configure terminal
Device(config)# urlfilter enhanced-list urllist_flex_pre
Device(config-urlfilter-params)# url www.dns.com preference 1 action permit
Device(config-urlfilter-params)# end
例:Flex プロファイルへの URL フィルタ リストの適用

次に、Flex モードで Flex プロファイルに URL リストを適用する例を示します。


Device# configure terminal
Device(config)# wireless profile flex default-flex-profile
Device(config-wireless-flex-profile)# acl-policy acl_name
Device(config-wireless-flex-profile-acl)# urlfilter list urllist_flex_preauth
Device(config-wireless-flex-profile-acl)# end

ローカル モード

例:認証前 URL フィルタ リストの定義

次に、URL フィルタ リスト(認証前)を定義する例を示します。


Device# configure terminal
Device(config)# urlfilter list urllist_local_preauth
Device(config-urlfilter-params)# action permit
Device(config-urlfilter-params)# redirect-server-ipv4 9.1.0.101
Device(config-urlfilter-params)# redirect-server-ipv6 2001:300:8::82
Device(config-urlfilter-params)# url url1.dns.com
Device(config-urlfilter-params)# end
例:認証後 URL フィルタ リストの定義

次に、URL フィルタ リスト(認証後)を定義する例を示します。


Device# configure terminal
Device(config)# urlfilter list urllist_local_postauth
Device(config-urlfilter-params)# action permit
Device(config-urlfilter-params)# filter-type post-authentication
Device(config-urlfilter-params)# redirect-server-ipv4 9.1.0.101
Device(config-urlfilter-params)# redirect-server-ipv6 2001:300:8::82
Device(config-urlfilter-params)# url url1.dns.com
Device(config-urlfilter-params)# end
例:ポリシー プロファイルへの URL フィルタ リストの適用

次に、ローカル モードでポリシー プロファイルに URL リストを適用する例を示します。


Device# configure terminal
Device(config)# wireless profile policy default-policy-profile
Device(config-wireless-policy)# urlfilter list pre-auth-filter urllist_local_preauth
Device(config-wireless-policy)# urlfilter list post-auth-filter urllist_local_postauth
Device(config-wireless-policy)# end

DNS スヌーピング エージェント(DSA)の確認

DNS スヌーピング エージェント クライアントの詳細を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent client

DSA が有効になっているインターフェイスの詳細を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent client enabled-intf

uCode メモリ内のパターン リストを表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent client hw-pattern-list

パターン リストの OpenDNS 文字列を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent client hw-pattern-list odns_string

パターン リストの FQDN フィルタを表示するには、次のコマンドを使用します。

Device# 
show platform hardware chassis active qfp feature dns-snoop-agent client hw-pattern-list fqdn-filter <fqdn_filter_ID>

(注)  

fqdn_filter_ID の有効な範囲は 1 ~ 16 です。

DSA クライアントの詳細を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent client info

CPP クライアントのパターン リストを表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent client pattern-list

パターン リストの OpenDNS 文字列を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent client pattern-list odns_string

パターン リストの FQDN フィルタを表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent client pattern-list fqdn-filter <fqdn_filter_ID>

(注)  

fqdn_filter_ID の有効な範囲は 1 ~ 16 です。

DSA データパスの詳細を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent datapath

DSA IP キャッシュ テーブルの詳細を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent datapath ip-cache

DSA アドレス エントリの詳細を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent datapath ip-cache address {ipv4 <IPv4_addr> | ipv6 <IPv6_addr>}

すべての DSA IP キャッシュ アドレスの詳細を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent datapath ip-cache all

DSA IP キャッシュ パターンの詳細を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent datapath ip-cache pattern <pattern>

DSA データパス メモリの詳細を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent datapath memory

DSA 正規表現テーブルを表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent datapath regexp-table

DSA の統計情報を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature dns-snoop-agent datapath stats

WebAuth 認証前および認証後 ACL による Flex クライアントの IPv6 サポートについて

IOS IPv6 ACL は、WebAuth ACL を AP に送信するために使用されます。Flex プロファイルの ACL ポリシーの変更(新しい ACL、削除された ACL、または変更された ACL)。

ACL 定義は次のイベントで AP にプッシュされます。

  • AP の参加。

  • 新しい Flex プロファイルでの新しい ACL マッピング。

  • Flex プロファイルでの IPv6 ACL 定義の設定。

デフォルトのローカル Web 認証 ACL

事前定義されたデフォルトの LWA IPv6 ACL は、AP にプッシュされ、データ プレーンに組み込まれます。

デフォルトの外部 Web 認証 ACL

デフォルトの EWA ACL は、パラメータ マップで設定されたリダイレクト ポータル アドレスから生成されます。

次のリストでは、デフォルトの EWA ACL のタイプについて説明します。

  • セキュリティ ACL:AP にプッシュおよびプラミングされます。

  • インターセプト ACL:データプレーンにプッシュおよびプラミングされます。

FQDN ACL

  • FQDN ACL は、IPv6 ACL とともにエンコードされ、AP に送信されます。

  • FQDN ACL は常にカスタム ACL です。

Flex モードとローカルモードには、次のことが適用されます。

  • AireOS から移行する場合は、次のコマンドを明示的に実行する必要があります。

    redirect append ap-mac tag ap_mac
    redirect append wlan-ssid tag wlan
    redirect append client-mac tag client_mac

  • ログインページにサーバーから取得する必要があるリソースがある場合は、それらのリソース URL を URL フィルタリングに含める必要があります。

  • IPv6 URL にアクセスしようとしていて、IPv4 Web サーバーがある場合、ドメインリダイレクトはサポートされていないため、コントローラはクライアントを内部ページにリダイレクトします。デュアルスタック Web サーバーを使用し、グローバルパラメータマップで仮想 IPv6 アドレスを設定することをお勧めします。

LWA および EWA の認証前 ACL の有効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer2] タブを選択します。[WPAPolicy]、[AES]、および [802.1x] チェックボックスをオフにします。

ステップ 5

[Security] > [Layer3] タブを選択します。[Web Auth Parameter Map] ドロップダウンリストから [Web Auth Parameter Map] を選択し、[Authentication List] ドロップダウンリストから認証リストを選択します。[Show Advanced Settings] をクリックして、[Preauthenticated ACL] 設定で [IPv6] ドロップダウンリストから IPv6 ACL を選択します。

ステップ 6

[Security] > [AAA] タブの順に選択します。[Authentication List] ドロップダウンリストから認証リストを選択します。

ステップ 7

[Apply to Device] をクリックします。

LWA および EWA の認証前 ACL の有効化

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan wlan-demo 1 ssid-demo

WLAN コンフィギュレーション サブモードを開始します。

  • wlan-name:プロファイル名を入力します。入力できる範囲は英数字で 1 ~ 32 文字です。

  • wlan-id:WLAN ID を入力します。範囲は 1 ~ 512 です。

  • SSID-name:この WLAN に対する Service Set Identifier(SSID)を入力します。SSID を指定しない場合、WLAN プロファイル名は SSID として設定されます。

    (注)  

     

    すでに WLAN を設定している場合は、wlan wlan-name コマンドを入力します。

ステップ 3

ipv6 traffic-filter web acl_name-preauth

例:

Device(config-wlan)# ipv6 traffic-filter web preauth_v6_acl

Web 認証の事前認証 ACL を作成します。

ステップ 4

no security wpa

例:

Device(config-wlan)# no security wpa

WPA セキュリティを無効にします。

ステップ 5

no security wpa wpa2 ciphers aes

例:

Device(config-wlan)#no security wpa wpa2 ciphers aes

AES の WPA2 暗号化を無効にします。

ステップ 6

no security wpa akm dot1x

例:

Device(config-wlan)#no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 7

security web-auth

例:

Device(config-wlan)# security web-auth

Web 認証を設定します。

ステップ 8

security web-auth authentication-list authenticate-list-name

例:

Device(config-wlan)# security web-auth 
authentication-list wcm_dot1x

WLAN の認証リストを有効にします。

ステップ 9

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth 
parameter-map param-custom-webconsent

パラメータ マップをマッピングします。

ステップ 10

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を停止します。

LWA および EWA の認証後 ACL の有効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[General] タブで、[Profile Name] を入力します。[Profile Name] はポリシープロファイルのプロファイル名です。

ステップ 4

[SSID] と [WLAN ID] を入力します。

ステップ 5

[Apply to Device] をクリックします。

LWA および EWA の認証後 ACL の有効化

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy profile-name

例:

Device(config)# wireless profile policy test1

WLAN のポリシー プロファイルを作成します。

profile-name はポリシー プロファイルのプロファイル名です。

ステップ 3

ipv6 acl acl_name

例:

Device(config-wireless-policy)# ipv6 acl testacl

名前付き WLAN ACL を作成します。

ステップ 4

end

例:

Device(config-wireless-policy)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

LWA および EWA の DNS ACL の有効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[General] タブで、[Profile Name] を入力します。[Profile Name] はポリシープロファイルのプロファイル名です。

ステップ 4

[SSID] と [WLAN ID] を入力します。

ステップ 5

[Apply to Device] をクリックします。

LWA および EWA の DNS ACL の有効化


(注)  

認証後 DNS ACL はサポートされていません。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy profile-name

例:

Device(config)# wireless profile policy test1

WLAN のポリシー プロファイルを作成します。

profile-name はポリシー プロファイルのプロファイル名です。

ステップ 3

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

WebAuth 認証前および認証後 ACL による Flex クライアントの IPv6 サポートの確認

L2 認証後のクライアントの状態を確認するには、次のコマンドを使用します。

Device# show wireless client summary
Number of Local Clients: 1                                                                                                          

MAC Address    AP Name                          WLAN  State             Protocol Method     Role
---------------------------------------------------------------------------------------------------
1491.82b8.f8c1 AP4001.7A03.544C                 4      Webauth Pending   11n(5)   None       Local             

Number of Excluded Clients: 0

IP の状態、ディスカバリ、および MAC を確認するには、次のコマンドを使用します。

Device# show wireless dev da ip
  IP                                          STATE       DISCOVERY   MAC
  ----------------------------------------------------------------------------------
  15.30.0.4                                   Reachable   ARP         1491.82b8.f8c1 
  2001:15:30:0:d1d7:ecf3:7940:af60            Reachable   IPv6 Packet 1491.82b8.f8c1 
  fe80::595e:7c29:d7c:3c84                    Reachable   IPv6 Packet 1491.82b8.f8c1