DNS ベースのアクセス コントロール リストについて
DNS ベースの ACL は、ワイヤレス クライアント デバイスに使用されます。これらのデバイスを使用する場合は、許可またはブロックするデータ要求を決定するために、 組み込みワイヤレスコントローラで認証前 ACL を設定できます。
組み込みワイヤレスコントローラで DNS ベースの ACL を有効にするには、ACL の許可 URL または拒否 URL を設定する必要があります。URL は、ACL で事前設定しておく必要があります。
DNS ベースの ACL によって、登録フェーズ中のクライアントは、設定された URL への接続を許可されます。 組み込みワイヤレスコントローラは ACL 名で設定され、AAA サーバーから返されます。ACL 名が AAA サーバーによって返されると、ACL は Web リダイレクト用にクライアントに適用されます。
クライアント認証フェーズで、AAA サーバーは事前認証 ACL(url-redirect-acl:AAA サーバーに与えられた属性名)を返します。DNS スヌーピングは、登録が完了してクライアントが SUPPLICANT PROVISIONING 状態になるまで、各クライアントの AP で実行されます。URL で設定された ACL が 組み込みワイヤレスコントローラで受信されると、CAPWAP ペイロードが AP に送信され、クライアントの DNS スヌーピングが有効になり、URL がスヌーピングされます。
適切な URL スヌーピングにより、AP は DNS 応答の解決済みドメイン名の IP アドレスを学習します。設定された URL にドメイン名が一致した場合は、IP アドレスを求めるために DNS 応答が解析されます。AP によって IP アドレスの許可リストに IP アドレスが追加されるため、クライアントは設定された URL にアクセスできます。
事前認証または事後認証中に、DNS ACL がアクセスポイントのクライアントに適用されます。クライアントが、ある AP から別の AP にローミングした場合、古い AP で DNS により学習された IP アドレスは新しい AP でも有効になります。
この機能は次のように URL リストをサポートします。
-
最大 32 個の URL リスト。
-
URL リストごとに最大 32 個の URL。
-
URL ごとに最大 30 個の IP アドレス。
-
ワイルドカードを含む最大 16 個の URL リスト。
-
ワイルドカードの URL ごとに最大 10 個の URL。
![]() (注) |
ワイルドカードベースの URL を設定する場合、一般的なワイルドカード URL は使用できません。ドメイン名の間にワイルドカードを使用することはできません。1 つの URL に複数のワイルドカードを使用することはできません。URL でのワイルドカードの指定は、第 3 レベル以上のレベルでのみ使用できます。 |
![]() (注) |
競合する設定や無効な設定は使用できません。同じ URL に異なるアクションを設定することはできません。たとえば、拒否(Deny)許可(Allow)を www.yahoo.com で設定することはできません。 |
組み込みワイヤレスコントローラの FlexConnect
FlexConnect は、ブランチ オフィスとリモート オフィスに導入されるワイヤレス ソリューションです。このソリューションを使用することで、各ブランチオフィスで組み込みワイヤレスコントローラを展開することなく、企業オフィスからワイドエリアネットワーク(WAN)リンク経由で、ブランチまたはリモートオフィスのアクセスポイントを設定および制御できます。
FlexConnect アクセスポイントは、クライアント データ トラフィックをローカルに切り替え、認証を中央で実行できます。また、FlexConnect AP は、コントローラへの接続を失った場合にクライアント認証をローカルで実行できます。コントローラへの接続が回復した場合、認証とポリシーの詳細を組み込みワイヤレスコントローラに送り返すこともできます。
組み込みワイヤレス コントローラ ネットワークは、少なくとも 1 つの 802.11ax Wave 2 Cisco Aironet シリーズ アクセスポイント(AP)と、ネットワーク内の他の AP を管理するソフトウェアベースの組み込みワイヤレスコントローラで構成されます。組み込みワイヤレスコントローラとして機能している AP をプライマリ AP といい、そのプライマリ AP によって管理されるネットワーク内の他の AP を下位 AP といいます。プライマリ AP は、組み込みワイヤレスコントローラとして機能するのに加え、下位 AP と連動してクライアントにサービスを提供する AP としても動作します。
事前認証 DNS ACL 機能は、ウォールドガーデン機能とも呼ばれます。ウォールドガーデンは、認証なしでアクセスできる Web サイトまたはドメインのリストです。DNS スヌーピングは各クライアントの AP で実行され、設定されたルールは送信元または宛先 IP と一致した後にクライアントトラフィックに適用されます。
ローミング
ローミング中、サポートクライアントは既存のローミングサポートを使用して AP 間をローミングします。DNS ACL は、ローミング後もターゲット AP で保持されます。DNS 事前認証 ACL および事後認証 ACL を使用したローミングの場合、ターゲット AP は、サービスを提供する AP からクライアントが解決した IP を学習します。