このドキュメントでは、GUI を使用して Cisco Aironet アクセス ポイント(AP)でアクセス コントロール リスト(ACL)ベースのフィルタを設定する方法について説明します。
次の項目に関する基本的な知識が推奨されます。
このドキュメントは、Cisco IOS® ソフトウェア リリース 15.2(2)JB が動作する Aironet 1040 シリーズ AP を使用します。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
AP でフィルタを使用すると、次の作業を実行できます。
以下の項目に基づいたトラフィックのフィルタリングには、さまざまなタイプのフィルタを使用できます。
また、フィルタを有効にして、有線 LAN 上のユーザからのトラフィックを制限することもできます。IP アドレスと MAC アドレスのフィルタによって、特定の IP アドレスや MAC アドレス間で送受信されるユニキャストおよびマルチキャスト パケットの転送を許可または禁止できます。
プロトコル ベースのフィルタでは、さらに詳細なフィルタを行うことができ、AP のイーサネット インターフェイスと無線インターフェイスを通過する特定のプロトコルへのアクセスを制限できます。AP 上でのフィルタの設定には、以下のいずれかの方法を使用できます。
このドキュメントでは、GUI でフィルタを設定するための、ACL の使用方法について説明します。
このセクションでは、GUI を使用して Cisco Aironet AP 上で ACL ベースのフィルタを設定する方法について説明します。
[Security] > [Advance Security] に移動します。[Association Access List] タブを選択し、[Define Filter] をクリックします。
MAC アドレスベースのフィルタを使用すると、ハードコードされた MAC アドレスに基づくクライアント デバイスのフィルタリングを行うことができます。クライアントが MAC ベースのフィルタでアクセスを拒否されると、そのクライアントは AP と関連付けできません。MAC アドレスのフィルタによって、特定の MAC アドレスへ送受信されるユニキャストおよびマルチキャストのパケットの転送を、許可または禁止することができます。
この例は、MAC アドレスが 0040.96a5.b5d4 のクライアントをフィルタリングするために、GUI を使用して MAC ベースのフィルタを設定する方法を説明しています。
標準または拡張 ACL を使用すると、クライアント デバイスの WLAN ネットワークへの参加を、クライアントの IP アドレスに基づいて許可または禁止することができます。
この設定例では、拡張 ACL を使用しています。拡張 ACL では、クライアントへの Telnet アクセスを許可する必要があります。この WLAN ネットワークでは、他のプロトコルをすべて制限する必要があります。また、クライアントは DHCP を使用して IP アドレスを取得します。次のような拡張 ACL を作成する必要があります。
次の手順を実行して、拡張 ACL を作成します。
Ethertype フィルタを使用すると、Cisco Aironet AP で Internetwork Packet Exchange(IPX)トラフィックをブロックできます。これが役立つ一般的な状況は、大規模な企業ネットワークで時々発生する、IPX サーバのブロードキャストがワイヤレス リンクを抑制する場合です。
IPX トラフィックをブロックするフィルタを設定して適用するには、次の手順を実行してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
15-Oct-2013 |
初版 |