ACLで不正な端末からの通信をブロックする

管理番号:YMHSW-24488

設定概要

ACL(アクセスリスト)を使用して、ネットワークのセキュリティーを強化する設定例です。
あらかじめ、ACLに接続を許可する端末のMACアドレスを登録することで、許可されていない(不正)端末の接続をブロックします。

本設定例は、ネットワークに接続する端末(MACアドレス)が固定されている、小規模オフィスでの利用を想定しています。

構成図

本設定例では、以下の構成で説明します。

  • 接続を許可するMACアドレス
    - 00:00:5e:00:53:00
    - 00:00:5e:00:53:01
    - 00:00:5e:00:53:02
    - 00:00:5e:00:53:03
  • ACLは、スイッチのすべてのポートに適用

※Web GUIで設定する場合、設定に使用するPCは「接続を許可する端末」として登録してください。
 接続を許可していないPCの場合、設定の途中でスイッチへの接続が拒否され、Web GUIへのアクセスができなくなります。

対応機種

10ギガビット/マルチギガビットスイッチ ギガビットスイッチ
L3スイッチ SWX3220 SWX3200 SWX3100
インテリジェントL2スイッチ SWX2322P SWX2320 SWX2310P SWX2310
スマートL2スイッチ SWX2221P SWX2220 SWX2210P SWX2210

技術情報

10ギガビット/マルチギガビットスイッチ ギガビットスイッチ
アクセスリスト SWX3220 SWX3200 SWX3100
SWX2322P SWX2320 SWX2310P SWX2310
SWX2221P SWX2220 SWX2210P SWX2210

スイッチの設定例

コマンド設定
L3スイッチ / インテリジェントL2スイッチ

設定内容

ACLの設定 access-list 2001 10 permit host 0000.5e00.5300 any
access-list 2001 20 permit host 0000.5e00.5301 any
access-list 2001 30 permit host 0000.5e00.5302 any
access-list 2001 40 permit host 0000.5e00.5303 any
access-list 2001 50 deny any any

interface port1.1-16
  access-group 2001 in
  exit

設定の確認

・「show access-list」コマンド

[コンソール]
SWX2320#show access-list
MAC access list 2001
    10 permit host 0000.5e00.5300 any
    20 permit host 0000.5e00.5301 any
    30 permit host 0000.5e00.5302 any
    40 permit host 0000.5e00.5303 any
    50 deny host any any

SWX2320#
[解説]
生成したアクセスリストを表示します。
コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show access-group」コマンド

[コンソール]
SWX2320#show access-group
Interface port1.1  : MAC access group 2001 in
Interface port1.2  : MAC access group 2001 in
Interface port1.3  : MAC access group 2001 in
Interface port1.4  : MAC access group 2001 in
Interface port1.5  : MAC access group 2001 in
Interface port1.6  : MAC access group 2001 in
Interface port1.7  : MAC access group 2001 in
Interface port1.8  : MAC access group 2001 in
Interface port1.9  : MAC access group 2001 in
Interface port1.10 : MAC access group 2001 in
Interface port1.11 : MAC access group 2001 in
Interface port1.12 : MAC access group 2001 in
Interface port1.13 : MAC access group 2001 in
Interface port1.14 : MAC access group 2001 in
Interface port1.15 : MAC access group 2001 in
Interface port1.16 : MAC access group 2001 in

SWX2320#
[解説]
適用されたアクセスリストを確認します。
コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。
スマートL2スイッチ

設定内容

ACLの設定 access-list 2001 10 permit host 0000.5e00.5300
access-list 2001 20 permit host 0000.5e00.5301
access-list 2001 30 permit host 0000.5e00.5302
access-list 2001 40 permit host 0000.5e00.5303
access-list 2001 50 deny any

interface port1.1
  access-group 2001 in
interface port1.2
  access-group 2001 in
interface port1.3
  access-group 2001 in
interface port1.4
  access-group 2001 in
interface port1.5
  access-group 2001 in
interface port1.6
  access-group 2001 in
interface port1.7
  access-group 2001 in
interface port1.8
  access-group 2001 in
interface port1.9
  access-group 2001 in
interface port1.10
  access-group 2001 in
  exit

設定の確認

・「show access-list」コマンド

[コンソール]
SWX2220#show access-list
MAC access list 2001
    10 permit host 0000.5e00.5300
    20 permit host 0000.5e00.5301
    30 permit host 0000.5e00.5302
    40 permit host 0000.5e00.5303
    50 deny host any

SWX2220#
[解説]
生成したアクセスリストを表示します。
コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show access-group」コマンド

[コンソール]
SWX2220#show access-group
Interface port1.1 : MAC access group 2001 in
Interface port1.2 : MAC access group 2001 in
Interface port1.3 : MAC access group 2001 in
Interface port1.4 : MAC access group 2001 in
Interface port1.5 : MAC access group 2001 in
Interface port1.6 : MAC access group 2001 in
Interface port1.7 : MAC access group 2001 in
Interface port1.8 : MAC access group 2001 in
Interface port1.9 : MAC access group 2001 in
Interface port1.10 : MAC access group 2001 in

SWX2220#
[解説]
適用されたアクセスリストを確認します。
コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。
Web GUI設定

本設定例では、SWX2220 のWeb GUIを用いて設定手順をご紹介します。
ご利用の機種によって、項目やボタン名が異なる場合がありますが、設定内容に相違はございません。

設定の概要

アクセスリストの作成

1. スイッチのWeb GUIを開きます。

図 説明画像

2.「詳細設定」をクリックします。

図 説明画像

3.「アクセスリスト」をクリックします。

図 説明画像

4.「アクセスリストの作成」をクリックします。

図 説明画像

5.「新規」をクリックします。

図 説明画像

6.「MACアクセスリスト」を選択します。

図 説明画像

7.「追加」をクリックします。

図 説明画像

8.「制御条件の設定」を設定して、「OK」をクリックします。

動作 許可する
送信元アドレス ホストアドレスを指定する
 0000.5e00.5300 (接続を許可する端末1 のMACアドレスを指定)
図 説明画像

9.「追加」をクリックします。

図 説明画像

10.「制御条件の設定」を設定して、「OK」をクリックします。

動作 許可する
送信元アドレス ホストアドレスを指定する
 0000.5e00.5301 (接続を許可する端末2 のMACアドレスを指定)
図 説明画像

11.「追加」をクリックします。

図 説明画像

12.「制御条件の設定」を設定して、「OK」をクリックします。

動作 許可する
送信元アドレス ホストアドレスを指定する
 0000.5e00.5302 (接続を許可する端末3 のMACアドレスを指定)
図 説明画像

13.「追加」をクリックします。

図 説明画像

14.「制御条件の設定」を設定して、「OK」をクリックします。

動作 許可する
送信元アドレス ホストアドレスを指定する
 0000.5e00.5303 (接続を許可する端末4 のMACアドレスを指定)
図 説明画像

15.「追加」をクリックします。

図 説明画像

16.「制御条件の設定」を設定して、「OK」をクリックします。

動作 拒否する
送信元アドレス すべてのアドレス
図 説明画像

17.「確認」をクリックします。

図 説明画像

18. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

19. アクセスリストの作成が完了しました。

図 説明画像

アクセスリストの適用

1.「アクセスリストの適用」をクリックします。

図 説明画像

2. 見出しのチェックボックスにチェックをつけます。
  ※同時に、すべてのIFにチェックがつきます。
   vlanインターフェースが表示されている場合、vlanインターフェースは、チェックを外してください。

※重要※
設定に使用しているPCが「接続を許可する端末」となっていない場合、スイッチへの接続が拒否され、Web GUIへのアクセスができなくなります。ご注意ください。

図 説明画像

3.「一括設定」をクリックします。

図 説明画像

4. 適用するアクセスリスト (IN) の「選択」をクリックします。

図 説明画像

5. アクセスリストを選択して、「OK」をクリックします。

図 説明画像

6.「確認」をクリックします。

図 説明画像

7. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

8. アクセスリストが適用されました。以上で、スイッチの設定は完了です。

図 説明画像

※上記操作による設定(Config)を取り出すことができます。

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(スイッチ)を推奨します。


【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ