特定の端末だけネットワークへのアクセスを許可(LAN / 拡張IPv4アクセスリスト) : コマンド設定

本設定例の対応機種は、SWX2310P-28GT、SWX2310P-18G、SWX2310P-10G、SWX2300-24G、SWX2300-16G、SWX2300-8Gです。

インテリジェントL2スイッチのLANポートに拡張IPv4アクセスリストを適用し、特定の端末だけ、ネットワークへのアクセスを許可する設定例です。ルーターで行っていたフィルタリングをスイッチで行うことにより、ルーターの負荷を軽減できます。

インターフェースに対して拡張IPv4アクセスリストを適用すると、許可したIPv4アドレスを送信元IPアドレス、宛先IPアドレスとする、特定のIPプロトコル種別のフレームだけを転送し、その他のフレームをすべて破棄します。これにより、特定のフレームだけを転送対象とすることができるため、セキュリティーの向上に役立てることができます。

技術情報：ACL（SWX2310P、SWX2300）

本設定例では、以下の構成で説明します。

スイッチ
- ポート8：ルーターと接続
- ポート1,2：
　許可したIPアドレス(192.168.100.192、192.168.100.193)からのフレームだけを転送します。
　ただし、Webサーバー(192.168.100.200)へは、HTTPプロトコルのフレームだけを転送します。

スイッチの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

SWX2310Pの場合

下記の設定（Config）を取り出すことができます。

SWX2310P-28GT

SWX2310P-18G

SWX2310P-10G

設定手順

ユーザモードから特権EXECモードに移行します。
[コンソール]
SWX2310P>enable SWX2310P#

グローバルコンフィグレーションモードに移行します。

[コンソール]

SWX2310P#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
SWX2310P(config)#

拡張IPv4アクセスリスト(ID:100)を生成します。
ここでは、特定のIPアドレス(192.168.100.192、 192.168.100.193)からWebサーバー(192.168.100.200)へ、HTTPプロトコル(ポート番号:80)によるアクセスを許可しています。

[コンソール]

SWX2310P(config)#access-list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80
SWX2310P(config)#access-list 100 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80
SWX2310P(config)#

引き続き、拡張IPv4アクセスリスト(ID:100)を生成します。
ここでは、特定のIPアドレス(192.168.100.192、192.168.100.193)からWebサーバー(192.168.100.200)へ、HTTPプロトコル以外によるアクセスを拒否しています。

[コンソール]

SWX2310P(config)#access-list 100 deny any host 192.168.100.192 host 192.168.100.200
SWX2310P(config)#access-list 100 deny any host 192.168.100.193 host 192.168.100.200
SWX2310P(config)#

引き続き、拡張IPv4アクセスリスト(ID:100)を生成します。
ここでは、特定のIPアドレス(192.168.100.192、192.168.100.193)からWebサーバー以外にもアクセスできるように、許可を追加しています。
[コンソール]
SWX2310P(config)#access-list 100 permit any host 192.168.100.192 any SWX2310P(config)#access-list 100 permit any host 192.168.100.193 any SWX2310P(config)#
引き続き、拡張IPv4アクセスリスト(ID:100)を生成します。
ここでは、特定のIPアドレス(192.168.100.192、192.168.100.193)以外からのアクセスを拒否しています。
[コンソール]
SWX2310P(config)#access-list 100 deny any any any SWX2310P(config)#

ポート1,2の受信フレーム(IN方向)に拡張IPv4アクセスリスト(ID:100)を適用します。
必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。

[コンソール]

SWX2310P(config)#interface port1.1
SWX2310P(config-if)#access-group 100 in
SWX2310P(config-if)#exit
SWX2310P(config)#interface port1.2
SWX2310P(config-if)#access-group 100 in
SWX2310P(config-if)#exit
SWX2310P(config)#

設定内容

拡張IPv4アクセスリストの設定	access-list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80 access-list 100 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80 access-list 100 deny any host 192.168.100.192 host 192.168.100.200 access-list 100 deny any host 192.168.100.193 host 192.168.100.200 access-list 100 permit any host 192.168.100.192 any access-list 100 permit any host 192.168.100.193 any access-list 100 deny any any any interface port1.1 access-group 100 in exit interface port1.2 access-group 100 in exit

拡張IPv4アクセスリストの設定

access-list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80
access-list 100 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80
access-list 100 deny any host 192.168.100.192 host 192.168.100.200
access-list 100 deny any host 192.168.100.193 host 192.168.100.200
access-list 100 permit any host 192.168.100.192 any
access-list 100 permit any host 192.168.100.193 any
access-list 100 deny any any any
interface port1.1
  access-group 100 in
  exit
interface port1.2
  access-group 100 in
  exit

設定の確認

・「show access-list」コマンドで、生成したアクセスリストを確認します。

[コンソール]

SWX2310P#show access-list
IPv4 access list 100
    10 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80
    20 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80
    30 deny any host 192.168.100.192 host 192.168.100.200
    40 deny any host 192.168.100.193 host 192.168.100.200
    50 permit any host 192.168.100.192 any
    60 permit any host 192.168.100.193 any
    70 deny any any any
SWX2310P#

[解説]
拡張IPv4アクセスリスト(ID:100)には、設定手順3～6で設定した内容が反映されます。コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show access-group」コマンドで、アクセスリストの適用状況を確認します。

[コンソール]

SWX2310P#show access-group
Interface port1.1 : IPv4 access group 100 in
Interface port1.2 : IPv4 access group 100 in
SWX2310P#

[解説]
設定手順7で設定した内容が反映されます。
ポート1,2の受信フレーム(IN方向)に対して、拡張IPv4アクセスリスト(ID:100)が適用されています。
コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。

SWX2300の場合

下記の設定（Config）を取り出すことができます。

SWX2300-24G

SWX2300-16G

SWX2300-8G

設定手順

ユーザモードから特権EXECモードに移行します。
[コンソール]
SWX2300>enable SWX2300#

グローバルコンフィグレーションモードに移行します。

[コンソール]

SWX2300#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
SWX2300(config)#

[コンソール]

SWX2300(config)#access-list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80
SWX2300(config)#access-list 100 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80
SWX2300(config)#

[コンソール]

SWX2300(config)#access-list 100 deny any host 192.168.100.192 host 192.168.100.200
SWX2300(config)#access-list 100 deny any host 192.168.100.193 host 192.168.100.200
SWX2300(config)#

引き続き、拡張IPv4アクセスリスト(ID:100)を生成します。
ここでは、特定のIPアドレス(192.168.100.192、192.168.100.193)からWebサーバー以外にもアクセスできるように、許可を追加しています。
[コンソール]
SWX2300(config)#access-list 100 permit any host 192.168.100.192 any SWX2300(config)#access-list 100 permit any host 192.168.100.193 any SWX2300(config)#

[コンソール]

SWX2300(config)#interface ge1
SWX2300(config-if)#ip access-group 100 in
SWX2300(config-if)#exit
SWX2300(config)#interface ge2
SWX2300(config-if)#ip access-group 100 in
SWX2300(config-if)#exit
SWX2300(config)#

設定内容

拡張IPv4アクセスリストの設定	access-list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80 access-list 100 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80 access-list 100 deny any host 192.168.100.192 host 192.168.100.200 access-list 100 deny any host 192.168.100.193 host 192.168.100.200 access-list 100 permit any host 192.168.100.192 any access-list 100 permit any host 192.168.100.193 any interface ge1 ip access-group 100 in exit interface ge2 ip access-group 100 in exit

拡張IPv4アクセスリストの設定

access-list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80
access-list 100 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80
access-list 100 deny any host 192.168.100.192 host 192.168.100.200
access-list 100 deny any host 192.168.100.193 host 192.168.100.200
access-list 100 permit any host 192.168.100.192 any
access-list 100 permit any host 192.168.100.193 any
interface ge1
  ip access-group 100 in
  exit
interface ge2
  ip access-group 100 in
  exit

設定の確認

・「show access-list」コマンドで、生成したアクセスリストを確認します。

[コンソール]

SWX2300#show access-list
Extended IP access list 100
    permit tcp host 192.168.100.192 host 192.168.100.200 eq 80
    permit tcp host 192.168.100.193 host 192.168.100.200 eq 80
    deny   any host 192.168.100.192 host 192.168.100.200
    deny   any host 192.168.100.193 host 192.168.100.200
    permit any host 192.168.100.192 any
    permit any host 192.168.100.193 any

SWX2300#

[解説]
拡張IPv4アクセスリスト(ID:100)には、設定手順3～5で設定した内容が反映されます。コマンドの詳細は、生成した全アクセスリストの表示をご覧ください。

・「show access-group」コマンドで、アクセスリストの適用状況を確認します。

[コンソール]

SWX2300#show access-group
Interface ge1  : IP access group 100 in
Interface ge2  : IP access group 100 in
SWX2300#

[解説]
設定手順6で設定した内容が反映されます。
ポート1,2の受信フレーム(IN方向)に対して、拡張IPv4アクセスリスト(ID:100)が適用されています。
※本コマンドは、Rev.2.00.10以降で使用できます。コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。