管理番号:YMHSW-4392
本設定例の対応機種は、SWX2310P-28GT、SWX2310P-18G、SWX2310P-10G、SWX2300-24G、SWX2300-16G、SWX2300-8Gです。
インテリジェントL2スイッチのLANポートに拡張IPv4アクセスリストを適用し、特定の端末だけ、ネットワークへのアクセスを許可する設定例です。ルーターで行っていたフィルタリングをスイッチで行うことにより、ルーターの負荷を軽減できます。
インターフェースに対して拡張IPv4アクセスリストを適用すると、許可したIPv4アドレスを送信元IPアドレス、宛先IPアドレスとする、特定のIPプロトコル種別のフレームだけを転送し、その他のフレームをすべて破棄します。特定のフレームだけを転送対象としますので、セキュリティーの向上に役立てることができます。
本設定例では、以下の構成で説明します。
※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。
下記の設定(Config)を取り出すことができます。
[コンソール]
SWX2310P>enable SWX2310P# |
[コンソール]
SWX2310P#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SWX2310P(config)# |
[コンソール]
SWX2310P(config)#access-list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80 SWX2310P(config)#access-list 100 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80 SWX2310P(config)# |
[コンソール]
SWX2310P(config)#access-list 100 deny any host 192.168.100.192 host 192.168.100.200 SWX2310P(config)#access-list 100 deny any host 192.168.100.193 host 192.168.100.200 SWX2310P(config)# |
[コンソール]
SWX2310P(config)#access-list 100 permit any host 192.168.100.192 any SWX2310P(config)#access-list 100 permit any host 192.168.100.193 any SWX2310P(config)# |
[コンソール]
SWX2310P(config)#access-list 100 deny any any any SWX2310P(config)# |
[コンソール]
SWX2310P(config)#interface port1.1 SWX2310P(config-if)#access-group 100 in SWX2310P(config-if)#exit SWX2310P(config)#interface port1.2 SWX2310P(config-if)#access-group 100 in SWX2310P(config-if)#exit SWX2310P(config)# |
拡張IPv4アクセスリストの設定 |
access-list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80 access-list 100 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80 access-list 100 deny any host 192.168.100.192 host 192.168.100.200 access-list 100 deny any host 192.168.100.193 host 192.168.100.200 access-list 100 permit any host 192.168.100.192 any access-list 100 permit any host 192.168.100.193 any access-list 100 deny any any any interface port1.1 access-group 100 in exit interface port1.2 access-group 100 in exit |
---|
・「show access-list」コマンドで、生成したアクセスリストを確認します。
[コンソール]
SWX2310P#show access-list IPv4 access list 100 10 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80 20 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80 30 deny any host 192.168.100.192 host 192.168.100.200 40 deny any host 192.168.100.193 host 192.168.100.200 50 permit any host 192.168.100.192 any 60 permit any host 192.168.100.193 any 70 deny any any any SWX2310P# |
[解説] 拡張IPv4アクセスリスト(ID:100)には、設定手順3~6で設定した内容が反映されます。 コマンドの詳細は、生成したアクセスリストの表示をご覧ください。 |
・「show access-group」コマンドで、アクセスリストの適用状況を確認します。
[コンソール]
SWX2310P#show access-group Interface port1.1 : IPv4 access group 100 in Interface port1.2 : IPv4 access group 100 in SWX2310P# |
[解説] 設定手順7で設定した内容が反映されます。 ポート1,2の受信フレーム(IN方向)に対して、拡張IPv4アクセスリスト(ID:100)が適用されています。 コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。 |
下記の設定(Config)を取り出すことができます。
[コンソール]
SWX2300>enable SWX2300# |
[コンソール]
SWX2300#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SWX2300(config)# |
[コンソール]
SWX2300(config)#access-list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80 SWX2300(config)#access-list 100 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80 SWX2300(config)# |
[コンソール]
SWX2300(config)#access-list 100 deny any host 192.168.100.192 host 192.168.100.200 SWX2300(config)#access-list 100 deny any host 192.168.100.193 host 192.168.100.200 SWX2300(config)# |
[コンソール]
SWX2300(config)#access-list 100 permit any host 192.168.100.192 any SWX2300(config)#access-list 100 permit any host 192.168.100.193 any SWX2300(config)# |
[コンソール]
SWX2300(config)#interface ge1 SWX2300(config-if)#ip access-group 100 in SWX2300(config-if)#exit SWX2300(config)#interface ge2 SWX2300(config-if)#ip access-group 100 in SWX2300(config-if)#exit SWX2300(config)# |
拡張IPv4アクセスリストの設定 |
access-list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80 access-list 100 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80 access-list 100 deny any host 192.168.100.192 host 192.168.100.200 access-list 100 deny any host 192.168.100.193 host 192.168.100.200 access-list 100 permit any host 192.168.100.192 any access-list 100 permit any host 192.168.100.193 any interface ge1 ip access-group 100 in exit interface ge2 ip access-group 100 in exit |
---|
・「show access-list」コマンドで、生成したアクセスリストを確認します。
[コンソール]
SWX2300#show access-list Extended IP access list 100 permit tcp host 192.168.100.192 host 192.168.100.200 eq 80 permit tcp host 192.168.100.193 host 192.168.100.200 eq 80 deny any host 192.168.100.192 host 192.168.100.200 deny any host 192.168.100.193 host 192.168.100.200 permit any host 192.168.100.192 any permit any host 192.168.100.193 any SWX2300# |
[解説] 拡張IPv4アクセスリスト(ID:100)には、設定手順3~5で設定した内容が反映されます。 コマンドの詳細は、生成した全アクセスリストの表示をご覧ください。 |
・「show access-group」コマンドで、アクセスリストの適用状況を確認します。
[コンソール]
SWX2300#show access-group Interface ge1 : IP access group 100 in Interface ge2 : IP access group 100 in SWX2300# |
[解説] 設定手順6で設定した内容が反映されます。 ポート1,2の受信フレーム(IN方向)に対して、拡張IPv4アクセスリスト(ID:100)が適用されています。 ※本コマンドは、Rev.2.00.10以降で使用できます。 コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。 |
ご相談・お問い合わせ