特定の端末だけネットワークへのアクセスを許可(LAN / 標準IPv4アクセスリスト) : コマンド設定

管理番号:YMHSW-4387

本設定例の対応機種は、SWX2310P-28GTSWX2310P-18GSWX2310P-10GSWX2300-24GSWX2300-16GSWX2300-8Gです。

図 特定の端末だけネットワークへのアクセスを許可(LAN / 標準IPv4アクセスリスト) : コマンド設定

インテリジェントL2スイッチのLANポートに標準IPv4アクセスリストを適用し、特定の端末だけ、ネットワークへのアクセスを許可する設定例です。ルーターで行っていたフィルタリングをスイッチで行うことにより、ルーターの負荷を軽減できます。

インターフェースに対して標準IPv4アクセスリストを適用すると、許可したIPv4アドレスを送信元IPアドレスとするフレームだけを転送し、その他のフレームをすべて破棄します。特定のフレームだけを転送対象としますので、セキュリティーの向上に役立てることができます。

技術情報:

本設定例では、以下の構成で説明します。

  • スイッチ
    - ポート8:ルーターと接続
    - ポート1,2:
     許可したIPアドレス(192.168.100.192、192.168.100.193)からのフレームだけを転送します。

スイッチの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

SWX2310Pの場合

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2310P>enable
    SWX2310P#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2310P#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2310P(config)#
    
  3. 標準IPv4アクセスリスト(ID:1)を生成します。
    ここでは、192.168.100.192 と 192.168.100.193 からのアクセスを許可しています。
    [コンソール]
    SWX2310P(config)#access-list 1 permit any host 192.168.100.192 any
    SWX2310P(config)#access-list 1 permit any host 192.168.100.193 any
    SWX2310P(config)#access-list 1 deny any any any
    SWX2310P(config)#
    
  4. ポート1,2の受信フレーム(IN方向)に標準IPv4アクセスリスト(ID:1)を適用します。
    必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。
    [コンソール]
    SWX2310P(config)#interface port1.1
    SWX2310P(config-if)#access-group 1 in
    SWX2310P(config-if)#exit
    SWX2310P(config)#interface port1.2
    SWX2310P(config-if)#access-group 1 in
    SWX2310P(config-if)#exit
    SWX2310P(config)#
    

設定内容

標準IPv4アクセスリストの設定 access-list 1 permit any host 192.168.100.192 any
access-list 1 permit any host 192.168.100.193 any
access-list 1 deny any any any
interface port1.1
  access-group 1 in
  exit
interface port1.2
  access-group 1 in
  exit

設定の確認

・「show access-list」コマンドで、生成したアクセスリストを確認します。

[コンソール]
SWX2310P#show access-list
IPv4 access list 1
    10 permit any host 192.168.100.192 any
    20 permit any host 192.168.100.193 any
    30 deny any any any
SWX2310P#
[解説]
標準IPv4アクセスリスト(ID:1) には、設定手順3で設定した内容が反映されます。
192.168.100.192 と 192.168.100.193 からのフレームの転送が許可されています。
それ以外のIPアドレスから受信したフレームは拒否します。 コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show access-group」コマンドで、アクセスリストの適用状況を確認します。

[コンソール]
SWX2310P#show access-group
Interface port1.1  : IPv4 access group 1 in
Interface port1.2  : IPv4 access group 1 in
SWX2310P#
[解説]
設定手順4で設定した内容が反映されます。
ポート1,2の受信フレーム(IN方向)に対して、標準IPv4アクセスリスト(ID:1)が適用されています。
コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。
SWX2300の場合

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2300>enable
    SWX2300#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2300#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2300(config)#
    
  3. 標準IPv4アクセスリスト(ID:1)を生成します。
    ここでは、192.168.100.192 と 192.168.100.193 からのアクセスを許可しています。
    [コンソール]
    SWX2300(config)#access-list 1 permit host 192.168.100.192
    SWX2300(config)#access-list 1 permit host 192.168.100.193
    SWX2300(config)#
    
  4. ポート1,2の受信フレーム(IN方向)に標準IPv4アクセスリスト(ID:1)を適用します。
    必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。
    [コンソール]
    SWX2300(config)#interface ge1
    SWX2300(config-if)#ip access-group 1 in
    SWX2300(config-if)#exit
    SWX2300(config)#interface ge2
    SWX2300(config-if)#ip access-group 1 in
    SWX2300(config-if)#exit
    SWX2300(config)#
    

設定内容

標準IPv4アクセスリストの設定 access-list 1 permit host 192.168.100.192
access-list 1 permit host 192.168.100.193
interface ge1
  ip access-group 1 in
  exit
interface ge2
  ip access-group 1 in
  exit

設定の確認

・「show access-list」コマンドで、生成したアクセスリストを確認します。

[コンソール]
SWX2300#show access-list
Standard IP access list 1
    permit 192.168.100.192
    permit 192.168.100.193

SWX2300#
[解説]
標準IPv4アクセスリスト(ID:1) には、設定手順3で設定した内容が反映されます。
192.168.100.192 と 192.168.100.193 からのフレームの転送が許可されています。
それ以外のIPアドレスから受信したフレームは拒否します。 コマンドの詳細は、生成した全アクセスリストの表示をご覧ください。

・「show access-group」コマンドで、アクセスリストの適用状況を確認します。

[コンソール]
SWX2300#show access-group
Interface ge1  : IP access group 1 in
Interface ge2  : IP access group 1 in
SWX2300#
[解説]
設定手順4で設定した内容が反映されます。
ポート1,2の受信フレーム(IN方向)に対して、標準IPv4アクセスリスト(ID:1)が適用されています。
※本コマンドは、Rev.2.00.10以降で使用できます。 コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ