特定の端末だけネットワークへのアクセスを許可(LAN / 標準IPv4アクセスリスト) : SWX2300 コマンド設定

本設定例の対応機種は、SWX2300-24GSWX2300-16GSWX2300-8Gです。

図 特定の端末だけネットワークへのアクセスを許可(LAN / 標準IPv4アクセスリスト) : SWX2300 コマンド設定

インテリジェントL2スイッチ SWX2300のLANポートに標準IPv4アクセスリストを適用し、特定の端末だけ、ネットワークへのアクセスを許可する設定例です。ルーターで行っていたフィルタリングをスイッチで行うことにより、ルーターの負荷を軽減できます。

インターフェースに対して標準IPv4アクセスリストを適用すると、許可したIPv4アドレスを送信元IPアドレスとするフレームだけを転送し、その他のフレームをすべて破棄します。これにより、特定のフレームだけを転送対象とすることができるため、セキュリティーの向上に役立てることができます。

技術情報:ACL

本設定例では、以下の構成で説明します。

  • SWX2300
    - ポート8:ルーターと接続

    - ポート1,2:
     許可したIPアドレス(192.168.100.192、192.168.100.193)からのフレームだけを転送します。

SWX2300の設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2300>enable
    SWX2300#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2300#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2300(config)#
    
  3. 標準IPv4アクセスリスト(ID:1)を生成します。
    ここでは、192.168.100.192 と 192.168.100.193 からのアクセスを許可しています。
    [コンソール]
    SWX2300(config)#access-list 1 permit host 192.168.100.192
    SWX2300(config)#access-list 1 permit host 192.168.100.193
    SWX2300(config)#
    
  4. ポート1,2の受信フレーム(IN方向)に標準IPv4アクセスリスト(ID:1)を適用します。
    必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。
    [コンソール]
    SWX2300(config)#interface ge1
    SWX2300(config-if)#ip access-group 1 in
    SWX2300(config-if)#exit
    SWX2300(config)#interface ge2
    SWX2300(config-if)#ip access-group 1 in
    SWX2300(config-if)#exit
    SWX2300(config)#
    

設定内容

標準IPv4アクセスリストの設定 access-list 1 permit host 192.168.100.192
access-list 1 permit host 192.168.100.193
interface ge1
  ip access-group 1 in
  exit
interface ge2
  ip access-group 1 in
  exit

設定の確認

・「show access-list」コマンドで、生成したアクセスリストを確認します。

[コンソール]
SWX2300#show access-list
Standard IP access list 1
    permit 192.168.100.192
    permit 192.168.100.193

SWX2300#
[解説]
標準IPv4アクセスリスト(ID:1) には、設定手順3で設定した内容が反映されます。
192.168.100.192 と 192.168.100.193 からのフレームの転送が許可されています。
それ以外のIPアドレスから受信したフレームは拒否します。 コマンドの詳細は、生成した全アクセスリストの表示をご覧ください。

・「show access-group」コマンドで、アクセスリストの適用状況を確認します。

[コンソール]
SWX2300#show access-group
Interface ge1  : IP access group 1 in
Interface ge2  : IP access group 1 in
SWX2300#
[解説]
設定手順4で設定した内容が反映されます。
ポート1,2の受信フレーム(IN方向)に対して、標準IPv4アクセスリスト(ID:1)が適用されています。
※本コマンドは、Rev.2.00.10以降で使用できます。 コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。