管理番号:YMHSW-4387
本設定例の対応機種は、SWX2310P-28GT、SWX2310P-18G、SWX2310P-10G、SWX2300-24G、SWX2300-16G、SWX2300-8Gです。
インテリジェントL2スイッチのLANポートに標準IPv4アクセスリストを適用し、特定の端末だけ、ネットワークへのアクセスを許可する設定例です。ルーターで行っていたフィルタリングをスイッチで行うことにより、ルーターの負荷を軽減できます。
インターフェースに対して標準IPv4アクセスリストを適用すると、許可したIPv4アドレスを送信元IPアドレスとするフレームだけを転送し、その他のフレームをすべて破棄します。特定のフレームだけを転送対象としますので、セキュリティーの向上に役立てることができます。
技術情報:
本設定例では、以下の構成で説明します。
※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。
下記の設定(Config)を取り出すことができます。
[コンソール]
SWX2310P>enable SWX2310P# |
[コンソール]
SWX2310P#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SWX2310P(config)# |
[コンソール]
SWX2310P(config)#access-list 1 permit any host 192.168.100.192 any SWX2310P(config)#access-list 1 permit any host 192.168.100.193 any SWX2310P(config)#access-list 1 deny any any any SWX2310P(config)# |
[コンソール]
SWX2310P(config)#interface port1.1 SWX2310P(config-if)#access-group 1 in SWX2310P(config-if)#exit SWX2310P(config)#interface port1.2 SWX2310P(config-if)#access-group 1 in SWX2310P(config-if)#exit SWX2310P(config)# |
| 標準IPv4アクセスリストの設定 |
access-list 1 permit any host 192.168.100.192 any access-list 1 permit any host 192.168.100.193 any access-list 1 deny any any any interface port1.1 access-group 1 in exit interface port1.2 access-group 1 in exit |
|---|
・「show access-list」コマンドで、生成したアクセスリストを確認します。
[コンソール]
SWX2310P#show access-list
IPv4 access list 1
10 permit any host 192.168.100.192 any
20 permit any host 192.168.100.193 any
30 deny any any any
SWX2310P#
|
| [解説] 標準IPv4アクセスリスト(ID:1) には、設定手順3で設定した内容が反映されます。 192.168.100.192 と 192.168.100.193 からのフレームの転送が許可されています。 それ以外のIPアドレスから受信したフレームは拒否します。 コマンドの詳細は、生成したアクセスリストの表示をご覧ください。 |
・「show access-group」コマンドで、アクセスリストの適用状況を確認します。
[コンソール]
SWX2310P#show access-group Interface port1.1 : IPv4 access group 1 in Interface port1.2 : IPv4 access group 1 in SWX2310P# |
| [解説] 設定手順4で設定した内容が反映されます。 ポート1,2の受信フレーム(IN方向)に対して、標準IPv4アクセスリスト(ID:1)が適用されています。 コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。 |
下記の設定(Config)を取り出すことができます。
[コンソール]
SWX2300>enable SWX2300# |
[コンソール]
SWX2300#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SWX2300(config)# |
[コンソール]
SWX2300(config)#access-list 1 permit host 192.168.100.192 SWX2300(config)#access-list 1 permit host 192.168.100.193 SWX2300(config)# |
[コンソール]
SWX2300(config)#interface ge1 SWX2300(config-if)#ip access-group 1 in SWX2300(config-if)#exit SWX2300(config)#interface ge2 SWX2300(config-if)#ip access-group 1 in SWX2300(config-if)#exit SWX2300(config)# |
| 標準IPv4アクセスリストの設定 |
access-list 1 permit host 192.168.100.192 access-list 1 permit host 192.168.100.193 interface ge1 ip access-group 1 in exit interface ge2 ip access-group 1 in exit |
|---|
・「show access-list」コマンドで、生成したアクセスリストを確認します。
[コンソール]
SWX2300#show access-list
Standard IP access list 1
permit 192.168.100.192
permit 192.168.100.193
SWX2300#
|
| [解説] 標準IPv4アクセスリスト(ID:1) には、設定手順3で設定した内容が反映されます。 192.168.100.192 と 192.168.100.193 からのフレームの転送が許可されています。 それ以外のIPアドレスから受信したフレームは拒否します。 コマンドの詳細は、生成した全アクセスリストの表示をご覧ください。 |
・「show access-group」コマンドで、アクセスリストの適用状況を確認します。
[コンソール]
SWX2300#show access-group Interface ge1 : IP access group 1 in Interface ge2 : IP access group 1 in SWX2300# |
| [解説] 設定手順4で設定した内容が反映されます。 ポート1,2の受信フレーム(IN方向)に対して、標準IPv4アクセスリスト(ID:1)が適用されています。 ※本コマンドは、Rev.2.00.10以降で使用できます。 コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。 |