本設定例の対応機種は、SWX2300-24G、SWX2300-16G、SWX2300-8Gです。
インテリジェントL2スイッチ SWX2300のLANポートに標準IPv4アクセスリストを適用し、特定の端末だけ、ネットワークへのアクセスを許可する設定例です。ルーターで行っていたフィルタリングをスイッチで行うことにより、ルーターの負荷を軽減できます。
インターフェースに対して標準IPv4アクセスリストを適用すると、許可したIPv4アドレスを送信元IPアドレスとするフレームだけを転送し、その他のフレームをすべて破棄します。これにより、特定のフレームだけを転送対象とすることができるため、セキュリティーの向上に役立てることができます。
技術情報:ACL
本設定例では、以下の構成で説明します。
- ポート1,2:
許可したIPアドレス(192.168.100.192、192.168.100.193)からのフレームだけを転送します。
※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。
下記の設定(Config)を取り出すことができます。
[コンソール]
SWX2300>enable SWX2300# |
[コンソール]
SWX2300#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SWX2300(config)# |
[コンソール]
SWX2300(config)#access-list 1 permit host 192.168.100.192 SWX2300(config)#access-list 1 permit host 192.168.100.193 SWX2300(config)# |
[コンソール]
SWX2300(config)#interface ge1 SWX2300(config-if)#ip access-group 1 in SWX2300(config-if)#exit SWX2300(config)#interface ge2 SWX2300(config-if)#ip access-group 1 in SWX2300(config-if)#exit SWX2300(config)# |
| 標準IPv4アクセスリストの設定 |
access-list 1 permit host 192.168.100.192 access-list 1 permit host 192.168.100.193 interface ge1 ip access-group 1 in exit interface ge2 ip access-group 1 in exit |
|---|
・「show access-list」コマンドで、生成したアクセスリストを確認します。
[コンソール]
SWX2300#show access-list
Standard IP access list 1
permit 192.168.100.192
permit 192.168.100.193
SWX2300#
|
| [解説] 標準IPv4アクセスリスト(ID:1) には、設定手順3で設定した内容が反映されます。 192.168.100.192 と 192.168.100.193 からのフレームの転送が許可されています。 それ以外のIPアドレスから受信したフレームは拒否します。 コマンドの詳細は、生成した全アクセスリストの表示をご覧ください。 |
・「show access-group」コマンドで、アクセスリストの適用状況を確認します。
[コンソール]
SWX2300#show access-group Interface ge1 : IP access group 1 in Interface ge2 : IP access group 1 in SWX2300# |
| [解説] 設定手順4で設定した内容が反映されます。 ポート1,2の受信フレーム(IN方向)に対して、標準IPv4アクセスリスト(ID:1)が適用されています。 ※本コマンドは、Rev.2.00.10以降で使用できます。 コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。 |