特定の端末だけサーバーへのアクセスを許可(VLAN / MACアクセスリスト) : コマンド設定

本設定例の対応機種は、SWX2310P-28GTSWX2310P-18GSWX2310P-10GSWX2300-24GSWX2300-16GSWX2300-8Gです。

図 特定の端末だけサーバーへのアクセスを許可(VLAN / MACアクセスリスト) : コマンド設定

インテリジェントL2スイッチのVLANにMACアクセスリストを適用し、特定の端末だけ、サーバーへのアクセスを許可する設定例です。ルーターで行っていたフィルタリングをスイッチで行うことにより、ルーターの負荷を軽減できます。

インターフェースに対してMACアクセスリストを適用すると、許可したMACアドレスを送信元MACアドレス、宛先MACアドレスとするフレームだけを転送し、その他のフレームをすべて破棄します。これにより、特定のフレームだけを転送対象とすることができるため、セキュリティーの向上に役立てることができます。

技術情報:

本設定例では、以下の構成で説明します。

  • ルーター:LAN1にスイッチを接続
  • スイッチ
    - ポート1:ルーターと接続、VLAN #101に設定

    - ポート2~4:VLAN #101に設定
     VLAN #101では、許可したMACアドレスからのフレームだけを転送します。
     PC1はサーバーにアクセスできますが、PC2はサーバーにアクセスできません。

ルーターの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(ルーター)を奨励します。

ヤマハルーターの場合
LANインターフェースの設定 ip lan1 address 192.168.100.1/24
VLANの設定 vlan lan1/1 802.1q vid=101 name=VLAN101
ip lan1/1 address 192.168.101.1/24
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp scope 101 192.168.101.2-192.168.101.191/24

スイッチの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(スイッチ)を奨励します。

SWX2310Pの場合

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2310P>enable
    SWX2310P#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2310P#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2310P(config)#
    
  3. VLANを定義します。
    [コンソール]
    SWX2310P(config)#vlan database
    SWX2310P(config-vlan)#vlan 101
    SWX2310P(config-vlan)#exit
    SWX2310P(config)#
    
  4. ポート1をトランクポートに設定し、VLAN #101 に所属させます。
    [コンソール]
    SWX2310P(config)#interface port1.1
    SWX2310P(config-if)#switchport mode trunk
    SWX2310P(config-if)#switchport trunk allowed vlan add 101
    SWX2310P(config-if)#exit
    SWX2310P(config)#
    
  5. ポート2~4をVLAN #101 に所属させます。
    必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。
    [コンソール]
    SWX2310P(config)#interface port1.2
    SWX2310P(config-if)#switchport mode access
    SWX2310P(config-if)#switchport access vlan 101
    SWX2310P(config-if)#exit
    SWX2310P(config)#interface port1.3
    SWX2310P(config-if)#switchport mode access
    SWX2310P(config-if)#switchport access vlan 101
    SWX2310P(config-if)#exit
    SWX2310P(config)#interface port1.4
    SWX2310P(config-if)#switchport mode access
    SWX2310P(config-if)#switchport access vlan 101
    SWX2310P(config-if)#exit
    SWX2310P(config)#
    
  6. MACアクセスリスト(ID:2001)を生成します。
    ここでは、サーバー と アクセスを許可する端末(PC1) のMACアドレスを設定します。MACアドレスは「xxxx.xxxx.xxxx」の形式で入力します。
    [コンソール]
    SWX2310P(config)#access-list 2001 permit host (許可する端末のMACアドレス) host (サーバーのMACアドレス)
    SWX2310P(config)#access-list 2001 permit host (サーバーのMACアドレス) host (許可する端末のMACアドレス)
    SWX2310P(config)#
    
  7. 引き続き、MACアクセスリスト(ID:2001)を生成します。
    ここでは、PC1以外がサーバーへアクセスすることを遮断しています。 MACアドレスは「xxxx.xxxx.xxxx」の形式で入力します。
    [コンソール]
    SWX2310P(config)#access-list 2001 deny any host (サーバーのMACアドレス)
    SWX2310P(config)#access-list 2001 deny host (サーバーのMACアドレス) any
    SWX2310P(config)#
    
  8. VLANアクセスマップを生成し、アクセスリストを設定します。
    [コンソール]
    SWX2310P(config)#vlan access-map VAM-001
    SWX2310P(config-vlan-access-map)#match access-list 2001
    SWX2310P(config-vlan-access-map)#exit
    
  9. VLAN #101 に VLANアクセスマップを適用します。
    [コンソール]
    SWX2310P(config)#vlan filter VAM-001 101
    SWX2310P(config)#
    

設定内容

VLANの設定 vlan database
  vlan 101
  exit
interface port1.1
  switchport mode trunk
  switchport trunk allowed vlan add 101
  exit
interface port1.2
  switchport mode access
  switchport access vlan 101
  exit
interface port1.3
  switchport mode access
  switchport access vlan 101
  exit
interface port1.4
  switchport mode access
  switchport access vlan 101
  exit
MACアクセスリストの設定 access-list 2001 permit host (許可する端末のMACアドレス) host (サーバーのMACアドレス)
access-list 2001 permit host (サーバーのMACアドレス) host (許可する端末のMACアドレス)
access-list 2001 deny any host (サーバーのMACアドレス)
access-list 2001 deny host (サーバーのMACアドレス) any
vlan access-map VAM-001
  match access-list 2001
  exit
vlan filter VAM-001 101

設定の確認

・「show access-list」コマンドで生成したMACアクセスリストを確認します。

[コンソール]
SWX2310P#show access-list
MAC access list 2001
	10 permit host (許可する端末のMACアドレス) host (サーバーのMACアドレス)
	20 permit host (サーバーのMACアドレス) host (許可する端末のMACアドレス)
	30 deny   any host (サーバーのMACアドレス)
	40 deny   host (サーバーのMACアドレス) any

SWX2310P#
[解説]
MACアクセスリスト(ID:2001) には、設定手順6,7で設定した内容が反映されます。コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show vlan access-map」コマンドで生成したVLANアクセスマップを確認します。

[コンソール]
SWX2310P#show vlan access-map
Vlan access-map VAM-001
    match mac access-list 2001
SWX2310P#
[解説]
VLANアクセスマップ(VAM-001)には、設定手順8で設定した内容が反映されます。コマンドの詳細は、VLANアクセスマップの表示をご覧ください。

・「show vlan filter」コマンドでVLANアクセスマップの適用状況を確認します。

[コンソール]
SWX2310P#show vlan filter
Vlan filter VAM-001 is applied to vlan 101
SWX2310P#
[解説]
設定手順9で設定した内容が反映されます。コマンドの詳細は、VLANアクセスマップフィルターの表示をご覧ください。
SWX2300の場合

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2300>enable
    SWX2300#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2300#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2300(config)#
    
  3. VLANを定義します。
    [コンソール]
    SWX2300(config)#vlan database
    SWX2300(config-vlan)#vlan 101
    SWX2300(config-vlan)#exit
    SWX2300(config)#
    
  4. ポート1をトランクポートに設定し、VLAN #101 に所属させます。
    [コンソール]
    SWX2300(config)#interface ge1
    SWX2300(config-if)#switchport mode trunk
    SWX2300(config-if)#switchport trunk allowed vlan add 101
    SWX2300(config-if)#exit
    SWX2300(config)#
    
  5. ポート2~4をアクセスポートに設定し、VLAN #101 に所属させます。
    必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。
    [コンソール]
    SWX2300(config)#interface ge2
    SWX2300(config-if)#switchport mode access
    SWX2300(config-if)#switchport access vlan 101
    SWX2300(config-if)#exit
    SWX2300(config)#interface ge3
    SWX2300(config-if)#switchport mode access
    SWX2300(config-if)#switchport access vlan 101
    SWX2300(config-if)#exit
    SWX2300(config)#interface ge4
    SWX2300(config-if)#switchport mode access
    SWX2300(config-if)#switchport access vlan 101
    SWX2300(config-if)#exit
    SWX2300(config)#
    
  6. MACアクセスリスト(ID:2000)を生成します。
    ここでは、サーバー と アクセスを許可する端末(PC1) のMACアドレスを設定します。MACアドレスは「xxxx.xxxx.xxxx」の形式で入力します。
    [コンソール]
    SWX2300(config)#access-list 2000 permit mac host (許可する端末のMACアドレス) host (サーバーのMACアドレス)
    SWX2300(config)#access-list 2000 permit mac host (サーバーのMACアドレス) host (許可する端末のMACアドレス)
    SWX2300(config)#
    
  7. 引き続き、MACアクセスリスト(ID:2000)を生成します。
    ここでは、PC1以外がサーバーへアクセスすることを遮断しています。 MACアドレスは「xxxx.xxxx.xxxx」の形式で入力します。
    [コンソール]
    SWX2300(config)#access-list 2000 deny mac any host (サーバーのMACアドレス)
    SWX2300(config)#access-list 2000 deny mac host (サーバーのMACアドレス) any
    SWX2300(config)#access-list 2000 permit mac any any
    SWX2300(config)#
    
  8. VLANアクセスマップを生成し、アクセスリストを設定します。
    [コンソール]
    SWX2300(config)#vlan access-map VAM-001
    SWX2300(config-vlan-access-map)#match mac access-list 2000
    SWX2300(config-vlan-access-map)#exit
    
  9. VLAN #101 に VLANアクセスマップを適用します。
    [コンソール]
    SWX2300(config)#vlan filter VAM-001 101
    SWX2300(config)#
    

設定内容

VLANの設定 vlan database
  vlan 101
  exit
interface ge1
  switchport mode trunk
  switchport trunk allowed vlan add 101
  exit
interface ge2
  switchport mode access
  switchport access vlan 101
  exit
interface ge3
  switchport mode access
  switchport access vlan 101
  exit
interface ge4
  switchport mode access
  switchport access vlan 101
  exit
MACアクセスリストの設定 access-list 2000 permit mac host (許可する端末のMACアドレス) host (サーバーのMACアドレス)
access-list 2000 permit mac host (サーバーのMACアドレス) host (許可する端末のMACアドレス)
access-list 2000 deny mac any host (サーバーのMACアドレス)
access-list 2000 deny mac host (サーバーのMACアドレス) any
access-list 2000 permit mac any any
vlan access-map VAM-001
  match mac access-list 2000
  exit
vlan filter VAM-001 101

設定の確認

・「show mac access-list」コマンドで生成したMACアクセスリストを確認します。

[コンソール]
SWX2300#show mac access-list
MAC access list 2000
	permit mac host (許可する端末のMACアドレス) host (サーバーのMACアドレス)
	permit mac host (サーバーのMACアドレス) host (許可する端末のMACアドレス)
	deny   mac any host (サーバーのMACアドレス)
	deny   mac host (サーバーのMACアドレス) any
	permit mac any any

SWX2300#
[解説]
MACアクセスリスト(ID:2000) には、設定手順6,7で設定した内容が反映されます。コマンドの詳細は、生成したMACアクセスリストの表示をご覧ください。

・「show vlan access-map」コマンドで生成したVLANアクセスマップを確認します。

[コンソール]
SWX2300#show vlan access-map
 VLAN-ACCESS-MAP: VAM-001
 match mac access-list 2000
SWX2300#
[解説]
VLANアクセスマップ(VAM-001)には、設定手順8で設定した内容が反映されます。コマンドの詳細は、VLANアクセスマップの表示をご覧ください。

・「show vlan filter」コマンドでVLANアクセスマップの適用状況を確認します。

[コンソール]
SWX2300#show vlan filter
Vlan Filter VAM-001 is applied to vlan 101
SWX2300#
[解説]
設定手順9で設定した内容が反映されます。コマンドの詳細は、VLANアクセスマップフィルターの表示をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。