WAP121およびWAP321アクセスポイントでのIPv6ベースアクセスコントロールリスト(ACL)のルールの作成と設定

目的

アクセスコントロールリスト(ACL)は、セキュリティの向上に使用されるネットワークトラフィックフィルタと関連付けられたアクションのリストです。アクセスコントロールリストには、ネットワークデバイスへのアクセスを許可または拒否するホストが含まれます。QoS機能には、トラフィックをストリームに分類し、定義されたホップ単位の動作に従って特定のQoS処理を行うことができるDiffServ(DiffServ)サポートが含まれています。

この記事では、WAP121およびWAP321アクセスポイントでIPv6 ACLを作成および設定する方法について説明します。

該当するデバイス

・ WAP121
・ WAP321

[Software Version]

・ v1.0.3.4

IPv6ベースのACL設定

IP ACLは、IPスタックのレイヤ3のトラフィックを分類します。各ACLは、ワイヤレスクライアントから送信されるか、ワイヤレスクライアントによって受信されるトラフィックに適用される最大10のルールのセットです。各ルールは、ネットワークへのアクセスを許可または拒否するために、特定のフィールドの内容を使用するかどうかを指定します。ルールはさまざまな基準に基づいて設定でき、送信元または宛先IPアドレス、送信元または宛先ポート、パケットで伝送されるプロトコルなど、パケット内の1つ以上のフィールドに適用できます。

IPv6 ACLの作成

ステップ1：アクセスポイント設定ユーティリティにログインし、[Client QoS] > [ACL]を選択します。[ACL]ページが開きます。

ステップ2:[ACL Name]フィールドにACLの名前を入力します。

ステップ3:[ACL Type]ドロップダウンリストからACLのIPv6タイプを選択します。

ステップ4:[Add ACL]をクリックして、新しいIPv6 ACLを作成します。

IPv6 ACLのルールの設定

ステップ1:[ACL Name-ACL Type]ドロップダウンリストからルールを設定するACLを選択します。

ステップ2：選択したACLに対して新しいルールを設定する必要がある場合は、[Rule]ドロップダウンリストから[New Rule]を選択します。それ以外の場合は、「規則」(Rule)ドロップダウンリストから現在の規則のいずれかを選択します。

注：1つのACLに対して最大10のルールを作成できます。

ステップ3:[Action]ドロップダウンリストからACLルールのアクションを選択します。

・ Deny：ルール基準を満たすすべてのトラフィックをブロックして、WAPデバイスに出入りします。

・ Permit：ルール基準を満たすすべてのトラフィックがWAPデバイスに出入りできるようにします。

注意：permitまたはdenyを選択すると、すべてのルールの最後に暗黙的なdenyが常に存在するため、permitルールを追加してトラフィックを許可する必要があります。

ステップ4:[Match Every Packet]チェックボックスをオンにすると、その内容に関係なく、すべてのフレームまたはパケットのルールに一致します。追加の一致基準のいずれかを構成する場合は、[すべてのパケットに一致する(Match Every Packet)]チェックボックスをオフにします。

タイムサーバ：[Match Every Packet]チェックボックスをオンにした場合は、ステップ12に進みます。

ステップ5:IPv6パケットの[IP Protocol]フィールドの値に基づいて、L3（IPスタックのネットワークおよびトランスポート層）またはL4（IPスタックのネットワークおよびトランスポート層）プロトコル一致条件を有効にする[プロトコル]チェックボックスをオンにします。[Protocol]チェックボックスがオンになっている場合は、次のいずれかのオプションボタンをクリックします。

・ Select From List — [Select From List]ドロップダウンリストからプロトコルを選択します。ドロップダウンリストには、ip、icmp、igmp、tcp、udpプロトコルがあります。

・ Match to Value：リストに表示されていないプロトコルの場合。標準のIANA割り当てプロトコルIDの範囲として0 ～ 255を入力します。

ステップ6:[Source IPv6 Address]チェックボックスをオンにして、照合条件に送信元のIPアドレスを含めます。相対フィールドに、送信元のIPv6アドレスとIPv6プレフィクス長を入力します。

ステップ7:[Source Port]チェックボックスをオンにして、一致条件に送信元ポートを含めます。[Source Port]チェックボックスがオンになっている場合は、次のいずれかのオプションボタンをクリックします。

・ Select From List — [Select From List]ドロップダウンリストから送信元ポートを選択します。ドロップダウンリストには、ftp、ftpdata、http、smtp、snmp、telnet、tftp、wwwの各ポートがあります。

・ Match to Port：リストに表示されていない送信元ポートの場合。0 ～ 65535の範囲で、3種類のポートを含むポート番号を入力します。

- 0 ～ 1023 – 既知のポート。サーバプロセスがコンタクトポートとして使用するポート。コンタクトポートは、ウェルノウンポートと呼ばれることもあります。

- 1024 ～ 49151：登録ポート。特定のプロトコルまたはアプリケーションに使用されるネットワークポートです。

- 49152 ～ 65535：ダイナミックポートおよび/またはプライベートポート。ダイナミックポートは、IANAなどの管理機関によって管理されておらず、特別な使用制限はありません。

ステップ8:[Destination IPv6 Address]チェックボックスをオンにして、照合条件に宛先のIPアドレスを含めます。相対フィールドに、宛先のIPv6アドレスとIPv6プレフィクス長を入力します。

ステップ9:[Destination Port]チェックボックスをオンにして、照合条件に宛先ポートを含めます。[Destination Port]チェックボックスがオンになっている場合は、次のいずれかのオプションボタンをクリックします。

・ Select From List — [Select From List]ドロップダウンリストから宛先ポートを選択します。ドロップダウンリストには、ftp、ftpdata、http、smtp、snmp、telnet、tftp、wwwの各ポートがあります。

・ Match to Port：リストに表示されていない宛先ポートの場合。0 ～ 65535の範囲で、3種類のポートを含むポート番号を入力します。

- 0 ～ 1023 – 既知のポート。

- 1024 ～ 49151：登録ポート。

- 49152 ～ 65535：ダイナミックポートおよび/またはプライベートポート。

ステップ10:[IPv6 Flow label]チェックボックスをオンにして、照合条件にIPv6フローラベルを含めます。IPv6ヘッダーの20ビットフローラベルフィールドは、送信元が同じフローに属する一連のパケットにラベル付けするために使用できます。[IPv6 Flow label]フィールドに00000 ～ FFFFFの範囲の数値を入力します。 

ステップ11:[IP DSCP]チェックボックスをオンにして、照合条件にIP DSCP値を含めます。[IP DSCP]チェックボックスがオンになっている場合は、次のいずれかのオプションボタンをクリックします。

・ Select From List — IP DSCP値を選択し、[Select From List]ドロップダウンリストから選択します。ドロップダウンリストには、DSCP Assured Forwarding(AS)、Class of Service(CS)、またはExpedited Forwarding(EF)の値があります。

・ Match to Value:0 ～ 63の範囲のDSCP値をカスタマイズします。

ステップ12:（オプション）設定済みのACLを削除する場合は、[ACLの削除]チェックボックスをオンにします。

ステップ13:[Save]をクリックして、設定を保存します。