- はじめに
- Cisco WAAS の概要
- WAAS ネットワークの計画
- デバイス グループとデバイス位置の使用
- トラフィック代行受信の設定
- ネットワーク設定の構成
- 管理ログインの認証、許可、およびアカウン ティングの設定
- 管理者ユーザ アカウントおよびグループの作 成と管理
- WAAS デバイス用の IP ACL の作成および 管理
- その他のシステム設定の構成
- WAE Device Manager GUI の使用方法
- WAFS の設定
- アプリケーション アクセラレーションの設定
- WAAS レガシー印刷サービスの設定および 管理
- 仮想ブレードの設定
- WAAS システムの保守
- WAAS ネットワークのモニタリングおよび トラブルシューティング
- SNMP モニタリングの設定
- 定義済みのアプリケーション ポリシー
- トランザクション ログ形式
- 索引
Cisco Wide Area Application Services コンフィギュレーション ガイド(software version 4.2.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月29日
章のタイトル: WAAS デバイス用の IP ACL の作成および 管理
WAAS デバイス用の IP ACL の作成および管理
この章では、Wide Area Application Service(WAAS)の Central Manager GUI を使用して、WAAS デバイス用の IP Access Control List(ACL; アクセス コントロール リスト)を集中的に作成し、管理する方法について説明します。
(注) IP ACL 設定の表示、編集、または作成を行うには、admin 特権を持つアカウントを使用して WAAS Central Manager GUI にログインする必要があります。
(注) この章では、ネットワークに存在する WAAS Central Manager と Wide Area Application Engine(WAE)を総称する用語として「WAAS デバイス」を使用します。WAE という用語は、WAE アプライアンス、WAE ネットワーク モジュール(NME-WAE ファミリのデバイス)、および WAAS を実行する SM-SRE モジュールを指します。
WAAS デバイス用の IP ACL について
集中管理される WAAS ネットワーク環境では、管理者がさまざまなデバイスやサービスへの不正アクセスを防止できる必要があります。IP ACL は、WAAS デバイス宛ての IP パケットを許可または拒否できるようにして、パケットを選別できます。
WAAS ソフトウェアは、WAAS デバイスへのアクセスを制限できる標準および拡張 ACL をサポートしています。WAAS ソフトウェアは、次の種類の ACL を使用できます。
•
インターフェイス ACL:組み込みのポート チャネル、およびスタンバイ インターフェイス、およびCisco WAE Inline Network Adapter InlineGroup インターフェイスに対して適用されます。この種類の ACL は、管理トラフィック(Telnet、SSH、および Central Manager GUI)の制御を目的としています。インターフェイス ACL を適用するには、 ip access-group インターフェイス コンフィギュレーション コマンドを使用します。
• 代行受信 ACL:すべてのインターフェイスに適用されます。このタイプの ACL は、どのトラフィックが代行受信されるかを定義します。この ACL で許可されるトラフィックは代行受信され、この ACL で拒否されるトラフィックは WAE を通過します。代行受信 ACL を適用するには、 interception access-list グローバル コンフィギュレーション コマンドを使用します。代行受信 ACL の使用方法の詳細については、「代行受信アクセス コントロール リストの設定」を参照してください。
• Web Cache Communication Protocol(WCCP; Web キャッシュ通信プロトコル)ACL:着信 WCCP リダイレクト トラフィックに適用され、外部サーバと外部クライアント間のアクセスを制御します。WAE は、ファイアウォールと同様に機能します。WCCP ACL を適用するには、 wccp access-list グローバル コンフィギュレーション コマンドを使用します。
• Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)ACL:SNMP エージェントに適用され、SNMP MIB または SNMP 統計情報をポーリングする外部 SNMP サーバによって SNMP エージェントへのアクセスを制御します。SNMP ACL を適用するには、 snmp-server access-list グローバル コンフィギュレーション コマンドを使用します。
• トランザクション ログ フロー ACL:トランザクション ログ機能に適用され、トランザクションのログへの記録を制限します。トランザクション ログ ACL を適用するには、 transaction-logs flow access-list グローバル コンフィギュレーション コマンドを使用します。
次の例は、WAAS デバイスが存在する環境で、インターフェイス ACL を使用する方法を示しています。
• WAAS デバイスは、顧客の施設に常駐し、サービス プロバイダーによって管理され、サービス プロバイダーはその管理のためだけにデバイスの安全性を確保する必要があります。
• WAAS デバイスは、企業内の任意の場所に配置されます。ルータおよびスイッチと同様に、管理者は、Telnet、SSH、および WAAS Central Manager GUI から IT ソース サブネットへのアクセスを制限する必要があります。
ACL を使用するには、最初に ACL を設定し、次に WAAS デバイス上の特定のサービスやインターフェイスに ACL を適用する必要があります。次に、さまざまな企業展開にインターフェイス ACL を使用する方法の例を示します。
• 外部インターフェイスを要塞化したアプリケーション層プロキシ ファイアウォールには、公開されるポートがありません。「要塞化」とは、主にセキュリティの理由から、インターフェイスがアクセスに使用できるポートを慎重に制限することです。インターフェイスは外部に存在するため、さまざまな攻撃の可能性があります。WAAS デバイスの外部アドレスはインターネットからグローバルにアクセスでき、内部アドレスはプライベートです。内部インターフェイスには、Telnet、SSH、および GUI アクセスを制限する ACL があります。
• WCCP を使用している WAE は、インターネット ルータから独立したサブネットに配置されます。WAE とルータの両方に IP ACL が必要です。ルータ上の IP アクセス リストは、最高の優先順位を持ち、WAE に定義された IP ACL より優先します。
(注) WAAS CLI の代わりに WAAS Central Manager GUI を使用して、ACL を集中的に設定し、WAAS デバイスに適用することを強く推奨します。詳細については、「WAAS デバイス用の IP ACL の作成と管理」を参照してください。
WAAS デバイス用の IP ACL の作成と管理
この項では、WAAS Central Manager GUI を使用して、WAAS デバイス用の IP ACL を作成し、管理するためのガイドラインと例を提供します。
IP ACL を作成するときは、次の重要事項に注意する必要があります。
• IP ACL 名はデバイス内で一意でなければなりません。
• IP ACL 名は 30 文字以内に制限され、余白や特殊文字を使用できません。
• 1 台の WAAS Central Manager デバイスで、最大 50 個の IP ACL とデバイス当たり合計 500 個の条件を管理できます。
• IP ACL 名が数値の場合、1 ~ 99 は標準の IP ACL を表し、100 ~ 199 は拡張 IP ACL を表します。数字で始まる IP ACL 名には、数字以外の文字を使用できません。
• WAAS Central Manager GUI を使用すると、標準の IP ACL を SNMP と WCCP に関連付けることができます。ACL に関連付けられたこのようなアプリケーションにアクセスしようとするデバイスは、アクセスを許可されるために信頼されるデバイスのリストに含まれる必要があります。
• すでに設定されている任意の標準 IP ACL を SNMP と WCCP に関連付けることができます。ただし、拡張 IP ACL は、WCCP アプリケーションだけに関連付けることができます。
• すべての条件とネットワーク インターフェイスやアプリケーションとの関連付けを含む IP ACL を削除できます。あるいは、IP ACL 条件だけ削除できます。すべての条件を削除すると、必要に応じ、IP ACL の種類を変更できます。IP ACL 項目はその後も IP ACL リストに現れますが、実質的には存在しません。
• WAAS によって使用される任意の種類の ACL に対して空の ACL を指定すると、すべてのトラフィックが許可されます。
WAAS Central Manager GUI を使用して、1 台の WAE 用の IP ACL を作成し、変更する方法と、IP ACL をアプリケーションに関連付け、WAE 上のインターフェイスに適用するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices] を選択します。
ステップ 2 IP ACL を作成するデバイス(たとえば、bd-s14 という名前のデータセンターの WAE)の名前の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Network] > [TCP/IP Settings] > [IP ACL] を選択します。
[IP ACL] ウィンドウが表示されます。デフォルトでは、WAE 用の IP ACL は、定義されていません。[IP ACL] ウィンドウで、現在、WAE 用の IP ACL が設定されていないかどうかを確認します。
ステップ 4 タスクバーで、[Create a new IP ACL] アイコンをクリックします。
[Creating New IP ACL] ウィンドウが表示されます。次のようにフィールドに入力します。
• [Name] フィールドで、IP ACL の命名規則に従って名前(たとえば、test1)を入力します。
デフォルトで、この新しい IP ACL は、標準 ACL として作成されます。
(注) IP ACL 名は、デバイス内で一意であり、30 文字以内でなければならず、余白や特殊文字を使用できません。
• このデフォルト設定を変更して、この新しい ACL を拡張 ACL として作成する場合は、[ACL Type] ドロップダウン リストから [Extended] を選択します。
ステップ 5 [Submit] をクリックして、test1 という名前の IP ACL を保存します。条件が定義されていない IP ACL は、個々のデバイスに表示されません。
ステップ 6 作成した test1 という名前の標準 IP ACL に条件を追加します。
a. タスクバーで、[Create New Condition] アイコンをクリックします。
[Creating New Condition] ウィンドウが表示されます(図 8-1 を参照)。
(注) IP ACL の条件を作成するために使用できるフィールドの数は、作成した IP ACL の種類(標準または拡張)によって異なります。
図 8-1 [Extended IP ACL] ウィンドウでの新しい状態の作成
b. 次のように、作成している IP ACL の種類に有効になっているプロパティの値を入力します。
– 標準 IP ACL 用の条件を設定するには、ステップ 7 へ進みます。
– 拡張 IP ACL 用の条件を設定するには、ステップ 8 へ進みます。
a. ドロップダウン リストから、目的([Permit] または [Deny])を選択します。
b. [Source IP] フィールドで、送信元の IP アドレスを入力します。
c. [Source IP Wildcard] フィールドで、送信元の IP アドレスのワイルドカードを入力します。
[Modifying IP ACL] ウィンドウが再表示され、条件と設定されたパラメータが表形式で表示されます。
e. IP ACL に別の条件を追加するには、上記の手順を繰り返します。
f. [Modifying IP ACL] ウィンドウから条件のリストの順序を変更するには、[Move] 列の上向き矢印または下向き矢印を使用するか、列見出しをクリックして、任意の設定済みパラメータで並べ替えます。
(注) WAAS Central Manager GUI に表示される条件の順序は、IP ACL がデバイスに適用される順序になります。
g. IP ACL への条件の追加が完了し、すべての項目と条件の表示順序に満足したら、[Modifying IP ACL] ウィンドウの [Submit] をクリックして、デバイス データベースに IP ACL を確定します。
[Modifying IP ACL] ウィンドウの右下部に緑色の「Change submitted」インジケータが表示され、IP ACL がデバイス データベースに送信中であることを示します。 表 8-1 で、標準 IP ACL のフィールドについて説明します。
|
|
|
|
|---|---|---|
[Purpose]*1 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定したパケットの送信元ネットワークまたはホストの番号 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定した送信元に適用するワイルドカード ビット。無視するビット位置には 1、意味のあるビット位置には 0 を入れます。 |
a. ドロップダウン リストから、目的([Permit] または [Deny])を選択します。
b. [Extended Type] ドロップダウン リストから、[Generic]、[TCP]、[UDP]、または[ICMP] を選択します( 表 8-2 を参照)。
|
|
|
|
|---|---|---|
[Purpose]*2 |
||
| 選択すると、[GUI] ウィンドウがリフレッシュされ、該当するフィールド オプションが有効になります。オプションは、[generic]、[TCP]、[UDP]、または [ICMP] です。 |
拡張 IP ACL の種類を選択すると、選択した種類によって GUI でさまざまなオプションが使用できるようになります。
c. 選択した種類に有効になったフィールドで、データを入力します(詳細については、 表 8-4 ~ 表 8-7 を参照してください)。
[Modifying IP ACL] ウィンドウが再表示され、条件と設定されたパラメータが表形式で表示されます。
e. IP ACL に別の条件を追加するには、上記の手順を繰り返します。
f. [Modifying IP ACL] ウィンドウから条件のリストの順序を変更するには、[Move] 列の上向き矢印または下向き矢印を使用するか、列見出しをクリックして、任意の設定済みパラメータで並べ替えます。
(注) WAAS Central Manager GUI に表示される条件の順序は、IP ACL がデバイスに適用される順序になります。
g. IP ACL への条件の追加が完了し、すべての項目と条件の表示順序に満足したら、[Modifying IP ACL] ウィンドウの [Submit] をクリックして、デバイス データベースに IP ACL を確定します。
[Modifying IP ACL] ウィンドウの右下部に緑色の「Change submitted」インジケータが表示され、IP ACL がデバイス データベースに送信中であることを示します。
ステップ 9 IP ACL から個々の状態を変更または削除します。
a. 変更する IP ACL の名前の横にある [Edit] アイコンをクリックします。[Modifying IP ACL] ウィンドウが表示され、現在、IP ACL に適用されているすべての条件が表示されます。
b. 変更または削除する条件の横にある [Edit Condition] アイコンをクリックします。[Modifying Condition] ウィンドウが表示されます。
c. 条件を変更するには、必要に応じて使用できるフィールドを変更します。
d. 条件を削除するには、タスクバーの [Trash]([Delete IP ACL Condition])アイコンをクリックします。
e. 条件のリストの順序を変更するには、[Move] 列の上向き矢印または下向き矢印を使用し、[Submit] をクリックします。
ステップ 10 標準 IP ACL を SNMP または WCCP に関連付けます。
a. 標準 IP ACL を SNMP または WCCP に関連付けるデバイスの名前の横にある [Edit] アイコンをクリックします。
b. ナビゲーション ペインで、[Configure] > [Network] > [TCP/IP Settings] > [IP ACL Feature Usage] を選択します。[IP ACL Feature Settings] ウィンドウが表示されます。
c. ドロップダウン リストから、SNMP または WCCP 用の IP ACL の名前を選択します(詳細については、 表 8-3 を参照してください)。IP ACL をアプリケーションに関連付けない場合は、[Do Not Set] を選択します。
ステップ 11 IP ACL をインターフェイスに適用します。
a. IP ACL を WAE 上のインターフェイスに適用するデバイスの名前の横にある [Edit] アイコンをクリックします。
b. ナビゲーション ペインで、[Configure] > [Network] > [Network Interfaces] を選択します。
デバイス用の [Network Interfaces] ウィンドウが表示されます。このウィンドウは、そのデバイスで使用できるすべてのインターフェイスを表示します。
(注) [Port Type] 列には、EtherChannel 設定を示すポートチャネル インターフェイスが含まれる場合があります。WAAS ソフトウェア用の EtherChannel では、最大 4 個の同じ速度のネットワーク インターフェイスを 1 つの仮想インターフェイスにグループ化することができます。
c. IP ACL を適用するインターフェイスの名前の横にある [Edit] アイコンをクリックします。[Modifying Network Interface] ウィンドウが表示されます。
d. ウィンドウの下部へスクロールします。[Inbound ACL] ドロップダウン リストから、IP ACL の名前を選択します。
e. [Outbound ACL] ドロップダウン リストから、ACL の名前を選択します。
WAAS Central Manager GUI から変更できるネットワーク インターフェイス プロパティはインバウンド IP ACL とアウトバウンド IP ACL だけです。他のすべてのプロパティの値はデバイス データベースから入力され、WAAS Central Manager GUI では読み取り専用です。
ステップ 12 [Submit] をクリックして、設定を保存します。
ステップ 13 代行受信されるトラフィックの定義に IP ACL を使用する方法については、「代行受信アクセス コントロール リストの設定」を参照してください。
a. 削除する IP ACL を持つデバイスの名前の横にある [Edit] アイコンをクリックします。
b. ナビゲーション ペインで、[Configure] > [Network] > [TCP/IP Settings] > [IP ACL] を選択します。
c. 削除する IP ACL の名前(たとえば、test1)の横にある [Edit] アイコンをクリックします。
[Modifying IP ACL] ウィンドウが表示されます。IP ACL 用の条件を作成した場合は、2 つの削除オプションがあります。
– [Delete ACL]:すべての条件とネットワーク インターフェイスやアプリケーションとの関連付けを含む IP ACL を削除します。
– [Delete All Conditions]:すべての条件を削除しますが、IP ACL 名は保持されます。
d. IP ACL 全体を削除するには、タスクバーの大型 [Trash]([Delete ACL])アイコンをクリックします。処理を確認するプロンプトが表示されます。[OK] をクリックします。記録が削除されます。
e. 条件だけを削除するには、タスクバーの小型 [Delete All Conditions Trash/List] アイコンをクリックします。処理を確認するプロンプトが表示されたら、[OK] をクリックします。ウィンドウがリフレッシュされ、条件が削除され、[ACL Type] フィールドが使用できるようになります。
CLI から IP ACL を定義するには、 ip access-list グローバル コンフィギュレーション コマンドを使用でき、WAAS デバイス上のインターフェイスに IP ACL を適用するには、 ipaccess-group インターフェイス コンフィギュレーション コマンドを使用できます。SNMP 用の IP ACL の使用を設定するには、 snmp-server access-list グローバル コンフィギュレーション コマンドを使用できます。WAE が受信する着信 WCCP リダイレクト トラフィックに適用する IP ACL を指定するには、 wccp access-list グローバル コンフィギュレーション コマンドを使用できます。代行受信 ACL を設定するには、 interception access-list グローバル コンフィギュレーション コマンドを使用します。
拡張 IP ACL 条件のリスト
拡張 IP ACL 用の条件を定義するときは、(「WAAS デバイス用の IP ACL の作成と管理」のステップ 8 の説明に従って)条件に適用するインターネット プロトコルを指定できます。
• Generic( 表 8-4 を参照)
• TCP( 表 8-5 を参照)
• UDP( 表 8-6 を参照)
• ICMP( 表 8-7 を参照)
|
|
|
|
|---|---|---|
[Purpose]*3 |
||
インターネット プロトコル([gre]、[icmp]、[ip]、[tcp]、または [udp])。任意のインターネット プロトコルと一致するには、キーワード ip を使用します。 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定したパケットの送信元ネットワークまたはホストの番号 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定した送信元に適用するワイルドカード ビット。無視するビット位置には 1、意味のあるビット位置には 0 を入れます。 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定したパケットの送信先ネットワークまたはホストの番号 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定した送信元に適用するワイルドカード ビット。無視するビット位置には 1、意味のあるビット位置には 0 を入れます。 |
|
|
|
|
|---|---|---|
[Purpose]*4 |
||
選択すると、TCP データグラムに Acknowledgment(ACK; 確認応答)または RST ビットが設定され、確立した接続を示す場合、ACL 条件との照合が行われます。接続を形成するために使用される初期の TCP データグラムは照合されません。 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定したパケットの送信元ネットワークまたはホストの番号 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定した送信元に適用するワイルドカード ビット。無視するビット位置には 1、意味のあるビット位置には 0 を入れます。 |
||
TCP ポートの 10 進番号または名前。有効なポート番号は、0 ~ 65535 です。有効な TCP ポート名は、ftp、ftp-data、https、mms、netbios-dgm、netbios-ns、netbios-ss、nfs、rtsp、ssh、telnet、および www です。 |
||
送信元ポートと着信パケットを比較する方法を指定します。[<]、[>]、[==]、[!=]、または [range] の中から選択します。 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定したパケットの送信先ネットワークまたはホストの番号 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定した送信元に適用するワイルドカード ビット。無視するビット位置には 1、意味のあるビット位置には 0 を入れます。 |
||
TCP ポートの 10 進番号または名前。有効なポート番号は、0 ~ 65535 です。有効な TCP ポート名は、ftp、ftp-data、https、mms、netbios-dgm、netbios-ns、netbios-ss、nfs、rtsp、ssh、telnet、および www です。 |
||
送信先ポートと着信パケットを比較する方法を指定します。[<]、[>]、[==]、[!=]、または [range] の中から選択します。 |
||
|
|
|
|
|---|---|---|
[Purpose]*5 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定したパケットの送信元ネットワークまたはホストの番号 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定した送信元に適用するワイルドカード ビット。無視するビット位置には 1、意味のあるビット位置には 0 を入れます。 |
||
UDP ポートの 10 進番号または名前。有効なポート番号は、0 ~ 65535 です。有効な UDP ポート名は、bootpc、bootps、domain、mms、netbios-dgm、netbios-ns、netbios-ss、nfs、ntp、snmp、snmptrap、tacacs、tftp、および wccp です。 |
||
送信元ポートと着信パケットを比較する方法を指定します。[<]、[>]、[==]、[!=]、または [range] の中から選択します。 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定したパケットの送信先ネットワークまたはホストの番号 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定した送信元に適用するワイルドカード ビット。無視するビット位置には 1、意味のあるビット位置には 0 を入れます。 |
||
UDP ポートの 10 進番号または名前。有効なポート番号は、0 ~ 65535 です。有効な UDP ポート名は、bootpc、bootps、domain、mms、netbios-dgm、netbios-ns、netbios-ss、nfs、ntp、snmp、snmptrap、tacacs、tftp、および wccp です。 |
||
送信先ポートと着信パケットを比較する方法を指定します。[<]、[>]、[==]、[!=]、または [range] の中から選択します。 |
||
|
|
|
|
|---|---|---|
[Purpose]*6 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定したパケットの送信元ネットワークまたはホストの番号 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定した送信元に適用するワイルドカード ビット。無視するビット位置には 1、意味のあるビット位置には 0 を入れます。 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定したパケットの送信先ネットワークまたはホストの番号 |
||
10 進表記の 4 つの部分をドットで区切った 32 ビット量として指定した送信元に適用するワイルドカード ビット。無視するビット位置には 1、意味のあるビット位置には 0 を入れます。 |
||
[None]、[Type/Code]、または [Msg] の中から選択します。 [None]:[ICMP Type]、[Code]、および [Message] フィールドを無効にします。 [Type/Code]:ICMP メッセージの種類とコードで ICMP メッセージを選別できます。また、ICMP メッセージ コード番号を設定する機能を有効にできます。 [Msg]:キーワードを使用して、種類とコードの組み合せを指定できます。[ICMP message] ドロップダウン リストをアクティブにします。[ICMP Type] フィールドを無効にします。 |
||
0 ~ 255 の数字。特定の種類の ICMP メッセージを ICMP メッセージ コードでさらに選別できるメッセージ コード オプション |
フィードバック