- Cisco Mobile Wireless Home Agent の概 要
- Home Agent(HA)の設定プランニング
- 単一 IP インフラストラクチャ
- HA でのホーム アドレス割り当て
- ユーザ認証および認可
- HA の冗長性
- HA でのロード バランシングの設定
- IP 登録の終了
- ダイナミック ドメイン ネーム サーバ(DNS) アップデート
- ユーザ単位パケット フィルタリング
- HA のセキュリティ
- HA のアカウンティング
- Home Agent(HA)でのマルチ VPN ルー ティングおよびフォワーディング(VRF)
- Home Agent(HA)の サービス品質(QoS)
- ユーザ トラフィックのモニタリング
- その他の設定作業
- Home Agent のネットワーク管理、管理情報 ベース(MIB)、および簡易ネットワーク管理 プロトコル(SNMP)
- 用語集
Cisco Mobile Wireless Home Agent リリース 5.2 for Cisco IOS リリース 12.4(22)YD2
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月11日
章のタイトル: ユーザ単位パケット フィルタリング
ユーザ単位パケット フィルタリング
この章では、ユーザ単位パケット フィルタリング、および Cisco IOS Mobile Wireless Home Agent ソフトウェアでのこの機能の実装について説明します。
パケット フィルタリングでのモバイル ユーザ アクセス コントロール リスト(ACL)
Home Agent(HA) は、ユーザ単位パケット フィルタリングをサポートしています。この機能を使用すると、登録要求が正常に認証された場合、Remote Authentication Dial-In User Service(RADIUS)サーバから HA に戻されるアクセス応答に、"inACL" および "outACL" アトリビュートが含まれます。"inACL" および "outACL" アトリビュートは、モビリティ バインディングに適用される HA 上の設定済み Access Control List(ACL; アクセス コントロール リスト)を識別します。入力 ACL は、ユーザからトンネル経由で発信されたトラフィックに適用されます。出力 ACL は、トンネル経由でユーザ宛てに送信されたトラフィックに適用されます。これらのアトリビュートは、標準同期およびバルク同期処理により、スタンバイ HA に同期化されます。
モビリティ バインディングに適用された ACL は、show ip mobile binding コマンドによって表示できます。初回認証時にダウンロードされた ACL だけが適用されます。ライフタイム更新用のモバイル再認証時にダウンロードされた ACL は適用されません。
HA は、各ユーザについて、1 つの入力 ACL 名と 1 つの出力 ACL 名を受け入れます。
この機能でサポートされるのは、名前付き拡張アクセス リストだけです。
(注) 多数のモビリティ バインディングにモバイル ユーザ ACL を適用すると、パフォーマンスが著しく劣化します。
HA では、外部データ ネットワークからの出力パケット、および Foreign Agent または Mobile Node(MN; モバイル ノード)の IP アドレスに基づく入力データ パケットの両方をフィルタリングできます。
トンネル インターフェイス上での ACL の設定
テンプレート トンネル機能を使用して特定のトラフィックをブロックする ACL を設定するには、次の作業を実行します。
|
|
|
|---|---|
Router(config)# interface tunnel 10 ip access-group 150 in -------> apply access-list 150 access-list 150 deny any 10.10.0.0 0.255.255.255 |
トンネルへの ACL 適用の確認
次に、show ip mobile binding コマンドの出力例を示します。
モビリティ バインディングに適用された ACL、アカウンティング セッション ID、およびアカウンティング カウンタ
ネットワーク アクセス識別子(NAI)/レルム単位の入力/出力 アクセス リスト
HA R5.0 は、HA が Authentication, Authorization and Accounting(AAA; 認証、認可、アカウンティング)からの access-response メッセージで ACL 名を受け取った場合に、モバイル ユーザに対してアップストリーム/ダウンストリーム(入力/出力)ACL をサポートします。ただし、AAA が access-response で ACL 名を送信しない場合は、モバイル ユーザに対して入力/出力 ACL を適用できません。HA R5.1 は、トンネル テンプレートを使用するトンネル単位の入力/出力 ACL をサポートしますが、これはそのトンネル上のすべてのユーザに適用されます。特定のユーザまたは一連のユーザだけに ACL を適用することはできません。
•
この機能では、レルム/Network Access Identifier(NAI; ネットワーク アクセス識別子)単位の入力/出力 ACL 名の設定がサポートされます。ACL 名に対応する ACL は、ip access-list extended acl-name コマンドを使用して設定します。
• ACL 名をレルム/NAI に関連付けた後で ACL を修正、更新、作成、または削除すると、その特定の ACL を使用しているモバイル ユーザに修正がただちに適用されます。
• レルム/NAI に関連付けられている入力/出力 ACL 名を変更または追加すると、そのレルム/NAI に属する現在のすべてのバインディングに新しい ACL が適用されます。
• レルム/NAI に関連付けられている入力/出力 ACL 名を削除した場合、削除された ACL は、そのレルム/NAI に属する現在のバインディングに適用されません。
• 入力/出力 ACL 名がレルム/NAI に設定されているかどうかに関係なく、HA が access-response メッセージで入力/出力 ACL 名を受け取ると、AAA から受け取った ACL 名がモバイル ユーザに適用されます。
NAI/レルム機能単位の入力/出力アクセス リストの設定
Cisco HA Release 5.1 で NAI/レルム機能単位の入力/出力アクセス リストをイネーブルにするには、次の作業を実行します。
|
|
|
|
|---|---|---|
Router(config)# ip mobile realm nai | realm in-acl in-acl-name Router(config)# [no] ip mobile realm nai | realm out-acl out-acl-name |
制限事項および制約事項
• レルム/NAI 単位の入力/出力 ACL を設定する場合、名前付き拡張アクセス リストだけがサポートされます。
• セッションに対する最初の正常な access-response で受け取られた ACL 名だけが適用されます。後続の access-response の ACL 名は考慮されません。
フィードバック