3
ユーザー認証
CLI – こ の例では、 ポー ト 4 の 802.1x 統計情報を表示 し ています。
管理ア ク セス用の IP ア ド レ スの フ ィ ル タ リ ン グ
ウ ェ ブ イ ン タ ー フ ェ ース、SNMP、 ま たは Telnet によ る ス イ ッ チへの管理ア ク セス を許可す る IP ア ド レ ス または IP ア ド レ ス グループ を最大 16 個作成で き ます。
コ マ ン ド の使用
• デ フ ォ ル ト では、 管理イ ン タ ー フ ェ ースはすべての IP ア ド レ スに開かれています。 フ ィ ル タ リ ス ト にエ ン ト リ を追加する と 、 そのイ ン タ ー フ ェ ースへのア ク セ スは指定 し たア ド レ スに制限 さ れます。
• 無効な ア ド レ スか ら ス イ ッ チ上の管理イ ン タ ー フ ェ ースにア ク セ ス し よ う と し た場合、 ス イ ッ チによ っ て接続が拒否 さ れます。 また、 イ ベン ト メ ッ セージがシ ス テム ログに記録 さ れ、 ト ラ ッ プ メ ッ セージが ト ラ ッ プ マネージ ャ に送信 さ れます。
• IP ア ド レ スは SNMP、 ウ ェ ブ、 および Telnet ア ク セ ス用に個別に構成で き ます。 こ れら の 各グループには個々のア ド レ ス またはア ド レ ス範囲を最大 5 つ追加で き ます。
• 同 じ グループ (SNMP、 ウ ェ ブ、 または Telnet) のア ド レ ス を入力する際は、 重複 し たア ド レ ス範囲を指定する こ と はで き ません。 グループが異な っ ていれば、 ア ド レ ス範囲が重 複 し ていて も 構いません。
• 指定 し た範囲か ら 個々のア ド レ ス を削除する こ と はで き ません。 範囲全体を削除 し 、 ア ド レ ス を再入力する必要があ り ます。
• ア ド レ ス範囲を削除する には、 開始ア ド レ ス を指定するか、 開始ア ド レ ス と 終了ア ド レ ス を両方指定 し ます。
コ マ ン ド 属性
• 「Web IP Filter」 – ウ ェ ブ グループの IP ア ド レ ス を構成 し ます。
• 「SNMP IP Filter」 – SNMP グループの IP ア ド レ ス を構成 し ます。
• 「Telnet IP Filter」 – Telnet グループの IP ア ド レ ス を構成 し ます。
• 「IP Filter List」 – このイ ン タ ー フ ェ ースへの管理ア ク セス を許可する IP ア ド レ ス
• 「Start IP Address」 – 単一の IP ア ド レ ス または範囲の開始ア ド レ ス
• 「End IP Address」 – 範囲の終了ア ド レ ス
Console#show dot1x statistics interface ethernet 1/4 4-83 Eth 1/4
Rx: EAPOL EAPOL EAPOL EAPOL EAP EAP EAP Start Logoff Invalid Total Resp/Id Resp/Oth LenError 2 0 0 1007 672 0 0 Last Last
EAPOLVer EAPOLSrc
1 00-00-E8-98-73-21 Tx: EAPOL EAP EAP Total Req/Id Req/Oth 2017 1005 0 Console#
3
ユーザー認証
ウ ェ ブ – 「Security」 、 「IP Filter」 の順に ク リ ッ ク し ます。 イ ン タ ー フ ェ ースへの管理ア ク セ ス を許可する ア ド レ ス を入力 し 、 「Add IP Filtering Entry」 を ク リ ッ ク し ます。
図3-30. IP フ ィ ル タ
CLI – こ の例では、 特定ク ラ イ ア ン ト に SNMP ア ク セス を許可 し ています。
Console(config)#management snmp-client 10.1.2.3 4-28 Console(config)#end
Console#show management all-client Management Ip Filter
Http-Client:
Start ip address End ip address
---Snmp-Client:
Start ip address End ip address
---1. 10.---1.2.3 10.1.2.3
Telnet-Client:
Start ip address End ip address
---Console#
ア ク セス制御 リ ス ト
ア ク セス制御 リ ス ト (ACL) に よ り 、IP フ レ ーム (ア ド レ ス、 プ ロ ト コ ル、 レ イ ヤー 4 プ ロ ト コル ポー ト 番号、 ま たは TCP 制御 コ ー ド に基づ く ) または任意の フ レーム (MAC ア ド レ ス またはイ ーサネ ッ ト タ イ プに基づ く ) のパケ ッ ト を フ ィ ル タ リ ングで き ます。 着信パケ ッ ト を フ ィ ル タ リ ン グす る には、 まずア ク セ ス リ ス ト を作成 し 、 必要なルールを追加 し ます。
次に、 ルールを チ ェ ッ ク す る優先順位を変更する ためのマ ス ク を指定 し 、 こ の リ ス ト を特定 のポー ト にバイ ン ド し ます。
ア ク セス制御 リ ス ト の構成
ACL は、IP ア ド レ ス、MAC ア ド レ ス、 ま たはよ り 限定的な基準に適用 さ れる許可ま たは拒 否条件のシーケ ン シ ャル リ ス ト です。こ のス イ ッ チでは ACL の条件に従っ て イ ング レ ス また はイ グ レ ス パケ ッ ト が 1 つずつテ ス ト さ れます。 許可ルールに合致 し たパケ ッ ト は即座に受 理 さ れ、 拒否ルールに合致 し たパケ ッ ト は即座に破棄 さ れます。 ま た、 どの許可ルールに も 合致 し ないパケ ッ ト は破棄 さ れ、 どの拒否ルールに も合致 し ないパケ ッ ト は受理 さ れます。
ポー ト への ACL ルールのバ イ ン ド ま たはルールに関連付け る キ ュ ーま たは フ レ ームのプ ラ イ オ リ テ ィ の設定を行 う 前に、 ルールのマス ク を構成する必要があ り ます。 これを行 う には、
ACL ルールのチ ェ ッ ク 順序を制御する マス ク を指定 し ます。 ス イ ッ チには、 イ ング レ ス ACL で指定 さ れた許可/拒否ルールに合致 し たパケ ッ ト を通過/除外する 2 つのシ ス テム デ フ ォ ル ト マス ク が備わ っ ています。 こ のほか、 イ ン グ レ ス またはイ グ レ ス ACL 用にユーザー定義 のマス ク を最大 7 個ま で定義で き ます。
コ マ ン ド の使用
ACL には次の制約が適用 さ れます。
• 各 ACL は最大 32 個のルールで構成で き ます。
• ACL の最大数も 32 個です。
• ただ し 、 リ ソ ースの制約上、 ポー ト にバイ ン ド するルールの平均数が 20 個を超えないよ う に し て く だ さ い。
• ポー ト への ACL ルールのバイ ン ド またはルールに関連付けるキ ュ ーま たはフ レームのプ ラ イ オ リ テ ィ の設定を行 う 前に、 ルールのマス ク を構成する必要があ り ます。
• ACL を イ グ レ ス フ ィ ル タ と し て イ ン タ ー フ ェ ースにバイ ン ド する場合、ACL のすべてのエ ン ト リ は拒否ルールであ る必要があ り ます。 そ う でない場合、 バイ ン ド オペ レーシ ョ ンが 失敗する場合があ り ます。
• ス イ ッ チでは、 イ グ レ ス IP ACL またはイ グ レ ス MAC ACL において明示的な 「deny any any」 ルールはサポー ト さ れません。 このよ う なルールが ACL に含まれている場合、 イ グ レ ス チ ェ ッ クのために ACL を イ ン タ ー フ ェ ースにバイ ン ド し よ う と する と 、 バイ ン ド オ ペ レーシ ョ ンが失敗する場合があ り ます。
3
ア ク セ ス制御 リ ス ト
ア ク テ ィ ブ な ACL のチ ェ ッ ク 順序は次の と お り です。
1. イ グ レ ス ポー ト のイ グ レ ス MAC ACL に含まれるユーザー定義のルール 2. イ グ レ ス ポー ト のイ グ レ ス IP ACL に含まれるユーザー定義のルール 3. イ ング レ ス ポー ト のイ ン グ レ ス MAC ACL に含まれるユーザー定義のルール 4. イ ング レ ス ポー ト のイ ン グ レ ス IP ACL に含まれるユーザー定義のルール 5. イ ング レ ス ポー ト のイ ン グ レ ス IP ACL に含まれる明示的なデ フ ォ ル ト ルール
(permit any any)
6. イ ング レ ス ポー ト のイ ン グ レ ス MAC ACL に含まれる明示的なデ フ ォル ト ルール
(permit any any)
7. どの明示的ルールに も合致 し ない場合の暗黙的デ フ ォ ル ト は permit all です。