URL ACL（Enhanced）導入ガイド

URL ACL（Enhanced）導入ガイド

はじめに 2 前提条件 2 使用されるコンポーネント 2 表記法 2 機能概要 2 URL フィルタリングの設定 4 URL ACL の設定の移行 17

Revised: June 26, 2017,

はじめに

このドキュメントでは、URL ACL（Enhanced）機能と、その導入についての一般的なガイドラインについて説明しま す。このドキュメントでは、次のことを目的としています。 • URL ACL（Enhanced）機能の概要説明 •サポートされている主要機能のハイライト • WLC での URL ACL（Enhanced）機能の導入と管理の詳細説明

前提条件

8.4 コードにアップグレードするには、ワイヤレス LAN コントローラに AireOS 8.0 以降のリリースがインストールさ れている必要があります。

使用されるコンポーネント

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このマニュアルで使用さ れるデバイスはすべて、初期設定（デフォルト）の状態から作業が開始されています。ネットワークが稼働中の場合 は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『Cisco Technical Tips Conventions』を参照してください。

機能概要

URL フィルタリング機能により、Web サイトへのアクセスを制限することでネットワーク帯域幅の使用が最適化され ます。この機能では、DNS スヌーピングを使用して、DNS サーバからワイヤレス クライアントに送信される DNS 応 答をスヌープします。HTTP や HTTPS を含むあらゆるプロトコルで URL を制限する ACL ベースの実装です。

実装

URL フィルタリング ACL は一連の URL のリストとして定義されます。このリストでは、すべての URL の拒否または 許可アクションと関連付けられます。ACL タイプは、ホワイトリストまたはブラックリストのどちらかとなります。 ホワイトリスト ルールとブラックリスト ルールの混在はサポートされていません。外部サーバの IP アドレスが設定さ れます。このアドレスは、アクセス URL が設定によりブロックされた際にブロック ページをクライアントにリダイレ クトするために使用されます。

ワーク フロー

クライアントへの DNS 応答は WLC によってスヌープされます。URL が設定（ACL ルール）によって許可されていれ ば、DNS 応答はクライアントに送信されます。URL が設定（ACL ルール）によって許可されていない場合、解決済み IP は外部サーバの IP（後ほど設定します）で上書きされてクライアントに返されます。この外部サーバはブロックペー ジをクライアントにリダイレクトします。ACL で拒否された DNS 応答と許可された DNS 応答の数はリアルタイムで 確認できます。

設定手順

1 _{ACL をホワイトリストまたはブラックリストとして設定し、ドメインへのアクセスを許可または拒否する} 2 _{外部サーバの IP アドレスを設定する} 3 _{作成した URL ACL を次のいずれかに関連付ける} •インターフェイス • WLAN •ローカル ポリシー（最高優先順位） すべてのプロトコルに対して、指定したドメインへの参照が制限されます。

プラットフォームのサポート

1 _{この機能は 5520 と 8540 でサポートされます。5508、8510、vWLC、2504、ME ではサポートされません。}

2 _{ローカル モードと [Flex central switching] でのみサポートされます。}

考慮事項

1 •_{ワイルドカード サポート（「*.domain.com」など）} 1 _{最大 10 件} 2 _{ワイルドカード 1 つ当たりサブドメイン 5 つ} 2 _{URL フィルタリングには次のものが含まれます。} a _{URL 100 件のサポート} b サブ URL（www.domain.com と www.domain.com/resources など）はサポート対象外 3 _{URL は最大 32 文字までサポート} 4 _{この機能は AVC に依存しません。DNS スヌーピングのみに基づいて動作します}

6 _{リバース DNS はサポートされていません。ダイレクト IP による（DNS を介さない）クライアント アクセスは許可} されません 7 _{IPv6 はサポートされていません}

URL フィルタリングの設定

URL フィルタリングは、ローカル ポリシーによって WLAN、インターフェイス、または個々のクライアント セッショ ンに割り当てられている ACL およびルールを使用して、許可または拒否する URL を決定します。次の手順では、2 つ の一般的なシナリオに基づいて、URL に基づく ACL ルールを作成する方法を示します。 •シナリオ 1：特定の URL へのアクセスを拒否するためのルールが定義されているリスト タイプ「Blacklist」を使 用した ACL。これは、一般的に「ブラックリスト」と呼ばれます。 •シナリオ 2：特定の URL へのアクセスのみを許可するためのルールが定義されているリスト タイプ「Whiitelist」 を使用した ACL。これは、一般的に「ホワイトリスト」と呼ばれます。

アクセス コントロール リスト

GUI を使用したコントロール リストへのアクセス

GUI を使用してコントロール リストにアクセスするには、次の手順を実行します。 手順

ステップ 1 WLC のメイン メニューから [SECURITY]> [Access Control Lists] > [URL ACLs]の順に選択します。[New] をクリックします。

ステップ 2 [URL ACL Name]に入力し、[Apply]をクリックします。この例では、「BLOCK-SITES」という名前で

ステップ 3 [List Type] のドロップダウンリストから [Blacklist]を選択し、[Apply] をクリックします。

ステップ 4 [External Server IP]フィールドに入力し、[Apply]をクリックします。この例では、「10.10.10.10」に設定 しています。これにより、ブロックページをクライアントにリダイレクトします。

ステップ 5 [New]をクリックし、他の ACL を定義します。

ステップ 6 [URL ACL Name]に入力し、[Apply]をクリックします。この例では、「PERMIT-SITES」という名前で

CLI を使用したコントロール リストへのアクセス

手順

ステップ 1 「BLOCK-SITES」および「PERMIT-SITES」という名前で URL ACL を作成します。

(Cisco Controller)> config acl url-acl create BLOCK-SITES (Cisco Controller)> config acl url-acl create PERMIT-SITES

ステップ 2 BLOCK-SITES のリスト タイプを Blacklist、PERMIT-SITES のリスト タイプを Whitelist に設定しま

す。

(Cisco Controller)> config acl url-acl list-type BLOCK-SITES blacklist (Cisco Controller)> config acl url-acl list-type PERMIT-SITES whitelist

ステップ 3 ページのリダイレクトに使用する外部サーバの IP を設定します。

(Cisco Controller)> config acl url-acl external-server-ip 10.10.10.10

ステップ 4 ACL が作成されたことを確認します。ルールが追加され、ACL が適用されるまで、両方の ACL の

[Applied] ステータス フィールドに [No] が表示されることに注意してください。 (Cisco Controller) > show acl url-acl summary

ACL Counter Status Enabled

External Server IP 10.10.10.10

---URL ACL Name Applied List Type

--- --- ---BLOCK-SITES No BlackList PERMIT-SITES No WhiteList

ルール - ブラックリストの例

次の設定手順は、ルールを使用して特定の URL へのアクセスを拒否する方法（ブラックリスト）を示しています。こ の例では、拒否アクションが設定された URL の番号付きリストを定義し、要求されている特定の URL へのアクセスを ブロックします。ACL 自体に暗黙の拒否アクションがあるため、要求されたその他のすべての URL にアクセスできる ように、リストの最後にワイルドカードの許可ルールを追加します。

GUI を使用してブラックリストを作成する手順

手順

ステップ 1 WLC のメイン メニューから [SECURITY]> [Access Control Lists] > [URL ACLs]の順に選択します。ルー ルを追加するには、[URL ACL Name]をクリックします。

ステップ 2 [Add New Rule] をクリックします。

ステップ 3 [Rule Index]を入力し、一致させる URLと一致した際のアクションを指定します。この例では、最初の

ルールとして URL に www.cisco.com、アクションに Deny を指定しています。[Apply]をクリックします。 必要に応じて、ブラックリストにルールを追加します。

ステップ 4 ルールに間違いがないことを確認し、[Apply All]をクリックします。[Status]フィールドが [Not Applied]

ルール 2 と 3 を追加するための設定手順はこの例に示しませんが、ルールを追加する手順は手 順 3 で説明した手順とまったく同じです。 （注）

CLI を使用してブラックリストを作成する手順

手順 ステップ 1 BLOCK-SITES という名前の ACL 用のルールを作成します。

(Cisco Controller)> config acl url-acl rule add BLOCK-SITES 1

(Cisco Controller)> config acl url-acl rule url BLOCK-SITES 1 www.cisco.com (Cisco Controller)> config acl url-acl rule action BLOCK-SITES 1 deny (Cisco Controller)> config acl url-acl rule add BLOCK-SITES 2

(Cisco Controller)> config acl url-acl rule url BLOCK-SITES 2 www.nba.com (Cisco Controller)> config acl url-acl rule action BLOCK-SITES 2 deny (Cisco Controller)> config acl url-acl rule add BLOCK-SITES 3

(Cisco Controller)> config acl url-acl rule url BLOCK-SITES 3 www.disney.com (Cisco Controller)> config acl url-acl rule action BLOCK-SITES 3 deny

ステップ 2 ACL を適用します。

(Cisco Controller)> config acl url-acl apply BLOCK-SITES

ステップ 3 ACL のルールを確認します。

(Cisco Controller)> show acl url-acl detailed BLOCK-SITES

RuleIndex Action URL Hit Count

--- --- ---

---1 Deny www.cisco.com 0

2 Deny www.nba.com 0

3 Deny www.disney.com 0

ステップ 4 ACL が適用されていることを確認します。適用されると、BLOCK-SITES の [Applied] フィールドのス

テータスが [No] から [Yes] に変わります。 (Cisco Controller)> show acl url-acl summary

ACL Counter Status Enabled

External Server IP 10.10.10.10

--- ---

---BLOCK-SITES Yes BlackList

PERMIT-SITES No WhiteList

ルール - ホワイトリストの例

次の設定手順は、ルールを使用して特定の URLへのアクセスのみを許可する方法（通常はホワイトリストと呼ばれる） を示しています。この例では、許可アクションが設定された URL の番号付きリストを定義し、要求されている特定の URL へのアクセスを許可します。ACL に暗黙の拒否アクションがあるため、要求されたその他のすべての URL へのア クセスがブロックされます。

GUI を使用してホワイトリストを作成する手順

手順

ステップ 1 WLC のメイン メニューから [SECURITY]> [Access Control Lists] > [URL ACLs]の順に選択します。ルー ルを追加するには、[URL ACL Name]をクリックします。

ステップ 2 [Add New Rule]をクリックします。

ステップ 3 [Rule Index]を入力し、一致させる URLを指定します。この例では、最初のルールとして URL に

www.cisco.com、アクションに Permit を指定しています。[Apply]をクリックします。必要に応じて、

ステップ 4 ルールに間違いがないことを確認し、[Apply All]をクリックします。[Status] フィールドが [Not Applied] から [Applied] に変わります。

CLI を使用してホワイトリストを作成する手順

手順

ステップ 1 PERMIT-SITES という名前の ACL にルールを作成します。

(Cisco Controller)> config acl url-acl rule add PERMIT-SITES 1

(Cisco Controller)> config acl url-acl rule url PERMIT-SITES 1 www.cisco.com (Cisco Controller)> config acl url-acl rule action PERMIT-SITES 1 permit

ステップ 2 ACL を適用します。

(Cisco Controller)> config acl url-acl apply PERMIT-SITES

ステップ 3 ACL のルールを確認します。

(Cisco Controller)> show acl url-acl detailed PERMIT-SITES

RuleIndex Action URL Hit Count

--- --- ---

---1 Permit www.cisco.com 0

ステップ 4 ACL が適用されていることを確認します。適用されると、PERMIT-SITES の [Applied] フィールドのス

テータスが [No] から [Yes] に変わります。 (Cisco Controller)> show acl url-acl summary

External Server IP 10.10.10.10

---URL ACL Name Applied List Type

--- ---

---BLOCK-SITES Yes BlackList

PERMIT-SITES Yes WhiteList

ヒット カウンタの有効化

オプションでヒット カウンタを有効化して、URL ACL の各ルールのヒット数をモニタできます。ヒット カウンタは、 ルールが一致するたびにカウンタが 1 増えるため、ACL のトラブルシューティングに役立ちます。次の手順は、WLC で ACL のヒット カウンタをグローバルに有効化する方法を示しています。

GUI を使用してヒット カウンタを有効化する手順

手順

ステップ 1 WLC のメイン メニューから [SECURITY]> [Access Control Lists]の順に選択します。[Enable Counters]を 選択し、[Apply] をクリックします。

ステップ 2 WLC のメイン メニューから [SECURITY]> [Access Control Lists] > [URL ACLs]の順に選択します。一致 したそれぞれの URL の [Hit Count] を表示するには、目的の URL ACL の名前をクリックします。

CLI を使用してヒット カウンタを有効化する手順

手順

ステップ 1 ACL ヒット カウンタをグローバルに有効化します。

(Cisco Controller)> config acl counter start

ステップ 2 特定の ACL のヒット カウンタを表示します。この例では、BLOCK-SITES という名前の ACL のヒット

数を表示しています。

(Cisco Controller)> show acl url-acl detailed BLOCK-SITES

RuleIndex Action URL Hit Count

--- --- ---

---1 Deny www.cisco.com 41

2 Deny www.nba.com 24

3 Deny www.disney.com 7

アクセス コントロール リストの適用

URL ACL は、ローカル ポリシーを使用して動的にクライアントに割り当てることも、WLAN やインターフェイスに直 接割り当てることもできます。

•ローカル ポリシー - URL ACL は、ローカル ポリシーが割り当てられているすべてのクライアントに適用されま

す。ローカル ポリシーを使用して割り当てられた URL ACL は優先順位が最も高く、WLAN やインターフェイス に割り当てられている URL ACL をオーバーライドします。

• WLAN - URL ACL は、対象の WLAN に関連付けられたすべてのクライアントに適用されます（クライアントに ローカル ポリシー経由で URL ACL が割り当てられている場合を除く）。WLAN に割り当てられた URL ACL は、 インターフェイスに割り当てられた URL ACL をオーバーライドします。

次の手順は、WLC の URL ACL を WLAN、インターフェイス、ローカル ポリシーに割り当てる方法を示しています。

GUI を使用して WLAN に割り当てる手順

手順

WLC のメイン メニューで、[WLANs]> [WLANs]の順に選択します。変更する WLAN の [WLAN ID]を選択します。 [Advanced]タブに移動し、目的の [URL ACL]を割り当てます。[Apply]をクリックします。

CLI を使用して WLAN に割り当てる手順

手順

ステップ 1 目的の WLAN を無効化します。この例では、WLAN ID 1 を無効化しています。対象の WLAN が有効に

なっていると、WLC で ACL を割り当てることができません。 (Cisco Controller)> config wlan disable 1

ステップ 2 WLAN に URL ACL を割り当てます。この例では、BLOCK-SITES という名前の URL ACL を WLAN 1

に割り当てています。

(Cisco Controller)> config wlan url-acl 1 BLOCK-SITES

ステップ 3 無効になっている WLAN を再度有効化します。

(Cisco Controller)> config wlan enable 1

ステップ 4 ACL が割り当てられたことを確認します。ACL が WLAN に割り当てられていない場合、[WLAN URL

ACL]フィールドには [unconfigured] と表示されます。 (Cisco Controller) > show wlan 1

WLAN Identifier... 1 Profile Name... pod2 Network Name (SSID)... pod2 Status... Enabled

MAC Filtering... Disabled !

! Output Suppressed !

WLAN Layer2 ACL... unconfigured WLAN URL ACL... BLOCK-SITES mDNS Status... Enabled !

WLAN から ACL を削除するには、config wlan url-acl <wlan-id> none コマンドを実行しま す。

（注）

GUI を使用してインターフェイスに割り当てる手順

手順

WLC のメイン メニューから [Controller]> [Interfaces]の順に選択します。変更するインターフェイス名を選択し、[Access Control List] で目的の URL ACLを割り当てます。[Apply]をクリックします。

CLI を使用してインターフェイスに割り当てる手順

手順

ステップ 1 目的のインターフェイスを使用している WLAN を無効にします。この例では、WLAN ID 3 がクライア

ントの管理をマッピングしています。目的のインターフェイスを使用しているアクティブな WLAN があ ると、WLC で ACL をインターフェイスに割り当てることができません。

(Cisco Controller) > config wlan disable 3

ステップ 2 インターフェイスに URL ACL を割り当てます。

(Cisco Controller) > config interface url-acl management BLOCK-SITES

ステップ 3 無効になっている WLAN を再度有効化します。

(Cisco Controller) > config wlan enable 3

ステップ 4 ACL が割り当てられたことを確認します。ACL がインターフェイスに割り当てられていない場合、

[WLAN URL ACL]フィールドには [unconfigured] と表示されます。 (Cisco Controller) > show interface detailed management Interface Name... management MAC Address... 4c:00:82:71:4f:af IP Address... 10.10.20.2 IP Netmask... 255.255.255.0 IP Gateway... 10.10.20.1 ! ! Output Suppressed !

IPv4 ACL... Unconfigured URL ACL... BLOCK-SITES !

インターフェイスから ACL を削除するには、config interface url-acl <interface-name> none コ マンドを実行します。

（注）

GUI を使用してローカル ポリシーに割り当てる手順

手順

WLC のメイン メニューから [SECURITY]> [Local Policies]の順に選択します。変更するポリシー名を選択し、[Action] で目的の URL ACLを割り当てます。[Apply]をクリックします。

詳細については、テクニカル リファレンスの『Wireless Device Profiling and Policy Classification Engine on

WLC』を参照してください。

（注）

CLI を使用してローカル ポリシーに割り当てる手順

手順

ステップ 1 ACL を目的のローカル ポリシーに割り当てます。この例では、BLOCK-SITES という名前の ACL を

STUDENTS という名前のローカル ポリシーに割り当てています。

(Cisco Controller) > config policy STUDENTS action url-acl enable BLOCK-SITES

ステップ 2 ACL が割り当てられたことを確認します。

(Cisco Controller) > config interface url-acl management BLOCK-SITES

ステップ 3 無効になっている WLAN を再度有効化します。

ステップ 4 ACL が割り当てられたことを確認します。ACL がローカル ポリシーに割り当てられていない場合、[URL ACL]フィールドには [<none>] と表示されます。

(Cisco Controller) > show POLICY STUDENTS

Policy Index... 1

Match Role... STUDENTS Match Eap Type... <none> IPv4 ACL... <none> URL ACL... BLOCK-SITES FlexConnect Client ACL... <none> QOS... BRONZE !

! Output Suppressed !

ローカル ポリシーから ACL を削除するには、config policy <policy-name> action url-acl disable コマンドを実行します。 （注）

URL ACL の設定の移行

• 8.3 から 8.4 へのアップグレード 1 _{8.3 の設定に、すべて拒否ルールで構成されるブラックリスト ACL が含まれている場合：8.4 の設定では、ACL} タイプがホワイトリスト（デフォルト）として表示され、拒否ルールは消去されます。そのため、手動で新し い ACL リストのタイプをブラックリストに設定し、拒否ルールを追加する必要があります。 2 _{8.3 の設定に、許可ルールのみで構成されるホワイトリスト ACL が含まれている場合：この設定は 8.4 でも同} 一です。ACL タイプは、許可ルールが登録されたホワイトリストとして表示されます。この場合、ユーザによ る操作は必要ありません。 3 _{8.3 の設定に、ホワイトリスト（許可ルール）とブラックリスト（拒否ルール）が混在している場合：8.4 の設} 定では、ACL タイプがホワイトリストとして表示され（デフォルト）、拒否ルールは消去されますが、許可 ルールは維持されます。 • 8.4 から 8.3 へのダウングレード 1 _{URL ACL ルールの変更はありません。} 2 _{8.3 では HTTP プロトコルのみがサポートされます。} 3 _{NBAR エンジンに基づく URL フィルタリングと DNS スヌーピングは使用されません。}

【注意】シスコ製品をご使用になる前に、安全上の注意（ www.cisco.com/jp/go/safety_warning/ ） をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更され ている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容 については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販 売パートナー、または、弊社担当者にご確認ください。