設定事例集

設定事例集 | EHB-SG2C(-PL/-HPL)シリーズ ACL設定
ACLを作成してネットワークのセキュリティを設定

Giga対応 Webスマートスイッチ EHB-SG2C(-PL/-HPL)シリーズの設定事例をご紹介。

構成・条件・概要

目的

ACL(アクセス制御リスト)を作成し、特定のユーザーや機器からの使用を制限します。

設定概要

EHB-SG2Cシリーズを1台使用します。
MACアドレスで制限を行うACLを設定します。
ポート5~ポート8は、特定MACアドレスを持つ機器が接続されても、その機器からの通信を拒否します。
ポート1~ポート4は、ACLによる制限なしとします。

※本手順は「EHB-SG2C08」を例に記載しております。(ファームウェアバージョンは 1.0.6)

導入構成イメージ

設定の流れ

STEP1 - 「MACアドレスアクセス制御リスト」の作成

  • 本製品の設定画面にログインします。
    工場出荷時は、ユーザー名、パスワード共に、admin となります。
    ※本製品への接続方法につきましては、「クイックセットアップガイド」ならびに、「ユーザーズマニュアル」を別途、参照ください。
  • 「Switch Function」設定メニューの「アクセス制御設定」をクリックします。
    「MACアドレスアクセス制御設定」画面が表示されます。(1-2-1)
    「アクセス制御設定名」に今回作成する制御ルールの名前として”Reject-MAC"と入力し、[適用]ボタンをクリックします。(1-2-2)
    「アクセス制御設定テーブル」に、”Reject-MAC"が追加されたことを確認します。(1-2-3)
  • 「Switch Function」設定メニューの「アクセス制御設定」 - 「MACアドレスアクセス制御リスト作成」をクリックします。(1-3-1)
    「アクセス制御設定名」に"Reject-MAC"が表示されている事を確認して、[追加]ボタンをクリックします。(1-3-2)
  • アクセス制御リスト追加画面が表示されたら、制御したいルールに併せ、各項目の入力を行います。
    「シーケンス」には"1"を入力。複数の制御ルールを登録する場合、この番号の順番にルールに合致するか、合致する場合はどのような処理を行うか、の判断が行われていきます。
    「アクション」には"拒否"を選択。
    「送信元MAC」の右側にある「任意」の項目についているチェックを外します。
    「アドレス/マスク」が入力できるようになるので、"00:CC:DD:11:22:33"、"FF:FF:FF:FF:FF:FF"と入力して、[適用]ボタンをクリックします。

マスクについて
パケット/フレームが登録したルールの対象となるMACアドレスかどうかの判断は、指定したMACアドレスとマスクの組み合わせでチェックが行われます。
MACアドレスは48ビットの値ですが、通常は48個のビット列を8個(オクテット)ごとに分け16進数の文字として表記します。
マスクは、どのビット(オクテット)が一致するMACアドレスをルールの対象とするか、を、"0"または"F"で指定します。
マスクが”F"の場合、オクテット単位でこの16進数の文字が合致する場合は対象となり、"0"の場合は合致しなくても対象となります。

例1: MACアドレス"00:aa:bb:11:22:33"、マスク"FF:FF:FF:FF:FF:FF"で指定の場合、対象となるMACアドレスは"00:aa:bb:11:22:33"のみです。
例2: MACアドレス"00:aa:bb:11:22:33"、マスク"FF:FF:FF:FF:FF:00"で指定の場合、対象は"00:aa:bb:11:22:00"~00:aa:bb:11:22:FF"の256個のMACアドレスとなります。
※マスク"00:00:00:00:00:00"は、登録したルールが全てのMACに対して非適用となります。指定の際はご注意ください。

  • 同様に拒否を行うルールの追加を行います。
    ③④の手順を繰り返し、以下ルールを登録します。

    ・シーケンス:2 アクション:拒否 送信元MAC:00:AA:BB:12:34:56/FF:FF:FF:FF:FF:FF
    ・シーケンス:3 アクション:拒否 送信元MAC:00:AA:BB:AB:CD:EF/FF:FF:FF:FF:FF:FF
  • 拒否のルールを作る場合は、最終シーケンスとして「許可」を行うルールを追加します。
    「アクセス制御設定名」に"Reject-MAC"が表示されている事を確認して、[追加]ボタンをクリックします。
  • 拒否対象以外を許可とするため、各項目の入力を行います。
    「シーケンス」にはシーケンス最終となる番号の"2147483647"を入します。
    「アクション」は"許可"、「送信元MAC」の右側にある「任意」にチェックがある状態のまま、[適用]ボタンをクリックします。

本製品は許可/拒否を問わず、何らかのルールを設定しているリストをポートに設定(バインド)した場合、どのルールにも該当しないパケット/フレームは破棄されます。(暗黙の拒否)
そのため、特定の送信元/送信先MACアドレスのパケット/フレームのみ拒否し、他のパケット/フレームは許可する場合は、必ず同リスト内に「全ての送信元/送信先MACアドレスのパケットを許可」となるルールをシーケンス最下位となるように作成してください。

  • 設定したルールがアクセス制御リストテーブルに追加された事を確認します。
    「シーケンス」にはシーケンス最終となる番号の"2147483647"を入します。
    「アクション」は"許可"、「送信元MAC」の右側にある「任意」にチェックがある状態のまま、[適用]ボタンをクリックします。

STEP2 - 「MACアドレスアクセス制御リスト」を適用するポートの指定(バインド)

  • 「Switch Function」設定メニューの「アクセス制御設定」 - 「アクセス制御設定バインディング」をクリックします。(2-1-1)
    MACアドレス制御を行う、ポート5、ポート6、ポート7、ポート8にチェックを入れ、[バインド]ボタンをクリックします。(2-1-2)
  • 「アクセス制御設定バインディング追加」画面が開きます。
    「MACアドレスアクセス制御設定」の右側にあるプルダウンで、先ほど作成した"Reject-MAC"を選択し、[適用]ボタンをクリックします。
  • 「アクセス制御設定バインディングテーブル」表示されたら、ポート5、ポート6、ポート7、ポート8の「MACアドレスアクセス制御設定」欄に"Reject-MAC"が表示されている事を確認します。

以上で設定は完了です。

【留意事項】
・一つのポートにバインドできる制御ルールは、「MAC」「IPv4」「IPv6」で作成した制御リスト各1つずつとなります。同じ種類の制御リストを複数バインドする事はできません。
・リスト作成時に指定したシーケンス番号を後から変更はできません。

参考設定ファイル

設定ファイル

「EHB-SG2C08」の参考設定ファイルをこちらからダウンロード可能です。 本設定はサンプルとなりますので導入時はお客様ネットワーク環境に合わせて適宜変更下さい。

「EHB-SG2C08」設定ファイル のダウンロード >
「EHB-SG2C16-PL」設定ファイル のダウンロード >

※スイッチの設定は、ネットワーク環境により異なります。
設定例ファイル読み込むと現在の設定が変更され、通信や設定ができなくなる場合がございます。
適用前に、かならず、現在の設定を保存してください。