設定事例集 | EHB-SG2C(-PL/-HPL)シリーズ
ACL設定
ACLを作成してネットワークのセキュリティを設定
Giga対応 Webスマートスイッチ EHB-SG2C(-PL/-HPL)シリーズの設定事例をご紹介。
構成・条件・概要
設定の流れ
STEP1 - 「MACアドレスアクセス制御リスト」の作成
-
本製品の設定画面にログインします。
工場出荷時は、ユーザー名、パスワード共に、admin となります。
※本製品への接続方法につきましては、「クイックセットアップガイド」ならびに、「ユーザーズマニュアル」を別途、参照ください。
-
「Switch Function」設定メニューの「アクセス制御設定」をクリックします。
「MACアドレスアクセス制御設定」画面が表示されます。(1-2-1)
「アクセス制御設定名」に今回作成する制御ルールの名前として”Reject-MAC"と入力し、[適用]ボタンをクリックします。(1-2-2)
「アクセス制御設定テーブル」に、”Reject-MAC"が追加されたことを確認します。(1-2-3)
-
「Switch Function」設定メニューの「アクセス制御設定」 - 「MACアドレスアクセス制御リスト作成」をクリックします。(1-3-1)
「アクセス制御設定名」に"Reject-MAC"が表示されている事を確認して、[追加]ボタンをクリックします。(1-3-2)
-
アクセス制御リスト追加画面が表示されたら、制御したいルールに併せ、各項目の入力を行います。
「シーケンス」には"1"を入力。複数の制御ルールを登録する場合、この番号の順番にルールに合致するか、合致する場合はどのような処理を行うか、の判断が行われていきます。
「アクション」には"拒否"を選択。
「送信元MAC」の右側にある「任意」の項目についているチェックを外します。
「アドレス/マスク」が入力できるようになるので、"00:CC:DD:11:22:33"、"FF:FF:FF:FF:FF:FF"と入力して、[適用]ボタンをクリックします。
マスクについて
パケット/フレームが登録したルールの対象となるMACアドレスかどうかの判断は、指定したMACアドレスとマスクの組み合わせでチェックが行われます。
MACアドレスは48ビットの値ですが、通常は48個のビット列を8個(オクテット)ごとに分け16進数の文字として表記します。
マスクは、どのビット(オクテット)が一致するMACアドレスをルールの対象とするか、を、"0"または"F"で指定します。
マスクが”F"の場合、オクテット単位でこの16進数の文字が合致する場合は対象となり、"0"の場合は合致しなくても対象となります。
例1: MACアドレス"00:aa:bb:11:22:33"、マスク"FF:FF:FF:FF:FF:FF"で指定の場合、対象となるMACアドレスは"00:aa:bb:11:22:33"のみです。
例2: MACアドレス"00:aa:bb:11:22:33"、マスク"FF:FF:FF:FF:FF:00"で指定の場合、対象は"00:aa:bb:11:22:00"~00:aa:bb:11:22:FF"の256個のMACアドレスとなります。
※マスク"00:00:00:00:00:00"は、登録したルールが全てのMACに対して非適用となります。指定の際はご注意ください。
-
同様に拒否を行うルールの追加を行います。
③④の手順を繰り返し、以下ルールを登録します。
・シーケンス:2 アクション:拒否 送信元MAC:00:AA:BB:12:34:56/FF:FF:FF:FF:FF:FF
・シーケンス:3 アクション:拒否 送信元MAC:00:AA:BB:AB:CD:EF/FF:FF:FF:FF:FF:FF
-
拒否のルールを作る場合は、最終シーケンスとして「許可」を行うルールを追加します。
「アクセス制御設定名」に"Reject-MAC"が表示されている事を確認して、[追加]ボタンをクリックします。
-
拒否対象以外を許可とするため、各項目の入力を行います。
「シーケンス」にはシーケンス最終となる番号の"2147483647"を入します。
「アクション」は"許可"、「送信元MAC」の右側にある「任意」にチェックがある状態のまま、[適用]ボタンをクリックします。
本製品は許可/拒否を問わず、何らかのルールを設定しているリストをポートに設定(バインド)した場合、どのルールにも該当しないパケット/フレームは破棄されます。(暗黙の拒否)
そのため、特定の送信元/送信先MACアドレスのパケット/フレームのみ拒否し、他のパケット/フレームは許可する場合は、必ず同リスト内に「全ての送信元/送信先MACアドレスのパケットを許可」となるルールをシーケンス最下位となるように作成してください。
-
設定したルールがアクセス制御リストテーブルに追加された事を確認します。
「シーケンス」にはシーケンス最終となる番号の"2147483647"を入します。
「アクション」は"許可"、「送信元MAC」の右側にある「任意」にチェックがある状態のまま、[適用]ボタンをクリックします。
STEP2 - 「MACアドレスアクセス制御リスト」を適用するポートの指定(バインド)
-
「Switch Function」設定メニューの「アクセス制御設定」 - 「アクセス制御設定バインディング」をクリックします。(2-1-1)
MACアドレス制御を行う、ポート5、ポート6、ポート7、ポート8にチェックを入れ、[バインド]ボタンをクリックします。(2-1-2)
-
「アクセス制御設定バインディング追加」画面が開きます。
「MACアドレスアクセス制御設定」の右側にあるプルダウンで、先ほど作成した"Reject-MAC"を選択し、[適用]ボタンをクリックします。
-
「アクセス制御設定バインディングテーブル」表示されたら、ポート5、ポート6、ポート7、ポート8の「MACアドレスアクセス制御設定」欄に"Reject-MAC"が表示されている事を確認します。
以上で設定は完了です。
【留意事項】
・一つのポートにバインドできる制御ルールは、「MAC」「IPv4」「IPv6」で作成した制御リスト各1つずつとなります。同じ種類の制御リストを複数バインドする事はできません。
・リスト作成時に指定したシーケンス番号を後から変更はできません。