パケットフィルタリングの設定/NETGEARスマートスイッチ

ネットギア製スマートスイッチで、パケットフィルタリングを設定する方法について説明したページです。

パケットフィルタリングの動作や仕組みについては、基本編「セキュリティ」の「パケットフィルタリング」をご参照下さい。

パケットフィルタリングの概要

 ネットギア製品のスマートスイッチでパケットフィルタリングを行う際は、許可・遮断等を指定するアクセスコントロールリストを設定し、アクセスコントロールリストをポートに適用する必要があります。アクセスコントロールリストは、略してACLと呼ばれます。

ACLの適用

 ACLには種類があります。

【ACLの種類】
種類 説明
IP ACL IPアドレス等を元にフィルタリングする。
MAC ACL MACアドレス等を元にフィルタリングする。

 他にも、スマートスイッチに接続出来る機器を制限したり出来ます。

 ACLではどの通信を許可し、どの通信を遮断するか定義します。このACLをポートに適用して初めてパケットフィルタリングが有効になります。このため、ACLを設定しただけではフィルタリングは有効になりません。

 ACLは、同じACL IDの中にルールを複数設定出来ます。その場合、ルールIDが小さいもの程優先度が高くなります。又、一番最後には何も設定していなくても、全てを遮断する暗黙のdenyが自動的に追加されています。

 このため、通信が発生した際はルールIDが小さいものから順番に判断され、マッチした処理がされます。最後までマッチしなかった場合は暗黙のdenyにより遮断されます。

ACLの判定方法

 IP ACLは、以下のタイプがあります。

【IP ACLのタイプ】
ACL ID タイプ 使い方
1〜99 IP標準ACL 送信元だけを指定
100〜199 IP拡張ACL 送信元、先、サービス等を指定可能

 ACLのIDによって、使い分けが行われます。

 以下のネットワークを例に、IP標準ACLの設定を説明します。

IP標準ACL適用構成

 172.16.1.2と172.16.1.3からの通信は遮断し、それ以外の通信は許可したいとします。又、小型スイッチは設定出来ないため、右側のスイッチでパケットフィルタリングするとします。

 IP標準ACLは、「Security」→「ACL」→「Advanced」→「IP ACL」で設定します。

IP ACL画面(IP標準ACL追加)

 赤枠部分でACL IDを入力し、「ADD」をクリックすると、ACLが追加されます。

 追加したACLに対するルールは、「IP Rules」で設定します。

IP Rules画面(Denyルール追加)

 赤枠部分で、先ほど追加したACL IDを選択します。緑枠部分はルールIDです。小さい番号程優先です。オレンジ枠部分は、Permit(許可)かDeny(遮断)から選択します。

 黄枠部分は、IPアドレスとワイルドカードです。例えば、IPアドレスを172.16.1.0とし、ワイルドカードを0.0.0.255に設定すると、ワイルドカードが0の部分に該当する172.16.1までが一致するIPアドレスが対象になります。図のようにワイルドカードが全て0の場合、全て一致する必要があり、172.16.1.2だけが対象になります。ワイルドカードの詳細は、「パケットフィルタリングの設定 - Catalyst」の「補足:ワイルドカード」をご参照下さい。

 「ADD」をクリックすると、ルールが追加されます。同様に、ルールID2と3も追加し、以下のように設定します。

IP Rules画面(ACL ID1のルール)

 赤枠部分のように「Match Every」をTrueにすると、IPアドレスやワイルドカードの設定が出来なくなり、全ての通信が対象となります。つまり、上記の例では、ルールID1と2の対象でない通信は、全て許可されます。

 ACLをポートに適用するには、「IP Binding Configuration」で設定します。

IP Binding Configuration画面(IP標準ACL適用)

 赤枠部分で作成したACL IDを選択し、青枠部分で「PORT」をクリックすると、ポート一覧が表示されます。ポート一覧で緑枠部分のように、ACLを適用したいポートにチェックを入れ、「APPLY」をクリックすると設定が反映されます。

 逆に172.16.1.4だけ許可し、その他は遮断したい場合は以下のルールを追加するだけです。

IP Rules画面(172.16.1.4だけ許可)

 暗黙のdenyがあるため、上記で許可した172.16.1.4以外の通信は遮断されます。

 以下のように、172.16.1.2と172.16.1.3からは、172.16.2.0/24への通信だけ遮断したいとします。

IP拡張ACL適用構成

 この場合、送信先もルールに指定する必要があるため、IP拡張ACLで設定します。IP拡張ACLは、IP標準ACLと同様に「IP ACL」で作成します。

IP ACL画面(IP拡張ACL追加)

 ACL IDを100から199にすると、IP拡張ACLになります。ルールは、「IP Extended Rules」で作成します。

IP Extended画面(ルール追加)

 赤枠部分で作成したACL IDを選択し、「ADD」をクリックすると、以下の画面が表示されます。

Extended ACL Rule Configuration画面

 必要項目を設定し、「APPLY」をクリックするとルールが追加されます。よく利用する項目の説明は、以下の通りです。

【Extended ACL Rule Configurationの項目】
項目 説明
Rule ID ルールIDです。小さい番号程優先です。
Action Permit(許可)かDeny(遮断)から選択します。
Match Every Trueを選択すると、全ての通信が対象になります。
Protocol Type IP、TCP、UDP、ICMP等から選択します。
Src IP Address 送信元IPアドレス。
Src IP Mask 送信元IPアドレスに対するワイルドカード。
Src L4 Port 送信元ポート番号。
Dst IP Address 送信先IPアドレス。
Dst IP Mask 送信先IPアドレスに対するワイルドカード。
Dst L4 Port 送信先ポート番号。

 「Protocol Type」は、IP通信全体を対象とする場合はIP、TCPポート番号を対象とする場合はTCP等と選択します。

 ルールID2と3も追加し、以下のように設定します。

IP Extended画面(ACL ID100のルール)

 ACLをポートに適用するには、IP標準ACLと同様に「IP Binding Configuration」で設定します。

IP Binding Configuration画面(IP拡張ACL適用)

 赤枠部分で作成したACL IDを選択し、青枠部分で「PORT」をクリックすると、ポート一覧が表示されます。ポート一覧で緑枠部分のように、ACLを適用したいポートにチェックを入れ、「APPLY」をクリックすると設定が反映されます。

IP ACL割り当ての確認

 ACLをどのポートに割り当てているかは、「Binding Table」で確認出来ます。

Binding Table画面(IP ACL)

 上記では、ポート1にACL ID100が設定されている事が分かります。

 MAC ACLは、「Security」→「ACL」→「Basic」→「MAC ACL」で設定します。

MAC ACL画面(ACL名設定)

 赤枠部分でACLの名前を入力し、「ADD」をクリックするとACLが追加されます。

 ACLに対するルールは、「MAC Rules」で設定します。

MAC Rules画面

 赤枠部分で作成したACLを選択し、緑枠部分でMACアドレス等を入力して設定します。考え方はIP ACLと同じです。「ADD」をクリックすると、ルールが追加されます。

 MAC ACLをポートに適用するには、「MAC Binding Configuration」で設定します。

MAC Binding Configuration画面

 赤枠部分でMAC ACLを選択し、青枠部分をクリックするとポート一覧が表示されるため、緑枠部分のように対象とするポートをチェックします。「APPLY」をクリックすると、設定が反映されます。

MAC ACL割り当ての確認

 MAC ACLをどのポートに割り当てているかは、「Binding Table」で確認出来ます。

Binding Table画面(MAC ACL)

 上記では、ポート1と2にACLのtestが設定されている事が分かります。

スマートスイッチに接続出来る機器の制限

 スマートスイッチに接続出来る機器を172.16.1.0/24に接続された機器だけに制限したい時は、「Security」→「Access」→「Access Control」→「Access Profile Configuration」で設定します。

Access Profile Configuration画面(プロファイル名設定)

 赤枠部分でプロファイル名を入力し、「APPLY」をクリックすると設定が反映されます。

 プロファイルに対するルールは、「Access Rule Configuration」で設定します。

Access Rule Configuration画面

 赤枠部分でPermitかDenyを選択します。緑枠部分は、Httpを選択します。オレンジ枠部分はIPアドレスとサブネットマスクです。ワイルドカードではありません。黄枠部分は優先度で、小さい数字が優先されます。

 「ADD」をクリックすると、ルールが追加されます。

 「Access Profile Configuration」に戻り、プロファイルを有効にします。

Access Profile Configuration画面(プロファイルの有効化)

 赤枠部分をチェックし、「APPLY」をクリックするとプロファイルが有効になります。上記の通り設定すると、172.16.1.0/24に接続された機器からスマートスイッチにブラウザで接続は可能ですが、それ以外は接続が出来なくなります。

 ルールを変更する時は、「Deactive Profile」にチェックを入れて「APPLY」をクリックし、一旦プロファイルを無効にする必要があります。又、「Remove Profile」でプロファイル自体を削除出来ますが、その時も事前にプロファイルを無効にする必要があります。

  • このエントリーをはてなブックマークに追加