パケットフィルタリングの設定/NETGEARスマートスイッチ
ネットギア製スマートスイッチで、パケットフィルタリングを設定する方法について説明したページです。
パケットフィルタリングの動作や仕組みについては、基本編「セキュリティ」の「静的パケットフィルタリング」をご参照下さい。
パケットフィルタリングの概要
ネットギア製品のスマートスイッチでパケットフィルタリングを行う際は、許可・遮断等を指定するアクセスコントロールリストを設定し、アクセスコントロールリストをポートに適用する必要があります。アクセスコントロールリストは、略してACLと呼ばれます。
ACLには種類があります。
| 種類 | 説明 |
|---|---|
| IP ACL | IPアドレス等を元にフィルタリングする。 |
| MAC ACL | MACアドレス等を元にフィルタリングする。 |
他にも、スマートスイッチに接続出来る機器を制限したり出来ます。
ACLではどの通信を許可し、どの通信を遮断するか定義します。このACLをポートに適用して初めてパケットフィルタリングが有効になります。このため、ACLを設定しただけではフィルタリングは有効になりません。
ACLは、同じACL IDの中にルールを複数設定出来ます。その場合、ルールIDが小さいもの程優先度が高くなります。又、一番最後には何も設定していなくても、全てを遮断する暗黙のdenyが自動的に追加されています。
このため、通信が発生した際はルールIDが小さいものから順番に判断され、マッチした処理がされます。最後までマッチしなかった場合は暗黙のdenyにより遮断されます。
IP ACLは、以下のタイプがあります。
| ACL ID | タイプ | 使い方 |
|---|---|---|
| 1〜99 | IP標準ACL | 送信元だけを指定 |
| 100〜199 | IP拡張ACL | 送信元、先、サービス等を指定可能 |
ACLのIDによって、使い分けが行われます。
以下のネットワークを例に、IP標準ACLの設定を説明します。
172.16.1.2と172.16.1.3からの通信は遮断し、それ以外の通信は許可したいとします。又、小型スイッチは設定出来ないため、右側のスイッチでパケットフィルタリングするとします。
IP標準ACLは、「Security」→「ACL」→「Advanced」→「IP ACL」で設定します。
赤枠部分でACL IDを入力し、「ADD」をクリックすると、ACLが追加されます。
追加したACLに対するルールは、「IP Rules」で設定します。
赤枠部分で、先ほど追加したACL IDを選択します。緑枠部分はルールIDです。小さい番号程優先です。オレンジ枠部分は、Permit(許可)かDeny(遮断)から選択します。
黄枠部分は、IPアドレスとワイルドカードです。例えば、IPアドレスを172.16.1.0とし、ワイルドカードを0.0.0.255に設定すると、ワイルドカードが0の部分に該当する172.16.1までが一致するIPアドレスが対象になります。図のようにワイルドカードが全て0の場合、全て一致する必要があり、172.16.1.2だけが対象になります。ワイルドカードの詳細は、「パケットフィルタリングの設定 - Catalyst」の「補足:ワイルドカード」をご参照下さい。
「ADD」をクリックすると、ルールが追加されます。同様に、ルールID2と3も追加し、以下のように設定します。
赤枠部分のように「Match Every」をTrueにすると、IPアドレスやワイルドカードの設定が出来なくなり、全ての通信が対象となります。つまり、上記の例では、ルールID1と2の対象でない通信は、全て許可されます。
ACLをポートに適用するには、「IP Binding Configuration」で設定します。
赤枠部分で作成したACL IDを選択し、青枠部分で「PORT」をクリックすると、ポート一覧が表示されます。ポート一覧で緑枠部分のように、ACLを適用したいポートにチェックを入れ、「APPLY」をクリックすると設定が反映されます。
逆に172.16.1.4だけ許可し、その他は遮断したい場合は以下のルールを追加するだけです。
暗黙のdenyがあるため、上記で許可した172.16.1.4以外の通信は遮断されます。
以下のように、172.16.1.2と172.16.1.3からは、172.16.2.0/24への通信だけ遮断したいとします。
この場合、送信先もルールに指定する必要があるため、IP拡張ACLで設定します。IP拡張ACLは、IP標準ACLと同様に「IP ACL」で作成します。
ACL IDを100から199にすると、IP拡張ACLになります。ルールは、「IP Extended Rules」で作成します。
赤枠部分で作成したACL IDを選択し、「ADD」をクリックすると、以下の画面が表示されます。
必要項目を設定し、「APPLY」をクリックするとルールが追加されます。よく利用する項目の説明は、以下の通りです。
| 項目 | 説明 |
|---|---|
| Rule ID | ルールIDです。小さい番号程優先です。 |
| Action | Permit(許可)かDeny(遮断)から選択します。 |
| Match Every | Trueを選択すると、全ての通信が対象になります。 |
| Protocol Type | IP、TCP、UDP、ICMP等から選択します。 |
| Src IP Address | 送信元IPアドレス。 |
| Src IP Mask | 送信元IPアドレスに対するワイルドカード。 |
| Src L4 Port | 送信元ポート番号。 |
| Dst IP Address | 送信先IPアドレス。 |
| Dst IP Mask | 送信先IPアドレスに対するワイルドカード。 |
| Dst L4 Port | 送信先ポート番号。 |
「Protocol Type」は、IP通信全体を対象とする場合はIP、TCPポート番号を対象とする場合はTCP等と選択します。
ルールID2と3も追加し、以下のように設定します。
ACLをポートに適用するには、IP標準ACLと同様に「IP Binding Configuration」で設定します。
赤枠部分で作成したACL IDを選択し、青枠部分で「PORT」をクリックすると、ポート一覧が表示されます。ポート一覧で緑枠部分のように、ACLを適用したいポートにチェックを入れ、「APPLY」をクリックすると設定が反映されます。
IP ACL割り当ての確認
ACLをどのポートに割り当てているかは、「Binding Table」で確認出来ます。
上記では、ポート1にACL ID100が設定されている事が分かります。
MAC ACLは、「Security」→「ACL」→「Basic」→「MAC ACL」で設定します。
赤枠部分でACLの名前を入力し、「ADD」をクリックするとACLが追加されます。
ACLに対するルールは、「MAC Rules」で設定します。
赤枠部分で作成したACLを選択し、緑枠部分でMACアドレス等を入力して設定します。考え方はIP ACLと同じです。「ADD」をクリックすると、ルールが追加されます。
MAC ACLをポートに適用するには、「MAC Binding Configuration」で設定します。
赤枠部分でMAC ACLを選択し、青枠部分をクリックするとポート一覧が表示されるため、緑枠部分のように対象とするポートをチェックします。「APPLY」をクリックすると、設定が反映されます。
MAC ACL割り当ての確認
MAC ACLをどのポートに割り当てているかは、「Binding Table」で確認出来ます。
上記では、ポート1と2にACLのtestが設定されている事が分かります。
スマートスイッチに接続出来る機器の制限
スマートスイッチに接続出来る機器を172.16.1.0/24に接続された機器だけに制限したい時は、「Security」→「Access」→「Access Control」→「Access Profile Configuration」で設定します。
赤枠部分でプロファイル名を入力し、「APPLY」をクリックすると設定が反映されます。
プロファイルに対するルールは、「Access Rule Configuration」で設定します。
赤枠部分でPermitかDenyを選択します。緑枠部分は、Httpを選択します。オレンジ枠部分はIPアドレスとサブネットマスクです。ワイルドカードではありません。黄枠部分は優先度で、小さい数字が優先されます。
「ADD」をクリックすると、ルールが追加されます。
「Access Profile Configuration」に戻り、プロファイルを有効にします。
赤枠部分をチェックし、「APPLY」をクリックするとプロファイルが有効になります。上記の通り設定すると、172.16.1.0/24に接続された機器からスマートスイッチにブラウザで接続は可能ですが、それ以外は接続が出来なくなります。
ルールを変更する時は、「Deactive Profile」にチェックを入れて「APPLY」をクリックし、一旦プロファイルを無効にする必要があります。又、「Remove Profile」でプロファイル自体を削除出来ますが、その時も事前にプロファイルを無効にする必要があります。
