こんにちは。TEと申します。

今回は、Catalyst9100シリーズEWC-APがサポートするIPv4アクセスコントロールリスト（ACL）設定について少し躓きやすいポイントがあるので、実際のGUI画面と合わせて簡単にご紹介いたします。

 

ご紹介する設定例としては、以下の図のような形でEWC-APにあらかじめ設定されたSSID「test10」に192.168.10.xから192.168.1.xへの通信のみ拒否するACLを適用するといった内容になります。

まずは、EWC-APのGUI画面にて 設定>セキュリティ >ACLにアクセスします。

※今回はC9105シリーズのバージョン17.6.2を利用しております。

こちらがACLの設定画面になります。デフォルト状態では、ACLは作成されていないので、新規ACLの設定を行うために「追加」をクリックします。

 ※インターフェイスの関連付け（物理インターフェイスへのACL適用）ボタンがございますが、こちらから設定は可能ですが、現状EWC-APでは動作せず、非サポートの機能となりますので、ご注意ください。

次に上記のようなACL設定の追加ウィンドウが表示されるので、こちらでACLのルールを追加することが出来ます。

画像では192.168.10.0/24から192.168.1.0/24への通信のみ禁止するルールの設定を行っております。通常のCLIでの拡張ACLの設定と同じように順序と送信元/宛先のIPとワイルドカードを設定するような形なので、ここまでは特に躓くポイントは無いかと思います。

各パラメータの入力完了後、追加ボタンをクリックします。

 

補足ですが、送信元のタイプや宛先タイプでは、「ネットワーク」の他に「ホスト」や「いずれか」を選択することで特定のIPアドレスの指定や全てのIPアドレスを簡単に指定する事が可能です。また、ログにチェックを入れるとルールにマッチしたパケットが発生した場合、コンソール画面にログを表示させることも可能になります。

※ACLで指定可能なプロトコルはこちらをご確認ください。

 

先ほどと同じウィンドウの下の方に設定したルールが1つ追加されます。この状態のままだと、最後に暗黙のdenyルールが適用されるため、全ての通信が拒否されるACLになってしまいます。

その為、拒否のルールを設定された場合は、必ず以下の様に最後に全ての通信を許可するルールを作成し、先ほどと同様に追加してください。

順序を送信元/宛先タイプで「いずれか」を選択し、アクションを「許可」にして「追加」をクリックします。

そうすると、先ほどの拒否ルールの下に新たに全てのIP通信を許可するルールが新たに追加されますので、「保存してデバイスに適用」をクリックするとACLの作成は完了です！

なお、EWC-APでは、1つのACLに最大64個のルールを登録可能です。

 

続いて、ACLを作成しただけでは意味がないので、まずはEWCネットワーク内のAPに紐付くFlexプロファイル（ACLのマッピング設定など）に作成したACLを登録する必要があります。Flexプロファイルの詳細につきましては、こちらをご参照ください。

 

こちらの手順は私自身も気付かず、上手くいかなかったことがあったのでお忘れのないようご注意ください。

 

設定> タグとプロファイル >Flexにアクセスします。

デフォルトのFlexプロファイル（default-flex-profile）＞ポリシーACL＞追加 の順にクリックし、ACL名の欄で先ほど設定したACLを選択します。

保存をクリックすると以下の様にFlexプロファイルにACLが登録されます。

 

対象のACLが表示されている事を確認後、更新してデバイスに適用をクリックします。

これで、EWCネットワーク内のAPにACLの設定を適用できる準備が整いました。

 

　そして、最後にWLAN（SSID）にACLを適用していきます。

WLAN（SSID）にACLを適用する場合は、対象のWLAN（SSID）に紐づいているWLANポリシーから設定を行います。

 

今回は「test10」というWLANポリシーに先ほどのACLを適用していきます。

設定> タグとプロファイル >ポリシーにアクセスします。

既存のポリシープロファイル（test10）＞アクセスポリシー の順にクリックし、IPv4 ACLの欄で先ほど設定したACLを選択します。最後に更新してデバイスに適用をクリックします。

 

以上でIPv4 ACLの設定は完了です。

EWC-APでは、最初にACLを作成しておけば、違うWLAN（SSID）にも同様のACLを適用することが出来ます。その為、WLAN（SSID）毎に同じACLを作成する必要がないので、複数のWLAN（SSID）を管理する際は少し楽になると感じました。ただ、設定に少し癖があるので、その点はご注意いただければと思います。

 

ACL設定のメーカードキュメントにつきましては、こちらをご覧ください。

 

今回は以上です。

引き続きよろしくお願いいたします。

＜Cisco Wireless エンジニア情報局 次回の記事＞＞＞

• 第47回 [2023年4月更新]「新製品CWシリーズアクセスポイントのご紹介」 ＞＞＞

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事

• Collaboration 第142回 「超便利！Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」
• Security 第77回「Cisco Secure Client Cloud Managementのご紹介」
• Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」
• Collaboration 第141回 「Cisco AI アシスタント（生成AIによる自動要約）を使ってみた その3 ~ 議事録ダウンロードについて ~」
• Security 第76回「Cisco Secure Endpoint　端末のネットワークから隔離について」
• Collaboration 第140回 「Cisco AI アシスタント（生成AIによる自動要約）を使ってみた その２ ~ Meetingsでの使い方 ~」

一覧ページ