無線LANコントローラー(AWC対応) / MACフィルター
MACフィルター(MACアドレスリスト)は、無線LANコントローラー管理下の各APでMACアドレスフィルタリング(MACフィルタリング)を使用するための設定要素です。
無線LANコントローラー機能はx530シリーズでのみサポートです。x530Lシリーズでは使用できません。
MACフィルターはAT-TQシリーズでのみ使用可能です。
AT-TQ4600/4400e/4400/3600/3400/3200/2450のバージョン4.0.5に対し、無線コントローラーからMACフィルターの設定を行うことはできません。バージョン4.0.5でMACフィルター機能を使用する場合は、AP自身のWeb設定画面から設定してください。
MACフィルターの作成・確認にかかわるコマンドは以下のとおりです。
MACフィルターをAPプロファイルに割り当てるコマンドや、各VAP(無線ネットワーク)における有効・無効を指定するコマンドはそれぞれ「無線LANコントローラー(AWC対応)」/「無線ネットワーク設定」、「無線LANコントローラー(AWC対応)」/「AP共通設定(APプロファイル)」をご覧ください。
また、MACフィルターの設定手順は以下の「設定手順」をご覧ください。
設定手順
MACフィルターの設定は次の手順で行います。
- MACフィルター(MACアドレスリスト)を作成
- APプロファイルにMACフィルター(MACアドレスリスト)を割り当て、ホワイトリスト、ブラックリストのどちらとして使うかを指定
- 各VAPに対応する無線ネットワークごとにMACフィルターを有効化
以下、各手順について詳しく説明します。
1. MACフィルターを作成する
MACフィルタリングを行うには、最初にMACアドレスのリスト(MACフィルター)を用意する必要があります。
これには、コマンドで1つずつMACアドレスを登録する方法と、別途用意したCSVファイル(カンマ区切りテキストファイル)からMACアドレスを一括登録する方法があります。また、これらの方法は組み合わせて使うこともできます。
なお、MACフィルターの基本仕様は次のとおりです。
- 作成可能なMACフィルターの最大数は256
- 1つのMACフィルターに登録可能なMACアドレスの最大数は1024
1a. コマンドでMACアドレスを1つずつ手動登録する方法
手動登録によってMACフィルターを作成するには次の手順にしたがいます。
- wireless-mac-filterコマンド(無線LANコントローラーモード)でMACフィルター(リスト)を作成します。
各MACフィルターには識別用に1~65535の番号を付けます。ここではMACフィルター「1」を作成するものとします。
下記のコマンドを実行すると、MACフィルター「1」の内容を編集するための無線MACフィルターモードに移動します。
awplus(config-wireless)# wireless-mac-filter 1 ↓
- filter-entryコマンド(無線MACフィルターモード)を使って、MACアドレスを1つずつ登録します。
3~4番目の例のように、MACアドレスにはdescriptionパラメーターでコメント(説明文)を付けることもできます。
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a1 ↓
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a2 ↓
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a3 description Client A3 ↓
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a4 description Client A4 ↓
1b. CSVファイルに記述されているMACアドレスを読み込んで一括登録する方法
CSVファイルをインポートしてMACフィルターを作成するには、以下の手順にしたがいます。
- 本製品のファイルシステム上にMACアドレスを列挙したCSVファイルを用意します。PCなどで作成したCSVファイルを本製品に転送するのが便利でしょう。
ここでは、次の内容のCSVファイル「maclist.csv」をフラッシュメモリーのルートディレクトリーに用意したものとします。
CSVファイルの各行は1列目がMACアドレス、2列目がコメントです。
書式の詳細については「CSVインポートの仕様」をご覧ください。
"0000.5e00.53b1","Client B1"
"0000.5e00.53b2","Client B2"
"0000.5e00.53b3","Client B3"
"0000.5e00.53b4","Client B4"
"0000.5e00.53b5","Client B5"
"0000.5e00.53b6","Client B6"
"0000.5e00.53b7","Client B7"
"0000.5e00.53b8","Client B8"
"0000.5e00.53b9","Client B9"
- 特権EXECモードのwireless import wireless-mac-filterコマンドでCSVファイルをインポートします。
たとえば、前記のCSVファイル「maclist.csv」がフラッシュメモリーのルートディレクトリーに置かれている場合、同ファイルに記述されているMACアドレスを新規のMACフィルター「2」としてインポートするには次のようにします。
awplus# wireless import flash:/maclist.csv wireless-mac-filter 2 ↓
MACフィルターを新規に作成する場合、インポート先のMACフィルター(上記例では「2」)をwireless-mac-filterコマンド(無線LANコントローラーモード)で事前に作成しておく必要はありません。
既存のMACフィルターにCSVからインポートしたMACアドレスを追加する
wireless import wireless-mac-filterコマンドは、指定したMACフィルターがすでに存在していた場合、デフォルトでは既存MACフィルターの内容をいったん全消去し、CSVファイルから読み込んだMACアドレスのリストに置き換えます。
CSVファイルから読み込んだMACアドレスを既存のMACフィルターに追加したい場合は、wireless import wireless-mac-filterコマンドに add(追加)オプションを指定してください。省略した場合は replace(置き換え)オプションが指定されたものと見なされるため、前述のような置き換え(上書き)動作となります。
たとえば、既存のMACフィルター「2」にCSVファイル「flash:/addtional-maclist.csv」の内容を追加したいときは、次のようにします。
awplus# wireless import flash:/additional-maclist.csv wireless-mac-filter 2 add ↓
なお、addオプション指定時、MACフィルター内にすでに存在するMACアドレスがCSVファイルに記述されていた場合は、第2フィールドのコメント(説明文)のみ更新します。
CSVインポートの仕様
インポート可能なCSVファイルの書式とインポート処理の仕様は次のとおりです。
[CSVファイルのサンプル]
"0000.5e00.53b1","Client B1"
"0000.5e00.53b2","Client B2"
"00:00:5e:00:53:b3","Client B3"
"00:00:5e:00:53:b4","Client B4"
"00-00-5e-00-53-b5","Client B5"
"00-00-5e-00-53-b6","Client B6"
- CSVファイルの各行(各レコード)は下記の項目順で作成してください。
- 1列目:MACアドレス
- 2列目:コメント(半角文字のみ使用可能)
- 3列目以降は何も記入しないでください。
- 1列目のMACアドレスは以下のどの形式でも認識します。16進数のa~fは大文字小文字のどちらでもかまいません。
- 0000.5e00.53b1
- 00:00:5e:00:53:b3
- 00-00-5e-00-53-b5
- 2列目のコメントが半角32文字を超える場合は先頭32文字だけがインポートされ、それ以降の文字列は切り捨てられます。
- 1つのMACフィルターに登録可能なMACアドレスの最大数は1024であるため、インポート中にリスト内のMACアドレス数が1024に達した場合、それ以降のレコードはすべてスキップされます。
- CSVファイルからインポートしたMACアドレスは、MACフィルターの設定コマンドとしてランニングコンフィグに追加されますので、該当MACフィルターを再起動後も使用するためには設定を保存する必要があります。
2. APプロファイルにMACフィルターを割り当てる
作成したMACフィルターは、AP共通設定(APプロファイル)に割り当てることで、該当APプロファイルを適用した無線APから利用可能になります。
APプロファイルへの割り当て時には、MACフィルター(MACアドレスリスト)を次のどちらとして利用するかも指定します。
- ホワイトリスト(許可リスト) - リストに含まれるMACアドレスからの接続だけを許可(デフォルトは拒否)
- ブラックリスト(拒否リスト) - リストに含まれるMACアドレスからの接続だけを拒否(デフォルトは許可)
APプロファイルへの割り当てとフィルタータイプの指定は、wireless-mac-filterコマンド(APプロファイルモード)で行います。
■ ホワイトリストとして使用する場合は、permit(リスト内のMACアドレスのみ許可)を指定します。
たとえば、APプロファイル「1」において、MACフィルター「1」をホワイトリストとして使用する場合は次のようにします。
awplus(config-wireless)# ap-profile 1 ↓
awplus(config-wireless-ap-prof)# wireless-mac-filter permit 1 ↓
■ ブラックリストとして使用する場合は、deny(リスト内のMACアドレスのみ拒否)を指定します。
たとえば、APプロファイル「1」において、MACフィルター「1」をブラックリストとして使用する場合は次のようにします。
awplus(config-wireless)# ap-profile 1 ↓
awplus(config-wireless-ap-prof)# wireless-mac-filter deny 1 ↓
3. 無線ネットワークでMACフィルターを有効化する
APプロファイルにMACフィルターを割り当てたら、該当APプロファイルの各VAPに対応する無線ネットワークごとにMACフィルターの有効・無効を指定します。
無線ネットワークの初期状態ではMACフィルターが無効に設定されているため、APプロファイルにMACフィルターを割り当てただけでは実際にはMACフィルターは使用されません。
各VAPに割り当てた無線ネットワーク設定でwireless-mac-filter enableコマンドを実行し、MACフィルターを有効にしてください。
■ 無線ネットワーク「10」でMACフィルターを有効にするには次のようにします。
awplus(config-wireless)# network 10 ↓
awplus(config-wireless-network)# wireless-mac-filter enable ↓
同一無線ネットワーク上において、MAC認証(mac-auth radius auth group)とMACフィルター(wireless-mac-filter enable)を同時に使用することはできません。
その他
設定の確認
■ MACフィルターの一覧を見るには、show wireless wireless-mac-filterコマンドでbriefオプションを指定します。
awplus> show wireless wireless-mac-filter brief ↓
■ MACフィルターに登録されているMACアドレスの一覧など、詳細を確認するにはshow wireless wireless-mac-filterをbriefオプションなしで実行します。
MACフィルター番号を省略あるいはallを指定した場合はすべてのMACフィルターが、特定の番号を指定した場合は該当MACフィルターの情報だけが表示されます。
awplus> show wireless wireless-mac-filter ↓
awplus> show wireless wireless-mac-filter 1 ↓
■ APプロファイルに割り当てられたMACフィルターとそのフィルタータイプを確認するには、show wireless ap-profileコマンドを実行します。
「Wireless MAC filter ID」欄でMACフィルターの番号が、「Rule」欄でフィルタータイプ(permit - ホワイトリスト、deny - ブラックリスト)を確認できます。
awplus> show wireless ap-profile 1 ↓
AP-PROFILE ID 1:
...
Wireless MAC filter ID ........ 1
Rule ......................... deny
...
■ 無線ネットワークでMACフィルターが有効になっているかどうかを確認するには、show wireless networkコマンドを実行します。
「Wireless MAC filter」欄が「Enable」なら有効、「Disable」なら無効です。
awplus> show wireless network 10 ↓
Network ID 10:
...
Wireless MAC filter ........... Enable
...
CSVファイルの書き出し
MACフィルターに登録されているMACアドレスの一覧は任意のCSVファイルに書き出すことができます。
これには、特権EXECモードのwireless export wireless-mac-filterコマンドを使います。
■ MACフィルター「1」の内容をCSVファイル「flash:/mac-filter-1.csv」に書き出すには、次のようにします。
awplus# wireless export wireless-mac-filter 1 flash:/mac-filter-1.csv ↓
本コマンドでエクスポートされるCSVファイルの書式は次のようになります。
"00:00:5e:00:53:a1","Client A1"
"00:00:5e:00:53:a2","Client A2"
"00:00:5e:00:53:a3","Client A3"
"00:00:5e:00:53:a4","Client A4"
- 各行(各レコード)は1列目(第1フィールド)がMACアドレスで、2列目(第2フィールド)がコメント(説明文)になります。
- 1列目のMACアドレスは、すべて小文字の「HH:HH:HH:HH:HH:HH」形式で出力されます。
(C) 2019 アライドテレシスホールディングス株式会社
PN: 613-002669 Rev.G