無線LANコントローラー(AWC対応) / MACフィルター


MACフィルター(MACアドレスリスト)は、無線LANコントローラー管理下の各APでMACアドレスフィルタリング(MACフィルタリング)を使用するための設定要素です。

MACフィルターの作成・確認にかかわるコマンドは以下のとおりです。
MACフィルターの割り当てや各VAP(無線ネットワーク)における有効・無効を指定するコマンドは「無線LANコントローラー(AWC対応)」/「無線ネットワーク設定」「無線LANコントローラー(AWC対応)」/「AP共通設定(APプロファイル)」をご覧ください。
また、MACフィルターの設定手順は以下の「設定手順」をご覧ください。
実施内容
初期設定
コマンド
設定コマンド
MACフィルターの作成 未作成 wireless-mac-filter(無線LANコントローラーモード)
 MACアドレスの追加・削除 未登録  filter-entry(無線MACフィルターモード)
 フィルタータイプ(アクション) deny  rule(無線MACフィルターモード)
 コメント(説明文) 未設定  description(無線MACフィルターモード)
実行コマンド
CSVファイルへのエクスポート   wireless export wireless-mac-filter(特権EXECモード)
CSVファイルからのインポート   wireless import wireless-mac-filter(特権EXECモード)
確認コマンド
MACフィルターの表示   show wireless wireless-mac-filter(非特権EXECモード)

5.5.5-0.x以前からバージョンアップする時の注意事項

ファームウェアバージョン5.5.5-0.x以前から5.5.5-1.1以降へのバージョンアップ時には以下の注意事項があります。

バージョン5.5.5-0.x以前でMACフィルタリングを使用していた場合、バージョン5.5.5-1.1以降への更新後にMACフィルターの割り当て設定がランニングコンフィグに反映されなくなります。
そのため、5.5.5-1.1以降へのバージョンアップ後には、MACフィルターを使用していた無線ネットワークのMAC認証モードとMACフィルター割り当てを設定しなおしてください。

たとえば、無線ネットワーク「10」と「20」でMACフィルターを使用していた場合は、5.5.5-1.1以降へのバージョンアップ後に以下の設定を行ってください。
  1. 各無線ネットワーク設定において、mac-auth modeコマンドでMAC認証モードをradius(MACフィルターまたはRADIUS)に設定した後、wireless-mac-filter-idコマンドで「profile」を指定する(APプロファイルに割り当てたMACフィルターを使用する設定。以前のバージョンにおける wireless-mac-filter enable に相当)。
    awplus(config)# wireless
awplus(config-wireless)# network 10
awplus(config-wireless-network)# mac-auth mode radius
awplus(config-wireless-network)# wireless-mac-filter-id profile
awplus(config-wireless-network)# exit
awplus(config-wireless)# network 20
awplus(config-wireless-network)# mac-auth mode radius
awplus(config-wireless-network)# wireless-mac-filter-id profile
awplus(config-wireless-network)# end

  2. 設定を保存して再起動する。
    awplus# copy running-config startup-config
awplus# reload

設定手順

MACフィルターの設定は次の手順で行います。
  1. MACフィルターを作成する
  2. VAPまたはAPプロファイルにMACフィルターを割り当てる
以下、各手順について詳しく説明します。

1. MACフィルターを作成する

MACフィルタリングを行うには、最初にMACアドレスのリスト(MACフィルター)を用意する必要があります。
これには、コマンドで1つずつMACアドレスを登録する方法と、別途用意したCSVファイル(カンマ区切りテキストファイル)からMACアドレスを一括登録する方法があります。また、これらの方法は組み合わせて使うこともできます。

なお、MACフィルターの基本仕様は次のとおりです。

1a. コマンドでMACアドレスを1つずつ手動登録する方法

手動登録によってMACフィルターを作成するには次の手順にしたがいます。
  1. wireless-mac-filterコマンド(無線LANコントローラーモード)でMACフィルター(リスト)を作成します。
    各MACフィルターには識別用に1~65535の番号を付けます。ここではMACフィルター「1」を作成するものとします。
    下記のコマンドを実行すると、MACフィルター「1」の内容を編集するための無線MACフィルターモードに移動します。
    awplus(config-wireless)# wireless-mac-filter 1

  2. filter-entryコマンド(無線MACフィルターモード)を使って、MACアドレスを1つずつ登録します。
    3~4番目の例のように、MACアドレスにはdescriptionパラメーターでコメント(説明文)を付けることもできます。
    awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a1
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a2
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a3 description Client A3
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a4 description Client A4

1b. CSVファイルに記述されているMACアドレスを読み込んで一括登録する方法

CSVファイルをインポートしてMACフィルターを作成するには、以下の手順にしたがいます。
  1. 本製品のファイルシステム上にMACアドレスを列挙したCSVファイルを用意します。PCなどで作成したCSVファイルを本製品に転送するのが便利でしょう。
    ここでは、次の内容のCSVファイル「maclist.csv」をフラッシュメモリーのルートディレクトリーに用意したものとします。
    CSVファイルの各行は1列目がMACアドレス、2列目がコメントです。
    書式の詳細については「CSVインポートの仕様」をご覧ください。
    "0000.5e00.53b1","Client B1"
"0000.5e00.53b2","Client B2"
"0000.5e00.53b3","Client B3"
"0000.5e00.53b4","Client B4"
"0000.5e00.53b5","Client B5"
"0000.5e00.53b6","Client B6"
"0000.5e00.53b7","Client B7"
"0000.5e00.53b8","Client B8"
"0000.5e00.53b9","Client B9"

  2. 特権EXECモードのwireless import wireless-mac-filterコマンドでCSVファイルをインポートします。
    たとえば、前記のCSVファイル「maclist.csv」がフラッシュメモリーのルートディレクトリーに置かれている場合、同ファイルに記述されているMACアドレスを新規のMACフィルター「2」としてインポートするには次のようにします。
    awplus# wireless import flash:/maclist.csv wireless-mac-filter 2
    Note
    MACフィルターを新規に作成する場合、インポート先のMACフィルター(上記例では「2」)をwireless-mac-filterコマンド(無線LANコントローラーモード)で事前に作成しておく必要はありません。

既存のMACフィルターにCSVからインポートしたMACアドレスを追加する
wireless import wireless-mac-filterコマンドは、指定したMACフィルターがすでに存在していた場合、デフォルトでは既存MACフィルターの内容をいったん全消去し、CSVファイルから読み込んだMACアドレスのリストに置き換えます。

CSVファイルから読み込んだMACアドレスを既存のMACフィルターに追加したい場合は、wireless import wireless-mac-filterコマンドに add(追加)オプションを指定してください。省略した場合は replace(置き換え)オプションが指定されたものと見なされるため、前述のような置き換え(上書き)動作となります。

たとえば、既存のMACフィルター「2」にCSVファイル「flash:/addtional-maclist.csv」の内容を追加したいときは、次のようにします。
awplus# wireless import flash:/additional-maclist.csv wireless-mac-filter 2 add

なお、addオプション指定時、MACフィルター内にすでに存在するMACアドレスがCSVファイルに記述されていた場合は、第2フィールドのコメント(説明文)のみ更新します。

CSVインポートの仕様
インポート可能なCSVファイルの書式とインポート処理の仕様は次のとおりです。

[CSVファイルのサンプル]
"0000.5e00.53b1","Client B1"
"0000.5e00.53b2","Client B2"
"00:00:5e:00:53:b3","Client B3"
"00:00:5e:00:53:b4","Client B4"
"00-00-5e-00-53-b5","Client B5"
"00-00-5e-00-53-b6","Client B6"

2. MACフィルターを割り当てる

MACフィルターは、VAPごとに割り当てる方法と、APプロファイルに割り当てる方法があります。
Note
VAPごとに割り当てる方法は下記APでのみサポートです。
下記以外のAPではAPプロファイルに割り当てる方法を使用してください。
Note
割り当て方法にかかわらず、MACフィルターの有効・無効はVAP(無線ネットワーク)ごとにwireless-mac-filter-idコマンドで設定します。
各VAPで使用されるMACフィルターは同コマンドの設定によって決まります(VAPとAPプロファイルの両方に設定がある場合はVAPが優先されます)。

また、割り当て時には、MACフィルターを次のどちらとして利用するかも指定します。

2a. VAPごとにMACフィルターを割り当てる

VAPごとにMACフィルターを割り当てる場合は、以下の手順にしたがいます。なお、以下ではMACフィルター以外の設定は完了しており各VAPが利用可能な状態であると仮定します。
Note
VAPごとに割り当てる方法は下記APでのみサポートです。
下記以外のAPではAPプロファイルに割り当てる方法を使用してください。
  1. 前のステップで作成したMACフィルターをホワイトリスト、ブラックリストのどちらとして使うかを指定します。これには、無線MACフィルターモードのruleコマンドを使用します。

    ■ ホワイトリストとして使用する場合は、permit(リスト内のMACアドレスのみ許可)を指定します。
    たとえば、MACフィルター「1」をホワイトリストとして使用する場合は次のようにします。
    awplus(config-wireless)# wireless-mac-filter 1
awplus(config-wireless-mac-flt)# rule permit
awplus(config-wireless-mac-flt)# exit

    ■ ブラックリストとして使用する場合は、deny(リスト内のMACアドレスのみ拒否)を指定します。
    たとえば、MACフィルター「2」をブラックリストとして使用する場合は次のようにします。
    awplus(config-wireless)# wireless-mac-filter 2
awplus(config-wireless-mac-flt)# rule deny
awplus(config-wireless-mac-flt)# exit
    Note
    フィルタータイプ(アクション)の初期値はdenyのため、ブラックリストとして使用する場合、この設定は省略可能です。

  2. 各VAPに対応する無線ネットワーク設定において、mac-auth modeコマンドでMAC認証モードを radius に設定した後、wireless-mac-filter-idコマンドで使用するMACフィルターの番号を指定します。
    これにより、各VAPでは無線ネットワーク設定で指定したMACフィルターが使用されるようになります。
    この例では無線ネットワーク設定「1」を割り当てたVAPではMACフィルター「1」が、無線ネットワーク設定「2」を割り当てたVAPでMACフィルター「2」が使用されます。
    awplus(config-wireless)# network 1
awplus(config-wireless-network)# mac-auth mode radius
awplus(config-wireless-network)# wireless-mac-filter-id 1
awplus(config-wireless-network)# exit
awplus(config-wireless)# network 2
awplus(config-wireless-network)# mac-auth mode radius
awplus(config-wireless-network)# wireless-mac-filter-id 2
awplus(config-wireless-network)# exit

設定は以上です。

2b. APプロファイルにMACフィルターを割り当てる

AP共通設定(APプロファイル)にMACフィルターを割り当てる場合、以下の手順にしたがいます。なお、以下ではMACフィルター以外の設定は完了しており各VAPが利用可能な状態であると仮定します。
  1. ap-profileコマンドでAPプロファイルモードに移動し、wireless-mac-filterコマンド(APプロファイルモード)でAPプロファイルに割り当てるMACフィルターとフィルタータイプ(permit/deny)を指定します。
    Note
    MACフィルターをAPプロファイルに割り当てる場合は、ruleコマンド(無線MACフィルターモード)で指定したMACフィルター自身のアクション設定は使用されず、wireless-mac-filterコマンド(APプロファイルモード)で指定したアクションが使用されます。

    ■ ホワイトリストとして使用する場合は、permit(リスト内のMACアドレスのみ許可)を指定します。
    たとえば、APプロファイル「1」において、MACフィルター「1」をホワイトリストとして使用する場合は次のようにします。
    awplus(config-wireless)# ap-profile 1
awplus(config-wireless-ap-prof)# wireless-mac-filter permit 1
awplus(config-wireless-ap-prof)# exit

    ■ ブラックリストとして使用する場合は、deny(リスト内のMACアドレスのみ拒否)を指定します。
    たとえば、APプロファイル「1」において、MACフィルター「1」をブラックリストとして使用する場合は次のようにします。
    awplus(config-wireless)# ap-profile 1
awplus(config-wireless-ap-prof)# wireless-mac-filter deny 1
awplus(config-wireless-ap-prof)# exit

  2. 各VAPに対応する無線ネットワーク設定において、mac-auth modeコマンドでMAC認証モードを radius に設定した後、wireless-mac-filter-idコマンドでキーワード「profile」を指定し、APプロファイルで指定したMACフィルターを使用するよう指示します。
    無線ネットワークの初期状態ではMAC認証モードが未設定であり、またMACフィルターが無効に設定されているため、APプロファイルにMACフィルターを割り当てただけではMACフィルターは使用されません。
    以下の設定により、該当無線ネットワーク設定を割り当てたVAPでは、APプロファイルで指定したMACフィルターが使用されるようになります。
    awplus(config-wireless)# network 3
awplus(config-wireless-network)# mac-auth mode radius
awplus(config-wireless-network)# wireless-mac-filter-id profile
awplus(config-wireless-network)# exit
設定は以上です。

その他

設定の確認

■ MACフィルターの一覧を見るには、show wireless wireless-mac-filterコマンドでbriefオプションを指定します。
awplus> show wireless wireless-mac-filter brief

■ MACフィルターに登録されているMACアドレスの一覧など、詳細を確認するにはshow wireless wireless-mac-filterをbriefオプションなしで実行します。
MACフィルター番号を省略あるいはallを指定した場合はすべてのMACフィルターが、特定の番号を指定した場合は該当MACフィルターの情報だけが表示されます。
awplus> show wireless wireless-mac-filter
awplus> show wireless wireless-mac-filter 1

■ APプロファイルに割り当てられたMACフィルターとそのフィルタータイプ(アクション)を確認するには、show wireless ap-profileコマンドを実行します。
「Wireless MAC filter ID」欄でMACフィルターの番号が、「Rule」欄でフィルタータイプ(permit - ホワイトリスト、deny - ブラックリスト)を確認できます。
awplus> show wireless ap-profile 1
AP-PROFILE ID 1:
...
 Wireless MAC filter ID ........ 1
  Rule ......................... deny
...

■ 無線ネットワークでMACフィルターが有効になっているかどうかを確認するには、show wireless networkコマンドを実行します。
「Wireless MAC filter ID」欄に「Profile」と表示されている場合はAPプロファイルに割り当てたMACフィルターが有効、「1」のような番号が表示されている場合はVAP(ネットワーク)に割り当てたMACフィルターが有効、空欄の場合はMACフィルターが無効です。
awplus> show wireless network 10
Network ID 10:
...
 Wireless MAC filter ID ........ Profile
...

CSVファイルの書き出し

MACフィルターに登録されているMACアドレスの一覧は任意のCSVファイルに書き出すことができます。
これには、特権EXECモードのwireless export wireless-mac-filterコマンドを使います。

■ MACフィルター「1」の内容をCSVファイル「flash:/mac-filter-1.csv」に書き出すには、次のようにします。
awplus# wireless export wireless-mac-filter 1 flash:/mac-filter-1.csv

本コマンドでエクスポートされるCSVファイルの書式は次のようになります。
"00:00:5e:00:53:a1","Client A1"
"00:00:5e:00:53:a2","Client A2"
"00:00:5e:00:53:a3","Client A3"
"00:00:5e:00:53:a4","Client A4"

(C) 2017 - 2025 アライドテレシスホールディングス株式会社

PN: 613-002460 Rev.AN