無線LANコントローラー(AWC対応) / MACフィルター
MACフィルター(MACアドレスリスト)は、無線LANコントローラー管理下の各APでMACアドレスフィルタリング(MACフィルタリング)を使用するための設定要素です。MACフィルターの作成・確認にかかわるコマンドは以下のとおりです。
MACフィルターの割り当てや各VAP(無線ネットワーク)における有効・無効を指定するコマンドは「無線LANコントローラー(AWC対応)」/「無線ネットワーク設定」、「無線LANコントローラー(AWC対応)」/「AP共通設定(APプロファイル)」をご覧ください。
また、MACフィルターの設定手順は以下の「設定手順」をご覧ください。
| MACフィルターの作成 | 未作成 | wireless-mac-filter(無線LANコントローラーモード) |
| MACアドレスの追加・削除 | 未登録 | filter-entry(無線MACフィルターモード) |
| フィルタータイプ(アクション) | deny | rule(無線MACフィルターモード) |
| コメント(説明文) | 未設定 | description(無線MACフィルターモード) |
| CSVファイルへのエクスポート | wireless export wireless-mac-filter(特権EXECモード) | |
| CSVファイルからのインポート | wireless import wireless-mac-filter(特権EXECモード) | |
| MACフィルターの表示 | show wireless wireless-mac-filter(非特権EXECモード) | |
5.5.5-0.x以前からバージョンアップする時の注意事項
ファームウェアバージョン5.5.5-0.x以前から5.5.5-1.1以降へのバージョンアップ時には以下の注意事項があります。バージョン5.5.5-0.x以前でMACフィルタリングを使用していた場合、バージョン5.5.5-1.1以降への更新後にMACフィルターの割り当て設定がランニングコンフィグに反映されなくなります。
そのため、5.5.5-1.1以降へのバージョンアップ後には、MACフィルターを使用していた無線ネットワークのMAC認証モードとMACフィルター割り当てを設定しなおしてください。
たとえば、無線ネットワーク「10」と「20」でMACフィルターを使用していた場合は、5.5.5-1.1以降へのバージョンアップ後に以下の設定を行ってください。
- 各無線ネットワーク設定において、mac-auth modeコマンドでMAC認証モードをradius(MACフィルターまたはRADIUS)に設定した後、wireless-mac-filter-idコマンドで「profile」を指定する(APプロファイルに割り当てたMACフィルターを使用する設定。以前のバージョンにおける
wireless-mac-filter enableに相当)。
awplus(config)# wireless awplus(config-wireless)# network 10 awplus(config-wireless-network)# mac-auth mode radius awplus(config-wireless-network)# wireless-mac-filter-id profile awplus(config-wireless-network)# exit awplus(config-wireless)# network 20 awplus(config-wireless-network)# mac-auth mode radius awplus(config-wireless-network)# wireless-mac-filter-id profile awplus(config-wireless-network)# end
- 設定を保存して再起動する。
awplus# copy running-config startup-config awplus# reload
設定手順
MACフィルターの設定は次の手順で行います。- MACフィルターを作成する
- VAPまたはAPプロファイルにMACフィルターを割り当てる
1. MACフィルターを作成する
MACフィルタリングを行うには、最初にMACアドレスのリスト(MACフィルター)を用意する必要があります。これには、コマンドで1つずつMACアドレスを登録する方法と、別途用意したCSVファイル(カンマ区切りテキストファイル)からMACアドレスを一括登録する方法があります。また、これらの方法は組み合わせて使うこともできます。
なお、MACフィルターの基本仕様は次のとおりです。
- 作成可能なMACフィルターの最大数は256
- 1つのMACフィルターに登録可能なMACアドレスの最大数は3072
- 合計で登録可能なエントリー数は20480
1a. コマンドでMACアドレスを1つずつ手動登録する方法
手動登録によってMACフィルターを作成するには次の手順にしたがいます。- wireless-mac-filterコマンド(無線LANコントローラーモード)でMACフィルター(リスト)を作成します。
各MACフィルターには識別用に1~65535の番号を付けます。ここではMACフィルター「1」を作成するものとします。
下記のコマンドを実行すると、MACフィルター「1」の内容を編集するための無線MACフィルターモードに移動します。
awplus(config-wireless)# wireless-mac-filter 1
- filter-entryコマンド(無線MACフィルターモード)を使って、MACアドレスを1つずつ登録します。
3~4番目の例のように、MACアドレスにはdescriptionパラメーターでコメント(説明文)を付けることもできます。
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a1 awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a2 awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a3 description Client A3 awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a4 description Client A4
1b. CSVファイルに記述されているMACアドレスを読み込んで一括登録する方法
CSVファイルをインポートしてMACフィルターを作成するには、以下の手順にしたがいます。- 本製品のファイルシステム上にMACアドレスを列挙したCSVファイルを用意します。PCなどで作成したCSVファイルを本製品に転送するのが便利でしょう。
ここでは、次の内容のCSVファイル「maclist.csv」をフラッシュメモリーのルートディレクトリーに用意したものとします。
CSVファイルの各行は1列目がMACアドレス、2列目がコメントです。
書式の詳細については「CSVインポートの仕様」をご覧ください。
"0000.5e00.53b1","Client B1" "0000.5e00.53b2","Client B2" "0000.5e00.53b3","Client B3" "0000.5e00.53b4","Client B4" "0000.5e00.53b5","Client B5" "0000.5e00.53b6","Client B6" "0000.5e00.53b7","Client B7" "0000.5e00.53b8","Client B8" "0000.5e00.53b9","Client B9"
- 特権EXECモードのwireless import wireless-mac-filterコマンドでCSVファイルをインポートします。
たとえば、前記のCSVファイル「maclist.csv」がフラッシュメモリーのルートディレクトリーに置かれている場合、同ファイルに記述されているMACアドレスを新規のMACフィルター「2」としてインポートするには次のようにします。
awplus# wireless import flash:/maclist.csv wireless-mac-filter 2
既存のMACフィルターにCSVからインポートしたMACアドレスを追加する
wireless import wireless-mac-filterコマンドは、指定したMACフィルターがすでに存在していた場合、デフォルトでは既存MACフィルターの内容をいったん全消去し、CSVファイルから読み込んだMACアドレスのリストに置き換えます。CSVファイルから読み込んだMACアドレスを既存のMACフィルターに追加したい場合は、wireless import wireless-mac-filterコマンドに add(追加)オプションを指定してください。省略した場合は replace(置き換え)オプションが指定されたものと見なされるため、前述のような置き換え(上書き)動作となります。
たとえば、既存のMACフィルター「2」にCSVファイル「flash:/addtional-maclist.csv」の内容を追加したいときは、次のようにします。
awplus# wireless import flash:/additional-maclist.csv wireless-mac-filter 2 add
なお、addオプション指定時、MACフィルター内にすでに存在するMACアドレスがCSVファイルに記述されていた場合は、第2フィールドのコメント(説明文)のみ更新します。
CSVインポートの仕様
インポート可能なCSVファイルの書式とインポート処理の仕様は次のとおりです。[CSVファイルのサンプル]
"0000.5e00.53b1","Client B1" "0000.5e00.53b2","Client B2" "00:00:5e:00:53:b3","Client B3" "00:00:5e:00:53:b4","Client B4" "00-00-5e-00-53-b5","Client B5" "00-00-5e-00-53-b6","Client B6"
- CSVファイルの各行(各レコード)は下記の項目順で作成してください。
- 1列目:MACアドレス
- 2列目:コメント(半角英数字および半角記号
! # $ % & ( ) - ^ \ = ~ | [ { ; ] + * } , . / < > _を最大32文字まで使用可能)
- 3列目以降は何も記入しないでください。
- 1列目:MACアドレス
- 1列目のMACアドレスは以下のどの形式でも認識します。16進数のa~fは大文字小文字のどちらでもかまいません。
- 0000.5e00.53b1
- 00:00:5e:00:53:b3
- 00-00-5e-00-53-b5
- 0000.5e00.53b1
- 2列目のコメントが半角32文字を超える場合は先頭32文字だけがインポートされ、それ以降の文字列は切り捨てられます。
- 1つのMACフィルターに登録可能なMACアドレスの最大数は3072であるため、インポート中にリスト内のMACアドレス数が3072に達した場合、それ以降のレコードはすべてスキップされます。
- CSVファイルからインポートしたMACアドレスは、MACフィルターの設定コマンドとしてランニングコンフィグに追加されますので、該当MACフィルターを再起動後も使用するためには設定を保存する必要があります。
- CSVファイルはBOM(Byte Order Mark)なしで保存してください。
2. MACフィルターを割り当てる
MACフィルターは、VAPごとに割り当てる方法と、APプロファイルに割り当てる方法があります。また、割り当て時には、MACフィルターを次のどちらとして利用するかも指定します。
- ホワイトリスト(許可リスト) - リストに含まれるMACアドレスからの接続だけを許可(デフォルトは拒否)
- ブラックリスト(拒否リスト) - リストに含まれるMACアドレスからの接続だけを拒否(デフォルトは許可)
2a. VAPごとにMACフィルターを割り当てる
VAPごとにMACフィルターを割り当てる場合は、以下の手順にしたがいます。なお、以下ではMACフィルター以外の設定は完了しており各VAPが利用可能な状態であると仮定します。- 前のステップで作成したMACフィルターをホワイトリスト、ブラックリストのどちらとして使うかを指定します。これには、無線MACフィルターモードのruleコマンドを使用します。
ホワイトリストとして使用する場合は、permit(リスト内のMACアドレスのみ許可)を指定します。
たとえば、MACフィルター「1」をホワイトリストとして使用する場合は次のようにします。
awplus(config-wireless)# wireless-mac-filter 1 awplus(config-wireless-mac-flt)# rule permit awplus(config-wireless-mac-flt)# exit
ブラックリストとして使用する場合は、deny(リスト内のMACアドレスのみ拒否)を指定します。
たとえば、MACフィルター「2」をブラックリストとして使用する場合は次のようにします。
awplus(config-wireless)# wireless-mac-filter 2 awplus(config-wireless-mac-flt)# rule deny awplus(config-wireless-mac-flt)# exit
- 各VAPに対応する無線ネットワーク設定において、mac-auth modeコマンドでMAC認証モードを radius に設定した後、wireless-mac-filter-idコマンドで使用するMACフィルターの番号を指定します。
これにより、各VAPでは無線ネットワーク設定で指定したMACフィルターが使用されるようになります。
この例では無線ネットワーク設定「1」を割り当てたVAPではMACフィルター「1」が、無線ネットワーク設定「2」を割り当てたVAPでMACフィルター「2」が使用されます。
awplus(config-wireless)# network 1 awplus(config-wireless-network)# mac-auth mode radius awplus(config-wireless-network)# wireless-mac-filter-id 1 awplus(config-wireless-network)# exit awplus(config-wireless)# network 2 awplus(config-wireless-network)# mac-auth mode radius awplus(config-wireless-network)# wireless-mac-filter-id 2 awplus(config-wireless-network)# exit
設定は以上です。
2b. APプロファイルにMACフィルターを割り当てる
AP共通設定(APプロファイル)にMACフィルターを割り当てる場合、以下の手順にしたがいます。なお、以下ではMACフィルター以外の設定は完了しており各VAPが利用可能な状態であると仮定します。- ap-profileコマンドでAPプロファイルモードに移動し、wireless-mac-filterコマンド(APプロファイルモード)でAPプロファイルに割り当てるMACフィルターとフィルタータイプ(permit/deny)を指定します。
ホワイトリストとして使用する場合は、permit(リスト内のMACアドレスのみ許可)を指定します。
たとえば、APプロファイル「1」において、MACフィルター「1」をホワイトリストとして使用する場合は次のようにします。
awplus(config-wireless)# ap-profile 1 awplus(config-wireless-ap-prof)# wireless-mac-filter permit 1 awplus(config-wireless-ap-prof)# exit
ブラックリストとして使用する場合は、deny(リスト内のMACアドレスのみ拒否)を指定します。
たとえば、APプロファイル「1」において、MACフィルター「1」をブラックリストとして使用する場合は次のようにします。
awplus(config-wireless)# ap-profile 1 awplus(config-wireless-ap-prof)# wireless-mac-filter deny 1 awplus(config-wireless-ap-prof)# exit
- 各VAPに対応する無線ネットワーク設定において、mac-auth modeコマンドでMAC認証モードを radius に設定した後、wireless-mac-filter-idコマンドでキーワード「profile」を指定し、APプロファイルで指定したMACフィルターを使用するよう指示します。
無線ネットワークの初期状態ではMAC認証モードが未設定であり、またMACフィルターが無効に設定されているため、APプロファイルにMACフィルターを割り当てただけではMACフィルターは使用されません。
以下の設定により、該当無線ネットワーク設定を割り当てたVAPでは、APプロファイルで指定したMACフィルターが使用されるようになります。
awplus(config-wireless)# network 3 awplus(config-wireless-network)# mac-auth mode radius awplus(config-wireless-network)# wireless-mac-filter-id profile awplus(config-wireless-network)# exit
その他
設定の確認
MACフィルターの一覧を見るには、show wireless wireless-mac-filterコマンドでbriefオプションを指定します。awplus> show wireless wireless-mac-filter brief
MACフィルターに登録されているMACアドレスの一覧など、詳細を確認するにはshow wireless wireless-mac-filterをbriefオプションなしで実行します。
MACフィルター番号を省略あるいはallを指定した場合はすべてのMACフィルターが、特定の番号を指定した場合は該当MACフィルターの情報だけが表示されます。
awplus> show wireless wireless-mac-filter awplus> show wireless wireless-mac-filter 1
APプロファイルに割り当てられたMACフィルターとそのフィルタータイプ(アクション)を確認するには、show wireless ap-profileコマンドを実行します。
「Wireless MAC filter ID」欄でMACフィルターの番号が、「Rule」欄でフィルタータイプ(permit - ホワイトリスト、deny - ブラックリスト)を確認できます。
awplus> show wireless ap-profile 1
AP-PROFILE ID 1:
...
Wireless MAC filter ID ........ 1
Rule ......................... deny
...
無線ネットワークでMACフィルターが有効になっているかどうかを確認するには、show wireless networkコマンドを実行します。
「Wireless MAC filter ID」欄に「Profile」と表示されている場合はAPプロファイルに割り当てたMACフィルターが有効、「1」のような番号が表示されている場合はVAP(ネットワーク)に割り当てたMACフィルターが有効、空欄の場合はMACフィルターが無効です。
awplus> show wireless network 10
Network ID 10:
...
Wireless MAC filter ID ........ Profile
...
CSVファイルの書き出し
MACフィルターに登録されているMACアドレスの一覧は任意のCSVファイルに書き出すことができます。これには、特権EXECモードのwireless export wireless-mac-filterコマンドを使います。
MACフィルター「1」の内容をCSVファイル「flash:/mac-filter-1.csv」に書き出すには、次のようにします。
awplus# wireless export wireless-mac-filter 1 flash:/mac-filter-1.csv
本コマンドでエクスポートされるCSVファイルの書式は次のようになります。
"00:00:5e:00:53:a1","Client A1" "00:00:5e:00:53:a2","Client A2" "00:00:5e:00:53:a3","Client A3" "00:00:5e:00:53:a4","Client A4"
- 各行(各レコード)は1列目(第1フィールド)がMACアドレスで、2列目(第2フィールド)がコメント(説明文)になります。
- 1列目のMACアドレスは、すべて小文字の「HH:HH:HH:HH:HH:HH」形式で出力されます。