無線機能 / MACフィルター

MACフィルター（MACアドレスリスト）は、MACアドレスフィルタリング（MACフィルタリング）を使用するための設定要素です。

MACフィルターの作成・確認にかかわるコマンドは以下のとおりです。
MACフィルターをAPプロファイルに割り当てるコマンドや、各VAP（無線ネットワーク）における有効・無効を指定するコマンドはそれぞれ「無線機能」/「無線ネットワーク設定」、「無線機能」/「AP共通設定（APプロファイル）」をご覧ください。
また、MACフィルターの設定手順は以下の「設定手順」をご覧ください。

実施内容	初期設定	コマンド
設定コマンド
MACフィルターの作成	未作成	wireless-mac-filter(local)（無線設定モード）
MACアドレスの追加・削除	未登録	filter-entry(local)（無線MACフィルターモード）
フィルタータイプ（アクション）	deny	rule(local)（無線MACフィルターモード）
コメント（説明文）	未設定	description(local)（無線MACフィルターモード）
実行コマンド
CSVファイルへのエクスポート		wireless export wireless-mac-filter(local)（特権EXECモード）
CSVファイルからのインポート		wireless import wireless-mac-filter(local)（特権EXECモード）
確認コマンド
MACフィルターの表示		show wireless wireless-mac-filter(local)（非特権EXECモード）

設定手順

MACフィルターの設定は次の手順で行います。

MACフィルターを作成する
VAPまたはAPプロファイルにMACフィルターを割り当てる

以下、各手順について詳しく説明します。

1. MACフィルターを作成する

MACフィルタリングを行うには、最初にMACアドレスのリスト（MACフィルター）を用意する必要があります。
これには、コマンドで1つずつMACアドレスを登録する方法と、別途用意したCSVファイル（カンマ区切りテキストファイル）からMACアドレスを一括登録する方法があります。また、これらの方法は組み合わせて使うこともできます。

なお、MACフィルターの基本仕様は次のとおりです。

作成可能なMACフィルターの最大数は48
1つのMACフィルターに登録可能なMACアドレスの最大数は3072

1a. コマンドでMACアドレスを1つずつ手動登録する方法

手動登録によってMACフィルターを作成するには次の手順に従います。

wireless-mac-filter(local)コマンド（無線設定モード）でMACフィルター（リスト）を作成します。
各MACフィルターには識別用に1～65535の番号を付けます。ここではMACフィルター「1」を作成するものとします。
下記のコマンドを実行すると、MACフィルター「1」の内容を編集するための無線MACフィルターモードに移動します。
```
awplus(config-wireless)# wireless-mac-filter 1
```

filter-entry(local)コマンド（無線MACフィルターモード）を使って、MACアドレスを1つずつ登録します。
3～4番目の例のように、MACアドレスにはdescriptionパラメーターでコメント（説明文）を付けることもできます。

awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a1
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a2
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a3 description Client A3
awplus(config-wireless-mac-flt)# filter-entry 0000.5e00.53a4 description Client A4

1b. CSVファイルに記述されているMACアドレスを読み込んで一括登録する方法

CSVファイルをインポートしてMACフィルターを作成するには、以下の手順に従います。

本製品のファイルシステム上にMACアドレスを列挙したCSVファイルを用意します。PCなどで作成したCSVファイルを本製品に転送するのが便利です。
ここでは、次の内容のCSVファイル「maclist.csv」をフラッシュメモリーのルートディレクトリーに用意したものとします。
CSVファイルの各行は1列目がMACアドレス、2列目がコメントです。
書式の詳細については「CSVインポートの仕様」をご覧ください。
```
"0000.5e00.53b1","Client B1"
"0000.5e00.53b2","Client B2"
"0000.5e00.53b3","Client B3"
"0000.5e00.53b4","Client B4"
"0000.5e00.53b5","Client B5"
"0000.5e00.53b6","Client B6"
"0000.5e00.53b7","Client B7"
"0000.5e00.53b8","Client B8"
"0000.5e00.53b9","Client B9"
```
特権EXECモードのwireless import wireless-mac-filter(local)コマンドでCSVファイルをインポートします。
たとえば、前記のCSVファイル「maclist.csv」がフラッシュメモリーのルートディレクトリーに置かれている場合、同ファイルに記述されているMACアドレスを新規のMACフィルター「2」としてインポートするには次のようにします。
```
awplus# wireless import flash:/maclist.csv wireless-mac-filter 2
```
Note
MACフィルターを新規に作成する場合、インポート先のMACフィルター（上記例では「2」）をwireless-mac-filter(local)コマンド（無線設定モード）で事前に作成しておく必要はありません。

既存のMACフィルターにCSVからインポートしたMACアドレスを追加する

wireless import wireless-mac-filter(local)コマンドは、指定したMACフィルターがすでに存在していた場合、デフォルトでは既存MACフィルターの内容をいったん全消去し、CSVファイルから読み込んだMACアドレスのリストに置き換えます。

CSVファイルから読み込んだMACアドレスを既存のMACフィルターに追加したい場合は、wireless import wireless-mac-filter(local)コマンドに add（追加）オプションを指定してください。省略した場合は replace（置き換え）オプションが指定されたものと見なされるため、前述のような置き換え（上書き）動作となります。

たとえば、既存のMACフィルター「2」にCSVファイル「flash:/additional-maclist.csv」の内容を追加したいときは、次のようにします。

awplus# wireless import flash:/additional-maclist.csv wireless-mac-filter 2 add

なお、addオプション指定時、MACフィルター内にすでに存在するMACアドレスがCSVファイルに記述されていた場合は、第2フィールドのコメント（説明文）のみ更新します。

CSVインポートの仕様

インポート可能なCSVファイルの書式とインポート処理の仕様は次のとおりです。

[CSVファイルのサンプル]

"0000.5e00.53b1","Client B1"
"0000.5e00.53b2","Client B2"
"00:00:5e:00:53:b3","Client B3"
"00:00:5e:00:53:b4","Client B4"
"00-00-5e-00-53-b5","Client B5"
"00-00-5e-00-53-b6","Client B6"

CSVファイルの各行（各レコード）は下記の項目順で作成してください。
- 1列目：MACアドレス
- 2列目：コメント（半角英数字および半角記号 ! # $ % & ( ) - ^ \ = ~ | [ { ; ] + * } , . / < > _ を最大32文字まで使用可能）
- 3列目以降は何も記入しないでください。
Note
2列目のコメントは任意となります。コメントが不要な場合、MACアドレスだけを記載してCSVファイルを作成してください。
1列目のMACアドレスは以下のどの形式でも認識します。16進数のa～fは大文字小文字のどちらでもかまいません。
- 0000.5e00.53b1
- 00:00:5e:00:53:b3
- 00-00-5e-00-53-b5
無効なMACアドレスはインポートされません。
2列目のコメントは省略可能です。
2列目のコメントが半角32文字を超える場合は先頭32文字だけがインポートされ、それ以降の文字列は切り捨てられます。
1つのMACフィルターに登録可能なMACアドレスの最大数は3072であるため、インポート中にリスト内のMACアドレス数が3072に達した場合、それ以降のレコードはすべてスキップされます。
CSVファイルからインポートしたMACアドレスは、MACフィルターの設定コマンドとしてランニングコンフィグに追加されますので、該当MACフィルターを再起動後も使用するためには設定を保存する必要があります。
CSVファイルはBOM（Byte Order Mark）なしで保存してください。

2. MACフィルターを割り当てる

MACフィルターは、VAPごとに割り当てる方法と、APプロファイルに割り当てる方法があります。

Note

割り当て方法にかかわらず、MACフィルターの有効・無効はVAP（無線ネットワーク）ごとにwireless-mac-filter-id(local)コマンドで設定します。
各VAPで使用されるMACフィルターは同コマンドの設定によって決まります（VAPとAPプロファイルの両方に設定がある場合はVAPが優先されます）。

VAPに割り当てたMACフィルターが使用されるケース
wireless-mac-filter-id(local)コマンド（無線ネットワークモード）でMACフィルター番号を指定している場合、該当VAPでは同コマンドで指定したMACフィルターが使用されます。
wireless-mac-filter(local)コマンド（APプロファイルモード）で指定したMACフィルターおよびアクションは使用されません。
APプロファイルに割り当てたMACフィルターが使用されるケース
wireless-mac-filter-id(local)コマンド（無線ネットワークモード）で「profile」を指定している場合、該当VAPではwireless-mac-filter(local)コマンド（APプロファイルモード）で指定したMACフィルターおよびアクションが使用されます。

また、割り当て時には、MACフィルターを次のどちらとして利用するかも指定します。

ホワイトリスト（許可リスト） - リストに含まれるMACアドレスからの接続だけを許可（デフォルトは拒否）
ブラックリスト（拒否リスト） - リストに含まれるMACアドレスからの接続だけを拒否（デフォルトは許可）

2a. VAPごとにMACフィルターを割り当てる

VAPごとにMACフィルターを割り当てる場合は、以下の手順に従います。

wireless-mac-filter(local)コマンドでMACフィルター（リスト）を作成した後、rule(local)コマンドを使用して、フィルタータイプを指定します。

ホワイトリストとして使用する場合は、permit（リスト内のMACアドレスのみ許可）を指定します。
たとえば、MACフィルター「1」をホワイトリストとして使用する場合は次のようにします。
```
awplus(config-wireless)# wireless-mac-filter 1
awplus(config-wireless-mac-flt)# rule permit
awplus(config-wireless-mac-flt)# exit
```
ブラックリストとして使用する場合は、deny（リスト内のMACアドレスのみ拒否）を指定します。
たとえば、MACフィルター「2」をブラックリストとして使用する場合は次のようにします。
```
awplus(config-wireless)# wireless-mac-filter 2
awplus(config-wireless-mac-flt)# rule deny
awplus(config-wireless-mac-flt)# exit
```
各VAPに対応する無線ネットワーク設定において、mac-auth mode(local)コマンドでMAC認証モードを radius に設定した後、wireless-mac-filter-id(local)コマンドで使用するMACフィルターの番号を指定します。
これにより、各VAPでは無線ネットワーク設定で指定したMACフィルターが使用されるようになります。
この例では無線ネットワーク設定「1」を割り当てたVAPではMACフィルター「1」が、無線ネットワーク設定「2」を割り当てたVAPでMACフィルター「2」が使用されます。
```
awplus(config-wireless)# network 1
awplus(config-wireless-network)# mac-auth mode radius
awplus(config-wireless-network)# wireless-mac-filter-id 1
awplus(config-wireless-network)# exit
awplus(config-wireless)# network 2
awplus(config-wireless-network)# mac-auth mode radius
awplus(config-wireless-network)# wireless-mac-filter-id 2
awplus(config-wireless-network)# exit
```

APプロファイルモードに移動し、各vapに無線ネットワーク設定を割り当てます

awplus(config-wireless)# ap-profile local
awplus(config-wireless-ap-prof)# radio 1
awplus(config-wireless-ap-prof-radio)# enable
awplus(config-wireless-ap-prof-radio)# vap 1 network 1
awplus(config-wireless-ap-prof-radio)# vap 2 network 2

特権EXECモードに戻り、設定を適用します

awplus(config-wireless-ap-prof-radio)# end
awplus# wireless ap-configuration apply ap local

設定は以上です。

2b. APプロファイルにMACフィルターを割り当てる

AP共通設定（APプロファイル）にMACフィルターを割り当てる場合、以下の手順に従います

APプロファイルに移動し、wireless-mac-filter(local)コマンド（APプロファイルモード）でAPプロファイルに割り当てるMACフィルターと、フィルタータイプを指定します。

Note
MACフィルターをAPプロファイルに割り当てる場合は、rule(local)コマンド（無線MACフィルターモード）で指定したMACフィルター自身のアクション設定は使用されず、wireless-mac-filter(local)コマンド（APプロファイルモード）で指定したアクションが使用されます。

ホワイトリストとして使用する場合は、permit（リスト内のMACアドレスのみ許可）を指定します。
たとえば、APプロファイルにおいて、MACフィルター「1」をホワイトリストとして使用する場合は次のようにします。
```
awplus(config-wireless)# ap-profile local
awplus(config-wireless-ap-prof)# wireless-mac-filter permit 1
```
ブラックリストとして使用する場合は、deny（リスト内のMACアドレスのみ拒否）を指定します。
たとえば、APプロファイルにおいて、MACフィルター「1」をブラックリストとして使用する場合は次のようにします。
```
awplus(config-wireless)# ap-profile local
awplus(config-wireless-ap-prof)# wireless-mac-filter deny 1
```
各VAPに対応する無線ネットワーク設定において、mac-auth mode(local)コマンドでMAC認証モードを radius に設定した後、wireless-mac-filter-id(local)コマンドでキーワード「profile」を指定し、APプロファイルで指定したMACフィルターを使用するよう指示します。
無線ネットワークの初期状態ではMAC認証モードが未設定であり、またMACフィルターが無効に設定されているため、APプロファイルにMACフィルターを割り当てただけではMACフィルターは使用されません。
以下の設定により、該当無線ネットワーク設定を割り当てたVAPでは、APプロファイルで指定したMACフィルターが使用されるようになります。
```
awplus(config-wireless)# network 3
awplus(config-wireless-network)# mac-auth mode radius
awplus(config-wireless-network)# wireless-mac-filter-id profile
awplus(config-wireless-network)# exit
```

APプロファイルモードに移動し、各vapに無線ネットワーク設定を割り当てます

awplus(config-wireless)# ap-profile local
awplus(config-wireless-ap-prof)# radio 1
awplus(config-wireless-ap-prof-radio)# enable
awplus(config-wireless-ap-prof-radio)# vap 3 network 3

特権EXECモードに戻り、設定を適用します

awplus(config-wireless-ap-prof-radio)# end
awplus# wireless ap-configuration apply ap local

設定は以上です。

その他

設定の確認

MACフィルターの一覧を見るには、show wireless wireless-mac-filter(local)コマンドでbriefオプションを指定します。

awplus> show wireless wireless-mac-filter brief

MACフィルターに登録されているMACアドレスの一覧など、詳細を確認するにはshow wireless wireless-mac-filterをbriefオプションなしで実行します。
MACフィルター番号を省略あるいはallを指定した場合はすべてのMACフィルターが、特定の番号を指定した場合は該当MACフィルターの情報だけが表示されます。

awplus> show wireless wireless-mac-filter
awplus> show wireless wireless-mac-filter 1

APプロファイルに割り当てられたMACフィルターとそのフィルタータイプを確認するには、show wireless ap-profile(local)コマンドを実行します。
「Wireless MAC filter ID」欄でMACフィルターの番号が、「Rule」欄でフィルタータイプ（permit - ホワイトリスト、deny - ブラックリスト）を確認できます。

awplus> show wireless ap-profile 1
AP-PROFILE ID 1:
...
 Wireless MAC filter ID ........ 1
  Rule ......................... deny
...

無線ネットワークでMACフィルターが有効になっているかどうかを確認するには、show wireless network(local)コマンドを実行します。
「Wireless MAC filter ID」欄に「Profile」と表示されている場合はAPプロファイルに割り当てたMACフィルターが有効、「1」のような番号が表示されている場合はVAP（ネットワーク）に割り当てたMACフィルターが有効、空欄の場合はMACフィルターが無効です。

awplus> show wireless network 10
Network ID 10:
...
 Wireless MAC filter ID ........ Profile
...

CSVファイルの書き出し

MACフィルターに登録されているMACアドレスの一覧は任意のCSVファイルに書き出すことができます。
これには、特権EXECモードのwireless export wireless-mac-filter(local)コマンドを使います。

MACフィルター「1」の内容をCSVファイル「flash:/mac-filter-1.csv」に書き出すには、次のようにします。

awplus# wireless export wireless-mac-filter 1 flash:/mac-filter-1.csv

本コマンドでエクスポートされるCSVファイルの書式は次のようになります。

"00:00:5e:00:53:a1","Client A1"
"00:00:5e:00:53:a2","Client A2"
"00:00:5e:00:53:a3","Client A3"
"00:00:5e:00:53:a4","Client A4"

各行（各レコード）は1列目（第1フィールド）がMACアドレスで、2列目（第2フィールド）がコメント（説明文）になります。
1列目のMACアドレスは、すべて小文字の「HH:HH:HH:HH:HH:HH」形式で出力されます。