[index]
CentreCOM 9424T コマンドリファレンス 2.11
運用・管理/マネージメントアクセスコントロール
- マネージメントアクセスコントロールリスト(Management ACL)
- 基本設定
マネージメントアクセスコントロールは、本製品宛てのIP通信(ユニキャストIPパケット)を制限する機能です。
次に本機能の基本仕様を示します。
- 本機能は、本製品宛てのユニキャストIPパケットにのみ適用され、ブロードキャストパケットやマルチキャストパケット、非IPパケット、本製品宛てでないスイッチング対象パケットやルーティング対象パケットには適用されません。
ただし、本製品宛てユニキャストIPパケットの中にも、次に述べる2つの例外があります。
- Web認証用HTTP/HTTPSサーバー宛てのパケットはつねに許可
本機能の有効・無効やManagement ACLの設定内容にかかわらず、本製品のWeb認証用HTTP/HTTPSサーバー宛てTCPパケットはつねに許可します。
- SSHサーバー宛てのパケットはつねに破棄
本機能の有効時には、Management ACLの設定にかかわらず、本製品のSSHサーバー宛てTCPパケットをつねに破棄します。したがって、本機能とSSHサーバーは併用できません。
- 本機能はデフォルト無効です。
- 本機能の有効時は、マネージメントアクセスコントロールリスト(Management ACL)のエントリーと合致するパケットだけを受け入れ、それ以外のパケットは破棄します。
- 受信したパケットとManagement ACLの照合は、エントリーの登録順に行います。合致するエントリーが見つかった場合はパケットを受け入れ、それ以降のエントリーとの照合は行いません。どのエントリーにも合致しないパケットは破棄します。
Note
- マネージメントアクセスコントロールを有効にする場合は、Management ACLにエントリーが登録されていることを確認してから有効にしてください。Management ACLにエントリーが登録されていない場合、Web認証用HTTP/HTTPSサーバー宛てのTCPパケットを除くすべての本体宛てパケットを破棄します。
Note
- SSHサーバーを利用する場合は、マネージメントアクセスコントロールを有効にしないでください。マネージメントアクセスコントロールの有効時は、Management ACLの設定にかかわらず、本製品宛てのSSHパケットをすべて破棄します。
| マネージメントアクセスコントロールリスト(Management ACL) |
本機能では、Management ACLにエントリーを作成することで、受け入れるパケットの条件を登録します。
エントリーは256個まで作成可能です。
Management ACLの各エントリーで指定可能な条件は次の3つです。受信したパケットがエントリーのすべての条件を満たした場合、エントリーに合致したと見なします。
- 受信スイッチポート(PORTLIST)
単一ポートだけでなく複数ポートの指定も可能。省略時はALL(すべてのポート)
- 始点IPアドレス(IPADDRESS/MASK)
マスク指定により、単一アドレスだけでなくアドレス範囲の指定も可能。省略時は0.0.0.0/0.0.0.0(すべてのアドレス)
- パケットの種類(APPLICATION)
指定方法については次の表を参照。省略時はALL(本機能の適用対象となるすべてのパケット)
表 1:APPLICATIONパラメーターの値と対象パケット
| |
Telnet |
ICMP(EchoReq) |
ICMP(EchoReq以外) |
HTTPダウンロード |
UDP |
| APPLICATION=TELNET |
○ |
× |
○ |
○ |
○ |
| APPLICATION=PING |
× |
○ |
○ |
○ |
○ |
| APPLICATION=ALL |
○ |
○ |
○ |
○ |
○ |
次に、本製品宛てのユニキャストIPパケットを受信したときの動作を説明します。
- 本機能が無効のときは、すべてのパケットを受け入れます。
- 本機能が有効でも、Management ACLにエントリーが登録されていないときは、Web認証用HTTP/HTTPSサーバー宛てのTCPパケットを除く、すべてのパケットを破棄します。
- 本機能が有効で、Management ACLにエントリーが登録されているときは、受信パケットがいずれかのエントリーに合致した場合に該当パケットを受け入れます。どのエントリーにも合致しなかったパケットは破棄します。
各種パケットがエントリーに合致するのは次の場合です。
- Telnetパケット(終点ポートが23の本体宛てTCPパケット)
受信スイッチポートと始点IPアドレスがPORTLIST、IPADDRESS/MASKに一致する、APPLICATION=TELNETまたはALLのエントリーに合致
- Pingパケット(ICMP TypeがEcho Requestの本体宛てICMPパケット)
受信スイッチポートと始点IPアドレスがPORTLIST、IPADDRESS/MASKに一致する、APPLICATION=PINGまたはALLのエントリーに合致
- Ping以外のICMPパケット(ICMP TypeがEcho Request以外の本体宛てICMPパケット)
受信スイッチポートと始点IPアドレスがPORTLIST、IPADDRESS/MASKに一致する、APPLICATION=TELNET、PING、または、ALLのエントリーに合致
- HTTPダウンロードパケット(LOADコマンドで開始したHTTPダウンロードの戻りパケット)
受信スイッチポートと始点IPアドレスがPORTLIST、IPADDRESS/MASKに一致する、APPLICATION=TELNET、PING、または、ALLのエントリーに合致
- UDPパケット(RADIUS、TFTP、SNMP、SNTP、DHCP、DNSなど各種アプリケーションの本体宛てパケット)
受信スイッチポートと始点IPアドレスがPORTLIST、IPADDRESS/MASKに一致する、APPLICATION=TELNET、PING、または、ALLのエントリーに合致
- 本機能が有効のとき、本製品のWeb認証用HTTP/HTTPSサーバー宛てTCPパケットは常に受け入れます。
- 本機能が有効のとき、本製品のSSHサーバー宛てTCPパケットはつねに破棄します。したがって、本機能とSSHサーバーは併用できません。
Management ACLの設定は、次の手順で行います。
- Management ACLを作成します。CREATE MGMTACLコマンドを使って、受け入れるパケットの条件を登録します。
- IPアドレス192.168.10.10からのTelnetアクセス(厳密にはICMP Echo RequestとSSHを除くすべての本体宛てパケット)を許可する場合
CREATE MGMTACL ID=10 IPADDRESS=192.168.10.10 MASK=255.255.255.255 APPLICATION=TELNET ↓
- IPアドレス範囲192.168.20.0/24(192.168.20.0〜192.168.20.255)からのPing(厳密にはTelnetとSSHを除くすべての本体宛てパケット)を許可する場合
CREATE MGMTACL ID=20 IPADDRESS=192.168.20.0 MASK=255.255.255.0 APPLICATION=PING ↓
- スイッチポート1〜12からはSSHを除くすべてのパケットを許可する場合
CREATE MGMTACL ID=30 PORTLIST=1-12 APPLICATION=ALL ↓
- マネージメントアクセスコントロールを有効にします。ENABLE MGMTACLコマンドを使います。
設定は以上です。
■ 既存のエントリーに許可対象のパケットの種類を追加するには、ADD MGMTACLコマンドを使います。
ADD MGMTACL ID=10 APPLICATION=PING ↓
■ 既存のエントリーから許可対象のパケットの種類を削除するには、DELETE MGMTACLコマンドを使います。
DELETE MGMTACL ID=10 APPLICATION=PING ↓
■ Management ACLからエントリーを削除するには、DESTROY MGMTACLコマンドを使います。
■ マネージメントアクセスコントロールを無効にするには、DISABLE MGMTACLコマンドを使います。
■ マネージメントアクセスコントロールの状態とManagement ACLの内容を参照するには、SHOW MGMTACLコマンドを使用します。
■ 特定のエントリーの内容を参照するには、SHOW MGMTACLコマンドのIDパラメーターでエントリー番号を指定します。
(C) 2009-2012 アライドテレシスホールディングス株式会社
PN: 613-001210 Rev.F