Catalyst 1300 スイッチでの管理アクセス制限
Cisco 機器の設計・構築を行う際、 Telnet や SSH による管理アクセスを ACL で制限するよう設定することは良くあります。Catalyst 1300 スイッチにおいても、設定方法は IOS 搭載機器と異なるものの ACL での管理アクセス制限を設定することが可能です。ここではその設定方法を説明します。
動作確認環境
- Cisco C1300-8T-E-2G
- Version: 4.1.6.54
管理アクセス制限の設定手順と管理 ACL の仕様
管理 ACL による管理アクセス制限を行う場合、以下の設定を行います。
- 管理 ACL を作成する
- 管理 ACL を適用した管理アクセスクラスを設定する
管理 ACL は作成しただけでは動作には影響せず、管理アクセスクラスを設定することで動作に影響します。管理アクセスクラスはグローバルコンフィギュレーションモードで設定するため、受信インターフェースに関わらず対象スイッチ宛の通信全て (ただし下記の制御対象サービスのみ) がフィルタリングの対象となります。(管理 ACL で受信インターフェースを指定したルールの作成は可能。)
管理 ACL での制御対象となるサービスには以下があります。
- telnet
- ssh
- http
- https
- snmp
SNMP も制限対象に含まれている点に注意してください。
管理 ACL は、通常の ACL と同様にどのルールにも合致しない通信は拒否されるという「暗黙の deny」の性質を持ちます。よって、アクセス制限をしないサービスについては明示的に permit のルールを設定する必要がある点に注意してください。
管理 ACL の設定方法
管理 ACL は以下のコマンドで設定します。
- (config)#management access-list <ACL名>
- <ACL名>:1-32 文字の範囲で任意の ACL 名を指定
- コマンドを実行すると管理 ACL コンフィギュレーションモードに移行する
- 以下の任意の形式のコマンドで管理 ACL の permit ルール、deny ルールを設定する
- (config-macl)#{permit | deny} ip-source <アドレス> mask {<サブネットマスク> | /<プレフィックス長>}
- 送信元 IP アドレスのみで制限し、サービスを区別しない場合
- (config-macl)#{permit | deny} ip-source <アドレス> mask {<サブネットマスク> | /<プレフィックス長>} service <サービス>
- 送信元 IP アドレスとサービスを指定して制限する場合
- (config-macl)#{permit | deny} <interface-id>
- 着信インターフェース(宛先インターフェースではない)によって制限したい場合
- (config-macl)#{permit | deny}
- すべての通信を許可、拒否したい場合は「permit」または「deny」のみを入力する
- (config-macl)#{permit | deny} ip-source <アドレス> mask {<サブネットマスク> | /<プレフィックス長>} <interface-id> service <サービス>
- すべてのオプションを含む形式
- (config-macl)#{permit | deny} ip-source <アドレス> mask {<サブネットマスク> | /<プレフィックス長>}
- ルールにシーケンス番号のオプションは無く、新規設定したルールは最後尾に追加されます
- 設定済みのルールを削除することはできません。ルールを削除したい場合は管理 ACL 自体を一度削除して再設定する必要があります
- 管理 ACL で指定するインターフェースとは、アクセスの宛先となるインターフェースではなく、アクセスを受信するインターフェースのことです。管理 ACL で指定したインターフェースで受信され、別のインターフェースのアドレスにルーティングされるようなアクセスは許可されます
- 管理アクセスクラスに適用されている管理 ACL を編集することはできません
管理 ACL の設定例
設定例1 telnet,ssh,http,https については送信元アドレス制限をし、snmp については制限しない場合
management access-list sample01
permit ip-source 192.168.1.0 mask 255.255.255.0
permit service snmp設定例2 telnet,ssh については送信元アドレス制限をし、その他のサービス については制限しない場合
management access-list sample02
permit ip-source 192.168.1.0 mask 255.255.255.0 service telnet
permit ip-source 192.168.1.0 mask 255.255.255.0 service ssh
permit service http
permit service https
permit service snmp設定例3 全てのサービスについて受信インターフェースを Vlan2 のみに制限する場合
management access-list sample03
permit vlan2設定例4 特定のセグメントからは拒否し、その他はすべて許可する場合
management access-list sample04
deny ip-source 10.0.0.0 mask 255.0.0.0
permit管理アクセスクラスの設定
管理 ACL を適用した管理アクセスクラスを設定することで初めて管理アクセス制限が動作します。管理アクセスクラスはグローバルコンフィギュレーションモードで設定します。管理アクセスクラスに適用できる管理 ACL は一つのみです。
- (config)#management access-class <管理ACL名>
現在接続中の管理セッションが管理 ACL で許可されていない場合セッションが切断されるため注意してください。
以下は管理 ACL「sample01」を適用した管理アクセスクラスを設定する設定例です。
C1300-8T(config)#management access-class sample01使うことはほぼ無いと思いますが、以下のコマンドでコンソールからの接続のみに制限することもできます。
- (config)#management access-class console-only
管理 ACL 関連 show コマンド
- #show management access-list
- 設定されている管理 ACL の内容を表示
C1300-8T#show management access-list
sample01
--------
permit ip-source 192.168.1.0 mask 255.255.255.0
permit service snmp
! (Note: all other access implicitly denied)
sample02
--------
permit ip-source 192.168.1.0 mask 255.255.255.0 service telnet
permit ip-source 192.168.1.0 mask 255.255.255.0 service ssh
permit service http
permit service https
permit service snmp
! (Note: all other access implicitly denied)
sample03
--------
permit vlan 2
! (Note: all other access implicitly denied)
sample04
--------
deny ip-source 10.0.0.0 mask 255.0.0.0
permit
! (Note: all other access implicitly denied)
console-only
------------
deny
! (Note: all other access implicitly denied)- #show management access-class
- 管理アクセスクラスの設定有無と適用されている管理 ACL 名を表示
C1300-8T#show management access-class
Management access-class is enabled, using access-list sample01参考資料
Cisco Catalyst 1300 スイッチ関連記事一覧
- 基礎知識
- 管理系設定
- インターフェース
- スパニングツリー
- ルーティング
- アクセスリスト
- その他機能
- 参考資料
Amazon で買えるおすすめアイテム
以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。
コメント