URL ACL(Enhanced) 導入ガイド はじめに 2 前提条件 2 使用されるコンポーネント 2 表記法 2 機能概要 2 URL フィルタリングの設定 4 URL ACL の設定の移行 17
Revised: June 26, 2017, はじめに このドキュメントでは URLACL(Enhanced) 機能と その導入についての一般的なガイドラインについて説明します このドキュメントでは 次のことを目的としています URL ACL(Enhanced) 機能の概要説明 サポートされている主要機能のハイライト WLC での URL ACL(Enhanced) 機能の導入と管理の詳細説明 前提条件 8.4 コードにアップグレードするには ワイヤレス LAN コントローラに AireOS 8.0 以降のリリースがインストールされている必要があります 使用されるコンポーネント このドキュメントの情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このマニュアルで使用されるデバイスはすべて 初期設定 ( デフォルト ) の状態から作業が開始されています ネットワークが稼働中の場合は コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります 表記法 ドキュメント表記の詳細は Cisco Technical Tips Conventions を参照してください 機能概要 URL フィルタリング機能により Web サイトへのアクセスを制限することでネットワーク帯域幅の使用が最適化されます この機能では DNS スヌーピングを使用して DNS サーバからワイヤレスクライアントに送信される DNS 応答をスヌープします HTTP や HTTPS を含むあらゆるプロトコルで URL を制限する ACL ベースの実装です 実装 URL フィルタリング ACL は一連の URL のリストとして定義されます このリストでは すべての URL の拒否または許可アクションと関連付けられます ACL タイプは ホワイトリストまたはブラックリストのどちらかとなります ホワイトリストルールとブラックリストルールの混在はサポートされていません 外部サーバの IP アドレスが設定されます このアドレスは アクセス URL が設定によりブロックされた際にブロックページをクライアントにリダイレクトするために使用されます 2
ワークフロー クライアントへの DNS 応答は WLC によってスヌープされます URL が設定 (ACL ルール ) によって許可されていれば DNS 応答はクライアントに送信されます URL が設定 (ACL ルール ) によって許可されていない場合 解決済み IP は外部サーバの IP( 後ほど設定します ) で上書きされてクライアントに返されます この外部サーバはブロックページをクライアントにリダイレクトします ACL で拒否された DNS 応答と許可された DNS 応答の数はリアルタイムで確認できます 設定 1 ACL をホワイトリストまたはブラックリストとして設定し ドメインへのアクセスを許可または拒否する 2 外部サーバの IP アドレスを設定する 3 作成した URL ACL を次のいずれかに関連付ける インターフェイス WLAN ローカルポリシー ( 最高優先順位 ) すべてのプロトコルに対して 指定したドメインへの参照が制限されます プラットフォームのサポート 1 この機能は 5520 と 8540 でサポートされます 5508 8510 vwlc 2504 ME ではサポートされません 2 ローカルモードと [Flex central switching] でのみサポートされます 考慮事項 1 ワイルドカードサポート ( *.domain.com など) 1 最大 10 件 2 ワイルドカード 1 つ当たりサブドメイン 5 つ 2 URL フィルタリングには次のものが含まれます a b URL 100 件のサポート サブ URL(www.domain.com と www.domain.com/resources など ) はサポート対象外 3 URL は最大 32 文字までサポート 4 この機能は AVC に依存しません DNS スヌーピングのみに基づいて動作します 5 URL フィルタリング ACL 名を返す RADIUS サーバはサポートされていません 3
6 リバース DNS はサポートされていません ダイレクト IP による (DNS を介さない ) クライアントアクセスは許可 されません 7 IPv6 はサポートされていません URL フィルタリングの設定 URL フィルタリングは ローカルポリシーによって WLAN インターフェイス または個々のクライアントセッションに割り当てられている ACL およびルールを使用して 許可または拒否する URL を決定します 次のでは 2 つの一般的なシナリオに基づいて URL に基づく ACL ルールを作成する方法を示します シナリオ 1: 特定の URL へのアクセスを拒否するためのルールが定義されているリストタイプ Blacklist を使用した ACL これは 一般的に ブラックリスト と呼ばれます シナリオ 2: 特定の URL へのアクセスのみを許可するためのルールが定義されているリストタイプ Whiitelist を使用した ACL これは 一般的に ホワイトリスト と呼ばれます アクセスコントロールリスト GUI を使用したコントロールリストへのアクセス GUI を使用してコントロールリストにアクセスするには 次のを実行します WLC のメインメニューから [SECURITY]> [Access Control Lists] > [URL ACLs] の順に選択します [New] をクリックします [URL ACL Name] に入力し [Apply] をクリックします この例では BLOCK-SITES という名前で ACL を定義しています 4
ステップ 3 [List Type] のドロップダウンリストから [Blacklist] を選択し [Apply] をクリックします ステップ 4 [External Server IP] フィールドに入力し [Apply] をクリックします この例では 10.10.10.10 に設定しています これにより ブロックページをクライアントにリダイレクトします ステップ 5 [New] をクリックし 他の ACL を定義します ステップ 6 [URL ACL Name] に入力し [Apply] をクリックします この例では PERMIT-SITES という名前で 2 つ目の ACL を定義しています 5
CLI を使用したコントロールリストへのアクセス ステップ 3 ステップ 4 BLOCK-SITES および PERMIT-SITES という名前で URL ACL を作成します (Cisco Controller)> config acl url-acl create BLOCK-SITES (Cisco Controller)> config acl url-acl create PERMIT-SITES BLOCK-SITES のリストタイプを Blacklist PERMIT-SITES のリストタイプを Whitelist に設定します (Cisco Controller)> config acl url-acl list-type BLOCK-SITES blacklist (Cisco Controller)> config acl url-acl list-type PERMIT-SITES whitelist ページのリダイレクトに使用する外部サーバの IP を設定します (Cisco Controller)> config acl url-acl external-server-ip 10.10.10.10 ACL が作成されたことを確認します ルールが追加され ACL が適用されるまで 両方の ACL の [Applied] ステータスフィールドに [No] が表示されることに注意してください (Cisco Controller) > show acl url-acl summary ACL Counter Status Enabled External Server IP 10.10.10.10 ---------------------------------------- URL ACL Name Applied List Type --------------- ------- -------------- BLOCK-SITES No BlackList PERMIT-SITES No WhiteList ルール - ブラックリストの例 次の設定は ルールを使用して特定の URL へのアクセスを拒否する方法 ( ブラックリスト ) を示しています この例では 拒否アクションが設定された URL の番号付きリストを定義し 要求されている特定の URL へのアクセスをブロックします ACL 自体に暗黙の拒否アクションがあるため 要求されたその他のすべての URL にアクセスできるように リストの最後にワイルドカードの許可ルールを追加します 6
GUI を使用してブラックリストを作成する WLC のメインメニューから [SECURITY]> [Access Control Lists] > [URL ACLs] の順に選択します ルールを追加するには [URL ACL Name] をクリックします [Add New Rule] をクリックします ステップ 3 [Rule Index] を入力し 一致させる URL と一致した際のアクションを指定します この例では 最初のルールとして URL に www.cisco.com アクションに Deny を指定しています [Apply] をクリックします 必要に応じて ブラックリストにルールを追加します ステップ 4 ルールに間違いがないことを確認し [Apply All] をクリックします [Status] フィールドが [Not Applied] から [Applied] に変わります 7
( 注 ) ルール 2 と 3 を追加するための設定はこの例に示しませんが ルールを追加するは 3 で説明したとまったく同じです CLI を使用してブラックリストを作成する ステップ 3 ステップ 4 BLOCK-SITES という名前の ACL 用のルールを作成します (Cisco Controller)> config acl url-acl rule add BLOCK-SITES 1 (Cisco Controller)> config acl url-acl rule url BLOCK-SITES 1 www.cisco.com (Cisco Controller)> config acl url-acl rule action BLOCK-SITES 1 deny (Cisco Controller)> config acl url-acl rule add BLOCK-SITES 2 (Cisco Controller)> config acl url-acl rule url BLOCK-SITES 2 www.nba.com (Cisco Controller)> config acl url-acl rule action BLOCK-SITES 2 deny (Cisco Controller)> config acl url-acl rule add BLOCK-SITES 3 (Cisco Controller)> config acl url-acl rule url BLOCK-SITES 3 www.disney.com (Cisco Controller)> config acl url-acl rule action BLOCK-SITES 3 deny ACL を適用します (Cisco Controller)> config acl url-acl apply BLOCK-SITES ACL のルールを確認します (Cisco Controller)> show acl url-acl detailed BLOCK-SITES RuleIndex Action URL Hit Count --------- ----------- ---------------------------------- ------------- 1 Deny www.cisco.com 0 2 Deny www.nba.com 0 3 Deny www.disney.com 0 ACL が適用されていることを確認します 適用されると BLOCK-SITES の [Applied] フィールドのス テータスが [No] から [Yes] に変わります (Cisco Controller)> show acl url-acl summary ACL Counter Status Enabled External Server IP 10.10.10.10 ---------------------------------------- URL ACL Name Applied List Type 8
--------------- ------- -------------- BLOCK-SITES Yes BlackList PERMIT-SITES No WhiteList ルール - ホワイトリストの例 次の設定は ルールを使用して特定の URL へのアクセスのみを許可する方法 ( 通常はホワイトリストと呼ばれる ) を示しています この例では 許可アクションが設定された URL の番号付きリストを定義し 要求されている特定の URL へのアクセスを許可します ACL に暗黙の拒否アクションがあるため 要求されたその他のすべての URL へのアクセスがブロックされます GUI を使用してホワイトリストを作成する WLC のメインメニューから [SECURITY]> [Access Control Lists] > [URL ACLs] の順に選択します ルールを追加するには [URL ACL Name] をクリックします [Add New Rule] をクリックします ステップ 3 [Rule Index] を入力し 一致させる URL を指定します この例では 最初のルールとして URL に www.cisco.com アクションに Permit を指定しています [Apply] をクリックします 必要に応じて Permit アクションのルールを追加します 9
ステップ 4 ルールに間違いがないことを確認し [Apply All] をクリックします [Status] フィールドが [Not Applied] から [Applied] に変わります CLI を使用してホワイトリストを作成する ステップ 3 ステップ 4 PERMIT-SITES という名前の ACL にルールを作成します (Cisco Controller)> config acl url-acl rule add PERMIT-SITES 1 (Cisco Controller)> config acl url-acl rule url PERMIT-SITES 1 www.cisco.com (Cisco Controller)> config acl url-acl rule action PERMIT-SITES 1 permit ACL を適用します (Cisco Controller)> config acl url-acl apply PERMIT-SITES ACL のルールを確認します (Cisco Controller)> show acl url-acl detailed PERMIT-SITES RuleIndex Action URL Hit Count --------- ----------- ---------------------------------- ------------- 1 Permit www.cisco.com 0 ACL が適用されていることを確認します 適用されると PERMIT-SITES の [Applied] フィールドのステータスが [No] から [Yes] に変わります (Cisco Controller)> show acl url-acl summary ACL Counter Status Enabled 10
External Server IP 10.10.10.10 ---------------------------------------- URL ACL Name Applied List Type --------------- ------- -------------- BLOCK-SITES Yes BlackList PERMIT-SITES Yes WhiteList ヒットカウンタの有効化 オプションでヒットカウンタを有効化して URL ACL の各ルールのヒット数をモニタできます ヒットカウンタは ルールが一致するたびにカウンタが 1 増えるため ACL のトラブルシューティングに役立ちます 次のは WLC で ACL のヒットカウンタをグローバルに有効化する方法を示しています GUI を使用してヒットカウンタを有効化する WLC のメインメニューから [SECURITY]> [Access Control Lists] の順に選択します [Enable Counters] を選択し [Apply] をクリックします WLC のメインメニューから [SECURITY]> [Access Control Lists] > [URL ACLs] の順に選択します 一致したそれぞれの URL の [Hit Count] を表示するには 目的の URL ACL の名前をクリックします 11
CLI を使用してヒットカウンタを有効化する ACL ヒットカウンタをグローバルに有効化します (Cisco Controller)> config acl counter start 特定の ACL のヒットカウンタを表示します この例では BLOCK-SITES という名前の ACL のヒット 数を表示しています (Cisco Controller)> show acl url-acl detailed BLOCK-SITES RuleIndex Action URL Hit Count --------- ----------- ---------------------------------- ------------- 1 Deny www.cisco.com 41 2 Deny www.nba.com 24 3 Deny www.disney.com 7 アクセスコントロールリストの適用 URL ACL は ローカルポリシーを使用して動的にクライアントに割り当てることも WLAN やインターフェイスに直接割り当てることもできます ローカルポリシー - URL ACL は ローカルポリシーが割り当てられているすべてのクライアントに適用されます ローカルポリシーを使用して割り当てられた URL ACL は優先順位が最も高く WLAN やインターフェイスに割り当てられている URL ACL をオーバーライドします WLAN - URL ACL は 対象の WLAN に関連付けられたすべてのクライアントに適用されます ( クライアントにローカルポリシー経由で URL ACL が割り当てられている場合を除く ) WLAN に割り当てられた URL ACL は インターフェイスに割り当てられた URL ACL をオーバーライドします インターフェイス - URL ACL は 特定のインターフェイスに転送されたすべてのトラフィックに適用されます 12
次のは WLC の URL ACL を WLAN インターフェイス ローカルポリシーに割り当てる方法を示しています GUI を使用して WLAN に割り当てる WLC のメインメニューで [WLANs]> [WLANs] の順に選択します 変更する WLAN の [WLAN ID] を選択します [Advanced] タブに移動し 目的の [URL ACL] を割り当てます [Apply] をクリックします CLI を使用して WLAN に割り当てる 目的の WLAN を無効化します この例では WLAN ID 1 を無効化しています 対象の WLAN が有効になっていると WLC で ACL を割り当てることができません (Cisco Controller)> config wlan disable 1 WLAN に URL ACL を割り当てます この例では BLOCK-SITES という名前の URL ACL を WLAN 1 に割り当てています (Cisco Controller)> config wlan url-acl 1 BLOCK-SITES ステップ 3 ステップ 4 無効になっている WLAN を再度有効化します (Cisco Controller)> config wlan enable 1 ACL が割り当てられたことを確認します ACL が WLAN に割り当てられていない場合 [WLAN URL ACL] フィールドには [unconfigured] と表示されます (Cisco Controller) > show wlan 1 WLAN Identifier... 1 Profile Name... pod2 Network Name (SSID)... pod2 Status... Enabled 13
MAC Filtering... Disabled!! Output Suppressed! WLAN Layer2 ACL... unconfigured WLAN URL ACL... BLOCK-SITES mdns Status... Enabled! ( 注 ) WLAN から ACL を削除するには config wlan url-acl <wlan-id> none コマンドを実行します GUI を使用してインターフェイスに割り当てる WLC のメインメニューから [Controller]> [Interfaces] の順に選択します 変更するインターフェイス名を選択し [Access Control List] で目的の URL ACL を割り当てます [Apply] をクリックします 14
CLI を使用してインターフェイスに割り当てる ステップ 3 ステップ 4 目的のインターフェイスを使用している WLAN を無効にします この例では WLAN ID 3 がクライアントの管理をマッピングしています 目的のインターフェイスを使用しているアクティブな WLAN があると WLC で ACL をインターフェイスに割り当てることができません (Cisco Controller) > config wlan disable 3 インターフェイスに URL ACL を割り当てます (Cisco Controller) > config interface url-acl management BLOCK-SITES 無効になっている WLAN を再度有効化します (Cisco Controller) > config wlan enable 3 ACL が割り当てられたことを確認します ACL がインターフェイスに割り当てられていない場合 [WLAN URL ACL] フィールドには [unconfigured] と表示されます (Cisco Controller) > show interface detailed management Interface Name... management MAC Address... 4c:00:82:71:4f:af IP Address... 10.10.20.2 IP Netmask... 255.255.255.0 IP Gateway... 10.10.20.1!! Output Suppressed! IPv4 ACL... Unconfigured URL ACL... BLOCK-SITES! ( 注 ) インターフェイスから ACL を削除するには config interface url-acl <interface-name> none コマンドを実行します GUI を使用してローカルポリシーに割り当てる WLC のメインメニューから [SECURITY]> [Local Policies] の順に選択します 変更するポリシー名を選択し [Action] で目的の URL ACL を割り当てます [Apply] をクリックします 15
( 注 ) 詳細については テクニカルリファレンスの Wireless Device Profiling and Policy Classification Engine on WLC を参照してください CLI を使用してローカルポリシーに割り当てる ステップ 3 ACL を目的のローカルポリシーに割り当てます この例では BLOCK-SITES という名前の ACL を STUDENTS という名前のローカルポリシーに割り当てています (Cisco Controller) > config policy STUDENTS action url-acl enable BLOCK-SITES ACL が割り当てられたことを確認します (Cisco Controller) > config interface url-acl management BLOCK-SITES 無効になっている WLAN を再度有効化します (Cisco Controller) > config wlan enable 3 16
ステップ 4 ACLが割り当てられたことを確認します ACLがローカルポリシーに割り当てられていない場合 [URL ACL] フィールドには [<none>] と表示されます (Cisco Controller) > show POLICY STUDENTS Policy Index... 1 Match Role... STUDENTS Match Eap Type... <none> IPv4 ACL... <none> URL ACL... BLOCK-SITES FlexConnect Client ACL... <none> QOS... BRONZE!! Output Suppressed! ( 注 ) ローカルポリシーから ACL を削除するには config policy <policy-name> action url-acl disable コマンドを実行します URL ACL の設定の移行 8.3 から 8.4 へのアップグレード 1 8.3 の設定に すべて拒否ルールで構成されるブラックリスト ACL が含まれている場合 :8.4 の設定では ACL タイプがホワイトリスト ( デフォルト ) として表示され 拒否ルールは消去されます そのため 手動で新しい ACL リストのタイプをブラックリストに設定し 拒否ルールを追加する必要があります 2 8.3 の設定に 許可ルールのみで構成されるホワイトリスト ACL が含まれている場合 : この設定は 8.4 でも同一です ACL タイプは 許可ルールが登録されたホワイトリストとして表示されます この場合 ユーザによる操作は必要ありません 3 8.3 の設定に ホワイトリスト ( 許可ルール ) とブラックリスト ( 拒否ルール ) が混在している場合 :8.4 の設定では ACL タイプがホワイトリストとして表示され ( デフォルト ) 拒否ルールは消去されますが 許可ルールは維持されます 8.4 から 8.3 へのダウングレード 1 URL ACL ルールの変更はありません 2 8.3 では HTTP プロトコルのみがサポートされます 3 NBAR エンジンに基づく URL フィルタリングと DNS スヌーピングは使用されません 17
2017 Cisco Systems, Inc. All rights reserved.
注意 シスコ製品をご使用になる前に 安全上の注意 ( www.cisco.com/jp/go/safety_warning/ ) をご確認ください 本書は 米国シスコ発行ドキュメントの参考和訳です リンク情報につきましては 日本語版掲載時点で 英語版にアップデートがあり リンク先のページが移動 / 変更されている場合がありますことをご了承ください あくまでも参考和訳となりますので 正式な内容については米国サイトのドキュメントを参照ください また 契約等の記述については 弊社販売パートナー または 弊社担当者にご確認ください