Webアクセス拒否通知の構成例と設定例
Webアクセス拒否通知の構成例と設定例を示します。
Webアクセス拒否通知の設定例(実IPv4アドレス)
Webアクセス拒否通知の対象端末が所属するVLANのVLANインターフェースにIPv4アドレスが設定されていて、そのIPv4アドレスで応答処理をする場合の構成例と設定例を示します。
Webアクセス拒否通知の構成例(実IPv4アドレス)
- VLAN 10を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface port 1/0/1 sw1(config-if-port)# switchport mode access sw1(config-if-port)# switchport access vlan 10 sw1(config-if-port)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10 sw1(config-if-port)# exit sw1(config)#
- VLAN 10インターフェースにIPv4アドレス[192.168.10.50/24]を設定します。
sw1(config)# interface vlan 10 sw1(config-if-vlan)# ip address 192.168.10.50/24 sw1(config-if-vlan)# exit sw1(config)#
- Webアクセス拒否通知のための拡張エキスパートアクセスリスト[example-1]を作成し、以下のルールを設定します。
ルール10(web-deny-notify tcp):送信元IPv4アドレス[192.168.10.101]、宛先TCPポート番号[80]
ルール11(web-deny-notify tcp):送信元IPv4アドレス[192.168.10.101]、宛先TCPポート番号[443]
sw1(config)# expert access-list extended example-1 sw1(config-exp-nacl)# 10 web-deny-notify tcp host 192.168.10.101 any any any eq 80 sw1(config-exp-nacl)# 11 web-deny-notify tcp host 192.168.10.101 any any any eq 443 sw1(config-exp-nacl)# exit sw1(config)#
- 設定したアクセスリストをポート1/0/1に適用します。
sw1(config)# interface port 1/0/1 sw1(config-if-port)# expert access-group example-1 in sw1(config-if-port)# end sw1#
- 実施後のWebアクセス拒否通知関連の設定を以下に抜粋します。
# ACL expert access-list extended example-1 9999 10 web-deny-notify tcp host 192.168.10.101 any any any eq http 11 web-deny-notify tcp host 192.168.10.101 any any any eq 443 interface port 1/0/1 expert access-group example-1 in
Webアクセス拒否通知の設定例(仮想IPv4アドレス)
Web認証のweb-authentication http-ip ipv4コマンドを利用して仮想IPv4アドレスを設定し、その仮想IPv4アドレスで応答処理をする場合の構成例と設定例を示します。また、この設定例では、対象端末からのIPv4パケットを破棄するエントリーも設定しています。
Webアクセス拒否通知の構成例(仮想IPv4アドレス)
- VLAN 10、VLAN 100 を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10,100 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface port 1/0/2 sw1(config-if-port)# switchport mode access sw1(config-if-port)# switchport access vlan 10 sw1(config-if-port)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10,100 sw1(config-if-port)# exit sw1(config)#
- VLAN 100インターフェースに管理用IPv4アドレス[192.168.100.100/24]を設定します。
sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.100.100/24 sw1(config-if-vlan)# exit sw1(config)#
- Web認証のweb-authentication http-ip ipv4コマンドを利用して仮想IPv4アドレス[192.0.2.100]を設定します。
sw1(config)# access-defender sw1(config-a-def)# web-authentication http-ip ipv4 192.0.2.100 sw1(config-a-def)# exit sw1(config)#
- Webアクセス拒否通知のためのリダイレクト先URLを[http://192.0.2.100/www/web-deny-notify.html]に設定します。
sw1(config)# web-deny-notify redirect url http://192.0.2.100/www/web-deny-notify.html sw1(config)#
- Webアクセス拒否通知のための拡張エキスパートアクセスリスト[example-2]を作成し、以下のルールを設定します。
ルール10(web-deny-notify tcp):送信元MACアドレス[00:00:5E:00:53:11]、宛先TCPポート番号[80]
ルール11(web-deny-notify tcp):送信元MACアドレス[00:00:5E:00:53:11]、宛先TCPポート番号[443]
ルール12(deny):送信元MACアドレス[00:00:5E:00:53:11]
sw1(config)# expert access-list extended example-2 sw1(config-exp-nacl)# 10 web-deny-notify tcp any host 0000.5e00.5311 any any eq 80 sw1(config-exp-nacl)# 11 web-deny-notify tcp any host 0000.5e00.5311 any any eq 443 sw1(config-exp-nacl)# 12 deny any host 0000.5e00.5311 any any sw1(config-exp-nacl)# exit sw1(config)#
- 設定したアクセスリストをポート1/0/2に適用します。
sw1(config)# interface port 1/0/2 sw1(config-if-port)# expert access-group example-2 in sw1(config-if-port)# end sw1#
- 実施後のWebアクセス拒否通知関連の設定を以下に抜粋します。
# ACL expert access-list extended example-2 9999 10 web-deny-notify tcp any host 00-00-5E-00-53-11 any any eq http 11 web-deny-notify tcp any host 00-00-5E-00-53-11 any any eq 443 12 deny any host 00-00-5E-00-53-11 any any interface port 1/0/2 expert access-group example-2 in # WEB-AUTHENTICATION web-deny-notify redirect url http://192.0.2.100/www/web-deny-notify.html access-defender web-authentication http-ip ipv4 192.0.2.100
