リモートアクセス制御

• 1 機能概要
• 2 用語の定義
• 3 機能詳細
• 4 関連コマンド
• 5 コマンド実行例
  • 5.1 Telnetサーバーに対するアクセス制御
  • 5.2 Httpサーバーに対するアクセス制限
  • 5.3 Tftpサーバーに対するアクセス制限
  • 5.4 Snmpエージェントに対するアクセス制限
• 6 注意事項
• 7 関連文書

1 機能概要

本L2スイッチは、ネットワークサービスを実現する以下のアプリケーションに対して、アクセス制限を行う機能を提供します。

• Telnetサーバー
• Http サーバー
• Tftp サーバー
• Snmpエージェント

2 用語の定義

特になし

3 機能詳細

ネットワークサービスに対するアクセス制限として、以下の4つを可能とします。

• 該当サービスをシステムに常駐させるかどうかの制御（起動・停止制御）
• 受付ポート番号の変更
• サービス起動中のアクセス先の限定
• サービス起動中のアクセス元IPアドレスの限定
  
  

下表にネットワークサービスごとに対応する機能を示します。

• ネットワークサービスに対するアクセス制御

  ネットワークサービス	起動・停止制御	受付ポート番号の変更	アクセス先の限定	アクセス元の限定
  Telnet サーバー	○	○	○	○
  Http サーバー	○	○	○	×
  Tftp サーバー	×	×	○	×
  Snmp エージェント	×	×	○	×

1. ファームウェア更新、running-config、startup-configの設定／取得で使用するTftpサーバー、ネットワーク監視のために使用するSnmpエージェントは、
   本L2スイッチの基本機能として必要であるため常に起動(常駐機能)させます。
   
   
2. ネットワークサービスの起動は、 原則一つ とします。同一サービスを多重起動させることはできません。
   サービス起動中に同一サービスに対して起動制御を行うと、再立ち上げします。このため、接続中のセッションは 切断 されます。
   
   
3. ネットワークサービスに対してのアクセス先の限定は、 VLANインターフェース に対して行います。
   
   
4. ネットワークサービスに対してのアクセス元の限定では、 アクセス元のIPアドレス と アクセスの許可/拒否 を指定することができます。
   
   
5. ネットワークサービスの初期設定は下表のようになっています。

   ネットワークサービス	起動・停止状態	受付ポート番号	アクセス先の限定	アクセス元の限定
   Telnet サーバー	起動	23	デフォルトVLAN (VLAN #1) のみ許可	全て許可
   Http サーバー	起動	80	デフォルトVLAN (VLAN #1) のみ許可	全て許可
   Tftp サーバー	起動	69	全て拒否	全て許可
   Snmp エージェント	起動	161	全て拒否	全て許可

4 関連コマンド

関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。

• 関連コマンド一覧

  ネットワークサービス	操作項目	操作コマンド
  Telnetサーバー	起動停止	service telnet-server
  	受付ポート番号変更	service telnet-server (引数で指定)
  	アクセス制御	telnet-server interface
  	IPアドレスアクセス制御	telnet-server access
  	設定の表示	show telnet-server
  Httpサーバー	起動停止	service http-server
  	受付ポート番号変更	service http-server (引数で指定)
  	アクセス制御	http-server interface
  	設定の表示	show http-server
  Tftpサーバー	アクセス制御	tftp-server interface
  Snmpエージェント	アクセス制御	snmp-server community

5 コマンド実行例

5.1 Telnetサーバーに対するアクセス制御

Telnetサーバーに対するアクセス制限を実現します。
Telnetサーバーの受付ポートを1024に変更し、保守VLANである VLAN #1000 からのみアクセスを許可します。
Telnetサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
telnet-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。

L2SW(config)#service telnet-server 1024 ... (受付ポートを1024に変更し、Telnetサーバーを再起動する)
L2SW(config)#no telnet-server interface vlan0.1 ... (VLAN #1 からのアクセスを禁止する)
L2SW(config)#telnet-server interface vlan0.1000 ... (VLAN #1000 のみアクセスを許可する)
L2SW(config)#telnet-server access permit 192.168.100.1 ... (192.168.100.1からのみアクセスを許可する)
L2SW(config)#end 
L2SW#show telnet-server ... (設定状況の確認)
Service:Enable
Port:1024
Interface(vlan):1, 1000
Access:
permit 192.168.100.1

5.2 Httpサーバーに対するアクセス制限

Httpサーバーに対するアクセス制限を実現します。
Httpサーバーの受付ポートを8080に変更し、保守VLANである VLAN #1000 からのみアクセスを許可します。

L2SW(config)#service http-server 8080 ... (受付ポートを1024に変更し、Telnetサーバーを再起動する)
L2SW(config)#no http-server interface vlan0.1 ... (VLAN #1 からのアクセスを禁止する)
L2SW(config)#http-server interface vlan0.1000 ... (VLAN #1000 のみアクセスを許可する)
L2SW(config)#end 
L2SW#show http-server ... (設定状況の確認)
Service:Enable
Port:8080

5.3 Tftpサーバーに対するアクセス制限

Tftpサーバーに対するアクセス制限を実現します。
Tftpサーバーへのアクセスは、保守VLANである VLAN #1 (デフォルトVLAN) からのみ許可します。

L2SW(config)#tftp-server interface vlan0.1 ... (VLAN #1 のみアクセスを許可する)

5.4 Snmpエージェントに対するアクセス制限

SNMPv1によるネットワーク監視を以下の条件で実現します。

1. 読み出し専用のコミュニティ名"public"を設定し、アクセス可能なVLANインターフェースをVLAN #1(vlan0.1)とします。
2. トラップの送信先を"192.168.100.11"に設定し、トラップのコミュニティ名を"snmptrapname"とします。

L2SW(config)# snmp-server community public ro interface vlan0.1　          ... 1
L2SW(config)# snmp-server host 192.168.100.11 traps version 1 snmptrapname ... 2

6 注意事項

特になし

7 関連文書

• SNMP