リモートアクセス制御


1 機能概要

本L2スイッチは、ネットワークサービスを実現する以下のアプリケーションに対して、アクセス制限を行う機能を提供します。



2 用語の定義

特になし


3 機能詳細

ネットワークサービスに対するアクセス制限として、以下の4つを可能とします。

下表にネットワークサービスごとに対応する機能を示します。


  1. ファームウェア更新、running-config、startup-configの設定/取得で使用するTftpサーバー、ネットワーク監視のために使用するSnmpエージェントは、
    本L2スイッチの基本機能として必要であるため常に起動(常駐機能)させます。

  2. ネットワークサービスの起動は、 原則一つ とします。同一サービスを多重起動させることはできません。
    サービス起動中に同一サービスに対して起動制御を行うと、再立ち上げします。このため、接続中のセッションは 切断 されます。

  3. ネットワークサービスに対してのアクセス先の限定は、 VLANインターフェース に対して行います。

  4. ネットワークサービスに対してのアクセス元の限定では、 アクセス元のIPアドレスアクセスの許可/拒否 を指定することができます。

  5. ネットワークサービスの初期設定は下表のようになっています。
    ネットワークサービス 起動・停止状態 受付ポート番号 アクセス先の限定 アクセス元の限定
    Telnet サーバー 起動 23 デフォルトVLAN (VLAN #1) のみ許可 全て許可
    Http サーバー 起動 80 デフォルトVLAN (VLAN #1) のみ許可 全て許可
    Tftp サーバー 起動 69 全て拒否 全て許可
    Snmp エージェント 起動 161 全て拒否 全て許可



4 関連コマンド

関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。



5 コマンド実行例

5.1 Telnetサーバーに対するアクセス制御

Telnetサーバーに対するアクセス制限を実現します。
Telnetサーバーの受付ポートを1024に変更し、保守VLANである VLAN #1000 からのみアクセスを許可します。
Telnetサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
telnet-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。

L2SW(config)#service telnet-server 1024 ... (受付ポートを1024に変更し、Telnetサーバーを再起動する)
L2SW(config)#no telnet-server interface vlan0.1 ... (VLAN #1 からのアクセスを禁止する)
L2SW(config)#telnet-server interface vlan0.1000 ... (VLAN #1000 のみアクセスを許可する)
L2SW(config)#telnet-server access permit 192.168.100.1 ... (192.168.100.1からのみアクセスを許可する)
L2SW(config)#end 
L2SW#show telnet-server ... (設定状況の確認)
Service:Enable
Port:1024
Interface(vlan):1, 1000
Access:
permit 192.168.100.1


5.2 Httpサーバーに対するアクセス制限

Httpサーバーに対するアクセス制限を実現します。
Httpサーバーの受付ポートを8080に変更し、保守VLANである VLAN #1000 からのみアクセスを許可します。

L2SW(config)#service http-server 8080 ... (受付ポートを1024に変更し、Telnetサーバーを再起動する)
L2SW(config)#no http-server interface vlan0.1 ... (VLAN #1 からのアクセスを禁止する)
L2SW(config)#http-server interface vlan0.1000 ... (VLAN #1000 のみアクセスを許可する)
L2SW(config)#end 
L2SW#show http-server ... (設定状況の確認)
Service:Enable
Port:8080


5.3 Tftpサーバーに対するアクセス制限

Tftpサーバーに対するアクセス制限を実現します。
Tftpサーバーへのアクセスは、保守VLANである VLAN #1 (デフォルトVLAN) からのみ許可します。

L2SW(config)#tftp-server interface vlan0.1 ... (VLAN #1 のみアクセスを許可する)


5.4 Snmpエージェントに対するアクセス制限

SNMPv1によるネットワーク監視を以下の条件で実現します。

  1. 読み出し専用のコミュニティ名"public"を設定し、アクセス可能なVLANインターフェースをVLAN #1(vlan0.1)とします。
  2. トラップの送信先を"192.168.100.11"に設定し、トラップのコミュニティ名を"snmptrapname"とします。
L2SW(config)# snmp-server community public ro interface vlan0.1           ... 1
L2SW(config)# snmp-server host 192.168.100.11 traps version 1 snmptrapname ... 2



6 注意事項

特になし


7 関連文書

トップへ戻る