1. 概要

アクセス制御機能は、無線端末による他の機器へのアクセスを制御する機能です。プロトコル、IPアドレス、ポート番号を指定して、該当するパケットの通過を許可するか、または遮断させるかを設定できます。
本機能を使用することで、他の機器の構成や設定を変更せずに無線アクセスポイント単体でゲストWi-Fiを実現できます。

アクセス制御の概要

来客用のSSIDではLAN内の機器へのアクセスは基本的に許可しないが、例外的にプリンターへのアクセスは許可するというような用途で使用することを想定しています。

2. 注意事項

  • 本機能は無線端末から接続中の無線AP以外の有線機器に対するアクセスを対象とします。
    以下の機器へのアクセスは対象外となり、本機能で遮断することはできません。

  • WDSブリッジ機能、WDSリピーター機能を使用している場合、WDSによる無線アクセスポイント間の接続を経由した機器へのアクセスは遮断できません。

  • 本機能を使用するとき、例外としてDHCPおよびDNSのパケットは遮断されません。これらのサーバーが遮断される宛先に含まれていても、各サービスを利用することができます。

  • 本機能とCaptive Portal機能を併用し、かつリダイレクト先が本機能によって遮断される宛先と重複する場合は、リダイレクト先へのアクセスを許可するように設定する必要があります。

  • その他、インターネット、ルーター、LAN内のサーバーなどを使用する場合は、それらすべてのアクセスを許可する設定が必要です。

3. 対応ファームウェアリビジョン

このページで説明する内容は、以下のファームウェアを対象としています。

モデル ファームウェア

WLX212

Rev.21.00.14以降

WLX413

Rev.22.00.07以降

WLX222

Rev.24.00.05以降

4. 詳細

アクセス制御機能は、無線端末による他の機器へのアクセスの可否を設定できます。

VAP 1つにつき1つのアクセス制御設定を使用することができます。
アクセス制御設定は最大16個設定できるため、16個のVAPに異なるアクセス制御設定を適用することができます。

他の無線端末へのアクセスの遮断については、 プライバシーセパレーター機能 を使用してください。

4.1. フィルター設定

1つのアクセス制御設定では最大16個のフィルターを設定でき、通信パケットのプロトコル、送信元および宛先のIPアドレスとポート番号を指定し、通過させるか遮断させるかを設定します。

通信パケットには、設定したフィルターの評価順が若い番号から順に適用されます。
フィルター設定に該当しないパケットはすべて通過します。

本機能によるアクセス制御は、Captive Portal機能によるアクセス制限よりも先に適用されます。
そのため、Captive Portalを使用するVAPでアクセス制御も使用する場合は、アクセス制御設定のフィルターでCaptive Portalによるリダイレクト先にアクセスできるように設定する必要があります。

4.1.1. ゲストWi-Fiプリセット

1つのアクセス制御設定につき、最大で1つのゲストWi-Fiプリセットを使用できます。
ゲストWi-Fiプリセットは、すべての送信元から同一LANネットワーク内のすべての有線接続機器へのアクセスを遮断するフィルターです。
また、ゲストWi-Fiプリセットを使用する場合はIPv6パケットも遮断されます。

4.1.2. 手動設定

手動で設定するフィルターは、以下の項目を設定することができます。

  • プロトコル

  • 送信元アドレス

  • 送信元ポート番号

  • 宛先アドレス

  • 宛先ポート番号

手動設定で追加したフィルターの内容は後から変更することができます。
(ゲストWi-Fiプリセットとして追加したフィルターは、その内容を変更することはできません)

プロトコルの指定

プロトコルは以下を選択できます。

  • すべてのプロトコル

  • ICMP

  • TCP

  • UDP

  • ESP

  • AH

  • 指定のプロトコル

指定のプロトコルではプロトコル番号を整数で入力することができます。
プロトコル番号の設定可能な範囲は 1~255です。
また、ニーモニックは以下を入力することができます。

ニーモニック プロトコル番号

icmp

1

tcp

6

udp

17

esp

50

ah

51

IPアドレスの指定

送信元アドレスおよび宛先アドレスでは以下を選択できます。

  • すべてのアドレス

  • LANネットワーク内

  • 指定のアドレス

LANネットワーク内を選択した場合、APのIPアドレスとネットマスクに沿ったネットワークアドレスを使用します。
IPアドレスの変更によってネットワークアドレスが変わったとき、フィルターの動作も自動的に変更されます。

指定のアドレスでは以下を入力することができます。

入力 書式

単一のIPアドレス

ドット付き十進表記(xxx.xxx.xxx.xxx)

ネットワークアドレス

IPアドレス/ネットマスク
ネットマスクはドット付き十進表記(xxx.xxx.xxx.xxx)または 1~30, 32の整数

ポート番号の指定

プロトコルで以下を選択した場合、送信元ポート番号と宛先ポート番号をニーモニックまたは整数で入力できます。

  • すべてのプロトコル

  • TCP

  • UDP

  • 指定のプロトコル かつプロトコル番号に以下を入力

    • tcp または 6

    • udp または 17

    • 33 (DCCP)

    • 132 (CSTP)

ポート番号の設定可能な範囲は 1~65535です。
また、ニーモニックは以下を入力することができます。

ニーモニック ポート番号 ニーモニック ポート番号 ニーモニック ポート番号

ftpdata

20

www

80

syslog

514

ftp

21

pop3

110

printer

515

telnet

23

sunrpc

111

talk

517

smtp

25

ident

113

route

520

domain

53

nntp

119

uucp

540

gopher

70

ntp

123

submission

587

finger

79

snmp

161

また、プロトコルで以下を選択した場合は、送信元ポート番号に入力した値をICMP Type、宛先ポート番号に入力した値をICMP Codeとして扱います。

  • ICMP

  • 指定のプロトコル かつプロトコル番号に以下を入力

    • icmp または 1

ICMP Type, ICMP Codeの設定可能な範囲は 0~255です。

その他の条件では、送信元ポート番号と宛先ポート番号の入力は無視されます。

4.2. VAP設定

4.2.1. アクセス制御の選択

アクセス制御設定が設定されていれば、VAPごとにアクセス制御設定を設定することができます。
設定できるアクセス制御設定は、VAP 1つにつき1つです。複数のVAPが同一のアクセス制御設定を使用することもできます。

5. 設定・操作方法

アクセス制御機能を利用するための手順を以下に示します。

  1. アクセス制御を作成する

  2. アクセス制御でフィルターを設定する

  3. アクセス制御機能を使用するVAPを設定する

  4. 設定送信を行う

5.1. アクセス制御を作成する

仮想コントローラーのWeb GUI [拡張機能]-[アクセス制御] を開き、「アクセス制御設定を追加する」の「追加」ボタンをクリックし、設定ページを開きます。

アクセス制御 トップ

アクセス制御設定の名称と、フィルターの一覧が表示されます。名称はデフォルトで「アクセス制御設定 N」となります。

アクセス制御 フィルター一覧

5.2. アクセス制御でフィルターを設定する

「ゲストWi-Fiプリセットを追加する」または「フィルターを追加する」の「追加」ボタンを押して、フィルターを追加します。

アクセス制御 フィルター一覧 フィルター追加

「フィルターを追加する」の「追加」ボタンを押した場合は、フィルター設定の画面に移ります。
「設定」ボタンを押すとフィルターが追加され、フィルター一覧の画面に戻ります。

アクセス制御 フィルター設定

フィルターの順序を変更したい場合は、「フィルターの順序を入れ替える」の「変更」ボタンを押してフィルター評価順設定の画面を開きます。

アクセス制御 フィルター一覧 評価順設定

「▲」ボタンや「▼」ボタンを使って順番を変更できます。
「設定」ボタンを押すことで変更が適用され、フィルター一覧の画面に戻ります。

アクセス制御 フィルター評価順設定

設定の名称を変更する場合は、名称を入力して「設定」ボタンを押します。

アクセス制御 フィルター一覧 名称設定

5.3. アクセス制御機能を使用するVAPを設定する

仮想コントローラーのWeb GUI [無線設定]-[共通]-[SSID 管理] を開き、VAPの追加をクリックします。

アクセス制御は「インターフェース動作モード」がvapのSSIDに適用できます。
アクセス制御を使用するためには「アクセス制御」で「アクセス制御を使用する」を選択して、適用するアクセス制御設定を選択する必要があります。
バインドするモジュールや認証方式など、その他の項目については条件はありません。

  • インターフェース動作モード : vap

  • アクセス制御 : アクセス制御を使用する (アクセス制御設定 1)

VAPの設定

5.4. 設定送信を行う

設定した内容を反映させるために設定送信を行います。
仮想コントローラーの[設定送信] - [設定送信] を開き、 [送信] ボタンを押します。

6. 設定例

LAN内のプリンターでの印刷を許可する設定例です。
この例ではLine Printer Daemon (LPD) プロトコルのみを対象としていますが、プリンターの機種によっては他のポートを使用した機能を持っていることがあります。その場合は各ポートを許可する設定を加える、宛先がプリンターのIPアドレスの場合にすべて許可するなど適宜対応する必要があります。

設定例 フィルター設定 
cluster config-id xxxxxxxx-xxxx-xxxx-xxxx-ac44f2xxxxxx
administrator password encrypted xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
vlan-port-mode lan1:1 hybrid
vlan-id 1 1
vlan-access lan1:1 1
ip vlan-id 1 address dhcp
ip route default gateway dhcp
airlink select module1
 airlink mode all
 airlink channel auto bandwidth=40 primary=lower
 airlink channel range default
 airlink beacon dtim-period 1
 airlink enable module1
airlink select module2
 airlink mode all
 airlink channel auto bandwidth=80 primary=lower primary40=lower
 airlink channel range default
 airlink channel range dfs default
 airlink beacon dtim-period 1
 airlink enable module2
airlink select module3
 airlink mode all
 airlink channel auto bandwidth=80 primary=lower primary40=lower
 airlink channel range default
 airlink channel range dfs default
 airlink beacon dtim-period 1
 airlink enable module3
airlink select 1
 airlink ssid sample
 airlink vlan-id 1
 airlink bind module1 module2 module3
 airlink access control in 1
 airlink auth wpa3-eap aes
 airlink radius auth on
 airlink radius server 127.0.0.1
 airlink enable 1
dns server dhcp
radiusd use on
radiusd reauth interval 43200
radiusd client 192.168.100.0/24 EB320E39
radiusd user user0001 pass0001 name=User0001 auth=peap usertype=wlx
schedule at 1 startup * ntpdate ntp.nict.jp syslog
lldp auto-setting use off
access control select 1
 access control name "for Guests"
 access control filter 1 pass * internal tcp * printer              #...(1)
 access control filter 2 guest-wifi-preset                          #...(2)
wlan-controller select 1
airlink select module1
 airlink mode all
 airlink channel auto bandwidth=40 primary=lower
 airlink channel range default
 airlink beacon dtim-period 1
 airlink enable module1
airlink select module2
 airlink mode all
 airlink channel auto bandwidth=80 primary=lower primary40=lower
 airlink channel range default
 airlink channel range dfs default
 airlink beacon dtim-period 1
 airlink enable module2
airlink select module3
 airlink mode all
 airlink channel auto bandwidth=80 primary=lower primary40=lower
 airlink channel range default
 airlink channel range dfs default
 airlink beacon dtim-period 1
 airlink enable module3
airlink select module4
 airlink mode all
 airlink channel auto bandwidth=160 primaryindex=2
 airlink channel range default
 airlink beacon dtim-period 1
 airlink enable module4
airlink select 1
 airlink ssid sample
 airlink vlan-id 1
 airlink bind module1 module2 module3 module4
 airlink access control in 1                                        #...(3)
 airlink auth wpa3-eap aes
 airlink radius auth on
 airlink radius server 127.0.0.1
 airlink enable 1
wlan-controller select 1 1
 wlan-controller member-ap ac:44:f2:XX:XX:XX
 wlan-controller serial XXXXXXXXXX
 wlan-controller system name WLXNNN_XXXXXXXXXX
 wlan-controller ip address dhcp
 wlan-controller beacon dtim-period module1 1
 wlan-controller beacon dtim-period module2 1
 wlan-controller beacon dtim-period module3 1
cluster virtual-ip address dhcp

  1. Line Printer Daemon (LPD) プロトコル(TCP 515番)を許可する

  2. ゲストWi-Fiプリセットでその他のLAN内へのアクセスをすべて遮断する

  3. ゲスト用SSIDにアクセス制御設定を適用する