解決済み: Re: 設定したACLのpermitが有効にならない

Atsuya-Yamaguchi · ‎2024-10-22

FlexConnect Local Switching Service Set Identifier(SSID)を設定で以下を設定しました。

WLAN プロファイルの作成/変更
ポリシープロファイルの作成/変更
ポリシータグの作成/変更
Flex プロファイルの作成/変更
サイトタグを作成/変更する
AP へのポリシータグの割り当て

しかしACLが一向に有効になりません。ACLは以下です。

----------------------------------
SSID:SGS-FUK-NT

PCのIP:43.24.49.28
APのインターフェースIP：43.24.49.27
APのIP：：43.24.49.56
WEB ServerIP：137.153.91.37：443
IPのACL：SVR_WEBIP_ACL
----------------------------------

p access-list extended SLIMS_WEB_ACL
1 permit tcp host 43.24.49.28 host 43.24.49.27
2 permit tcp host 43.24.49.27 host 43.24.49.28
3 permit tcp host 43.24.49.56 host 137.153.91.37 eq 443
4 permit tcp host 137.153.91.37 host 43.24.49.56 eq 443
5 permit ip host 43.24.49.28 host 43.24.49.56
6 permit ip host 43.24.49.56 host 43.24.49.28
7 permit ip host 43.24.49.27 host 43.24.49.56
8 permit ip host 43.24.49.56 host 43.24.49.27

これはACLが間違っているのでしょうか？

もっと別に根本的な原因があるのでしょうか？

ご教示をお願い致します。

MyHomeNWLab · ‎2024-10-23

a) ACL適用状態の切り分けの観点ですが、
メニュー「Monitoring > Wireless > Clients」から対象クライアントを開いて、
「General タブ > Security Information タブ」で
・「Local Policies セクション」の「Filter-ID」
・「Resultant Policies セクション」の「Filter-ID」 <<<< Cisco ISEなどでACLを上書きしていると最終的に適用されたもの
は表示されてますか。

b) 何をもって「ACLが有効になっていないと認識」した情報があると、切り分けの判断材料が増えるかなと思います。

例えば、送信元「A.A.A[.]A」から宛先「8.8.8[.]8」に対して
プロトコル「ICMP (ping)」では「暗黙のdenyで通信できないのが期待値」だけれど、実際は通信できているなど。

元の投稿で解決策を見る

MyHomeNWLab · ‎2024-10-23

a) ACL適用状態の切り分けの観点ですが、
メニュー「Monitoring > Wireless > Clients」から対象クライアントを開いて、
「General タブ > Security Information タブ」で
・「Local Policies セクション」の「Filter-ID」
・「Resultant Policies セクション」の「Filter-ID」 <<<< Cisco ISEなどでACLを上書きしていると最終的に適用されたもの
は表示されてますか。

b) 何をもって「ACLが有効になっていないと認識」した情報があると、切り分けの判断材料が増えるかなと思います。

例えば、送信元「A.A.A[.]A」から宛先「8.8.8[.]8」に対して
プロトコル「ICMP (ping)」では「暗黙のdenyで通信できないのが期待値」だけれど、実際は通信できているなど。

Atsuya-Yamaguchi · ‎2024-10-23

ご返信ありがとうございます。

上記、Filter-ID設定されていました。

原因はACLでプロトコルをipにしていました。TCPにして0-65535を指定したらACLが有効になりました。

お騒がせしました。