WLCでのWPA2-Enterprise⑧（無線LANと有線LANの分離）

このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。

全8回の「WLCでのWPA2-Enterprise」の最後の設定となります。

　セキュリティポリシーなどにより有線LANと無線LANを分離したいケースもあるかと思います。例えば無線LANをGuest用、有線LANを社内ネットワークとして利用するケースです。

そこで、最後に有線LANと無線LANを分離する設定を行っていきます。

ネットワークの構成は下図のとおりです。

誤ったACLの設定例

標準アクセスコントロールリスト（標準ACL）を作成します。

注意すべき点は、ACLの最終行には「暗黙のdeny any」があるということです。

　例えば、以下のACLをR1のg0/0/0.200のOUTに適用した場合、「192.168.5.0/24」からのパケットを拒否するつもりが、ACLの最終行には「暗黙のdeny any」が存在するため、結局、すべてのパケットが拒否されることになります。そのため、VLAN200宛（無線LAN）のすべてのパケットが拒否されることになり、VLAN200（無線LAN）内のデバイスは、同じVLAN200内のデバイスとしか通信できなくなってしまいます。

R1(config)#access-list 1 deny 192.168.5.0 0.0.0.255
R1(config)#int g0/0/0.200
R1(config-subif)#ip access-group 1 out

標準ACLの適用

　有線LANと無線LANを分離します。有線LAN→無線LAN、無線LAN→有線LANにアクセスできないように標準ACLを作成して、サブインターフェイスに適用します。

有線LANから無線LANへアクセス拒否する設定

R1ルータに以下の標準ACLを適用します。

R1(config)#access-list 1 deny 192.168.5.0 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int g0/0/0.200
R1(config-subif)#ip access-group 1 out
R1(config-subif)#exit

無線LANから有線LANへアクセス拒否する設定

R1ルータに以下の標準ACLを適用します。

R1(config)#access-list 2 deny 192.168.200.0 0.0.0.255
R1(config)#access-list 2 permit any
R1(config)#int g0/0/0.5
R1(config-subif)#ip access-group 2 out
R1(config-subif)#end
R1#copy run start