# クライアントアクセス制御

場合によっては、特定のクライアントをネットワーク上でブロックや許可する必要があります。この設定はネットワーク全体に適用され、クライアントに直ちに影響を与えます。

## クライアントアクセス制御の種類 <a href="#types-of-client-access-control" id="types-of-client-access-control"></a>

クライアントアクセス制御には以下3つの種類があります。\
デフォルトは「**ブロックリスト**」です。アクセス制御を「**許可リスト**」に変更して運用する場合にはクライアントアクセス制御を「**許可リストのみを許可**」に変更してください。

1. **ブロックリスト**\
   ブロックリストに登録したMACアドレスを持つクライアントのアクセスを拒否します。SSIDの認証情報（パスワードなど）などが正確であってもアクセスは拒否されます。<br>
2. **許可リスト**\
   許可リストに登録されたMACアドレスを持つクライアント以外のすべてのクライアントのアクセスを拒否します。許可リストに登録済みのMACアドレスを持つクライアントであっても、SSIDの認証情報（パスワードなど）は正確である必要があります。<br>
3. **VIPリスト**\
   プリンターやIPカメラなど、スプラッシュページ上で認証情報を入力するインターフェースを持たないクライアントをVIPリストに登録してアクセスを許可します。

{% hint style="info" %}
ランダムMACアドレスのクライアントのアクセスは許可・拒否できません。
{% endhint %}

{% hint style="info" %}
同一MACアドレスを複数のリストに登録することはできません。
{% endhint %}

{% hint style="warning" %}
ネットワーク全体のアクセス制御としては「**拒否ブロックリスト**」か「**許可リストのみを許可**」のどちらか1つのパターンしか選択できません。VIPリストはどちらのパターンでも選択・有効化可能です。
{% endhint %}

## ブロックリスト <a href="#blocked-list" id="blocked-list"></a>

「**設定**」＞「**クライアントアクセス制御**」＞「**ルール**」＞「**ブロックリスト**」でこの画面にアクセスします。

<figure><img src="/files/jLZVTC7om69r0UEevHLO" alt=""><figcaption></figcaption></figure>

要件に応じて、現在のネットワークのすべてのSSIDでクライアントをブロックすることも、SSID単位でブロックすることもできます。

このブロックリストには、「**設定**」＞「**アクセスポイント**」＞「**SSID**」＞「**アクセス制御**」＞「**ブロックリスト**」で追加したブロック済みクライアントも併せて表示されます。そのため、すべてのブロック済みクライアントを単一のリストで簡単に管理できます。

<figure><img src="/files/YDgMpoHdWc2F6gJVz5Qh" alt="" width="563"><figcaption><p>「<strong>設定</strong>」＞「<strong>アクセスポイント</strong>」＞「<strong>SSID</strong>」＞「<strong>アクセス制御</strong>」＞「<strong>ブロックリスト</strong>」で追加した特定SSIDのブロック済みクライアント</p></figcaption></figure>

<figure><img src="/files/zDjA2wPsC4rjkz3YbXR9" alt="" width="563"><figcaption><p>「<strong>設定</strong>」＞「<strong>クライアントアクセス制御</strong>」＞「<strong>ルール</strong>」＞「<strong>ブロックリスト</strong>」で全てのブロック済みクライアントのリスト表示</p></figcaption></figure>

{% hint style="info" %}
1,000エントリ登録可能です。
{% endhint %}

### クライアントをブロックリストに追加する方法 <a href="#how-to-add-a-client-to-the-block-list" id="how-to-add-a-client-to-the-block-list"></a>

<figure><img src="/files/qvQbA6o2wRnO0kDXDVPP" alt="" width="563"><figcaption></figcaption></figure>

1. 画面右上の「**追加する**」をクリックします。
2. 「**MACアドレス**」を入力し、「**範囲**」（ネットワーク内のすべてのSSIDまたはSSID単位）を選んで「**適用する**」をクリックします。

### クライアントのブロックリストを有効にする方法 <a href="#how-to-enable-the-client-block-list" id="how-to-enable-the-client-block-list"></a>

ブロックリストに追加したクライアントをブロックするには、当該SSIDの「**アクセス制御**」で「**ブロックリスト**」ポリシーを有効にしておく必要があります（デフォルトは無効）。

<figure><img src="/files/9OU9U8B127GFZlxDJSE1" alt=""><figcaption><p>「<strong>設定</strong>」＞「<strong>アクセスポイント</strong>」＞「<strong>SSID</strong>」＞「<strong>アクセス制御</strong>」で「<strong>ブロックリスト</strong>」ポリシーの有効化</p></figcaption></figure>

### クライアントをブロック解除する方法 <a href="#how-to-unblock-clients" id="how-to-unblock-clients"></a>

1. リストからクライアントを選択します。
2. 「**削除**」をクリックします。

## VIPリスト <a href="#vip-lists" id="vip-lists"></a>

すべてのVIPクライアントはキャプティブポータルをバイパスできます。有線VIPクライアントはL2アイソレーションをバイパスできます。無線プリンタ／スキャナ／IoT機器をアクセス可能にしたい場合は、その無線プリンタ／スキャナ／IoT機器が属するSSIDが以下に設定されていることを確認してください。

* ブリッジモード
* L2アイソレーションが無効

有線プリンタ／スキャナ／IoT機器をアクセス可能にしたい場合は、

* デバイスをすべてのSSID（または無線クライアントがアクセス可能となっているSSID）で「**VIP**」に設定します。
* NAT／ブリッジモードに関係なく、すべての無線クライアントがアクセスできます。L2アイソレーションは有効化／無効化できます。

要件に応じて、現在のネットワークまたはSSID単位でVIPクライアントを追加できます。

このVIPリストには、「**設定**」＞「**アクセスポイント**」＞「**SSID**」＞「**アクセス制御**」＞「**VIPリスト**」で追加したVIPクライアントも併せて表示されます。これにより、すべてのVIPクライアントを単一のリストで簡単に管理できます。

{% hint style="info" %}
1,000 エントリが登録可能です。
{% endhint %}

### VIPクライアントを追加する方法 <a href="#how-to-add-vip-clients" id="how-to-add-vip-clients"></a>

<figure><img src="/files/cPF0sLQH5WuR8LQ1QOPr" alt="" width="563"><figcaption></figcaption></figure>

1. 画面右上の「**追加する**」をクリックします。
2. 「**MACアドレス**」を入力し、「**範囲**」（現在のネットワークまたはSSID単位）を選んで「**適用する**」をクリックします。

### VIPリストを有効にする方法 <a href="#how-to-enable-the-vip-list" id="how-to-enable-the-vip-list"></a>

VIPリストに追加したクライアントを有効にするには、当該SSIDの「**アクセス制御**」で「**VIPリスト**」ポリシーを有効にしておく必要があります（デフォルトは無効）。

<figure><img src="/files/OsuAhIv7HJX6d8Zf7FFQ" alt=""><figcaption><p>「<strong>設定</strong>」＞「<strong>アクセスポイント</strong>」＞「<strong>SSID</strong>」＞「<strong>アクセス制御</strong>」で「<strong>VIPリスト</strong>」ポリシーの有効化</p></figcaption></figure>

### VIPクライアントを削除する方法 <a href="#how-to-remove-vip-clients" id="how-to-remove-vip-clients"></a>

1. リストでクライアントを選択します。
2. 「**削除**」をクリックします。

{% hint style="info" %}

L2アイソレーションが有効な場合、VIPクライアントは削除されます。つまり、L2アイソレーションがオンであっても、サブネット内のクライアントはそのVIPクライアントにアクセスできます（このことは有線クライアントにのみ適用されます）。

NATモードの場合、「クライアントアイソレーション」が自動的に有効になります。
{% endhint %}

## 許可リスト（ホワイトリスト） <a href="#whitelist" id="whitelist"></a>

要件に応じて、現在のネットワークのすべてのSSIDでクライアントを許可することも、SSID単位で許可することもできます。

この許可リストには、「**設定**」＞「**アクセスポイント**」＞「**SSID**」＞「**アクセス制御**」＞「**許可リスト**」で追加した許可リストに登録済みのクライアントも併せて表示されます。これにより、すべての許可リストクライアントを単一のリストで簡単に管理できます。

クライアントACLのデフォルト制御は「**ブロックリスト**」による拒否クライアントのブロック動作です。許可リスト（ホワイトリスト）で運用する場合には、デフォルトのACLルールを「**許可リストのみを許可**」に変更する必要があります。これにより、許可リストに登録されたクライアントのみが許可されます。

{% hint style="warning" %}
許可リストに登録されていないクライアントは全て拒否されます。
{% endhint %}

<figure><img src="/files/9qqJFfJ4M5t6Cye7ryoV" alt=""><figcaption><p>「<strong>設定</strong>」＞「<strong>クライアントアクセス制御</strong>」のデフォルトルール変更</p></figcaption></figure>

<figure><img src="/files/QSSiJXxWJTPn2vJp29n4" alt="" width="563"><figcaption><p>「<strong>設定</strong>」＞「<strong>アクセスポイント</strong>」＞「<strong>SSID</strong>」＞「<strong>アクセス制御</strong>」＞「<strong>許可リスト</strong>」で追加した特定SSIDの許可済みクライアント</p></figcaption></figure>

<figure><img src="/files/Rr0MzVqsceG3a3ELjNS7" alt="" width="563"><figcaption><p>「<strong>設定</strong>」＞「<strong>クライアントアクセス制御</strong>」＞「<strong>ルール</strong>」＞「<strong>許可リスト</strong>」で全ての許可済みクライアントのリスト表示</p></figcaption></figure>

{% hint style="info" %}
1,000 エントリが登録可能です。
{% endhint %}

{% hint style="warning" %}
ネットワーク全体のアクセス制御としては「**拒否ブロックリスト**」か「**許可リストのみを許可**」のどちらか1つのパターンしか選択できません。
{% endhint %}

### クライアントを許可リストに追加する方法 <a href="#how-to-add-a-client-to-the-block-list" id="how-to-add-a-client-to-the-block-list"></a>

<figure><img src="/files/UP2WGQCGwCXSXmzS8b5D" alt="" width="563"><figcaption></figcaption></figure>

1. 画面右上の「**追加する**」をクリックします。
2. 「**MACアドレス**」を入力し、「**範囲**」（ネットワーク内のすべてのSSIDまたはSSID単位）を選んで「**適用する**」をクリックします。

### クライアントの許可リストを有効にする方法 <a href="#how-to-enable-the-client-block-list" id="how-to-enable-the-client-block-list"></a>

許可リストに追加したクライアントを有効にするには、当該SSIDの「**アクセス制御**」で「**許可リスト**」ポリシーを有効にしておく必要があります（デフォルトは無効）。

<figure><img src="/files/WVVFrqiageJ17ODAseyx" alt=""><figcaption><p>各SSIDのアクセス制御ポリシー「<strong>許可リスト</strong>」の有効化</p></figcaption></figure>

### クライアントの許可リストを解除する方法 <a href="#how-to-unblock-clients" id="how-to-unblock-clients"></a>

1. リストからクライアントを選択します。
2. 「**削除**」をクリックします。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.lan.kokomocloud.com/configuring-networks/access-control.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.