无线控制器ACL配置实例.pdf

无线控制器ACL配置实例 文档 ID: 71978 介绍 前提 要求 使用的设备 惯例 无线控制器ACL 无线控制器上配置ACL需注意 配置无线控制器ACL 配置允许访客用户服务的规则 配置CPU的ACL 验证 排障 NetPro论坛 – 特殊的会话 相关信息 介绍 本文档介绍如何在无线控制器（WLC）上配置访问控制列表（ACL）来过滤进入和离开无线局域网的 流量。 前提 要求 在尝试配置前，确保你满足如下的要求： z 具备配置无线控制器和轻量级无线接入点进行基本工作的知识 z 具备轻量级无线接入点协议（LWAPP）和无线安全方法的基本知识 使用的设备 本文档中的信息基于如下的软件和硬件版本： z 思科2000系列无线控制器，固件版本4.0 z 思科1000系列轻量线无线接入点 z 思科802.1 1a/b/g无线网卡，固件版本2.6 z 思科Aironet Desktop Utility (ADU)，版本2.6 本文档中的信息来自特定实验环境的设备。文档中所有的相关设备都是从默认配置开始的。如果你的网 络环境是在线的，确保要了解任何一条命令的潜在影响。 惯例 要了解更多文档惯例的信息，请参见思科技术提示惯例。 无线控制器ACL 无线控制器上的ACL用于限制或允许无线客户端访问无线局域网内的服务。 在无线控制器固件版本4.0之前，ACL在Management Interface上是旁路的，所以你不能影响去往无线控制 器的流量，除非通过Management Via Wireless的选项来避免无线客户端管理控制器。因此，ACL只能用 于动态的Interface。在无线控制器固件版本4.0中，有CPU ACL可以过滤去往Management Interface的流量。 如何配置CPU ACL的例子稍后会在文档中列出。 你可以定义最多64个ACL，每个ACL最多64条规则。每条规则有影响行为的参数。当一个数据包匹 配了一条规则的所有参数，相应的行为就会运用到这个数据包上。你可以通过GUI或CLI配置ACL。 在配置无线控制器ACL前，你需要了解一些规则： z 如果源和目的都是any, 则这个ACL的方向可以是any. z 如果源或目的之一不是any, 那么过滤器的方向必须指定，并且反方向的相反语句必须定义。 z 无线控制器的inbound和outbound方向概念并非直观上的。它是从无线控制器面向无线客户端的角度 看的，并非从无线客户端的角度。因此，inbound方向是指数据包从无线客户端进入无线控制器， outbound方向是指数据包从无线控制器出去到无线客户端去。 z 在ACL的末尾有隐式的deny。 无线控制器上配置ACL需注意 无线控制器上的ACL与路由器上的工作是不一样的。当你在无线控制器上配置ACL时，有一些事项 要注意： z 当你想要拒绝或允许IP的数据包时，最常见的错误是选择IP。因为你选择的是IP数据包里面的内容， 这样就导致拒绝或允许IP数据包内的IP信息。 z 控制器的ACL无法禁止1.1.1.1（virtual IP地址），因此无法禁止无线客户端的DHCP包。 z 控制器的ACL无线禁止组播和广播的数据包，因为这些包是发送到无线接入点的management interface上的。 z 不像路由器那样，ACL应用到端口上后会控制双向的流量。如果你忘记了在回来的数据流的ACL 上打开策略，就会导致出问题。 z 控制器的ACL只能禁止IP数据包。你不能禁止2层的ACL或3层的非IP的数据包。 z 控制器的ACL不像路由器那样用反掩码。在这里，255的意思是完全匹配IP地址的8位数字。 z 控制器的ACL是由软件实现的。 配置无线控制器ACL 本章节描述如何在无线控制器上配置ACL。目标是配置ACL允许访客访问如下的服务： z 无线客户端与DHCP服务器之间的DHCP数据 z 网络中所有的设备之间的ICMP数据 z 无线客户端与DNC服务器之间的DNS数据