第七章 无线控制器ACL配置实例.pdfVIP

无线控制器ACL配置实例 文档 ID: 71978 介绍 前提 要求 使用的设备 惯例 无线控制器ACL 无线控制器上配置ACL需注意 配置无线控制器ACL 配置允许访客用户服务的规则 配置CPU 的ACL 验证 排障 NetPro论坛 –特殊的会话 相关信息 介绍 本文档介绍如何在无线控制器（WLC ）上配置访问控制列表（ACL ）来过滤进入和离开无线局域网的 流量。 前提 要求 在尝试配置前，确保你满足如下的要求： 具备配置无线控制器和轻量级无线接入点进行基本工作的知识 具备轻量级无线接入点协议（LWAPP ）和无线安全方法的基本知识 使用的设备 本文档中的信息基于如下的软件和硬件版本： 思科2000系列无线控制器，固件版本4.0 思科1000系列轻量线无线接入点 思科802.1 1a/b/g无线网卡，固件版本2.6 思科Aironet Desktop Utility (ADU) ，版本2.6 本文档中的信息来自特定实验环境的设备。文档中所有的相关设备都是从默认配置开始的。如果你的网 络环境是在线的，确保要了解任何一条命令的潜在影响。 惯例 要了解更多文档惯例的信息，请参见思科技术提示惯例。 无线控制器ACL 无线控制器上的ACL用于限制或允许无线客户端访问无线局域网内的服务。 在无线控制器固件版本4.0之前，ACL在Management Interface上是旁路的，所以你不能影响去往无线控制 器的流量，除非通过Management Via Wireless 的选项来避免无线客户端管理控制器。因此，ACL只能用 于动态的Interface 。在无线控制器固件版本4.0 中，有CPU ACL可以过滤去往Management Interface 的流量。 如何配置CPU ACL 的例子稍后会在文档中列出。 你可以定义最多64个ACL ，每个ACL最多64条规则。每条规则有影响行为的参数。当一个数据包匹 配了一条规则的所有参数，相应的行为就会运用到这个数据包上。你可以通过GUI或CLI配置ACL 。 在配置无线控制器ACL前，你需要了解一些规则： 如果源和目的都是any, 则这个ACL 的方向可以是any. 如果源或目的之一不是any, 那么过滤器的方向必须指定，并且反方向的相反语句必须定义。 无线控制器的inbound和outbound方向概念并非直观上的。它是从无线控制器面向无线客户端的角度 看的，并非从无线客户端的角度。因此，inbound方向是指数据包从无线客户端进入无线控制器， outbound方向是指数据包从无线控制器出去到无线客户端去。 在ACL 的末尾有隐式的deny 。 无线控制器上配置ACL需注意 无线控制器上的ACL与路由器上的工作是不一样的。当你在无线控制器上配置ACL 时，有一些事项 要注意： 当你想要拒绝或允许IP 的数据包时，最常见的错误是选择IP 。因为你选择的是IP数据包里面的内容， 这样就导致拒绝或允许IP数据包内的IP信息。 控制器的ACL无法禁止1.1.1.1 （virtual IP地址），因此无法禁止无线客户端的DHCP包。 控制器的ACL无线禁止组播和广播的数据包，因为这些包是发送到无线接入点的management interface上的。 不像路由器那样，ACL应用到端口上后会控制双向的流量。如果你忘记了在回来的数据流的ACL 上打开策略，就会导致出问题。 控制器的ACL只能禁止IP数据包。你不能禁止2层的ACL或3层的非IP 的数据包。 控制器的ACL不像路由器那样用反掩码。在这里，255 的意思是完全匹配IP地址的8位数字。 控制器的ACL是由软件实现的。 配置无线控制器ACL 本章节描述如何在无线控制器上配置ACL 。目标是配置ACL允许访客访问如下的服务： 无线客户端与DHCP服务器之间的DHCP数据 网络中所有的设备之间的ICMP数据 无线客户端与DNC服务器之间的DNS数据 Telnet服务到特定的子网 无线客户端的所有其他服务都必须被禁止。根据如下步骤，用无线控制器GUI配置ACL ： 1. 进入无线控制器GUI，选择 Security Acce