通过图形界面在自治型无线接入点上配置访问控制列表的示例-Cisco.PDFVIP

通过图形界面在自治型无线接入点上配置访问控制列表的示例 介绍 本文档介绍了如何使用图形界面（GUI ）在思科Aironet 无线接入点配置访问控制列表（ACL ）。 先决条件 要求 思科建议您具备下列基本知识： *配置Aironet 无线接入点和Aironet 802.11a/b/g 无线客户端适配器的无线连接 *访问控制列表 使用的组件 本文档使用Aironet 1040 系列无线接入点，运行思科IOS®软件版本15.2 （2 ）JB 。 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 背景资料 您可以在无线接入点上使用过滤来执行以下任务： *限制访问无线局域网（WLAN ）网络 *提供了额外的无线安全保障 您可以使用不同类型的过滤器来过滤流量： *特定的协议 *客户端设备的MAC 地址 *客户端设备的IP 地址 您还可以启用过滤器从有线局域网上对用户流量限制。IP 地址和MAC 地址过滤器允许或禁 止发送到或来自特定IP 或MAC 地址的单播和组播数据包的转发。 基于协议的过滤器提供了更精细的方式在无线接入点的以太网和无线接口限制访问特定的 协议。您可以使用下列两种方法来配置： * Web 图形用户界面 * CLI 命令行 本文档介绍了如何使用ACL 通过GUI 来配置过滤器。 注意 ：有关配置通过使用命令行配置的详细信息，请参阅其他示例文章。 配置 本节将介绍如何使用GUI 在思科Aironet 无线接入点配置基于ACL 的过滤器。 在哪里创建访问控制列表 导航到安全性 高级安全。选择Association Access List 选项卡，然后单击定义过滤器： MAC 地址过滤 您可以使用基于MAC 地址的过滤器以筛选客户端设备。当客户端通过基于MAC 的过滤器被 拒绝访问，客户端不能与无线接入点关联。MAC 地址过滤允许或禁止特定MAC 地址的单播 和组播数据包转发，无论它们是发送或到达。 下面这个例子说明了如何通过图形用户界面配置基于 MAC 的过滤器，以 0040.96a5.b5d4 MAC 地址来过滤客户端： 1.建立 MAC 地址访问控制列表700 。此ACL 不允许客户端0040.96a5.b5d4 与无线接入点关 联。 2.单击添加以添加此过滤器的过滤器类。您也可以定义默认操作为转发或拒绝 。 3.点击Apply 按钮创建ACL 700 。 4.为了将ACL 700 应用于无线接口，导航到应用过滤器部分。现在，您可以将此ACL 应用到 入向或出向的无线或千兆以太网接口。 IP 过滤 您可以采用标准或扩展的ACL 基于客户端的IP 地址来允许或禁止客户端设备进入网络。 此配置示例使用扩展ACL 。该扩展ACL 允许Telnet 访问到客户端。你必须限制在WLAN 网络 上的所有其他协议。此外，客户端可以使用DHCP 获取IP 地址。你必须创建一个扩展ACL ： *允许DHCP 和 Telnet 流量 *拒绝所有其它流量类型 为了创建该ACL ，完成以下步骤： 1.命名过滤器，从下拉列表中选择默认操作为阻止所有： 2.从TCP 端口下拉列表中选择BOOTP 客户端、BOOTP 服务器和Telnet 远程登录 ： 3.点击Apply 按钮。允许DHCP 和Telnet 的IP 过滤器现在已经创建，您可以将此ACL 应用到 入向或出向的无线或千兆以太网接口。 以太网类型过滤 您可以使用以太网类型的过滤器以阻止思科Aironet 无线接入点的网间数据包交换（IPX）通 讯。当服务器的IPX 广播拥塞无线链路这一典型的情况下是有用的，这种情况有时会发生在 大型企业网络中。 为了配置和应用过滤器来阻止IPX 流量，应完成以下步骤： 1.点击以太类型过滤器选项卡。 2.在筛选索引字段，以200 到299 之间的数字命名过滤器。 3.在以太类型字段中输入8137 。 4. 以默认值作为太类型的掩码。 5.从操作菜单中选择阻止然后单击添加 。 6.为了从过滤器类列表中删除以太网类型，选中它然后单击删除类别。重复上述步骤，并添 加类型8138，00ff，和00e0 到过滤器。现在，您可以将此ACL 应用到入向或出向的无线或 千兆以太网接口。 原文链接：/en/US/tech/tk722/tk809/technolo