Exemple de configuration des filtres ACL sur les AP Aironet

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (849.1 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (448.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:15 octobre 2013
ID du document:116583

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer des filtres basés sur des listes de contrôle d'accès (ACL) sur des points d'accès (AP) Cisco Aironet avec l'utilisation de l'interface graphique utilisateur.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Configuration d'une connexion sans fil à l'aide d'un AP Aironet et d'un adaptateur client Aironet 802.11 a/b/g
  • ACL

Composants utilisés

Ce document utilise des AP de la gamme Aironet 1040 qui exécutent le logiciel Cisco IOS® Version 15.2(2)JB.

 The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

Vous pouvez utiliser des filtres sur les AP afin d'effectuer ces tâches :

  • Restreindre l'accès au réseau sans fil LAN (WLAN)
  • Fournir une couche supplémentaire de sécurité sans fil

Vous pouvez utiliser différents types de filtres afin de filtrer le trafic en fonction des éléments suivants :

  • de protocoles spécifiques ;
  • Adresse MAC du périphérique client
  • L'adresse IP du périphérique client

Vous pouvez également activer des filtres afin de restreindre le trafic des utilisateurs sur le LAN filaire. Les filtres d'adresse IP et d'adresse MAC permettent ou rejettent le transfert des paquets de monodiffusion et de multidiffusion qui sont envoyés vers ou depuis des adresses IP ou MAC spécifiques.

Les filtres basés sur des protocoles fournissent une façon plus précise de restreindre l'accès aux protocoles spécifiques par les interfaces Ethernet et radios de l'AP. Vous pouvez utiliser l'une de ces méthodes afin de configurer les filtres sur les AP :

  • GUI Web
  • CLI 

Ce document explique comment utiliser les ACL afin de configurer des filtres via l'interface graphique utilisateur.

Remarque : pour plus d'informations sur la configuration via l'utilisation de l'interface de ligne de commande, consultez l'article Cisco Access Point ACL Filter Configuration Example.

Configurer

Cette section décrit comment configurer des filtres basés sur ACL sur les AP Cisco Aironet avec l'utilisation de l'interface graphique utilisateur.

Où créer des ACL

Accédez à Sécurité > Sécurité avancée. Sélectionnez l'onglet Association Access List, puis cliquez sur Define Filter :

Filtres d'adresses MAC

Vous pouvez utiliser des filtres basés sur les adresses MAC afin de filtrer les périphériques clients en fonction de l'adresse MAC codée en dur. Quand un client se voit refuser l'accès par un filtre basé sur l'adresse MAC, il ne peut pas s'associer à l'AP. Les filtres d’adresses MAC autorisent ou interdisent le transfert de paquets de monodiffusion et de multidiffusion envoyés ou adressés à des adresses MAC spécifiques.

Cet exemple illustre comment configurer un filtre basé sur MAC via l'interface graphique utilisateur afin de filtrer le client avec une adresse MAC de 0040.96a5.b5d4 :

  1. Créez la liste de contrôle d’accès 700 des adresses MAC. Cette ACL ne permet pas au client 0040.96a5.b5d4 de s'associer à l'AP.

  2. Cliquez sur Add afin d'ajouter ce filtre aux classes Filters. Vous pouvez également définir l'action par défaut comme Forward All ou Deny All.
  3. Cliquez sur Apply. La liste ACL 700 est maintenant créée.
  4. Afin d'appliquer l'ACL 700 à une interface radio, naviguez jusqu'à la section Apply Filters. Vous pouvez maintenant appliquer cette liste de contrôle d'accès à une interface radio ou GigabitEthernet entrante ou sortante.

Filtres IP

Vous pouvez utiliser des listes de contrôle d’accès standard ou étendues afin d’autoriser ou d’interdire l’entrée de périphériques clients dans le réseau WLAN en fonction de l’adresse IP du client. 

Cet exemple de configuration utilise des listes de contrôle d’accès étendues. La liste de contrôle d’accès étendue doit autoriser l’accès Telnet aux clients. Vous devez restreindre tous les autres protocoles sur le réseau WLAN. En outre, les clients utilisent DHCP afin d'obtenir l'adresse IP. Vous devez créer une liste de contrôle d'accès étendue qui :

  • permet le trafic DHCP et Telnet ;
  • refuse tous les autres types de trafic.

Complétez ces étapes afin de le créer :

  1. Nommez le filtre et sélectionnez Block All dans la liste déroulante Default Action, puisque le trafic restant doit être bloqué :


  2. Sélectionnez Telnet dans la liste déroulante TCP Port, et BOOTP client & BOOTP server dans la liste déroulante UDP Port :



  3. Cliquez sur Apply. Le filtre IP Allow_DHCP?_Telnet est maintenant créé et vous pouvez appliquer cette liste de contrôle d'accès à une interface radio ou GigabitEthernet entrante ou sortante.

Filtres Ethertype

Vous pouvez utiliser des filtres Ethertype afin de bloquer le trafic IPX (Internetwork Packet Exchange) sur le point d'accès Cisco Aironet. Une situation typique où cela est utile est quand les diffusions de serveur IPX étouffent la liaison sans fil, ce qui arrive parfois sur un grand réseau d'entreprise.

Complétez ces étapes afin de configurer et d'appliquer un filtre qui bloque le trafic IPX :

  1. Cliquez sur l'onglet Ethertype Filters.
  2. Dans le champ Index de filtre, nommez le filtre avec un nombre compris entre 200 et 299. Le numéro que vous attribuez crée une liste de contrôle d'accès pour le filtre.
  3. Saisissez 8137 dans le champ Add Ethertype.
  4. Conservez la valeur par défaut du masque pour l'Ethertype dans le champ Mask.
  5. Sélectionnez Bloquer dans le menu d'actions, puis cliquez sur Ajouter.


  6. Afin de supprimer l'Ethertype de la liste Filters Classes, sélectionnez-le et cliquez sur Delete Class. Répétez les étapes précédentes et ajoutez les types 8138, 00ff et 00e0 au filtre. Vous pouvez maintenant appliquer cette liste de contrôle d'accès à une interface radio ou GigabitEthernet entrante ou sortante.

Historique de révision

Révision Date de publication Commentaires
1.0
15-Oct-2013
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Varun Ajmani
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits