Esempio di configurazione dei filtri ACL sui access point Aironet

Opzioni per il download

  • PDF     (1.0 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (849.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (448.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:15 ottobre 2013
ID documento:116583

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare i filtri basati sugli Access Control List (ACL) sui Cisco Aironet Access Point (AP) con l'uso della GUI.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza di base dei seguenti argomenti:

  • Configurazione di una connessione wireless con l'uso di un access point Aironet e di un adattatore client Aironet 802.11 a/b/g
  • ACL

Componenti usati

Questo documento utilizza Aironet serie 1040 AP con software Cisco IOS® versione 15.2(2)JB.

 Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Per eseguire queste attività, è possibile utilizzare i filtri degli access point:

  • Limitazione dell'accesso alla rete LAN wireless (WLAN)
  • Fornire un livello aggiuntivo di sicurezza wireless

È possibile utilizzare diversi tipi di filtri per filtrare il traffico in base a:

  • Protocolli specifici
  • Indirizzo MAC del dispositivo client
  • Indirizzo IP del dispositivo client

I filtri possono essere abilitati anche per limitare il traffico proveniente dagli utenti sulla LAN cablata. I filtri degli indirizzi IP e MAC consentono o non consentono l'inoltro di pacchetti unicast e multicast inviati a o da indirizzi IP o MAC specifici.

I filtri basati sul protocollo forniscono un modo più granulare per limitare l'accesso a protocolli specifici tramite le interfacce Ethernet e radio dell'access point. Per configurare i filtri sugli access point, è possibile utilizzare uno dei seguenti metodi:

  • GUI Web
  • CLI

Questo documento spiega come usare gli ACL per configurare i filtri tramite la GUI.

Nota: per ulteriori informazioni sulla configurazione tramite la CLI, consultare l'esempio di configurazione del filtro ACL del punto di accesso nell'articolo Cisco.

Configurazione

In questa sezione viene descritto come configurare i filtri basati sugli ACL sui Cisco Aironet AP con l'uso della GUI.

Dove creare gli ACL

Passare a Sicurezza > Sicurezza avanzata. Scegliere la scheda Elenco accessi associazione e fare clic su Definisci filtro:

Filtri indirizzi MAC

È possibile utilizzare filtri basati sull'indirizzo MAC per filtrare i dispositivi client in base all'indirizzo MAC specificato a livello di codice. Quando a un client viene negato l'accesso tramite un filtro basato su MAC, il client non può associarsi all'access point. I filtri degli indirizzi MAC consentono o non consentono l'inoltro di pacchetti unicast e multicast inviati o indirizzati a indirizzi MAC specifici.

Nell'esempio viene mostrato come configurare un filtro basato su MAC con la GUI per filtrare il client con un indirizzo MAC pari a 0040.96a5.b5d4:

  1. Creare l'indirizzo MAC ACL 700. Questo ACL non consente al client 0040.96a5.b5d4 di associarsi all'access point.

  2. Per aggiungere il filtro alle classi dei filtri, fare clic su Add (Aggiungi). È inoltre possibile definire l'azione predefinita come Inoltra tutto o Nega tutto.
  3. Fare clic su Apply (Applica). È stato creato l'ACL 700.
  4. Per applicare l'ACL 700 a un'interfaccia radio, accedere alla sezione Applicazione filtri. A questo punto, è possibile applicare l'ACL a un'interfaccia Radio o Gigabit Ethernet in entrata o in uscita.

Filtri IP

È possibile usare ACL standard o estesi per consentire o impedire l'ingresso di dispositivi client nella rete WLAN in base all'indirizzo IP del client. 

In questo esempio di configurazione vengono usati ACL estesi. L'ACL esteso deve consentire l'accesso Telnet ai client. è necessario limitare tutti gli altri protocolli sulla rete WLAN. Inoltre, i client utilizzano DHCP per ottenere l'indirizzo IP. È necessario creare un ACL esteso che:

  • Consente il traffico DHCP e Telnet
  • Nega tutti gli altri tipi di traffico

Per crearlo, completare i seguenti passaggi:

  1. Assegnare un nome al filtro e selezionare Blocca tutto dall'elenco a discesa Azione predefinita, in quanto il traffico rimanente deve essere bloccato:


  2. Selezionare Telnet dall'elenco a discesa Porta TCP e client BOOTP e server BOOTP dall'elenco a discesa Porta UDP:



  3. Fare clic su Apply (Applica). Il filtro IP Allow_DHCP?_Telnet è stato creato ed è possibile applicare questo ACL a un'interfaccia Radio o Gigabit Ethernet in entrata o in uscita.

Filtri Ethertype

È possibile usare i filtri Ethertype per bloccare il traffico IPX (Internetwork Packet Exchange) sul Cisco Aironet AP. Una situazione tipica in cui questa funzione è utile è quando il server IPX trasmette il collegamento wireless interrotto, cosa che talvolta accade in una rete aziendale di grandi dimensioni.

Per configurare e applicare un filtro che blocchi il traffico IPX, completare la procedura seguente:

  1. Fare clic sulla scheda Filtri Ethertype.
  2. Nel campo Indice filtro assegnare al filtro un numero compreso tra 200 e 299. Il numero assegnato crea un ACL per il filtro.
  3. Immettere 8137 nel campo Add Ethertype.
  4. Lasciare la maschera per Ethertype nel campo Maschera al valore predefinito.
  5. Selezionare Blocco dal menu Azione e fare clic su Aggiungi.


  6. Per rimuovere Ethertype dall'elenco Filtri e classi, selezionarlo e fare clic su Elimina classe. Ripetere i passaggi precedenti e aggiungere i tipi 8138, 00ff e 00e0 al filtro. A questo punto, è possibile applicare l'ACL a un'interfaccia Radio o Gigabit Ethernet in entrata o in uscita.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
15-Oct-2013
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Varun Ajmani
    Cisco TAC Engineer.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti