在无线接入点上配置MAC、IPv4和IPv6访问控制列表

目标

访问控制列表(ACL)是用于提高安全性的网络流量过滤器和相关操作的列表。它阻止未授权用户并允许授权用户访问特定资源。ACL包含允许或拒绝访问网络设备的主机。ACL可通过以下两种方式之一定义：按IPv4地址或按IPv6地址。

本文将指导您如何在无线接入点(WAP)上成功创建ACL并配置基于IPv4、IPv6和媒体访问控制(MAC)的ACL，以提高网络安全性。

适用设备

• WAP100系列
• WAP300系列
• WAP500系列

软件版本

• 1.0.6.2 - WAP121、WAP321
• 1.2.0.2 - WAP371、WAP551、WAP561
• 1.0.1.4 - WAP131、WAP351
• 1.0.0.16 - WAP150、WAP361

创建 ACL

注意：用于此配置的映像来自WAP150。

步骤1.登录到基于Web的接入点实用程序，然后选择ACL > ACL Rule。

注意：对于WAP121、WAP321、WAP371、WAP551和WAP561:登录到基于Web的接入点实用程序，然后选择Client QoS>ACL。

步骤2.打开“ACL配置”页后，在“ACL名称”字段中输入ACL名称。

步骤3.从ACL Type下拉列表中选择ACL Type。

• IPv4 — 一个32位（4字节）地址。
• IPv6 - IPv4的后继路由器，包含128位（8字节）地址。
• MAC - MAC地址是分配给网络接口的唯一地址。

步骤4.单击“添加ACL”按钮。

如果选择MAC，请跳至配置基于MAC的ACL。

如果选择IPv4，请跳至配置基于IPv4的ACL。

如果选择IPv6，请跳至配置基于IPv6的ACL。

您现在应该已成功创建ACL。

配置基于MAC的ACL

步骤1.从ACL Name - ACL Type下拉列表中选择要向其添加规则的ACL。

注意：在下图中，选择ACL1 MAC作为示例。

步骤2.如果必须为所选ACL配置新规则，请从Rule下拉列表中选择New Rule。否则，从Rule下拉列表中选择一个当前规则。

注意：最多可为单个ACL创建10个规则。

步骤3.从Action下拉列表中选择ACL规则的操作。

注意：在本示例中，创建了Deny语句。

• 拒绝 — 阻止符合规则条件的所有流量进入或退出WAP。由于每个ACL的末尾都有一条隐式deny-all规则，因此不明确允许的流量将被丢弃。
• 允许 — 允许符合规则条件的所有流量进入或退出WAP。不符合条件的流量将被丢弃。

注意：步骤4至11为可选步骤。已启用选中的过滤器。取消选中不希望过滤器应用到此特定规则的过滤器复选框。

步骤4.选中Match Every Packet复选框，以匹配每个帧或数据包的规则，而不考虑其内容。取消选中此框可配置任何其他匹配条件。

提示:如果已选中“匹配每个数据包”，请跳至步骤12。

步骤5.在EtherType区域中，选择单选按钮，将匹配的条件与以太网帧报头中的值进行比较。您可以选择以下选项之一或选择任意：

• 从列表中选择 — 从下拉列表中选择协议。该列表具有以下选项：appletalk、arp、IPv4、IPv6、ipx、netbios、pppoe。
• 匹配到值 — 对于自定义协议标识符，输入范围为0600到FFFF的标识符。

步骤6.在Class Of Service区域中，选择单选按钮以输入802.1p用户优先级，以与以太网帧进行比较。您可以选择“任意”或“用户定义”优先级。在“用户定义”字段中输入从0到7的优先级。

步骤7.在Source MAC区域中，选择单选按钮，将源MAC地址与以太网帧进行比较。您可以选择任意或选择用户定义，并在提供的字段中输入源MAC地址。

步骤8.在源MAC掩码字段中输入源MAC地址掩码，该字段指定源MAC中要与以太网帧进行比较的位。

注意：如果MAC掩码使用0位，则接受该地址，如果它使用1位，则忽略该地址。

步骤9.在Destination MAC区域中，选择单选按钮，将目的MAC地址与以太网帧进行比较。您可以选择Any或选择User Defined，然后在提供的字段中输入目标MAC地址。

步骤10.在Destination MAC Mask字段中输入目的MAC地址掩码，该字段指定目的MAC中要与以太网帧进行比较的位。

注意：如果MAC掩码使用0位，则接受该地址，如果它使用1位，则忽略该地址。

步骤11.在VLAN ID区域中，选择一个单选按钮，将VLAN ID与以太网帧进行比较。在提供的字段中输入VLAN ID范围从0到4095。

步骤12.单击“保存”。

步骤13.（可选）要删除已配置的ACL，请选中Delete ACL复选框，然后单击Save。

现在，您应该已在WAP上成功配置MAC ACL。

配置基于IPv4的ACL

步骤1.在ACL Rule Configuration区域中，配置以下规则参数：

ACL名称 — ACL类型选择要使用新规则配置的ACL。

注意：在下图中，选择IPv4_ACL-IPv4作为示例。

步骤2.如果必须为所选ACL配置新规则，请从Rule下拉列表中选择New Rule。否则，从Rule下拉列表中选择一个当前规则。

注意：最多可为单个ACL创建10个规则。

步骤3.从Action下拉列表中选择ACL规则的操作。

注意：在本示例中，创建了Permit语句。

• 拒绝 — 阻止符合规则条件的所有流量进入或退出WAP。由于每个ACL的末尾都有一条隐式deny-all规则，因此不明确允许的流量将被丢弃。
• 允许 — 允许符合规则条件的所有流量进入或退出WAP。不符合条件的流量将被丢弃。

注意：步骤4至9为可选步骤。已启用选中的过滤器。如果不希望过滤器应用于此特定规则，请取消选中该过滤器的复选框。

步骤4.选中Match Every Packet复选框，以匹配每个帧或数据包的规则，而不考虑其内容。取消选中此框可配置任何其他匹配条件。

提示：默认情况下启用“匹配每个数据包”。如果要保留此设置，请跳至步骤11。

步骤5.在Protocol区域中，选择单选按钮，将匹配的条件与以太网帧报头中的值进行比较。您可以选择任意(Any)或从下拉列表中选择

• 从列表中选择 — 选择以下协议之一：

步骤6.在Source IP区域中，选择单选按钮以在匹配条件中包含源的IP地址。您可以选择Any或User Defined，然后在相应字段中输入源的IP地址和通配符掩码。

• 源IP地址 — 输入要应用此条件的IP地址。
• 通配符掩码 — 输入目标IP地址通配符掩码。通配符掩码确定使用哪些位和忽略哪些位。通配符掩码255.255.255.255表示没有位很重要。通配符0.0.0.0表示所有位都很重要。选择源IP地址时，此字段为必填字段。

注意：通配符掩码基本上是子网掩码的反码。例如，要将条件与单个主机地址匹配，请使用通配符掩码0.0.0.0。要将条件与24位子网(例如192.168.10.0/24)匹配，请使用通配符掩码0.0.0.255。

步骤7.在Source Port区域，选择单选按钮以在匹配条件中包含源端口。您可以选择Any以匹配任何源端口，也可以选择以下选项：

• 从列表中选择 — 从从列表中选择下拉列表中选择源端口。选项如下：

• 与端口匹配 — 输入列表中未显示的端口号。未列出源端口的Match to Port(与端口匹配)字段中的端口号范围为0至65535。范围包括三种不同类型的端口。范围描述如下

• 掩码 — 输入端口掩码。掩码确定使用哪些位和忽略哪些位。仅允许十六进制数字(0 - 0xFFFF)。0表示位重要，1表示您应忽略此位。

步骤8.在Destination IP区域中，选择一个单选按钮以在匹配条件中包含目标的IP地址。您可以选择Any或User Defined，然后在相应字段中输入目标的IP地址和通配符掩码。

• 目标IP地址 — 输入要应用此条件的IP地址。
• 通配符掩码 — 输入目标IP地址通配符掩码。通配符掩码确定使用哪些位和忽略哪些位。通配符掩码255.255.255.255表示没有位很重要。通配符0.0.0.0表示所有位都很重要。选择目标IP地址时，此字段为必填字段。

注意：通配符掩码基本上是子网掩码的反码。例如，要将条件与单个主机地址匹配，请使用通配符掩码0.0.0.0。要将条件与24位子网(例如192.168.10.0/24)匹配，请使用通配符掩码0.0.0.255。

步骤9.在Destination Port区域中，选择一个单选按钮以在匹配条件中包含目标端口。您可以选择Any以匹配任何目标端口，也可以选择以下选项：

• 从列表中选择 — 从下拉列表中选择目标端口。选项如下

• 与端口匹配 — 输入列表中未显示的端口号。未列出源端口的Match to Port字段中的端口号范围为0到65535。范围包括三种不同类型的端口。范围描述如下：

• 掩码 — 输入端口掩码。掩码确定使用哪些位和忽略哪些位。仅允许十六进制数字(0-0xFFFF)。0表示位重要，1表示您应忽略此位。

• IP DSCP Select From List — 根据其差分服务代码点(DSCP)保证转发(AS)、服务类别(CS)或加速转发(EF)值匹配数据包。
• IP DSCP Match to Value — 根据自定义DSCP值匹配数据包。如果选择，请在此字段中输入0到63之间的值。
• IP Precedence — 根据数据包的IP优先级值匹配数据包。如果选择，请输入0到7之间的IP优先级值。
• IP TOS位 — 指定一个值，以将IP报头中数据包的TOS位用作匹配条件。
• 数据包中的IP TOS字段定义为IP报头中服务类型二进制八位数的全部八位。IP TOS Bits值是00到ff的两位十六进制数。高位三位表示IP优先级值。高位六位表示IP DSCP值。
• IP TOS掩码 — 输入IP TOS掩码值，以标识IP TOS位值中的位位置，该位值用于与数据包中的IP TOS字段进行比较。
• IP TOS掩码值是一个从00到FF的两位十六进制数，表示一个倒置（即通配符）掩码。IP TOS掩码中的零值位表示IP TOS位值中的位位置，用于与数据包的IP TOS字段进行比较。例如，要检查设置了位7和位5并清除位1的IP TOS值（其中位7最有效），请使用IP TOS位值0和IP TOS掩码00。

配置基于IPv6的ACL

• 拒绝 — 阻止符合规则条件的所有流量进入或退出WAP。由于每个ACL的末尾都有一条隐式deny-all规则，因此不明确允许的流量将被丢弃。
• 允许 — 允许符合规则条件的所有流量进入或退出WAP。不符合条件的流量将被丢弃。

• 从列表中选择 — 选择以下协议之一：

• 与值匹配 — 输入标准IANA分配的协议ID（从0到255）。选择此方法可标识未按名称在“从列表中选择”中列出的协议。

• 源IPv6地址 — 输入IPv6地址以应用此条件。
• 源IPv6前缀长度(Source IPv6 Prefix Length) — 输入源IPv6地址的前缀长度。

• 从列表中选择 — 从从列表中选择下拉列表中选择源端口。选项如下：

• 与端口匹配 — 输入列表中未显示的端口号。未列出源端口的Match to Port字段中的端口号范围为0到65535。范围包括三种不同类型的端口。范围描述如下：

• 掩码 — 输入端口掩码。掩码确定使用哪些位和忽略哪些位。仅允许十六进制数€字(“0 - 0xFFFF)。0表示位重要，1表示您应忽略此位。

• 目标IPv6地址 — 输入IPv6地址以应用此条件。
• 目标IPv6前缀长度(Destination IPv6 Prefix Length) — 输入目标IPv6地址的前缀长度。

• 从列表中选择 — 从从列表中选择下拉列表中选择目标端口。选项包括FTP、FTP数据、HTTP、SNMP、SMTP、TFTP、Telnet、WWW。
• 与端口匹配 — 输入列表中未显示的端口号。未列出源端口的Match to Port字段中的端口号范围为0到65535。范围包括三种不同类型的端口。范围描述如下：

• 掩码 — 输入端口掩码。掩码确定使用哪些位和忽略哪些位。仅允许十六进制数字(0-0xFFFF)。0表示位重要，1表示您应忽略此位。

• 从列表中选择 — 选择以下值之一：DSCP保证转发(AF)、服务类别(CS)或加速转发(EF)。
• 与值匹配 — 输入自定义DSCP值，范围为0至63。