在WAP551和WAP561接入点上配置基于IPv4和IPv6的访问控制列表(ACL)

目标

访问列表(ACL)是允许和拒绝条件（称为规则）的集合，提供安全性以阻止未经授权的用户并允许授权用户访问特定资源。ACL可以阻止任何不必要的访问网络资源的尝试。QoS功能包含差分服务(DiffServ)支持，允许将流量分类为流并根据定义的每跳行为进行特定QoS处理。

本文介绍如何在WAP551和WAP561接入点(WAP)上创建和配置基于IPv4和IPv6的ACL。

适用设备

· WAP551
· WAP561

软件版本

•v1.0.4.2

ACL 配置

IP ACL对IP堆栈中第3层的流量进行分类。每个ACL是一组最多10条规则，这些规则应用于从无线客户端发送或由无线客户端接收的流量。每条规则指定应使用给定字段的内容来允许还是拒绝对网络的访问。规则可以基于各种标准，并且可以应用于数据包中的一个或多个字段，例如源或目标IP地址、源或目标端口或数据包中承载的协议。

步骤1.登录Web配置实用程序并选择Client QoS > ACL。ACL页面打开：

步骤2.在ACL Name字段中输入ACL的名称。

步骤3.从ACL Type下拉列表中选择所需的ACL类型。如果选择IPv6，请参阅“IPv6 ACL配置”部分。如果从ACL Type下拉列表中选择了基于MAC的ACL，请参阅WAP551和WAP561接入点上基于MAC的访问控制列表(ACL)的配置文章。

步骤4.单击Add ACL创建新ACL。

IPv4 ACL配置

注意：如果从ACL Type下拉列表中选择了IPv4，请按照以下步骤配置IPv4 ACL规则。

步骤1.从ACL Name-ACL Type下拉列表中选择已创建的ACL。

步骤2.如果必须配置新规则，并且所选ACL的规则数少于10，请从Rule下拉列表中选择New Rule。否则，从Rule下拉列表中选择当前规则之一。

注意：最多可为单个ACL创建10个规则。

步骤3.从Action下拉列表中选择ACL规则的操作。

·拒绝 — 阻止符合规则条件的所有流量进入或退出WAP设备。

·允许 — 允许符合规则条件的所有流量进入或退出WAP设备。

注意：以下所有步骤都是可选的。将启用选中的框。如果不想应用特定规则，请取消选中此框。

步骤4.选中匹配每个数据包复选框以匹配每个帧或数据包的规则，而不考虑其内容。取消选中匹配每个数据包复选框以配置任何附加匹配条件。

节省时间：如果选中Match Every Packet，则跳至步骤10。

步骤5.选中Protocol复选框，以根据IPv4数据包中的IP Protocol字段的值使用L3或L4协议匹配条件。如果选中Protocol复选框，请点击以下单选按钮之一：

·从列表中选择 — 从从列表中选择下拉列表中选择的协议。

·与值匹配 — 用于列表中未显示的协议。输入标准IANA分配的协议ID范围，范围从0到255。

步骤6.选中Source IP Address复选框，将源的IP地址包括在匹配条件中。在相应字段中输入源的IP地址和通配符掩码。 

步骤7.选中Source Port复选框，将源端口包括在匹配条件中。如果选中Source Port复选框，请点击以下单选按钮之一：

·从列表中选择 — 从列表中选择的源端口。 

·与端口匹配 — 用于列表中未显示的源端口。输入端口号，该端口号范围为0到65535，包括三种不同类型的端口。

- 0到1023 — 公认端口。

- 1024至49151 — 注册端口。

- 49152到65535 — 动态和/或专用端口。

步骤8.选中Destination IP Address复选框，将目标的IP地址包括在匹配条件中。在相应字段中输入目标的IP地址和通配符掩码。 

步骤9.选中Destination Port复选框，将目标端口包括在匹配条件中。如果选中Destination Port复选框，请单击其中一个单选按钮。

·从列表中选择 — 从列表中选择的目标端口。

·与端口匹配 — 用于列表中未显示的目标端口。在Match to Port字段中输入范围为0到65535的端口号。范围包括三种不同类型的端口。

- 0到1023 — 公认端口。

- 1024至49151 — 注册端口。

- 49152到65535 — 动态和/或专用端口。

注意：只能从“服务类型”区域选择其中一项服务，并且可以为匹配条件添加。

 

步骤10.选中IP DSCP复选框以根据IP DSCP值匹配数据包。如果选中IP DSCP复选框，请点击以下单选按钮之一：

·从列表中选择 — 从从列表中选择下拉列表中选择所需的IP DSCP值。

·与值匹配 — 自定义DSCP值。在“与值匹配”字段中输入范围为0到63的DSCP值。 

步骤11.选中IP Precedence复选框以在匹配条件中包含IP Precedence值。如果选中IP优先级复选框，请输入IP优先级值，该值范围为0到7。IP优先级值和相应的值说明可解释如下：

· 0 — 常规或尽力

· 1 — 优先级

· 2 — 立即

· 3 — Flash（主要用于语音信令或视频）

· 4 — 闪存覆盖

· 5 — 关键（主要用于语音RTP）

· 6 — 互联网

· 7 — 网络

步骤12.选中IP TOS Bits复选框，以使用IP报头中的Type of Service bits作为匹配条件。如果选中IP TOS Bits复选框，请在相应字段中输入IP TOS位（范围为00到FF）和IP TOS掩码（范围为00到FF）。

步骤13.要删除已配置的ACL，请选中Delete ACL复选框，然后单击Save。

IPv6 ACL配置

注意：如果从ACL Type下拉列表中选择了IPv6，请按照以下步骤配置IPv6 ACL规则。

步骤1.从ACL Name-ACL Type下拉列表中选择已创建的ACL。

步骤2.如果必须为所选ACL配置新规则，请从Rule下拉列表中选择New Rule。否则，从Rule下拉列表中选择当前规则之一。

注意：最多可为单个ACL创建10个规则。

步骤3.从Action下拉列表中选择ACL规则的操作。

·拒绝 — 阻止符合规则条件的所有流量进入或退出WAP设备。

·允许 — 允许符合规则条件的所有流量进入或退出WAP设备。

注意：以下所有步骤都是可选的。将启用选中的框。如果不想应用特定规则，请取消选中此框。

步骤4.选中匹配每个数据包复选框以匹配每个帧或数据包的规则，而不考虑其内容。取消选中匹配每个数据包复选框以配置任何附加匹配条件。

节省时间：如果选中Match Every Packet，则跳至步骤12。

步骤5.选中Protocol复选框，以根据IPv6数据包中的IP Protocol字段的值使用L3或L4协议匹配条件。如果选中Protocol复选框，请单击这些单选按钮之一。

·从列表中选择 — 从从列表中选择下拉列表中选择的协议。

·与值匹配 — 用于列表中未显示的协议。输入标准IANA分配的协议ID范围，范围从0到255。

步骤6.选中Source IP Address复选框，将源的IP地址包括在匹配条件中。在相应字段中输入源的IP地址和通配符掩码。 

步骤7.选中Source Port复选框，将源端口包括在匹配条件中。如果选中Source Port复选框，请点击以下单选按钮之一：

·从列表中选择 — 从列表中选择的源端口。 

·与端口匹配 — 用于列表中未显示的源端口。输入端口号，该端口号范围为0到65535，包括三种不同类型的端口。

- 0到1023 — 公认端口。

- 1024至49151 — 注册端口。

- 49152到65535 — 动态和/或专用端口。

 步骤8.选中Destination IP Address复选框，将目标的IP地址包括在匹配条件中。在相应字段中输入目标的IP地址和通配符掩码。 

步骤9.选中Destination Port复选框，将目标端口包括在匹配条件中。如果选中Destination Port复选框，请单击以下单选按钮之一：

·从列表中选择 — 从列表中选择的目标端口。

·与端口匹配 — 用于列表中未显示的目标端口。在Match to Port字段中输入范围为0到65535的端口号。范围包括三种不同类型的端口。

- 0到1023 — 公认端口。

- 1024至49151 — 注册端口。

- 49152到65535 — 动态和/或专用端口。

步骤10.选中IPv6流标签复选框以在匹配条件中包含IPv6流标签。IPv6报头中的20位流标签字段可供源用于标记属于同一流的一组数据包。在IPv6流标签字段中输入范围从00000到FFFF的编号。 

步骤11.选中IPv6 DSCP复选框，以在匹配条件中包含IP DSCP值。如果选中IP DSCP复选框，请点击其中一个单选按钮。

·从列表中选择 — IP DSCP值，从从列表中选择下拉列表中选择。

·与值匹配 — 自定义DSCP值，范围为0到63。

步骤12.（可选）要删除已配置的ACL，请选中Delete ACL 复选框。

步骤13.单击“保存”。