Aironet AP上的ACL過濾器配置示例
簡介
本檔案介紹如何使用GUI在Cisco Aironet存取點(AP)上設定存取控制清單(ACL)型篩選器。
必要條件
需求
思科建議您瞭解以下主題的基本知識:
- 使用Aironet AP和Aironet 802.11 a/b/g客戶端介面卡配置無線連線
- ACL
採用元件
本檔案使用執行Cisco IOS®軟體版本15.2(2)JB的Aironet 1040系列AP。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
背景資訊
可以在AP上使用過濾器來執行以下任務:
- 限制對無線LAN (WLAN)網路的訪問
- 提供一層額外的無線安全性
您可以使用不同型別的過濾器來根據以下條件過濾流量:
- 特定通訊協定
- 客戶端裝置的MAC地址
- 客戶端裝置的IP地址
您也可以啟用過濾器,以限制來自有線LAN上使用者的流量。IP地址和MAC地址過濾器允許或禁止轉發傳送到或來自特定IP或MAC地址的單播和組播資料包。
基於協定的過濾器提供了一種更精細的方法,以限制透過AP的乙太網和無線電介面訪問特定協定。可以使用以下任一方法在AP上配置過濾器:
- Web GUI
- CLI
本文檔說明如何使用ACL透過GUI配置過濾器。
設定
本節介紹如何使用GUI在Cisco Aironet AP上配置基於ACL的過濾器。
建立ACL的位置
導航到安全 > 高級安全。選擇Association Access List 頁籤,然後按一下Define Filter:
MAC位址過濾器
可以使用基於MAC地址的過濾器來根據硬編碼MAC地址過濾客戶端裝置。當客戶端被拒絕透過基於MAC的過濾器訪問時,客戶端無法與AP關聯。MAC地址過濾器允許或不允許轉發從特定MAC地址傳送或發往特定MAC地址的單播和組播資料包。
此示例說明如何透過GUI配置一個基於MAC的過濾器,以過濾MAC地址為0040.96a5.b5d4的客戶端:
- 建立MAC地址ACL 700。此ACL不允許客戶端0040.96a5.b5d4與AP關聯。
- 按一下Add以將此過濾器增加到過濾器類。您也可以將預設操作定義為Forward All或Deny All。
- 按一下「Apply」。ACL 700現已建立。
- 要將ACL 700應用於無線電介面,請導航到應用過濾器部分。現在可以將此ACL應用於傳入或傳出無線電或GigabitEthernet介面。
IP 篩選器
您可以使用標準型或延伸型ACL,根據使用者端的IP位址允許或禁止使用者端裝置進入WLAN網路。
此組態範例使用延伸型ACL。擴展ACL必須允許Telnet訪問客戶端。您必須限制WLAN網路上所有其他的通訊協定。此外,客戶端使用DHCP來獲取IP地址。您必須建立具有以下特徵的延伸型ACL:
- 允許DHCP和Telnet流量
- 拒絕所有其他流量型別
完成以下步驟即可建立它:
- 為過濾器命名,並從Default Action下拉選單中選擇Block All,因為必須阻止剩餘流量:
- 從TCP Port下拉選單中選擇Telnet,然後從UDP Port下拉選單中選擇BOOTP client & BOOTP server:
- 按一下「Apply」。現在已建立IP過濾器Allow_DHCP?_Telnet,您可以對傳入或傳出的無線電或GigabitEthernet介面應用此ACL。
Ethertype過濾器
您可以使用Ethertype過濾器阻止Cisco Aironet AP上的網際網路資料包交換(IPX)流量。IPX伺服器廣播阻塞無線鏈路時(這種情況有時發生在大型企業網路中),這是非常有用的情況。
完成以下步驟,以配置和應用阻止IPX流量的過濾器:
- 按一下Ethertype Filters頁籤。
- 在Filter Index 欄位中,用介於200和299之間的數字命名過濾器。您指定的數字會為過濾器建立ACL。
- 在Add Ethertype欄位中輸入8137。
- 將掩碼欄位中的Ethertype掩碼保留為預設值。
- 從操作選單中選擇Block,然後按一下Add。
- 若要從[Filters Classes]清單中移除Ethertype,請選取它,然後按一下[Delete Class]。重複以上步驟,將型別8138、00ff和00e0增加到過濾器中。現在可以將此ACL應用於傳入或傳出無線電或GigabitEthernet介面。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
15-Oct-2013 |
初始版本 |
意見