Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

ACL en controladores para redes LAN inalámbricas: reglas, limitaciones y ejemplos

17 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (5 Marzo 2008) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Introducción a las ACL en un WLC
Reglas y limitaciones de ACL
      Limitaciones de las ACL basadas en WLC
      Reglas para las ACL basadas en WLC
Configuraciones
      Ejemplo de ACL con DHCP, PING, HTTP y DNS
      Ejemplo de ACL con DHCP, PING, HTTP y SCCP
Apéndice: Puertos de teléfono IP 7920
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona información sobre listas de control de acceso (ACL) en los controladores para redes LAN inalámbricas (WLC). Este documento explica las limitaciones y reglas actuales, y ofrece ejemplos relevantes. Este documento no es un sustituto de Ejemplo de configuración de ACL en controlador para redes LAN inalámbricas, sino que proporciona información complementaria.

Nota: Para las ACL de capa 2 o para flexibilidad adicional en las reglas de ACL de capa 3, Cisco recomienda configurar las ACL en el router del primer salto conectado al controlador.

El error más común se produce cuando el campo del protocolo se establece en IP (protocolo=4) en una línea de ACL con la intención de permitir o denegar paquetes IP. Debido a que este campo selecciona realmente lo que se encapsula dentro del paquete IP, como TCP, protocolo de datagrama de usuario (UDP) y protocolo de mensajes de control de Internet (ICMP), se traduce en el bloqueo o denegación de paquetes IP-en-IP. A menos que desee bloquear paquetes de IP móvil, no se debe seleccionar IP en ninguna línea de ACL. ID de error de funcionamiento de Cisco CSCsh22975 (sólo para clientes registrados) cambia IP a IP-en-IP.

Requisitos previos

Requerimientos

Asegúrese de que cumple estos requerimientos antes de intentar esta configuración:

  • Tener conocimiento de cómo configurar el WLC y el punto de acceso ligero (LAP) para el funcionamiento básico

  • Tener conocimiento básico del protocolo de punto de acceso ligero (LWAPP) y de los métodos de seguridad inalámbricos

Componentes utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Introducción a las ACL en un WLC

Las ACL se componen de una o más líneas de ACL seguidas de una denegación implícita "deny any any" (denegar cualquiera) al final de la ACL. Cada línea tiene estos campos:

  • Sequence Number (Número de secuencia)

  • Direction (Dirección)

  • Source IP Address and Mask (Dirección IP y máscara de origen)

  • Source IP Address and Mask (Dirección IP y máscara de destino)

  • Protocol (Protocolo)

  • Src Port (Puerto origen)

  • Dest Port (Puerto destino)

  • DSCP

  • Action (Acción)

Este documento describe cada uno de estos campos:

  • Sequence Number (Número de secuencia): indica el orden en que se procesan las líneas de ACL comparadas con el paquete. El paquete se procesa comparado con la ACL hasta que coincide con la primera línea de ACL. También le permite insertar líneas de ACL en cualquier parte de la ACL, incluso después de haberla creado. Por ejemplo, en el caso de una línea de ACL con un número de secuencia 1, puede insertar una nueva línea de ACL delante colocando un número de secuencia 1 en la nueva línea de ACL. De este modo, la línea actual baja automáticamente de posición en la ACL.

  • Direction (Dirección): indica al controlador en qué dirección debe aplicar la línea de ACL. Hay 3 direcciones: Inbound (Entrante), Outbound (Saliente) y Any (Cualquiera). Estas direcciones se toman de una posición relativa al WLC y no al cliente inalámbrico.

    • Inbound (Entrante): los paquetes IP enviados desde el cliente inalámbrico se examinan para ver si coinciden con la línea de ACL.

    • Outbound (Saliente): los paquetes IP enviados al cliente inalámbrico se examinan para ver si coinciden con la línea de ACL.

    • Any (Cualquiera): los paquetes IP enviados desde el cliente inalámbrico y destinados al mismo se examinan para ver si coinciden con la línea de ACL. La línea de ACL se aplica a las direcciones entrante y saliente.

      Nota: Cuando se selecciona Any (Cualquiera) como dirección, sólo se pueden utilizar la dirección y máscara 0.0.0.0/0.0.0.0 (Any). No se debe especificar ningún host o subred concretos con la dirección "Any" (Cualquiera), porque se requerirá una nueva línea con las direcciones o las subredes intercambiadas para permitir el tráfico de retorno.

      La dirección Any (Cualquiera) sólo se debe utilizar en situaciones específicas en las que se desee bloquear o permitir un protocolo IP o puerto en ambas direcciones, hacia los clientes inalámbricos (saliente) y desde ellos (entrante).

      Al especificar direcciones IP o subredes, debe especificar la dirección como Inbound (Entrante) u Outbound (Saliente) y crear una segunda línea de ACL nueva para el tráfico de retorno en la dirección opuesta. Si se aplica una ACL a una interfaz y no permite específicamente tráfico de retorno, éste se denegará mediante la declaración implícita "deny any any" (denegar cualquiera) al final de la ACL.

  • Source IP Address and Mask (Dirección IP y máscara de origen): define las direcciones IP de origen de un solo host a varias subredes, que dependen de la máscara. La máscara se utiliza conjuntamente con la dirección IP para determinar qué bits de una dirección IP se deben ignorar en caso de que ésta se compare con la dirección IP del paquete.

    Nota: Las máscaras en una ACL de WLC no son como las máscaras de comodín o inversas utilizadas en las ACL de Cisco IOS®. En las ACL de controlador, 255 representa la coincidencia exacta con el octeto de la dirección IP, mientras que 0 es un comodín. La dirección y la máscara se combinan bit a bit.

    • Una máscara de bit 1 representa la comprobación del valor de bit correspondiente. La especificación de 255 en la máscara indica que el octeto de la dirección IP del paquete que se examina debe coincidir exactamente con el octeto correspondiente en la dirección de la ACL.

    • Una máscara de bit 0 quiere decir que no se comprobará (se ignorará) el valor de bit correspondiente. La especificación de 0 en la máscara indica que se ignora el octeto de la dirección IP del paquete que se examina.

    • 0.0.0.0/0.0.0.0 es equivalente a la dirección IP "Any" (Cualquiera) (0.0.0.0 como dirección y 0.0.0.0 como máscara).

  • Destination IP Address and Mask (Dirección IP y máscara de destino): sigue las mismas reglas de máscara que la dirección IP y la máscara de origen.

  • Protocol (Protocolo): especifica el campo de protocolo en el encabezado del paquete IP. Algunos de los números de protocolo están traducidos para comodidad del usuario y están definidos en el menú desplegable. Los diferentes valores son:

    • Any (Cualquiera) (coincidencia de todos los números del protocolo)

    • TCP (protocolo IP 6)

    • UDP (protocolo IP 17)

    • ICMP (protocolo IP 1)

    • ESP (protocolo IP 50)

    • AH (protocolo IP 51)

    • GRE (protocolo IP 47)

    • IP (Protocolo IP 4 IP-en-IP [CSCsh22975])

    • Eth Over IP (Ethernet por IP) (protocolo IP 97)

    • OSPF (protocolo IP 89)

    • Other (Otro) (Especificar)

    El valor Any (Cualquiera) coincide con cualquier protocolo del encabezado IP del paquete. Esto se utiliza para bloquear o permitir totalmente paquetes IP que se envían a subredes específicas o proceden de ellas. Seleccione IP para coincidencia con paquetes IP-en-IP. Las selecciones habituales son UDP y TCP, que permiten establecer puertos específicos de origen y destino. Si selecciona Other (Otro), puede especificar cualquiera de los números de protocolo de paquete IP definidos en IANA leavingcisco.com.

  • Src Port (Puerto origen): sólo se puede especificar para los protocolos TCP y UDP. 0-65535 es equivalente al puerto Any (Cualquiera).

  • Dest Port (Puerto destino): sólo se puede especificar para los protocolos TCP y UDP. 0-65535 es equivalente al puerto Any (Cualquiera).

  • DSCP (Differentiated Services Code Point) (Punto de código de servicios diferenciados: permite especificar valores DSCP determinados de modo que coincidan con el encabezado de paquete IP. Las opciones del menú desplegable son específicas o Any (Cualquiera). Si selecciona una configuración específica, debe indicar el valor en el campo DSCP. Por ejemplo, se pueden utilizar los valores comprendidos entre 0 y 63.

  • Action (Acción): las 2 acciones son Deny (Denegar) o Permit (Permitir). Deny (Denegar) bloquea el paquete especificado. Permit (Permitir) reenvía el paquete.

Reglas y limitaciones de ACL

Limitaciones de las ACL basadas en WLC

Éstas son las limitaciones de las ACL basadas en WLC:

  • No se puede ver qué línea de ACL ha coincidido con un paquete (consulte el de error de funcionamiento de Cisco CSCse36574 (sólo para clientes registrados).

  • No puede registrar paquetes que coincidan con una línea de ACL específica (consulte el de error de funcionamiento de Cisco CSCse36574 (sólo para clientes registrados).

  • Los paquetes IP (cualquier paquete con un valor de campo de protocolo Ethernet igual a IP [0x0800]) son los únicos paquetes que examina la ACL. Otros tipos de paquetes Ethernet no se pueden bloquear mediante ACL. Por ejemplo, los paquetes ARP (protocolo Ethernet 0x0806) no se pueden bloquear ni permitir mediante ACL.

  • Un controlador puede tener hasta 64 ACL configuradas, cada una de las cuales puede tener hasta un máximo de 64 líneas.

  • Las ACL no afectan al tráfico de multidifusión ni de transmisión que se reenvía desde o hacia los AP y los clientes inalámbricos (consulte el de error de funcionamiento de Cisco CSCse65613 (sólo para clientes registrados).

  • Antes de la versión 4.0 de WLC, las ACL se desviaban en la interfaz de administración, de modo que el usuario no podía afectar al tráfico destinado a la interfaz de administración. Después de la versión 4.0 de WLC, puede crear ACL de CPU. Consulte Configuración de ACL de CPU para obtener más información sobre cómo configurar este tipo de ACL.

  • Las ACL dependen del procesador y pueden afectar al rendimiento del controlador en situaciones de carga extrema.

  • Las ACL no pueden bloquear el acceso a la dirección IP virtual (1.1.1.1). Por lo tanto, no se puede bloquear el DHCP para clientes inalámbricos.

  • Las ACL no afectan al puerto de servicio del WLC.

Reglas para las ACL basadas en WLC

Éstas son las reglas para las ACL basadas en WLC:

  • Sólo puede especificar números de protocolo en el encabezado IP (UDP, TCP, ICMP, etc.) en líneas de ACL, ya que las ACL se restringen a paquetes IP solamente. Si se selecciona IP, se indica que desea permitir o denegar paquetes IP-en-IP. Si se selecciona Any (Cualquiera), se indica que se desea permitir o denegar paquetes con cualquier protocolo IP.

  • Si selecciona Any (Cualquiera) como dirección, el origen y el destino deben ser también Any (Cualquiera) (0.0.0.0/0.0.0.0).

  • Si la dirección IP de origen o destino no es Any (Cualquiera), debe especificarse la dirección del filtro. Asimismo, debe crearse una declaración inversa (con dirección/puerto IP de origen y destino intercambiados) en la dirección opuesta para el tráfico de retorno.

  • Hay una denegación implícita "deny any any" (denegar cualquiera) al final de la ACL. Si un paquete no coincide con ninguna línea de la ACL, el controlador lo elimina.

Configuraciones

Ejemplo de ACL con DHCP, PING, HTTP y DNS

En este ejemplo de configuración, los clientes sólo pueden:

  • Recibir una dirección DHCP (el DHCP no puede bloquearse mediante una ACL)

  • Realizar y recibir ping (cualquier mensaje de tipo ICMP; no se puede restringir a ping solamente)

  • Realizar conexiones HTTP (salientes)

  • Resolución de sistema de nombres de dominio (DNS) (saliente)

Para configurar estos requisitos de seguridad, la ACL debe tener líneas para permitir:

  • Cualquier mensaje ICMP en cualquier dirección (no se puede restringir a ping solamente)

  • Cualquier puerto UDP a DNS entrante

  • DNS a cualquier puerto UDP saliente (tráfico de retorno)

  • Cualquier puerto TCP a HTTP entrante

  • HTTP a cualquier puerto TCP saliente (tráfico de retorno)

Éste es el aspecto de la ACL del resultado del comando show acl detailed "MY ACL 1" (las comillas sólo son necesarias si el nombre de la ACL tiene más de 1 palabra):

Seq  Direction  Source IP/Mask   Dest IP/Mask     Protocol  Src Port  Dest Port  DSCP  Action
---  ---------  ---------------  ---------------  --------  --------  ---------  ----  ------
1      Any      0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     1      0-65535   0-65535     Any  Permit
2      In       0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     17     0-65535   53-53       Any  Permit
3      Out      0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     17     53-53     0-65535     Any  Permit

La ACL puede ser más restrictiva si especifica la subred en la que se encuentran los clientes inalámbricos, en lugar de la dirección IP Any (Cualquiera) en las líneas DNS y HTTP de la ACL.

Nota: Las líneas DHCP de la ACL no se pueden restringir según la subred, ya que el cliente recibe inicialmente la dirección IP mediante 0.0.0.0 y, a continuación, la renueva mediante una dirección de subred.

Éste es el aspecto de la misma ACL en la interfaz gráfica de usuario:

contr-acls-rle1.gif

Ejemplo de ACL con DHCP, PING, HTTP y SCCP

En este ejemplo de configuración, los teléfonos IP 7920 sólo pueden:

  • Recibir una dirección DHCP (no puede bloquearse mediante una ACL)

  • Realizar y recibir ping (cualquier mensaje de tipo ICMP; no se puede restringir a ping solamente)

  • Permitir la resolución de DNS (entrante)

  • Conexión de teléfono IP a CallManager y viceversa (cualquier dirección)

  • Conexiones de teléfono IP a servidor TFTP (CallManager utiliza puerto dinámico después de la conexión inicial TFTP al puerto UDP 69) (saliente)

  • Permitir la comunicación de teléfono IP 7920 a teléfono IP (cualquier dirección)

  • Cancelar el permiso de Web de teléfono IP o el directorio de teléfono (saliente). Esto se realiza mediante una denegación implícita "deny any any" (denegar cualquiera) en una línea de ACL al final de la ACL.

    Esto permite comunicaciones de voz entre teléfonos IP, así como operaciones normales de inicio entre el teléfono IP y CallManager.

Para configurar estos requisitos de seguridad, la ACL debe tener líneas para permitir:

  • Cualquier mensaje de ICMP (no se puede restringir a ping solamente) (cualquier dirección)

  • Teléfono IP al servidor DNS (puerto UDP 53) (entrante)

  • Servidor DNS al teléfono IP (puerto UDP 53) (saliente)

  • Puertos TCP de teléfono IP al puerto TCP 2000 de CallManager (puerto predeterminado) (entrante)

  • Puerto TCP 2000 de CallManager a teléfonos IP (saliente)

  • Puerto UDP del teléfono IP al servidor TFTP No se puede restringir al puerto TFTP estándar (69), ya que CallManager utiliza un puerto dinámico después de la solicitud inicial de conexión para la transferencia de datos.

  • Puerto UDP para SCCP (delgado) entre teléfonos IP (puertos UDP 16384-32767) (cualquier dirección)

En este ejemplo, la subred del teléfono IP 7920 es 10.2.2.0/24 y la subred de CallManager es 10.1.1.0/24. El servidor DNS es 172.21.58.8. El resultado del comando show acl detail Voice es el siguiente:

Seq Direction Source IP/Mask           Dest IP/Mask           Protocol Src Port  Dest Port  DSCP  Action
--- --------- ---------------         ---------------         -------- --------  ---------  ----  ------
1     Any     0.0.0.0/0.0.0.0         0.0.0.0/0.0.0.0            1     0-65535   0-65535    Any  Permit
2     In      10.2.2.0/255.255.255.0 172.21.58.8/255.255.255.255 17    0-65535   53-53      Any  Permit
3     Out     172.21.58.8/255.255.255.255 10.2.2.0/255.255.255.0 17    53-53     0-65535    Any  Permit
4     In      10.2.2.0/255.255.255.0  10.1.1.0/255.255.255.0     6     0-65535   2000-2000  Any  Permit
5     Out     10.1.1.0/255.255.255.0  10.2.2.0/255.255.255.0     6     2000-2000 0-65535    Any  Permit
6     In      10.2.2.0/255.255.255.0  10.1.1.0/255.255.255.0     17    0-65535   0-65535    Any  Permit
7     Out     10.1.1.0/255.255.255.0  10.2.2.0/255.255.255.0     17    0-65535   0-65535    Any  Permit
8     In      10.2.2.0/255.255.255.0  0.0.0.0/0.0.0.0            17 16384-32767 16384-32767 Any  Permit
9     Out     0.0.0.0/0.0.0.0         10.2.2.0/255.255.255.0     17 16384-32767 16384-32767 Any  Permit

Éste es su aspecto en la interfaz gráfica de usuario:

contr-acls-rle2.gif

Apéndice: Puertos de teléfono IP 7920

Éste es un resumen de las descripciones de los puertos que utiliza el teléfono IP 7920 para comunicarse con Cisco CallManager (CCM) y otros teléfonos IP:

  • Teléfono a CCM [TFTP] (puerto UDP 69 inicialmente y posteriormente puerto dinámico [Ephemeral] para la transferencia de datos: protocolo trivial de transferencia de archivos (TFTP) utilizado para archivos de firmware y configuración.

  • Teléfono a CCM [servicios Web, Directory] (puerto TCP 80): URL de teléfono para aplicaciones XML, autenticación, directorios, servicios, etc. Estos puertos se configuran por servicio.

  • Teléfono a CCM [señalización de voz] (puerto TCP 2000): protocolo de control de cliente delgado (SCCP). Este puerto es configurable.

  • Teléfono a CCM [señalización de voz segura] (puerto TCP 2443): protocolo de control de cliente delgado (SCCPS)

  • Teléfono a CAPF [certificados] (puerto TCP 3804): puerto de escucha de función de proxy de la entidad emisora de certificados (CAPF) para emitir certificados localmente significativos (LSC) a teléfonos IP.

  • Portador de voz a/desde teléfono IP [llamadas telefónicas] (puertos UDP 16384 - 32768): protocolo de tiempo real (RTP), protocolo de tiempo real seguro (SRTP).

    Nota: CCM sólo utiliza los puertos UDP 24576-32768, pero otros dispositivos pueden utilizar el intervalo completo.

  • Teléfono IP a servidor DNS [DNS] (puerto UDP 53): los teléfonos utilizan DNS para cifrar el nombre de host de los servidores TFTP, CallManager y los nombres de host del servidor Web cuando el sistema se configura para utilizar nombres, en lugar de direcciones IP.

  • Teléfono IP a servidor DHCP [DHCP] (puertos UDP 67 [cliente] y 68 [servidor]): el teléfono utiliza DHCP para recuperar una dirección IP si no se ha configurado estáticamente.

Los puertos que utiliza CallManager 5.0 para comunicarse se pueden encontrar en Uso de los puertos TCP y UDP de Cisco Unified CallManager 5.0. También tiene los puertos específicos que utiliza comunicarse con el teléfono IP 7920.

Los puertos que utiliza CallManager 4.1 para comunicarse se pueden encontrar en Uso de los puertos TCP y UDP de Cisco Unified CallManager 4.1. También tiene los puertos específicos que utiliza comunicarse con el teléfono IP 7920.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 81733