ACL en WLC: reglas, limitaciones y ejemplos

Introducción

Este documento proporciona información sobre las listas de control de acceso (ACL) en Controladores de LAN Inalámbricos (WLC). Este documento explica las limitaciones y reglas actuales y proporciona ejemplos relevantes. Este documento no pretende ser un reemplazo de ACL en el Ejemplo de Configuración del Controlador de LAN Inalámbrica, sino proporcionar información complementaria.

Nota: Para las ACL de Capa 2 o la flexibilidad adicional en las reglas de ACL de Capa 3, Cisco recomienda que configure las ACL en el router de primer salto conectado al controlador.

El error más común ocurre cuando el campo de protocolo se establece en IP (protocol=4) en una línea ACL con la intención de permitir o denegar paquetes IP. Dado que este campo selecciona lo que se encapsula dentro del paquete IP, como TCP, protocolo de datagramas de usuario (UDP) y protocolo de mensajes de control de Internet (ICMP), se traduce en el bloqueo o la autorización de paquetes IP en IP. A menos que desee bloquear los paquetes IP móviles, IP no debe seleccionarse en ninguna línea ACL. El Id. de error de Cisco CSCsh22975 (sólo clientes registrados) cambia la IP a IP en IP.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

• Conocimiento de cómo configurar el WLC y el Lightweight Access Point (LAP) para el funcionamiento básico

• Conocimiento básico del protocolo de punto de acceso ligero (LWAPP) y los métodos de seguridad inalámbrica

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Comprender las ACL en un WLC

Las ACL se componen de una o más líneas ACL seguidas de una "denegación de cualquiera" implícita al final de la ACL. Cada línea tiene estos campos:

• Número de secuencia

• Dirección:

• Máscara y dirección IP de origen

• Máscara y dirección IP de destino

• Protocolo

• Puerto Src

• Puerto Dest

• DSCP

• Acción

Este documento describe cada uno de estos campos:

• Número de secuencia: indica el orden en que se procesan las líneas ACL contra el paquete. El paquete se procesa contra la ACL hasta que coincide con la primera línea ACL. También le permite insertar líneas ACL en cualquier parte de la ACL incluso después de que se haya creado la ACL. Por ejemplo, si tiene una línea ACL con un número de secuencia de 1, puede insertar una nueva línea ACL delante si coloca un número de secuencia de 1 en la nueva línea ACL. Esto mueve automáticamente la línea actual hacia abajo en la ACL.

• Dirección: indica al controlador en qué dirección aplicar la línea ACL. Hay 3 direcciones: Entrante, Saliente y Cualquiera. Estas direcciones se toman de una posición relativa al WLC y no del cliente inalámbrico.

  • Entrantes: los paquetes IP que se originan en el cliente inalámbrico se inspeccionan para ver si coinciden con la línea ACL.

  • Saliente: los paquetes IP destinados al cliente inalámbrico se inspeccionan para ver si coinciden con la línea ACL.

  • Any (Cualquiera): los paquetes IP que se originan en el cliente inalámbrico y se dirigen al cliente inalámbrico se inspeccionan para ver si coinciden con la línea ACL. La línea ACL se aplica tanto a las direcciones de entrada como de salida.

    Nota: La única dirección y máscara que se debe utilizar al seleccionar Any para la dirección es 0.0.0.0/0.0.0.0 (Any). No debe especificar un host o subred específicos con la dirección "Any" porque se necesitaría una nueva línea con las direcciones o subredes intercambiadas para permitir el tráfico de retorno.

    La dirección Any (Cualquier) sólo se debe utilizar en situaciones específicas en las que desee bloquear o permitir un protocolo o puerto IP específico en ambas direcciones, que vaya a los clientes inalámbricos (Saliente) y que provenga de los clientes inalámbricos (Entrante).

    Cuando especifica direcciones IP o subredes, debe especificar la dirección como Entrante o Saliente y crear una segunda línea de ACL nueva para el tráfico de retorno en la dirección opuesta. Si se aplica una ACL a una interfaz y no permite específicamente el retorno del tráfico a través de ella, el tráfico de retorno es denegado por el "deny any" implícito al final de la lista ACL.

• Dirección IP de Origen y Máscara: Define las direcciones IP de origen de un solo host a varias subredes, que dependen de la máscara. La máscara se utiliza junto con una dirección IP para determinar qué bits en una dirección IP deben ignorarse cuando esa dirección IP se compara con la dirección IP en el paquete.

  Nota: Las máscaras en una ACL de WLC no son como las máscaras comodín o inversas usadas en las ACL de Cisco IOS®. En las ACL del controlador, 255 significa que coincide exactamente con el octeto en la dirección IP, mientras que 0 es un comodín. La dirección y la máscara se combinan bit a bit.

  • Un bit de máscara 1 significa verificar el valor de bit correspondiente. La especificación de 255 en la máscara indica que el octeto en la dirección IP del paquete inspeccionado debe coincidir exactamente con el octeto correspondiente en la dirección ACL.

  • Un bit de máscara 0 significa que no verifique (ignore) el valor de bit correspondiente. La especificación de 0 en la máscara indica el octeto en la dirección IP del paquete que se inspecciona se ignora.

  • 0.0.0.0/0.0.0.0 equivale a "Cualquier" dirección IP (0.0.0.0 como dirección y 0.0.0.0 como máscara).

• Dirección IP de destino y máscara: sigue las mismas reglas de máscara que la dirección IP de origen y la máscara.

• Protocolo: especifica el campo de protocolo en el encabezado del paquete IP. Algunos de los números de protocolo se traducen para la comodidad del cliente y se definen en el menú desplegable. Los diferentes valores son:

  • Cualquier (todos los números de protocolo son coincidentes)

  • TCP (protocolo IP 6)

  • UDP (protocolo IP 17)

  • ICMP (protocolo IP 1)

  • ESP (protocolo IP 50)

  • AH (protocolo IP 51)

  • GRE (protocolo IP 47)

  • IP (protocolo IP 4 IP en IP [CSCsh22975])

  • Eth Over IP (protocolo IP 97)

  • OSPF (protocolo IP 89)

  • Otro (especificar)

  El valor Any coincide con cualquier protocolo del encabezado IP del paquete. Esto se utiliza para bloquear completamente o permitir que los paquetes IP entren/salgan de subredes específicas. Seleccione IP para que coincida con los paquetes IP en IP. Las selecciones comunes son UDP y TCP que proporcionan para configurar puertos de origen y destino específicos. Si selecciona Otro, puede especificar cualquiera de los números de protocolo de paquetes IP definidos por IANA .

• Puerto Src: sólo se puede especificar para el protocolo TCP y UDP. 0-65535 es equivalente a Cualquier puerto.

• Puerto de destino: sólo se puede especificar para el protocolo TCP y UDP. 0-65535 es equivalente a Cualquier puerto.

• Punto de código de servicios diferenciados (DSCP): permite especificar valores DSCP específicos que coincidan en el encabezado del paquete IP. Las opciones del menú desplegable son específicas o Any (Cualquiera). Si configura específico, indica el valor en el campo DSCP. Por ejemplo, se pueden utilizar valores de 0 a 63.

• Acción: las dos acciones son deny o permit. Deny bloquea el paquete especificado. Permit reenvía el paquete.

Reglas y limitaciones de ACL

Limitaciones de ACL Basadas en WLC

Estas son las limitaciones de las ACL basadas en WLC:

• No puede ver qué línea de ACL coincidió con un paquete (consulte Cisco bug ID CSCse36574 (sólo clientes registrados).

• No puede registrar paquetes que coincidan con una línea ACL específica (consulte Cisco bug ID CSCse36574 (sólo clientes registrados).

• Los paquetes IP (cualquier paquete con un campo de protocolo Ethernet igual a IP [0x0800]) son los únicos paquetes inspeccionados por la ACL. Los ACL no pueden bloquear otros tipos de paquetes Ethernet. Por ejemplo, la ACL no puede bloquear ni permitir los paquetes ARP (protocolo Ethernet 0x0806).

• Un controlador puede tener hasta 64 ACL configuradas; cada ACL puede tener hasta un máximo de 64 líneas.

• Las ACL no afectan al tráfico de multidifusión y difusión que se reenvía desde o hacia los puntos de acceso (AP) y clientes inalámbricos (consulte Cisco bug ID CSCse65613 (sólo clientes registrados)).

• Antes de la versión 4.0 del WLC, las ACL se omiten en la interfaz de administración, por lo que no puede afectar el tráfico destinado a la interfaz de administración. Después de la versión 4.0 del WLC, puede crear ACL de CPU. Consulte Configuración de ACL de CPU para obtener más información sobre cómo configurar este tipo de ACL.

  Nota: Las ACL aplicadas a las interfaces de administración y de administrador de AP se ignoran. Las ACL en el WLC están diseñadas para bloquear el tráfico entre la red inalámbrica y la red por cable, no la red por cable y el WLC. Por lo tanto, si desea evitar que los AP en ciertas subredes se comuniquen completamente con el WLC, necesita aplicar una lista de acceso en sus switches o router intermitentes. Esto bloqueará el tráfico LWAPP de esos AP (VLAN) al WLC.

• Las ACL dependen del procesador y pueden afectar el rendimiento del controlador bajo una carga pesada.

• Las ACL no pueden bloquear el acceso a la dirección IP virtual (1.1.1.1). Por lo tanto, no se puede bloquear DHCP para los clientes inalámbricos.

• Las ACL no afectan al puerto de servicio del WLC.

Reglas para ACL Basadas en WLC

Estas son las reglas para las ACL basadas en el WLC:

• Sólo puede especificar números de protocolo en el encabezado IP (UDP, TCP, ICMP, etc.) en las líneas ACL, porque las ACL están restringidas a los paquetes IP solamente. Si se selecciona IP, esto indica que desea permitir o denegar los paquetes IP en IP. Si se selecciona Any (Cualquiera), indica que desea permitir o denegar paquetes con cualquier protocolo IP.

• Si selecciona Any para la dirección, el origen y el destino deben ser Any (0.0.0.0/0.0.0.0).

• Si la dirección IP de origen o de destino no es Any, se debe especificar la dirección del filtro. Además, se debe crear una instrucción inversa (con dirección IP de origen/puerto y dirección IP de destino/puerto intercambiado) en la dirección opuesta para el tráfico de retorno.

• Hay un "deny any" implícito al final de la ACL. Si un paquete no coincide con ninguna línea en la ACL, es descartado por el controlador.

Configuraciones

Ejemplo de ACL con DHCP, PING, HTTP y DNS

En este ejemplo de configuración, los clientes sólo pueden:

• Recibir una dirección DHCP (una ACL no puede bloquear DHCP)

• Ping y be pingle (cualquier tipo de mensaje ICMP - no se puede restringir a ping solamente)

• Realizar conexiones HTTP (saliente)

• Resolución del sistema de nombres de dominio (DNS) (saliente)

Para configurar estos requisitos de seguridad, la ACL debe tener líneas que permitan:

• Cualquier mensaje ICMP en cualquier dirección (no se puede restringir a ping solamente)

• Cualquier puerto UDP al DNS entrante

• DNS a cualquier puerto UDP saliente (tráfico de retorno)

• Cualquier puerto TCP a HTTP entrante

• HTTP a cualquier puerto TCP saliente (tráfico de retorno)

Así es como se ve la ACL en el resultado del comando show acl detail "MY ACL 1" (los presupuestos sólo son necesarios si el nombre de la ACL es más de 1 palabra):

Seq  Direction  Source IP/Mask   Dest IP/Mask     Protocol  Src Port  Dest Port  DSCP  Action    
---  ---------  ---------------  ---------------  --------  --------  ---------  ----  ------
1      Any      0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     1      0-65535   0-65535     Any  Permit
2      In       0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     17     0-65535   53-53       Any  Permit
3      Out      0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     17     53-53     0-65535     Any  Permit

La ACL puede ser más restrictiva si especifica la subred en la que se encuentran los clientes inalámbricos en lugar de Cualquier dirección IP en las líneas DNS y HTTP ACL.

Nota: Las líneas DHCP ACL no pueden restringirse a la subred ya que el cliente recibe inicialmente su dirección IP usando 0.0.0.0 y, a continuación, renueva su dirección IP a través de una dirección de subred.

Así es como se ve la misma ACL en la GUI:

Ejemplo de ACL con DHCP, PING, HTTP y SCCP

En este ejemplo de configuración, los teléfonos IP 7920 sólo pueden:

• Recibir una dirección DHCP (no puede ser bloqueada por ACL)

• Ping y be pingle (cualquier tipo de mensaje ICMP - no se puede restringir a ping solamente)

• Permitir resolución DNS (entrante)

• Conexión del teléfono IP al CallManager y viceversa (Cualquier dirección)

• Conexiones del teléfono IP al servidor TFTP (CallManager utiliza un puerto dinámico después de la conexión TFTP inicial al puerto UDP 69) (Saliente)

• Permitir la comunicación del teléfono IP 7920 al teléfono IP (cualquier dirección)

• No permitir la Web del teléfono IP o el directorio telefónico (saliente). Esto se realiza a través de una línea ACL implícita de "negar cualquier" al final de la ACL.

  Esto permitirá las comunicaciones de voz entre teléfonos IP, así como las operaciones normales de arranque entre el teléfono IP y el CallManager.

Para configurar estos requisitos de seguridad, la ACL debe tener líneas que permitan:

• Cualquier mensaje ICMP (no se puede restringir a ping solamente) (Cualquier dirección)

• Teléfono IP al servidor DNS (puerto UDP 53) (entrante)

• El servidor DNS a los teléfonos IP (puerto UDP 53) (saliente)

• Puertos TCP del teléfono IP al puerto TCP 2000 de CallManager (puerto predeterminado) (entrante)

• Puerto TCP 2000 desde el CallManager a los teléfonos IP (Saliente)

• Puerto UDP del teléfono IP al servidor TFTP. Esto no se puede restringir al puerto TFTP estándar (69) porque CallManager utiliza un puerto dinámico después de la solicitud de conexión inicial para la transferencia de datos.

• Puerto UDP para tráfico de audio RTP entre teléfonos IP (puertos UDP 16384-32767) (Cualquier dirección)

En este ejemplo, la subred del teléfono IP 7920 es 10.2.2.0/24 y la subred de CallManager es 10.1.1.0/24. El servidor DNS es 172.21.58.8. Este es el resultado del comando show acl detail Voice:

Seq Direction Source IP/Mask          Dest IP/Mask            Protocol Src Port  Dest Port  DSCP  Action
--- --------- ---------------         ---------------         -------- --------  ---------  ----  ------
1     Any     0.0.0.0/0.0.0.0         0.0.0.0/0.0.0.0            1     0-65535   0-65535    Any  Permit
2     In      10.2.2.0/255.255.255.0 172.21.58.8/255.255.255.255 17    0-65535   53-53      Any  Permit
3     Out     172.21.58.8/255.255.255.255 10.2.2.0/255.255.255.0 17    53-53     0-65535    Any  Permit
4     In      10.2.2.0/255.255.255.0  10.1.1.0/255.255.255.0     6     0-65535   2000-2000  Any  Permit
5     Out     10.1.1.0/255.255.255.0  10.2.2.0/255.255.255.0     6     2000-2000 0-65535    Any  Permit
6     In      10.2.2.0/255.255.255.0  10.1.1.0/255.255.255.0     17    0-65535   0-65535    Any  Permit
7     Out     10.1.1.0/255.255.255.0  10.2.2.0/255.255.255.0     17    0-65535   0-65535    Any  Permit
8     In      10.2.2.0/255.255.255.0  0.0.0.0/0.0.0.0            17 16384-32767 16384-32767 Any  Permit
9     Out     0.0.0.0/0.0.0.0         10.2.2.0/255.255.255.0     17 16384-32767 16384-32767 Any  Permit

Así es como se ve en la GUI:

Apéndice: 7920 Puertos del teléfono IP

Estas son las descripciones resumidas de los puertos que utiliza el teléfono IP 7920 para comunicarse con Cisco CallManager (CCM) y otros teléfonos IP:

• Phone to CCM [TFTP] (puerto UDP 69 inicialmente y luego cambie a puerto dinámico [Ephemeral] para la transferencia de datos): protocolo trivial de transferencia de archivos (TFTP) utilizado para descargar firmware y archivos de configuración.

• Teléfono a CCM [Web Services, Directory] (puerto TCP 80): URL de teléfono para aplicaciones XML, autenticación, directorios, servicios, etc. Estos puertos se pueden configurar por servicio.

• Teléfono a CCM [Señalización de voz] (puerto TCP 2000): protocolo de control de cliente ligero (SCCP). Este puerto es configurable.

• Teléfono a CCM [Señalización de voz segura] (puerto TCP 2443): protocolo de control de cliente ligero seguro (SCCPS)

• Teléfono a CAPF [Certificates] (puerto TCP 3804): puerto de escucha Certificate Authority Proxy Function (CAPF) para emitir certificados de importancia local (LSC) a teléfonos IP.

• Portadora de voz desde/hacia el teléfono [llamadas telefónicas] (puertos UDP 16384 - 32768): protocolo en tiempo real (RTP), protocolo en tiempo real seguro (SRTP).

  Nota: CCM sólo utiliza los puertos UDP 24576-32768, pero otros dispositivos pueden utilizar el rango completo.

• IP Phone to DNS Server [DNS] (puerto UDP 53): los teléfonos utilizan DNS para resolver el nombre de host de los servidores TFTP, CallManagers y nombres de host de servidor web cuando el sistema está configurado para utilizar nombres en lugar de direcciones IP.

• Teléfono IP al servidor DHCP [DHCP] (puerto UDP 67 [cliente] y 68 [servidor]): el teléfono utiliza DHCP para recuperar una dirección IP si no está configurada estáticamente.

Los puertos con los que se comunica CallManager 5.0 se pueden encontrar en Cisco Unified CallManager 5.0 TCP y UDP Port Usage. También tiene los puertos específicos que utiliza para comunicarse con el teléfono IP 7920.

Los puertos con los que se comunica CallManager 4.1 se pueden encontrar en Cisco Unified CallManager 4.1 TCP y UDP Port Usage. También tiene los puertos específicos que utiliza para comunicarse con el teléfono IP 7920.

Información Relacionada

• Ejemplo de Configuración de ACL en el Controlador de LAN Inalámbrica
• Guía de configuración del Controlador de LAN de la Red Inalámbrica Cisco, versión 4.0
• Soporte Técnico y Documentación - Cisco Systems

Historial de revisiones