Exemplo de configuração de filtros de ACL em APs Aironet

Introduction

Este documento descreve como configurar filtros baseados na Lista de Controle de Acesso (ACL - Access Control List) em access points (APs) Cisco Aironet com o uso da GUI.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento básico sobre estes tópicos:

• A configuração de uma conexão sem fio com o uso de um AP Aironet e um Adaptador de Cliente Aironet 802.11 a/b/g
• ACLs

Componentes Utilizados

Este documento usa APs Aironet 1040 Series que executam o Cisco IOS^® Software Release 15.2(2)JB.

 As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

Você pode usar filtros em APs para executar estas tarefas:

• Restringir o acesso à rede LAN sem fio (WLAN)
• Forneça uma camada adicional de segurança sem fio

Você pode usar diferentes tipos de filtros para filtrar o tráfego com base em:

• Protocolos específicos
• O endereço MAC do dispositivo cliente
• O endereço IP do dispositivo cliente

Você também pode ativar filtros para restringir o tráfego dos usuários na LAN com fio. Os filtros de endereços IP e MAC permitem ou não permitem o encaminhamento de pacotes unicast e multicast enviados de ou para endereços IP ou MAC específicos.

Os filtros baseados em protocolo fornecem uma maneira mais granular de restringir o acesso a protocolos específicos através das interfaces Ethernet e de rádio do AP. Você pode usar qualquer um destes métodos para configurar os filtros nos APs:

• GUI da Web
• CLI

Este documento explica como usar ACLs para configurar filtros através da GUI.

Nota: Para obter mais informações sobre a configuração por meio do uso da CLI, consulte o artigo da Cisco Access Point ACL Filter Configuration Example.

Configurar

Esta seção descreve como configurar filtros baseados em ACL em APs Cisco Aironet com o uso da GUI.

Onde criar ACLs

Navegue até Segurança > Segurança avançada. Escolha a guia Lista de acesso de associação e clique em Definir filtro:

Filtros de endereços MAC

Você pode usar filtros baseados em endereços MAC para filtrar dispositivos clientes com base no endereço MAC codificado. Quando um cliente tem acesso negado por meio de um filtro baseado em MAC, ele não pode se associar ao AP. Os filtros de endereços MAC permitem ou não permitem o encaminhamento de pacotes unicast e multicast enviados ou endereçados a endereços MAC específicos.

Este exemplo ilustra como configurar um filtro baseado em MAC através da GUI para filtrar o cliente com um endereço MAC de 0040.96a5.b5d4:

1. Crie o endereço MAC ACL 700. Esta ACL não permite que o cliente 0040.96a5.b5d4 se associe ao AP.
   
   

   

2. Clique em Adicionar para adicionar este filtro às classes de filtros. Você também pode definir a ação padrão como Encaminhar tudo ou Negar tudo.
3. Clique em Apply. A ACL 700 foi criada agora.
4. Para aplicar a ACL 700 a uma interface de rádio, navegue até a seção Aplicar filtros. Agora você pode aplicar essa ACL a uma interface de entrada ou saída de rádio ou GigabitEthernet.
   
   

   

Filtros IP

Você pode usar ACLs padrão ou estendidas para permitir ou não a entrada de dispositivos clientes na rede WLAN com base no endereço IP do cliente. 

Este exemplo de configuração usa ACLs estendidas. A ACL estendida deve permitir acesso Telnet aos clientes. Você deve restringir todos os outros protocolos na rede WLAN. Além disso, os clientes usam o DHCP para obter o endereço IP. Você deve criar uma ACL estendida que:

• Permite tráfego DHCP e Telnet
• Nega todos os outros tipos de tráfego

Conclua estes passos para criá-lo:

1. Nomeie o filtro e selecione Bloquear tudo na lista suspensa Ação padrão, já que o tráfego restante deve ser bloqueado:
   
   

   
   

2. Selecione Telnet na lista suspensa Porta TCP e cliente BOOTP e servidor BOOTP na lista suspensa Porta UDP:
   
   
   
   
3. Clique em Apply. O filtro IP Allow_DHCP?_Telnet foi criado agora e você pode aplicar essa ACL a uma interface de entrada ou saída de rádio ou GigabitEthernet.
   
   

Filtros Ethertype

Você pode usar filtros Ethertype para bloquear o tráfego IPX (Internetwork Packet Exchange) no AP Cisco Aironet. Uma situação típica em que isso é útil é quando os broadcasts do servidor IPX sufocam o link sem fio, o que às vezes acontece em uma rede corporativa de grande porte.

Conclua estes passos para configurar e aplicar um filtro que bloqueia o tráfego IPX:

1. Clique na guia Ethertype Filters.
2. No campo Índice de filtros, nomeie o filtro com um número de 200 a 299. O número atribuído cria uma ACL para o filtro.
3. Digite 8137 no campo Adicionar Ethertype.
4. Deixe a máscara para o Ethertype no campo Mask no valor padrão.
5. Selecione Bloquear no menu de ação e clique em Adicionar.
   
   

   
   

6. Para remover o Ethertype da lista Filters Classes, selecione-o e clique em Delete Class. Repita as etapas anteriores e adicione os tipos 8138, 00ff e 00e0 ao filtro. Agora você pode aplicar essa ACL a uma interface de entrada ou saída de rádio ou GigabitEthernet.