ACLs em WLCs - regras, limitações e exemplos

Introduction

Este documento fornece informações sobre as lista de controle de acesso (ACL) nos Controllers de LAN Wireless (WLC). Este documento explica as limitações e regras atuais e dá exemplos relevantes. Este documento não se destina a ser uma substituição para ACLs no Exemplo de Configuração da Controladora Wireless LAN, mas sim a fornecer informações suplementares.

Observação: para ACLs de Camada 2 ou flexibilidade adicional nas regras de ACL de Camada 3, a Cisco recomenda que você configure ACLs no roteador do primeiro salto conectado ao controlador.

O erro mais comum ocorre quando o campo do protocolo é definido como IP (protocolo=4) em uma linha ACL com a intenção de permitir ou negar pacotes IP. Como esse campo realmente seleciona o que é encapsulado dentro do pacote IP, como TCP, User Datagram Protocol (UDP) e Internet Control Message Protocol (ICMP), ele se traduz em pacotes IP-em-IP bloqueados ou permitidos. A menos que você queira bloquear pacotes IP móveis, o IP não deve ser selecionado em nenhuma linha de ACL. O bug da Cisco ID CSCsh22975 (somente clientes registrados) altera IP para IP em IP.

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• Conhecimento de como configurar o WLC e o Lightweight Access Point (LAP) para a operação básica

• Conhecimento básico do Lightweight Access Point Protocol (LWAPP) e métodos de segurança sem fio

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Entender ACLs em uma WLC

As ACLs são formadas por uma ou mais linhas ACL seguidas por uma "deny any any" implícita no final da ACL. Cada linha tem estes campos:

• Número de seqüência

• Direção

• Endereço IP e máscara de origem

• Endereço IP e máscara de destino

• Protocolo

• Porta Src

• Porta de destino

• DSCP

• Ação

Este documento descreve cada um destes campos:

• Sequence Number —Indica a ordem em que as linhas ACL são processadas em relação ao pacote. O pacote é processado em relação à ACL até que corresponda à primeira linha da ACL. Ele também permite inserir linhas de ACL em qualquer parte da ACL, mesmo após a criação da ACL. Por exemplo, se você tiver uma linha de ACL com um número de sequência 1, você poderá inserir uma nova linha de ACL na frente se ela tiver um número de sequência 1 na nova linha de ACL. Isso move automaticamente a linha atual para baixo na ACL.

• Direction —Informa ao controlador em que direção aplicar a linha da ACL. Há três direções: Entrada, Saída e Qualquer. Essas instruções são obtidas de uma posição relativa à WLC e não do cliente sem fio.

  • Entrada—Os pacotes IP originados do cliente sem fio são inspecionados para ver se correspondem à linha da ACL.

  • Saída—Os pacotes IP destinados ao cliente sem fio são inspecionados para ver se correspondem à linha da ACL.

  • Qualquer—os pacotes IP originados do cliente sem fio e destinados ao cliente sem fio são inspecionados para ver se correspondem à linha da ACL. A linha da ACL é aplicada às direções de Entrada e Saída.

    Observação: o único endereço e máscara que devem ser usados quando você seleciona Qualquer para a direção é 0.0.0.0/0.0.0.0 (Qualquer). Você não deve especificar um host ou sub-rede específico com a direção "Qualquer", pois uma nova linha seria necessária com os endereços ou sub-redes trocados para permitir o tráfego de retorno.

    A opção Qualquer direção deve ser usada somente em situações específicas em que você deseja bloquear ou permitir um protocolo IP ou uma porta específica em ambas as direções, indo para os clientes sem fio (Saída) e vindo dos clientes sem fio (Entrada).

    Ao especificar endereços IP ou sub-redes, você deve especificar a direção como Entrada ou Saída e criar uma segunda linha nova de ACL para tráfego de retorno na direção oposta. Se uma ACL for aplicada a uma interface e não permitir especificamente o retorno de tráfego, o tráfego de retorno será negado pelo "deny any any" implícito no final da lista de ACLs.

• Source IP Address and Mask —Define os endereços IP de origem de um único host para várias sub-redes, o que depende da máscara. A máscara é usada em conjunto com um endereço IP para determinar quais bits em um endereço IP devem ser ignorados quando esse endereço IP é comparado com o endereço IP no pacote.

  Observação: as máscaras em uma ACL WLC não são como as máscaras curinga ou inversa usadas nas ACLs do Cisco IOS®. Nas ACLs do controlador, 255 significa corresponder exatamente o octeto no endereço IP, enquanto 0 é um curinga. O endereço e a máscara são combinados bit a bit.

  • Um bit de máscara 1 significa verificar o valor de bit correspondente. A especificação de 255 na máscara indica que o octeto no endereço IP do pacote inspecionado deve corresponder exatamente ao octeto correspondente no endereço da ACL.

  • Um bit de máscara 0 significa não verificar (ignorar) o valor de bit correspondente. A especificação de 0 na máscara indica que o octeto no endereço IP do pacote inspecionado é ignorado.

  • 0.0.0.0/0.0.0.0 é equivalente a "Qualquer" endereço IP (0.0.0.0 como endereço e 0.0.0.0 como máscara).

• Destination IP Address and Mask —Segue as mesmas regras de máscara que o endereço IP origem e a máscara.

• Protocolo —Especifica o campo de protocolo no cabeçalho do pacote IP. Alguns dos números de protocolo são convertidos para conveniência do cliente e são definidos no menu suspenso. Os diferentes valores são:

  • Qualquer (todos os números de protocolo são correspondentes)

  • TCP (IP protocol 6)

  • UDP (IP protocol 17)

  • ICMP (protocolo IP 1)

  • ESP (IP protocol 50)

  • AH (protocolo IP 51)

  • GRE (IP protocol 47)

  • IP (Protocolo IP 4 IP em IP [CSCsh2975])

  • Eth Over IP (protocolo IP 97)

  • OSPF (protocolo IP 89)

  • Outro (especificar)

  O valor Any corresponde a qualquer protocolo no cabeçalho IP do pacote. Isso é usado para bloquear completamente ou permitir pacotes IP de/para sub-redes específicas. Selecione IP para corresponder pacotes IP em IP. As seleções comuns são o UDP e o TCP que fornecem a configuração de portas de origem e de destino específicas. Se você selecionar Outro, poderá especificar qualquer um dos números de protocolo de pacote IP definidos pela IANA .

• Porta Src—Só pode ser especificada para o protocolo TCP e UDP. 0-65535 é equivalente a Qualquer porta.

• Dest Port —Só pode ser especificado para o protocolo TCP e UDP. 0-65535 é equivalente a Qualquer porta.

• Differentiated Services Code Point (DSCP) — Permite especificar valores de DSCP específicos para corresponder no cabeçalho do pacote IP. As opções no menu suspenso são específicas ou Qualquer. Se você configurar específico, você indicará o valor no campo DSCP. Por exemplo, valores de 0 a 63 podem ser usados.

• Ação — As 2 ações são negar ou permitir. A negação bloqueia o pacote especificado. Permitir encaminha o pacote.

Regras e limitações da ACL

Limitações de ACLs baseadas em WLC

Estas são as limitações das ACLs baseadas em WLC:

• Você não pode ver qual linha da ACL foi correspondida por um pacote (consulte o bug da Cisco ID CSCse36574 (somente registrados) ).

• Você não pode registrar os pacotes que correspondem a uma linha ACL específica (consulte o bug da Cisco ID CSCse36574 (somente clientes registrados) ).

• Os pacotes IP (qualquer pacote com um campo de protocolo ethernet igual a IP [0x0800]) são os únicos pacotes inspecionados pela ACL. Outros tipos de pacotes Ethernet não podem ser bloqueados por ACLs. Por exemplo, os pacotes ARP (Protocolo Ethernet 0x0806) não podem ser bloqueados ou permitidos pela ACL.

• Um controlador pode ter até 64 ACLs configuradas; cada ACL pode ter até um máximo de 64 linhas.

• As ACLs não afetam o tráfego multicast e de broadcast que é encaminhado de ou para os access points (APs) e clientes sem fio (consulte o bug da Cisco ID CSCse65613 (somente clientes registrados) ).

• Antes do WLC versão 4.0, as ACLs são ignoradas na Interface de Gerenciamento, portanto, você não pode afetar o tráfego destinado à Interface de Gerenciamento. Após a versão 4.0 do WLC, você pode criar ACLs de CPU. Consulte Configurar ACLs de CPU para obter mais informações sobre como configurar esse tipo de ACL.

  Observação: as ACLs aplicadas às interfaces Management e AP-Manager são ignoradas. As ACLs na WLC são projetadas para bloquear o tráfego entre a rede sem fio e a rede com fio, não a rede com fio e a WLC. Portanto, se você quiser impedir que os APs em determinadas sub-redes se comuniquem inteiramente com a WLC, será necessário aplicar uma lista de acesso em seus switches ou roteadores intermitentes. Isso bloqueará o tráfego LWAPP desses APs (VLANs) para a WLC.

• As ACLs dependem do processador e podem afetar o desempenho do controlador sob carga pesada.

• As ACLs não podem bloquear o acesso ao endereço IP virtual (1.1.1.1). Portanto, o DHCP não pode ser bloqueado para clientes sem fio.

• As ACLs não afetam a porta de serviço da WLC.

Regras para ACLs baseadas em WLC

Estas são as regras para ACLs baseadas em WLC:

• Você só pode especificar números de protocolo no cabeçalho IP (UDP, TCP, ICMP, etc.) em linhas ACL, porque as ACLs estão restritas somente a pacotes IP. Se IP estiver selecionado, isso indica que você deseja permitir ou negar pacotes IP em IP. Se Any (Qualquer) estiver selecionado, isso indica que você deseja permitir ou negar pacotes com qualquer protocolo IP.

• Se você selecionar Qualquer para a direção, a origem e o destino devem ser Qualquer (0.0.0.0/0.0.0.0).

• Se o endereço IP origem ou destino não for Qualquer, a direção do filtro deve ser especificada. Além disso, uma instrução inversa (com endereço IP/porta origem e endereço IP/porta destino trocados) na direção oposta deve ser criada para o tráfego de retorno.

• Há um "deny any any" implícito no final da ACL. Se um pacote não corresponder a nenhuma linha na ACL, ele será descartado pelo controlador.

Configurações

Exemplo de ACL com DHCP, PING, HTTP e DNS

Neste exemplo de configuração, os clientes só podem:

• Receber um endereço DHCP (o DHCP não pode ser bloqueado por uma ACL)

• Faça ping e faça ping (qualquer tipo de mensagem ICMP - não pode ser restrito ao ping apenas)

• Fazer conexões HTTP (saída)

• Resolução do Domain Name System (DNS) (saída)

Para configurar esses requisitos de segurança, a ACL deve ter linhas para permitir:

• Qualquer mensagem ICMP em qualquer direção (não pode ser restrita a ping apenas)

• Qualquer porta UDP para entrada DNS

• DNS para qualquer saída de porta UDP (tráfego de retorno)

• Qualquer porta TCP para entrada HTTP

• HTTP para qualquer saída de porta TCP (tráfego de retorno)

É assim que a ACL se parece na saída do comando show acl detailed "MY ACL 1" (aspas só são necessárias se o nome da ACL for mais de uma palavra):

Seq  Direction  Source IP/Mask   Dest IP/Mask     Protocol  Src Port  Dest Port  DSCP  Action    
---  ---------  ---------------  ---------------  --------  --------  ---------  ----  ------
1      Any      0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     1      0-65535   0-65535     Any  Permit
2      In       0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     17     0-65535   53-53       Any  Permit
3      Out      0.0.0.0/0.0.0.0  0.0.0.0/0.0.0.0     17     53-53     0-65535     Any  Permit

A ACL pode ser mais restritiva se você especificar a sub-rede na qual os clientes sem fio estão em vez de Qualquer endereço IP nas linhas DNS e HTTP ACL.

Observação: as linhas da ACL DHCP não podem ser restritas à sub-rede, pois o cliente recebe inicialmente seu endereço IP usando 0.0.0.0 e, em seguida, renova seu endereço IP por meio de um endereço de sub-rede.

Esta é a aparência da mesma ACL na GUI:

Exemplo de ACL com DHCP, PING, HTTP e SCCP

Neste exemplo de configuração, os telefones IP 7920 só podem:

• Receber um endereço DHCP (não pode ser bloqueado pela ACL)

• Faça ping e faça ping (qualquer tipo de mensagem ICMP - não pode ser restrito ao ping apenas)

• Permitir resolução de DNS (Entrada)

• Conexão do telefone IP com o CallManager e vice-versa (qualquer direção)

• Conexões de telefone IP para o servidor TFTP (o CallManager usa a porta dinâmica após a conexão TFTP inicial com a porta 69 do UDP) (Saída)

• Permitir comunicação de telefone IP 7920 para telefone IP (qualquer direção)

• Não permitir Web de telefones IP ou Diretório de telefones (Saída). Isso é feito por meio de uma linha de ACL "deny any any" implícita no final da ACL.

  Isso permitirá comunicações de voz entre telefones IP, bem como operações de inicialização normais entre o telefone IP e o CallManager.

Para configurar esses requisitos de segurança, a ACL deve ter linhas para permitir:

• Qualquer mensagem ICMP (não pode ser restrita a ping somente) (Qualquer direção)

• Telefone IP para o servidor DNS (porta UDP 53) (Entrada)

• O servidor DNS para telefones IP (porta UDP 53) (Saída)

• Portas TCP do telefone IP para a porta TCP 2000 do CallManager (porta padrão) (Entrada)

• Porta TCP 2000 do CallManager para os telefones IP (Saída)

• Porta UDP do telefone IP para o servidor TFTP. Isso não pode ser restrito à porta TFTP padrão (69) porque o CallManager usa uma porta dinâmica após a solicitação de conexão inicial para transferência de dados.

• Porta UDP para tráfego de áudio RTP entre telefones IP (portas UDP16384-32767) (Qualquer direção)

Neste exemplo, a sub-rede do telefone IP 7920 é 10.2.2.0/24 e a sub-rede do CallManager é 10.1.1.0/24. O servidor DNS é 172.21.58.8. Esta é a saída do comando show acl detail Voice:

Seq Direction Source IP/Mask          Dest IP/Mask            Protocol Src Port  Dest Port  DSCP  Action
--- --------- ---------------         ---------------         -------- --------  ---------  ----  ------
1     Any     0.0.0.0/0.0.0.0         0.0.0.0/0.0.0.0            1     0-65535   0-65535    Any  Permit
2     In      10.2.2.0/255.255.255.0 172.21.58.8/255.255.255.255 17    0-65535   53-53      Any  Permit
3     Out     172.21.58.8/255.255.255.255 10.2.2.0/255.255.255.0 17    53-53     0-65535    Any  Permit
4     In      10.2.2.0/255.255.255.0  10.1.1.0/255.255.255.0     6     0-65535   2000-2000  Any  Permit
5     Out     10.1.1.0/255.255.255.0  10.2.2.0/255.255.255.0     6     2000-2000 0-65535    Any  Permit
6     In      10.2.2.0/255.255.255.0  10.1.1.0/255.255.255.0     17    0-65535   0-65535    Any  Permit
7     Out     10.1.1.0/255.255.255.0  10.2.2.0/255.255.255.0     17    0-65535   0-65535    Any  Permit
8     In      10.2.2.0/255.255.255.0  0.0.0.0/0.0.0.0            17 16384-32767 16384-32767 Any  Permit
9     Out     0.0.0.0/0.0.0.0         10.2.2.0/255.255.255.0     17 16384-32767 16384-32767 Any  Permit

Esta é a aparência na GUI:

Anexo: Portas de telefone IP 7920

Estas são as descrições resumidas das portas que o telefone IP 7920 usa para se comunicar com o Cisco CallManager (CCM) e outros telefones IP:

• Telefone para CCM [TFTP] (a porta UDP 69 inicialmente é alterada para a porta dinâmica [Efêmero] para transferência de dados)—Trivial File Transfer Protocol (TFTP) usado para baixar firmware e arquivos de configuração.

• Telefone para CCM [Web Services, Diretory] (porta TCP 80)—URLs de telefone para aplicativos XML, autenticação, diretórios, serviços, etc. Essas portas são configuráveis por serviço.

• Telefone para CCM [Sinalização de Voz] (porta TCP 2000)—Skinny Client Control Protocol (SCCP). Esta porta é configurável.

• Telefone para CCM [Secure Voice Signaling] (porta TCP 2443)—Secure Skinny Client Control Protocol (SCCPS)

• Telefone para CAPF [Certificados] (porta TCP 3804) — Porta de escuta da Função de Proxy da Autoridade de Certificação (CAPF - Certificate Authority Proxy Function) para emissão de certificados localmente significativos (LSCs - Locally Significant Certifications) para telefones IP.

• Portador de Voz para/do Telefone [Chamadas Telefônicas] (portas UDP 16384 - 32768)—Protocolo em Tempo Real (RTP), Secure Real Time Protocol (SRTP).

  Observação: o CCM usa apenas as portas UDP 24576-32768, mas outros dispositivos podem usar o intervalo completo.

• Telefone IP para Servidor DNS [DNS] (porta UDP 53)—Os telefones usam DNS para resolver o nome de host dos servidores TFTP, CallManagers e nomes de host do servidor Web quando o sistema está configurado para usar nomes em vez de endereços IP.

• Telefone IP para servidor DHCP [DHCP] (porta UDP 67 [cliente] e 68 [servidor])—O telefone usa DHCP para recuperar um endereço IP se não estiver configurado estaticamente.

As portas com as quais o CallManager 5.0 usa para se comunicar podem ser encontradas em Cisco Unified CallManager 5.0 TCP e UDP Port Usage. Ele também tem as portas específicas que usa para se comunicar com o telefone IP 7920.

As portas com as quais o CallManager da 4.1 usa para se comunicar podem ser encontradas no Cisco Unified CallManager 4.1 TCP e no UDP Port Usage. Ele também tem as portas específicas que usa para se comunicar com o telefone IP 7920.

Informações Relacionadas

• Exemplo de configuração de ACLs em Wireless LAN Controller
• Guia de Configuração da Cisco Wireless LAN Controller Release 4.0
• Suporte Técnico e Documentação - Cisco Systems

Revision History