在Aironet AP配置示例的ACL过滤器

简介

本文描述如何配置访问控制表(ACL) -在Cisco Aironet接入点(AP)的基于过滤器有使用的GUI。

先决条件

要求

Cisco 建议您具有以下主题的基础知识：

• 使用 Aironet AP 和 Aironet 802.11 a/b/g 客户端适配器配置无线连接
• ACL

使用的组件

本文使用Aironet运行Cisco IOS软件版本15.2(2)JB的1040系列AP。

 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

您能使用在AP的过滤器为了执行这些任务：

• 限制对无线 LAN (WLAN) 网络的访问
• 提供附加的无线安全层

您能使用不同种类的基于的过滤器为了过滤数据流：

• 特定协议
• 客户端设备的MAC地址
• 客户端设备的IP地址

您能也使过滤器为了限制从用户的流量有线LAN的。IP 地址和 MAC 地址过滤器可允许或禁止转发特定 IP 或 MAC 地址接收或发送的单播和组播数据包。

基于协议的过滤器提供一种更精细的方式来限制通过 AP 的以太网和无线电接口对特定协议的访问。您能使用这些方法之一为了配置在AP的过滤器：

• Web GUI
• CLI

本文解释如何使用ACL为了通过GUI配置过滤器。

注意：关于配置的更多信息通过使用CLI，参考接入点ACL过滤器配置示例Cisco条款。

配置

此部分描述如何配置在Cisco Aironet AP的基于ACL的过滤器与使用GUI。

在哪里创建ACL

导航对安全>预付款安全。选择关联访问列表选项卡，并且单击定义了过滤器：

MAC 地址过滤器

您能使用MAC基于地址的过滤器为了过滤根据硬编码MAC地址的客户端设备。当通过基于 MAC 的过滤器拒绝客户端访问时，该客户端不能与 AP 产生关联。MAC地址过滤器允许或禁止被发送从或者寻址的单播和组播信息包转发对，特定MAC地址。

此示例说明如何通过GUI配置一个基于MAC的过滤器为了过滤有0040.96a5.b5d4 MAC地址的客户端：

1. 创建MAC地址ACL 700。此 ACL 不允许客户端 0040.96a5.b5d4 与 AP 关联。
   
   

   

2. 单击添加为了添加此过滤器到过滤器类。您能也定义默认操作作为转发所有或拒绝所有。
3. 单击 Apply。ACL 700当前创建。
4. 为了应用ACL 700到无线接口，请导航对应用过滤器部分。您能当前应用此ACL到一个流入或流出的无线电或千兆以太网接口。
   
   

   

IP过滤器

您能使用标准或延长的ACL为了允许或禁止客户端设备条目到根据客户端的IP地址的WLAN网络。 

此配置示例使用延长的ACL。扩展ACL必须允许对客户端的Telnet访问。您必须限制 WLAN 网络上的所有其他协议。并且，客户端使用DHCP为了获取IP地址。您必须创建以下这种扩展 ACL：

• 允许 DHCP 和 Telnet 流量
• 拒绝所有其他数据流类型

完成这些步骤为了创建它：

1. 因为必须阻塞，给出过滤器，并且选择从默认操作下拉列表的块全部剩余数据流：
   
   

   
   

2. 选择从TCP端口下拉列表的Telnet和BOOTP客户端& BOOTP服务器从UDP波尔特下拉列表：
   
   
   
   
3. 单击 Apply。IP过滤器Allow_DHCP ？_Telnet当前创建，并且您能应用此ACL到一个流入或流出的无线电或千兆以太网接口。
   
   

以太网类型过滤器

您能使用以太网类型过滤器为了阻塞在Cisco Aironet AP的互联网分组交换流量。这是有用的典型的情况，当IPX服务器广播堵塞无线链路时，在大型企业网络有时发生。

完成这些步骤为了设定及适用阻塞IPX数据流的过滤器：

1. 点击Ethertype Filters选项。
2. 在Filter Index字段，请命名过滤器用从200的一个编号到299。您分配的编号创建过滤器的ACL。
3. 在Add Ethertype字段的输入8137。
4. 留下以太网类型的掩码在掩码字段在默认值。
5. 选择从Action菜单的块，并且单击添加。
   
   

   
   

6. 为了删除以太网类型从Filters Classes列表，选择它，和点击删除中集集团。重复上一个步骤，并且添加类型8138， 00ff和00e0到过滤器。您能当前应用此ACL到一个流入或流出的无线电或千兆以太网接口。