本文档介绍如何使用GUI在Cisco Aironet接入点(AP)上配置基于访问控制列表(ACL)的过滤器。
Cisco 建议您具有以下主题的基础知识:
本文档使用运行Cisco IOS®软件版本15.2(2)JB的Aironet 1040系列AP。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
您可以在AP上使用过滤器来执行以下任务:
可以使用不同类型的过滤器,以便根据以下条件过滤流量:
您还可以启用过滤器以限制来自有线LAN上用户的流量。IP 地址和 MAC 地址过滤器可允许或禁止转发特定 IP 或 MAC 地址接收或发送的单播和组播数据包。
基于协议的过滤器提供一种更精细的方式来限制通过 AP 的以太网和无线电接口对特定协议的访问。您可以使用以下任一方法在AP上配置过滤器:
本文档介绍如何使用ACL通过GUI配置过滤器。
本节介绍如何使用GUI在Cisco Aironet AP上配置基于ACL的过滤器。
导航至Security > Advance Security。选择“关联访问列表”选项卡,然后单击“定义过滤器:
您可以使用基于MAC地址的过滤器根据硬编码MAC地址过滤客户端设备。当通过基于 MAC 的过滤器拒绝客户端访问时,该客户端不能与 AP 产生关联。MAC地址过滤器允许或禁止转发从特定MAC地址发送或发往特定MAC地址的单播和组播数据包。
本示例说明如何通过GUI配置基于MAC的过滤器,以便使用MAC地址0040.96a5.b5d4过滤客户端:
您可以使用标准或扩展ACL,以便根据客户端的IP地址允许或禁止客户端设备进入WLAN网络。
此配置示例使用扩展ACL。扩展ACL必须允许对客户端进行Telnet访问。您必须限制 WLAN 网络上的所有其他协议。此外,客户端使用DHCP来获取IP地址。您必须创建以下这种扩展 ACL:
要创建,请完成以下步骤:
您可以使用Ethertype过滤器来阻止Cisco Aironet AP上的网际网络分组交换(IPX)流量。这种情况非常有用的典型情况是,IPX服务器广播会阻塞无线链路,这种情况有时在大型企业网络中发生。
要配置并应用阻止IPX流量的过滤器,请完成以下步骤: