Aironet AP上的ACL过滤器配置示例
简介
本文档介绍如何使用GUI在Cisco Aironet接入点(AP)上配置基于访问控制列表(ACL)的过滤器。
先决条件
要求
Cisco 建议您具有以下主题的基础知识:
- 使用 Aironet AP 和 Aironet 802.11 a/b/g 客户端适配器配置无线连接
- ACL
使用的组件
本文档使用运行Cisco IOS®软件版本15.2(2)JB的Aironet 1040系列AP。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
背景信息
您可以在AP上使用过滤器来执行以下任务:
- 限制对无线 LAN (WLAN) 网络的访问
- 提供附加的无线安全层
可以使用不同类型的过滤器,以便根据以下条件过滤流量:
- 特定协议
- 客户端设备的MAC地址
- 客户端设备的IP地址
您还可以启用过滤器以限制来自有线LAN上用户的流量。IP 地址和 MAC 地址过滤器可允许或禁止转发特定 IP 或 MAC 地址接收或发送的单播和组播数据包。
基于协议的过滤器提供一种更精细的方式来限制通过 AP 的以太网和无线电接口对特定协议的访问。您可以使用以下任一方法在AP上配置过滤器:
- Web GUI
- CLI
本文档介绍如何使用ACL通过GUI配置过滤器。
配置
本节介绍如何使用GUI在Cisco Aironet AP上配置基于ACL的过滤器。
在何处创建ACL
导航至Security > Advance Security。选择“关联访问列表”选项卡,然后单击“定义过滤器:
MAC地址过滤器
您可以使用基于MAC地址的过滤器根据硬编码MAC地址过滤客户端设备。当通过基于 MAC 的过滤器拒绝客户端访问时,该客户端不能与 AP 产生关联。MAC地址过滤器允许或禁止转发从特定MAC地址发送或发往特定MAC地址的单播和组播数据包。
本示例说明如何通过GUI配置基于MAC的过滤器,以便使用MAC地址0040.96a5.b5d4过滤客户端:
- 创建MAC地址ACL 700。此ACL不允许客户端0040.96a5.b5d4与AP关联。
- 单击Add将此过滤器添加到Filters Classes。您还可以将默认操作定义为“全部转发”或“全部拒绝”。
- 单击 Apply。ACL 700现已创建。
- 要将ACL 700应用于无线接口,请导航至Apply Filters部分。现在,您可以将此ACL应用于传入或传出的无线电或千兆以太网接口。
IP过滤器
您可以使用标准或扩展ACL,以便根据客户端的IP地址允许或禁止客户端设备进入WLAN网络。
此配置示例使用扩展ACL。扩展ACL必须允许对客户端进行Telnet访问。您必须限制 WLAN 网络上的所有其他协议。此外,客户端使用DHCP来获取IP地址。您必须创建以下这种扩展 ACL:
- 允许 DHCP 和 Telnet 流量
- 拒绝所有其他数据流类型
要创建,请完成以下步骤:
- 为过滤器命名,并从Default Action下拉列表中选择Block All,因为必须阻止其余流量:
- 从TCP Port下拉列表中选择Telnet,从UDP Port下拉列表中选择BOOTP client & BOOTP server:
- 单击 Apply。IP过滤器Allow_DHCP?_Telnet现已创建,您可以将此ACL应用于传入或传出的无线电或千兆以太网接口。
Ethertype过滤器
您可以使用Ethertype过滤器来阻止Cisco Aironet AP上的网际网络分组交换(IPX)流量。这种情况非常有用的典型情况是,IPX服务器广播会阻塞无线链路,这种情况有时在大型企业网络中发生。
要配置并应用阻止IPX流量的过滤器,请完成以下步骤:
- 单击Ethertype Filters(以太网类型过滤器)选项卡。
- 在“筛选器索引”字段中,将过滤器命名为一个介于200和299之间的数字。您分配的数字将为过滤器创建ACL。
- 在Add Ethertype字段中输入8137。
- 将Ethertype的掩码保留在Mask字段的默认值。
- 从操作菜单中选择“阻止”,然后单击“添加”。
- 要从Filters Classes列表中删除Ethertype,请选择它,然后单击Delete Class。重复上述步骤,并将类型8138、00ff和00e0添加到过滤器。现在,您可以将此ACL应用于传入或传出的无线电或千兆以太网接口。
反馈