簡介
本檔案介紹如何在Cisco IOS XE裝置上設定存取清單(ACL),以過濾目的地為Web服務的流量。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案是專為執行Cisco IOS® XE軟體的企業裝置所編寫。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景
當需要啟用HTTP Web服務以具有WebUI訪問許可權來管理IOS XE裝置或WebAuth/訪客使用者訪問時,可以實施流量過濾功能,以確保只有必要的IP地址可以訪問WebUI,並且訪客使用者可以繼續加入網路。
設定
HTTP服務訪問類配置
定義訪問的最簡單方法可以通過HTTP Web Server上的IP訪問類支援來完成。 在此配置示例中,允許ipv4子網192.168.10.0/24,允許ipv6子網fd00::/64,但拒絕所有其他內容。 存取清單的結尾有隱含的deny any any,但如果您願意,您還可以新增一個說明deny any any。在C9800無線Lan控制器的情況下,請務必考慮對無線管理介面(WMI)和帶外管理/服務埠的HTTP/HTTPS訪問。
IPv4範例
步驟 1.配置標準ACL並包括允許通過HTTP/HTTPS訪問Cisco IOS XE裝置的受信任裝置/子網
ip access-list standard restrict_ipv4_webui
permit 192.168.10.0 0.0.0.255
注意:此ACL必須僅包括受信任的、對IOS XE裝置具有Web管理員訪問許可權的子網。也就是說,此ACL中不得包含任何訪客子網。不包括訪客子網不會中斷Web身份驗證、訪客訪問或Web重定向。
步驟 2.將標準ACL分配給HTTP Web服務access-class。
ip http access-class ipv4 restrict_ipv4_webui
IPv6示例
步驟 1.配置IPv6 ACL包括允許通過HTTP/HTTPS訪問Cisco IOS XE裝置的受信任裝置/子網
ipv6 access-list restrict_ipv6_webui
permit fd00::/64 any
步驟 2.將標準ACL分配給HTTP Web服務功能。
ip http access-class ipv6 restrict_ipv6_webui
驗證
檢查IPv4 ACL專案
show ip access-list restrict_ipv4_webui
Standard IP access list restrict_ipv4_webui
10 permit 192.168.10.0 0.0.0.255
檢查IPv6 ACL條目
show ipv6 access restrict_ipv4_webui
IPv6 access list restrict_ipv6_webui
permit ipv6 FD00::/64 any sequence 10
問:應用訪問清單後,我收到403響應,而不是沒有響應。 為什麼?
答:這是預期行為。 access-list旨在限制允許哪些人存取http/https程式。 403響應表示您被禁止訪問此資源,並且是此場景中的正確響應,因為訪問清單應用到HTTP/HTTPS進程,而不是介面級別訪問清單。 如果存取清單套用到介面而不是HTTP/HTTPS程式,則沒有適當的回應