在無線接入點上配置MAC、IPv4和IPv6訪問控制清單
目標
訪問控制清單(ACL)是一個網路流量過濾器清單和相關操作清單,用於提高安全性。它阻止未經授權的使用者並允許授權的使用者訪問特定資源。ACL包含允許或拒絕訪問網路裝置的主機。ACL可以用以下兩種方式之一定義:通過IPv4地址或IPv6地址。
本文介紹如何在無線接入點(WAP)上成功建立ACL並配置基於IPv4、IPv6和媒體訪問控制(MAC)的ACL以提高網路安全性。
適用裝置
- WAP100系列
- WAP300系列
- WAP500系列
軟體版本
- 1.0.6.2 - WAP121、WAP321
- 1.2.0.2 - WAP371、WAP551、WAP561
- 1.0.1.4 - WAP131、WAP351
- 1.0.0.16 - WAP150、WAP361
建立ACL
附註:用於此配置的映像來自WAP150。
步驟1.登入到接入點基於Web的實用程式,然後選擇ACL > ACL Rule。
附註:對於WAP121、WAP321、WAP371、WAP551和WAP561:登入到接入點基於Web的實用程式,然後選擇Client QoS> ACL。
步驟2.開啟ACL Configuration頁面後,在ACL Name欄位中輸入ACL名稱。
步驟3.從ACL Type下拉式清單中選擇ACL Type。
- IPv4 - 32位(4位元組)地址。
- IPv6 — IPv4的後繼路由器,由128位(8位元組)地址組成。
- MAC - MAC地址是分配給網路介面的唯一地址。
步驟4.按一下Add ACL按鈕。
如果選擇MAC,請跳至配置基於MAC的ACL。
如果您選擇IPv4,請跳至設定基於IPv4的ACL。
如果選擇IPv6,請跳至配置基於IPv6的ACL。
您現在應該已經成功建立了ACL。
配置基於MAC的ACL
步驟1.從ACL Name - ACL Type下拉選單中選擇要新增規則的ACL。
附註:下圖選擇了ACL1 MAC作為示例。
步驟2.如果必須為所選ACL配置新規則,請從Rule下拉選單中選擇New Rule。否則,請從Rule下拉選單中選擇一個當前規則。
注意:最多可以為單個ACL建立10個規則。
步驟3.從Action下拉選單中選擇用於ACL規則的操作。
注意:在此示例中,建立了一個Deny語句。
- 拒絕 — 阻止符合規則標準的所有流量進入或退出WAP。由於每個ACL的結尾都有一個隱含的deny-all規則,因此不會明確允許的流量會遭到捨棄。
- 允許 — 允許符合規則標準的所有流量進入或退出WAP。不符合條件的流量將被丟棄。
附註:步驟4到11是可選的。已啟用選中的篩選條件。取消選中您不希望過濾器應用於此特定規則的過濾器對應的覈取方塊。
步驟4.選中Match Every Packet覈取方塊以匹配每個幀或資料包的規則,無論其內容如何。取消選中此框可配置任何其他匹配條件。
提示:如果已選中Match Every Packet,請跳至步驟12。
步驟5.在EtherType區域中,選擇單選按鈕,將匹配的標準與乙太網幀報頭中的值進行比較。您可以選擇以下選項之一或選擇任意:
- 從清單中選擇協定 — 從下拉選單中選擇協定。該清單具有以下選項:appletalk、arp、IPv4、IPv6、ipx、netbios、pppoe。
- 與值匹配 — 對於自定義協定識別符號,請輸入從0600到FFFF的識別符號。
步驟6.在Class Of Service區域中,選擇單選按鈕以輸入802.1p使用者優先順序並與乙太網幀進行比較。可以選擇任意或使用者定義的優先順序。在User Defined欄位中輸入從0到7的優先順序。
步驟7.在Source MAC區域中,選擇單選按鈕將源MAC地址與乙太網幀進行比較。您可以選擇Any或User Defined,然後在提供的欄位中輸入源MAC地址。
步驟8.在Source MAC Mask欄位中輸入源MAC地址掩碼,指定源MAC中的哪些位與乙太網幀進行比較。
附註:如果MAC掩碼使用0位,則接受該地址;如果使用1位,則忽略該地址。
步驟9.在Destination MAC區域中,選擇單選按鈕將目的MAC地址與乙太網幀進行比較。您可以選擇任意(Any)或選擇使用者定義(User Defined),然後在提供的欄位中輸入目標MAC地址。
步驟10.在Destination MAC Mask欄位中輸入目標MAC地址掩碼,指定目標MAC中的哪些位與乙太網幀進行比較。
附註:如果MAC掩碼使用0位,則接受該地址;如果使用1位,則忽略該地址。
步驟11.在VLAN ID區域中,選擇單選按鈕將VLAN ID與乙太網幀進行比較。在提供的欄位中輸入範圍從0到4095的VLAN ID。
步驟12.按一下「Save」。
步驟13。(可選)若要刪除已配置的ACL,請選中Delete ACL覈取方塊,然後按一下Save。
您現在應該已經在WAP上成功配置了MAC ACL。
配置基於IPv4的ACL
步驟1.在ACL Rule Configuration區域中,配置以下規則引數:
ACL名稱 — ACL型別選擇要使用新規則配置的ACL。
附註:下圖中選擇了IPv4_ACL-IPv4作為範例。
步驟2.如果必須為所選ACL配置新規則,請從Rule下拉選單中選擇New Rule。否則,請從Rule下拉選單中選擇一個當前規則。
注意:最多可以為單個ACL建立10個規則。
步驟3.從Action下拉選單中選擇用於ACL規則的操作。
注意:在本示例中,建立了一個Permit語句。
- 拒絕 — 阻止符合規則標準的所有流量進入或退出WAP。由於每個ACL的結尾都有一個隱含的deny-all規則,因此不會明確允許的流量會遭到捨棄。
- 允許 — 允許符合規則標準的所有流量進入或退出WAP。不符合條件的流量將被丟棄。
附註:步驟4到9是可選的。已啟用選中的篩選條件。如果您不希望過濾器應用於此特定規則,請取消選中該過濾器的覈取方塊。
步驟4.選中Match Every Packet覈取方塊以匹配每個幀或資料包的規則,無論其內容如何。取消選中此框可配置任何其它匹配條件。
提示:預設情況下啟用Match Every Packet。如果要保留此設定,請跳至步驟11。
步驟5.在Protocol區域中,選擇一個單選按鈕,將匹配的條件與乙太網幀報頭中的值進行比較。您可以選擇Any或從下拉選單中選擇
- 從清單中選擇 — 選擇以下協定之一:
— ICMP — Internet協定套件中的一種協定,路由器等裝置使用該協定來傳送錯誤消息。
— IGMP — 主機用於在IPv4網路上建立組播組成員資格的通訊協定。
— TCP — 使兩台主機能夠建立連線並交換資料流。
— UDP — Internet協定簇中使用無連線傳輸模型的協定。
- 與值匹配 — 輸入從0到255的標準IANA分配的協定ID。選擇此方法以標識未按名稱在「從清單中選擇」清單中列出的協定。
步驟6.在Source IP區域中,選擇單選按鈕以在匹配條件中包含源的IP地址。可以選擇任意或使用者定義,然後在相應的欄位中輸入源的IP地址和萬用字元掩碼。
- 源IP地址(Source IP Address) — 輸入應用此條件的IP地址。
- 萬用字元掩碼 — 輸入目標IP地址萬用字元掩碼。萬用字元掩碼確定使用哪些位,忽略哪些位。萬用字元掩碼255.255.255.255表示沒有位重要。0.0.0.0的萬用字元表示所有位都很重要。選中源IP地址時需要此欄位。
附註:萬用字元掩碼基本上是子網掩碼的反碼。例如,要將條件與單個主機地址匹配,請使用萬用字元掩碼0.0.0.0。要將條件與24位子網(例如,192.168.10.0/24)匹配,請使用萬用字元掩碼0.0.0.255。
步驟7.在Source Port區域中,選擇單選按鈕以在匹配條件中包含源埠。您可以選擇Anyto match to any source port,也可以選擇以下選項:
- 從清單中選擇埠 — 從清單中選擇一個源埠。選項如下:
- 與埠匹配 — 輸入清單中未顯示的埠號。未列出源埠的匹配埠欄位中,埠號範圍從0到65535。該範圍包括三種不同型別的埠。範圍描述如下
- 遮罩 — 輸入連線埠遮罩。掩碼確定使用哪些位,忽略哪些位。只允許十六進位制數字(0 - 0xFFFF)。0表示位重要,1表示您應忽略此位。
步驟8.在Destination IP區域中,選擇單選按鈕以在匹配條件中包括目標的IP地址。可以選擇任意或使用者定義,然後在相應的欄位中輸入目標的IP地址和萬用字元掩碼。
- 目標IP地址 — 輸入應用此條件的IP地址。
- 萬用字元掩碼 — 輸入目標IP地址萬用字元掩碼。萬用字元掩碼確定使用哪些位,忽略哪些位。萬用字元掩碼255.255.255.255表示沒有位重要。0.0.0.0的萬用字元表示所有位都很重要。選擇目標IP地址時,此欄位是必需的。
附註:萬用字元掩碼基本上是子網掩碼的反碼。例如,要將條件與單個主機地址匹配,請使用萬用字元掩碼0.0.0.0。要將條件與24位子網(例如,192.168.10.0/24)匹配,請使用萬用字元掩碼0.0.0.255。
步驟9.在Destination Port區域中,選擇單選按鈕以在匹配條件中包含目標埠。您可以選擇Any以匹配任何目標埠,也可以選擇以下內容:
- 從清單中選擇 — 從下拉選單中選擇一個目標埠。選項如下
— FTP資料 — 由連線到客戶端的伺服器啟動的資料通道,通常通過埠20。
— HTTP — 應用程式協定,它是全球資訊網資料通訊的基礎。
— SMTP — 用於電子郵件(電子郵件)傳輸的Internet標準。
— SNMP — 用於管理IP網路上的裝置的Internet標準協定。
— Telnet — 在Internet或區域網上用於提供雙向互動式面向文本的通訊的會話層協定。
- TFTP — 用於傳輸檔案的網際網路軟體實用程式,比FTP更易於使用,但功能更少。
— WWW — 支援HTTP格式文檔的Internet伺服器系統。
- 與埠匹配 — 輸入清單中未顯示的埠號。未列出源埠的與埠匹配欄位中的埠號範圍從0到65535。該範圍包括三種不同型別的埠。範圍描述如下:
— 1024到49151 — 註冊埠
—49152到65535 — 動態和/或專用埠
- 遮罩 — 輸入連線埠遮罩。掩碼確定使用哪些位,忽略哪些位。只允許十六進位制數字(0-0xFFFF)。0表示位重要,1表示您應忽略此位。
步驟10.在Service Type區域中,選擇單選按鈕以根據特定服務型別匹配資料包。您可以選擇「任意」,也可以從以下選項中進行選擇:
- IP DSCP Select From List — 根據封包的區別服務代碼點(DSCP)保證轉送(AS)、服務類別(CS)或加速轉送(EF)值來比對封包。
- IP DSCP Match to Value — 根據自定義DSCP值匹配資料包。如果選擇此選項,請在此欄位中輸入一個介於0到63之間的值。
- IP優先順序 — 根據封包的IP優先順序值來比對封包。如果已選擇,請輸入從0到7的IP優先順序值。
- IP TOS Bits — 指定使用IP報頭中資料包的TOS位作為匹配條件的值。
- 封包中的IP TOS欄位定義為IP標頭中服務型別八位元的所有八位元。IP TOS Bits值是一個從00到ff的兩位數十六進位制數。高位3位表示IP優先順序值。高位6位表示IP DSCP值。
- IP TOS掩碼 — 輸入IP TOS掩碼值以標識IP TOS位元值中的位元位置,這些位元位置用於與資料包中的IP TOS欄位進行比較。
- IP TOS Mask值是一個從00到FF的兩位十六進位制數,表示反向(即萬用字元)掩碼。IP TOS掩碼中的零值位表示IP TOS位值中的位位置,用於與資料包的IP TOS欄位進行比較。例如,要檢查是否具有已設定的位7和5以及位1已清除(其中位7最重要)的IP TOS值,請使用IP TOS位值0和IP TOS掩碼00。
現在,您應該已經成功配置了基於IPv4的ACL。
配置基於IPv6的ACL
ACL Name - ACL Type — 選擇要使用新規則配置的ACL。
附註:在下圖中,選擇了IPv6_ACL - Pv6作為示例。
步驟2.如果必須為所選ACL配置新規則,請從Rule下拉選單中選擇New Rule。否則,從Rule下拉選單中選擇當前規則之一。
附註:最多可為單個ACL建立10個規則。
步驟3.從Action下拉選單中選擇ACL規則的操作
- 拒絕 — 阻止符合規則標準的所有流量進入或退出WAP。由於每個ACL的結尾都有一個隱含的deny-all規則,因此不會明確允許的流量會遭到捨棄。
- 允許 — 允許符合規則標準的所有流量進入或退出WAP。不符合條件的流量將被丟棄。
附註:步驟4到11是可選的。已啟用選中的篩選條件。如果您不希望過濾器應用於此特定規則,請取消選中該過濾器的覈取方塊。
步驟4.選中Match Every Packet復選框以匹配每個幀或資料包的規則,無論其內容如何。取消選中此框可配置任何其它匹配條件。
提示:預設情況下啟用Match Every Packet。如果要保留此設定,請跳至步驟12。
步驟5.在Protocol區域中,選擇一個單選按鈕,將匹配的條件與乙太網幀報頭中的值進行比較。您可以選擇以下選項之一或選擇任意:
- 從清單中選擇 — 選擇以下協定之一:
- 與值匹配 — 輸入從0到255的標準IANA分配的協定ID。選擇此方法以標識未按名稱在「從清單中選擇」清單中列出的協定。
步驟6.在Source IPv6區域中,選擇單選按鈕以在匹配條件中包含源的IP地址。您可以選擇Any或User Defined,然後輸入IPv6地址和源IPv6字首長度。
- 源IPv6地址 — 輸入IPv6地址以應用此條件。
- 源IPv6字首長度 — 輸入源IPv6地址的字首長度。
步驟7.在Source Port區域中,選擇單選按鈕以在匹配條件中包含源埠。您可以選擇Any以匹配任何源埠,也可以選擇以下內容:
- 從清單中選擇埠 — 從清單選擇下拉清單中選擇源埠。選項如下:
- 與埠匹配 — 輸入清單中未顯示的埠號。未列出源埠的與埠匹配欄位中的埠號範圍從0到65535。該範圍包括三種不同型別的埠。範圍描述如下:
— 1024到49151 — 註冊埠
—49152到65535 — 動態和/或專用埠
- 遮罩 — 輸入連線埠遮罩。掩碼確定使用哪些位,忽略哪些位。僅允許十六進位制數â字(0xFFFF)。0表示位重要,1表示您應忽略此位。
步驟8.在Destination IPv6區域中,選擇單選按鈕以在匹配條件中包含目標的IP地址。您可以選擇Any或選擇User Defined,輸入IPv6地址和目標IPv6字首長度。
- 目標IPv6地址 — 輸入應用此條件的IPv6地址。
- 目標IPv6字首長度 — 輸入目標IPv6地址的字首長度。
步驟9.在Destination Port區域中,選擇單選按鈕以在匹配條件中包含目標埠。您可以選擇Any以匹配任何目標埠,也可以選擇以下內容:
- 從清單中選擇埠 — 從從清單中選擇埠下拉選單中選擇目標埠。選項包括FTP、FTP資料、HTTP、SNMP、SMTP、TFTP、Telnet、WWW。
- 與埠匹配 — 輸入清單中未顯示的埠號。未列出源埠的與埠匹配欄位中的埠號範圍從0到65535。該範圍包括三種不同型別的埠。範圍描述如下:
- 遮罩 — 輸入連線埠遮罩。掩碼確定使用哪些位,忽略哪些位。只允許十六進位制數字(0-0xFFFF)。0表示位重要,1表示您應忽略此位。
步驟10.在IPv6 Flow Label(IPv6流標籤)區域中,選擇單選按鈕以在匹配條件中包含IPv6流標籤。您可以選擇Any或User Defined並輸入IPv6資料包唯一的20位數字。範圍為0-0xffff。
步驟11.在IPv6 DSCP區域中,選擇單選按鈕將資料包與其IP DSCP值進行匹配。您可以選擇「任意」,也可以選擇以下選項:
- 從清單中選擇 — 選擇以下值之一:DSCP保證轉發(AF)、服務類別(CS)或加速轉發(EF)。
- 與值匹配 — 輸入範圍從0到63的自定義DSCP值。
步驟12.按一下Save。
步驟13.(可選)若要刪除ACL,請確保在ACL Name-ACL Type清單中選擇了ACL名稱,然後選中Delete ACL。
您現在應該已經成功配置了一個基於IPv6的ACL。
意見