在WLC上的ACL配置规则,限制以及范例.PDF

在WLC 上的ACL 配置：规则，限制以及范例 介绍 本文提供了在 WLC 上配置 ACL 的相关信息。本文解释了当前ACL 的限制和规则，并 给了相关的示例。但是并不意味着本文是来代替“ACLs on Wireless LAN Controller Configuration Example ”的，而是提供了进一步的补充。（如果参考在WLC 上的 ACL 配置， 请参考以下网址： /en/US/tech/tk722/tk809/technologies_configuration_example091861.shtml 对于二层 ACL 或者更加灵活的三层 ACL 规则，思科建议在连接ＷＬＣ的最近的路由器 上进行配置。 当配置ＡＬＣ时，最常见的错误是，为了允许或禁止 IP 包，将协议字段设置为 IP （protocol=4 ），因为这个字段，实际配置的是在 IP 数据包中封装的类型，比如ＴＣＰ，Ｕ ＤＰ或者ＩＣＭＰ，它会转变为允许或者拒绝IP-in-IP 数据包，除非你想阻塞移动ＩＰ数据 包，否则，在 ACL 配置中绝对不能选择 IP 。思科BUG ID CSCsh22975 改正 IP 为 IP-in-IP 。 配置条件 必要条件 在配置前，请先确定掌握以下知识点： （1） 知道如何配置ＷＬＣ和ＬＡＰ的基本操作； （2） 了解ＬＷＡＰＰ和无线安全技术的基本知识； 使用说明 本文中无特殊的软件或硬件版本限制 规定 请参考以下网址（思科技术小窍门），获得更多信息 /en/US/tech/tk801/tk36/technologies_tech_note09186a0080121a c5.shtml 在ＷＬＣ上的ＡＣＬ的作用 ACL 策略包含一行或多行 ACL，最后是隐含的“Deny any any”。每行ＡＣＬ包含以下部分： （１） 序列号 （２） 方向 （３） 源ＩＰ地址和掩码 （４） 目的ＩＰ地址和掩码 （５） 协议 （６） 源端口 （７） 目的端口 （８） ＤＳＣＰ （９） 动作 本文对以上各组成部分进行描述 （１） 序列号 表明 ACL 的顺序，数据包按照 ACL的顺序匹配，直到符合一条策略，当 ACL 已经创建 好后，也可以随时插入添加的 ACL语句。例如，如果已经创建了一个 ACL 语句 1，当想在它 之前插入一条语句，新创建的语句为 1，插入后，原来的语句会随着新插入的序列改变。 （２） 方向 WLC 对哪个方向的数据做 ACL 匹配，有三种方向，进，出，和任何方向，这些所谓 的方向，是对 WLC 而言，非无线的客户端。 进方向-数据包是从无限客户端发送出来，进行 ACL 检查 出方向-数据包是发送给无线客户端，进行 ACL检查 任何方向-任何进或者出的方向 当配置 / 时，意味着任何方向，当想对特定的协议或者端口在进出方向使用ACL 时，可以使用任何方向配置，当定义了特定的 IP 地址段时，必须定义进或者是出方向。 （３） 源IP 地址和掩码 定义源地址，地址段取决于配置的掩码，使用掩码来确定是否有正确的 IP 数据包匹 配。 【译者注】在WLC 中配置ACL 的掩码和在IOS 里面的掩码含义是不一样的，在 WLC 中， 255 意味着严格匹配，0 作为通配符，每位一对一匹配。 在掩码中，1 意思为严格匹配对应的位，255 意味着严格匹配对应的 8 位字符，0 意味 着忽略此位，/ 意味着所有。 （４） 目的地址和掩码 按照以上的规则，同样定义 （５） 协议 在 IP 包中定义协议，某些定义的协议可以自动转换成对应的数值： Any ：所有协议都会被匹配 TCP ：协议号 6 UDP ：协议号 17 ICMP ：协议号 1 ESP ：协议号 50 AH ：协议号 51 GRE ：协议号47 IP ：协议号4 在 IP 之上的以太：协议号 97 OSPF ：协议号 89 其他：需要定义 （６） 源端口 只能定义 TCP 或者 UDP ，数值从 0-65535 （７） 目的端口 只能定义 TCP 或者 UDP ，数值从 0-65535 （８） 服务差别代码（DSCP ）