Cisco无线 LAN 控制器中的 ACL 配置示例

小乔

WLC 上的 ACL
WLC 上的 ACL 旨在限制或允许无线客户端访问其 WLAN 上的服务。

在 WLC 固件版本 4.0 前，ACL 绕过管理接口，因此除了阻止无线客户端通过 Management Via Wireless 选项管理控制器以外，您无法影响发送到 WLC 的数据流。所以，ACL 只能应用到动态接口。在 WLC 固件版本 4.0 中有能过滤发送到管理接口的数据流的 CPU ACL。后文将提供如何配置 CPU ACL 的示例。

您最多能定义 64 个 ACL，每个有 64 个规则（或过滤器）。 每个规则有影响其操作的参数。当数据包匹配规则的所有参数时，为该规则设置的操作将应用到数据包。您能通过 GUI 或 CLI 配置 ACL。

以下是您在 WLC 上配置 ACL 时应理解的规则：

如果源和目标为 any，则 ACL 应用到的目标可以为 any.

如果源或目标为 not any，则必须指定过滤器方向，并且必须创建相反方向的逆向语句。

WLC 对入站与出站的感知并非是直观的。它是从面向无线客户端的 WLC 角度，而不是从客户端的角度。因此，入站方向意味着数据包从无线客户端发往 WLC，而出站方向意味着从 WLC 退出到无线客户端的数据包。

ACL 末尾存在隐式拒绝。

在 WLC 中配置 ACL 时的注意事项
WLC 中的 ALC 与路由器中 ALC 工作方式不同。在 WLC 中配置 ACL 时需要记住以下事项：

当您打算拒绝或允许 IP 数据包通过时，最容易犯的错误是选择 IP。由于您选择了 IP 数据包里面的内容，将导致拒绝或允许 IP-in-IP 数据包。

控制器 ACL 不能阻止 1.1.1.1（虚拟 IP 地址），也无法阻止无线客户端的 DHCP 信息包。

控制器ACL无法阻止从发往无线客户端的有线网络接收的组播流量。控制器ACL会针对从无线客户端发起的、发往同一控制器上的有线网络或其他无线客户端的组播流量进行处理。

不同于路由器，ACL 应用到接口后可在两个方向控制数据流，但它不执行状态防火墙。如果忘记在 ACL 中开一个口子以便返回数据流，则将引发问题。

控制器 ACL 仅阻止 IP 信息包。您不能阻止第 2 层或第 3 层的非 IP 数据包。

控制器 ACL 不使用类似路由器的反掩码。这里的 255 表示准确匹配该 IP 地址的八位组。

控制器上的 ACL 在软件中完成并影响转发性能。

注意：  如果将 ACL 应用到接口或 WLAN，无线吞吐量会降低并且可能导致潜在的丢包。为了提高吞吐量，请从接口或 WLAN 上删除 ACL 并且将 ACL 移至相邻的有线设备。

游客，如果您要查看本帖隐藏内容请回复

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

fy1221

学习