Cisco无线局域网控制器的ACL ：规则、限制和示例

小乔

了解WLC上的ACL
ACL由一条或多条ACL行组成，后跟ACL末尾的隐式“deny any any”。每行都有以下字段：

序列号

方向

源IP地址和掩码

目的IP地址和掩码

协议

源端口

目的端口

DSCP

操作

本文档介绍以下每个字段：

序列号 — 指示根据数据包处理ACL行的顺序。根据ACL处理数据包，直到其与第一个ACL行匹配。它还允许您在ACL中的任意位置插入ACL行，即使创建ACL后也是如此。例如，如果ACL行的序列号为1，则可以在新ACL行中输入序列号为1的新ACL行插入新ACL行。这会自动将ACL中的当前行向下移动。

Direction — 告知控制器在哪个方向上实施ACL行。有3个方向：入站、出站和任意。这些方向取自相对于WLC的位置，而不是无线客户端的位置。

入站 — 检查来自无线客户端的IP数据包，看它们是否与ACL线路匹配。

出站 — 检查发往无线客户端的IP数据包，看它们是否与ACL线路匹配。

Any — 检查从无线客户端发往无线客户端的IP数据包，看它们是否与ACL线路匹配。ACL行应用于入站和出站方向。

注意：当您为方向选择Any时，应使用的唯一地址和掩码是0.0.0.0/0.0.0.0(Any)。 您不能指定具有“Any”方向的特定主机或子网，因为需要使用交换的地址或子网来换行以允许返回流量。

Any方向仅应用于要阻止或允许双向的特定IP协议或端口、访问无线客户端（出站）和来自无线客户端（入站）的特定情况。

指定IP地址或子网时，必须将方向指定为入站或出站，并为相反方向的返回流量创建另一条新ACL行。如果ACL应用于接口，并且不明确允许返回流量通过，则返回流量会被ACL列表末尾的隐式“deny any any”拒绝。

源IP地址和掩码 — 定义从一台主机到多个子网的源IP地址，具体取决于掩码。掩码与IP地址结合使用，以确定在将IP地址与数据包中的IP地址进行比较时应忽略IP地址中的哪些位。

注意：WLC ACL中的掩码与Cisco IOS® ACL中使用的通配符或反掩码不同。在控制器ACL中，255表示与IP地址中的二进制八位数完全匹配，0表示通配符。地址和掩码逐位组合。

掩码位1表示检查对应的位值。掩码中255的规格表示所检查的数据包的IP地址中的二进制八位数必须与ACL地址中相应的二进制八位数完全匹配。

掩码位0表示不检查（忽略）相应位值。掩码中0的规范表示忽略所检查数据包的IP地址中的二进制八位数。

0.0.0.0/0.0.0.0等同于“任意”IP地址（0.0.0.0作为地址，0.0.0.0作为掩码）。

Destination IP Address and Mask — 遵循与源IP地址和掩码相同的掩码规则。

Protocol — 指定IP数据包报头中的协议字段。为方便客户，某些协议号被转换，并在下拉菜单中定义。不同的值为：

任意（所有协议号均匹配）

TCP（IP协议6）

UDP（IP协议17）

ICMP（IP协议1）

ESP（IP协议50）

AH（IP协议51）

GRE（IP协议47）

IP(IP协议4 IP-in-IP [CSCsh22975])

IP以太网（IP协议97）

OSPF（IP协议89）

其他（指定）

Any值与数据包IP报头中的任何协议匹配。这用于完全阻止或允许来自特定子网的IP数据包。选择IP以匹配IP-in-IP数据包。常用选择是UDP和TCP，它们用于设置特定源端口和目的端口。如果选择“其他”，则可以指定IANA定义的任何IP数据包协议号 leavingcisco.com。

源端口 — 只能为TCP和UDP协议指定。0-65535等于任何端口。

Dest Port — 只能为TCP和UDP协议指定。0-65535等于任何端口。

差分服务代码点(DSCP) — 允许您指定要在IP数据包报头中匹配的特定DSCP值。下拉菜单中的选项是特定的或任意的。如果配置特定，则在DSCP字段中指示值。例如，可以使用0到63之间的值。

操作 — 这2个操作是deny或permit。拒绝阻止指定的数据包。允许转发数据包。

ACL规则和限制
基于WLC的ACL的局限性
以下是基于WLC的ACL的局限性：

您无法看到数据包匹配的ACL行(请参阅Cisco Bug ID CSCse36574(仅限注册客户))。

不能记录与特定ACL行匹配的数据包(请参阅Cisco Bug ID CSCse36574(仅限注册客户))。

IP数据包（以太网协议字段等于IP [0x0800]的任何数据包）是ACL检查的唯一数据包。ACL无法阻止其他类型的以太网数据包。例如，ACL无法阻止或允许ARP数据包（以太网协议0x0806）。

控制器最多可配置64个ACL;每个ACL最多可包含64行。

ACL不影响从接入点(AP)和无线客户端转发或转发到接入点(AP)和无线客户端的组播和广播流量(请参阅Cisco Bug ID CSCse65613(仅限注册客户))。

在WLC版本4.0之前，ACL会绕过管理接口，因此您不会影响发往管理接口的流量。在WLC版本4.0之后，您可以创建CPU ACL。有关如何配置此类ACL的详细信息，请参阅配置CPU ACL。

注意：应用于管理接口和AP-Manager接口的ACL将被忽略。WLC上的ACL旨在阻止无线网络和有线网络之间的流量，而不是有线网络和WLC之间的流量。因此，如果要阻止特定子网中的AP与WLC完全通信，则需要在间歇性交换机或路由器上应用访问列表。这将阻止从这些AP(VLAN)到WLC的LWAPP流量。

ACL取决于处理器，在重负载下可能会影响控制器的性能。

ACL无法阻止对虚拟IP地址(1.1.1.1)的访问。 因此，无线客户端无法阻止DHCP。

ACL不影响WLC的服务端口。

基于WLC的ACL的规则
以下是基于WLC的ACL的规则：

您只能在ACL行的IP报头（UDP、TCP、ICMP等）中指定协议号，因为ACL仅限于IP数据包。如果选择IP，则表明您要允许或拒绝IP中的IP数据包。如果选中Any，则表示您要允许或拒绝任何IP协议的数据包。

如果为方向选择Any，则源和目标应为Any(0.0.0.0/0.0.0.0)。

如果源IP地址或目标IP地址不是Any，则必须指定过滤器的方向。此外，必须为返回流量创建相反方向的反向语句（交换源IP地址/端口和目标IP地址/端口）。

ACL末尾有一个隐式的“deny any any”。如果数据包与ACL中的任何行不匹配，控制器会丢弃该数据包。

游客，如果您要查看本帖隐藏内容请回复

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam