In diesem Dokument wird beschrieben, wie Sie ACL-basierte Filter (Access Control List) auf Cisco Aironet Access Points (APs) mithilfe der GUI konfigurieren.
Cisco empfiehlt, dass Sie über Grundkenntnisse in diesen Themen verfügen:
In diesem Dokument werden APs der Serie Aironet 1040 verwendet, auf denen die Cisco IOS® Software, Version 15.2(2)JB, ausgeführt wird.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Sie können auf den APs Filter verwenden, um folgende Aufgaben durchzuführen:
Sie können verschiedene Arten von Filtern verwenden, um Datenverkehr auf der Grundlage von:
Sie können auch Filter aktivieren, um den Datenverkehr von Benutzern im LAN einzuschränken. IP-Adressen- und MAC-Adressfilter erlauben oder verbieten die Weiterleitung von Unicast- und Multicast-Paketen, die von oder an bestimmte IP- oder MAC-Adressen gesendet werden.
Protokollbasierte Filter bieten eine detailliertere Möglichkeit, den Zugriff auf bestimmte Protokolle über die Ethernet- und Funkschnittstellen des Access Points zu beschränken. Sie können eine der folgenden Methoden verwenden, um die Filter auf den APs zu konfigurieren:
In diesem Dokument wird die Verwendung von ACLs zum Konfigurieren von Filtern über die GUI erläutert.
In diesem Abschnitt wird beschrieben, wie Sie ACL-basierte Filter auf Cisco Aironet APs mithilfe der GUI konfigurieren.
Navigieren Sie zu Sicherheit > Erweiterte Sicherheit. Wählen Sie die Registerkarte Association Access List aus, und klicken Sie auf Define Filter:
Sie können MAC-Adressbasierte Filter verwenden, um Client-Geräte anhand der hartcodierten MAC-Adresse zu filtern. Wenn einem Client der Zugriff über einen MAC-basierten Filter verweigert wird, kann der Client keine Verbindung zum AP herstellen. MAC-Adressfilter erlauben oder verhindern die Weiterleitung von Unicast- und Multicast-Paketen, die entweder von bestimmten MAC-Adressen gesendet oder an bestimmte MAC-Adressen adressiert werden.
In diesem Beispiel wird veranschaulicht, wie ein MAC-basierter Filter über die Benutzeroberfläche konfiguriert wird, um den Client mit der MAC-Adresse 0040.96a5.b5d4 zu filtern:
Sie können standardmäßige oder erweiterte Zugriffskontrolllisten verwenden, um den Zugriff von Client-Geräten auf das WLAN basierend auf der IP-Adresse des Clients zu erlauben oder zu verweigern.
In diesem Konfigurationsbeispiel werden erweiterte Zugriffskontrolllisten verwendet. Die erweiterte ACL muss den Telnet-Zugriff auf die Clients zulassen. Sie müssen alle anderen Protokolle im WLAN einschränken. Außerdem verwenden die Clients DHCP, um die IP-Adresse abzurufen. Sie müssen eine erweiterte ACL erstellen, die:
Gehen Sie wie folgt vor, um die Datei zu erstellen:
Sie können Ethertype-Filter verwenden, um IPX-Datenverkehr (Internetwork Packet Exchange) auf dem Cisco Aironet AP zu blockieren. Eine typische Situation, in der dies nützlich ist, ist, wenn die Wireless-Verbindung durch den IPX-Server unterbrochen wird, was manchmal in einem großen Unternehmensnetzwerk der Fall ist.
Gehen Sie wie folgt vor, um einen Filter zu konfigurieren und anzuwenden, der IPX-Datenverkehr blockiert:
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
15-Oct-2013 |
Erstveröffentlichung |