Ejemplo de configuracin de ACL en controlador para redes LAN

inalmbricas
Contenido
Introduccin
Requisitos previos
Requerimientos
Componentes utilizados
Convenciones
ACL en WLC
Consideraciones al configurar ACL en WLC
Configuracin de ACL en WLC
Reglas de configuracin que permiten servicios de usuario invitado
Configuracin de ACL de CPU
Verificacin
Resolucin de problemas

Introduccin
Este documento explica cmo configurar listas de control de acceso (ACL) en controladores para redes LAN inalmbricas (WLC) a fin de filtrar
el trfico entrante y saliente de una WLAN.

Requisitos previos
Requerimientos
Asegrese de que cumple estos requerimientos antes de intentar esta configuracin:
Tener conocimiento de cmo configurar el WLC y el punto de acceso ligero (LAP) para el funcionamiento bsico
Tener conocimiento bsico del protocolo de punto de acceso ligero (LWAPP) y de los mtodos de seguridad inalmbricos

Componentes utilizados
La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:
WLC de la serie 2000 de Cisco que ejecuta el firmware 4.0
LAP de la serie 1000 de Cisco
Adaptador de cliente inalmbrico 802.11a/b/g de Cisco que ejecuta firmware 2.6
Cisco Aironet Desktop Utility (ADU) versin 2.6
La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de haber
comprendido el impacto que puede tener cualquier comando.

Convenciones
Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.

ACL en WLC
La funcin de las ACL en el WLC es restringir o permitir clientes inalmbricos en los servicios de la WLAN correspondiente.

Antes de la versin 4.0 del firmware de WLC, las ACL se desviaban en la interfaz de administracin, de modo que no se pudiese afectar al trfico
destinado al WLC con excepcin de evitar que los clientes inalmbricos administrasen el controlador mediante la opcin Management Via
Wireless (Administracin inalmbrica). As pues, las ACL slo se pueden aplicar a interfaces dinmicas. En la versin 4.0 del firmware de WLC,
hay ACL de CPU que pueden filtrar el trfico destinado a la interfaz de administracin. Se incluye un ejemplo de cmo configurar ACL de CPU
ms adelante en este documento.
Puede definir hasta 64 ACL, cada una con un mximo de 64 reglas (o filtros). Cada regla tiene parmetros que afectan su accin. Cuando un
paquete coincide con todos los parmetros de una regla, la accin establecida para dicha regla se aplica al paquete. Puede configurar ACL a
travs de la interfaz grfica de usuario o la CLI.
stas son algunas de las reglas que debe entender antes de configurar una ACL en el WLC:
Si el origen y el destino son Any (Cualquiera), la direccin en la que se aplica esta ACL puede ser Any (Cualquiera).
Si el origen o el destino no son Any (Cualquiera), debe especificarse la direccin del filtro y crearse una declaracin inversa en la direccin
opuesta.
La nocin del WLC de entrante frente a saliente no es intuitiva. Se trata ms bien de la perspectiva del WLC orientado hacia el cliente
inalmbrico, en lugar de la perspectiva del cliente. As pues, direccin entrante significa un paquete que entra en el WLC desde el cliente
inalmbrico y la direccin saliente significa un paquete que sale del WLC hacia el cliente inalmbrico.
Hay una denegacin implcita al final de la ACL.

Consideraciones al configurar ACL en WLC

Las ALC en WLC no funcionan igual que en routers. Algunos aspectos que conviene recordar al configurar ACL en WLC:
El error ms comn es seleccionar la IP cuando se piensa denegar o permitir paquetes de IP. Debido a que se selecciona el contenido del
paquete IP, se termina denegando o permitiendo paquetes IP-en-IP.
Las ACL de controlador no pueden bloquear la direccin IP virtual 1.1.1.1 y, por consiguiente, paquetes DHCP para clientes inalmbricos.
Las ACL de controlador no pueden bloquear la multidifusin y difusin de paquetes porque se reenvan fuera de la interfaz de
administracin a los puntos de acceso (AP).
Al contrario que un router, ACL controla el trfico en ambas direcciones cuando se aplica a una interfaz, pero no realiza firewall con
estado. Si se olvida de abrir un orificio en la ACL para el trfico de retorno, esto puede causar un problema.
Las ACL de controlador slo bloquean paquetes IP. No se pueden bloquear ACL de capa 2 o paquetes de capa 3 que no sean IP.
Las ACL de controlador no utilizan mscaras inversas como los routers. Aqu, 255 significa que coincida con el octeto de direccin IP
exactamente.
Las ACL del controlador se realizan en software e influyen en el rendimiento del reenvo.

Configuracin de ACL en WLC

Esta seccin describe cmo configurar una ACL en el WLC. El objetivo es configurar una ACL que permita a clientes invitados acceder a estos
servicios.
Protocolo de configuracin de host dinmico (DHCP) entre clientes inalmbricos y el servidor DHCP
Protocolo de mensajes de control de Internet (ICMP) entre todos los dispositivos de la red
Sistema de nombres de dominio (DNS) entre clientes inalmbricos y el servidor DNS
Telnet a una subred especfica
El resto de los servicios se deben bloquear para los clientes inalmbricos. Siga estos pasos para crear la ACL utilizando la interfaz grfica de
usuario del WLC.
1. Vaya a la interfaz grfica de usuario del WLC y seleccione Security > Access Control Lists (Seguridad > Listas de control de acceso).
Aparece la pgina Access Control Lists (Listas de control de acceso). Esta pgina enumera las ACL configuradas en el WLC. Tambin
permite editar o eliminar cualquiera de las ACL. Para crear una nueva ACL, haga clic en New (Nueva).

2. Introduzca el nombre de la ACL y haga clic en Apply (Aplicar).

Puede introducir hasta 32 caracteres alfanumricos. En este ejemplo, el nombre de la ACL es Guest-ACL. Una vez creada la ACL, haga
clic en Edit (Editar) con el fin de crear reglas para la misma.

3. Cuando aparezca la pgina Access Control Lists > Edit (Listas de control de acceso > Editar), haga clic en Add New Rule (Agregar nueva
regla).
Aparecer la pgina Access Control Lists > Rules > New (Listas de control de acceso > Reglas > Nueva).

4. Configure las reglas que permiten a un usuario invitado utilizar estos servicios.
DHCP entre los clientes inalmbricos y el servidor DHCP
ICMP entre todos los dispositivos de la red
DNS entre los clientes inalmbricos y el servidor DNS
Telnet a una subred especfica

Reglas de configuracin que permiten servicios de usuario invitado

Esta seccin muestra un ejemplo de cmo configurar las reglas para estos servicios.
DHCP entre los clientes inalmbricos y el servidor DHCP
ICMP entre todos los dispositivos de la red
DNS entre los clientes inalmbricos y el servidor DNS
Telnet a una subred especfica
1. Para definir la regla para el servicio DHCP, seleccione los intervalos de IP de origen y destino.
En este ejemplo se utiliza Any (Cualquiera) para el origen, lo que significa que se permite a cualquier cliente inalmbrico acceder al
servidor DHCP. En este ejemplo, el servidor 172.16.1.1 acta como servidor DHCP y DNS. As pues, la direccin IP de destino es
172.16.1.1/255.255.255.255 (con una mscara de host).
Puesto que DHCP es un protocolo basado en UDP, seleccione UDP en el campo desplegable Protocol (Protocolo). Si eligi TCP o UDP en
el paso de anterior, aparecern dos parmetros adicionales: Source Port (Puerto de origen) y Destination Port (Puerto de destino).
Especifique los detalles de los puertos de origen y destino. Para esta regla, el puerto de origen es DHCP Client (Cliente DHCP) y el puerto
de destino DHCP Server (Servidor DHCP).
Seleccione la direccin en la que se debe aplicar la ACL. Puesto que esta regla es del cliente al servidor, en este ejemplo se utiliza Inbound
(Entrante) En el cuadro desplegable Action (Accin), seleccione Permit (Permitir) para que esta ACL permita el envo de paquetes DHCP
del cliente inalmbrico al servidor DHCP. El valor predeterminado es Deny (Denegar). Haga clic en Apply (Aplicar).

Si el origen o el destino no son Any (Cualquiera), debe crearse una declaracin inversa en la direccin opuesta. He aqu un ejemplo:

2. Para definir una regla que permita paquetes ICMP entre todos los dispositivos, seleccione Any (Cualquiera) para los campos Source
(Origen) y Destination (Destino). ste es el valor predeterminado.
Seleccione ICMP en el campo desplegable Protocol (Protocolo). Puesto que este ejemplo utiliza el valor Any (Cualquiera) en los campos
Source (Origen) y Destination (Destino), no es necesario especificar la direccin. Puede dejarse en su valor predeterminado Any
(Cualquiera). Asimismo, no es necesaria la declaracin inversa en la direccin opuesta.
En el men desplegable Action (Accin), seleccione Permit (Permitir) para que esta ACL permita paquetes DHCP del servidor DHCP al
cliente inalmbrico. Haga clic en Apply (Aplicar).

3. De igual modo, cree reglas que permitan al servidor DNS acceder a todos los clientes inalmbricos y al servidor Telnet acceder al cliente
inalmbrico para una subred determinada. He aqu algunos ejemplos.

Defina esta regla para permitir al cliente inalmbrico acceder al servicio Telnet.

En la pgina ACL > Edit (ACL > Editar) se enumeran todas las reglas definidas para la ACL.

4. Una vez creada la ACL, debe aplicarse a una interfaz dinmica. Para aplicar la ACL, seleccione Controller > Interfaces (Controlador >
Interfaces) y edite la interfaz a la que desee aplicar la ACL.
5. En la pgina Interfaces > Edit (Interfaces > Editar) de la interfaz dinmica, seleccione la ACL adecuada en el men desplegable Access
Control Lists (Listas de control de acceso). He aqu un ejemplo:

Una vez hecho esto, la ACL permite y deniega el trfico (basndose en las reglas configuradas) de la WLAN que utiliza esta interfaz dinmica.
Nota: Para obtener informacin sobre cmo crear una ACL utilizando la CLI del WLC, consulte Uso de la CLI para configurar listas de control
de acceso (en ingls).
Nota: En este documento se asume que se han configurado las WLAN y las interfaces dinmicas. Consulte Ejemplo de configuracin de VLAN
en controladores para redes LAN inalmbricas (en ingls) para obtener ms informacin acerca de cmo crear interfaces dinmicas en WLC.

Configuracin de ACL de CPU

Anteriormente, las ACL de WLC no tenan la opcin de filtrar el trfico de datos LWAPP, el trfico de control LWAPP y el trfico de movilidad
destinado a las interfaces de administracin y administrador AP. Para solucionar este problema y filtrar el trfico LWAPP y de movilidad, se
introdujeron las ACL de CPU con la versin 4.0 del firmware de WLC.
La configuracin de ACL de CPU consta de dos pasos:
1. Configuracin de reglas para la ACL de CPU.
2. Aplicacin de la ACL de CPU al WLC.
Las reglas para la ACL de CPU se deben configurar de manera similar a las de las dems ACL. He aqu un ejemplo de ACL de CPU que permite
trfico de datos LWAPP y de control entre el controlador (con la direccin IP de interfaz de administracin 172.16.1.40 y la direccin IP de la
interfaz de administrador AP 172.16.1.41) y el LAP (con direccin IP 172.16.1.70). El trfico de los dems LAP se filtra.
Este ejemplo de ACL de CPU tambin permite trfico de movilidad entre la interfaz de administracin del controlador con direccin IP
172.16.1.40 y la interfaz de administracin del controlador con direccin IP 172.16.1.30.

Una vez creada la ACL de CPU, debe aplicarla al WLC. Introduzca estos comandos de la CLI del WLC para aplicar la ACL de CPU al WLC:
<Cisco Controller>config acl cpu <name of the ACL> <wired/wireless/both>
<Cisco Controller>config acl cpu CPU_ACL wired

Introduzca este comando para desactivar la ACL de CPU:

<Cisco Controller>config acl cpu none

Nota: Este ejemplo proporciona una ilustracin de cmo configurar las reglas para permitir trfico LWAPP y de movilidad solamente. Cuando
cree las reglas para la ACL, asegrese de que se permitan todos los protocolos necesarios en la WLAN, puesto que hay una denegacin implcita
al final de cada ACL.

Verificacin
Aunque no hay ningn procedimiento de verificacin en el controlador, Cisco recomienda que se prueben las configuraciones de ACL con un
cliente inalmbrico para asegurarse de que son correctas. Si no funcionan correctamente, compruebe las ACL en la pgina Web de ACL y que los
cambios de las mismas se han aplicado a la interfaz del controlador.

Resolucin de problemas
Actualmente, no hay informacin especfica disponible sobre resolucin de problemas para esta configuracin.

1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.

Fecha de Generacin del PDF: 18 Abril 2008
http://www.cisco.com/cisco/web/support/LA/7/77/77779_acl-wlc.html