Professional Documents
Culture Documents
inalmbricas
Contenido
Introduccin
Requisitos previos
Requerimientos
Componentes utilizados
Convenciones
ACL en WLC
Consideraciones al configurar ACL en WLC
Configuracin de ACL en WLC
Reglas de configuracin que permiten servicios de usuario invitado
Configuracin de ACL de CPU
Verificacin
Resolucin de problemas
Introduccin
Este documento explica cmo configurar listas de control de acceso (ACL) en controladores para redes LAN inalmbricas (WLC) a fin de filtrar
el trfico entrante y saliente de una WLAN.
Requisitos previos
Requerimientos
Asegrese de que cumple estos requerimientos antes de intentar esta configuracin:
Tener conocimiento de cmo configurar el WLC y el punto de acceso ligero (LAP) para el funcionamiento bsico
Tener conocimiento bsico del protocolo de punto de acceso ligero (LWAPP) y de los mtodos de seguridad inalmbricos
Componentes utilizados
La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:
WLC de la serie 2000 de Cisco que ejecuta el firmware 4.0
LAP de la serie 1000 de Cisco
Adaptador de cliente inalmbrico 802.11a/b/g de Cisco que ejecuta firmware 2.6
Cisco Aironet Desktop Utility (ADU) versin 2.6
La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de haber
comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.
ACL en WLC
La funcin de las ACL en el WLC es restringir o permitir clientes inalmbricos en los servicios de la WLAN correspondiente.
Antes de la versin 4.0 del firmware de WLC, las ACL se desviaban en la interfaz de administracin, de modo que no se pudiese afectar al trfico
destinado al WLC con excepcin de evitar que los clientes inalmbricos administrasen el controlador mediante la opcin Management Via
Wireless (Administracin inalmbrica). As pues, las ACL slo se pueden aplicar a interfaces dinmicas. En la versin 4.0 del firmware de WLC,
hay ACL de CPU que pueden filtrar el trfico destinado a la interfaz de administracin. Se incluye un ejemplo de cmo configurar ACL de CPU
ms adelante en este documento.
Puede definir hasta 64 ACL, cada una con un mximo de 64 reglas (o filtros). Cada regla tiene parmetros que afectan su accin. Cuando un
paquete coincide con todos los parmetros de una regla, la accin establecida para dicha regla se aplica al paquete. Puede configurar ACL a
travs de la interfaz grfica de usuario o la CLI.
stas son algunas de las reglas que debe entender antes de configurar una ACL en el WLC:
Si el origen y el destino son Any (Cualquiera), la direccin en la que se aplica esta ACL puede ser Any (Cualquiera).
Si el origen o el destino no son Any (Cualquiera), debe especificarse la direccin del filtro y crearse una declaracin inversa en la direccin
opuesta.
La nocin del WLC de entrante frente a saliente no es intuitiva. Se trata ms bien de la perspectiva del WLC orientado hacia el cliente
inalmbrico, en lugar de la perspectiva del cliente. As pues, direccin entrante significa un paquete que entra en el WLC desde el cliente
inalmbrico y la direccin saliente significa un paquete que sale del WLC hacia el cliente inalmbrico.
Hay una denegacin implcita al final de la ACL.
3. Cuando aparezca la pgina Access Control Lists > Edit (Listas de control de acceso > Editar), haga clic en Add New Rule (Agregar nueva
regla).
Aparecer la pgina Access Control Lists > Rules > New (Listas de control de acceso > Reglas > Nueva).
4. Configure las reglas que permiten a un usuario invitado utilizar estos servicios.
DHCP entre los clientes inalmbricos y el servidor DHCP
ICMP entre todos los dispositivos de la red
DNS entre los clientes inalmbricos y el servidor DNS
Telnet a una subred especfica
Si el origen o el destino no son Any (Cualquiera), debe crearse una declaracin inversa en la direccin opuesta. He aqu un ejemplo:
2. Para definir una regla que permita paquetes ICMP entre todos los dispositivos, seleccione Any (Cualquiera) para los campos Source
(Origen) y Destination (Destino). ste es el valor predeterminado.
Seleccione ICMP en el campo desplegable Protocol (Protocolo). Puesto que este ejemplo utiliza el valor Any (Cualquiera) en los campos
Source (Origen) y Destination (Destino), no es necesario especificar la direccin. Puede dejarse en su valor predeterminado Any
(Cualquiera). Asimismo, no es necesaria la declaracin inversa en la direccin opuesta.
En el men desplegable Action (Accin), seleccione Permit (Permitir) para que esta ACL permita paquetes DHCP del servidor DHCP al
cliente inalmbrico. Haga clic en Apply (Aplicar).
3. De igual modo, cree reglas que permitan al servidor DNS acceder a todos los clientes inalmbricos y al servidor Telnet acceder al cliente
inalmbrico para una subred determinada. He aqu algunos ejemplos.
Defina esta regla para permitir al cliente inalmbrico acceder al servicio Telnet.
En la pgina ACL > Edit (ACL > Editar) se enumeran todas las reglas definidas para la ACL.
4. Una vez creada la ACL, debe aplicarse a una interfaz dinmica. Para aplicar la ACL, seleccione Controller > Interfaces (Controlador >
Interfaces) y edite la interfaz a la que desee aplicar la ACL.
5. En la pgina Interfaces > Edit (Interfaces > Editar) de la interfaz dinmica, seleccione la ACL adecuada en el men desplegable Access
Control Lists (Listas de control de acceso). He aqu un ejemplo:
Una vez hecho esto, la ACL permite y deniega el trfico (basndose en las reglas configuradas) de la WLAN que utiliza esta interfaz dinmica.
Nota: Para obtener informacin sobre cmo crear una ACL utilizando la CLI del WLC, consulte Uso de la CLI para configurar listas de control
de acceso (en ingls).
Nota: En este documento se asume que se han configurado las WLAN y las interfaces dinmicas. Consulte Ejemplo de configuracin de VLAN
en controladores para redes LAN inalmbricas (en ingls) para obtener ms informacin acerca de cmo crear interfaces dinmicas en WLC.
Una vez creada la ACL de CPU, debe aplicarla al WLC. Introduzca estos comandos de la CLI del WLC para aplicar la ACL de CPU al WLC:
<Cisco Controller>config acl cpu <name of the ACL> <wired/wireless/both>
<Cisco Controller>config acl cpu CPU_ACL wired
Nota: Este ejemplo proporciona una ilustracin de cmo configurar las reglas para permitir trfico LWAPP y de movilidad solamente. Cuando
cree las reglas para la ACL, asegrese de que se permitan todos los protocolos necesarios en la WLAN, puesto que hay una denegacin implcita
al final de cada ACL.
Verificacin
Aunque no hay ningn procedimiento de verificacin en el controlador, Cisco recomienda que se prueben las configuraciones de ACL con un
cliente inalmbrico para asegurarse de que son correctas. Si no funcionan correctamente, compruebe las ACL en la pgina Web de ACL y que los
cambios de las mismas se han aplicado a la interfaz del controlador.
Resolucin de problemas
Actualmente, no hay informacin especfica disponible sobre resolucin de problemas para esta configuracin.