Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Ejemplo de configuración de ACL en controlador para redes

Anuncio 
Ejemplo de configuración de ACL en controlador para redes LAN
inalámbricas
Contenido
Introducción
Requisitos previos
Requerimientos
Componentes utilizados
Convenciones
ACL en WLC
Consideraciones al configurar ACL en WLC
Configuración de ACL en WLC
Reglas de configuración que permiten servicios de usuario invitado
Configuración de ACL de CPU
Verificación
Resolución de problemas
Introducción
Este documento explica cómo configurar listas de control de acceso (ACL) en controladores para redes LAN inalámbricas (WLC) a fin de filtrar
el tráfico entrante y saliente de una WLAN.
Requisitos previos
Requerimientos
Asegúrese de que cumple estos requerimientos antes de intentar esta configuración:
Tener conocimiento de cómo configurar el WLC y el punto de acceso ligero (LAP) para el funcionamiento básico
Tener conocimiento básico del protocolo de punto de acceso ligero (LWAPP) y de los métodos de seguridad inalámbricos
Componentes utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware:
WLC de la serie 2000 de Cisco que ejecuta el firmware 4.0
LAP de la serie 1000 de Cisco
Adaptador de cliente inalámbrico 802.11a/b/g de Cisco que ejecuta firmware 2.6
Cisco Aironet Desktop Utility (ADU) versión 2.6
La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber
comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.
ACL en WLC
La función de las ACL en el WLC es restringir o permitir clientes inalámbricos en los servicios de la WLAN correspondiente.
Antes de la versión 4.0 del firmware de WLC, las ACL se desviaban en la interfaz de administración, de modo que no se pudiese afectar al tráfico
destinado al WLC con excepción de evitar que los clientes inalámbricos administrasen el controlador mediante la opción Management Via
Wireless (Administración inalámbrica). Así pues, las ACL sólo se pueden aplicar a interfaces dinámicas. En la versión 4.0 del firmware de WLC,
hay ACL de CPU que pueden filtrar el tráfico destinado a la interfaz de administración. Se incluye un ejemplo de cómo configurar ACL de CPU
más adelante en este documento.
Puede definir hasta 64 ACL, cada una con un máximo de 64 reglas (o filtros). Cada regla tiene parámetros que afectan su acción. Cuando un
paquete coincide con todos los parámetros de una regla, la acción establecida para dicha regla se aplica al paquete. Puede configurar ACL a
través de la interfaz gráfica de usuario o la CLI.
Éstas son algunas de las reglas que debe entender antes de configurar una ACL en el WLC:
Si el origen y el destino son Any (Cualquiera), la dirección en la que se aplica esta ACL puede ser Any (Cualquiera).
Si el origen o el destino no son Any (Cualquiera), debe especificarse la dirección del filtro y crearse una declaración inversa en la dirección
opuesta.
La noción del WLC de entrante frente a saliente no es intuitiva. Se trata más bien de la perspectiva del WLC orientado hacia el cliente
inalámbrico, en lugar de la perspectiva del cliente. Así pues, dirección entrante significa un paquete que entra en el WLC desde el cliente
inalámbrico y la dirección saliente significa un paquete que sale del WLC hacia el cliente inalámbrico.
Hay una denegación implícita al final de la ACL.
Consideraciones al configurar ACL en WLC
Las ALC en WLC no funcionan igual que en routers. Algunos aspectos que conviene recordar al configurar ACL en WLC:
El error más común es seleccionar la IP cuando se piensa denegar o permitir paquetes de IP. Debido a que se selecciona el contenido del
paquete IP, se termina denegando o permitiendo paquetes IP-en-IP.
Las ACL de controlador no pueden bloquear la dirección IP virtual 1.1.1.1 y, por consiguiente, paquetes DHCP para clientes inalámbricos.
Las ACL de controlador no pueden bloquear la multidifusión y difusión de paquetes porque se reenvían fuera de la interfaz de
administración a los puntos de acceso (AP).
Al contrario que un router, ACL controla el tráfico en ambas direcciones cuando se aplica a una interfaz, pero no realiza firewall con
estado. Si se olvida de abrir un orificio en la ACL para el tráfico de retorno, esto puede causar un problema.
Las ACL de controlador sólo bloquean paquetes IP. No se pueden bloquear ACL de capa 2 o paquetes de capa 3 que no sean IP.
Las ACL de controlador no utilizan máscaras inversas como los routers. Aquí, 255 significa que coincida con el octeto de dirección IP
exactamente.
Las ACL del controlador se realizan en software e influyen en el rendimiento del reenvío.
Configuración de ACL en WLC
Esta sección describe cómo configurar una ACL en el WLC. El objetivo es configurar una ACL que permita a clientes invitados acceder a estos
servicios.
Protocolo de configuración de host dinámico (DHCP) entre clientes inalámbricos y el servidor DHCP
Protocolo de mensajes de control de Internet (ICMP) entre todos los dispositivos de la red
Sistema de nombres de dominio (DNS) entre clientes inalámbricos y el servidor DNS
Telnet a una subred específica
El resto de los servicios se deben bloquear para los clientes inalámbricos. Siga estos pasos para crear la ACL utilizando la interfaz gráfica de
usuario del WLC.
1. Vaya a la interfaz gráfica de usuario del WLC y seleccione Security > Access Control Lists (Seguridad > Listas de control de acceso).
Aparece la página Access Control Lists (Listas de control de acceso). Esta página enumera las ACL configuradas en el WLC. También
permite editar o eliminar cualquiera de las ACL. Para crear una nueva ACL, haga clic en New (Nueva).
2. Introduzca el nombre de la ACL y haga clic en Apply (Aplicar).
Puede introducir hasta 32 caracteres alfanuméricos. En este ejemplo, el nombre de la ACL es Guest-ACL. Una vez creada la ACL, haga
clic en Edit (Editar) con el fin de crear reglas para la misma.
3. Cuando aparezca la página Access Control Lists > Edit (Listas de control de acceso > Editar), haga clic en Add New Rule (Agregar nueva
regla).
Aparecerá la página Access Control Lists > Rules > New (Listas de control de acceso > Reglas > Nueva).
4. Configure las reglas que permiten a un usuario invitado utilizar estos servicios.
DHCP entre los clientes inalámbricos y el servidor DHCP
ICMP entre todos los dispositivos de la red
DNS entre los clientes inalámbricos y el servidor DNS
Telnet a una subred específica
Reglas de configuración que permiten servicios de usuario invitado
Esta sección muestra un ejemplo de cómo configurar las reglas para estos servicios.
DHCP entre los clientes inalámbricos y el servidor DHCP
ICMP entre todos los dispositivos de la red
DNS entre los clientes inalámbricos y el servidor DNS
Telnet a una subred específica
1. Para definir la regla para el servicio DHCP, seleccione los intervalos de IP de origen y destino.
En este ejemplo se utiliza Any (Cualquiera) para el origen, lo que significa que se permite a cualquier cliente inalámbrico acceder al
servidor DHCP. En este ejemplo, el servidor 172.16.1.1 actúa como servidor DHCP y DNS. Así pues, la dirección IP de destino es
172.16.1.1/255.255.255.255 (con una máscara de host).
Puesto que DHCP es un protocolo basado en UDP, seleccione UDP en el campo desplegable Protocol (Protocolo). Si eligió TCP o UDP en
el paso de anterior, aparecerán dos parámetros adicionales: Source Port (Puerto de origen) y Destination Port (Puerto de destino).
Especifique los detalles de los puertos de origen y destino. Para esta regla, el puerto de origen es DHCP Client (Cliente DHCP) y el puerto
de destino DHCP Server (Servidor DHCP).
Seleccione la dirección en la que se debe aplicar la ACL. Puesto que esta regla es del cliente al servidor, en este ejemplo se utiliza Inbound
(Entrante) En el cuadro desplegable Action (Acción), seleccione Permit (Permitir) para que esta ACL permita el envío de paquetes DHCP
del cliente inalámbrico al servidor DHCP. El valor predeterminado es Deny (Denegar). Haga clic en Apply (Aplicar).
Si el origen o el destino no son Any (Cualquiera), debe crearse una declaración inversa en la dirección opuesta. He aquí un ejemplo:
2. Para definir una regla que permita paquetes ICMP entre todos los dispositivos, seleccione Any (Cualquiera) para los campos Source
(Origen) y Destination (Destino). Éste es el valor predeterminado.
Seleccione ICMP en el campo desplegable Protocol (Protocolo). Puesto que este ejemplo utiliza el valor Any (Cualquiera) en los campos
Source (Origen) y Destination (Destino), no es necesario especificar la dirección. Puede dejarse en su valor predeterminado Any
(Cualquiera). Asimismo, no es necesaria la declaración inversa en la dirección opuesta.
En el menú desplegable Action (Acción), seleccione Permit (Permitir) para que esta ACL permita paquetes DHCP del servidor DHCP al
cliente inalámbrico. Haga clic en Apply (Aplicar).
3. De igual modo, cree reglas que permitan al servidor DNS acceder a todos los clientes inalámbricos y al servidor Telnet acceder al cliente
inalámbrico para una subred determinada. He aquí algunos ejemplos.
Defina esta regla para permitir al cliente inalámbrico acceder al servicio Telnet.
En la página ACL > Edit (ACL > Editar) se enumeran todas las reglas definidas para la ACL.
4. Una vez creada la ACL, debe aplicarse a una interfaz dinámica. Para aplicar la ACL, seleccione Controller > Interfaces (Controlador >
Interfaces) y edite la interfaz a la que desee aplicar la ACL.
5. En la página Interfaces > Edit (Interfaces > Editar) de la interfaz dinámica, seleccione la ACL adecuada en el menú desplegable Access
Control Lists (Listas de control de acceso). He aquí un ejemplo:
Una vez hecho esto, la ACL permite y deniega el tráfico (basándose en las reglas configuradas) de la WLAN que utiliza esta interfaz dinámica.
Nota: Para obtener información sobre cómo crear una ACL utilizando la CLI del WLC, consulte Uso de la CLI para configurar listas de control
de acceso (en inglés).
Nota: En este documento se asume que se han configurado las WLAN y las interfaces dinámicas. Consulte Ejemplo de configuración de VLAN
en controladores para redes LAN inalámbricas (en inglés) para obtener más información acerca de cómo crear interfaces dinámicas en WLC.
Configuración de ACL de CPU
Anteriormente, las ACL de WLC no tenían la opción de filtrar el tráfico de datos LWAPP, el tráfico de control LWAPP y el tráfico de movilidad
destinado a las interfaces de administración y administrador AP. Para solucionar este problema y filtrar el tráfico LWAPP y de movilidad, se
introdujeron las ACL de CPU con la versión 4.0 del firmware de WLC.
La configuración de ACL de CPU consta de dos pasos:
1. Configuración de reglas para la ACL de CPU.
2. Aplicación de la ACL de CPU al WLC.
Las reglas para la ACL de CPU se deben configurar de manera similar a las de las demás ACL. He aquí un ejemplo de ACL de CPU que permite
tráfico de datos LWAPP y de control entre el controlador (con la dirección IP de interfaz de administración 172.16.1.40 y la dirección IP de la
interfaz de administrador AP 172.16.1.41) y el LAP (con dirección IP 172.16.1.70). El tráfico de los demás LAP se filtra.
Este ejemplo de ACL de CPU también permite tráfico de movilidad entre la interfaz de administración del controlador con dirección IP
172.16.1.40 y la interfaz de administración del controlador con dirección IP 172.16.1.30.
Una vez creada la ACL de CPU, debe aplicarla al WLC. Introduzca estos comandos de la CLI del WLC para aplicar la ACL de CPU al WLC:
<Cisco Controller>config acl cpu <name of the ACL> <wired/wireless/both>
<Cisco Controller>config acl cpu CPU_ACL wired
Introduzca este comando para desactivar la ACL de CPU:
<Cisco Controller>config acl cpu none
Nota: Este ejemplo proporciona una ilustración de cómo configurar las reglas para permitir tráfico LWAPP y de movilidad solamente. Cuando
cree las reglas para la ACL, asegúrese de que se permitan todos los protocolos necesarios en la WLAN, puesto que hay una denegación implícita
al final de cada ACL.
Verificación
Aunque no hay ningún procedimiento de verificación en el controlador, Cisco recomienda que se prueben las configuraciones de ACL con un
cliente inalámbrico para asegurarse de que son correctas. Si no funcionan correctamente, compruebe las ACL en la página Web de ACL y que los
cambios de las mismas se han aplicado a la interfaz del controlador.
Resolución de problemas
Actualmente, no hay información específica disponible sobre resolución de problemas para esta configuración.
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 18 Abril 2008
http://www.cisco.com/cisco/web/support/LA/7/77/77779_acl-wlc.html
Documentos relacionados
CAPÍTULO DIECISÉIS DISPOSICIONES LABORALES Artículo 1601: Afirmaciones
CAPÍTULO DIECISÉIS DISPOSICIONES LABORALES Artículo 1601: Afirmaciones
Packet Tracer: configuración de ACL estándar con nombre (instrucciones)
Packet Tracer: configuración de ACL estándar con nombre (instrucciones)
Packet Tracer: configuración de una ACL en líneas VTY (instrucciones)
Packet Tracer: configuración de una ACL en líneas VTY (instrucciones)
Packet Tracer: resolución de problemas de ACL (instrucciones)
Packet Tracer: resolución de problemas de ACL (instrucciones)
Descargar
Anuncio
Anuncio