我是武男, 24歲, 大家都叫我阿男...有的人還會叫我白目研究生...找我的話請Google "武男" 就沒錯了~

武男亂講-ACLs on Wireless Control System Configuration Example

Autor 白目研究生

index

This document explains how to configure access control lists (ACLs) on Wireless Control System (WCS) to filter traffic that enters and leaves a WLAN.

因為在骨幹上直接設定access-list失敗了~

所以就採用介面設定

有需要可以搭配這篇服用ACLs on Wireless LAN Controller Configuration Example

其實觀念差不多,但我想表達的重點應該是目前已知有三個介面可以進行ACLs的設定就是了~

(WLC Https or CLI、WCS Https)

因為WLC有兩台,WCS又很好用。為了避免設定檔不同步的問題。

重點會放在WCS的操作上

未命名

從WLC上看到如果只ALLOW DHCP、DNS、ICMP、HTTP、HTTPS

的ACL Rules會長得像這樣

也就是已經不小心在WLC上完成了這些設定了

而當初在7609的的VLAN一意孤行的

只留下了

permit tcp any any eq www
permit tcp any any eq 443

不會成功的原因是因為完全忽略了DHCP跟DNS這兩段協定的進出了~

也真的不解的Direction留了InBound、OutBound與Any的三個Option

為什麼全部只留Any就好了~這樣子一個協定的進出就不用設定兩行的問題

不過看完Desc Port與Source Port的規劃的話~

我想這樣子的設定還是不能懶~

反正Rules檢查是機器的事又不是人類的事~XDD

未命名2

WCS上對Access Control Lists的控制在上圖紅框處~

切成了三個區塊Access Control Lists、IP Groups、Protocol Groups

也就是說~在WLC上一個PAGE就能設定完的ACL

在WCS上要分成三個部分做完

第一,就是上圖中的IP Range(WCS以IP Groups稱)

未命名10

然後設定一下Protocol Groups,也就是Source 與 Dest Port 的進進出出~

未命名12

接著就可以設定Access Control List Template

沒錯~就是Template

WCS會依據Protocol Map的IP Groups、Protocol Groups、InBound、OutBound來產生ACL Rules

降低人為的錯誤設定

當然,排除一開始的IP Groups、Protocol Groups就規劃錯了這件事情~XDD

未命名13

點下Generate Rules後

再檢查一下輸出的ACL Rules有沒有錯誤

未命名14

最後把ACL Apply到兩台WLC上

基本上ACL的設定就算完成了~

未命名17

不過~還要把ACL套用在SSID上的話

就要在SSID的Advanced頁籤上的Override Interface ACL上,把設定好的ACL選上來

未命名18

在Apply到兩台WLC一次~

未命名19

等完成後大家就只有http跟https可以用了~XDD


下一次就是把全校的兩個異質的無線網路驗證整合成同一個就沒錯了~XDD

Random Posts

請留言

CommentComment


Valid CSS!

© 2009 MyBlog_笑著流淚II.
Design by Luka Cvrk. Wordpressed by EGO with the help of Gift Baskets and