Ejemplo de configuración de ACL en controlador para redes LAN inalámbricas Contenido Introducción Requisitos previos Requerimientos Componentes utilizados Convenciones ACL en WLC Consideraciones al configurar ACL en WLC Configuración de ACL en WLC Reglas de configuración que permiten servicios de usuario invitado Configuración de ACL de CPU Verificación Resolución de problemas Introducción Este documento explica cómo configurar listas de control de acceso (ACL) en controladores para redes LAN inalámbricas (WLC) a fin de filtrar el tráfico entrante y saliente de una WLAN. Requisitos previos Requerimientos Asegúrese de que cumple estos requerimientos antes de intentar esta configuración: Tener conocimiento de cómo configurar el WLC y el punto de acceso ligero (LAP) para el funcionamiento básico Tener conocimiento básico del protocolo de punto de acceso ligero (LWAPP) y de los métodos de seguridad inalámbricos Componentes utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware: WLC de la serie 2000 de Cisco que ejecuta el firmware 4.0 LAP de la serie 1000 de Cisco Adaptador de cliente inalámbrico 802.11a/b/g de Cisco que ejecuta firmware 2.6 Cisco Aironet Desktop Utility (ADU) versión 2.6 La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento. ACL en WLC La función de las ACL en el WLC es restringir o permitir clientes inalámbricos en los servicios de la WLAN correspondiente. Antes de la versión 4.0 del firmware de WLC, las ACL se desviaban en la interfaz de administración, de modo que no se pudiese afectar al tráfico destinado al WLC con excepción de evitar que los clientes inalámbricos administrasen el controlador mediante la opción Management Via Wireless (Administración inalámbrica). Así pues, las ACL sólo se pueden aplicar a interfaces dinámicas. En la versión 4.0 del firmware de WLC, hay ACL de CPU que pueden filtrar el tráfico destinado a la interfaz de administración. Se incluye un ejemplo de cómo configurar ACL de CPU más adelante en este documento. Puede definir hasta 64 ACL, cada una con un máximo de 64 reglas (o filtros). Cada regla tiene parámetros que afectan su acción. Cuando un paquete coincide con todos los parámetros de una regla, la acción establecida para dicha regla se aplica al paquete. Puede configurar ACL a través de la interfaz gráfica de usuario o la CLI. Éstas son algunas de las reglas que debe entender antes de configurar una ACL en el WLC: Si el origen y el destino son Any (Cualquiera), la dirección en la que se aplica esta ACL puede ser Any (Cualquiera). Si el origen o el destino no son Any (Cualquiera), debe especificarse la dirección del filtro y crearse una declaración inversa en la dirección opuesta. La noción del WLC de entrante frente a saliente no es intuitiva. Se trata más bien de la perspectiva del WLC orientado hacia el cliente inalámbrico, en lugar de la perspectiva del cliente. Así pues, dirección entrante significa un paquete que entra en el WLC desde el cliente inalámbrico y la dirección saliente significa un paquete que sale del WLC hacia el cliente inalámbrico. Hay una denegación implícita al final de la ACL. Consideraciones al configurar ACL en WLC Las ALC en WLC no funcionan igual que en routers. Algunos aspectos que conviene recordar al configurar ACL en WLC: El error más común es seleccionar la IP cuando se piensa denegar o permitir paquetes de IP. Debido a que se selecciona el contenido del paquete IP, se termina denegando o permitiendo paquetes IP-en-IP. Las ACL de controlador no pueden bloquear la dirección IP virtual 1.1.1.1 y, por consiguiente, paquetes DHCP para clientes inalámbricos. Las ACL de controlador no pueden bloquear la multidifusión y difusión de paquetes porque se reenvían fuera de la interfaz de administración a los puntos de acceso (AP). Al contrario que un router, ACL controla el tráfico en ambas direcciones cuando se aplica a una interfaz, pero no realiza firewall con estado. Si se olvida de abrir un orificio en la ACL para el tráfico de retorno, esto puede causar un problema. Las ACL de controlador sólo bloquean paquetes IP. No se pueden bloquear ACL de capa 2 o paquetes de capa 3 que no sean IP. Las ACL de controlador no utilizan máscaras inversas como los routers. Aquí, 255 significa que coincida con el octeto de dirección IP exactamente. Las ACL del controlador se realizan en software e influyen en el rendimiento del reenvío. Configuración de ACL en WLC Esta sección describe cómo configurar una ACL en el WLC. El objetivo es configurar una ACL que permita a clientes invitados acceder a estos servicios. Protocolo de configuración de host dinámico (DHCP) entre clientes inalámbricos y el servidor DHCP Protocolo de mensajes de control de Internet (ICMP) entre todos los dispositivos de la red Sistema de nombres de dominio (DNS) entre clientes inalámbricos y el servidor DNS Telnet a una subred específica El resto de los servicios se deben bloquear para los clientes inalámbricos. Siga estos pasos para crear la ACL utilizando la interfaz gráfica de usuario del WLC. 1. Vaya a la interfaz gráfica de usuario del WLC y seleccione Security > Access Control Lists (Seguridad > Listas de control de acceso). Aparece la página Access Control Lists (Listas de control de acceso). Esta página enumera las ACL configuradas en el WLC. También permite editar o eliminar cualquiera de las ACL. Para crear una nueva ACL, haga clic en New (Nueva). 2. Introduzca el nombre de la ACL y haga clic en Apply (Aplicar). Puede introducir hasta 32 caracteres alfanuméricos. En este ejemplo, el nombre de la ACL es Guest-ACL. Una vez creada la ACL, haga clic en Edit (Editar) con el fin de crear reglas para la misma. 3. Cuando aparezca la página Access Control Lists > Edit (Listas de control de acceso > Editar), haga clic en Add New Rule (Agregar nueva regla). Aparecerá la página Access Control Lists > Rules > New (Listas de control de acceso > Reglas > Nueva). 4. Configure las reglas que permiten a un usuario invitado utilizar estos servicios. DHCP entre los clientes inalámbricos y el servidor DHCP ICMP entre todos los dispositivos de la red DNS entre los clientes inalámbricos y el servidor DNS Telnet a una subred específica Reglas de configuración que permiten servicios de usuario invitado Esta sección muestra un ejemplo de cómo configurar las reglas para estos servicios. DHCP entre los clientes inalámbricos y el servidor DHCP ICMP entre todos los dispositivos de la red DNS entre los clientes inalámbricos y el servidor DNS Telnet a una subred específica 1. Para definir la regla para el servicio DHCP, seleccione los intervalos de IP de origen y destino. En este ejemplo se utiliza Any (Cualquiera) para el origen, lo que significa que se permite a cualquier cliente inalámbrico acceder al servidor DHCP. En este ejemplo, el servidor 172.16.1.1 actúa como servidor DHCP y DNS. Así pues, la dirección IP de destino es 172.16.1.1/255.255.255.255 (con una máscara de host). Puesto que DHCP es un protocolo basado en UDP, seleccione UDP en el campo desplegable Protocol (Protocolo). Si eligió TCP o UDP en el paso de anterior, aparecerán dos parámetros adicionales: Source Port (Puerto de origen) y Destination Port (Puerto de destino). Especifique los detalles de los puertos de origen y destino. Para esta regla, el puerto de origen es DHCP Client (Cliente DHCP) y el puerto de destino DHCP Server (Servidor DHCP). Seleccione la dirección en la que se debe aplicar la ACL. Puesto que esta regla es del cliente al servidor, en este ejemplo se utiliza Inbound (Entrante) En el cuadro desplegable Action (Acción), seleccione Permit (Permitir) para que esta ACL permita el envío de paquetes DHCP del cliente inalámbrico al servidor DHCP. El valor predeterminado es Deny (Denegar). Haga clic en Apply (Aplicar). Si el origen o el destino no son Any (Cualquiera), debe crearse una declaración inversa en la dirección opuesta. He aquí un ejemplo: 2. Para definir una regla que permita paquetes ICMP entre todos los dispositivos, seleccione Any (Cualquiera) para los campos Source (Origen) y Destination (Destino). Éste es el valor predeterminado. Seleccione ICMP en el campo desplegable Protocol (Protocolo). Puesto que este ejemplo utiliza el valor Any (Cualquiera) en los campos Source (Origen) y Destination (Destino), no es necesario especificar la dirección. Puede dejarse en su valor predeterminado Any (Cualquiera). Asimismo, no es necesaria la declaración inversa en la dirección opuesta. En el menú desplegable Action (Acción), seleccione Permit (Permitir) para que esta ACL permita paquetes DHCP del servidor DHCP al cliente inalámbrico. Haga clic en Apply (Aplicar). 3. De igual modo, cree reglas que permitan al servidor DNS acceder a todos los clientes inalámbricos y al servidor Telnet acceder al cliente inalámbrico para una subred determinada. He aquí algunos ejemplos. Defina esta regla para permitir al cliente inalámbrico acceder al servicio Telnet. En la página ACL > Edit (ACL > Editar) se enumeran todas las reglas definidas para la ACL. 4. Una vez creada la ACL, debe aplicarse a una interfaz dinámica. Para aplicar la ACL, seleccione Controller > Interfaces (Controlador > Interfaces) y edite la interfaz a la que desee aplicar la ACL. 5. En la página Interfaces > Edit (Interfaces > Editar) de la interfaz dinámica, seleccione la ACL adecuada en el menú desplegable Access Control Lists (Listas de control de acceso). He aquí un ejemplo: Una vez hecho esto, la ACL permite y deniega el tráfico (basándose en las reglas configuradas) de la WLAN que utiliza esta interfaz dinámica. Nota: Para obtener información sobre cómo crear una ACL utilizando la CLI del WLC, consulte Uso de la CLI para configurar listas de control de acceso (en inglés). Nota: En este documento se asume que se han configurado las WLAN y las interfaces dinámicas. Consulte Ejemplo de configuración de VLAN en controladores para redes LAN inalámbricas (en inglés) para obtener más información acerca de cómo crear interfaces dinámicas en WLC. Configuración de ACL de CPU Anteriormente, las ACL de WLC no tenían la opción de filtrar el tráfico de datos LWAPP, el tráfico de control LWAPP y el tráfico de movilidad destinado a las interfaces de administración y administrador AP. Para solucionar este problema y filtrar el tráfico LWAPP y de movilidad, se introdujeron las ACL de CPU con la versión 4.0 del firmware de WLC. La configuración de ACL de CPU consta de dos pasos: 1. Configuración de reglas para la ACL de CPU. 2. Aplicación de la ACL de CPU al WLC. Las reglas para la ACL de CPU se deben configurar de manera similar a las de las demás ACL. He aquí un ejemplo de ACL de CPU que permite tráfico de datos LWAPP y de control entre el controlador (con la dirección IP de interfaz de administración 172.16.1.40 y la dirección IP de la interfaz de administrador AP 172.16.1.41) y el LAP (con dirección IP 172.16.1.70). El tráfico de los demás LAP se filtra. Este ejemplo de ACL de CPU también permite tráfico de movilidad entre la interfaz de administración del controlador con dirección IP 172.16.1.40 y la interfaz de administración del controlador con dirección IP 172.16.1.30. Una vez creada la ACL de CPU, debe aplicarla al WLC. Introduzca estos comandos de la CLI del WLC para aplicar la ACL de CPU al WLC: <Cisco Controller>config acl cpu <name of the ACL> <wired/wireless/both> <Cisco Controller>config acl cpu CPU_ACL wired Introduzca este comando para desactivar la ACL de CPU: <Cisco Controller>config acl cpu none Nota: Este ejemplo proporciona una ilustración de cómo configurar las reglas para permitir tráfico LWAPP y de movilidad solamente. Cuando cree las reglas para la ACL, asegúrese de que se permitan todos los protocolos necesarios en la WLAN, puesto que hay una denegación implícita al final de cada ACL. Verificación Aunque no hay ningún procedimiento de verificación en el controlador, Cisco recomienda que se prueben las configuraciones de ACL con un cliente inalámbrico para asegurarse de que son correctas. Si no funcionan correctamente, compruebe las ACL en la página Web de ACL y que los cambios de las mismas se han aplicado a la interfaz del controlador. Resolución de problemas Actualmente, no hay información específica disponible sobre resolución de problemas para esta configuración. © 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 18 Abril 2008 http://www.cisco.com/cisco/web/support/LA/7/77/77779_acl-wlc.html