de listes d'accès filtres Configuration de listes d'accès filtres sur un point d'accès ccnp_cch ccnp_cch
Sommaire • Introduction - Prérequis - Composants utilisés • Rappel • Configuration - Filtres utilisant des listes d'accès Standard - Filtres utilisant des listes d'accès étendues - Filtres utilisant des ACLs basées MAC - Filtres utilisant des ACLs basées sur la date et l'heure • Vérification • Résolution de problèmes ccnp_cch
Introduction Rappel ccnp_cch Ce document explique comment configurer des filtres basés sur des ACLs (Access Con- trol Lists) sur les points d'accès Cisco Aironet en utilisant l'interface ligne de commande (CLI). Prérequis Cisco recommande que vous ayez des connaissances de base sur ces thèmes: La configuration d'une connexion sans-fil en utilisant un AP Aironet et un adaptateur client Aironet 802.11a/b/g. Les ACLs. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: AP Aironet Séries 1200 qui opère avec l' IOS® Cisco Software Release 12.3(7)JA1 Adaptateur client Aironet 802.11a/b/g Aironet Desktop Utility (ADU) Software Release 2.5 Rappel Vous pouvez utiliser des filtres sur les APs pour réaliser ces tâches: Restreindre l'accès au réseau LAN sans-fil (Wireless LAN) Fournir une couche de sécurité supplémentaire Vous pouvez utiliser différents types de filtres pour filtrer le trafic sur la base de: Protocoles spécifiques De l'adresse MAC de l'équipement client De l'adresse IP de l'équipement client Vous pouvez également activer des filtres pour restreindre le trafic issu d'utilisateurs du réseau LAN câblé. Les filtres d'adresses IP et d'adresses MAC permettent ou non l'acheminement de paquets unicast ou multicast qui sont transmis de ou vers une adresse IP ou MAC spécifique. Les filtres basés sur le protocole fournissent une méthode plus granulaire pour res- treindre l'accès à des protocoles spécifiques à travers les interfaces radio et Ethernet de l'AP. Vous pouvez utiliser une de ces méthodes pour configurer les filtres sur l'AP. Interface Web graphique Interface ligne de commande (CLI) ccnp_cch
Ce document explique comment utiliser les ACLs pour configurer es filtres avec la CLI. Vous pouvez utiliser la CLI pour configurer ces types de filtres basés sur les ACLs sur l'AP. Filtres qui utilisent les listes d'accès Standard Filtres qui utilisent les listes d'accès Etendues Filtres qui utilisent les listes d'accès d'adresses MAC Note: Le nombre d'entrées autorisées pour une ACL est limité par la CPU de l'AP. S'il y a un trop grand nombre d'entrées à ajouter à une ACL, par exemple le filtrage d'une liste d'adresses MAC de clients, utilisez un commutateur qui peut réaliser cette tâche dans le réseau. Configuration Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Toutes les configurations présentées dans ce document présument qu'une connexion sans-fil est déjà établie. Ce document se focalise seulement sur comment utiliser la CLI pour configurer des filtres. Si vous n'avez pas de connexion sans-fil de base, référez vous à "Configurer une connexion sans-fil de base". Filtres utilisant des listes d'accès standard Vous pouvez utiliser des ACLs standard pour autoriser ou interdire l'entrée d'équipe- ments clients dans le réseau sans-fil sur la base de l'adresse IP du client. Les ACLs standard comparent l'adresse source des paquets IP avec l'adresse qui a été configurée dans l'ACL pour contrôler le trafic. Ce type d'ACL peut être référencé comme ACL de basée sur l'adresse IP source. Le format de la commande d'une ACL standard est access-list access-list-number {permit|deny} {host ip-address | source_ip_address_wilcard | any}. Dans la release 12.3(7)JA de l'IOS Cisco, le numéro d'ACL peut être un nombre de 1 à 99. Les ACLs standard peuvent utiliser l'intervalle 1300 à 1399. Ces numéros d'ACLs supplémentaires étendent les numéros d'ACLs IP. Quand une ACL standard est configurée pour refuser un accès à un client, le client reste associé à l'AP. Cependant il n'y a pas de communication de données entre l'AP et le client. Cet exemple montre une ACL standard configurée pour filtrer l'adresse IP 10.0.0.2 du client à partir de l'interface sans-fil (interface radio 0). L'adresse IP de l'interface de l'AP est 10.0.0.1. Après que cela ait été fait, le client dont l'adresse IP est 10.0.0.2 ne peut pas transmet- tre ou recevoir de données dans le réseau sans-fil même si le client est associé avec l'AP. ccnp_cch
Exécutez ces étapes pour créer une ACL standard avec la CLI: 1 Exécutez ces étapes pour créer une ACL standard avec la CLI: 1. Logguez-vous sur l'AP avec la CLI. Utilisez le port console ou Telnet pour accéder à l'AP par l'interface Ethernet ou l'interface sans-fil. 2. Entrez en mode de configuration global sur l'AP. AP#configure terminal 3. Entrez ces commandes pour créer la liste d'accès standard. AP(config)#access−list 25 deny host 10.0.0.2 !−−− Crée l'ACL standard 25 pour interdire l'accès !−−− au client dont l'adresse IP est IP 10.0.0.2. AP(config)#access−list 25 permit any !−−− Autorise tous les autres hosts à accéder au réseau. 4. Entrez ces commandes pour appliquer cette ACL à l'interface radio. AP(config)#interface Dot11Radio 0 AP(config−if)#ip access−group 25 in !−−− Applique l'ACL standard à l'interface radio 0. Vous pouvez également créer une ACL standard nommée (NACL). La NACL utilise un nom à la place d'un numéro pour définir l'ACL. AP#configure terminal AP(config)#ip access−list standard name AP(config)#permit | deny {host ip−address | source−ip [source−wildcard] | any} log Entrez ces commandes utiliser une NACL standard pour refuser l'accès au réseau sans fil pour le host 10.0.0.2. AP#configure terminal AP(config>#ip access−list standard TEST !−−− Crée une NACL standard TEST. AP(config−std−nacl)#deny host 10.0.0.2 !−−− Interdit l'accès au réseau pour le client dont l'adresse IP !−−− est 10.0.0.2 AP(config−std−nacl)#permit any AP(config−std−nacl)#exit !−−− Sortie du mode de configuration global. AP(config)#interface Dot11Radio 0 !−−− Entre en mode de configuration interface dot11 radio0. AP(config−if)#ip access−group TEST in !−−− Applique la NACL standard à l'interface radio. ccnp_cch
Filtres utilisant des listes d'accès étendues Les ACLs étendues comparent les adresses source et destination des paquets IP aux adresses qui sont configurées dans l'ACL pour contrôler le trafic. Les ACLs étendues fournissent également un moyen pour filtrer le trafic sur la base de protocoles spécifi- ques. Cela fournit plus de granularité de contrôle pour l'implémentation de filtres sur un réseau sans-fil. Les ACLs étendues autorisent un client à accéder à certaines ressources du réseau tout en interdisant au client l'accès à d'autres ressources du réseau. Par exemple, vous pouvez implémenter un filtre qui autorise le trafic DHCP et Telnet pour le client tout en interdisant tout autre trafic. Ceci est la syntaxe de la commande des ACLs étendues: access−list access−list−number [dynamic dynamic−name [timeout minutes]] {deny | permit} protocol source source−wildcard destination destination−wildcard [precedence precedence] [tos tos] [log | log−input] [time−range time−range−name] Dans la release 12.3(7)JA de l'IOS Cisco, les ACLs étendues peuvent utiliser des numé- ros dans l'intervalle 100 à 199. Les ACLs étendues peuvent également utiliser l'inter- valle 2600 à 2099. Cela étend l'intervalle des ACLs étendues. Note: Le mot-clé log à la fin de chaque entrée individuelle de l'ACL montre: Nom et numéro d'ACL Si le paquet a été permis ou rejeté Une information spécifique au port Les ACLs étendues peuvent également utiliser des noms à la place de numéros. Ceci est la syntaxe pour créer un NACL étendue. ip access−list extended name {deny | permit} protocol source source−wildcard Cette exemple de configuration utilise des ACLs étendues nommées (NACLs). La de- mande est que la liste d'accès étendue (NACL) doit autoriser le trafic Telnet pour les clients. Vous devez interdire tous les autres protocoles sur le réseau sans-fil. Les clients utilisent également DHCP pour obtenir une adresse IP. Vous devez créer une liste d'accès étendue qui: Autorise le trafic DHCP et Telnet Rejette tous les autres types de trafic Une fois que cette ACL étendue est appliquée à l'interface radio, les clients s'associent avec l'AP et obtiennent une adresse IP du serveur DHCP. Les clients sont également capables d'utiliser Telnet. Tous les autres types de trafic sont rejetés. ccnp_cch
Filtres utilisant des ACLs basées sur les adresses MAC Exécutez ces étapes pour créer une ACL étendue sur l'AP. 1. Logguez-vous sur l'AP à l'aide de la CLI. Utilisez le port console ou Telnet pour accéder à l'AP par l'interface Ethernet ou l'interface sans-fil. 2. Entrez en mode de configuration global sur l'AP. AP#configure terminal 3. Entrez ces commandes pour créer l'ACL étendue. AP(config)#ip access−list extended Allow_DHCP_Telnet !−−− Crée l'ACL étendue Allow_DHCP_Telnet. AP(config−extd−nacl)#permit tcp any any eq telnet !−−− Autorise le trafic Telnet. AP(config−extd−nacl)#permit udp any any eq bootpc !−−− Autorise le trafic DHCP. AP(config−extd−nacl)#permit udp any any eq bootps AP(config−extd−nacl)#deny ip any any !−−− Rejette tous les autres types de trafic. AP(config−extd−nacl)#exit !−−− Retour en mode de configuration global. 4. Entrez ces commandes pour appliquer l'ACL. AP(config)#interface Dot11Radio 0 AP(config−if)#ip access−group Allow_DHCP_Telnet in !−−− Applique l'ACL étendue Allow_DHCP_Telnet !−−− à l'interface radio 0. Filtres utilisant des ACLs basées sur les adresses MAC Vous pouvez utiliser des filtres basés sur les adresses MAC pour filtrer les équipe- ments clients sur la base des adresses MAC. Quand un client est rejeté par un filtre basé sur l'adresse MAC, le client ne peut pas s'associer avec l'AP. Les filtres d'adresses MAC autorisent ou interdisent l'acheminement des paquets uni- cast ou multicast soit transmis ou reçus d'adresses MAC spécifiques. ccnp_cch
Ceci est la syntaxe de la commande pour créer une ACL basée sur l'adresse MAC sur l'AP. access−list access−list−number {permit | deny} 48−bit−hardware−address 48−bit−hardware−address−mask Dans la release 12.3(7)JA de l'IOS Cisco, les ACLs MAC peuvent utiliser des numéros dans l'intervalle 700 à 799. Elles peuvent également utiliser des numéros dans l'inter- valle 1100 à 1199. Cet exemple illustre comment configurer un filtre basé sur une adresse MAC avec la CLI pour filtrer le client dont l'adresse MAC est 0040.96a5.b5d4. 1. Logguez-vous sur l'AP à l'aide de la CLI. Utilisez le port console ou Telnet pour accéder à l'AP par l'interface Ethernet ou l'interface sans-fil. 2. Entrez en mode de configuration global sur l'AP. AP#configure terminal 3. Entrez ces commandes pour créer l'ACL MAC numéro 700. Cette ACL n'autorise pas le client avec l'adresse MAC 00.40.96a5.b5d4 à s'associer avec l'AP. access−list 700 deny 0040.96a5.b5d4 0000.0000.0000 !−−− Cette ACL rejette tout le trafic de et vers le client !−−− dont l'adresse MAC est 0040.96a5.b5d4. 4. Entrez cette commande pour appliquer cette ACL basée sur l'adresse MAC à l'inter- face radio. dot11 association mac−list 700 !−−− Applique l'ACL basée sur l'adresse MAC. Après avoir configuré ce filtre sur l'AP, le client avec cette adresse MAC qui était asso- cié avec l'AP est désassocié. La console de l'AP affiche ce message: AccessPoint# *Mar 1 01:42:36.743: %DOT11−6−DISASSOC: Interface Dot11Radio0, Deauthenticating Station 0040.96a5.b5d4 ccnp_cch
ccnp_cch Filtres utilisant des ACLs basées sur la date et l'heure Les ACLs basées sur la date et l'heure sont des ACLs qui peuvent être activées ou non pour une période de temps donnée. Cette capacité fournit de la robustesse et de la flexibilité pour définir des stratégies de contrôle d'accès qui autorisent ou rejettent certains types de trafic. Cet exemple illustre comment configurer une ACL basée sur le temps avec la CLI, dans laquelle la connexion Telnet est permise depuis le réseau interne vers le réseau externe pendant les horaires de travail les jours ouvrables. Note: Une ACL basée sur la date et l'heure peut être définie soit sur le port Ethernet soit sur le port radio de l'AP Aironet selon vos besoins 1. Logguez-vous sur l'AP à l'aide de la CLI. Utilisez le port console ou Telnet pour accéder à l'AP par l'interface Ethernet ou l'interface sans-fil. 2. Entrez en mode de configuration global sur l'AP. AP#configure terminal 3. Créez un intervalle de temps. Pour cela, entrez cette commande en mode de confi- guration global. AP(config)#time−range Test !−−− Crée un intervalle de temps appelé Test. AP(config−time−range)# periodic weekdays 7:00 to 19:00 !−−− Autorise l'accès aux utilisateurs les jours de la semaine de !--- de7H00 à 19H00. 4. Créez l'ACL 101. AP(config)# ip access−list extended 101 AP(config−ext−nacl)#permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq telnet time−range test !−−− Cette ACL permet le trafic Telnet de et vers le réseau !−−− dans l'intervalle de temps spécifié par Test. 5. Entrez cette commande pour appliquer l'ACL basée sur la date et l'heure à l'interfa- ce FastEthernet. interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access−group 101 in !−−− Applique cette ACL basée sur la date et l'heure. ccnp_cch
Vérification Il n'y a pas de procédure de vérification disponible pour cette configuration. Résolution de problèmes Utilisez cette section pour résoudre des problèmes de configuration. Exécutez ces étapes pour retirer une ACL d'une interface. 1. Entrez en mode de configuration interface. 2. Entrez no devant la commande ip access group comme le montre cet exemple. interface interface no ip access−group {access−list−name | access−list−number} {in | out} Vous pouvez également utiliser la commande show access-list name | number pour résoudre les problèmes de votre configuration. La commande show ip access-list four- nit le compte de paquets qui montre quelle(s) entrée(s) de l'ACL a été utilisée. Evitez l'usage simultané de la CLI et de l'interface graphique basée sur un navigateur web pour configurer l'équipement sans-fil. Si vous configurez l'équipement sans-fil avec la CLI, l'interface web peut afficher une interprétation incorrecte de la configuration. Toutefois, cette mauvaise interprétation ne signifie pas que l'équipement sans-fil soit mal configuré. Par exemple si vous configurez des ACLs avec la CLI, l'interface web peut afficher ce message: Si vous voyez ce message, utilisez la CLI pour effacer les ACLs et utilisez l'interface web pour les reconfigurer. ccnp_cch