简介
Traffic-Filter(ACL)在WLAN应用场景比较适合 在一个企业网络架构中,无线提供多种业务转发,包括给访客Guest的,以及内部员工的,我们希望访客只能访问internet,而内部员工限制则少很多,这时候可以通过在无线上面部署ACL来实现控制,当然其实也可以在三层网关上面做访问控制,但是在无线AP上面直接就Drop了,更加直接。
掌握目标
1、网络初始化(交换机、路由器配置)
2、WLAN业务基本配置(AP上线、AP业务配置,下发业务)
3、直接转发模式下ACL的配置应用与测试
4、隧道转发模式下ACL的配置应用与测试
5、查看AP下发配置
拓扑说明:模拟一个企业无线网络环境,左边AP处于前门大厅主要提供给访问无线接入访问Internet,也同时提供给内部员工接入使用,右边AP只提供给内部员工使用,领导希望当访问接入Guest的SSID的时候,不需要验证,直接接入,并且只能访问Internet网络,不能访问内部网络,而内部员工接入Intranet SSID的时候,需要通过密码认证(实际中更加用dot1x),并且能够访问内部网络,但是希望只能访问服务器,不能访问财务部,同时能访问外网。
管理VLAN 100:192.168.100.0/24 GW 192.168.100.254 AC:192.168.100.1
Guest SSID:VLAN 101:192.168.101.0/24 GW:192.168.101.254
Intranet SSID:VLAN 102:192.168.102.0/24 GW:192.168.102.254
服务器区域:VLAN 99 :192.168.99.0/24 GW:192.168.99.254
财务部: VLAN 88:192.168.88.0/24 GW :192.168.88.254
1、基本网络初始化(交换机与路由器的配置)
说明:对于基本网络初始化不会在做过多说明,前面文章都有详细讲解。关于端口号可以对应拓扑
1.1 交换机配置
[SW]vlan batch 88 99 to 102
[SW]interface g0/0/1
[SW-GigabitEthernet0/0/1]port link-type trunk
[SW-GigabitEthernet0/0/1]port trunk pvid vlan 100
[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101
[SW]int g0/0/2
[SW-GigabitEthernet0/0/2]port link-type access
[SW-GigabitEthernet0/0/2]port default vlan 100
[SW]int g0/0/3
[SW-GigabitEthernet0/0/3]port link-type trunk
[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 102
[SW]int g0/0/5
[SW-GigabitEthernet0/0/5]port link-type access
[SW-GigabitEthernet0/0/5]port default vlan 88
[SW]int g0/0/6
[SW-GigabitEthernet0/0/6]port link-type access
[SW-GigabitEthernet0/0/6]port default vlan 99
[SW]dhcp enable
[SW]interface vlan 100
[SW-Vlanif100]ip address 192.168.100.254 24
[SW-Vlanif100]dhcp select interface
[SW]int vlan 101
[SW-Vlanif101]ip address 192.168.101.254 24
[SW-Vlanif101]dhcp select interface
[SW]interface vlan 102
[SW-Vlanif102]ip address 192.168.102.254 24
[SW-Vlanif102]dhcp select interface
[SW]interface vlan 88
[SW-Vlanif88]ip address 192.168.88.254 24
[SW]interface vlan 99
[SW-Vlanif99]ip address 192.168.99.254 24
[SW]int vlan 1 【与路由器对接】
[SW-Vlanif1]ip address 192.168.1.1 30
[SW]ip route-static 0.0.0.0 0 192.168.1.2
1.2 出口路由器配置
[GW]int g0/0/0
[GW-GigabitEthernet0/0/0]ip address 192.168.1.2 30
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]ip address 202.100.1.1 30
[GW]ip route-static 0.0.0.0 0 202.100.1.2
[GW]ip route-static 192.168.101.0 24 192.168.1.1
[GW]ip route-static 192.168.102.0 24 192.168.1.1
[GW]acl number 3000
[GW-acl-adv-3000]rule permit ip source any
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat outbound 3000
2、WLAN的基本业务配置
对于WLAN的基本业务配置,可以之前的文档,这里就不在讲解了。(前面20篇都有详细讲解)
测试下基本网络是否联通的
左边AP提供访客与Intranet的业务转发,这时候一个客户端接入访问网络。
3、直接转发模式下ACL的配置应用与测试
在直接转发模式下ACL限制直接在服务集里面调用即可。
定义了一个ACL 3000,deny了访问内网网段192.168.0.0/16,直接一个大的范围,然后华为的ACL默认是permit any any的。
然后直接调用在服务集下面。
这时候在测试
4、隧道转发模式下ACL的配置应用与测试
在隧道模式下的话,直接可以在WLAN-ESS接口来调用
定义了ACL 3001,限制内网访问财务部,然后直接在WLAN-ESS接口调用即可
测试效果。
5、查看AP得到的配置
为什么就能够实现ACL的效果呢,到低是AP给拒绝的,还是AC上面呢。
该AP(右边这台)可以看到配置里面已经有ACL 3000与3001了,但是它到低应用的哪个呢。
可以看到一个都没有应用,为什么?因为该AP用的是隧道转发模式,由AC来做决断的。
这时候我们在AC上面display查看,可以看到总共匹配了8个包,然后丢弃了8个包,说明是数据从AP发送给AC,然后由AC的wlan-ess接口进行处理。
这时候在看左边的。
可以看到在左边的交换机上面就不一样了,能看到对应的ACL应用,因为它是直接转发的,数据包不会交给AC处理。
所以这里由AP处理。
总结:在常见 的企业无线应用中可能经常会用到ACL技术,可以根据模式的不同来选择在哪部署,并且要了解华为ACL的特性,默认都是允许所有的,这个跟思科不一样。
本文首发于公众号:网络之路博客