取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

WLC配置ACL限制访问

536
查看次数
0
有帮助
4
评论
默认情况下,我们的WLC没有对设备的访问进行限制,如果我们需要对WLC进行访问限制,可以尝试如下的方式。
步骤:
1、定义ACL名字
2、在ACL中添加Rule规则并应用
3、在CPU ACL中开启功能并调用前面定义的ACL名字,应用。
#测试#
此时我们是可以通过172.16.88.132 SSH&Telnet到WLC的。另外一台172.16.88.150也可以SSH。
121951jp4p2k4l7i5iplpi.png
然后我们开始进行限制
#配置#
如下是CLI的配置,过程显得有些复杂了,建议在WEBUI配置。
(Cisco Controller) >config
(Cisco Controller) config>
acl create LIMIT-CPU
acl apply LIMIT-CPU
acl counter start
acl rule add LIMIT-CPU 1
acl rule add LIMIT-CPU 2
acl rule add LIMIT-CPU 3
acl rule add LIMIT-CPU 4
acl rule action LIMIT-CPU 1 deny
acl rule action LIMIT-CPU 2 deny
acl rule action LIMIT-CPU 3 permit
acl rule action LIMIT-CPU 4 permit
acl rule destination address LIMIT-CPU 1 172.16.88.150 255.255.255.255
acl rule destination address LIMIT-CPU 2 172.16.88.150 255.255.255.255
acl rule destination address LIMIT-CPU 3 0.0.0.0 0.0.0.0
acl rule destination address LIMIT-CPU 4 0.0.0.0 0.0.0.0
acl rule destination port range LIMIT-CPU 1 23 23
acl rule destination port range LIMIT-CPU 2 22 22
acl rule destination port range LIMIT-CPU 3 0 65535
acl rule destination port range LIMIT-CPU 4 0 65535
acl rule source address LIMIT-CPU 1 172.16.88.132 255.255.255.255
acl rule source address LIMIT-CPU 2 172.16.88.132 255.255.255.255
acl rule source address LIMIT-CPU 3 0.0.0.0 0.0.0.0
acl rule source address LIMIT-CPU 4 0.0.0.0 0.0.0.0
acl rule source port range LIMIT-CPU 1 0 65535
acl rule source port range LIMIT-CPU 2 0 65535
acl rule source port range LIMIT-CPU 3 0 65535
acl rule source port range LIMIT-CPU 4 0 65535
acl rule direction LIMIT-CPU 1 In
acl rule direction LIMIT-CPU 2 In
acl rule direction LIMIT-CPU 3 In
acl rule direction LIMIT-CPU 4 Any
acl rule dscp LIMIT-CPU 1 Any
acl rule dscp LIMIT-CPU 2 0
acl rule dscp LIMIT-CPU 3 Any
acl rule dscp LIMIT-CPU 4 Any
acl rule protocol LIMIT-CPU 1 6
acl rule protocol LIMIT-CPU 2 6
acl rule protocol LIMIT-CPU 3 1
acl rule protocol LIMIT-CPU 4 Any
acl apply LIMIT-CPU
acl cpu both
WEBUI界面:
122121tni85ctli5txxp58.png122132uiqf61td1yzt16qf.png
这里rule 3和4分别放开了ICMP报文和其他所有报文。以便测试!
在CPU Access Control Lists部分调用。
125933wl2j0zj0qpmqjtzz.png
#测试#
可以看到SSH和Telnet都无法访问,而,另外一台终端可以访问。
130321qpxjup0xu0xpinpi.png130328u7uifki436nfbk64.png130334o3ovjkxyklmd9uld.png
测试172.16.88.132这个终端到WLC的ping包是可以通的。
C:\Users\Administrator>ping 172.16.88.150
正在 Ping 172.16.88.150 具有 32 字节的数据:
来自 172.16.88.150 的回复: 字节=32 时间<1ms TTL=64
来自 172.16.88.150 的回复: 字节=32 时间<1ms TTL=64
来自 172.16.88.150 的回复: 字节=32 时间=1ms TTL=64
来自 172.16.88.150 的回复: 字节=32 时间<1ms TTL=64
172.16.88.150 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 1ms,平均 = 0ms

#查看ACL命中情况#
130833zmqy3xo10yx8vbvt.png
评论
jiahao xian
Beginner
可以,实用,谢谢!
Rps-Cheers
Rising star
谢谢支持
wuhao0015
Rising star
先支持、收藏下再说。。。
Rps-Cheers
Rising star
thanks