由浅入深玩转华为WLAN—23 Traffic-filter（ACL）在WLAN无线场景的应用

简介

Traffic-Filter（ACL）在WLAN应用场景比较适合在一个企业网络架构中，无线提供多种业务转发，包括给访客Guest的，以及内部员工的，我们希望访客只能访问internet，而内部员工限制则少很多，这时候可以通过在无线上面部署ACL来实现控制，当然其实也可以在三层网关上面做访问控制，但是在无线AP上面直接就Drop了，更加直接。

掌握目标

1、网络初始化（交换机、路由器配置）
2、WLAN业务基本配置（AP上线、AP业务配置，下发业务）
3、直接转发模式下ACL的配置应用与测试
4、隧道转发模式下ACL的配置应用与测试
5、查看AP下发配置

拓扑说明：模拟一个企业无线网络环境，左边AP处于前门大厅主要提供给访问无线接入访问Internet，也同时提供给内部员工接入使用，右边AP只提供给内部员工使用，领导希望当访问接入Guest的SSID的时候，不需要验证，直接接入，并且只能访问Internet网络，不能访问内部网络，而内部员工接入Intranet SSID的时候，需要通过密码认证（实际中更加用dot1x），并且能够访问内部网络，但是希望只能访问服务器，不能访问财务部，同时能访问外网。

管理VLAN 100：192.168.100.0/24 GW 192.168.100.254 AC：192.168.100.1
Guest SSID：VLAN 101：192.168.101.0/24 GW：192.168.101.254
Intranet SSID：VLAN 102：192.168.102.0/24 GW：192.168.102.254
服务器区域：VLAN 99 ：192.168.99.0/24 GW：192.168.99.254
财务部： VLAN 88：192.168.88.0/24 GW ：192.168.88.254

1、基本网络初始化（交换机与路由器的配置）

说明：对于基本网络初始化不会在做过多说明，前面文章都有详细讲解。关于端口号可以对应拓扑

1.1 交换机配置
[SW]vlan batch 88 99 to 102

[SW]interface g0/0/1
[SW-GigabitEthernet0/0/1]port link-type trunk
[SW-GigabitEthernet0/0/1]port trunk pvid vlan 100
[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101

[SW]int g0/0/2
[SW-GigabitEthernet0/0/2]port link-type access
[SW-GigabitEthernet0/0/2]port default vlan 100

[SW]int g0/0/3
[SW-GigabitEthernet0/0/3]port link-type trunk
[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 102

[SW]int g0/0/5
[SW-GigabitEthernet0/0/5]port link-type access
[SW-GigabitEthernet0/0/5]port default vlan 88

[SW]int g0/0/6
[SW-GigabitEthernet0/0/6]port link-type access
[SW-GigabitEthernet0/0/6]port default vlan 99

[SW]dhcp enable

[SW]interface vlan 100
[SW-Vlanif100]ip address 192.168.100.254 24
[SW-Vlanif100]dhcp select interface

[SW]int vlan 101
[SW-Vlanif101]ip address 192.168.101.254 24
[SW-Vlanif101]dhcp select interface

[SW]interface vlan 102
[SW-Vlanif102]ip address 192.168.102.254 24
[SW-Vlanif102]dhcp select interface

[SW]interface vlan 88
[SW-Vlanif88]ip address 192.168.88.254 24

[SW]interface vlan 99
[SW-Vlanif99]ip address 192.168.99.254 24

[SW]int vlan 1 【与路由器对接】
[SW-Vlanif1]ip address 192.168.1.1 30

[SW]ip route-static 0.0.0.0 0 192.168.1.2

1.2 出口路由器配置

[GW]int g0/0/0
[GW-GigabitEthernet0/0/0]ip address 192.168.1.2 30

[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]ip address 202.100.1.1 30

[GW]ip route-static 0.0.0.0 0 202.100.1.2
[GW]ip route-static 192.168.101.0 24 192.168.1.1
[GW]ip route-static 192.168.102.0 24 192.168.1.1

[GW]acl number 3000
[GW-acl-adv-3000]rule permit ip source any

[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat outbound 3000

2、WLAN的基本业务配置

对于WLAN的基本业务配置，可以之前的文档，这里就不在讲解了。（前面20篇都有详细讲解）

测试下基本网络是否联通的

左边AP提供访客与Intranet的业务转发，这时候一个客户端接入访问网络。

3、直接转发模式下ACL的配置应用与测试

在直接转发模式下ACL限制直接在服务集里面调用即可。

定义了一个ACL 3000，deny了访问内网网段192.168.0.0/16，直接一个大的范围，然后华为的ACL默认是permit any any的。

然后直接调用在服务集下面。

这时候在测试

4、隧道转发模式下ACL的配置应用与测试

在隧道模式下的话，直接可以在WLAN-ESS接口来调用

定义了ACL 3001，限制内网访问财务部，然后直接在WLAN-ESS接口调用即可

测试效果。

5、查看AP得到的配置

为什么就能够实现ACL的效果呢，到低是AP给拒绝的，还是AC上面呢。

该AP（右边这台）可以看到配置里面已经有ACL 3000与3001了，但是它到低应用的哪个呢。

可以看到一个都没有应用，为什么？因为该AP用的是隧道转发模式，由AC来做决断的。

这时候我们在AC上面display查看，可以看到总共匹配了8个包，然后丢弃了8个包，说明是数据从AP发送给AC，然后由AC的wlan-ess接口进行处理。

这时候在看左边的。

可以看到在左边的交换机上面就不一样了，能看到对应的ACL应用，因为它是直接转发的，数据包不会交给AC处理。

所以这里由AP处理。

总结：在常见的企业无线应用中可能经常会用到ACL技术，可以根据模式的不同来选择在哪部署，并且要了解华为ACL的特性，默认都是允许所有的，这个跟思科不一样。

如果大家有任何疑问或者文中有错误跟疏忽的地方，欢迎大家留言指出，博主看到后会第一时间修改，谢谢大家的支持，更多技术文章尽在网络之路Blog（其他平台同名），版权归网络之路Blog所有，原创不易，侵权必究，觉得有帮助的，关注、转发、点赞支持下！~。