(Cisco Controller) >show acl cpu
CPU Acl Name................................ NOT CONFIGURED
Wireless Traffic............................ Disabled
Wired Traffic............................... Disabled
Можно прийти к заключению что:
· Telnet и HTTP не будут доступны, таким образом, весь интерактивный управляющий трафик к контроллеру будет сделан через (зашифрованный) HTTPS/SSH.
· Пользователь беспроводной связи, привязанный к этому контроллеру, не будет в состоянии получить административный доступ.
· Если пользователь беспроводной связи, привязанный к этому контроллеру, сделает сканирование портов, то он будет show SSH и HTTP как открытые, даже при том, что не позволен никакой административный доступ. Если вы не можете решить проблему, обратитесь в компанию, занимающуюся ит аутсорсингом.
· Если проводной пользователь (тот же VLAN как динамический интерфейс) сделает сканирование портов, то он будет show SSH и HTTP как открытые, даже при том, что не позволен никакой административный доступ.
Следует отметить, что в средах с несколькими контроллерами на той же мобильной группе, отношение того, что является беспроводным клиентом, только к в настоящее время связанному контроллеру. Поэтому, если один клиент привязан к контроллеру A, то для контроллера B на той же мобильной группе, этот клиент является устройством, прибывающим из VLAN/динамического интерфейса. Это важно для принятия во внимание на менеджменте по беспроводной установке. См. эту схему для примера того, куда поместить ограничение трафика, и какие команды могут влиять на каждую точку входа:
ACL ЦПУ
Каждый раз, когда вы хотите управлять, какие устройства могут говорить с основным CPU, ACL ЦПУ используется. Важно упомянуть несколько характеристик для них:
· ACL ЦПУ только трафик фильтрации к ЦПУ, и не любой выход трафика или генерируемый ЦПУ. Переходите на IT- аутсорсинг и забудьте о проблемах.
Примечание. Для серии 5500 WLC в версиях 6.0 и позже, ACL ЦПУ применим для трафика, инициируемого из WLC также. Для других платформ WLC это поведение внедрено в версиях 7.0 и позже. Кроме того, когда создающие поля направления ACL ЦПУ не оказывают любое влияние.
· Полная поддержка для ACL ЦПУ для всего IP - управления контроллера и динамических адресов только присутствует на 4.2.130.0 и позже.
· ACL ЦПУ, блокирующие трафик сервисного порта, только присутствуют в 5.0 и позже.
· Когда ACL ЦПУ разработан, важно позволить контрольный трафик между контроллерами. Команда правил sh может открыть быстрый вид трафика, разрешенного к ACL ЦПУ на обычных условиях.
· Контроллер имеет ряд правил фильтрации для внутренних процессов, которые могут быть проверены с командой правил sh. ACL не влияют на эти правила, и при этом эти правила не могут модифицироваться на лету. ACL ЦПУ имеет приоритет по ним.
· На LWAPP или трафик данных CAPWAP не влияют правила ACL ЦПУ о 4400 базирующихся контроллерах, на контрольный трафик влияют (при выполнении строгого ACL, необходимо явно разрешить его).
Примечание. На контрольный трафик CAPWAP не влияют ACL ЦПУ.