我正在尝试从我的网络中过滤特定设备。MAC 或 IP 地址过滤都可以解决问题,但我找不到要使用的确切 Cisco IOS 命令。我的路由器是 Cisco 870,设备通过 wifi 连接(如果这有区别的话)。
我需要一个相当简单的设置,可以轻松打开和关闭。这是为了开发目的,我需要模拟特定设备的连接变化,而不会打扰连接到同一路由器的其他人。
ACL 似乎是某些人建议的方法,但是在配置思科路由器方面我是新手,不知道如何具体使用它们。
编辑:
Kyle 提到的命令并不完全按照输入的方式工作,但是当我运行下面调整后的命令时,它似乎不起作用:
ip access-list extended demo
deny ip host 192.168.3.33 any
permit ip any any
exit
interface Vlan 1
ip access-group demo in
Vlan 1 是设备连接的虚拟接口。我还尝试在
interface Dot11Radio 0
但那也不起作用。路由器没有给出任何错误,但设备仍然可以访问网络。提示?
答案1
你可能想看看使用基于 MAC 地址的 ACL 的过滤器。
您能提供有关您正在运行的硬件/软件的详细信息吗?
更新:
因此,根据你提供的信息,我相信这一点是正确答案。来自上面链接的文档:
AP# configure terminal
AP<config># access-list 700 deny 0040.96a5.b5d4 0000.0000.0000
!--- This ACL denies all traffic to and from
!--- the client with MAC address 0040.96a5.b5d4.
AP<config># interface Dot11Radio0.1
!--- Or whatever the radio interface is
AP<config># dot11 association mac-list 700
答案2
基本上,正如您提到的那样,您希望使用 ACL 阻止接口。经验法则是尽可能靠近源头阻止它。因此,您可以使用类似以下方法:
ip access-list extended Wifi-In
ip deny host 192.168.1.140 any
ip permit any any
此 acl 表示阻止任何源 IP 为 192.168.1.140 的事物通过。要使其发挥作用,您必须将其应用于接口。
然后您可以使用以下命令将其应用到无线接口:
int Wlan0/0
ip access-group Wifi-In in
我的语法并不准确,但基本思路是这样的。如果你发布配置的相关部分(可能想要审查任何密码和公共 IP),我们也许可以给你一个更好的答案。
答案3
如果您的硬件支持:
access-list 700 deny 0003.fd1b.8700
access-list 700 permit 0.0.0 ffff.ffff.ffff
int Wlan0/0
mac access-group 700 in
应该可以解决问题。