- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
43-动态黑名单典型配置举例(V5)
本章节下载: 43-动态黑名单典型配置举例(V5) (205.18 KB)
动态黑名单典型配置举例(V5)
资料版本:6W114-20210416
Copyright © 2008-2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文介绍了AC使用动态黑名单功能实现对无线客户端进行接入控制的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解动态黑名单的特性。
如图1所示,AP和Client通过DHCP方式获取IP地址。现要求:在AC上配置动态黑名单功能,防止Client对设备进行泛洪攻击。
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
(1) 配置AC接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。
<AC> system-view
[AC] vlan 100
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 10.18.1.1 255.255.255.0
[AC-Vlan-interface100] quit
# 创建VLAN 200作为WLAN-ESS接口的缺省VLAN。
[AC-vlan100] quit
[AC] vlan 200
# 创建VLAN 300作为Client接入的业务VLAN,并配置VLAN 300的接口IP地址。
[AC-vlan200] quit
[AC] vlan 300
[AC-vlan200] quit
[AC] interface vlan-interface 300
[AC-Vlan-interface300] ip address 10.18.3.1 255.255.255.0
[AC-Vlan-interface300] quit
# 配置AC与Switch相连的接口GigabitEthernet1/0/1为Trunk模式,禁止VLAN 1报文通过,允许VLAN 100和VLAN 300通过,当前Trunk口的PVID为100。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 300
[AC-GigabitEthernet1/0/1] port trunk pvid vlan 100
[AC-GigabitEthernet1/0/1] quit
# 创建WLAN-ESS1接口,并进入该视图。
[AC] interface wlan-ess 1
# 配置端口的链路类型为Hybrid。
[AC-WLAN-ESS1] port link-type hybrid
# 配置WLAN-ESS1接口的缺省VLAN为VLAN 200,禁止VLAN 1通过并允许VLAN 200报文不带VLAN tag通过。
[AC-WLAN-ESS1] undo port hybrid vlan 1
[AC-WLAN-ESS1] port hybrid vlan 200 untagged
[AC-WLAN-ESS1] port hybrid pvid vlan 200
# 使能MAC VLAN功能。
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] quit
(2) 配置无线服务
# 创建clear类型的服务模板1。
[AC] wlan service-template 1 clear
# 设置服务模板1的SSID为office。
[AC-wlan-st-1] ssid office
# 将WLAN-ESS1接口绑定到服务模板1。
[AC-wlan-st-1] bind wlan-ess 1
# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。
[AC-wlan-st-1] authentication-method open-system
# 开启服务模板1。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(3) 配置射频接口并绑定服务模板
# 创建AP管理模板,名称为officeap,型号名称选择WA2620E-AGN。
[AC] wlan ap officeap model WA2620E-AGN
# 设置AP的序列号为21023529G007C000020。
[AC-wlan-ap-officeap] serial-id 21023529G007C000020
# 进入radio 1射频视图。
[AC-wlan-ap-officeap] radio 1
# 将在AC上配置的服务模板1映射到射频1,设置绑定到射频接口的VLAN编号为VLAN 300。
[AC-wlan-ap-officeap-radio-1] service-template 1 vlan-id 300
[AC-wlan-ap-officeap-radio-1] radio enable
[AC-wlan-ap-officeap-radio-1] quit
[AC-wlan-ap-officeap] quit
(4) 配置动态黑名单功能
# 在WLAN IDS视图下使能攻击检测功能。
[AC] wlan ids
[AC-wlan-ids] attack-detection enable all
# 在WLAN IDS视图下使能动态黑名单功能。
[AC-wlan-ids] dynamic-blacklist enable
[AC-wlan-ids] quit
# 创建VLAN 100和VLAN 300,其中VLAN 100用于转发AC和AP间LWAPP隧道内的流量,VLAN 300为无线客户端接入的VLAN。
<Switch> system-view
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] vlan 300
[Switch-vlan300] quit
# 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性Trunk,禁止VLAN 1报文通过,当前Trunk口的PVID为100,允许VLAN 100和VLAN 300通过。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 300
[Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100
[Switch-GigabitEthernet1/0/1] quit
# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,当前Access口允许VLAN 100通过。
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port access vlan 100
# 配置Switch与AP相连的GigabitEthernet1/0/2接口使能PoE功能。
[Switch-GigabitEthernet1/0/2] poe enable
[Switch-GigabitEthernet1/0/2] quit
# 配置Switch与DHCP服务器相连的GigabitEthernet1/0/3接口属性为Access,当前Access口允许VLAN 100通过。
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type access
[Switch-GigabitEthernet1/0/3] port access vlan 100
[Switch-GigabitEthernet1/0/3] quit
# 在Client发起泛洪攻击前,Client可以正常接入无线网络,通过display wlan client verbose命令可以观察到该Client。
<AC> display wlan client verbose
Total Number of Clients : 1
Client Information
-------------------------------------------------------------------------------
MAC Address : 000f-e2cc-ff01
User Name : -NA-
AID : 1
AP Name : ap1
Radio Id : 1
SSID : office
BSSID : 0023-8993-7550
Port : WLAN-DBSS1:1
VLAN : 300
State : Running
Power Save Mode : Active
Wireless Mode : 11an
QoS Mode : WMM
Listen Interval (Beacon Interval) : 10
RSSI : 10
Rx/Tx Rate : 48/36
Client Type : PRE-RSNA
Authentication Method : Open System
AKM Method : None
4-Way Handshake State : -NA-
Group Key State : -NA-
Encryption Cipher : Clear
Roam Status : Normal
Roam Count : 0
Up Time (hh:mm:ss) : 00:09:34
# Client发起攻击后,AC上可以检测到泛洪攻击,AC会将检测到的攻击源加入动态黑名单,在动态黑名单老化期内,AC会拒绝攻击源的关联请求。此时,可以在AC上使用display wlan ids statistics命令显示检测到的泛洪攻击。
<AC> display wlan ids statistics
Current attack tracking since: 2013-08-29/10:22:07
-------------------------------------------------------------------------------
Type Current Total
-------------------------------------------------------------------------------
Probe Request Frame Flood Attack 0 0
Authentication Request Frame Flood Attack 0 0
Deauthentication Frame Flood Attack 1 1
Association Request Frame Flood Attack 0 0
Disassociation Request Frame Flood Attack 0 0
Reassociation Request Frame Flood Attack 0 0
Action Frame Flood Attack 0 0
Null Data Frame Flood Attack 0 0
Weak IVs Detected 0 0
Spoofed Deauthentication Frame Attack 0 0
Spoofed Disassociation Frame Attack 0 0
-------------------------------------------------------------------------------
# 使用display wlan blacklist dynamic命令显示动态黑名单列表。
<AC> display wlan blacklist dynamic
Total Number of Entries : 1
Dynamic Blacklist
-------------------------------------------------------------------------------
MAC-Address Lifetime(s) Last Updated Since(hh:mm:ss) Reason
-------------------------------------------------------------------------------
000f-e2cc-ff01 300 00:00:04 Deauth-Flood
-------------------------------------------------------------------------------
# Client停止攻击后,经过黑名单老化时间,使用display wlan blacklist dynamic命令再次查看黑名单,已经没有信息。
<AC> display wlan blacklist dynamic
Info: Table is empty.
# 使用display wlan client verbose命令可以观察到无线客户端又重新上线。
<AC> display wlan client verbose
Total Number of Clients : 1
Client Information
-------------------------------------------------------------------------------
MAC Address : 000f-e2cc-ff01
User Name : -NA-
AID : 1
AP Name : ap1
Radio Id : 1
SSID : office
BSSID : 0023-8993-7550
Port : WLAN-DBSS1:1
VLAN : 300
State : Running
Power Save Mode : Active
Wireless Mode : 11an
QoS Mode : WMM
Listen Interval (Beacon Interval) : 10
RSSI : 10
Rx/Tx Rate : 48/36
Client Type : PRE-RSNA
Authentication Method : Open System
AKM Method : None
4-Way Handshake State : -NA-
Group Key State : -NA-
Encryption Cipher : Clear
Roam Status : Normal
Roam Count : 0
Up Time (hh:mm:ss) : 00:01:34
· AC:
#
wlan service-template 1 clear
ssid office
bind WLAN-ESS 1
authentication-method open-system
service-template enable
#
vlan 100
#
vlan 200
#
vlan 300
#
interface Vlan-interface100
ip address 10.18.1.1 255.255.255.0
#
interface Vlan-interface300
ip address 10.18.3.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 100 300
port trunk pvid vlan 100
#
interface WLAN-ESS1
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 200 untagged
port hybrid pvid vlan 200
mac-vlan enable
#
wlan ap officeap model WA2620E-AGN
serial-id 21023529G007C000020
radio 1
service-template 1 vlan-id 300
radio enable
#
wlan ids
dynamic-blacklist enable
attack-detection enable all
#
· Switch
#
vlan 100
#
vlan 300
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 100 300
port trunk pvid vlan 100
#
interface GigabitEthernet1/0/2
port link-type access
port access vlan 100
poe enable
#
interface GigabitEthernet1/0/3
port link-type access
port access vlan 100
#
· 《H3C无线控制器产品 配置指导》中的“安全配置指导”。
· 《H3C无线控制器产品 命令参考》中的“安全命令参考”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
