• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C无线控制器典型配置案例集(V5)-6W114

目录

43-动态黑名单典型配置举例(V5)

本章节下载 43-动态黑名单典型配置举例(V5)  (205.18 KB)

43-动态黑名单典型配置举例(V5)

动态黑名单典型配置举例(V5)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W114-20210416

 

Copyright © 2008-2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文介绍了AC使用动态黑名单功能实现对无线客户端进行接入控制的典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解动态黑名单的特性。

3  配置举例

3.1  组网需求

图1所示,AP和Client通过DHCP方式获取IP地址。现要求:在AC上配置动态黑名单功能,防止Client对设备进行泛洪攻击。

图1 动态黑名单配置组网图

 

3.2  配置注意事项

配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。

3.3  配置步骤

3.3.1  AC的配置

(1)     配置AC接口

# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

<AC> system-view

[AC] vlan 100

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 10.18.1.1 255.255.255.0

[AC-Vlan-interface100] quit

# 创建VLAN 200作为WLAN-ESS接口的缺省VLAN。

[AC-vlan100] quit

[AC] vlan 200

# 创建VLAN 300作为Client接入的业务VLAN,并配置VLAN 300的接口IP地址。

[AC-vlan200] quit

[AC] vlan 300

[AC-vlan200] quit

[AC] interface vlan-interface 300

[AC-Vlan-interface300] ip address 10.18.3.1 255.255.255.0

[AC-Vlan-interface300] quit

# 配置AC与Switch相连的接口GigabitEthernet1/0/1为Trunk模式,禁止VLAN 1报文通过,允许VLAN 100和VLAN 300通过,当前Trunk口的PVID为100。

[AC] interface gigabitethernet 1/0/1

[AC-GigabitEthernet1/0/1] port link-type trunk

[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 300

[AC-GigabitEthernet1/0/1] port trunk pvid vlan 100

[AC-GigabitEthernet1/0/1] quit

# 创建WLAN-ESS1接口,并进入该视图。

[AC] interface wlan-ess 1

# 配置端口的链路类型为Hybrid。

[AC-WLAN-ESS1] port link-type hybrid

# 配置WLAN-ESS1接口的缺省VLAN为VLAN 200,禁止VLAN 1通过并允许VLAN 200报文不带VLAN tag通过。

[AC-WLAN-ESS1] undo port hybrid vlan 1

[AC-WLAN-ESS1] port hybrid vlan 200 untagged

[AC-WLAN-ESS1] port hybrid pvid vlan 200

# 使能MAC VLAN功能。

[AC-WLAN-ESS1] mac-vlan enable

[AC-WLAN-ESS1] quit

(2)     配置无线服务

# 创建clear类型的服务模板1。

[AC] wlan service-template 1 clear

# 设置服务模板1的SSID为office。

[AC-wlan-st-1] ssid office

# 将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1] bind wlan-ess 1

# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。

[AC-wlan-st-1] authentication-method open-system

# 开启服务模板1。

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

(3)     配置射频接口并绑定服务模板

# 创建AP管理模板,名称为officeap,型号名称选择WA2620E-AGN。

[AC] wlan ap officeap model WA2620E-AGN

# 设置AP的序列号为21023529G007C000020。

[AC-wlan-ap-officeap] serial-id 21023529G007C000020

# 进入radio 1射频视图。

[AC-wlan-ap-officeap] radio 1

# 将在AC上配置的服务模板1映射到射频1,设置绑定到射频接口的VLAN编号为VLAN 300

[AC-wlan-ap-officeap-radio-1] service-template 1 vlan-id 300

[AC-wlan-ap-officeap-radio-1] radio enable

[AC-wlan-ap-officeap-radio-1] quit

[AC-wlan-ap-officeap] quit

(4)     配置动态黑名单功能

# 在WLAN IDS视图下使能攻击检测功能。

[AC] wlan ids

[AC-wlan-ids] attack-detection enable all

# 在WLAN IDS视图下使能动态黑名单功能。

[AC-wlan-ids] dynamic-blacklist enable

[AC-wlan-ids] quit

3.3.2  Switch的配置

# 创建VLAN 100和VLAN 300,其中VLAN 100用于转发AC和AP间LWAPP隧道内的流量,VLAN 300为无线客户端接入的VLAN。

<Switch> system-view

[Switch] vlan 100

[Switch-vlan100] quit

[Switch] vlan 300

[Switch-vlan300] quit

# 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性Trunk,禁止VLAN 1报文通过,当前Trunk口的PVID为100,允许VLAN 100和VLAN 300通过。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 300

[Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100

[Switch-GigabitEthernet1/0/1] quit

# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,当前Access口允许VLAN 100通过。

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] port link-type access

[Switch-GigabitEthernet1/0/2] port access vlan 100

# 配置Switch与AP相连的GigabitEthernet1/0/2接口使能PoE功能。

[Switch-GigabitEthernet1/0/2] poe enable

[Switch-GigabitEthernet1/0/2] quit

# 配置Switch与DHCP服务器相连的GigabitEthernet1/0/3接口属性为Access,当前Access口允许VLAN 100通过。

[Switch] interface gigabitethernet 1/0/3

[Switch-GigabitEthernet1/0/3] port link-type access

[Switch-GigabitEthernet1/0/3] port access vlan 100

[Switch-GigabitEthernet1/0/3] quit

3.4  验证配置

# 在Client发起泛洪攻击前,Client可以正常接入无线网络,通过display wlan client verbose命令可以观察到该Client。

<AC> display wlan client verbose

 Total Number of Clients : 1

  Client Information

-------------------------------------------------------------------------------

 MAC Address : 000f-e2cc-ff01

 User Name  : -NA-

 AID : 1

 AP Name : ap1

 Radio Id : 1

 SSID  : office

 BSSID : 0023-8993-7550

 Port  : WLAN-DBSS1:1

 VLAN  : 300

 State : Running

 Power Save Mode  : Active

 Wireless Mode : 11an

 QoS Mode : WMM

 Listen Interval (Beacon Interval) : 10

 RSSI  : 10

 Rx/Tx Rate : 48/36

 Client Type : PRE-RSNA

 Authentication Method : Open System

 AKM Method : None

 4-Way Handshake State : -NA-

 Group Key State  : -NA-

 Encryption Cipher  : Clear

 Roam Status : Normal

 Roam Count : 0

 Up Time (hh:mm:ss) : 00:09:34

# Client发起攻击后,AC上可以检测到泛洪攻击,AC会将检测到的攻击源加入动态黑名单,在动态黑名单老化期内,AC会拒绝攻击源的关联请求。此时,可以在AC上使用display wlan ids statistics命令显示检测到的泛洪攻击。

<AC> display wlan ids statistics

 Current attack tracking since: 2013-08-29/10:22:07

-------------------------------------------------------------------------------

 Type                                             Current        Total

-------------------------------------------------------------------------------

 Probe Request Frame Flood Attack                 0              0

 Authentication Request Frame Flood Attack        0              0

 Deauthentication Frame Flood Attack              1              1

 Association Request Frame Flood Attack           0              0

 Disassociation Request Frame Flood Attack        0              0

 Reassociation Request Frame Flood Attack         0              0

 Action Frame Flood Attack                        0              0

 Null Data Frame Flood Attack                     0              0

 Weak IVs Detected                                0              0

 Spoofed Deauthentication Frame Attack            0              0

 Spoofed Disassociation Frame Attack              0              0

-------------------------------------------------------------------------------

# 使用display wlan blacklist dynamic命令显示动态黑名单列表。

<AC> display wlan blacklist dynamic

 Total Number of Entries : 1

                               Dynamic Blacklist

-------------------------------------------------------------------------------

 MAC-Address    Lifetime(s) Last Updated Since(hh:mm:ss) Reason

-------------------------------------------------------------------------------

 000f-e2cc-ff01 300         00:00:04                     Deauth-Flood

-------------------------------------------------------------------------------

# Client停止攻击后,经过黑名单老化时间,使用display wlan blacklist dynamic命令再次查看黑名单,已经没有信息。

<AC> display wlan blacklist dynamic

 Info: Table is empty.

# 使用display wlan client verbose命令可以观察到无线客户端又重新上线。

<AC> display wlan client verbose

 Total Number of Clients : 1

  Client Information

-------------------------------------------------------------------------------

 MAC Address : 000f-e2cc-ff01

 User Name  : -NA-

 AID : 1

 AP Name : ap1

 Radio Id : 1

 SSID  : office

 BSSID : 0023-8993-7550

 Port  : WLAN-DBSS1:1

 VLAN  : 300

 State : Running

 Power Save Mode  : Active

 Wireless Mode : 11an

 QoS Mode : WMM

 Listen Interval (Beacon Interval) : 10

 RSSI  : 10

 Rx/Tx Rate : 48/36

 Client Type : PRE-RSNA

 Authentication Method : Open System

 AKM Method : None

 4-Way Handshake State : -NA-

 Group Key State  : -NA-

 Encryption Cipher  : Clear

 Roam Status : Normal

 Roam Count : 0

 Up Time (hh:mm:ss) : 00:01:34

3.5  配置文件

·     AC:

#

wlan service-template 1 clear

 ssid office

 bind WLAN-ESS 1

 authentication-method open-system

 service-template enable

#

vlan 100

#

vlan 200

#

vlan 300

#

interface Vlan-interface100

 ip address 10.18.1.1 255.255.255.0

#

interface Vlan-interface300

 ip address 10.18.3.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan 100 300

 port trunk pvid vlan 100

#

interface WLAN-ESS1

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 200 untagged

 port hybrid pvid vlan 200

 mac-vlan enable

#

wlan ap officeap model WA2620E-AGN

 serial-id 21023529G007C000020

 radio 1

  service-template 1 vlan-id 300

  radio enable

#

wlan ids

 dynamic-blacklist enable

 attack-detection enable all

#

·     Switch

#

vlan 100

#

vlan 300

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan 100 300

 port trunk pvid vlan 100

#

interface GigabitEthernet1/0/2

 port link-type access

 port access vlan 100

 poe enable

#

interface GigabitEthernet1/0/3

 port link-type access

 port access vlan 100

#

4  相关资料

·     《H3C无线控制器产品 配置指导》中的“安全配置指导”。

·     《H3C无线控制器产品 命令参考》中的“安全命令参考”。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们