配置非法设备检测和反制实验

注意：本案例需要在真实设备中实施，所以不能在模拟器ensp上配置。

 

本案例说明如何配置非法设备检测和反制。位于开放式场所的WLAN容易受到网络入侵，例如攻击者在WLAN网络中放入一台非法AP（AP2）冒充合法AP，用于和STA建立WLAN连接来窃取信息，则严重威胁到网络的安全。为了预防此类入侵，可以在合法AP上配置设备检测和反制功能，使AC能够检测出非法的AP2（既不是本AC管理的AP，也不在合法AP列表中），并保证STA不接入AP2。

数据规划

表1 数据规划表
配置项	数据
AP管理VLAN	VLAN100
STA业务VLAN	VLAN101
DHCP服务器	AC作为DHCP服务器为AP分配IP地址 汇聚交换机SW1作为DHCP服务器为STA分配IP地址，STA的默认网关为10.1.101.2
AP的IP地址池	10.1.100.2～10.1.100.254/24
STA的IP地址池	10.1.101.3～10.1.101.254/24
AC的源接口IP地址	VLANIF100：10.1.100.1/24
AP组	名称：ap-group1 引用模板：VAP模板wlan-sz、域管理模板default和WIDS模板wlan-wids AP组射频的工作方式：normal AP组射频的非法设备检测和反制功能：开启
域管理模板	名称：default 国家码：中国
SSID模板	名称：wlan-sz SSID名称：wlan-sz
安全模板	名称：wlan-sz 安全策略：WPA-WPA2+PSK+AES 密码：a1234567
VAP模板	名称：wlan-sz 转发模式：隧道转发 业务VLAN：VLAN101 引用模板：SSID模板wlan-sz、安全模板wlan-sz
WIDS模板	名称：wlan-wids 对非法设备的反制模式：反制仿冒SSID的非法AP

本案例中合法AP工作在normal模式且开启了设备检测功能，AP射频除了传输普通的WLAN业务数据，还具备了监控功能，AP射频周期性扫描信道时正常业务可能有短暂的中断。本案例中AP只能在WLAN业务使用的信道上对非法设备进行反制。如果需要全信道反制，则需要将射频工作模式配置为monitor，此时WLAN正常业务不可用。

操作步骤

1.配置周边设备

# 配置接入交换机SW2的GE0/0/1和GE0/0/2接口加入VLAN100，GE0/0/1的缺省VLAN为VLAN100。

system-view

[HUAWEI] sysnameSW2

[SW2] vlan batch 100

[SW2] interface gigabitethernet 0/0/1

[SW2-GigabitEthernet0/0/1] port link-type trunk

[SW2-GigabitEthernet0/0/1] port trunk pvid vlan 100

[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

[SW2-GigabitEthernet0/0/1] port-isolate enable

[SW2-GigabitEthernet0/0/1] quit

[SW2] interface gigabitethernet 0/0/2

[SW2-GigabitEthernet0/0/2] port link-type trunk

[SW2-GigabitEthernet0/0/2] port trunk allow-pass vlan 100

[SW2-GigabitEthernet0/0/2] quit

# 配置汇聚交换机SW1的接口GE0/0/1加入VLAN100,GE0/0/2加入VLAN100和VLAN101，接口GE0/0/3加入VLAN200。

system-view

[HUAWEI] sysnameSW1

[SW1] vlan batch 100 101 200

[SW1] interface gigabitethernet 0/0/1

[SW1-GigabitEthernet0/0/1] port link-type trunk

[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

[SW1-GigabitEthernet0/0/1] quit

[SW1]