配置非法设备检测和反制实验

注意:本案例需要在真实设备中实施,所以不能在模拟器ensp上配置。

 

本案例说明如何配置非法设备检测和反制。位于开放式场所的WLAN容易受到网络入侵,例如攻击者在WLAN网络中放入一台非法AP(AP2)冒充合法AP,用于和STA建立WLAN连接来窃取信息,则严重威胁到网络的安全。为了预防此类入侵,可以在合法AP上配置设备检测和反制功能,使AC能够检测出非法的AP2(既不是本AC管理的AP,也不在合法AP列表中),并保证STA不接入AP2。

配置非法设备检测和反制实验_第1张图片

数据规划

表1 数据规划表

配置项

数据

AP管理VLAN

VLAN100

STA业务VLAN

VLAN101

DHCP服务器

AC作为DHCP服务器为AP分配IP地址

汇聚交换机SW1作为DHCP服务器为STA分配IP地址,STA的默认网关为10.1.101.2

AP的IP地址池

10.1.100.2~10.1.100.254/24

STA的IP地址池

10.1.101.3~10.1.101.254/24

AC的源接口IP地址

VLANIF100:10.1.100.1/24

AP组

  • 名称:ap-group1
  • 引用模板:VAP模板wlan-sz、域管理模板default和WIDS模板wlan-wids
  • AP组射频的工作方式:normal
  • AP组射频的非法设备检测和反制功能:开启

域管理模板

  • 名称:default
  • 国家码:中国

SSID模板

  • 名称:wlan-sz
  • SSID名称:wlan-sz

安全模板

  • 名称:wlan-sz
  • 安全策略:WPA-WPA2+PSK+AES
  • 密码:a1234567

VAP模板

  • 名称:wlan-sz
  • 转发模式:隧道转发
  • 业务VLAN:VLAN101
  • 引用模板:SSID模板wlan-sz、安全模板wlan-sz

WIDS模板

  • 名称:wlan-wids
  • 对非法设备的反制模式:反制仿冒SSID的非法AP

本案例中合法AP工作在normal模式且开启了设备检测功能,AP射频除了传输普通的WLAN业务数据,还具备了监控功能,AP射频周期性扫描信道时正常业务可能有短暂的中断。本案例中AP只能在WLAN业务使用的信道上对非法设备进行反制。如果需要全信道反制,则需要将射频工作模式配置为monitor,此时WLAN正常业务不可用。

操作步骤

1.配置周边设备

# 配置接入交换机SW2的GE0/0/1和GE0/0/2接口加入VLAN100,GE0/0/1的缺省VLAN为VLAN100。

system-view

[HUAWEI] sysnameSW2

[SW2] vlan batch 100

[SW2] interface gigabitethernet 0/0/1

[SW2-GigabitEthernet0/0/1] port link-type trunk

[SW2-GigabitEthernet0/0/1] port trunk pvid vlan 100

[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

[SW2-GigabitEthernet0/0/1] port-isolate enable

[SW2-GigabitEthernet0/0/1] quit

[SW2] interface gigabitethernet 0/0/2

[SW2-GigabitEthernet0/0/2] port link-type trunk

[SW2-GigabitEthernet0/0/2] port trunk allow-pass vlan 100

[SW2-GigabitEthernet0/0/2] quit

# 配置汇聚交换机SW1的接口GE0/0/1加入VLAN100,GE0/0/2加入VLAN100和VLAN101,接口GE0/0/3加入VLAN200。

system-view

[HUAWEI] sysnameSW1

[SW1] vlan batch 100 101 200

[SW1] interface gigabitethernet 0/0/1

[SW1-GigabitEthernet0/0/1] port link-type trunk

[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

[SW1-GigabitEthernet0/0/1] quit

[SW1]

你可能感兴趣的:(网络)