注意:本案例需要在真实设备中实施,所以不能在模拟器ensp上配置。
本案例说明如何配置非法设备检测和反制。位于开放式场所的WLAN容易受到网络入侵,例如攻击者在WLAN网络中放入一台非法AP(AP2)冒充合法AP,用于和STA建立WLAN连接来窃取信息,则严重威胁到网络的安全。为了预防此类入侵,可以在合法AP上配置设备检测和反制功能,使AC能够检测出非法的AP2(既不是本AC管理的AP,也不在合法AP列表中),并保证STA不接入AP2。
数据规划
表1 数据规划表 |
|
配置项 |
数据 |
AP管理VLAN |
VLAN100 |
STA业务VLAN |
VLAN101 |
DHCP服务器 |
AC作为DHCP服务器为AP分配IP地址 汇聚交换机SW1作为DHCP服务器为STA分配IP地址,STA的默认网关为10.1.101.2 |
AP的IP地址池 |
10.1.100.2~10.1.100.254/24 |
STA的IP地址池 |
10.1.101.3~10.1.101.254/24 |
AC的源接口IP地址 |
VLANIF100:10.1.100.1/24 |
AP组 |
|
域管理模板 |
|
SSID模板 |
|
安全模板 |
|
VAP模板 |
|
WIDS模板 |
|
本案例中合法AP工作在normal模式且开启了设备检测功能,AP射频除了传输普通的WLAN业务数据,还具备了监控功能,AP射频周期性扫描信道时正常业务可能有短暂的中断。本案例中AP只能在WLAN业务使用的信道上对非法设备进行反制。如果需要全信道反制,则需要将射频工作模式配置为monitor,此时WLAN正常业务不可用。
操作步骤
1.配置周边设备
# 配置接入交换机SW2的GE0/0/1和GE0/0/2接口加入VLAN100,GE0/0/1的缺省VLAN为VLAN100。
[HUAWEI] sysnameSW2
[SW2] vlan batch 100
[SW2] interface gigabitethernet 0/0/1
[SW2-GigabitEthernet0/0/1] port link-type trunk
[SW2-GigabitEthernet0/0/1] port trunk pvid vlan 100
[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[SW2-GigabitEthernet0/0/1] port-isolate enable
[SW2-GigabitEthernet0/0/1] quit
[SW2] interface gigabitethernet 0/0/2
[SW2-GigabitEthernet0/0/2] port link-type trunk
[SW2-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
[SW2-GigabitEthernet0/0/2] quit
# 配置汇聚交换机SW1的接口GE0/0/1加入VLAN100,GE0/0/2加入VLAN100和VLAN101,接口GE0/0/3加入VLAN200。
[HUAWEI] sysnameSW1
[SW1] vlan batch 100 101 200
[SW1] interface gigabitethernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type trunk
[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[SW1-GigabitEthernet0/0/1] quit
[SW1]