• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

H3C WX係列無線控製器產品 Web網管配置指導(R3308 R2308)-6W110

12-安全

本章節下載 12-安全  (682.03 KB)

12-安全


1 安全配置

1.1  安全簡介

802.11網絡很容易受到各種網絡威脅的影響,如未經授權的AP用戶、Ad-hoc網絡、DoS攻擊等。Rogue設備對於企業網絡安全來說是一個很嚴重的威脅。WIDS(Wireless Intrusion Detection System,無線入侵檢測係統)可以對有惡意的用戶攻擊和入侵行為進行早期檢測,保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。WIDS可以在不影響網絡性能的情況下對無線網絡進行監測,從而提供對各種攻擊的實時防範。

安全提供了如下功能:

·              非法設備監測

·              入侵檢測

·              黑白名單

1.1.1  常用術語

·              Rogue AP:網絡中未經授權或者有惡意的AP,它可以是私自接入到網絡中的AP、未配置的AP、鄰居AP或者攻擊者操作的AP。如果在這些AP上存在漏洞的話,黑客就有機會危害AP所在無線網絡的安全。

·              Rogue Client:非法客戶端,網絡中未經授權或者有惡意的客戶端,類似於Rogue AP。

·              Rogue Wireless Bridge:非法無線網橋,網絡中未經授權或者有惡意的網橋。

·              Monitor AP:這種AP在無線網絡中通過掃描或監聽無線介質,檢測無線網絡中的Rogue設備。

·              Ad-hoc mode:把無線客戶端的工作模式設置為Ad-hoc模式,Ad-hoc終端可以不需要任何設備支持而直接進行通訊。

1.1.2  非法設備監測

1. 對非法設備進行檢測

Rogue設備檢測比較適合於大型的WLAN網絡。通過在已有的WLAN網絡中製定非法設備檢測規則,可以對整個WLAN網絡中的異常設備進行監視。

Rogue設備檢測可以檢測WLAN網絡中的多種設備,例如Rogue AP,Rogue client,無線網橋,Ad-hoc終端等等。

根據實際的無線環境,可以通過設定不同的模式來對Rogue設備進行檢測。

·              Monitor模式:在這種模式下,AP需要掃描WLAN中的設備,此時AP僅做監測AP,不做接入AP。當AP工作在Monitor模式時,該AP提供的所有WLAN服務都將關閉。如下圖中,AP 1做接入AP,AP 2做為Monitor AP,監聽所有802.11幀,檢測無線網絡中的非法設備,但不能提供無線接入服務。

圖1-1 對Rogue設備進行檢測(Monitor模式)

 

·              Hybrid模式:在這種模式下,AP可以在監測無線環境中設備的同時傳輸WLAN數據。

圖1-2 對Rogue設備進行檢測(Hybrid模式)

 

2. 對非法設備進行防攻擊

在檢測到Rogue設備後,根據選用不同的反製模式,Monitor AP從AC下載攻擊列表,並對指定的Rogue設備進行攻擊防範。對於不同的非法設備,開啟反製功能後的效果如下:

·              如果Rogue設備為Rogue Client,則該Rogue Client會被強行下線;

·              如果Rogue設備為Rogue AP,那麼合法客戶端不會接入Rogue AP;

·              如果Rogue設備為Ad-hoc,那麼Ad-Hoc客戶端之間不能正常通信。

圖1-3 對Rogue設備進行防攻擊

 

3. 設備支持情況

Rogue AP檢測特性支持下列功能:

·              不同信道RF監視

·              Rogue AP檢測

·              Rogue客戶端檢測

·              Adhoc網絡檢測

·              無線網橋檢測

·              對Rogue AP、Rogue Client和adhoc網絡采取反製措施

1.1.3  入侵檢測

為了及時發現WLAN網絡的惡意或者無意的攻擊,通過記錄信息或者發送日誌信息的方式通知網絡管理者。目前設備支持的入侵檢測主要包括泛洪攻擊檢測、Spoof檢測以及Weak IV檢測。

1. 泛洪攻擊檢測

泛洪攻擊(Flooding攻擊)是指WLAN設備會在短時間內接收了大量的同種類型的報文。此時WLAN設備會被泛洪的攻擊報文淹沒而無法處理無線客戶端的合法報文。

攻擊檢測通過持續地監控每台無線客戶端的流量大小來預防這種泛洪攻擊。當流量超出可容忍的上限時,該無線客戶端將被認定在實施泛洪攻擊,如果在WLAN設備上開啟動態黑名單功能,此時被檢查到的攻擊設備將被加入動態黑名單,在後續一段時間內將被禁止接入WLAN網絡。

入侵檢測支持下列報文的泛洪攻擊檢測:

·              認證請求/解除認證請求(Authentication / De-authentication);

·              關聯請求/解除關聯請求/重新關聯請求(Association / Disassociation / Reassociation);

·              探查請求(Probe Request);

·              802.11 Null數據幀;

·              802.11 Action幀;

2. Spoofing攻擊檢測

Spoofing攻擊是指潛在的攻擊者會仿冒其他設備的名義發送攻擊報文,以達到破壞無線網絡正常工作的目的。例如:無線網絡中的客戶端已經和AP關聯,並處於正常工作狀態,此時如果有攻擊者仿冒AP的名義給客戶端發送解除認證報文就可能導致客戶端下線,同樣如果攻擊者仿冒客戶端的名義給AP發送解除認證報文也會影響無線網絡的正常工作。

目前,Spoofing攻擊檢測支持對仿冒AP名義發送的廣播解除認證和廣播解除關聯報文進行檢測。當接收到這兩種報文時,設備會將其定義為Spoofing攻擊並被記錄到日誌中。

3. Weak IV攻擊檢測

使用WEP加密的時候,WLAN設備對於每一個報文都會使用初始化向量(IV,Initialization Vector),IV和Key一起作為輸入來生成Key Stream,使相同密鑰產生不同加密效果。當一個WEP報文被發送時,用於加密報文的IV也作為報文頭的一部分被發送。如果WLAN設備使用不安全的方法生成IV,例如始終使用固定的IV,就可能會暴露共享的密鑰,如果潛在的攻擊者獲得了共享的密鑰,攻擊者將能夠控製網絡資源。

檢測IDS攻擊可以通過識別每個WEP報文的IV來預防這種攻擊,當一個有Weak IV的報文被檢測到時,這個檢測將立刻被記錄到日誌中。

1.1.4  黑白名單

1. 黑白名單列表

WLAN網絡環境中,可以通過黑白名單功能設定一定的規則過濾無線客戶端,實現對無線客戶端的接入控製。

黑白名單維護三種類型的列表。

·              白名單列表:該列表包含允許接入的無線客戶端的MAC地址。如果使用了白名單,則隻有白名單中指定的無線客戶端可以接入到WLAN網絡中,其它的無線客戶端將被拒絕接入。

·              靜態黑名單列表:該列表包含拒絕接入的無線客戶端的MAC地址。

·              動態黑名單列表:當WLAN設備檢測到來自某一設備的非法攻擊時,可以選擇將該設備動態加入到黑名單中,拒絕接收任何來自於該設備的報文,直至該動態黑名單表項老化為止,從而實現對WLAN網絡的安全保護。動態黑名單支持與ARP Detection功能聯動,即當ARP Detection檢測到攻擊時,發送非法報文的用戶(MAC地址)也會被加入到動態黑名單中。關於“ARP Detection功能”的功能介紹請參見“網絡”。

2. 黑白名單的處理過程

當AP接收到一個802.11幀時,按照以下步驟針對該幀的源MAC進行過濾:

(1)      如果設置了白名單列表,若源MAC在白名單內,該幀將被作為合法幀進一步處理;若源MAC不在白名單列表內,該幀將被丟棄;

(2)      如果沒有設置白名單列表,則繼續搜索靜態和動態的黑名單列表。

(3)      如果源MAC在靜態或動態黑名單列表內,該幀將被丟棄;

(4)      如果源MAC沒有在靜態或動態黑名單列表內,或者黑名單列表為空,則該幀將被作為合法幀進一步處理。

需要注意的是,靜態黑名單、白名單和動態黑名單的作用範圍有所不同。在AC上設置靜態黑名單、白名單後,靜態黑名單、白名單會對所有與AC相連的AP生效;而動態黑名單隻會對接收到攻擊報文的AP生效。

圖1-4 無線用戶接入控製組網

 

在如圖1-4所示的組網中,有三個AP連接到AC。

·              在AC上配置白名單和靜態黑名單。假設Client 1的MAC地址存在於靜態黑名單列表中,則Client 1不能與任何一個AP發生關聯。當隻有Client 1的MAC地址存在於白名單列表中時,該客戶端可以和任何一個AP發生關聯,其它的客戶端不能與任何一個AP發生關聯。

·              在AC上開啟動態黑名單功能。假設Client 1的攻擊報文是在AP 1上接收到的,那麼Client 1不能與AP 1關聯,但仍然可以與AP 2和AP 3發生關聯。若AP 2或者AP 3也接收到Client 1的攻擊報文,則會在列表中添加新的動態黑名單表項。

1.2  配置非法設備監測

非法設備監測配置的推薦步驟如下表所示。

表1-1 非法設備監測配置步驟

步驟

配置任務

說明

1

1.2.1  配置工作模式

必選

配置AP工作模式

缺省情況下,AP為普通模式,隻提供WLAN服務

2

1.2.3  配置規則列表

必選

配置檢測規則列表

3

1.2.4  對檢測到的非法設備進行防攻擊

可選

配置對檢測到的非法設備進行防攻擊

 

1.2.1  配置工作模式

(1)      在界麵左側的導航欄中選擇“安全> 非法設備監測”,默認進入“AP監控”頁簽的頁麵,如下圖所示。

圖1-5 AP監控

 

(2)      在列表中找到要進行配置的AP,單擊對應的icon_mdf圖標,進入AP工作模式的配置頁麵,如下圖所示。

圖1-6 AP工作模式

 

(3)      配置AP工作模式,詳細配置如下表所示。

(4)      單擊<確定>按鈕完成操作。

表1-2 AP工作模式的詳細配置

配置項

說明

工作模式

配置AP工作模式:

·       普通模式:AP僅傳輸WLAN用戶的數據,不進行任何監測

·       監控模式:在這種模式下,AP需要掃描WLAN中的設備,此時AP僅做監測AP,不做接入AP。當AP工作在監控模式時,該AP提供的所有WLAN服務都將關閉。處於監控模式的AP,監聽所有802.11幀

·       混合模式:在這種模式下,AP在做監測AP的同時也可以傳輸WLAN數據

提示

·       當AP從普通模式切換到監控模式時,AP不會重啟

·       當AP從監控模式切換到普通模式時,AP會重啟

 

說明

·       如果AP工作模式為“混合”,需要對無線服務進行配置,這樣AP在監測的同時可以提供無線服務。

·       如果AP工作模式為“監控”,那麼AP不需要提供無線服務,不必配置無線服務。

 

1.2.2  規則列表匹配順序

規則列表就是製定非法設備識別策略。設備會根據設置的非法設備策略進行匹配,最終確定哪些設備為非法設備。

·              判斷AP是否為非法設備:

圖1-7 判斷AP是否為非法設備的流程圖

 

·              判斷Client是否為非法設備:

圖1-8 判斷Client是否為非法設備的流程圖

 

·              判斷Adhoc網絡或無線網橋是否為非法設備:

圖1-9 判斷Adhoc網絡或無線網橋是否為非法設備的流程圖

 

1.2.3  配置規則列表

(1)      在界麵左側的導航欄中選擇“安全> 非法設備監測”。

(2)      選擇“規則列表”頁簽,進入規則列表的配置頁麵,如下圖所示。

圖1-10 規則列表

 

(3)      配置規則列表,詳細配置如下表所示。

表1-3 規則列表的詳細配置

配置項

說明

列表類型

設置列表類型:

·       MAC列表:添加允許的MAC地址

·       無線服務列表:添加允許的SSID

·       廠商列表:選擇允許的廠商

·       攻擊列表:添加某個設備的MAC地址到攻擊列表中,將該設備配置為非法設備

 

(4)      在列表中選擇MAC列表類型,單擊<添加>按鈕,進入MAC地址列表的配置頁麵,如下圖所示。

圖1-11 MAC地址列表配置頁麵

 

(5)      配置MAC地址列表,詳細配置如下表所示。

表1-4 MAC地址列表的詳細配置

配置項

說明

MAC地址

手動輸入允許的MAC地址列表

選擇現有設備列表

選中“選擇現有設備列表”,選擇表中的MAC地址作為允許通過的MAC地址列表

 

(6)      單擊<確定>按鈕完成操作。

其它類型列表的操作過程和添加MAC列表類似,此處不再重複。

1.2.4  對檢測到的非法設備進行防攻擊

(1)      在界麵左側的導航欄中選擇“安全> 非法設備監測”,默認進入“AP監控”頁簽的頁麵,如圖1-5所示。

(2)      單擊<通用設置>按鈕,進入通用設置的配置頁麵,如下圖所示。

圖1-12 配置反製模式

 

(3)      進行通用設置,詳細配置如下表所示。

表1-5 通用設置的詳細配置

配置項

說明

反製模式

·       非法設備:對非法設備(包括非法AP和非法客戶端)進行反製

·       非法adhoc設備:對非法adhoc設備進行反製

·       靜態非法設備:對靜態配置的非法設備進行反製(這裏的靜態配置是指在規則列表中設置的靜態非法設備)

設備超時時間

入侵列表中表項的老化時間

如果非法設備在老化時間內沒有再被檢測到,那麼該選項將被從監控記錄列表中刪除。如果被刪除的是非法設備,該記錄將被添加到rogue的曆史列表中去。

 

(4)      單擊<確定>按鈕完成操作。

1.2.5  查看監控記錄

(1)      在界麵左側的導航欄中選擇“安全> 非法設備監測”。

(2)      選擇“監控記錄”頁簽,進入查看監控記錄頁麵,如下圖所示。監控記錄的字段說明如下表所示。

圖1-13 查看監控記錄

 

表1-6 監控記錄字段說明

配置項

說明

類型

檢測到的設備類型,各字母含義如下:

·       r 表示rogue

·       p 表示permit

·       a表示adhoc

·       w表示AP

·       b表示wireless-bridge,

·       c表示client

·       比如:pw表示允許的AP;rb表示非法網橋

 

說明

設備默認把所有檢測到的Adhoc和無線網橋設定為非法設備。

 

1.2.6  查看曆史記錄

(1)      在界麵左側的導航欄中選擇“安全> 非法設備監測”。

(2)      選擇“曆史記錄”頁簽,進入查看曆史記錄頁麵。

圖1-14 查看曆史記錄

 

1.3  配置入侵檢測

1.3.1  入侵檢測設置

(1)      在界麵左側的導航欄中選擇“安全> 入侵檢測”,默認進入“入侵檢測設置”頁簽的頁麵,如下圖所示。

圖1-15 入侵檢測設置

 

(2)      配置入侵檢測,詳細配置如下表所示。

表1-7 入侵檢測設置的詳細配置

配置項

說明

泛洪攻擊檢測

選中該複選框,則表示啟動泛洪攻擊檢測

缺省情況下,泛洪攻擊檢測處於關閉狀態

Spoofing攻擊檢測

選中該複選框,則表示啟動Spoofing攻擊檢測

缺省情況下,Spoofing檢測處於關閉狀態

Weak IV攻擊檢測

選中該複選框,則表示Weak IV攻擊檢測

缺省情況下,Weak IV攻擊檢測處於關閉狀態

 

(3)      單擊<確定>按鈕完成操作。

1.3.2  查看曆史記錄

(1)      在界麵左側的導航欄中選擇“安全> 入侵監測”。

(2)      選擇“曆史記錄”頁簽,進入查看曆史記錄的頁麵,如下圖所示。

圖1-16 查看曆史記錄

 

1.3.3  查看統計信息

(1)      在界麵左側的導航欄中選擇“安全> 入侵檢測”。

(2)      選擇“統計信息”頁簽,進入查看統計信息的頁麵,如下圖所示。

圖1-17 統計信息各字段說明

 

1.4  配置黑白名單

說明

需要注意的是,靜態黑名單、白名單和動態黑名單的作用範圍有所不同。在AC上設置靜態黑名單、白名單後,靜態黑名單、白名單會對所有與AC相連的AP生效;而動態黑名單隻會對接收到攻擊報文的AP生效。詳細內容請參考“1.1.4  2. 黑白名單的處理過程”。

 

1. 配置動態黑名單

(1)      在界麵左側的導航欄中選擇“安全> 黑白名單”,默認進入“黑名單”頁簽的頁麵,如下圖所示。

圖1-18 動態黑名單配置頁麵

 

(2)      配置動態黑名單,詳細配置如下表所示。

表1-8 動態黑名單的詳細配置

配置項

說明

動態黑名單功能

·       開啟:開啟動態黑名單列表功能

·       關閉:關閉動態黑名單列表功能

生存時間

設置動態黑名單中的對應表項的生存時間,被加入到動態黑名單中的MAC表項在經過生存時間後將被刪除

 

(3)      單擊<確定>按鈕完成操作。

說明

目前在動態黑名單支持檢測的攻擊類型有以下幾種:“Assoc-Flood(關聯請求泛洪攻擊)”、“Reassoc-Flood(重關聯請求泛洪攻擊)”、“Disassoc-Flood(解除關聯請求泛洪攻擊)”、“ProbeReq-Flood(探查請求泛洪攻擊)”、“Action-Flood(802.11 Action幀泛洪攻擊)”、“Auth-Flood(認證請求泛洪攻擊)”、“Deauth-Flood(解除認證請求泛洪攻擊)”和“NullData-Flood(802.11 Null數據幀泛洪攻擊)”。

 

2. 配置靜態黑名單

(1)      在界麵左側的導航欄中選擇“安全> 黑白名單”,默認進入“黑名單”頁簽的頁麵。

(2)      選擇“靜態”頁簽,進入靜態黑名單的配置頁麵,如下圖所示。

圖1-19 靜態黑名單配置頁麵

 

(3)      單擊<添加靜態表項>按鈕,進入添加靜態黑名單表項的頁麵,如下圖所示。

圖1-20 添加靜態黑名單表項

 

(4)      添加靜態黑名單表項,詳細配置如下表所示。

表1-9 添加靜態黑名單表項的詳細配置

配置項

說明

MAC地址

選中“MAC地址”前麵單選按鈕,在輸入框中添加指定的MAC地址到靜態黑名單

選擇當前連接客戶端

從當前連接的客戶端中,通過指定客戶端MAC地址的方式把某些客戶端加入到靜態黑名單

 

(5)      單擊<確定>按鈕完成操作。

3. 配置白名單

(1)      在界麵左側的導航欄中選擇“安全> 黑白名單”。

(2)      選擇“白名單”頁簽,進入白名單的配置頁麵,如下圖所示。

圖1-21 白名單配置頁麵

 

(3)      單擊<添加>按鈕,進入添加白名單表項的頁麵,如下圖所示。

圖1-22 添加白名單表項

 

(4)      添加白名單表項,詳細配置如下表所示。

表1-10 添加白名單表項的詳細配置

配置項

說明

MAC地址

選中“MAC地址”前麵單選按鈕,在輸入框中添加指定的MAC地址到白名單

選擇當前連接客戶端

從當前連接的客戶端中,通過指定客戶端MAC地址的方式把某些客戶端加入到白名單

 

(5)      單擊<確定>按鈕完成操作。

1.5  無線安全配置舉例

1.5.1  非法設備監測配置舉例

1. 組網需求

AC連接到一個交換機,監控AP 2、提供無線服務的AP 1通過二層交換機和AC相連。

·              AP 1為普通模式,隻提供WLAN服務。

·              AP 2的工作模式為監控模式,對非法設備進行檢測。

·              Client 1(MAC地址為000f-e215-1515)、Client 2(MAC地址為000f-e215-1530)、Client 3(MAC地址為000f-e213-1235)連接到無線網絡中,享受AP 1提供的WLAN服務。

·              Client 4(MAC地址為000f-e220-405e)為非法客戶端(Rogue Client),並對其進行攻擊。

圖1-23 非法設備監測組網圖

 

2. 配置步驟

(1)      配置AP 1為普通模式

AP 1為普通模式,隻提供WLAN接入服務。相關配置請參見“無線服務”,可以完全參照相關舉例完成配置。

(2)      配置AP 2為監控模式

步驟1:在導航欄中選擇“AP > AP設置”。

步驟2:單擊<新建>按鈕,進入AP新建頁麵。

步驟3:進行如下配置,如下圖所示。

·              設置AP 2名稱為“ap2”。

·              選擇型號為“WA2620-AGN”。

·              選擇序列號方式為“手動”,並輸入AP的序列號。

步驟4:單擊<確定>按鈕完成操作。

圖1-24 創建AP

 

步驟5:在界麵左側的導航欄中選擇“安全> 非法設備監測”,默認進入“AP監控”頁簽的頁麵。

步驟6:在列表中找到要進行配置的AP,單擊對應的icon_mdf圖標,進入AP工作模式的配置頁麵。

步驟7:選擇工作模式為“監控”,如下圖所示。

步驟8:單擊<確定>按鈕完成操作。

圖1-25 使設置AP為監控模式

 

(3)      開啟802.11n(2.4GHz)射頻

步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入綁定AP的射頻配置頁麵。

步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“ap2 802.11n(2.4GHz)”前的複選框,如下圖所示。

步驟3:單擊<開啟>按鈕完成操作。

圖1-26 開啟802.11n(2.4GHz)射頻

 

(4)      配置規則

步驟1:在界麵左側的導航欄中選擇“安全> 非法設備監測”。

步驟2:選擇“規則列表”頁簽,單擊<添加>按鈕,進入添加規則事項的頁麵。

步驟3:進行如下配置。

·              在MAC地址表項裏依次輸入000f-e215-1515,000f-e215-1530和000f-e213-1235,並單擊<確定>按鈕,完成允許接入的各個MAC地址的添加。

·              在列表類型下拉框中選擇“攻擊列表”,單擊<添加>按鈕,在MAC地址表項裏輸入000f-e220-405e,單擊<確定>按鈕,將該設備的MAC地址到攻擊列表中。

(5)      對靜態配置的非法設備進行反製

步驟1:在界麵左側的導航欄中選擇“安全> 非法設備監測”。

步驟2:選擇“AP監控”頁簽,單擊<通用設置>按鈕,進入通用設置的配置頁麵。

步驟3:選中“靜態非法設備”複選框,如下圖所示。

步驟4:單擊<確定>按鈕完成操作。

圖1-27 設置反製模式

 

3. 配置注意事項

·              在修改AP工作模式之前,Radio應該處於關閉狀態,否則不能修改AP工作模式。

·              如果需要設置多條檢測規則,請明確非法設備的類型(AP,客戶端,網橋或是adhoc)及規則匹配順序,具體可以參見“1.2.2  規則列表匹配順序”。

·              如果AP工作模式為“監控”,就不需要配置“無線服務”;如果AP工作模式為“混合”,需要配置“無線服務”。

 


2 用戶隔離

2.1  用戶隔離簡介

采用用戶隔離前,處於同一VLAN的用戶是能夠互訪的,這可能帶來安全性問題,采用無線用戶隔離,可以解決此問題。開啟用戶隔離後,在同一個VLAN內,AC收到某一無線用戶發往另一無線用戶或有線用戶的單播報文(任何VLAN廣播報文或組播報文不隔離),或者AC收到有線用戶發往同一VLAN的無線用戶的單播報文,AC會根據配置的用戶隔離允許列表來判斷是否隔離該VLAN內的用戶。

為了使用戶隔離不會影響用戶與網關的互通,可以將網關地址加入用戶隔離允許列表。

由此可見,用戶隔離一方麵為用戶提供了網絡服務;另一方麵對用戶進行隔離,使之不能互訪,保證用戶業務的安全性。

2.1.1  用戶間互訪

如下圖所示,AC上關閉用戶隔離後,VLAN 2內的無線用戶Client A、Client B和有線用戶Host A可以在該VLAN內互訪,同時也可以訪問Internet。

圖2-1 用戶隔離示意圖

 

2.1.2  用戶間隔離

如上圖所示,在AC上開啟用戶隔離功能後,VLAN 2內的無線用戶Client A、Client B和有線用戶Host A通過同一個網關連接到Internet。

·              將網關的MAC地址添加到“可通過MAC”列表中,那麼處於同一VLAN內的無線用戶Client A、Client B和Host A被隔離,但是Client A、Client B和Host A都可以訪問Internet。

·              將用戶的MAC地址添加到“可通過MAC”列表中,如把Client A的MAC地址添加到“可通過MAC”列表中,那麼Client A和Client B可以互通,Client A和Host A可以互通,但是Client B和Host A不能互通。

如果需要同時達到以上兩項需求,需要將網關的MAC地址和用戶的MAC地址同時添加到“可通過MAC”列表中。“可通過MAC”列表的設置請參見“2.2.1  用戶隔離設置”。

2.2  配置用戶隔離

2.2.1  用戶隔離設置

(1)      在界麵左側的導航欄中選擇“安全 > 用戶隔離”。

(2)      單擊<添加>按鈕,進入用戶隔離的配置頁麵,如下圖所示。

圖2-2 用戶隔離設置

 

(3)      配置用戶隔離,詳細配置如下表所示。

表2-1 用戶隔離的詳細配置

配置項

說明

VLAN ID

需要使能用戶隔離的VLAN

可通過MAC

設置允許通過的MAC地址,請根據具體需求添加MAC地址,關於該選項的介紹可參見“2.1.2  用戶間隔離”:

·       在右側的空格中填入MAC地址;

·       點擊<添加>按鈕,將該MAC地址添加到可通過MAC地址列表中;

·       從可通過MAC地址列表中選中某個表項,點擊<刪除>按鈕,可以將該表項刪除

提示

·       該MAC地址不允許為廣播或組播地址

·       每個VLAN下最多可以配置16個可通過MAC

 

說明

·       為了避免在指定VLAN上先開啟用戶隔離功能後,出現斷網的現象,建議先配置網關的MAC地址為該VLAN的允許MAC地址,再開啟該VLAN的用戶隔離功能。

·       如果對Super VLAN配置用戶隔離功能,此配置不會對Super VLAN內的子VLAN生效,在這種情況下,可以直接對子VLAN配置用戶隔離功能。

 

(4)      單擊<確定>按鈕完成操作。

2.2.2  查看用戶隔離信息

(1)      在界麵左側的導航欄中選擇“安全 > 用戶隔離”,進入查看用戶隔離信息的頁麵,如下圖所示。

圖2-3 顯示用戶隔離

 

2.3  用戶隔離配置舉例

1. 組網需求

網關Gateway的MAC地址為000f-e212-7788。要求通過配置實現用戶隔離,要求VLAN 2中的用戶Client A、Client B和Host A可以訪問Internet,但是VLAN 2中的用戶之間都不可以相互訪問。

圖2-4 用戶隔離配置組網

 

2. 配置步驟

(1)      配置無線服務

相關配置請參見“無線服務”,可以完全參照相關舉例完成配置。

(2)      配置用戶隔離

步驟1:在界麵左側的導航欄中選擇“安全 > 用戶隔離”。

步驟2:單擊<添加>按鈕,進入用戶隔離的配置頁麵。

步驟3:進行如下配置,如下圖所示。

·              輸入VLAN ID為“2”。

·              將網關的MAC地址“000f-e212-7788”添加到可通過MAC地址列表。

步驟4:單擊<確定>按鈕完成操作。

圖2-5 配置用戶隔離

 


3 授權IP

3.1  概述

授權IP功能是指通過將HTTP服務或Telnet服務與ACL關聯,對客戶端發出的請求進行過濾,隻允許通過ACL過濾的客戶端訪問設備。

3.2  配置授權IP

在配置授權IP前需先創建並配置ACL,詳細內容請參見“QoS”。

(1)      在界麵左側的導航欄中選擇“安全 > 授權IP”。

(2)      選擇“設置”頁簽,進入授權IP的配置頁麵,如下圖所示。

圖3-1 授權IP設置

 

(3)      配置授權IP,詳細配置如下表所示。

表3-1 授權IP的詳細配置

配置項

說明

Telnet

IPv4 ACL

設置Telnet服務與IPv4 ACL關聯

在下拉框中進行選擇,可選的IPv4 ACL可在“QoS > ACL IPv4”中配置

IPv6 ACL

設置Telnet服務與IPv6 ACL關聯

在下拉框中進行選擇,可選的IPv6 ACL可在“QoS > ACL IPv6”中配置

Web(HTTP)

IPv4 ACL

設置HTTP服務與IPv4 ACL關聯

在下拉框中進行選擇,可選的IPv4 ACL可在“QoS > ACL IPv4”中配置

 

(4)      單擊<確定>按鈕完成操作。

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們