- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-WLAN SAVI配置
本章節下載: 05-WLAN SAVI配置 (277.38 KB)
WLAN SAVI(Source Address Validation Improvement,源地址有效性驗證)功能用於對AP收到的報文進行過濾控製。以設備學習到的WLAN IP Snooping綁定表項為依據,對報文進行源地址檢查,以防止非法客戶端的報文通過,從而限製了對網絡資源的非法使用(比如非法客戶端仿冒合法客戶端IP接入網絡),提高了無線網絡的安全性。關於WLAN IP Snooping的相關介紹請見參見“用戶接入與認證配置指導”中的“WLAN IP Snooping”。
對於使用IPv4地址的客戶端,AP會監聽客戶端與DHCP服務器間交互的DHCPv4報文,從報文中獲取到DHCPv4服務器為客戶端分配的IP地址,並與客戶端的MAC地址形成綁定表項。
對於使用IPv6地址的客戶端,有以下兩種方式可以形成綁定表項。
· DHCPv6方式:AP監聽客戶端與DHCPv6服務器間交互的DHCPv6報文,從報文中獲取到DHCPv6服務器為客戶端分配的完整的IPv6地址,並與客戶端的MAC地址形成綁定表項。如果從報文中獲取到的是DHCPv6服務器為客戶端分配的IPv6地址前綴,則無法與客戶端的MAC地址形成綁定表項。
· ND(Neighbor Discovery,IPv6鄰居發現)方式:AP監聽網絡中的NS(Neighbor Solicitation,鄰居請求消息)、NA(Neighbor Advertisement,鄰居通告消息)報文,從報文中獲取IPv6地址,並與客戶端的MAC地址形成綁定表項。
DHCP功能的詳細介紹請參考“網絡互通配置指導”中的“DHCP”。DHCPv6功能的詳細介紹請參考“網絡互通配置指導”中的“DHCPv6”。ND功能的詳細介紹請參考“網絡互通配置指導”中的“IPv6基礎”。
如圖1-1所示,開啟WLAN SAVI功能後,AP在收到客戶端報文時,會查找WLAN IP Snooping綁定表項,如果AP收到報文的特征項(MAC地址+IP地址)與某個綁定表項匹配,則轉發該報文,否則做丟棄處理。
圖1-1 WLAN SAVI功能示意圖
WLAN SAVI配置任務如下:
(2) 開啟源地址驗證功能
根據客戶端獲取IP地址的方式配置WLAN IP Snooping功能,WLAN IP Snooping功能的具體配置請參見“用戶接入與認證配置指導”中的“WLAN IP Snooping”。
(1) 開啟通過DHCP方式學習客戶端IPv4地址功能。
(2) (可選)關閉通過ARP方式學習客戶端IPv4地址功能。
(3) (可選)開啟IP地址恢複功能。
(1) 開啟通過DHCPv6方式學習客戶端IPv6地址功能。
在僅通過DHCPv6方式獲取IPv6地址的場景下,僅開啟本功能即可。
(2) 開啟通過ND方式學習客戶端IPv6地址功能。
在僅通過ND方式獲取IPv6地址的場景下,僅開啟本功能即可。
(3) (可選)開啟IP地址恢複功能。
WLAN SAVI功能是針對無線服務模板的,對某個無線服務模板配置了WLAN SAVI功能後,僅對接入該無線服務模板的客戶端報文進行IP源地址驗證,通過其它無線服務模板接入的客戶端不受影響。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-number
(3) 開啟源地址驗證功能。
(IPv4網絡)
ip verify source [ alarm-only ]
(IPv6網絡)
ipv6 verify source [ alarm-only ]
缺省情況下,源地址驗證功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後WLAN SAVI的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 WLAN SAVI顯示和維護
|
操作 |
命令 |
|
顯示IPv4綁定表項信息 |
display ip source binding [ wlan-snooping ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] |
|
顯示IPv6綁定表項信息 |
display ipv6 source binding [ wlan-snooping ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] |
如圖1-2所示,客戶端通過名為service的SSID接入網絡,Switch作為DHCP server會為接入的客戶端動態分配IP地址。
要求對接入此SSID的客戶端報文進行IP源地址驗證,以防止非法客戶端的報文通過。
圖1-2 IPv4源地址驗證配置組網圖
# 創建無線服務模板1,配置SSID為service,並使能服務模版。
<AC> system-view
[AC] wlan service-template 1
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] service-template enable
# 開啟IPv4源地址驗證。
[AC-wlan-st-1] ip verify source
[AC-wlan-st-1] quit
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 將無線服務模板1綁定到Radio 2接口。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
Client 1(MAC地址為001d-0f31-87dd)和Client 2(MAC地址為001c-f08f-f7f1)通過DHCP服務器申請到IP地址後,AP上會生成Client 1和Client 2的綁定表項。當AP收到Client 1和Client 2發送的報文,檢查綁定表項匹配後,AP會轉發這些報文,Client 3為非法客戶端(Client 3偽造其IP地址為Client 1的IP地址),AP無法查找到與其匹配的綁定表項,則會丟棄Client 3發送的報文。
如_組網圖所示,AC 1作為WLAN漫遊中心,AC 2和AC 3作為Client漫遊中心,Client通過AP在AC 2上進行802.1X認證並接入,Client可以再AC 2和AC 3中每次接入後,對AP收到的終端流量進行SAVI檢查。
圖1-3 SAVI配置組網圖
(1) 配置設備各接口的IP地址,保證啟動無線802.1X認證之前服務器和AC之間的路由可達,具體配置步驟略。
(2) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC2> system-view
[AC2] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC2-radius-rs1] primary authentication 192.168.0.112
[AC2-radius-rs1] primary accounting 192.168.0.112
[AC2-radius-rs1] key authentication simple radius
[AC2-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC2-radius-rs1] user-name-format without-domain
[AC2-radius-rs1] quit
(3) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC2] domain dm1
# 配置ISP域的AAA方法。
[AC2-isp-dm1] authentication lan-access radius-scheme rs1
[AC2-isp-dm1] authorization lan-access radius-scheme rs1
[AC2-isp-dm1] accounting lan-access radius-scheme rs1
[AC2-isp-dm1] quit
(4) 配置802.1X認證
# 配置802.1X認證方式為EAP。
[AC2] dot1x authentication-method eap
# 創建手工AP,名稱為ap2,選擇AP型號並配置序列號。
[AC2] wlan ap ap2 model WA6320
[AC2-wlan-ap-ap2] serial-id 219801A28N819CE0002T
[AC2-wlan-ap-ap2] quit
# 配置無線服務模板,SSID為newst。
[AC2] wlan service-template newst
[AC2–wlan-st-newst] ssid newst
# 在無線服務模板newst上配置RSN+802.1X認證。
[AC2–wlan-st-newst] client-security authentication-mode dot1x
[AC2–wlan-st-newst] akm mode dot1x
[AC2–wlan-st-newst] cipher-suite ccmp
[AC2–wlan-st-newst] security-ie rsn
[AC2–wlan-st-newst] dot1x domain dm1
# 關閉通過ARP學習IPv4地址。
[AC2–wlan-st-newst] undo client ipv4-snooping arp-learning enable
# 配置通過DHCPv6報文學習IPv6地址。
[AC2–wlan-st-newst] client ipv6-snooping dhcpv6-learning enable
# 配置通過ND報文學習IPv6地址。
[AC2–wlan-st-newst] client ipv6-snooping nd-learning enable
# 開啟WLAN SAVI。
[AC2–wlan-st-newst] ip verify source
[AC2–wlan-st-newst] ipv6 verify source
#開啟IP地址恢複功能。
[AC2–wlan-st-newst] client ip-snooping ip-recover enable
# 使能無線服務模板newst。
[AC2–wlan-st-newst] service-template enable
[AC2–wlan-st-newst] quit
# 開啟射頻功能,將無線服務模板newst綁定到Radio2上。
[AC2] wlan ap ap2
[AC2-wlan-ap-ap2] radio 2
[AC2-wlan-ap-ap2-radio-2] radio enable
[AC2-wlan-ap-ap2-radio-2] service-template newst
[AC2-wlan-ap-ap2-radio-2] quit
[AC2-wlan-ap-ap2] quit
(5) 配置Client漫遊中心,與WLAN漫遊中心建立連接
# 創建Client漫遊中心,並進入Client漫遊中心視圖。
[AC2] client roaming-center
# 指定WLAN漫遊中心的IP地址。
[AC2-client-roaming-center] wlan-roaming-center ip 192.168.1.1
# 開啟Client漫遊中心功能。
[AC2-client-roaming-center] roaming-center enable
[AC2-client-roaming-center] quit
AC 3的配置與AC 2相同,請參見_3.2配置AC_2進行配置。
# 創建WLAN漫遊中心,並進入WLAN漫遊中心視圖。
<AC1> system-view
[AC1] wlan roaming-center
# 開啟WLAN漫遊中心功能。
[AC1-wlan-roaming-center] roaming-center enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
