wlan-接入
- 0关注
- 0收藏,483浏览
问题描述:
假设3个AP,如何在AP1上把某个mac拉黑使得这个MAC只能连接AP2跟AP3?
组网及组网描述:
- 2023-07-31提问
- 举报
-
(0)
1. 配置限制与指导
基于ACL的接入控制的优先级高于基于名单的接入控制的优先级,建议两种接入控制单独使用。
如果同时配置了两种接入控制,当设备上没有配置无线客户端访问控制规则时,按照基于名单的接入控制规则对无线客户端进行访问控制。
在ACL中配置deny规则来拒绝指定客户端接入时,请在deny规则之后配置允许所有客户端接入的permit规则,否则会导致所有客户端无法接入。
AP视图下配置的优先级高于无线服务模板视图下的配置。(无线AC应用)
基于ACL的接入控制只匹配source mac地址二层ACL规则。
2. 配置步骤(无线AC应用)
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图或AP视图。
¡ 进入无线服务模板视图。
wlan service-template service-template-name
¡ 进入AP视图。
wlan ap ap-name
(3) 配置基于ACL的接入控制。
access-control acl acl-number
缺省情况下,未配置基于ACL的接入控制。
基于ACL的接入控制只能引用二层ACL规则。
- 2023-07-31回答
- 评论(1)
- 举报
-
(0)
web界面在哪里配置?
1.2 WLAN客户端接入控制
WLAN接入控制的主要目的为对用户接入网络和访问网络进行控制,WLAN接入控制的方式有以下几种:
· 基于AP组的接入控制。
· 基于SSID的接入控制。
· 基于名单的接入控制。
· 基于ACL的接入控制。
1.2.1 基于AP组的接入控制
如图1-5所示,无线网络中有3个AP,要求Client 1和Client 2只能通过AP 1或AP 2接入网络,Client 3只能通过AP 3接入网络。为实现上述要求,将AP 1和AP 2添加进AP组1中,AP 3添加进AP组2中。AC上配置Client 1和Client 2对应的User Profile指定允许接入的AP组为AP组1,Client 3对应的User Profile指定允许接入的AP组为AP组2。当Client 1、Client 2和Client 3准备接入网络并通过身份认证后,认证服务器会将与用户账户绑定的User Profile名称下发给AC,AC根据指定User Profile里配置的内容查看客户端关联的AP是否在允许接入的AP组中,如果客户端关联的AP在允许接入的AP组中,客户端成功上线,否则上线失败。
图1-5 基于AP组的接入控制组网应用
1.2.2 基于SSID的接入控制
如图1-6所示,无线网络中有3个AP,要求Client 1和Client 2只能接入的SSID名称为ssida的无线服务,Client 3只能接入的SSID名称为ssidb的无线服务。为实现上述要求,AC上配置Client 1和Client 2对应的User Profile指定允许接入的SSID名称为ssida,Client 3对应的User Profile指定允许接入的SSID名称为ssidb。当Client 1、Client 2和Client 3准备接入网络并通过身份认证后,认证服务器会将与用户账户绑定的User Profile名称下发给AC,AC根据指定User Profile里配置的内容查看客户端关联的SSID是否为允许接入的SSID,如果客户端关联的SSID为指定允许接入的SSID,客户端成功上线,否则上线失败。
图1-6 基于SSID的接入控制组网应用
1.2.3 基于名单的接入控制
无线网络很容易受到各种网络威胁的影响,非法设备对于无线网络来说是一个很严重的威胁,因此需要对客户端的接入进行控制。通过黑名单和白名单功能来过滤客户端,对客户端进行控制,防止非法客户端接入无线网络,可以有效的保护企业网络不被非法设备访问,从而保证无线网络的安全。
1. 白名单
白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入。白名单表项只能手工添加和删除。
2. 黑名单
黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入。黑名单分为静态黑名单和动态黑名单,以下分别介绍。
· 静态黑名单
静态添加、删除表项的黑名单称为静态黑名单,当无线网络明确拒绝某些客户端接入时,可以将这些客户端加入静态黑名单。
· 动态黑名单
动态添加、删除表项的黑名单称为动态黑名单。在配置了对非法设备进行反制、无线客户端二次接入认证等场景下,设备会将明确拒绝接入的客户端MAC地址加入到动态黑名单,当动态黑名单表项到达老化超时时间后,删除该表项。基于AC生效的动态黑名单会对所有与AC相连的AP生效,基于AP生效的动态黑名单仅对客户端接入的AP生效。有关反制功能的详细介绍,请参见“WLAN安全配置指导”中的“WIPS”。
3. 客户端过滤机制
当收到客户端关联请求报文或AP向AC发送的Add mobile报文时,无线设备将使用白名单和黑名单对客户端的MAC地址进行过滤。以图1-7为例,具体的过滤机制如下:
(1) 当AC上存在白名单时,AC将判断Client 1的MAC地址是否在白名单中,如果在白名单中,则允许客户端从任意一个AP接入无线网络,如果Client 1不在白名单中,则拒绝Client 1从任何一个AP接入。
(2) 当AC上不存在白名单时,AC则判断Client 1的MAC地址是否在静态黑名单中,若Client 1在静态黑名单中则拒绝Client 1从任何一个AP接入无线网络。
(3) 当AC上不存在白名单且Client 1的MAC地址不在静态黑名单中时,为Client 1配置了二次接入认证时间间隔或者AP收到Client 1的攻击报文:如果配置了动态黑名单基于AP生效,则AC会将Client 1的MAC地址添加到动态黑名单中,并仅拒绝Client 1从AP 1上接入无线网络,但仍允许Client 1从AP 2或AP 3接入无线网络;如果配置了动态黑名单基于AC生效,则拒绝Client 1从任何一个AP接入无线网络。
1.2.4 基于ACL的接入控制
基于ACL的接入控制是指,设备根据指定ACL中配置的规则对新接入的无线客户端进行接入控制。
当无线客户端接入无线网络时,设备通过判断无线客户端MAC地址与指定的ACL规则的匹配情况对客户端进行过滤,具体的过滤机制如下:
· 如果匹配上某permit规则,则允许无线客户端接入无线网络;
· 如果匹配上某deny规则,则拒绝无线客户端接入无线网络;
· 如果未匹配上任何规则,则拒绝其接入。
- 2023-07-31回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
能针对AP做吗
可以,加答案里了