1 特性简介
> DoS(Denial of Service,拒绝服务)攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
>管理协议报文包括:目的IP为本机的TELNET、SNMP、HTTP协议报文。
> 其他协议报文包括:802.11MAC管理、802.1X、ARP、DHCP、HWTACACS、ICMP、IGMP、MLD、LWAPP、ND、NTP、PIM、RADIUS。
>各类协议的优先级不同,要确保高优先级报文的带宽。当低优先级报文流量超过系统门限时,为了防止正常流量的高优先级报文被超大流量的低优先级报文淹没并丢弃,需要及时把高优先级报文分离出并处理。
2 应用场合
如果网络中存在低优先级别的报文流量超过系统门限,正常流量的高优先级报文会被超大流量的低优先级报文淹没并丢弃,导致网络不可用。ADOS高优先级报文带宽保证功能设计用于防止这种情况的出现,它会将高优先级的报文分离出来并优先处理。
3 注意事项
(1) ADOS报文流量攻击防护是专门针对协议报文目的地是无线控制器的攻击,访问目的地不是AC的协议报文不进行防护。
(2) 业务报文攻击防护是指经由AC转发的业务报文,这类报文的防护没有访问的目的地的限制。
(3) 在快转开启的情况下,ADOS攻击防护功能不起作用,所以需要关闭快转功能。
(4) 协议有线级别分为3个优先级,管理报文的优先级别最高,其它协议报文在使能相应的功能时优先级别为中级,数据报文和其它协议报文在对应的协议功能没有使能时的优先级别为最低。
一、组网需求
多个无线客户端Client通过无线局域网络连到无线控制器AC上。同时有线网络也连接到AC上。
》要求网络用户使用超过AC的ADOS系统门限的业务报文时对AC的管理连接工作正常。包括TELNET、SNMP、HTTP。同时启动了相应功能的其它协议报文也能工作正常。
》要求启动了相应功能的其它协议报文的流量超过AC的ADOS系统门限时,对AC的管理连接工作正常。包括TELNET、SNMP、HTTP。
》其它的协议报文包括:802.11MAC管理、802.1X、ARP、DHCP、HWTACACS、ICMP、IGMP、MLD、LWAPP、ND、NTP、PIM、RADIUS
二、使用版本及详细信息
请自行下载文档: http://pan.baidu.com/s/1w10LX
三、主要配置步骤
1、AC的主要配置步骤
(1) 使能ADOS防攻击
<AC>system-view [AC]anti-attack enable
(2) 取消快转使能后,ADOS防攻击才生效
[AC]undo l2fw fast-forwarding
(3) 配置AC的地址
[AC]interface vlan 1 [AC-Vlan-interface1]ip address 1.1.1.250 24(4) 配置用户地址池
[AC]dhcp enable [AC]dhcp server ip-pool test [AC-dhcp-pool-test]network 1.1.1.0 24
(5) 配置AP1
[AC]wlan service-template 1 clear [AC-wlan-st-1]ssid test_ap1 [AC-wlan-st-1]authentication-method open-system [AC-wlan-st-1]bind WLAN-ESS 1 [AC-wlan-st-1]service-template enable [AC-wlan-st-1]quit [AC]wlan radio-policy 1 [AC-wlan-rp-1]quit [AC]wlan ap test_ap1 model wa2100 [AC-wlan-ap-test_ap1]serial-id hhx1 [AC-wlan-ap-test_ap1]radio 1 type 11g [AC-wlan-ap-test_ap1-radio-1]service-template 1 [AC-wlan-ap-test_ap1-radio-1]radio-policy 1 [AC-wlan-ap-test_ap1-radio-1]radio enable [AC-wlan-ap-test_ap1-radio-1]quit [AC-wlan-ap-test_ap1]quit
2. 3900交换机主要配置步骤
(1) 在于AP相连的以太网接口Ethernet 1/0/1使能POE服务
<3900_poe>system-view [3900_poe]interface Ethernet 1/0/1 [3900_poe-Ethernet1/0/1]poe enable
四、配置用户
(以WINDOWS XP为例)通过DHCP方式获取地址
右击桌面“网上邻居”-> 单击“属性”—>进入“网络连接”窗口,右击“网络连接”-> 进入“本地连接属性”窗口,选择适当的“连接时使用”的无线网卡,选择“Internet协议(TCP/IP)”,点击“属性”-> 进入“Internet协议(TCP/IP)属性”窗口,选择“自动获得IP地址”和“自动获得DNS服务器地址”,即可。
五、 验证结果
(1)业务报文超过AC的ADOS系统门限,AC的管理连接工作正常。
有经过AC的大流量的业务报文转发,已经超过AC的ADOS系统门限, 此时从用户端telnet到 AC,正常连接和工作。
(2) 业务报文超过AC的ADOS系统门限,启动了相应功能的其它协议报文也能工作正常。
有经过AC的大流量的业务报文转发,已经超过AC的ADOS系统门限, 此时从用户端telnet到AC,新的用户加入到网络并能自动获取到DHCP server分配的IP Address。
[AC]display dhcp server ip-in-use all
Global pool:
IP address Client-identifier/ Lease expiration Type
Hardware address
1.1.1.1 000f-e212-5100 Feb 13 2007 03:45:58 Auto:COMMITTED
1.1.1.2 0017-9a00-7ba3 Feb 13 2007 04:32:38 Auto:COMMITTED
1.1.1.3 000f-e212-f371 Feb 13 2007 04:45:21 Auto:COMMITTED
1.1.1.4 000f-8901-4120 Feb 13 2007 05:21:47 Auto:COMMITTED
--- total 4 entry ---
(3) 启动了相应功能的其它协议报文超过AC的ADOS系统门限,AC的管理连接工作正常。有大量的ICMP协议报文访问AC,已经超过AC的ADOS系统门限,此时从用户端telnet到 AC,正常连接和工作。
[AC]display anti-attack icmp
The number of total icmp attack packets is 2285
The number of the lastest icmp attack sources in buffer is 1
Mac Ip Bssid Interface Time
---------------------------------------------------------------------------
GigabitEthernet1/0/1 05:24:56 02/12/2007