一、组网需求
AC与二层交换机L2 Switch相连。无线接入点AP1(Serial ID:SZ001)、AP2(Serial ID:SZ002)通过L2 Switch与AC相连。AP1、AP2与AC在同一网段。
》Client 1(0000-000f-1211)配置为黑名单列表表项,这个信息被发送到所有与之相连的AP上。任何来源于这个客户端的管理帧将被过滤并丢弃。
》Client 2(0000-000f-34a3) 配置为白名单列表表项,这个信息被发送到所有与之相连的AP上。所有来源于这个客户端的帧将被保留做进一步处理。
AC启动攻击检测功能,任何攻击AP的设备将被加入到动态黑名单。
二、配置命令
请下载文档查看:http://pan.baidu.com/s/1GggiR
三、主要配置步骤
# 配置AP 1
<AC> system-view [AC] wlan service-template 1 clear [AC-wlan-st-1] ssid abc [AC-wlan-st-1] bind wlan-ess 1 [AC-wlan-st-1] authentication-method open-system [AC-wlan-st-1] service-template enable [AC-wlan-st-1] quit
# 配置AP 1为Normal模式,提供WLAN服务。
[AC] wlan ap ap1 model WA2100 [AC-wlan-ap-ap1] serial-id SZ001 [AC-wlan-ap-ap1] radio 1 type dot11g [AC-wlan-ap-ap1-radio-1] service-template 1 [AC-wlan-ap-ap1-radio-1] radio enable
# 配置白名单列表。
<AC> system-view [AC] wlan ids [AC-wlan-ids] whitelist mac-address 0000-000f-34a3
# 配置静态黑名单列表
[AC-wlan-ids] static-blacklist mac-address 0000-000f-1211
#配置入侵检测功能,检测flood,spoof,weak-iv报文攻击
[AC-wlan-ids] attack-detection enable all
# 显示配置的白名单列表。
[AC-wlan-ids] display wlan whitelist
Total Number of Entries: 1
Whitelist
----------------------------------------------------------------------
MAC-Address
----------------------------------------------------------------------
0000-000f-34a3
----------------------------------------------------------------------
# 显示配置的静态黑名单列表。
[AC-wlan-ids] display wlan blacklist static
Total Number of Entries: 1
Static Blacklist
----------------------------------------------------------------------
MAC-Address
----------------------------------------------------------------------
0000-000f-1211
不在白名单列表中的客户端和在黑名单列表中的客户端都无法接入无线网络,只有在白名单列表中的客户端才能接入网络。
对ap进行flood,spoof或weak-iv攻击后,攻击设备会被加入到动态黑名单列表,攻击报文被丢弃
H3C WX系列AC+Fit AP系列WIDS非法设备检测并反制配置 参考:
http://www.elvhome.com/html/2013-12-13/2013121311274070487.html
