国家 / 地区

WLAN SAVI技术白皮书-6W100

手册下载

WLAN SAVI技术白皮书

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2019新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



概述

1.1  产生背景

WLAN SAVISource Address Validation Improvement,源地址有效性验证)用于对AP收到的报文进行过滤控制,以防止非法客户端的报文通过。在实际应用中,当用户通过手工配置、DHCP等方式获取IP地址并通过认证后,即可接入无线网络进行数据通信。但某些非法用户会通过手工配置IP地址的方式仿冒成合法用户,并使用该仿冒IP从事非法行为,给网络留下了安全隐患。开启WLAN SAVI功能后,无线客户端通过认证并被分配IP地址,AP就会记录下该无线客户端的MAC地址与被分配的IP地址的绑定关系,当AP再次收到无线客户端的数据流量时,如果检测到无线客户端的MAC地址和IP地址与AP本地的记录不匹配,则不对流量进行转发。

1.2  技术优点

WLAN SAVI主要具有以下优点:

1. 解决了IP地址仿冒问题

无线客户端通过认证且分配到IP地址之后,接入AP会记录无线客户端的MAC地址与被分配的IP地址绑定关系表项,当数据流量中无线客户端MAC地址与IP地址绑定关系和记录的绑定关系表项不匹配时,AP不会对数据流量进行转发,从而阻止了非法用户仿冒合法用户IP进行非法操作的行为,保障了无线网络的安全。

2. 支持无线客户端漫游场景

由于无线局域网通信介质开放性的特点,随着无线客户端地理位置的改变,客户端接入的AP可能也发生了改变。当接入AP发生改变时,源接入AP上的无线客户端MAC地址和IP地址的绑定关系表项也会同步到新的接入AP上,保证在WLAN漫游场景下,WLAN SAVI功能同样生效。

WLAN SAVI技术实现

2.1  客户端MAC地址与IP地址绑定关系

AP上无线客户端MAC地址与IP地址绑定关系生成过程如下:

(1)      客户端接入无线网络,完成用户认证后,通过ARPDHCPv4DHCPv6等方式学习到IP地址。

(2)      AP根据客户端IP地址类型,通过不同的方式生成绑定表项并进行本地记录:

¡  对于IPv4地址的客户端,AP会截获客户端发送的ARP报文或者DHCPv4报文,从报文中获取到客户端的IPv4地址,并与客户端的MAC地址形成绑定表项。

¡  对于IPv6地址的客户端:

-      DHCPv6方式:AP会截获客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到客户端的完整IPv6地址,并与客户端的MAC地址形成绑定表项。如果从报文中获取到的为客户端的IPv6地址前缀,则无法与客户端的MAC地址形成绑定表项。

-      ND方式:AP监听网络中的RANSNA报文,从报文中获取客户端的IPv6地址,并与客户端的MAC地址形成绑定表项。

(3)      AP将绑定关系表项上报AC进行集中存储。

图1 客户端MAC地址与IP地址绑定关系

 

2.2  普通场景下的WLAN SAVI功能

在普通WLAN接入网络中,当AP收到无线客户端数据报文后,AP会检查无线客户端数据报文中的IP地址和MAC地址与记录的IP源地址绑定表项是否一致:

·              如果一致,则转发该报文。

·              如果不一致,则直接丢弃该报文。

2.3  漫游场景下的WLAN SAVI功能

由于无线网络介质的特殊性,无线客户端因地理位置的改变可能会发生漫游,即从另一个AP接入无线网络,漫游过程中,无线客户端的IP地址不发生改变,因此需要将绑定关系表项同步到漫游AP上。具体过程如下:

(1)      无线客户端ClientAP 1上线后,完成如2.1  客户端MAC地址与IP地址绑定关系中描述的业务处理。

(2)      Client漫游到AP 2认证上线。

(3)      AC感知到ClientAP 1漫游到AP 2时,将AP 1上生成的Client的绑定关系表项同步给AP 2WLAN SAVI功能在AP 2上生效。

(4)      Client漫游完成后,AC删除AP 1上记录的该Client绑定关系表项

图2 漫游场景下WLAN SAVI功能

 

典型配置应用

3.1  WLAN SAVI配置举例

配置WLAN SAVI功能后,AP在收到非法客户端报文时,查找IP源地址绑定表项,发现非法客户端发送报文的特征项(MAC地址+IP地址)与某个绑定表项不匹配,直接将该报文丢弃处理。WLAN SAVI功能有效的防止了非法客户端报文的通过,限制了对网络资源的非法使用,提高了无线网络的安全信息。

3所示,客户端通过名为serviceSSID接入网络,Switch作为DHCP server会为接入的客户端动态分配IP地址。要求对接入此SSID的客户端报文进行IP源地址验证,以防止非法客户端的报文通过。

Client 1MAC地址为001d-0f31-87dd)和Client 2MAC地址为001c-f08f-f7f1)通过DHCP服务器申请到IP地址后,AP上会生成Client 1Client 2的绑定表项。当AP收到Client 1Client 2发送的报文,检查绑定表项匹配后,AP会转发这些报文,Client 3为非法客户端(Client 3伪造其IP地址为Client 1IP地址),AP无法查找到与其匹配的绑定表项,则会丢弃Client 3发送的报文。

图3 WLAN SAVI功能

http://press.h3c.com/data/infoblade/Comware%20V7%E5%B9%B3%E5%8F%B0B64%E5%88%86%E6%94%AF%E4%B8%AD%E6%96%87/13-%E5%AE%89%E5%85%A8/28-IP%20Source%20Guard/IP%20Source%20Guard%E9%85%8D%E7%BD%AE.files/x_Img_x_png_8.png