- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
21-WLAN SAVI配置
本章节下载: 21-WLAN SAVI配置 (278.15 KB)
WLAN SAVI(Source Address Validation Improvement,源地址有效性验证)功能用于对AP收到的报文进行过滤控制。以设备学习到的WLAN IP Snooping绑定表项为依据,对报文进行源地址检查,以防止非法客户端的报文通过,从而限制了对网络资源的非法使用(比如非法客户端仿冒合法客户端IP接入网络),提高了无线网络的安全性。
对于使用IPv4地址的客户端,AP会监听客户端与DHCP服务器间交互的DHCPv4报文,从报文中获取到DHCPv4服务器为客户端分配的IP地址,并与客户端的MAC地址形成绑定表项。
对于使用IPv6地址的客户端,有以下两种方式可以形成绑定表项。
· DHCPv6方式:AP监听客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的完整的IPv6地址,并与客户端的MAC地址形成绑定表项。如果从报文中获取到的是DHCPv6服务器为客户端分配的IPv6地址前缀,则无法与客户端的MAC地址形成绑定表项。
· ND(Neighbor Discovery,IPv6邻居发现)方式:AP监听网络中的NS(Neighbor Solicitation,邻居请求消息)、NA(Neighbor Advertisement,邻居通告消息)报文,从报文中获取IPv6地址,并与客户端的MAC地址形成绑定表项。
如图1-1所示,开启WLAN SAVI功能后,AP在收到客户端报文时,会查找WLAN IP Snooping绑定表项,如果AP收到报文的特征项(MAC地址+IP地址)与某个绑定表项匹配,则转发该报文,否则做丢弃处理。
图1-1 WLAN SAVI功能示意图
本功能仅适用于无线应用场景,设备对无线控制器功能的支持情况请参见“WLAN特性与硬件适配关系(AC)”。
WLAN SAVI配置任务如下:
(2) 开启源地址验证功能
根据客户端获取IP地址的方式配置WLAN IP Snooping功能,
(1) 开启通过DHCP方式学习客户端IPv4地址功能。
(2) (可选)关闭通过ARP方式学习客户端IPv4地址功能。
(3) (可选)开启IP地址恢复功能。
(1) 开启通过DHCPv6方式学习客户端IPv6地址功能。
在仅通过DHCPv6方式获取IPv6地址的场景下,仅开启本功能即可。
(2) 开启通过ND方式学习客户端IPv6地址功能。
在仅通过ND方式获取IPv6地址的场景下,仅开启本功能即可。
(3) (可选)开启IP地址恢复功能。
WLAN SAVI功能是针对无线服务模板的,对某个无线服务模板配置了WLAN SAVI功能后,仅对接入该无线服务模板的客户端报文进行IP源地址验证,通过其它无线服务模板接入的客户端不受影响。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-number
(3) 开启源地址验证功能。
(IPv4网络)
ip verify source [ alarm-only ]
(IPv6网络)
ipv6 verify source [ alarm-only ]
缺省情况下,源地址验证功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN SAVI的运行情况,通过查看显示信息验证配置的效果。
表1-1 WLAN SAVI显示和维护
|
操作 |
命令 |
|
显示IPv4绑定表项信息 |
display ip source binding [ wlan-snooping ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] display ip source binding [ wlan-snooping ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] |
|
显示IPv6绑定表项信息 |
display ipv6 source binding [ wlan-snooping ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] display ipv6 source binding [ wlan-snooping ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] |
如图1-2所示,客户端通过名为service的SSID接入网络,Switch作为DHCP server会为接入的客户端动态分配IP地址。
要求对接入此SSID的客户端报文进行IP源地址验证,以防止非法客户端的报文通过。
图1-2 IPv4源地址验证配置组网图
# 创建无线服务模板1,配置SSID为service,并使能服务模版。
<AC> system-view
[AC] wlan service-template 1
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] service-template enable
# 开启IPv4源地址验证。
[AC-wlan-st-1] ip verify source
[AC-wlan-st-1] quit
# 创建手工AP,名称为ap1,选择AP型号并配置序列号。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 将无线服务模板1绑定到Radio 2接口。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
Client 1(MAC地址为001d-0f31-87dd)和Client 2(MAC地址为001c-f08f-f7f1)通过DHCP服务器申请到IP地址后,AP上会生成Client 1和Client 2的绑定表项。当AP收到Client 1和Client 2发送的报文,检查绑定表项匹配后,AP会转发这些报文,Client 3为非法客户端(Client 3伪造其IP地址为Client 1的IP地址),AP无法查找到与其匹配的绑定表项,则会丢弃Client 3发送的报文。
如图1-3所示,AC 1作为WLAN漫游中心,AC 2和AC 3作为Client漫游中心,Client通过AP在AC 2上进行802.1X认证并接入,Client可以再AC 2和AC 3中每次接入后,对AP收到的终端流量进行SAVI检查。
图1-3 SAVI配置组网图
(1) 配置设备各接口的IP地址,保证启动无线802.1X认证之前服务器和AC之间的路由可达,具体配置步骤略。
(2) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<AC2> system-view
[AC2] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC2-radius-rs1] primary authentication 192.168.0.112
[AC2-radius-rs1] primary accounting 192.168.0.112
[AC2-radius-rs1] key authentication simple radius
[AC2-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC2-radius-rs1] user-name-format without-domain
[AC2-radius-rs1] quit
(3) 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC2] domain dm1
# 配置ISP域的AAA方法。
[AC2-isp-dm1] authentication lan-access radius-scheme rs1
[AC2-isp-dm1] authorization lan-access radius-scheme rs1
[AC2-isp-dm1] accounting lan-access radius-scheme rs1
[AC2-isp-dm1] quit
(4) 配置802.1X认证
# 配置802.1X认证方式为EAP。
[AC2] dot1x authentication-method eap
# 创建手工AP,名称为ap2,选择AP型号并配置序列号。
[AC2] wlan ap ap2 model WA6320
[AC2-wlan-ap-ap2] serial-id 219801A28N819CE0002T
[AC2-wlan-ap-ap2] quit
# 配置无线服务模板,SSID为newst。
[AC2] wlan service-template newst
[AC2–wlan-st-newst] ssid newst
# 在无线服务模板newst上配置RSN+802.1X认证。
[AC2–wlan-st-newst] client-security authentication-mode dot1x
[AC2–wlan-st-newst] akm mode dot1x
[AC2–wlan-st-newst] cipher-suite ccmp
[AC2–wlan-st-newst] security-ie rsn
[AC2–wlan-st-newst] dot1x domain dm1
# 关闭通过ARP学习IPv4地址。
[AC2–wlan-st-newst] undo client ipv4-snooping arp-learning enable
# 配置通过DHCPv6报文学习IPv6地址。
[AC2–wlan-st-newst] client ipv6-snooping dhcpv6-learning enable
# 配置通过ND报文学习IPv6地址。
[AC2–wlan-st-newst] client ipv6-snooping nd-learning enable
# 开启WLAN SAVI。
[AC2–wlan-st-newst] ip verify source
[AC2–wlan-st-newst] ipv6 verify source
#开启IP地址恢复功能。
[AC2–wlan-st-newst] client ip-snooping ip-recover enable
# 使能无线服务模板newst。
[AC2–wlan-st-newst] service-template enable
[AC2–wlan-st-newst] quit
# 开启射频功能,将无线服务模板newst绑定到Radio2上。
[AC2] wlan ap ap2
[AC2-wlan-ap-ap2] radio 2
[AC2-wlan-ap-ap2-radio-2] radio enable
[AC2-wlan-ap-ap2-radio-2] service-template newst
[AC2-wlan-ap-ap2-radio-2] quit
[AC2-wlan-ap-ap2] quit
(5) 配置Client漫游中心,与WLAN漫游中心建立连接
# 创建Client漫游中心,并进入Client漫游中心视图。
[AC2] client roaming-center
# 指定WLAN漫游中心的IP地址。
[AC2-client-roaming-center] wlan-roaming-center ip 192.168.1.1
# 开启Client漫游中心功能。
[AC2-client-roaming-center] roaming-center enable
[AC2-client-roaming-center] quit
AC 3的配置与AC 2相同,请参见AC 2进行配置。
# 创建WLAN漫游中心,并进入WLAN漫游中心视图。
<AC1> system-view
[AC1] wlan roaming-center
# 开启WLAN漫游中心功能。
[AC1-wlan-roaming-center] roaming-center enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
