黑白名单

本帮助主要介绍以下内容:

特性简介

无线网络很容易受到各种网络威胁的影响,非法设备对于无线网络来说是一个很严重的威胁,因此需要对客户端的接入进行控制。通过黑名单和白名单功能来过滤客户端,对客户端进行控制,防止非法客户端接入无线网络,可以有效的保护企业网络不被非法设备访问,从而保证无线网络的安全。

运行机制

客户端关联设备时,设备将使用白名单和黑名单对客户端的MAC地址进行过滤,具体的过滤机制如下:

  1. 当AC上存在动态黑名单时,AC则判断客户端的MAC地址是否在动态黑名单中:

    1. 若客户端在动态黑名单中,则拒绝客户端从任何一个AP接入无线网络。

    2. 若客户端不在动态黑名单中,则基于白名单对客户端进行接入控制。

  2. 当AC上存在白名单时,AC将判断客户端的MAC地址是否在白名单中:

    1. 如果在白名单中,则允许客户端从任意一个AP接入无线网络;

    2. 如果客户端不在白名单中,则拒绝客户端从任何一个AP接入。

  3. 当AC上不存在白名单时,AC则判断客户端的MAC地址是否在静态黑名单中:

    1. 若客户端在静态黑名单中,则拒绝客户端从任何一个AP接入无线网络。

    2. 若客户端不在静态黑名单中,则不进行接入控制。

动态黑名单

动态添加、删除表项的黑名单称为动态黑名单。在配置了对非法设备进行反制、无线客户端二次接入认证等场景下,设备会将明确拒绝接入的客户端MAC地址加入到动态黑名单。配置项如下:

白名单

白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入。白名单仅支持手工添加与删除。

静态黑名单

黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入。静态黑名单仅支持手工添加与删除。

适用场景

黑白名单技术适用于存在非法客户端,需要对客户端进行接入控制的场景:

配置指南

配置思路

黑白名单功能的配置思路如下图所示:

配置白名单功能

白名单的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 黑白名单”。

  2. 选择切换为白名单模式,并选择新增白名单的方式,支持三种添加方式:

    • 手动添加:一次最多可以手动添加10个MAC地址。

    • 在线添加:即选择在线终端添加至白名单中。

    • 导入:下载XLSL文件模板,填写后导入至白名单中,可以一次性添加多于10个MAC地址。导入过程中,请不要关闭或刷新页面。

  3. 需要注意的是:

    • 切换为白名单模式后,静态黑名单列表将清空。

    • 所有终端将断开连接,只有白名单列表中的终端可以再次上线。

    • 白名单列表不能为空,否则工作模式仍将保持为黑名单模式。

    • 一个MAC地址同时只能存在于白名单和静态黑名单中的一个。

    • 一个MAC地址可以同时存在于白名单和动态黑名单中,此时动态黑名单生效。

配置静态黑名单功能

静态黑名单的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 黑白名单”。

  2. 在静态黑名单配置栏目中新增不允许通过的客户端MAC地址。支持三种添加方式,也可以暂不添加黑名单。添加方式为:

    • 手动添加:一次最多可以手动添加10个MAC地址。

    • 在线添加:即选择在线终端添加至黑名单中。

    • 导入:下载XLSL文件模板,填写后导入至黑名单中,可以一次性添加多于10个MAC地址。导入过程中,请不要关闭或刷新页面。

  3. 需要注意的是:

    • 切换为黑名单模式后,白名单列表将清空。

    • 一个MAC地址同时只能存在于白名单和静态黑名单中的一个。

    • 一个MAC地址可以同时存在于白名单和动态黑名单中,此时白名单生效。

配置动态黑名单功能

动态黑名单功能自动生效,无法关闭,的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 黑白名单”。

  2. 配置老化时间。当到达老化时间时,AC会将MAC地址从动态黑名单中删除。新配置的动态黑名单老化时间只对新加入动态黑名单的客户端生效。

  3. 配置终端二次接入时间间隔。设备将已通过认证的客户端的MAC地址加入到动态黑名单中,并在指定的时间间隔内禁止客户端接入,通过此方式加入动态黑名单的MAC地址不受老化时间的影响。

  4. 配置动态黑名单生效范围,选择“当前AC”时,AC下相连的所有AP都将拒绝该客户端接入;选择“当前AP”时,客户端尝试接入的AP将拒绝接入,但客户端仍可以从AC下的其他AP接入。在AP部署较密集的无线网络环境下,建议配置动态黑名单基于AC生效。