学习笔记-无线的简单配置

某企业部署了WLAN基本业务实现移动 办公。为了保障网络的稳定和安全,预防 泛洪攻击和暴力破解PSK密钥攻击,可以 配置攻击检测和动态黑名单。通过将检测 到的攻击设备加入动态黑名单,丢弃攻击 设备的报文,阻止攻击行为。 具体拓扑如下图所示,本次实验操作 选用ENSP模拟器(AC设备型号为AC6605, AP设备型号为AP6050DN),AC作为DHCP 为AP和STA分配地址)

学习笔记-无线的简单配置

配置AC,配置管理和业务VLAN的IP地址并开启DHCP。AC作为DHCP服务器,为STA 和AP分配IP地址

system-view

[AC6605] sysname AC

 [AC] vlan batch 100 101

[AC] interface gigabitethernet 0/0/1

[AC-GigabitEthernet0/0/1] port link-type trunk

 [AC-GigabitEthernet0/0/1] port trunk pvid vlan 100

 [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

 [AC-GigabitEthernet0/0/1] quit

 [AC] interface gigabitethernet 0/0/2

[AC-GigabitEthernet0/0/2] port link-type trunk

[AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 101

 [AC-GigabitEthernet0/0/2] quit

(2)配置AC作为DHCP服务器,配置基于接口地址池的DHCP服务器,其中,VLANIF100 接口为AP提供IP地址,VLANIF101为STA提供IP地址。

[AC] dhcp enable

[AC] interface vlanif 100

[AC-Vlanif100] ip address 10.23.100.1 24

 [AC-Vlanif100] dhcp select interface

[AC-Vlanif100] quit

[AC] interface vlanif 101

[AC-Vlanif101] ip address 10.23.101.1 24

 [AC-Vlanif101] dhcp select interface

[AC-Vlanif101] quit

(3)配置AP上线 # 创建AP组,用于将相同配置的AP都加入同一AP组中。

[AC] wlan

 [AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] quit

# 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。

[AC-wlan-view] regulatory-domain-profile name domain1

[AC-wlan-regulate-domain-domain1] country-code cn

[AC-wlan-regulate-domain-domain1] quit

 [AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1

Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu e?[Y/N]:y

[AC-wlan-ap-group-ap-group1] quit

[AC-wlan-view] quit

(4)配置AC的源接口

[AC] capwap source interface vlanif 100

(5)在AC上离线导入AP,并将AP加入AP组“ap-group1”中。并且根据AP的部署位置为AP配置名称, 便于从名称上就能够了解AP的部署位置。

首先查询AP的MAC地址00e0-fc71-3f90 (在AP上使用display system-information),并把AP部署在1号区域,命名此AP为area_1。

 [AC] wlan

 [AC-wlan-view] ap auth-mode mac-auth

[AC-wlan-view] ap-id 0 ap-mac 00e0-fc71-3f90

 [AC-wlan-ap-0] ap-name area_1

[AC-wlan-ap-0] ap-group ap-group1

Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? [Y/N]:y

[AC-wlan-ap-0] quit

(6)AP上电后,执行命令display ap all 查看到AP的“State”字段为“nor”时,表示AP正常上线。

学习笔记-无线的简单配置

(7)配置攻击检测功能

配置WPA2-PSK认证方式的防暴力破解密钥攻击检测和泛洪攻击检测功能,可以检测到发起攻击的设备信息。

[AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] radio 0

[AC-wlan-group-radio-ap-group1/0] wids attack detect enable wpa2-psk

[AC-wlan-group-radio-ap-group1/0] wids attack detect enable flood

[AC-wlan-group-radio-ap-group1/0] quit

 [AC-wlan-ap-group-ap-group1] quit

 [AC-wlan-view] wids-profile name wlan-wids

# 配置WPA2-PSK认证方式的暴力破解密钥攻击检测的检测周期为70秒,检测周期内允许密钥错误的次数为25次,

静默时间为700秒。

 [AC-wlan-wids-prof-wlan-wids] brute-force-detect interval 70

 [AC-wlan-wids-prof-wlan-wids] brute-force-detect threshold 25

[AC-wlan-wids-prof-wlan-wids] brute-force-detect quiet-time 700

# 配置泛洪攻击检测的检测周期为70秒,泛洪攻击检测阈值为350个,静默时间为700秒。

 [AC-wlan-wids-prof-wlan-wids] flood-detect interval 70

[AC-wlan-wids-prof-wlan-wids] flood-detect threshold 350

[AC-wlan-wids-prof-wlan-wids] flood-detect quiet-time 700

#动态黑名单功能,可以将发起攻击的设备信息加入动态黑名单,在配置的老化时间内,拒绝接收 其发送的报文。

[AC-wlan-wids-prof-wlan-wids] dynamic-blacklist enable

 [AC-wlan-wids-prof-wlan-wids] quit

# 创建名为“wlan-system”的AP系统模板,配置动态黑名单老化时间为200秒。

[AC-wlan-view] ap-system-profile name wlan-system

[AC-wlan-ap-system-prof-wlan-system] dynamic-blacklist aging-time 200

[AC-wlan-ap-system-prof-wlan-system] quit

(8)配置WLAN业务参数 创建名为“wlan-security”的安全模板,并配置安全策略。

 [AC-wlan-view] security-profile name wlan-security

[AC-wlan-sec-prof-wlan-security] security wpa2 psk pass-phrase a1234567 aes

 [AC-wlan-sec-prof-wlan-security] quit

# 创建名为“wlan-ssid”的SSID模板,并配置SSID名称为“wlan-net”。

[AC-wlan-view] ssid-profile name wlan-ssid

 [AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net

 [AC-wlan-ssid-prof-wlan-ssid] quit

 # 创建名为“wlan-vap”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板。

 [AC-wlan-view] vap-profile name wlan-vap

 [AC-wlan-vap-prof-wlan-vap] forward-mode tunnel

 [AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101

[AC-wlan-vap-prof-wlan-vap] security-profile wlan-security

 [AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid

 [AC-wlan-vap-prof-wlan-vap] quit

# 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-vap”的配置。

[AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0

[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1

[AC-wlan-ap-group-ap-group1] quit

(8)配置AP射频的信道和功率

# 关闭射频的信道和功率自动调优功能。 射频的信道和功率自动调优功能默认开启,如果不关闭此功能则会导致手动配置不生效。

[AC-wlan-view] rrm-profile name default

[AC-wlan-rrm-prof-default] calibrate auto-channel-select disable

[AC-wlan-rrm-prof-default] calibrate auto-txpower-select disable

[AC-wlan-rrm-prof-default] quit

# 配置AP射频0的信道和功率。

[AC-wlan-view] ap-id 0

[AC-wlan-ap-0] radio 0

 [AC-wlan-radio-0/0] channel 20mhz 6

 Warning: This action may cause service interruption. Continue?[Y/N]y

[AC-wlan-radio-0/0] eirp 127

[AC-wlan-radio-0/0] quit

# 配置AP射频1的信道和功率。

 [AC-wlan-ap-0] radio 1

[AC-wlan-radio-0/1] channel 20mhz 149 Warning: This action may cause service interruption. Continue?[Y/N]y

[AC-wlan-radio-0/1] eirp 127

 [AC-wlan-radio-0/1] quit

[AC-wlan-ap-0] quit

验证:

学习笔记-无线的简单配置

在模拟器上双击STA1,会出现如下列表,点击vap列表中的第一行,进行连接,

学习笔记-无线的简单配置

输入之前设置好的密码

学习笔记-无线的简单配置

输入密码之后,STA1会连接上无线,另外一台设备也进行以上操作。

学习笔记-无线的简单配置

最后会看到两台设备都会来连上wlan。

学习笔记-无线的简单配置

上一篇:P6125 [JSOI2009]有趣的游戏


下一篇:快乐的一天从AC开始 | 20210808 | CF1554A