说明
客户端黑白名单其实实现的效果与MAC地址认证是一样的,在无线客户端接入网络的时候,实现对无线客户端的接入控制,只允许合法的客户端正常接入WLAN网络。
两种名单
1、白名单列表:允许接入WLAN网络客户端的MAC地址列表,只有存在该列表的用户才能接入【如果启用未定义,等于所有用户可以接入】
2、黑名单列表:拒绝接入WLAN网络客户端的MAC地址表,存在该列表的用户不能接入WLAN网络【如果启用未定义,等于所有用户可以接入,不限制】
名单功能的处理过程,跟图所示,当客户端想上线的时候,查看是否启用了黑白名单没有,有的话,在检查是否在对应的列表里面,如果在白名单里面则通过,不在则拒绝,如果在黑名单里面则拒绝,不在则通过。
黑白名店两种配置方式
1、基于全局配置:它会影响所有的AP
2、基于VAP(服务集):只对某些SSID启用
如果两种都启用了的话,则会检查两个列表,如果两个列表里面没有包含该客户端的信息则通过或者不通过。
掌握目标
1、AP上线以及业务下发
2、基于全局与VAP形式的白名单功能配置
3、测试
4、基于全局与VAP形式的白名单配置
5、测试
6、总结
拓扑说明
拓扑很简单,AC直连AP,这里主要测试黑白名单功能,所以不搞那么复杂的网络了。AP-1有2个SSID,一个是AP1-Open-1,一个是AP1-Open-2,而AP-2也有2个SSID,一个是AP2-Open-1,另外一个是AP2-Open-2.
我们测试4种情况
1、基于全局的白名单
2、基于VAP的白名单
3、基于全局的黑名单
4、基于VAP的黑名单
1、AP上线以及业务下发
对于AP的上线以及业务的配置下发,在前面20篇都有详细介绍,这里就不在做详细介绍了,直接给出配置。
当没配置黑白名单功能的时候,AP-1跟AP-2是没任何限制,所有客户端都可以接入。
2、基于全局与VAP形式的黑白名单功能配置
AP-1的配置(基于全局与VAP的白名单)
2.1基于全局的配置
2-2 基于VAP
[Huawei-wlan-view]sta-whitelist-profile name AP1-OPEN-1
[Huawei-wlan-whitelist-prof-AP1-OPEN-1]sta-mac 5489-9817-0F6D
定义一个白名单模板,里面定义客户端的MAC地址
[Huawei-wlan-view]service-set name AP1-Open-1
[Huawei-wlan-service-set-ap1-open-1]sta-access-mode whitelist
[Huawei-wlan-service-set-ap1-open-1]sta-whitelist-profile name AP1-OPEN-1
[Huawei-wlan-service-set-ap1-open-1]com ap 0
然后在服务集下开启白名单功能,并且调用了该白名单模板
3、测试
当关联Open-1的时候,一直提示正在连接,连接不上,而连接Open-2则没问题,这个跟我们想要的效果没有到达,我们在全局列表明明放行了Client1的MAC地址,但是VAP的模板里面并没有包括 AP-1,正式因为黑白名单看的是,VAP的列表与全局列表的综合,但是这里VAP模板里面并没有Client-1,所以导致失败,这时候我们需要在白名单模板里面添加它。
[Huawei-wlan-view]sta-whitelist-profile id 0
[Huawei-wlan-whitelist-prof-AP1-OPEN-1]sta-mac 5489-98ef-5bac
这时候Client1就可以关联Open1了。
这时候Client2连接2个SSID,都失效,因为在Open-1里面虽然有VAP的模板包含了Client2的MAC地址,但是全局没有包含,而Open-2则 虽然VAP没有定义,但是全局里面没有包含。
[Huawei-wlan-view]sta-whitelist 5489-9817-0f6d
可以看到添加后就可以任意访问了,但是可以看到并没有达到我们的要求。这是因为2种方式的配置是存在问题的,如果两种方式都有,那么就必须两个里面都包含,否则不能通过。
所以我们在实际应用中只选择一种即可,最好是基于VAP的,这种比较细致,影响范围最小。
4、基于全局与VAP形式的白名单配置
4.1基于全局
[Huawei-wlan-view]sta-access-mode ap 1 blacklist
[Huawei-wlan-view]sta-blacklist 5489-9864-3478
在全局定义的话,则是影响该AP所有SSID都不能接入该MAC地址的客户端(这里定义的是Client3)
4.2基于VAP
[Huawei-wlan-service-set-AP2-Open-1]service-set id 3
[Huawei-wlan-service-set-AP2-Open-1]sta-access-mode blacklist
[Huawei-wlan-service-set-AP2-Open-1]sta-blacklist-profile id 0
[Huawei-wlan-service-set-AP2-Open-1]com ap 1
5、测试
Client3由于是全局定义的,影响该AP的所有SSID,所以都不能接入。
可以看到Client4则不通,因为它的MAC地址只调用在了VAP里面,也就是Open-1,所以它只有Open-1连接不了,而Open-2则是没任何问题。
本文首发于公众号:网络之路博客