由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

说明

客户端黑白名单其实实现的效果与MAC地址认证是一样的,在无线客户端接入网络的时候,实现对无线客户端的接入控制,只允许合法的客户端正常接入WLAN网络。

两种名单

1、白名单列表:允许接入WLAN网络客户端的MAC地址列表,只有存在该列表的用户才能接入【如果启用未定义,等于所有用户可以接入】
2、黑名单列表:拒绝接入WLAN网络客户端的MAC地址表,存在该列表的用户不能接入WLAN网络【如果启用未定义,等于所有用户可以接入,不限制】

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

名单功能的处理过程,跟图所示,当客户端想上线的时候,查看是否启用了黑白名单没有,有的话,在检查是否在对应的列表里面,如果在白名单里面则通过,不在则拒绝,如果在黑名单里面则拒绝,不在则通过。

黑白名店两种配置方式

1、基于全局配置:它会影响所有的AP
2、基于VAP(服务集):只对某些SSID启用
如果两种都启用了的话,则会检查两个列表,如果两个列表里面没有包含该客户端的信息则通过或者不通过。

掌握目标

1、AP上线以及业务下发
2、基于全局与VAP形式的白名单功能配置
3、测试
4、基于全局与VAP形式的白名单配置
5、测试
6、总结

拓扑说明

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入


拓扑很简单,AC直连AP,这里主要测试黑白名单功能,所以不搞那么复杂的网络了。AP-1有2个SSID,一个是AP1-Open-1,一个是AP1-Open-2,而AP-2也有2个SSID,一个是AP2-Open-1,另外一个是AP2-Open-2.


我们测试4种情况
1、基于全局的白名单
2、基于VAP的白名单
3、基于全局的黑名单


4、基于VAP的黑名单


1、AP上线以及业务下发

对于AP的上线以及业务的配置下发,在前面20篇都有详细介绍,这里就不在做详细介绍了,直接给出配置。

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入
由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入
由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入
由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

当没配置黑白名单功能的时候,AP-1跟AP-2是没任何限制,所有客户端都可以接入。

2、基于全局与VAP形式的黑白名单功能配置

AP-1的配置(基于全局与VAP的白名单)

2.1基于全局的配置

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

2-2 基于VAP
[Huawei-wlan-view]sta-whitelist-profile name AP1-OPEN-1
[Huawei-wlan-whitelist-prof-AP1-OPEN-1]sta-mac 5489-9817-0F6D
定义一个白名单模板,里面定义客户端的MAC地址

[Huawei-wlan-view]service-set name AP1-Open-1
[Huawei-wlan-service-set-ap1-open-1]sta-access-mode whitelist
[Huawei-wlan-service-set-ap1-open-1]sta-whitelist-profile name AP1-OPEN-1
[Huawei-wlan-service-set-ap1-open-1]com ap 0

然后在服务集下开启白名单功能,并且调用了该白名单模板

3、测试

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入
由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

当关联Open-1的时候,一直提示正在连接,连接不上,而连接Open-2则没问题,这个跟我们想要的效果没有到达,我们在全局列表明明放行了Client1的MAC地址,但是VAP的模板里面并没有包括 AP-1,正式因为黑白名单看的是,VAP的列表与全局列表的综合,但是这里VAP模板里面并没有Client-1,所以导致失败,这时候我们需要在白名单模板里面添加它。

[Huawei-wlan-view]sta-whitelist-profile id 0
[Huawei-wlan-whitelist-prof-AP1-OPEN-1]sta-mac 5489-98ef-5bac

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

这时候Client1就可以关联Open1了。

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

这时候Client2连接2个SSID,都失效,因为在Open-1里面虽然有VAP的模板包含了Client2的MAC地址,但是全局没有包含,而Open-2则 虽然VAP没有定义,但是全局里面没有包含。

[Huawei-wlan-view]sta-whitelist 5489-9817-0f6d

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入
由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

可以看到添加后就可以任意访问了,但是可以看到并没有达到我们的要求。这是因为2种方式的配置是存在问题的,如果两种方式都有,那么就必须两个里面都包含,否则不能通过。

所以我们在实际应用中只选择一种即可,最好是基于VAP的,这种比较细致,影响范围最小。

4、基于全局与VAP形式的白名单配置

4.1基于全局
[Huawei-wlan-view]sta-access-mode ap 1 blacklist
[Huawei-wlan-view]sta-blacklist 5489-9864-3478
在全局定义的话,则是影响该AP所有SSID都不能接入该MAC地址的客户端(这里定义的是Client3)

4.2基于VAP
[Huawei-wlan-service-set-AP2-Open-1]service-set id 3
[Huawei-wlan-service-set-AP2-Open-1]sta-access-mode blacklist
[Huawei-wlan-service-set-AP2-Open-1]sta-blacklist-profile id 0
[Huawei-wlan-service-set-AP2-Open-1]com ap 1

5、测试

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

Client3由于是全局定义的,影响该AP的所有SSID,所以都不能接入。

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入
由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

可以看到Client4则不通,因为它的MAC地址只调用在了VAP里面,也就是Open-1,所以它只有Open-1连接不了,而Open-2则是没任何问题。

本文首发于公众号:网络之路博客

上一篇:HUAWEI AppGallery Connect 正式发布移动端App,随时随地掌握应用动态


下一篇:由浅入深玩转华为WLAN—13 华为胖AP的常见配置