Для выбранного языка не найдены ресурсы переадресации.

Продолжая просмотр сайта и(или) нажимая X, я соглашаюсь с использованием файлов cookie владельцем сайта в соответствии с Политикой в отношении файлов cookie в том числе на передачу данных, указанных в Политике, третьим лицам (статистическим службам сети Интернет), в соответствии с Пользовательским соглашением >X

Меню

Типичные примеры настройки WLAN

Rate and give feedback:
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки обнаружения атаки

Пример настройки обнаружения атаки

Требования к службе

Пользователи предприятия могут получить доступ к сети через WLAN, что является основным требованием мобильного офиса. Кроме того, службы пользователей не затрагиваются во время роуминга в зоне покрытия.

Чтобы обеспечить стабильность и безопасность сети, сетевые администраторы могут настраивать обнаружение атаки и динамический черный список, чтобы предотвратить атаки наводнения и взлома PSK грубой силы. Обнаруженные устройства атаки добавляются в динамический черный список, а пакеты из них отбрасываются, предотвращая атаки.

Требования к сети

  • Режим сети AC: Режим обхода уровня 2
  • Режим развертывания DHCP:
    • AC функционирует как DHCP-сервер, чтобы назначить IP-адреса для AP.
    • Коммутатор агрегации (SwitchB) функционирует как DHCP-сервер, чтобы назначить IP-адреса для STA.
  • Режим переадресации сервисных данных: туннельная переадресация
Рис. 3-60 Сеть для настройки обнаружения атак

План данных

Табл. 3-66 План данных AC

Пункт

Данные

Управляющая VLAN для AP

VLAN 100

Сервисная VLAN для STA

VLAN 101

DHCP-сервер

AC функционирует как DHCP-сервер, чтобы назначить IP-адреса для AP.

SwitchB функционирует как DHCP-сервер, чтобы назначить IP-адреса для STA. Адрес шлюза по умолчанию для STA - 10.23.101.2.

Пул IP-адресов для AP 10.23.100.2-10.23.100.254/24
Пул IP-адресов для STA 10.23.101.3-10.23.101.254/24
Адрес исходного интерфейса AC VLANIF 100: 10.23.100.1/24
Группа AP
  • Имя: ap-group1
  • Ссылочные профили: Профиль VAP wlan-net, профиль регулятивного домена default и профиль WIDS wlan-wids и профиль системы AP wlan-system
  • Тип обнаружения атаки AP Radio: обнаружение атаки взлома PSK грубой силы для аутентификации WPA2-PSK и обнаружения наводнений.
Профиль регулятивного домена
  • Имя: default
  • Код страны: China
Профиль SSID
  • Имя: wlan-net
  • Имя SSID: wlan-net
Профиль безопасности
  • Имя: wlan-net
  • Политика безопасности: WPA-WPA2+PSK+AES
  • Пароль: a1234567
Профиль VAP
  • Имя: wlan-net
  • Режим переадресации: туннельная переадресация
  • Сервисная VLAN: VLAN 101
  • Ссылочные профили: Профиль SSID wlan-net и профиль безопасности wlan-net
Профиль WIDS
  • Имя: wlan-wids
  • Интервал для обнаружения взлома PSK грубой силы: 70 секунд
  • Тихое время для обнаружения взлома PSK грубой силы: 700 секунд
  • Максимальное количество ошибок согласования ключей, разрешенных в течение периода обнаружения атаки взлома PSK грубой силы: 25
  • Интервал обнаружения атаки наводнения: 70 секунд
  • Тихое время обнаружения наводнения: 700 секунд
  • Порог обнаружения атаки наводнения: 350
  • Функция динамического черного списка: включена
Профиль системы AP
  • Имя: wlan-system
  • Время старения динамического черного списка: 200 секунд

Схема настройки

  1. Настройте основные службы WLAN, чтобы пользователи могли получить доступ к WLAN.

  2. Настройте обнаружение атаки взлома PSK грубой силы для аутентификации WPA2-PSK и обнаружения атаки наводнения, чтобы устройства WLAN могли обнаруживать устройства атаки.

  3. Настройте функцию динамического черного списка, чтобы добавить устройства атаки в динамический черный список и отвергать пакеты из этих устройств в течение времени старения динамического черного списка.

Примечания по конфигурации

  • Механизм ACK не предусмотрен для многоадресной передачи пакетов на воздушных интерфейсах. Кроме того, беспроводные каналы нестабильны. Для обеспечения стабильной передачи многоадресных пакетов они обычно отправляются по низким тарифам. Если большое количество таких многоадресных пакетов отправляется с сетевой стороны, воздушные интерфейсы могут быть перегружены. Рекомендуется настроить подавление многоадресных пакетов, чтобы уменьшить влияние большого количества низкоскоростных многоадресных пакетов на беспроводную сеть. Соблюдайте осторожность при настройке ограничения скорости; в противном случае могут быть затронуты многоадресные услуги.
    • В режиме прямой переадресации рекомендуется настроить подавление многоадресных пакетов на интерфейсах коммутатора, подключенных к точкам доступа (AP).
    • В режиме туннельной переадресации рекомендуется настроить подавление многоадресных пакетов в профилях трафика AC.
    Подробнее о том, как настроить подавление трафика, см. Подавление многоадресных пакетов не настроено, что приводит к замедлению доступа к сети STA.
  • Настройте изоляцию портов на интерфейсах устройства, напрямую подключенного к точкам доступа. Если изоляция порта не настроена и используется прямая переадресация, в VLAN может быть создано большое количество ненужных широковещательных пакетов, блокирующих сеть и ухудшающих работу пользователя.

  • В режиме туннельной переадресации управляющая VLAN и сервисная VLAN не могут быть одинаковыми. Только пакеты из управляющей VLAN передаются между AC и AP. Пакеты из сервисной VLAN не допускаются между AC и AP.

Процедура

  1. Настройте сетевые устройства.

    # Добавьте GE0/0/1 и GE0/0/2 на SwitchA к VLAN 100. VLAN по умолчанию GE0/0/1 - VLAN 100.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] vlan batch 100
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] port link-type trunk
    [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
    [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
    [SwitchA-GigabitEthernet0/0/1] port-isolate enable
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface gigabitethernet 0/0/2
    [SwitchA-GigabitEthernet0/0/2] port link-type trunk
    [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
    [SwitchA-GigabitEthernet0/0/2] quit
    
    # Добавьте GE0/0/1 и GE0/0/2 на SwitchB (коммутатор агрегации) к VLAN 100, GE0/0/2 и GE0/0/3 к VLAN 101.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchB
    [SwitchB] vlan batch 100 101
    [SwitchB] interface gigabitethernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1] port link-type trunk
    [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
    [SwitchB-GigabitEthernet0/0/1] quit
    [SwitchB] interface gigabitethernet 0/0/2
    [SwitchB-GigabitEthernet0/0/2] port link-type trunk
    [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
    [SwitchB-GigabitEthernet0/0/2] quit
    [SwitchB] interface gigabitethernet 0/0/3
    [SwitchB-GigabitEthernet0/0/3] port link-type trunk
    [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 101
    [SwitchB-GigabitEthernet0/0/3] quit
    
    # Добавьте GE1/0/0 на маршрутизаторе (Router) к VLAN 101. Создайте VLANIF 101 и установите его IP-адрес на 10.23.101.2/24.
    <Huawei> system-view
    [Huawei] sysname Router
    [Router] vlan batch 101
    [Router] interface gigabitethernet 1/0/0
    [Router-GigabitEthernet1/0/0] port link-type trunk
    [Router-GigabitEthernet1/0/0] port trunk allow-pass vlan 101
    [Router-GigabitEthernet1/0/0] quit
    [Router] interface vlanif 101
    [Router-Vlanif101] ip address 10.23.101.2 24
    [Router-Vlanif101] quit
    

  2. Настройте AC для связи с сетевыми устройствами.

    ПРИМЕЧАНИЕ:

    Если AC и AP подключены напрямую, установите VLAN по умолчанию интерфейсов, подключенных к AP, на управляющую VLAN 100.

    # Добавьте GE0/0/1 на AC к VLAN 100 и VLAN 101.
    <AC6605> system-view
    [AC6605] sysname AC
    [AC] vlan batch 100 101
    [AC] interface gigabitethernet 0/0/1
    [AC-GigabitEthernet0/0/1] port link-type trunk
    [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
    [AC-GigabitEthernet0/0/1] quit
    

  3. Настройте DHCP-серверы для того, чтобы назначить IP-адреса для AP и STA.

    # На AC настройте VLANIF 100 для того, чтобы назначить IP-адреса для AP.
    [AC] dhcp enable
    [AC] interface vlanif 100
    [AC-Vlanif100] ip address 10.23.100.1 24
    [AC-Vlanif100] dhcp select interface
    [AC-Vlanif100] quit
    
    # На SwitchB настройте VLANIF 101 для того, чтобы назначить IP-адреса для STA и установите адрес шлюза STA по умолчанию на 10.23.101.2.
    ПРИМЕЧАНИЕ:
    Настройте DNS-сервер по мере необходимости. Общие методы заключаются в следующем:
    • В сценариях пула адресов интерфейса запустите команду dhcp server dns-list ip-address &<1-8> в виде интерфейса VLANIF.
    • В сценариях пула глобального адреса запустите команду dns-list ip-address &<1-8> в виде пула IP-адресов.
    [SwitchB] dhcp enable
    [SwitchB] interface vlanif 101
    [SwitchB-Vlanif101] ip address 10.23.101.1 24
    [SwitchB-Vlanif101] dhcp select interface
    [SwitchB-Vlanif101] dhcp server gateway-list 10.23.101.2
    [SwitchB-Vlanif101] quit
    

  4. Настройте AP для входа в сеть.

    # Создайте группу AP, к которой могут добавляться точки доступа с той же конфигурацией.
    [AC] wlan
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] quit
    
    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.
    [AC-wlan-view] regulatory-domain-profile name default
    [AC-wlan-regulate-domain-default] country-code cn
    [AC-wlan-regulate-domain-default] quit
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC-wlan-ap-group-ap-group1] quit
    [AC-wlan-view] quit
    
    # Настройте исходный интерфейс AC.
    [AC] capwap source interface vlanif 100
    
    # Импортируйте AP в автономном режиме на AC и добавьте AP в группу AP ap-group1. Предположим, что MAC-адресом у AP является 60de-4476-e360. Настройте имя для AP на основе местоположения развертывания AP, чтобы узнать, где AP развертывается из своего имени. Например, назовите AP area_1, если она развернута в Зоне 1.
    ПРИМЕЧАНИЕ:

    Режим аутентификации AP по умолчанию - это аутентификация MAC-адреса. Если настройки по умолчанию сохранены, не нужно запускать команду ap auth-mode mac-auth.

    В этом примере используется AP5030DN и имеет два радио: радио 0 (2.4 ГГц) и радио 1 (5 ГГц).

    [AC] wlan
    [AC-wlan-view] ap auth-mode mac-auth
    [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC-wlan-ap-0] ap-name area_1
    [AC-wlan-ap-0] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
    s of the radio, Whether to continue? [Y/N]:y 
    [AC-wlan-ap-0] quit
    
    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается как nor, AP успешно подключается к сети.
    [AC-wlan-view] display ap all
    Total AP information:
    nor  : normal          [1]
    -------------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    -------------------------------------------------------------------------------------
    0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN        nor   0   10S
    -------------------------------------------------------------------------------------
    Total: 1

  5. Настройте параметры службы WLAN.

    # Создайте профиль безопасности wlan-net и установите политику безопасности в профиле.
    ПРИМЕЧАНИЕ:

    В этом примере политика безопасности установлена ​​на WPA-WPA2+PSK+AES и пароль на a1234567. В реальных ситуациях политика безопасности должна быть настроена в соответствии с требованиями к службе.

    [AC-wlan-view] security-profile name wlan-net
    [AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase a1234567 aes
    [AC-wlan-sec-prof-wlan-net] quit
    
    # Создайте профиль SSID wlan-net и установите имя SSID на wlan-net.
    [AC-wlan-view] ssid-profile name wlan-net
    [AC-wlan-ssid-prof-wlan-net] ssid wlan-net
    [AC-wlan-ssid-prof-wlan-net] quit
    
    # Создайте профиль VAP wlan-net, установите режим переадресации данных и сервисную VLAN и примените профиль безопасности и профиль SSID к профилю VAP.
    [AC-wlan-view] vap-profile name wlan-net
    [AC-wlan-vap-prof-wlan-net] forward-mode tunnel
    [AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
    [AC-wlan-vap-prof-wlan-net] security-profile wlan-net
    [AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
    [AC-wlan-vap-prof-wlan-net] quit
    
    # Привяжите профиль VAP wlan-net к группе AP и примените профиль к radio 0 и radio 1 точки доступа.
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
    [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
    [AC-wlan-ap-group-ap-group1] quit
    

  6. Настройте канал и мощность AP.
  7. Настройте функцию обнаружения атаки.

    # Включите функцию обнаружения атаки взлома PSK грубой силы для аутентификации WPA2-PSK и обнаружения наводнения.

    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] radio 0
    [AC-wlan-group-radio-ap-group1/0] wids attack detect enable wpa2-psk
    [AC-wlan-group-radio-ap-group1/0] wids attack detect enable flood
    [AC-wlan-group-radio-ap-group1/0] quit
    [AC-wlan-ap-group-ap-group1] radio 1
    [AC-wlan-group-radio-ap-group1/1] wids attack detect enable wpa2-psk
    [AC-wlan-group-radio-ap-group1/1] wids attack detect enable flood
    [AC-wlan-group-radio-ap-group1/1] quit
    [AC-wlan-ap-group-ap-group1] quit

    # Создайте профиль WIDS wlan-wids.

    [AC-wlan-view] wids-profile name wlan-wids
    

    # Установите интервал для обнаружения атаки грубой силы на 70 секунд в аутентификации WPA2-PSK, максимальное количество ошибок согласования ключей, разрешенных в течение периода обнаружения на 25, и тихое время на 700 секунд.

    [AC-wlan-wids-prof-wlan-wids] brute-force-detect interval 70
    [AC-wlan-wids-prof-wlan-wids] brute-force-detect threshold 25
    [AC-wlan-wids-prof-wlan-wids] brute-force-detect quiet-time 700
    

    # Установите интервал для обнаружения наводнения на 70 секунд, порог обнаружения наводнения на 350 и тихое время на 700 секунд.

    [AC-wlan-wids-prof-wlan-wids] flood-detect interval 70
    [AC-wlan-wids-prof-wlan-wids] flood-detect threshold 350
    [AC-wlan-wids-prof-wlan-wids] flood-detect quiet-time 700
    

  8. Настройте функцию динамического черного списка.

    # Включите функцию динамического черного списка.

    [AC-wlan-wids-prof-wlan-wids] dynamic-blacklist enable
    [AC-wlan-wids-prof-wlan-wids] quit
    

    # Создайте профиль AP wlan-system, и установите время старения динамического черного списка на 200 секунд.

    [AC-wlan-view] ap-system-profile name wlan-system
    [AC-wlan-ap-system-prof-wlan-system] dynamic-blacklist aging-time 200
    [AC-wlan-ap-system-prof-wlan-system] quit
    

  9. Привяжите профиль WIDS wlan-wids и профиль системы AP wlan-system к группе AP ap-group1.

    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] wids-profile wlan-wids
    [AC-wlan-ap-group-ap-group1] ap-system-profile wlan-system
    [AC-wlan-ap-group-ap-group1] quit
    

  10. Проверьте конфигурацию.

    После того, как конфигурации завершены, запустите команду display wlan ids attack-detected all для просмотра обнаруженных устройств атаки.

    [AC-wlan-view] display wlan ids attack-detected all
    #AP: Number of monitor APs that have detected the device
    AT: Last detcted attack type
    CH: Channel number
    act: Action frame            asr: Association request
    aur: Authentication request  daf: Deauthentication frame
    dar: Disassociation request  wiv: Weak IV detected
    pbr: Probe request           rar: Reassociation request
    eaps: EAPOL start frame      eapl: EAPOL logoff frame
    saf: Spoofed disassociation frame
    sdf: Spoofed deauthentication frame
    otsf: Other types of spoofing frames
    -------------------------------------------------------------------------------
    MAC address     AT     CH   RSSI(dBm)  Last detected time     #AP
    -------------------------------------------------------------------------------
    000b-c002-9c81  pbr    165  -87        2014-11-20/15:51:13    1
    0024-2376-03e9  pbr    165  -84        2014-11-20/15:51:13    1
    0046-4b74-691f  act    165  -67        2014-11-20/15:51:13    1
    -------------------------------------------------------------------------------
    Total: 3, printed: 3

    Команда display wlan dynamic-blacklist отображает информацию об устройствах атаки в динамическом черном списке.

    [AC-wlan-view] display wlan dynamic-blacklist all
    #AP: Number of monitor APs that have detected the device
    act: Action frame            asr: Association request
    aur: Authentication request  daf: Deauthentication frame
    dar: Disassociation request  eapl: EAPOL logoff frame
    pbr: Probe request           rar: Reassociation request
    eaps: EAPOL start frame
    -------------------------------------------------------------------------------
    MAC address       Last detected time    Reason   #AP   LAT
    -------------------------------------------------------------------------------
    000b-c002-9c81    2014-11-20/16:15:53   pbr      1     100
    0024-2376-03e9    2014-11-20/16:15:53   pbr      1     100
    0046-4b74-691f    2014-11-20/16:15:53   act      1     100
    -------------------------------------------------------------------------------
    Total: 3, printed: 3
    

Файлы конфигурации

  • Файл конфигурации SwitchA

    #
    sysname SwitchA
    #
    vlan batch 100
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk pvid vlan 100
     port trunk allow-pass vlan 100
     port-isolate enable group 1
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100
    #
    return
  • Файл конфигурации SwitchB

    #
    sysname SwitchB
    #
    vlan batch 100 to 101
    #
    dhcp enable
    #
    interface Vlanif101
     ip address 10.23.101.1 255.255.255.0
     dhcp select interface
     dhcp server gateway-list 10.23.101.2
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100 to 101
    #
    interface GigabitEthernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 101
    #
    return
  • Файл конфигурации Router

    #
    sysname Router
    #
    vlan batch 101
    #
    interface Vlanif101
     ip address 10.23.101.2 255.255.255.0
    #
    interface GigabitEthernet1/0/0
     port link-type trunk
     port trunk allow-pass vlan 101
    #
    return
    
  • Файл конфигурации AC

    #
     sysname AC
    #
    vlan batch 100 to 101
    #
    dhcp enable
    #
    interface Vlanif100
     ip address 10.23.100.1 255.255.255.0
     dhcp select interface
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100 101
    #
    capwap source interface vlanif100
    #
    wlan
     security-profile name wlan-net
      security wpa-wpa2 psk pass-phrase %^%#m"tz0f>~7.[`^6RWdzwCy16hJj/Mc!,}s`X*B]}A%^%# aes
     ssid-profile name wlan-net
      ssid wlan-net
     vap-profile name wlan-net
      forward-mode tunnel
      service-vlan vlan-id 101
      ssid-profile wlan-net
      security-profile wlan-net
     regulatory-domain-profile name default
     wids-profile name wlan-wids
      flood-detect interval 70
      flood-detect threshold 350
      flood-detect quiet-time 700
      brute-force-detect interval 70
      brute-force-detect threshold 25
      brute-force-detect quiet-time 700
      dynamic-blacklist enable
     ap-system-profile name wlan-system
      dynamic-blacklist aging-time 200
     ap-group name ap-group1
      ap-system-profile wlan-system
      wids-profile wlan-wids
      radio 0
       vap-profile wlan-net wlan 1
       wids attack detect enable flood
       wids attack detect enable wpa2-psk
      radio 1
       vap-profile wlan-net wlan 1
       wids attack detect enable flood
       wids attack detect enable wpa2-psk
     ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
      ap-name area_1
      ap-group ap-group1
      radio 0
       channel 20mhz 6
       eirp 127
      radio 1
       channel 20mhz 149
       eirp 127
    #
    return
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:10330

Загрузки: 145

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее