說明
用戶端黑白名單其實實作的效果與MAC位址認證是一樣的,在無線用戶端接入網絡的時候,實作對無線用戶端的接入控制,隻允許合法的用戶端正常接入WLAN網絡。
兩種名單
1、白名單清單:允許接入WLAN網絡用戶端的MAC位址清單,隻有存在該清單的使用者才能接入【如果啟用未定義,等于所有使用者可以接入】
2、黑名單清單:拒絕接入WLAN網絡用戶端的MAC位址表,存在該清單的使用者不能接入WLAN網絡【如果啟用未定義,等于所有使用者可以接入,不限制】
名單功能的處理過程,跟圖所示,當用戶端想上線的時候,檢視是否啟用了黑白名單沒有,有的話,在檢查是否在對應的清單裡面,如果在白名單裡面則通過,不在則拒絕,如果在黑名單裡面則拒絕,不在則通過。
黑白名店兩種配置方式
1、基于全局配置:它會影響所有的AP
2、基于VAP(服務集):隻對某些SSID啟用
如果兩種都啟用了的話,則會檢查兩個清單,如果兩個清單裡面沒有包含該用戶端的資訊則通過或者不通過。
掌握目标
1、AP上線以及業務下發
2、基于全局與VAP形式的白名單功能配置
3、測試
4、基于全局與VAP形式的白名單配置
5、測試
6、總結
拓撲說明
拓撲很簡單,AC直連AP,這裡主要測試黑白名單功能,是以不搞那麼複雜的網絡了。AP-1有2個SSID,一個是AP1-Open-1,一個是AP1-Open-2,而AP-2也有2個SSID,一個是AP2-Open-1,另外一個是AP2-Open-2.
我們測試4種情況
1、基于全局的白名單
2、基于VAP的白名單
3、基于全局的黑名單
4、基于VAP的黑名單
對于AP的上線以及業務的配置下發,在前面20篇都有詳細介紹,這裡就不在做詳細介紹了,直接給出配置。
當沒配置黑白名單功能的時候,AP-1跟AP-2是沒任何限制,所有用戶端都可以接入。
2、基于全局與VAP形式的黑白名單功能配置
AP-1的配置(基于全局與VAP的白名單)
2.1基于全局的配置
2-2 基于VAP
[Huawei-wlan-view]sta-whitelist-profile name AP1-OPEN-1
[Huawei-wlan-whitelist-prof-AP1-OPEN-1]sta-mac 5489-9817-0F6D
定義一個白名單模闆,裡面定義用戶端的MAC位址
[Huawei-wlan-view]service-set name AP1-Open-1
[Huawei-wlan-service-set-ap1-open-1]sta-access-mode whitelist
[Huawei-wlan-service-set-ap1-open-1]sta-whitelist-profile name AP1-OPEN-1
[Huawei-wlan-service-set-ap1-open-1]com ap 0
然後在服務集下開啟白名單功能,并且調用了該白名單模闆
當關聯Open-1的時候,一直提示正在連接配接,連接配接不上,而連接配接Open-2則沒問題,這個跟我們想要的效果沒有到達,我們在全局清單明明放行了Client1的MAC位址,但是VAP的模闆裡面并沒有包括 AP-1,正式因為黑白名單看的是,VAP的清單與全局清單的綜合,但是這裡VAP模闆裡面并沒有Client-1,是以導緻失敗,這時候我們需要在白名單模闆裡面添加它。
[Huawei-wlan-view]sta-whitelist-profile id 0
[Huawei-wlan-whitelist-prof-AP1-OPEN-1]sta-mac 5489-98ef-5bac
這時候Client1就可以關聯Open1了。
這時候Client2連接配接2個SSID,都失效,因為在Open-1裡面雖然有VAP的模闆包含了Client2的MAC位址,但是全局沒有包含,而Open-2則 雖然VAP沒有定義,但是全局裡面沒有包含。
[Huawei-wlan-view]sta-whitelist 5489-9817-0f6d
可以看到添加後就可以任意通路了,但是可以看到并沒有達到我們的要求。這是因為2種方式的配置是存在問題的,如果兩種方式都有,那麼就必須兩個裡面都包含,否則不能通過。
是以我們在實際應用中隻選擇一種即可,最好是基于VAP的,這種比較細緻,影響範圍最小。
4.1基于全局
[Huawei-wlan-view]sta-access-mode ap 1 blacklist
[Huawei-wlan-view]sta-blacklist 5489-9864-3478
在全局定義的話,則是影響該AP所有SSID都不能接入該MAC位址的用戶端(這裡定義的是Client3)
4.2基于VAP
[Huawei-wlan-service-set-AP2-Open-1]service-set id 3
[Huawei-wlan-service-set-AP2-Open-1]sta-access-mode blacklist
[Huawei-wlan-service-set-AP2-Open-1]sta-blacklist-profile id 0
[Huawei-wlan-service-set-AP2-Open-1]com ap 1
Client3由于是全局定義的,影響該AP的所有SSID,是以都不能接入。