天天看點
傳回

由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入

說明

用戶端黑白名單其實實作的效果與MAC位址認證是一樣的,在無線用戶端接入網絡的時候,實作對無線用戶端的接入控制,隻允許合法的用戶端正常接入WLAN網絡。

兩種名單

1、白名單清單:允許接入WLAN網絡用戶端的MAC位址清單,隻有存在該清單的使用者才能接入【如果啟用未定義,等于所有使用者可以接入】

2、黑名單清單:拒絕接入WLAN網絡用戶端的MAC位址表,存在該清單的使用者不能接入WLAN網絡【如果啟用未定義,等于所有使用者可以接入,不限制】

由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入

名單功能的處理過程,跟圖所示,當用戶端想上線的時候,檢視是否啟用了黑白名單沒有,有的話,在檢查是否在對應的清單裡面,如果在白名單裡面則通過,不在則拒絕,如果在黑名單裡面則拒絕,不在則通過。

黑白名店兩種配置方式

1、基于全局配置:它會影響所有的AP

2、基于VAP(服務集):隻對某些SSID啟用

如果兩種都啟用了的話,則會檢查兩個清單,如果兩個清單裡面沒有包含該用戶端的資訊則通過或者不通過。

掌握目标

1、AP上線以及業務下發

2、基于全局與VAP形式的白名單功能配置

3、測試

4、基于全局與VAP形式的白名單配置

5、測試

6、總結

拓撲說明

由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入

拓撲很簡單,AC直連AP,這裡主要測試黑白名單功能,是以不搞那麼複雜的網絡了。AP-1有2個SSID,一個是AP1-Open-1,一個是AP1-Open-2,而AP-2也有2個SSID,一個是AP2-Open-1,另外一個是AP2-Open-2.

我們測試4種情況

1、基于全局的白名單

2、基于VAP的白名單

3、基于全局的黑名單

4、基于VAP的黑名單

對于AP的上線以及業務的配置下發,在前面20篇都有詳細介紹,這裡就不在做詳細介紹了,直接給出配置。

由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入
由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入
由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入
由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入

當沒配置黑白名單功能的時候,AP-1跟AP-2是沒任何限制,所有用戶端都可以接入。

2、基于全局與VAP形式的黑白名單功能配置

AP-1的配置(基于全局與VAP的白名單)

2.1基于全局的配置

由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入

2-2 基于VAP

[Huawei-wlan-view]sta-whitelist-profile name AP1-OPEN-1

[Huawei-wlan-whitelist-prof-AP1-OPEN-1]sta-mac 5489-9817-0F6D

定義一個白名單模闆,裡面定義用戶端的MAC位址

[Huawei-wlan-view]service-set name AP1-Open-1

[Huawei-wlan-service-set-ap1-open-1]sta-access-mode whitelist

[Huawei-wlan-service-set-ap1-open-1]sta-whitelist-profile name AP1-OPEN-1

[Huawei-wlan-service-set-ap1-open-1]com ap 0

然後在服務集下開啟白名單功能,并且調用了該白名單模闆

由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入
由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入

當關聯Open-1的時候,一直提示正在連接配接,連接配接不上,而連接配接Open-2則沒問題,這個跟我們想要的效果沒有到達,我們在全局清單明明放行了Client1的MAC位址,但是VAP的模闆裡面并沒有包括 AP-1,正式因為黑白名單看的是,VAP的清單與全局清單的綜合,但是這裡VAP模闆裡面并沒有Client-1,是以導緻失敗,這時候我們需要在白名單模闆裡面添加它。

[Huawei-wlan-view]sta-whitelist-profile id 0

[Huawei-wlan-whitelist-prof-AP1-OPEN-1]sta-mac 5489-98ef-5bac

由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入

這時候Client1就可以關聯Open1了。

由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入

這時候Client2連接配接2個SSID,都失效,因為在Open-1裡面雖然有VAP的模闆包含了Client2的MAC位址,但是全局沒有包含,而Open-2則 雖然VAP沒有定義,但是全局裡面沒有包含。

[Huawei-wlan-view]sta-whitelist 5489-9817-0f6d

由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入
由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入

可以看到添加後就可以任意通路了,但是可以看到并沒有達到我們的要求。這是因為2種方式的配置是存在問題的,如果兩種方式都有,那麼就必須兩個裡面都包含,否則不能通過。

是以我們在實際應用中隻選擇一種即可,最好是基于VAP的,這種比較細緻,影響範圍最小。

4.1基于全局

[Huawei-wlan-view]sta-access-mode ap 1 blacklist

[Huawei-wlan-view]sta-blacklist 5489-9864-3478

在全局定義的話,則是影響該AP所有SSID都不能接入該MAC位址的用戶端(這裡定義的是Client3)

4.2基于VAP

[Huawei-wlan-service-set-AP2-Open-1]service-set id 3

[Huawei-wlan-service-set-AP2-Open-1]sta-access-mode blacklist

[Huawei-wlan-service-set-AP2-Open-1]sta-blacklist-profile id 0

[Huawei-wlan-service-set-AP2-Open-1]com ap 1

由淺入深玩轉華為WLAN—24 用戶端(STA)黑白名單限制無線用戶端接入

Client3由于是全局定義的,影響該AP的所有SSID,是以都不能接入。

黑白名單 無線用戶端 限制無線接入 網絡工程師 華為無線組網
上一篇: UWP 常用檔案夾
下一篇: 《天道》中的辯證法

繼續閱讀