22-IP源地址验证配置
本章节下载: 22-IP源地址验证配置 (235.92 KB)
IP源地址验证功能用于对AP收到的报文进行过滤控制,以防止非法客户端的报文通过,从而限制了对网络资源的非法使用(比如非法客户端仿冒合法客户端IP接入网络),提高了无线网络的安全性。
对于使用IPv4地址的客户端,AP会截获客户端与DHCP服务器间交互的DHCPv4报文,从报文中获取到DHCP服务器为客户端分配的IP地址,并与客户端的MAC地址形成绑定表项。
对于使用IPv6地址的客户端,有以下两种方式可以形成绑定表项。
· DHCPv6方式:AP会截获客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的完整的IPv6地址,并与客户端的MAC地址形成绑定表项。如果从报文中获取到的是DHCPv6服务器为客户端分配的IPv6地址前缀,则无法与客户端的MAC地址形成绑定表项。
· ND(Neighbor Discovery,IPv6邻居发现)方式:AP会截获客户端与路由器之间交互的RA(Router Advertisement,路由器通告消息)报文,从报文中获取IPv6地址,并与客户端的MAC地址形成绑定表项。
如图1-1所示,开启IP源地址验证功能后,AP在收到客户端报文时,会查找IP源地址绑定表项,如果客户端发送报文的特征项(MAC地址+IP地址)与某个绑定表项匹配,则转发该报文,否则做丢弃处理。
图1-1 IP源地址验证功能示意图
· DHCP功能的详细介绍请参考“三层技术配置指导”中的“DHCP”。
· DHCPv6功能的详细介绍请参考“三层技术配置指导”中的“DHCPv6”。
· ND功能的详细介绍请参考“三层技术配置指导”中的“IPv6基础”。
IP源地址验证功能是针对SSID的,对某个SSID配置了IP源地址验证功能后,仅对接入该SSID的客户端报文进行IP源地址验证,通过其它SSID接入的客户端不受影响。
表1-1 配置IP源地址验证
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
配置对IPv4客户端进行源地址验证 |
缺省情况下,不对IPv4客户端进行源地址验证 |
|
配置对IPv6客户端进行源地址验证 |
缺省情况下,不对IPv6客户端进行源地址验证 |
· 对于要接入开启IP源地址验证功能的SSID的客户端来说,如果客户端是通过AP本地认证方式上线的,IP源地址验证功能依然生效,但是在AC上不会查看到该客户端的IP地址绑定表项。关于AP本地认证的详细介绍请参考“WLAN配置指导”中的“WLAN接入”。
· 如果接入开启IP源地址验证功能的SSID的客户端需要漫游到漫游组内其它AC上的AP,那么需要在漫游组其它AC上的相应SSID上开启IP源地址验证功能,否则会出现客户端业务中断的情况。关于漫游功能的详细介绍请参考“WLAN配置指导”中的“IACTP隧道和WLAN漫游”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP源地址验证的运行情况,通过查看显示信息验证配置的效果。
表1-2 IP源地址验证显示和维护
显示IPv4/IPv6绑定表项信息 |
· 如图1-2所示,客户端通过名为service的SSID接入网络,网络中的DHCP服务器会为接入的客户端动态分配IP地址。
· 要求对接入此SSID的客户端报文进行IP源地址验证,以防止非法客户端的报文通过。
图1-2 IPv4源地址验证配置组网图
(1) 配置DHCP服务器
# 使能DHCP服务。
[DHCP] dhcp enable
# 配置接口Ethernet1/1的IP地址。
[DHCP-Ethernet1/1] ip address 10.1.1.1 24
# 配置接口Ethernet1/1工作在DHCP服务器模式。
[DHCP-Ethernet1/1] dhcp select server global-pool
[DHCP-Ethernet1/1] quit
# 配置DHCP地址池0,并配置该地址池可以分配的网段为10.1.1.0/24。
[DHCP-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
(2) 配置AC
# 创建WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板,配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
# 配置IPv4源地址验证。
[AC-wlan-st-1] ip verify source
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建AP模板,名称为ap1。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 配置802.11gn射频。
[AC-wlan-ap-ap1] radio 2 type dot11gn
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] radio enable
Client 1(MAC地址为001d-0f31-87dd)和Client 2(MAC地址为001c-f08f-f7f1)通过DHCP服务器申请到IP地址后,用户可以通过display wlan client ip source binding命令查看到关于这两个客户端的IPv4绑定表项信息。AP会根据该表项过滤其收到的IPv4报文,Client 1和Client 2客户端发送报文的特征项与绑定表项匹配,AP会转发这些报文,Client 3为非法客户端,AP无法查找到与其匹配的绑定表项,会丢弃Client 3发送的报文。
<Sysname> display wlan client ip source binding
Total Number of Clients: 2
IP Source Binding Information
------------------------------------------------------------
MAC Address APID/RID Type Binding IP Address
------------------------------------------------------------
001d-0f31-87dd 1/2 DHCP 10.1.1.3
001c-f08f-f7f1 1/2 DHCP 10.1.1.2
------------------------------------------------------------
· 如图1-3所示,客户端通过名为service的SSID接入网络,网络中的DHCPv6服务器会为接入的客户端动态分配IPv6地址。
· 要求对接入此SSID的客户端报文进行IPv6源地址验证,以防止非法客户端的报文通过。
图1-3 IPv6源地址验证配置组网图
(1) 配置DHCPv6服务器
# 使能IPv6报文转发功能及DHCPv6服务器功能。
[DHCPv6] ipv6
[DHCPv6] ipv6 dhcp server enable
# 创建地址池1,在地址池1中配置网段2001:2::/64。
[DHCPv6-dhcp6-pool-1] network 2001:2::/64
[DHCPv6-dhcp6-pool-1] quit
# 配置接口Ethernet1/1的IPv6地址。
[DHCPv6] interface ethernet 1/1
[DHCPv6-Ethernet1/1] ipv6 address 2001:2::1/64
# 允许接口Ethernet1/1发送RA消息。
[DHCPv6-Ethernet1/1] undo ipv6 nd ra halt
# 配置接口Ethernet1/1工作在DHCPv6服务器模式,并引用地址池1。
[DHCPv6-Ethernet1/1] ipv6 dhcp server apply pool 1
(2) 配置AC
# 创建WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板,配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
# 配置IPv6源地址验证。
[AC-wlan-st-1] ipv6 verify source
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建AP模板,名称为ap1。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 配置802.11gn射频。
[AC-wlan-ap-ap1] radio 2 type dot11gn
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] radio enable
Client 1(MAC地址为001d-0f31-87dd)和Client 2(MAC地址为001c-f08f-f7f1)通过DHCPv6服务器申请到IP地址后,用户可以通过display wlan client ipv6 source binding命令查看到关于这两个客户端的IPv6绑定表项信息。AP会根据该表项过滤其收到的IPv6报文,Client 1和Client 2客户端发送报文的特征项与绑定表项匹配,AP会转发这些报文,Client 3为非法客户端,AP无法查找到与其匹配的绑定表项,会丢弃Client 3发送的报文。
<Sysname> display wlan client ipv6 source binding
Total Number of Clients: 2
IPv6 Source Binding Information
------------------------------------------------------------
MAC Address APID/RID Type Binding IP Address
------------------------------------------------------------
001d-0f31-87dd 1/2 DHCPv6 2001:2::2
001c-f08f-f7f1 1/2 DHCPv6 2001:2::3
------------------------------------------------------------
· 如图1-4所示,客户端通过名为service的SSID接入网络,网络中的Router会为接入的客户端动态分配IPv6地址前缀。
· 要求对接入此SSID的客户端报文进行IPv6源地址验证,以防止非法客户端的报文通过。
图1-4 IPv6源地址验证配置组网图
(1) 配置Router
# 使能IPv6报文转发功能。
[Router] ipv6
# 配置接口Ethernet1/1的IPv6地址。
[Router] interface ethernet 1/1
[Router-Ethernet1/1] ipv6 address 2001::1/64
# 允许接口Ethernet1/1发送RA消息。
[Router-Ethernet1/1] undo ipv6 nd ra halt
# 指定发布的地址前缀为2001::/64,该前缀的有效生命期为86400秒,首选生命期为3600秒。
[Router-Ethernet1/1] ipv6 nd ra prefix 2001::/64 86400 3600
(2) 配置AC
# 创建WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板,配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
# 配置IPv6源地址验证。
[AC-wlan-st-1] ipv6 verify source
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建AP模板,名称为ap1。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 配置802.11gn射频。
[AC-wlan-ap-ap1] radio 2 type dot11gn
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] radio enable
Client 1(MAC地址为001d-0f31-87dd)和Client 2(MAC地址为001c-f08f-f7f1)通过ND方式获取到IPv6地址前缀后,用户可以通过display wlan client ipv6 source binding命令查看到关于这两个客户端的IPv6绑定表项信息。AP会根据该表项过滤其收到的IPv6报文,Client 1和Client 2客户端发送报文的特征项与绑定表项匹配,AP会转发这些报文,Client 3为非法客户端,AP无法查找到与其匹配的绑定表项,会丢弃Client 3发送的报文。
<Sysname> display wlan client ipv6 source binding
Total Number of Clients: 2
IPv6 Source Binding Information
------------------------------------------------------------
MAC Address APID/RID Type Binding IP Address
------------------------------------------------------------
001d-0f31-87dd 1/2 ND 2001:2::2
001c-f08f-f7f1 1/2 ND 2001:2::3
------------------------------------------------------------
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!