• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-安全配置指导

目录

22-IP源地址验证配置

本章节下载 22-IP源地址验证配置  (235.92 KB)

22-IP源地址验证配置


1 IP源地址验证

1.1  IP源地址验证简介

IP源地址验证功能用于对AP收到的报文进行过滤控制,以防止非法客户端的报文通过,从而限制了对网络资源的非法使用(比如非法客户端仿冒合法客户端IP接入网络),提高了无线网络的安全性。

对于使用IPv4地址的客户端,AP会截获客户端与DHCP服务器间交互的DHCPv4报文,从报文中获取到DHCP服务器为客户端分配的IP地址,并与客户端的MAC地址形成绑定表项。

对于使用IPv6地址的客户端,有以下两种方式可以形成绑定表项。

·     DHCPv6方式:AP会截获客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的完整的IPv6地址,并与客户端的MAC地址形成绑定表项。如果从报文中获取到的是DHCPv6服务器为客户端分配的IPv6地址前缀,则无法与客户端的MAC地址形成绑定表项。

·     ND(Neighbor Discovery,IPv6邻居发现)方式:AP会截获客户端与路由器之间交互的RA(Router Advertisement,路由器通告消息)报文,从报文中获取IPv6地址,并与客户端的MAC地址形成绑定表项。

图1-1所示,开启IP源地址验证功能后,AP在收到客户端报文时,会查找IP源地址绑定表项,如果客户端发送报文的特征项(MAC地址+IP地址)与某个绑定表项匹配,则转发该报文,否则做丢弃处理。

图1-1 IP源地址验证功能示意图

 

说明

·     DHCP功能的详细介绍请参考“三层技术配置指导”中的“DHCP”。

·     DHCPv6功能的详细介绍请参考“三层技术配置指导”中的“DHCPv6”。

·     ND功能的详细介绍请参考“三层技术配置指导”中的“IPv6基础”。

 

1.2  配置IP源地址验证

IP源地址验证功能是针对SSID的,对某个SSID配置了IP源地址验证功能后,仅对接入该SSID的客户端报文进行IP源地址验证,通过其它SSID接入的客户端不受影响。

表1-1 配置IP源地址验证

操作

命令

说明

进入系统视图

system-view

-

配置WLAN服务模板

wlan service-template service-template-number { clear | crypto | wapi }

-

配置对IPv4客户端进行源地址验证

ip verify source

必选

缺省情况下,不对IPv4客户端进行源地址验证

配置对IPv6客户端进行源地址验证

ipv6 verify source

必选

缺省情况下,不对IPv6客户端进行源地址验证

 

说明

·     对于要接入开启IP源地址验证功能的SSID的客户端来说,如果客户端是通过AP本地认证方式上线的,IP源地址验证功能依然生效,但是在AC上不会查看到该客户端的IP地址绑定表项。关于AP本地认证的详细介绍请参考“WLAN配置指导”中的“WLAN接入”。

·     如果接入开启IP源地址验证功能的SSID的客户端需要漫游到漫游组内其它AC上的AP,那么需要在漫游组其它AC上的相应SSID上开启IP源地址验证功能,否则会出现客户端业务中断的情况。关于漫游功能的详细介绍请参考“WLAN配置指导”中的“IACTP隧道和WLAN漫游”。

 

1.3  IP源地址验证显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后IP源地址验证的运行情况,通过查看显示信息验证配置的效果。

表1-2 IP源地址验证显示和维护

操作

命令

显示IPv4/IPv6绑定表项信息

display wlan client { ip | ipv6 } source binding [ mac-address mac-address ] [ | { begin | exclude | include } regular-expression ]

 

1.4  IP源地址验证典型配置举例

1.4.1  IPv4源地址验证配置举例

1. 组网需求

·     如图1-2所示,客户端通过名为service的SSID接入网络,网络中的DHCP服务器会为接入的客户端动态分配IP地址。

·     要求对接入此SSID的客户端报文进行IP源地址验证,以防止非法客户端的报文通过。

2. 组网图

图1-2 IPv4源地址验证配置组网图

 

3. 配置步骤

(1)     配置DHCP服务器

# 使能DHCP服务。

<DHCP> system-view

[DHCP] dhcp enable

# 配置接口Ethernet1/1的IP地址。

[DHCP] interface ethernet 1/1

[DHCP-Ethernet1/1] ip address 10.1.1.1 24

# 配置接口Ethernet1/1工作在DHCP服务器模式。

[DHCP-Ethernet1/1] dhcp select server global-pool

[DHCP-Ethernet1/1] quit

# 配置DHCP地址池0,并配置该地址池可以分配的网段为10.1.1.0/24。

[DHCP] dhcp server ip-pool 0

[DHCP-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0

(2)     配置AC

# 创建WLAN ESS接口。

<AC> system-view

[AC] interface wlan-ess 1

[AC-WLAN-ESS1] quit

# 配置WLAN服务模板,配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。

[AC] wlan service-template 1 clear

[AC-wlan-st-1] ssid service

# 配置IPv4源地址验证。

[AC-wlan-st-1] ip verify source

[AC-wlan-st-1] bind wlan-ess 1

[AC-wlan-st-1] authentication-method open-system

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 创建AP模板,名称为ap1。

[AC] wlan ap ap1 model WA3628i-AGN

[AC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 配置802.11gn射频。

[AC-wlan-ap-ap1] radio 2 type dot11gn

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] radio enable

4. 验证配置结果

Client 1(MAC地址为001d-0f31-87dd)和Client 2(MAC地址为001c-f08f-f7f1)通过DHCP服务器申请到IP地址后,用户可以通过display wlan client ip source binding命令查看到关于这两个客户端的IPv4绑定表项信息。AP会根据该表项过滤其收到的IPv4报文,Client 1和Client 2客户端发送报文的特征项与绑定表项匹配,AP会转发这些报文,Client 3为非法客户端,AP无法查找到与其匹配的绑定表项,会丢弃Client 3发送的报文。

<Sysname> display wlan client ip source binding

Total Number of Clients: 2

     IP Source Binding Information

------------------------------------------------------------

MAC Address        APID/RID    Type      Binding IP Address

------------------------------------------------------------

001d-0f31-87dd        1/2      DHCP       10.1.1.3

001c-f08f-f7f1        1/2      DHCP       10.1.1.2

------------------------------------------------------------

1.4.2  IPv6源地址验证配置举例(使用DHCPv6服务器)

1. 组网需求

·     如图1-3所示,客户端通过名为service的SSID接入网络,网络中的DHCPv6服务器会为接入的客户端动态分配IPv6地址。

·     要求对接入此SSID的客户端报文进行IPv6源地址验证,以防止非法客户端的报文通过。

2. 组网图

图1-3 IPv6源地址验证配置组网图

 

3. 配置步骤

(1)     配置DHCPv6服务器

# 使能IPv6报文转发功能及DHCPv6服务器功能。

<DHCPv6> system-view

[DHCPv6] ipv6

[DHCPv6] ipv6 dhcp server enable

# 创建地址池1,在地址池1中配置网段2001:2::/64。

[DHCPv6] ipv6 dhcp pool 1

[DHCPv6-dhcp6-pool-1] network 2001:2::/64

[DHCPv6-dhcp6-pool-1] quit

# 配置接口Ethernet1/1的IPv6地址。

[DHCPv6] interface ethernet 1/1

[DHCPv6-Ethernet1/1] ipv6 address 2001:2::1/64

# 允许接口Ethernet1/1发送RA消息。

[DHCPv6-Ethernet1/1] undo ipv6 nd ra halt

# 配置接口Ethernet1/1工作在DHCPv6服务器模式,并引用地址池1。

[DHCPv6-Ethernet1/1] ipv6 dhcp server apply pool 1

(2)     配置AC

# 创建WLAN ESS接口。

<AC> system-view

[AC] interface wlan-ess 1

[AC-WLAN-ESS1] quit

# 配置WLAN服务模板,配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。

[AC] wlan service-template 1 clear

[AC-wlan-st-1] ssid service

# 配置IPv6源地址验证。

[AC-wlan-st-1] ipv6 verify source

[AC-wlan-st-1] bind wlan-ess 1

[AC-wlan-st-1] authentication-method open-system

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 创建AP模板,名称为ap1。

[AC] wlan ap ap1 model WA3628i-AGN

[AC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 配置802.11gn射频。

[AC-wlan-ap-ap1] radio 2 type dot11gn

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] radio enable

4. 验证配置结果

Client 1(MAC地址为001d-0f31-87dd)和Client 2(MAC地址为001c-f08f-f7f1)通过DHCPv6服务器申请到IP地址后,用户可以通过display wlan client ipv6 source binding命令查看到关于这两个客户端的IPv6绑定表项信息。AP会根据该表项过滤其收到的IPv6报文,Client 1和Client 2客户端发送报文的特征项与绑定表项匹配,AP会转发这些报文,Client 3为非法客户端,AP无法查找到与其匹配的绑定表项,会丢弃Client 3发送的报文。

<Sysname> display wlan client ipv6 source binding

Total Number of Clients: 2

     IPv6 Source Binding Information

------------------------------------------------------------

MAC Address        APID/RID    Type      Binding IP Address

------------------------------------------------------------

001d-0f31-87dd        1/2      DHCPv6    2001:2::2

001c-f08f-f7f1        1/2      DHCPv6    2001:2::3

------------------------------------------------------------

1.4.3  IPv6源地址验证配置举例(使用ND方式)

1. 组网需求

·     如图1-4所示,客户端通过名为service的SSID接入网络,网络中的Router会为接入的客户端动态分配IPv6地址前缀。

·     要求对接入此SSID的客户端报文进行IPv6源地址验证,以防止非法客户端的报文通过。

2. 组网图

图1-4 IPv6源地址验证配置组网图

 

3. 配置步骤

(1)     配置Router

# 使能IPv6报文转发功能。

<Router> system-view

[Router] ipv6

# 配置接口Ethernet1/1的IPv6地址。

[Router] interface ethernet 1/1

[Router-Ethernet1/1] ipv6 address 2001::1/64

# 允许接口Ethernet1/1发送RA消息。

[Router-Ethernet1/1] undo ipv6 nd ra halt

# 指定发布的地址前缀为2001::/64,该前缀的有效生命期为86400秒,首选生命期为3600秒。

[Router-Ethernet1/1] ipv6 nd ra prefix 2001::/64 86400 3600

(2)     配置AC

# 创建WLAN ESS接口。

<AC> system-view

[AC] interface wlan-ess 1

[AC-WLAN-ESS1] quit

# 配置WLAN服务模板,配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。

[AC] wlan service-template 1 clear

[AC-wlan-st-1] ssid service

# 配置IPv6源地址验证。

[AC-wlan-st-1] ipv6 verify source

[AC-wlan-st-1] bind wlan-ess 1

[AC-wlan-st-1] authentication-method open-system

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 创建AP模板,名称为ap1。

[AC] wlan ap ap1 model WA3628i-AGN

[AC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 配置802.11gn射频。

[AC-wlan-ap-ap1] radio 2 type dot11gn

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] radio enable

4. 验证配置结果

Client 1(MAC地址为001d-0f31-87dd)和Client 2(MAC地址为001c-f08f-f7f1)通过ND方式获取到IPv6地址前缀后,用户可以通过display wlan client ipv6 source binding命令查看到关于这两个客户端的IPv6绑定表项信息。AP会根据该表项过滤其收到的IPv6报文,Client 1和Client 2客户端发送报文的特征项与绑定表项匹配,AP会转发这些报文,Client 3为非法客户端,AP无法查找到与其匹配的绑定表项,会丢弃Client 3发送的报文。

<Sysname> display wlan client ipv6 source binding

Total Number of Clients: 2

     IPv6 Source Binding Information

------------------------------------------------------------

MAC Address        APID/RID    Type      Binding IP Address

------------------------------------------------------------

001d-0f31-87dd        1/2      ND        2001:2::2

001c-f08f-f7f1        1/2      ND        2001:2::3

------------------------------------------------------------

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们