由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

由浅入深玩转华为WLAN—24 客户端(STA)黑白名单限制无线客户端接入

实战华为无线 公众号:网络之路博客(其他平台网络之路Blog) 2171次浏览 已收录 0个评论 扫描二维码

【汇总】实战华为无线

文档帖子汇总实战系列学习视频学习必备软件
    博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

说明

客户端黑白名单其实实现的效果与MAC地址认证是一样的,在无线客户端接入网络的时候,实现对无线客户端的接入控制,只允许合法的客户端正常接入WLAN网络。

两种名单

1、白名单列表:允许接入WLAN网络客户端的MAC地址列表,只有存在该列表的用户才能接入【如果启用未定义,等于所有用户可以接入】
2、黑名单列表:拒绝接入WLAN网络客户端的MAC地址表,存在该列表的用户不能接入WLAN网络【如果启用未定义,等于所有用户可以接入,不限制】

wireless

名单功能的处理过程,跟图所示,当客户端想上线的时候,查看是否启用了黑白名单没有,有的话,在检查是否在对应的列表里面,如果在白名单里面则通过,不在则拒绝,如果在黑名单里面则拒绝,不在则通过。

黑白名店两种配置方式

1、基于全局配置:它会影响所有的AP
2、基于VAP(服务集):只对某些SSID启用
如果两种都启用了的话,则会检查两个列表,如果两个列表里面没有包含该客户端的信息则通过或者不通过。

掌握目标

1、AP上线以及业务下发
2、基于全局与VAP形式的白名单功能配置
3、测试
4、基于全局与VAP形式的白名单配置
5、测试
6、总结

拓扑说明

wireless

拓扑很简单,AC直连AP,这里主要测试黑白名单功能,所以不搞那么复杂的网络了。AP-1有2个SSID,一个是AP1-Open-1,一个是AP1-Open-2,而AP-2也有2个SSID,一个是AP2-Open-1,另外一个是AP2-Open-2.

我们测试4种情况
1、基于全局的白名单
2、基于VAP的白名单
3、基于全局的黑名单


4、基于VAP的黑名单

1、AP上线以及业务下发

对于AP的上线以及业务的配置下发,在前面20篇都有详细介绍,这里就不在做详细介绍了,直接给出配置。

wireless
wireless
wireless
wireless

当没配置黑白名单功能的时候,AP-1跟AP-2是没任何限制,所有客户端都可以接入。

2、基于全局与VAP形式的黑白名单功能配置

AP-1的配置(基于全局与VAP的白名单)

2.1基于全局的配置

wireless

2-2 基于VAP
[Huawei-wlan-view]sta-whitelist-profile name AP1-OPEN-1
[Huawei-wlan-whitelist-prof-AP1-OPEN-1]sta-mac 5489-9817-0F6D
定义一个白名单模板,里面定义客户端的MAC地址

[Huawei-wlan-view]service-set name AP1-Open-1
[Huawei-wlan-service-set-ap1-open-1]sta-access-mode whitelist
[Huawei-wlan-service-set-ap1-open-1]sta-whitelist-profile name AP1-OPEN-1
[Huawei-wlan-service-set-ap1-open-1]com ap 0

然后在服务集下开启白名单功能,并且调用了该白名单模板

3、测试

wireless
wireless

当关联Open-1的时候,一直提示正在连接,连接不上,而连接Open-2则没问题,这个跟我们想要的效果没有到达,我们在全局列表明明放行了Client1的MAC地址,但是VAP的模板里面并没有包括 AP-1,正式因为黑白名单看的是,VAP的列表与全局列表的综合,但是这里VAP模板里面并没有Client-1,所以导致失败,这时候我们需要在白名单模板里面添加它。

[Huawei-wlan-view]sta-whitelist-profile id 0
[Huawei-wlan-whitelist-prof-AP1-OPEN-1]sta-mac 5489-98ef-5bac

wireless

这时候Client1就可以关联Open1了。

wireless

这时候Client2连接2个SSID,都失效,因为在Open-1里面虽然有VAP的模板包含了Client2的MAC地址,但是全局没有包含,而Open-2则 虽然VAP没有定义,但是全局里面没有包含。

[Huawei-wlan-view]sta-whitelist 5489-9817-0f6d

wireless
wireless

可以看到添加后就可以任意访问了,但是可以看到并没有达到我们的要求。这是因为2种方式的配置是存在问题的,如果两种方式都有,那么就必须两个里面都包含,否则不能通过。

所以我们在实际应用中只选择一种即可,最好是基于VAP的,这种比较细致,影响范围最小。

4、基于全局与VAP形式的白名单配置

4.1基于全局
[Huawei-wlan-view]sta-access-mode ap 1 blacklist
[Huawei-wlan-view]sta-blacklist 5489-9864-3478
在全局定义的话,则是影响该AP所有SSID都不能接入该MAC地址的客户端(这里定义的是Client3)

4.2基于VAP
[Huawei-wlan-service-set-AP2-Open-1]service-set id 3
[Huawei-wlan-service-set-AP2-Open-1]sta-access-mode blacklist
[Huawei-wlan-service-set-AP2-Open-1]sta-blacklist-profile id 0
[Huawei-wlan-service-set-AP2-Open-1]com ap 1

5、测试

wireless

Client3由于是全局定义的,影响该AP的所有SSID,所以都不能接入。

wireless
wireless

可以看到Client4则不通,因为它的MAC地址只调用在了VAP里面,也就是Open-1,所以它只有Open-1连接不了,而Open-2则是没任何问题。

源文件:http://pan.baidu.com/s/1sl5YMzb

总结

关于无线黑白名单的应用其实并不是很常见,但是如果有这样的需求的话,则推荐用VAP方式,不要用基于全局的,全局的影响范围广,而且不好控制,另外两种方式同时配置是存在问题的,它会检查两个配置里面是否都包含该MAC地址,否则不能通过。

关于博客资源下载说明

首先,感谢大家对网络之路博客的支持,本站所有资源都是开放下载,不做任何限制,资源都是上传在百度盘,分为两种类型:
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
想第一时间收到最新更新内容吗,点击获取~~~

点击查看详情
学习必备软件(模拟器等)
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~

(广告)博主自主原创最新实战课程

点击查看详情

(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题

远程技术调试与技术支持,点击查看详情

原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (0)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
关于作者:
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址