26、华为 华三中小型企业网络架构搭建 【内网安全部署之无线需要部署的安全技术】

（1）端口隔离技术
说明：端口隔离技术，在无线上面部署是非常有必要的，因为通常情况下，无线的客户端之间没必要互访，而且也保证了安全行，但是端口隔离技术实施，是根据隧道转发情况来决定的。
直接转发模式
说明：在直接转发模式下直接在服务集下开启 user-isolate
隧道转发模式
在隧道转发模式下开启端口隔离则是在，WLAN-ESS下开启。port-isolate enable

（2）DHCP Snooping、DAI、ip source guead功能
该功能的作用跟优先是一样的，可以在对应的服务集下开启。
[AC6605-wlan-view]service-set id 0
[AC6605-wlan-service-set-open]dhcp snooping
[AC6605-wlan-service-set-open]dai enable
[AC6605-wlan-service-set-open]ip source guard enable

（3）DHCP 信任功能
说明：它的作用跟DHCP Snooping一样，但是无线这边，DHCP Snooping是在AC上面生成，而AP不能有效的控制，而该命令则是让AP只信任上行接口。这样的话用户那边有私接DHCP 服务器也不会获取到地址。
[AC6605-wlan-service-set-open]dhcp trust port

（4）隐藏SSID
说明：该功能在有得时候需要，可以根据自己情况决定
服务集下：[AC6605-wlan-service-set-open]ssid-hide

（5）STA白名单与黑名单功能
说明：非常类似于MAC认证功能，当客户端连接到网络的时候，AC会检查该客户端的MAC地址是否在该列表中，如果在则允许或者拒绝登陆。
[AC6605]wlan
[AC6605-wlan-view]sta-whitelist-profile name test
[AC6605-wlan-whitelist-prof-test]sta-mac 1231-1123-3333

[AC6605-wlan-view]service-set id 0
[AC6605-wlan-service-set-open]sta-access-mode whitelist
[AC6605-wlan-service-set-open]sta-whitelist-profile name test
说明：上面配置的是白名单，也就是只允许规定的MAC地址进行登陆，其余的都拒绝
黑名单的定义是一样的，把whitelist改为blacklist，黑名单的意思就是说黑名单里面的不允许登陆，其余的都可以。

（6）AP攻击检测功能【暴力破解、泛洪等功能】
[AC6605-wlan-view]ap 1 radio 0
[AC6605-wlan-radio-1/0]attack detection enable all
开启攻击检测功能，可以单独开启某一个。

（7）ACL的应用
说明：有时候我们希望控制某一个服务集内的用户不能访问某些资源，我们可以在服务集下调用列表
可以在服务集下调用 traffic-filter inbound acl 3000，它会下发给AP。
如果是隧道转发模式的话，则在WLAN-ESS接口调用。

（8）无线MAC认证功能
说明：在有时候我们希望这用对客户的PC做确认，用MAC地址进行认证登陆，而认证方式则Open的，那么我们需要开启MAC认证功能，该功能对客户来说是透明的，也就是说客户只要MAC地址符合了要求，则看起来没有经过认证的样子，直接关联登陆了，而不在对应的列表内的话，则直接关联不上。
（1）直接调用之前的Open的策略
说明：之前有策略存在，所以这里直接调用即可，先把服务集在ap 1中去掉。
（2）开启MAC地址功能
[AC6605]mac-authen
（3）WLAN-ESS接口开启mac-auth功能
[AC6605]interface Wlan-Ess 0
[AC6605-Wlan-Ess0]mac-authentication enable
[AC6605-Wlan-Ess0]force-domain default
[AC6605-Wlan-Ess0]permit-domain default
说明：这里在WLAN-ESS接口开启MAC认证，并且必须指定从哪个域来的，然后允许。

（4）本地定义用户名密码。
[AC6605]aaa
[AC6605-aaa]local-user 548998283f0e password cipher 548998283f0e
说明：注意转换为小写。

（5）调用在服务集下【调用WLAN-ESS】
说明：直接调用在WLAN-ES下就行了
（6）下放业务
[AC6605-wlan-view]commit all
（7）结果测试

已经成功了。有正常认证的。

（9）dot1x方式认证【不支持本地，必须Radius服务器的PEAP】
说明：dot1x的方式就是用用户名密码进行验证。
（1）需要修改的地方
[AC6605]wlan
[AC6605-wlan-view]ap 1 r 0
[AC6605-wlan-radio-1/0]undo service-set id 0

[AC6605-wlan-view]security-profile id 0
[AC6605-wlan-sec-prof-test]security-policy wpa
[AC6605-wlan-sec-prof-test]wpa authentication-method dot1x peap encryption-method ccmp

（2）开启dot1x认证
[AC6605]dot1x enable

（3）修改WLAN-ESS接口
[AC6605]interface Wlan-Ess 0
[AC6605-Wlan-Ess0]undo mac-authentication enable
[AC6605-Wlan-Ess0]dot1x-authentication enable
[AC6605-Wlan-Ess0]dot1x authentication-method eap
[AC6605-Wlan-Ess0]force-domain ccieh3c.taobao.com
[AC6605-Wlan-Ess0]permit-domain ccieh3c.taobao.com
说明：目前AC是不支持本地dot1x的，所以必须Radius服务器。这里信任该域，后续用Radius进行认证的域

（4）下放业务
[AC6605]wlan
[AC6605-wlan-view]ap 1 r 0
[AC6605-wlan-radio-1/0]service-set id 0
[AC6605-wlan-radio-0/0]com ap 1

（5）Radius服务器定义，与AAA，Domain
[AC6605]radius-server template dot1x
[AC6605-radius-dot1x]radius-server authentication 192.168.2.253 1812
[AC6605-radius-dot1x]radius-server shared-key test
[AC6605-radius-dot1x]undo radius-server user-name domain-included

[AC6605]aaa
[AC6605-aaa]authentication-scheme dot1x
[AC6605-aaa-authen-dot1x]authentication-mode radius

[AC6605-aaa]domain ccieh3c.taobao.com
[AC6605-aaa-domain-ccieh3c.taobao.com]authentication-scheme dot1x
[AC6605-aaa-domain-ccieh3c.taobao.com]radius-server dot1x

（6）测试AAA能否通过

注意：之前已经开过密码存储功能，默认情况下AD或者Windows的不允许CHAP可逆的。需要单独开启。

（7）定义Radius策略

说明：PEAP需要一个证书的，所以必须向CA服务器申请一张，计算机证书。【如果是独立的IAS，可以用自签名的或者是找独立CA申请一张，如果是域环境的话，可以直接在企业级CA中下放即可。或者通过MMC申请】

（8）测试结果

总结：有线与无线的环境部署有点差别，另外无线支持PEAP或者TLS，而有线支持MD5等功能，另外注意PEPA是需要服务器证书的，可以自签名或者是找CA申请，该步骤我省略了，如果不懂的朋友，可以参考购买的案例里面的，dot1x部分有详细的讲解。另外该无线的AP与客户端是用模拟器模拟的，所以效果没有真机的好，将会在dot1x案例部分补充真机的部分，因为现在真机AP还没到，所以只能用模拟器模拟下效果，作用是一样的。