07-安全配置指導

22-IP源地址驗證配置

1.4.2 IPv6源地址驗證配置舉例（使用DHCPv6服務器）

1.4.3 IPv6源地址驗證配置舉例（使用ND方式）

1 IP源地址驗證

1.1 IP源地址驗證簡介

IP源地址驗證功能用於對AP收到的報文進行過濾控製，以防止非法客戶端的報文通過，從而限製了對網絡資源的非法使用（比如非法客戶端仿冒合法客戶端IP接入網絡），提高了無線網絡的安全性。

對於使用IPv4地址的客戶端，AP會截獲客戶端與DHCP服務器間交互的DHCPv4報文，從報文中獲取到DHCP服務器為客戶端分配的IP地址，並與客戶端的MAC地址形成綁定表項。

對於使用IPv6地址的客戶端，有以下兩種方式可以形成綁定表項。

· DHCPv6方式：AP會截獲客戶端與DHCPv6服務器間交互的DHCPv6報文，從報文中獲取到DHCPv6服務器為客戶端分配的完整的IPv6地址，並與客戶端的MAC地址形成綁定表項。如果從報文中獲取到的是DHCPv6服務器為客戶端分配的IPv6地址前綴，則無法與客戶端的MAC地址形成綁定表項。

· ND（Neighbor Discovery，IPv6鄰居發現）方式：AP會截獲客戶端與路由器之間交互的RA（Router Advertisement，路由器通告消息）報文，從報文中獲取IPv6地址，並與客戶端的MAC地址形成綁定表項。

如圖1-1所示，開啟IP源地址驗證功能後，AP在收到客戶端報文時，會查找IP源地址綁定表項，如果客戶端發送報文的特征項（MAC地址+IP地址）與某個綁定表項匹配，則轉發該報文，否則做丟棄處理。

圖1-1 IP源地址驗證功能示意圖

· DHCP功能的詳細介紹請參考“三層技術配置指導”中的“DHCP”。

· DHCPv6功能的詳細介紹請參考“三層技術配置指導”中的“DHCPv6”。

· ND功能的詳細介紹請參考“三層技術配置指導”中的“IPv6基礎”。

1.2 配置IP源地址驗證

IP源地址驗證功能是針對SSID的，對某個SSID配置了IP源地址驗證功能後，僅對接入該SSID的客戶端報文進行IP源地址驗證，通過其它SSID接入的客戶端不受影響。

表1-1 配置IP源地址驗證

操作	命令	說明
進入係統視圖	system-view	-
配置WLAN服務模板	wlan service-template service-template-number { clear \| crypto \| wapi }	-
配置對IPv4客戶端進行源地址驗證	ip verify source	必選缺省情況下，不對IPv4客戶端進行源地址驗證
配置對IPv6客戶端進行源地址驗證	ipv6 verify source	必選缺省情況下，不對IPv6客戶端進行源地址驗證

· 對於要接入開啟IP源地址驗證功能的SSID的客戶端來說，如果客戶端是通過AP本地認證方式上線的，IP源地址驗證功能依然生效，但是在AC上不會查看到該客戶端的IP地址綁定表項。關於AP本地認證的詳細介紹請參考“WLAN配置指導”中的“WLAN接入”。

· 如果接入開啟IP源地址驗證功能的SSID的客戶端需要漫遊到漫遊組內其它AC上的AP，那麼需要在漫遊組其它AC上的相應SSID上開啟IP源地址驗證功能，否則會出現客戶端業務中斷的情況。關於漫遊功能的詳細介紹請參考“WLAN配置指導”中的“IACTP隧道和WLAN漫遊”。

1.3 IP源地址驗證顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以顯示配置後IP源地址驗證的運行情況，通過查看顯示信息驗證配置的效果。

表1-2 IP源地址驗證顯示和維護

操作	命令
顯示IPv4/IPv6綁定表項信息	display wlan client { ip \| ipv6 } source binding [ mac-address mac-address ] [ \| { begin \| exclude \| include } regular-expression ]

1.4 IP源地址驗證典型配置舉例

1.4.1 IPv4源地址驗證配置舉例

1. 組網需求

· 如圖1-2所示，客戶端通過名為service的SSID接入網絡，網絡中的DHCP服務器會為接入的客戶端動態分配IP地址。

· 要求對接入此SSID的客戶端報文進行IP源地址驗證，以防止非法客戶端的報文通過。

3. 配置步驟

(1) 配置DHCP服務器

# 使能DHCP服務。

<DHCP> system-view

[DHCP] dhcp enable

# 配置接口Ethernet1/1的IP地址。

[DHCP] interface ethernet 1/1

[DHCP-Ethernet1/1] ip address 10.1.1.1 24

# 配置接口Ethernet1/1工作在DHCP服務器模式。

[DHCP-Ethernet1/1] dhcp select server global-pool

[DHCP-Ethernet1/1] quit

# 配置DHCP地址池0，並配置該地址池可以分配的網段為10.1.1.0/24。

[DHCP] dhcp server ip-pool 0

[DHCP-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0

(2) 配置AC

# 創建WLAN ESS接口。

<AC> system-view

[AC] interface wlan-ess 1

[AC-WLAN-ESS1] quit

# 配置WLAN服務模板，配置SSID為service，並將WLAN-ESS接口與該服務模板綁定。

[AC] wlan service-template 1 clear

[AC-wlan-st-1] ssid service

# 配置IPv4源地址驗證。

[AC-wlan-st-1] ip verify source

[AC-wlan-st-1] bind wlan-ess 1

[AC-wlan-st-1] authentication-method open-system

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 創建AP模板，名稱為ap1。

[AC] wlan ap ap1 model WA3628i-AGN

[AC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 配置802.11gn射頻。

[AC-wlan-ap-ap1] radio 2 type dot11gn

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] radio enable

Client 1（MAC地址為001d-0f31-87dd）和Client 2（MAC地址為001c-f08f-f7f1）通過DHCP服務器申請到IP地址後，用戶可以通過display wlan client ip source binding命令查看到關於這兩個客戶端的IPv4綁定表項信息。AP會根據該表項過濾其收到的IPv4報文，Client 1和Client 2客戶端發送報文的特征項與綁定表項匹配，AP會轉發這些報文，Client 3為非法客戶端，AP無法查找到與其匹配的綁定表項，會丟棄Client 3發送的報文。

<Sysname> display wlan client ip source binding

Total Number of Clients: 2

IP Source Binding Information

------------------------------------------------------------

MAC Address APID/RID Type Binding IP Address

------------------------------------------------------------

001d-0f31-87dd 1/2 DHCP 10.1.1.3

001c-f08f-f7f1 1/2 DHCP 10.1.1.2

------------------------------------------------------------

1.4.2 IPv6源地址驗證配置舉例（使用DHCPv6服務器）

1. 組網需求

· 如圖1-3所示，客戶端通過名為service的SSID接入網絡，網絡中的DHCPv6服務器會為接入的客戶端動態分配IPv6地址。

· 要求對接入此SSID的客戶端報文進行IPv6源地址驗證，以防止非法客戶端的報文通過。

2. 組網圖

圖1-3 IPv6源地址驗證配置組網圖

3. 配置步驟

(1) 配置DHCPv6服務器

# 使能IPv6報文轉發功能及DHCPv6服務器功能。

<DHCPv6> system-view

[DHCPv6] ipv6

[DHCPv6] ipv6 dhcp server enable

# 創建地址池1，在地址池1中配置網段2001:2::/64。

[DHCPv6] ipv6 dhcp pool 1

[DHCPv6-dhcp6-pool-1] network 2001:2::/64

[DHCPv6-dhcp6-pool-1] quit

# 配置接口Ethernet1/1的IPv6地址。

[DHCPv6] interface ethernet 1/1

[DHCPv6-Ethernet1/1] ipv6 address 2001:2::1/64

# 允許接口Ethernet1/1發送RA消息。

[DHCPv6-Ethernet1/1] undo ipv6 nd ra halt

# 配置接口Ethernet1/1工作在DHCPv6服務器模式，並引用地址池1。

[DHCPv6-Ethernet1/1] ipv6 dhcp server apply pool 1

(2) 配置AC

# 創建WLAN ESS接口。

<AC> system-view

[AC] interface wlan-ess 1

[AC-WLAN-ESS1] quit

# 配置WLAN服務模板，配置SSID為service，並將WLAN-ESS接口與該服務模板綁定。

[AC] wlan service-template 1 clear

[AC-wlan-st-1] ssid service

# 配置IPv6源地址驗證。

[AC-wlan-st-1] ipv6 verify source

[AC-wlan-st-1] bind wlan-ess 1

[AC-wlan-st-1] authentication-method open-system

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 創建AP模板，名稱為ap1。

[AC] wlan ap ap1 model WA3628i-AGN

[AC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 配置802.11gn射頻。

[AC-wlan-ap-ap1] radio 2 type dot11gn

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] radio enable

4. 驗證配置結果

Client 1（MAC地址為001d-0f31-87dd）和Client 2（MAC地址為001c-f08f-f7f1）通過DHCPv6服務器申請到IP地址後，用戶可以通過display wlan client ipv6 source binding命令查看到關於這兩個客戶端的IPv6綁定表項信息。AP會根據該表項過濾其收到的IPv6報文，Client 1和Client 2客戶端發送報文的特征項與綁定表項匹配，AP會轉發這些報文，Client 3為非法客戶端，AP無法查找到與其匹配的綁定表項，會丟棄Client 3發送的報文。

<Sysname> display wlan client ipv6 source binding

Total Number of Clients: 2

IPv6 Source Binding Information

------------------------------------------------------------

MAC Address APID/RID Type Binding IP Address

------------------------------------------------------------

001d-0f31-87dd 1/2 DHCPv6 2001:2::2

001c-f08f-f7f1 1/2 DHCPv6 2001:2::3

------------------------------------------------------------

1.4.3 IPv6源地址驗證配置舉例（使用ND方式）

1. 組網需求

· 如圖1-4所示，客戶端通過名為service的SSID接入網絡，網絡中的Router會為接入的客戶端動態分配IPv6地址前綴。

· 要求對接入此SSID的客戶端報文進行IPv6源地址驗證，以防止非法客戶端的報文通過。

2. 組網圖

圖1-4 IPv6源地址驗證配置組網圖

3. 配置步驟

(1) 配置Router

# 使能IPv6報文轉發功能。

<Router> system-view

[Router] ipv6

# 配置接口Ethernet1/1的IPv6地址。

[Router] interface ethernet 1/1

[Router-Ethernet1/1] ipv6 address 2001::1/64

# 允許接口Ethernet1/1發送RA消息。

[Router-Ethernet1/1] undo ipv6 nd ra halt

# 指定發布的地址前綴為2001::/64，該前綴的有效生命期為86400秒，首選生命期為3600秒。

[Router-Ethernet1/1] ipv6 nd ra prefix 2001::/64 86400 3600

(2) 配置AC

# 創建WLAN ESS接口。

<AC> system-view

[AC] interface wlan-ess 1

[AC-WLAN-ESS1] quit

# 配置WLAN服務模板，配置SSID為service，並將WLAN-ESS接口與該服務模板綁定。

[AC] wlan service-template 1 clear

[AC-wlan-st-1] ssid service

# 配置IPv6源地址驗證。

[AC-wlan-st-1] ipv6 verify source

[AC-wlan-st-1] bind wlan-ess 1

[AC-wlan-st-1] authentication-method open-system

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 創建AP模板，名稱為ap1。

[AC] wlan ap ap1 model WA3628i-AGN

[AC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 配置802.11gn射頻。

[AC-wlan-ap-ap1] radio 2 type dot11gn

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] radio enable

4. 驗證配置結果

Client 1（MAC地址為001d-0f31-87dd）和Client 2（MAC地址為001c-f08f-f7f1）通過ND方式獲取到IPv6地址前綴後，用戶可以通過display wlan client ipv6 source binding命令查看到關於這兩個客戶端的IPv6綁定表項信息。AP會根據該表項過濾其收到的IPv6報文，Client 1和Client 2客戶端發送報文的特征項與綁定表項匹配，AP會轉發這些報文，Client 3為非法客戶端，AP無法查找到與其匹配的綁定表項，會丟棄Client 3發送的報文。

<Sysname> display wlan client ipv6 source binding

Total Number of Clients: 2

IPv6 Source Binding Information

------------------------------------------------------------

MAC Address APID/RID Type Binding IP Address

------------------------------------------------------------

001d-0f31-87dd 1/2 ND 2001:2::2

001c-f08f-f7f1 1/2 ND 2001:2::3

------------------------------------------------------------

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

熱門推薦

熱門推薦

H3C服務器

HPE服務器

熱門推薦

H3C存儲

HPE存儲

熱門推薦

商用台式機

商用筆記本

商用顯示器

配件

熱門推薦

熱門推薦

智能終端

技術解決方案

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

專業安全服務

安全運營服務

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

技術支持

自助服務

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

公司刊物

加入我們

國家/地區

07-安全配置指導

目錄

22-IP源地址驗證配置

1 IP源地址驗證

1.1 IP源地址驗證簡介

1.2 配置IP源地址驗證

1.3 IP源地址驗證顯示和維護

1.4 IP源地址驗證典型配置舉例

1.4.1 IPv4源地址驗證配置舉例

1.4.2 IPv6源地址驗證配置舉例（使用DHCPv6服務器）

1.4.3 IPv6源地址驗證配置舉例（使用ND方式）

聯係我們