一般受控制器管控的AP都是普通模式,但是有时也会做成网关模式,比如AP远程部署且放在出口,或者内网需要AP做DHCP服务。
对于AP网关模式的配置,一般拓扑还是比较简单,出口路由器,下接核心交换机,信锐NAC单臂部署,AP接在交换机下,AP与NAC可在一个网段,也可不同网段,不同网段DNS激活上线。假设拓扑如下:
配置过程主要是:
1、设置接入点配置中的AP,让AP正常上线,在接入点设置——无线接入点——选中AP
2、开启AP的DHCP功能,在参数配置——网关接入点——新增子网——启用DHCP服务——DHCP配置
3、设置SSID,选择本地转发,新增无线网络——本地转发:
主要配置完成。
首先,在过去的版本中,对于支持802.11ac协议的AP,由于ac协议射频口的特性只能用于5.8G频段的反制本性到,但是在3.7.9.7版本之后,支持全信道反制。
对于无线反制的配置方法,也非常简单,主要有以下几步:
1、新增防护策略,在流控与安全——无线射频防护——防护策略下,新增射频防护策略
2、设置monitor模式,接入点选择用来反制的AP,防护模式选择信号压制,防护配置的射频1、射频2、射频3都选择monitor,保护信道2.4G和5.8G都选择全信道
3、设置防护特定SSID和MAC,如果想反制其他所有无线信号,则勾选非法接入点加测下的所有项,包括勾选钓鱼接入点及随身WI-FI检测,勾选将未在本NAC上激活的接入点视为非法接入点,勾选将隐藏SSID的接入点视为非法接入点,勾选AD-Hoc检测,勾选邻居接入点干扰检测,如下图:
4、如果只反制指定的钓鱼接入点,则不勾选将未在本NAC上激活的接入点视为非法接入点,在BSSID反制参数里,填写钓鱼接入点MAC,如下图:
5、如果只反制指定的钓鱼接入点SSID,则不勾选将未在本NAC上激活的接入点视为非法接入点,在SSID反制参数里,填写钓鱼接入点SSID,如下图:
6、设置防护参数,在高级选项中,反制参数保持默认即可,反制型号强度阀值-100dBm,反制周期50ms
7、受信任接入点,受信任的BSSID和信任的SSID,都可以勾选“将未在本NAC上激活的接入点视为非法接入点”,设置不反制的BSSID和SSID,如果受信任的SSID是个隐藏SSID,则不能勾选“将隐藏SSID的接入点视为非法接入点”。
在系统状态——告警事件及系统维护——日志查看都可看到相关反制信息。
EAP中继:EAP协议报文由接入设备进行中继,设备将EAP报文使用EAPOR(EAPoverRadius)封装格式承载于Radius协议报文中,发送给radius服务器进行认证。
该认证方式的优点:设备处理简单,可支持多种类型的EAP认证方法,比如MD5-Challenge、EAP-TLS、PEAP等,但是Radius服务器也需要支持相应的认证方法。
EAP终结:EAP协议报文由接入设备进行处理,设备将客户端认证信息封装在标准Radius报文中,与服务器之间采用密码验证协议MSCHAPv2、TLS、PAP、CHAP、协议方式进行认证。
该认证方式的优点:现有的Radius服务器基本均可支持PAP和CHAP认证。
对于信锐无线控制器的企业级认证,EAP终结是指 由无线控制器来完成整个无线认证过程,由控制器直接处理EAP报文并进行认证。 EAP中继是指 无线接入点把无线客户端认证过程的EAP报文直接转发到RADIUS服务器中,由RADIUS服务器来完成整个认证过程。
信锐无线控制器中,配置企业级认证时,接入点配置——无线网络——新增无线网络,账号认证——EAP方法,默认也是EAP终结,在选择虚拟服务器进行802.1X认证时,只能选择EAP终结模式。
信锐无线控制器配置有企业级认证,在windows上认证失败,但是在安卓和苹果手机上都可以认证成功。
这是因为windows系统默认采用的GBK编码,信锐无线控制器默认是UTF-8编码,编码不一致会导致认证失败。
只需要在信锐无线控制器上,将系统配置——系统选项,默认编码改成GBK即可。
操作方法如下图:
信锐无线控制器从3.7.9.1R1版本开始,支持IPV6,这个3.7.9.1R1版本并非3.7.9.1正式版之后的版本,可以将3.7.9.1R1理解成3.7.9.1正式版,如果系统版本较低,只需要将系统升级到3.7.9.1及以后版本,在接口等配置界面处就有IPV6的配置,可以配置DHCPV6,IPV6的路由等。
3.7.9.1R1版本是在2019年8月份发布,对设备无特别的要求,只要升级授权在有限期内即可,并且软件版本不能跨度太大,以下是升级路线图:
图片较小,可在浏览器新窗口打开放大。
目前内网中有台电脑出现了一个很奇怪的现象,该电脑IP为192.168.1.1/25,网关为192.168.1.126,使用某业务软件客户端有时出现卡顿的现象,甚至有连接不上服务端10.X.X.X的情况,但是一般浏览网页又是正常的,更换了交换机端口、网线,更新了网卡驱动,问题依旧。
排查的时候发现,当出现业务软件卡顿的时候,ping网关也不丢包,但是TTL值会从255变为64,TTL如果发生改变,一般是网关有地址冲突,或者arp欺骗等相关情况。
ping网关时当TTL值是255时,使用arp -a可以查看192.168.1.124和192.168.1.126的MAC都是11-22-33-44-55-66,由于启用了VRRP,所以会出现这种情况,并且当TTL变为64时,使用arp -a可以看到假冒的网关的MAC11-22-33-44-55-AA,根据该MAC地址可以查询到网卡厂家,刚好内网中只存在一台该品牌的设备,基本可以定位出假冒网关的设备了,是一台XX品牌的终端设备,并不是一台电脑。
该终端上的菜单里查看到的MAC是11-22-33-44-55-BB,发现并非刚才arp -a看到的MAC地址 11-22-33-44-55-AA,并且其配置的IP是192.168.1.20/25,但是该设备配置的网关是错误的,其配置的网关是192.168.2.254,配置的这个网关和IP都不在同一网段,但是该终端竟然也可以配置上。
拿笔记本直连该终端,笔记本配置192.168.1.X/25,ping通终端192.168.1.20后,查看arp,发现该终端的MAC的确是 11-22-33-44-55-AA ,该终端显示屏上的MAC竟然是错误的。
将终端的网关修改为正确的192.168.1.126后,电脑192.168.1.1上软件客户端使用正常,并且ping网关192.168.1.126的TTL值一直是255,问题解决。
连接符:
==(eq) 等于
!=(ne) 不等于
<(lt) 小于
>(gt) 大于
>=(ge) 大于等于
<=(le) 小于等于
&&(and) 与
||(or) 或
!(not) 非
过滤IP地址:
过滤10.251.251.251的数据包
ip.addr==10.251.251.251
过滤源地址为1.1.1.8的数据包
ip.src==10.251.251.251
过滤源地址1.1.1.8或者目的地址1.1.1.10的数据包
ip.src==1.1.1.8 or ip.dst==1.1.1.10
过滤端口:
过滤tcp80端口的数据包
tcp.port eq 80,或者tcp.port == 80
过滤目的端口tcp80的数据包
tcp.dstport == 80
过滤tcp端口1000到2000之间的数据包
tcp.port>=1000 and tcp.port<=2000
过滤MAC地址:
过滤目的MAC11:22:33:44:55:66
eth.addr == 11:22:33:44:55:66
过滤http协议中带host字段的数据包
http.host
http.host==1.1.1.8
过滤http中post字段的数据包
http request method == POST
注意区分大小写。
深信服上网行为管理设备AC在以前版本的流控配置中,一直有平均分配和自由竞争这个模块,只是自由竞争是灰色的,只能默认的平均分配,如下图所示:
这个模块是多余的,因为并不能选择自由竞争。这里的平均分配的含义,比如当前2个用户的数据包同时到AC,先到的先发1个包,2个人进行轮换发包,新用户会排到后面,然后开始一轮的轮换
,得出1秒里的平均流速总和,这个时间和设备转发的效率有关,并且这个平均分配和流控关系不大,在新版本里已经将该处删除了。
这个模块没有意义,过去设想的自由竞争仍然没有做出,这里的选项(其实灰色也不可选择)反而会给用户造成困扰。
局域网中一台电脑突然无法上网,通过arp -a查看到网关的MAC并不是真实的,判断内网存在arp攻击,此种情况下,只需将网关绑定真实的MAC即可防御。
有时我们使用arp -s并不能实现绑定,这里需要其他的方法来做。
通过netsh i i show in查看本机网卡情况,记住外网网卡的Idx,一般为11,如果Idx为11,然后通过命令netsh -c “i i” add meogjnprs 11 “IP地址” “MAC地址”来绑定网关的MAC,即可恢复上网。
网络拓扑大致为出口防火墙,下接上网行为管理,下接核心交换机,交换机上单臂部署信锐无线控制器和AP等。
现有部分用户反应,接入某无线信号后获取不到IP地址,无法上网。
查询无线用户认证日志得知,该终端接入时从vlan 90上获取IP,但是获取不到地址,查看无线控制器配置,得知终端用户获取IP的vlan配置在无线控制器上,但是未配置vlan 90,所以获取不到IP,修改该无线信号的配置,将vlan 90改成其他vlan号。
但是用户仍旧反应不能上网,再次查看无线信号的配置,发现该无线信号还启用了mac白名单的设置,但是未勾选相关的mac白名单,将mac白名单配置好后,用户看正常接入无线信号,正常上网。