无线安全功能

目录

Ⅰ  功能介绍及应用场景  

1、功能介绍 

白名单列表  

静态黑名单列表  

基于SSID白名单列表  

基于SSID黑名单列表  

2、适用场景说明  

Ⅱ  常见问题和说明： 

   1.  无线基于SSID的白名单和全局白名单哪个优先级高？

2.   无线用户在线的情况下加黑名单或者开启白名单但是不在白名单列表的情况下是否会踢下线？

3.   无线设备是否支持对黑白名单中的MAC地址添加备注说明

4.如何显示配置的黑白名单列表？   

5.如何配置动态黑名单？  

6.   白名单部署后，如何批量删除？  

7.  无线基于ssid的黑白名单数量是多少 ？

    在无线网络中，黑白名单功能可以对无线客户端进行帧过滤，这样就实现了对无线终端用户的接入控制。  

    白名单列表中包含了允许接入的无线客户端的MAC 地址，用户可以通过命令行进行配置。如果启用了白名单功能，则只有白名单中指定的无线用户可以接入到WLAN 网络中，其他的无线用户的所有报文都将被AP 直接丢弃，从而减少非法报文对无线网络的冲击。  

    静态黑名单列表中包含了拒绝接入的无线客户端的 MAC 地址，用户可以通过命令行进行配置。如果启用了静态黑名单功能，则黑名单中指定的无线用户的所有报文都将被AP丢弃。  

    基于SSID白名单列表包含了指定SSID允许接入的无线客户端的MAC 地址，用户可以通过命令行进行配置。如果启用了基于SSID白名单功能，则在该SSID子集内，只有白名单中指定的无线用户可以接入，其他无线用户的所有报文都将被AP直接丢弃，从而减少非法报文对无线网络的冲击。  

    基于SSID黑名单列表包含了指定SSID拒绝接入的无线客户端的 MAC 地址，用户可以通过命令行进行配置。如果启用了基于 SSID 黑名单功能，则在该SSID子集内，黑名单中指定的无线用户的所有报文都将被AP丢弃。

帧过滤执行过程  

只想无线被指定的用户使用或不想被某些特定的用户使用该无线网络。  

优点：增加无线的安全性，可以控制无线用户的接入  

缺点：需要增加额外配置  

同时生效，如果终端有加入基于ssid的白名单，不管全局白名单是否添加了该终端，终端都是可以接入该信号的；如果配置了基于ssid的白名单但是没有添加该终端，但是全局白名单添加了，那么终无法接入这个ssid，但是可以接入其他的没有做ssid白名单的信号；如果全局和ssid都没有加入某个终端为白名单，那么该终端无法接入。

假设有三个个无线信号whitelist1、whitelist2和whitelist3，有无线用户a、b、c、d。如果全局配置了用户a的白名单，whitelist1配置了用户b的白名单，whitelist2配置了用户c的白名单，whitelist3没有部署白名单。那么用户a只能连接whitelist3，用户b只能连接whitelist1，用户c只能连接whitelist2，用户d无法接入。  

wifi不会断开，无线连接是正常状态，但是会无法上网，ping不通网关，断开wifi后就无法连接了。        

命令行下不支持，11.X的WEB管理页面上支持。

   显示配置的白名单列表  

Ruijie#show wids whitelist       

----------  Whitelist Information -------------      

num      Mac-address      

  1       0000.0000.0002

显示配置的黑名单列表

Ruijie#show wids blacklist static       

------------ Static Blacklist Information -------------      

num      Mac-address      

  1       0000.0000.0001

    在WIDS配置模式下开启动态黑名单功能，当WIDS检测到Flooding 攻击时，该表项将被动态添加到动态黑名单列表中。对于存在于动态黑名单中的表项，用户可以通过命令行设置生存时间。在该生存时间超时后，  该设备没有再次被检测到，则从动态列表中清除该表项。    

    Ruijie# configure terminal   进入全局配置模式。    

    Ruijie(config)# wids  进入WIDS配置。    

    Ruijie(config-wids)#  dynamic-blacklist enable   （必选）开启动态黑名单功能 缺省关闭。    

    Ruijie(config-wids)# [no]  dynamic-blacklist max NUM （可选）配置动态黑名单列表的长度。 缺省为512 。    

    Ruijie(config-wids)#  dynamic-blacklist lifetime lifetime （可选）配置动态黑名单列表生存时间。 缺省为300s。

进入wids模式下

全局的白名单删除命令：reset whitelist all

基于ssid的白名单删除命令：reset ssid-filter whitelist all

截止到b9p11，基于ssid的是256个限制；办公网软件版本基于ssid的是2048个（需要AC和AP均使用办公网及以上版本）。