【WLAN】华为AC使用ACL禁止业务VLAN的IP地址访问管理VLAN

最新推荐文章于 2022-10-05 18:43:29 发布
最新推荐文章于 2022-10-05 18:43:29 发布
阅读量5.5k 收藏 27
点赞数 3
分类专栏: HUAWEI-【AC+AP】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NeverGUM/article/details/102796473
版权

前景提示

安全一直是一个很重要的话题,尤其在企业AC+AP组网的方式中。我们通常会把业务vlan和管理vlan区分开来,使用不同的VLAN,增加安全性,这二者其实可以分离的。

业务vlan:

业务vlan就是我们使用无线设备获取到的IP地址所属的vlan

管理vlan:

管理vlan就是我们的AP设备自身的IP地址

实验目的

通过此次实验,熟练掌握AP在AC上上线的过程,体会模板调用的方法。顺便理解traffic-filter和traffic-policy 用法,从而实现业务vlan的用户无法访问AP管理地址以及各个AP的IP地址的实验目的。

实验拓补

实验过程

[AC6005]sysname AC-1029 //更改设备名
[AC-1029]dhcp enable //开启dhcp服务
Info: The operation may take a few seconds. Please wait for a moment.done.
[AC-1029]undo  info-center enable //关闭信息中心提示
Info: Information center is disabled.
[AC-1029]vlan batch 10 20 //创建vlan10,20
Info: This operation may take a few seconds. Please wait for a moment...done.	
[AC-1029]port-group ap //创建“ap”组
[AC-1029-port-group-ap]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0
/2  //组成员是G1端口和G2端口
[AC-1029-port-group-ap]port link-type trunk //设置端口为trunk
[AC-1029-port-group-ap]port trunk allow-pass vlan 10 //允许vlan10通过
[AC-1029-port-group-ap]port trunk pvid vlan 10	//设置PVID值
[AC-1029-port-group-ap]undo  port trunk allow-pass vlan 1 //禁止vlan1通过
[AC-1029-port-group-ap]quit 
[AC-1029]interface Vlanif 10
[AC-1029-Vlanif10]ip address 192.168.10.254 24
[AC-1029-Vlanif10]dhcp  select interface 
[AC-1029-Vlanif10]quit 
[AC-1029]interface Vlanif 20
[AC-1029-Vlanif20]ip address  192.168.20.254 24
[AC-1029-Vlanif20]dhcp  select interface 	
[AC-1029-Vlanif20]quit 
[AC-1029]capwap source interface Vlanif 10 //配置源接口地址
[AC-1029]wlan //进入WLAN视图
[AC-1029-wlan-view]regulatory-domain-profile name domain1 //创建域名模板,名为“domain1”
[AC-1029-wlan-regulate-domain-domain1]country-code cn //设置国家码是CN
Info: The current country code is same with the input country code.	
[AC-1029-wlan-regulate-domain-domain1]quit 	
[AC-1029-wlan-view]ap-group name hydq //创建一个组,名“hydq”
Info: This operation may take a few seconds. Please wait for a moment.done.
[AC-1029-wlan-ap-group-hydq]regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain c
onfigurations of the radio and reset the AP. Continue?[Y/N]:y
[AC-1029-wlan-ap-group-hydq]quit 
[AC-1029-wlan-view]ap auth-mode mac-auth //设置ap上线的认证方式是Mac认证
[AC-1029-wlan-view]ap-id 0 ap-mac 00e0-fcba-7e40 //设置ap ID和它的Mac地址
[AC-1029-wlan-ap-0]ap-name factory1 //命名该ap
[AC-1029-wlan-ap-0]ap-group hydq //使得该ap加入hydq这个组
Warning: This operation may cause AP reset. If the country code changes, it will
 clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment.. done.
[AC-1029-wlan-ap-0]ap-id 1  ap-mac 00e0-fc9e-0ed0 //和上面同理
[AC-1029-wlan-ap-1]ap-name factory
[AC-1029-wlan-ap-1]ap-group hydq
Warning: This operation may cause AP reset. If the country code changes, it will
 clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment.. done.
[AC-1029-wlan-ap-1]

我们用命令查看AP上线情况

[AC-1029-wlan-ap-1]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor  : normal          [2]
--------------------------------------------------------------------------------
------------
ID   MAC            Name     Group IP            Type            State STA Uptim
e
--------------------------------------------------------------------------------
------------
0    00e0-fcba-7e40 factory1 hydq  192.168.10.78 AP4050DN-E      nor   0   2M:49
S
1    00e0-fc9e-0ed0 factory  hydq  192.168.10.1  AP4050DN-E      nor   0   1M:53
S
--------------------------------------------------------------------------------
------------
Total: 2
[AC-1029-wlan-ap-1]

 然后我们开始配置各种模板,使得AP正常工作


[AC-1029-wlan-ap-1]quit 	
[AC-1029-wlan-view]security-profile name hydq //创建安全模板,名为“hydq”
[AC-1029-wlan-sec-prof-hydq]security wpa-wpa2 psk pass-phrase liuxunyu1314 aes //配置WiFi密码,为liuxunyu1314
[AC-1029-wlan-sec-prof-hydq]quit 
[AC-1029-wlan-view]ssid-profile name hydq //创建ssid模板,名为“LXU1314”
[AC-1029-wlan-ssid-prof-hydq]ssid LXU1314
Info: This operation may take a few seconds, please wait.done.	
[AC-1029-wlan-ssid-prof-hydq]quit 	
[AC-1029-wlan-view]vap-profile name hydq	//创建VAP模板。名为“hydq”
[AC-1029-wlan-vap-prof-hydq]forward-mode tunnel //转发模式为隧道转发
Info: This operation may take a few seconds, please wait.done.	
[AC-1029-wlan-vap-prof-hydq]service-vlan vlan-id 20 //选择业务vlan是,vlan20
Info: This operation may take a few seconds, please wait.done.
[AC-1029-wlan-vap-prof-hydq]security-profile hydq //引用security模板,hydq
Info: This operation may take a few seconds, please wait.done.
[AC-1029-wlan-vap-prof-hydq]ssid-profile hydq //引用ssid模板,hydq
Info: This operation may take a few seconds, please wait.done.
[AC-1029-wlan-vap-prof-hydq]quit 
[AC-1029-wlan-view]ap-group name hydq //进入组,hydq
[AC-1029-wlan-ap-group-hydq]vap-profile hydq wlan 1 radio all //组里调用VAP模板,并配置射频,all里面包括,2.4Ghz和5Ghz

 

有两种方式可以实现业务vlan的用户无法访问AP管理地址以及各个AP的IP地址

在此之前:

traffic-filter的前身其实是traffic-policy ,由于日益增多的访问控制需求,华为公司简化了traffic-policy,就是traffic-filter的由来。

事实上,traffic-policy的功能更全面,traffic-filter则相对简单。

本次实验发现有个有趣的地方,在ENSP模拟器上面,接口下居然没有调用traffic-filter的这个命令,但是有traffic-policy 的选项,大概是不支持?不过我没有去真机环境中测试,所以引发了在vlanif下调用策略路由的血案。

traffic-filter(流量过滤),只需要配置了ACL,然后在接口或者vlanif下调用即可

traffic-policy(流量策略),这种方式稍微麻烦,却功能丰富。总体思路,配置流分类(classifier),配置流行为(behavior),配置流策略(traffic policy),在流策略里面引用流分类和流行为,这一点和AP在AC里面VAP模板调用security和SSID模板有异曲同工之妙。

第一种:调用traffic-filter

[AC-1029]acl	
[AC-1029]acl 3000	//创建高级acl,3000
[AC-1029-acl-adv-3000]step 3 //设置步长为3
[AC-1029-acl-adv-3000]rule deny ip source 192.168.20.0 0.0.0.255 destination 192
.168.10.0 0.0.0.255	//拒绝源是192.168.20.0的网段访问192.168.10.0的网段,掩码规则可以参考之前文章
[AC-1029-acl-adv-3000]quit 
[AC-1029]interface Vlanif 20 //进入vlanif20虚拟接口
[AC-1029-Vlanif20]traffic-filter inbound acl 3000 //在入方向调用策略acl3000

我们前后测试,发现实现了实验目的。

 

第二种:调用traffic-policy 


[AC-1029]traffic classifier test	//创建流分类,名为“test”
[AC-1029-classifier-test]if-match acl 3001 //匹配规则acl3000
[AC-1029-classifier-test]quit 	
[AC-1029]traffic behavior test	 //创建流行为,名为“test”
[AC-1029-behavior-test]deny //动作是拒绝	
[AC-1029-behavior-test]quit 
[AC-1029]traffic policy test //创建流策略,名为“test”
[AC-1029-trafficpolicy-test]classifier test behavior test 	//引用流分类和流行为
[AC-1029-trafficpolicy-test]quit 
[AC-1029]interface Vlanif 20
[AC-1029-Vlanif20]traffic-policy test inbound //在入方向调用策略“test”

然后测试

然后我们看到两种方式实现了我们的实验目的

疏散一小生
关注
  • 3
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为HCIA-Datacom V1.0培训PPT和实验手册.rar
11-13
目录: 01 数据通信网络基础 02 网络参考模型 03 华为VRP系统 04 网络层协议及IP编址 05 IP路由基础 06 OSPF基础 07 以太网交换基础 08 VLAN原理与配置 09 生成树 10 实现VLAN间通信 11 以太网链路聚合与交换机堆叠、集群 12 ACL原理与配置 13 AAA原理与配置 14 网络地址转换 15 网络服务与应用 16 WLAN概述 17 广域网技术 18 网络管理与运维 19 IPv6基础 20 SDN与NFV概述 21 网络编程与自动化 22 园区网典型组网架构及案例实践
华为ICT必学网络拓扑及配置、数据通信课程必学网络拓扑配置、所有协议为单独配置、文件为单独文件
10-08
压缩包所包含以下所给出的所有协议的单独文件配置如需其中某一单独文件请留言或私聊 内容概要:学习华为HCIA 必会网络拓扑配置,其中包含具体协议有静态路由,单臂路由、三层交换、链路聚合、防火墙以及防火墙地址转换与双机热备、OSPF、VLAN、WALN、ACL、FTP、DHCP、DHCP中继、NAT、NAPT、BGP、Easy-ip等协议单独配置文件,学习具体配置可打开查询具体实现代码。 适合人群:初学eNSP、华为HCIA 认证的初级学者以及热爱网络配置的爱好者。 能学到什么:静态路由,单臂路由、三层交换、链路聚合、防火墙以及防火墙地址转换与双机热备、OSPF、VLAN、WALN、ACL、FTP、DHCP、DHCP中继、NAT、NAPT、BGP、Easy-ip是如何设计和实现的。 阅读建议:此资源对认证网络工程师具有较大的帮助,对在校学生有很好的启示作用,所以在学习的过程要结合这些内容一起来实践,并查看对应的代码。 在大学数据通信工程师认证中均要学习的网络拓扑配置以及实验所用。如需实验报告请私聊。 涉及以上协议、对于部分不理解或不懂内容可留言或私聊。 如需资源请留言或私聊。
华为数通超完美思维导图36张
09-01
AAA原理与配置.png ACL访问控制列表.png ARP协议.png DHCPv6.png DHCP原理与配置.png FTP原理与配置.png GARP和GVRP.png GRE原理与配置.png HDLC&PPP原理与应用.png ICMP协议.png IPSec VPN原理与配置.png IPv6基础介绍0.png IPv6路由基础 1.png IP编址.png NAT网络地址转换.png PPPoE.png RSTP原理与配置.png STP生成树.png Telnet原理与配置.png VLAN原理和配置1.png VLAN间路由.png VRP基础.png VRP系统管理.png 交换网络基础.png 以太网帧结构.png 传输介质简介.png 传输层协议.png 命令行基础.png 帧中继原理与配置.png 文件系统基础.png 无线局域网WLAN.png 距离矢量路由协议——RIP.png 路由基础.png 链路状态协议——OSPF.png 链路聚合.png 静态路由基础.png 华为数通思维导图36张 不可多得的精品 包含HCIA的知识点 网络工程师(软考)建议收藏 华为数通思维导图36张 不可多得的精品 包含HCIA的知识点 网络工程师(软考)建议收藏
华为HCNA培训视频教程【共44集】.rar
09-04
目录: 01-网络架构基础.lxe,网盘文件 02-网络基础.lxe 03-拓扑图制作.lxe 04-网络模型.lxe 05-应用层.lxe 06-传输层.lxe 07-数据链路层.lxe 08-网络层.lxe 09-IP协议.lxe 10-IP地址.lxe 11-子网划分.lxe 12-数据转发过程.lxe 13-单播、广播、组播.lxe 14-VRP基础.lxe 15-VRP远程管理.lxe 16-VRP文件系统.lxe 17-路由基础.lxe 18-静态路由.lxe 19-静态路由实验.lxe 20-动态路由.lxe 21-RIP.lxe 22-OSPF.lxe 23-OSPF实验.lxe 24-路由认证.lxe 25-交换机基础.lxe 26-VLAN基础.lxe 27-VLAN间路由.lxe 28-GVRP.lxe 29-STP.lxe 30-RSTP.lxe 31-链路聚合.lxe 32-DHCP.lxe 33-ACL.lxe 34-NAT.lxe 35-SNMP.lxe 36-WLAN基础.lxe 37-HDLC&PPP.lxe 38-PPPoE.lxe 39-VPN概述.lxe 40-GRE VPN.lxe 41-IPSec VPN.lxe 42-IPv6概述.lxe 43-IPv6路由基础.lxe 44-DHCPv6.lxe
华为1+X网络系统建设与运维 培训视频教程.rar
08-28
01 通信与网络 ,网盘文件,内容丰富 02 OSI与TCPIP参考模型 03 数据链路层 04 网络层IP规划与子网划分(二进制与有类编址)2 05 网络层IP规划与子网划分(无类编制与编址规划) 06 网络层IP规划与子网划分(IP规划实例) 07 网络层ARP与IPv4通信 08 传输层 09 应用层 10 交换网络基础 11 虚拟局域网(VLAN)技术 12 生成树协议 13 快速生成树协议 14 路由基础 15 静态路由与默认路由(静态路由与默认路由) 16 静态路由与默认路由(路由汇总、浮动路由、负载均衡) 17 OSPF路由协议 18 VLAN间路由 19 第一跳冗余协议 20 链路聚合 21 堆叠技术 22 广域网概述 23 点对点协议-PPP 24 PPPoE 25 访问控制列表 26 ACL的典型应用 27 NAT原理 28 NAT配置 29 AAA 30 IPv6协议概述 31 IPv6地址结构 32 IPv6路由 33 无线应用概述与协议标准 34 无线射频与AP天线及常见无线网络设备 35 WLAN的工作原理 36 FAT AP网络组建及基本配置 37 WLAN的安全配置 38 密码恢复和认识网络管理协议 39 SNMP协议结构 40 SNMP的简单应用 41 企业网项目建设实践1 42 企业网项目建设实践2 43 项目实施任务1 44 项目实施任务2
华为S5720交换机通过ACL限制VLAN之间的访问
热门推荐
womendouhenqiang的博客
05-23 5万+
华为S5720上实际配置过 不过iP是10.0.151.0 0.0.0.255不能访问其他vlan通过traffic-filter调用<Huawei>sys[Huawei]acl 3000               //创建高级ACL(3000~3999)[Huawei-acl-adv-3000][Huawei-acl-adv-3000]rule permit ip source19...
华为s5700怎么做vlan禁止访问
kepa520的博客
03-07 1万+
1、用的华为S5700-24TP-SI,划了3个vlan,分别为vlan 2、vlan 3、vlan 4,对应的IP段为: vlan 2:192.168.2.0/255.255.255.0 vlan 3:192.168.3.0/255.255.255.0 vlan 4:192.186.4.0/255.255.255.0 2、怎么限制vlan2不可以访问vlan 3、vlan4; vlan3不可
由浅入深玩转华为WLAN—23 Traffic-filter(ACL)在WLAN无线场景的应用
网络之路Blog(其他平台同名)
03-10 2159
简介 Traffic-Filter(ACL)在WLAN应用场景比较适合 在一个企业网络架构中,无线提供多种业务转发,包括给访客Guest的,以及内部员工的,我们希望访客只能访问internet,而内部员工限制则少很多,这时候可以通过在无线上面部署ACL来实现控制,当然其实也可以在三层网关上面做访问控制,但是在无线AP上面直接就Drop了,更加直接。 掌握目标 1、网络初始化(交换机、路由器配置) 2、WLAN业务基本配置(AP上线、AP业务配置,下发业务) 3、直接转发模式下ACL的配置应用与测试 4
ACL——拒绝源地址
杨奇的博客
10-19 1万+
拒绝192.168.10.1不能telnet12.1.1.2 Client1(IP地址IP地址:192.168.10.1 子网掩码:255.255.255.0 网关:192.168.10.254 PC1(IP地址IP地址:192.168.10.2 子网掩码:255.255.255.0 网关:192.168.10.254 PC2(IP地址IP地址:172.16.10.1 子网掩码:...
小蘑菇-----华为高级ACL配置
weixin_45450567的博客
08-27 980
实验名称:华为高级ACL配置 实验需求: 1)允许Client1访问Server1的Web服务 2)允许Client1访问网络192.168.2.0/24 3)禁止Client1访问其它网络 实验拓扑图如下: 配置如下(基本配置略): [AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 [AR3]ip route-static 0.0.0.0 0.0...
华为ensp模拟器实现通信安全(交换机配置vlan
运维派大星
07-01 3815
华为ensp模拟器,实现vlan隔离,将不同的交换机接口放入不同的vlan步骤以及实现原理, 交换机的access接口与trunk接口的功能以及实现步骤
ensp-acl访问控制实验
西部壮仔的博客
04-19 7013
IP ACL概述 ACL-Access Control List 它的作用是对网络流量的访问行为进行控制,是管理管理、监控网络流量的得力工具; ACL常常会和服务质量(Quality of Service,QoS)、路由策略等技术结合起来使用,为某项后续的操作定义流量的匹配标准。 在华为设备上,IP ACL分为两种类型: 基本IP ACL 只能基于源IP地址进行匹配 高级IP ACL 基于多种...
项目四 无线网络配置(使用华为模拟器eNSP)
qq_24526483的博客
10-05 1万+
无线网络配置
网络安全综合实验(eNSP)(DHCP、OSPF、NAT、防火墙、ACL)
!不将就的博客
06-04 1万+
网络安全综合实验 一、概述 1.1 实验背景及要求 配置ACL,过滤具有某种特点的分组。 配置NAT。在企业内部结构化分层使用NAT地址。 实验测试一种网络攻击,比如SYN_Flood、MAC泛洪攻击或ARP攻击。 配置防火墙,禁止某种网络服务(防火墙在企业内网与外网之间)。 配置VPN。企业内网与外网之间可能有防火墙,也可能有NAT。从企业外部,用户不能直接访问企业内部。企业员工外出,或跨地区、跨国家企业都有跨越公众互联网,访问企业内部网络的需求。配置NAT某种VPN,比如L2TP VPN 或SSL V
华为AC+AP设备上线入门,中小网络AP上线配置思路入门
NeverGUM的博客
05-18 2万+
作为初学华为WLAN业务这块,又有太多的知识需要充电了,一点一点记录吧 中心企业AP业务配置案例,(AC的下行直接是AP,上行是汇聚交换机或者其他) 备注:完成物理连接后,在AC上开始配置,这种组网方式所有的配置在AC上配置即可 在此之前,我们首先要做这些操作,能让AP正确的获取到管理vlan地址。 # sysname AC # vlan batch 10 20 //创建vl...
WLAN】华为大型AC+AP上线实验
NeverGUM的博客
09-24 1万+
前几个月博客记录了小型AC+AP上线,这次记录下大型AC+AP上线的过程,我会吧最近所学注解在代码中,方便自己或者别人查看。 本次实验结合了很多的综合知识,不论是DHCP select relay 获取地址的方式也好,还是改用ospf替代以前的静态路由,或者是改变ap的上线方式(以前是ap-mac上线,本次实验使用ap-sn上线)都是自己再一步步中学习,并结合在此次实验当中的。 当然,依然有许...
华为企业配置大型WLAN基本业务典型配置案例
NeverGUM的博客
05-28 1万+
最近又学习了华为中大型网络设备的WLAN组网,刚开始觉得头大,其实只要静下心来掌握规律就很简单了。 背景案例: 某公司需要搭建大型WLAN组网,希望所有AP获取的地址都是从路由器上统一分配,然后AP分别设置为两个区域,guest和employee wifi. 这是拓补图和成品图一起的。 先说总体思路吧 1:按照配置,所有的内网都能互通,创建各种vlan,一定记得各个端口trun...
华为WLAN下常用功能配置
NeverGUM的博客
09-25 4112
1:隐藏SSID的命令(其实就是WiFi名称,哈哈哈) 隐藏SSID功能:用户在创建无线网络时,为了保护无线网络的安全,可以对无线 网络名称进行隐藏设置。这样,只有知道网络名称的无线用户才能连接到这个无 线网络中。 ssid-hide enable命令用来在SSID模板下使能Beacon帧中隐藏SSID功能。 undo ssid-hide enable命令用来在SSID模板下去使能Be...
华为 WLAN802.1x动态下发vlan配置(AC篇)
最新发布
06-01
华为 WLAN的802.1x动态下发VLAN配置需要在AC上进行配置,具体步骤如下: 1. 配置RADIUS服务器 在AC上配置RADIUS服务器,用于认证客户端设备。具体命令如下: ``` [AC] radius-server shared-key cipher %^%#[Jx"8...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值