2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇

author：leadlife
time：2022/3/11
知识星球：LeadlifeSec
技术交流群：775454947

在前面的篇章中，我们完成了 RS，FW，WAF，NETLOG 等安全设备配置，但仅缺无线 AC 与 AP 的配置过程，让我继续带领大家进入 WLAN 的题目，一步一步参悟与解析，望能对大家起到抛砖引玉的作用。

文章目录

2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇
罕见赛题的总结
- RS、WS运行静态组播路由和因特网组管理协议第二版本；PC1启用组播，使用VLC工具串流播放视频文件1.mpg，组地址228.10.10.7，端口：3456，实现PC2可以通过组播查看视频播放。
- - 操作
  - 版本
  - End

WS DHCP 下发三层发现 AP 被动上线

涉及题目

WS上配置DHCP，管理VLAN为VLAN101,为AP下发管理地址，保证完成AP注册； 为无线用户VLAN10,20, 有线用户VLAN 30,40下发IP地址；

注意点

AP 上需要配置 DHCP 服务，通过 Option 43 特殊字段下发
RS 需要配置 DHCP 服务，为业务用户下发 IP 地址，同时做 DHCP 中继转发 WS DHCP 报文以 AP 被动发现

操作

WS 配置 DHCP 服务下发 IP

WS#config          
WS(config)#service dhcp     
WS(config)#ip dhcp pool AP           
WS(dhcp-ap-config)#network-address 192.168.101.0 255.255.255.0
WS(dhcp-ap-config)#default-router 192.168.101.1                                  
WS(dhcp-ap-config)#option 43 hex 0104C0A86401 `这里注意，是 AP 的 VLAN 100 管理地址 hex`
WS(dhcp-ap-config)#exit 

WS(config)#ip dhcp pool 10        
WS(dhcp-10-config)#network-address 172.16.10.0 255.255.255.0
WS(dhcp-10-config)#default-router 172.16.10.1
WS(dhcp-10-config)#exit

WS(config)#ip dhcp pool 20
WS(dhcp-20-config)#network-address 172.16.20.0 255.255.255.128
WS(dhcp-20-config)#default-router 172.16.20.1
WS(dhcp-20-config)#exit

WS(config)#ip dhcp pool 30           
WS(dhcp-30-config)#network-address 172.16.30.0 255.255.255.192
WS(dhcp-30-config)#default-router 172.16.30.1    
WS(dhcp-30-config)#exit

WS(config)#ip dhcp pool 40        
WS(dhcp-40-config)#network-address 172.16.40.0 255.255.255.192
WS(dhcp-40-config)#default-router 172.16.40.1
WS(dhcp-40-config)#exit

WS(config)#ip forward-protocol udp bootps

RS 开启 DHCP 中继转发 DHCP 服务器 AC VLAN

CS6200-28X-EI(config)#service dhcp
CS6200-28X-EI(config)#ip forward-protocol udp bootps 
CS6200-28X-EI(config)#int vlan 101
CS6200-28X-EI(config-if-vlan101)#ip helper-address 192.168.100.1
CS6200-28X-EI(config-if-vlan101)#exit

以上操作完毕后，AP 应当获取到 IP 地址，且 AC 与 AP 可通信

WS#show ip dhcp binding 
Total dhcp binding items: 1, the matched: 1
IP address          Hardware address         Lease expiration         Type
192.168.101.2       00-03-0F-82-2D-B0        Tue Jan 03 01:39:00 2006 Dynami

WS#ping 192.168.101.2
Sending 5 56-byte ICMP Echos to 192.168.101.2, timeout is 2 seconds.
!!!!!

WS 操刀 AP 三层被动上线

WS(config)#wireless 
WS(config-wireless)#enable 
WS(config-wireless)#no auto-ip-assign 
WS(config-wireless)#static-ip 192.168.100.1
WS(config-wireless)#ap authentication none                 
WS(config-wireless)#discovery ip-list 192.168.101.2
WS(config-wireless)#ap database 00-03-0F-82-2D-B0

完成上述步骤后，AP 应当成功上线

WS#show wireless ap status
           
 (*) Peer Managed  IP Address                              Profile Status     Status           Age      
------------------ --------------------------------------- ------- ------- ------------
 00-03-0f-82-2d-b0 192.168.101.2                           1       Managed Success       0d:00:00:04

WS WLAN SSID 与安全配置

涉及题型

在NETWORK下配置SSID，需求如下：
1：NETWORK 1下设置SSID ABC2021，VLAN10，加密模式为wpa-personal,其口令为ABCE2024；
2：NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID；

注意点

加密模式需要注意
NETWORK 2 需要注意，不进行加密认证，却隐藏

操作

(1)

WS(config-wireless)#network 1
WS(config-network)#ssid ABC2021
WS(config-network)#vlan 10
WS(config-network)#security mode wpa-personal 
WS(config-network)#wpa key ABCE2024

(2)

WS(config-network)#network 2
WS(config-network)#ssid GUEST
WS(config-network)#vlan 20
WS(config-network)#hide-ssi

WS WLAN 本地认证

涉及题型

NETWORK 1开启内置portal+本地认证的认证方式，账号为ABC密码为ABCE2024；

注意点

开启内置 portal
开启本地认证

命令

code	explanation
captive-portal	进入 WS 本地认证模块
authentication-type internal	设置认证模式为内置认证(内置本地认证)，需要注意，这里并非本地认证，可以当作一个登录模式
verification local	配置为本地认证
group a	给予绑定用户的用户组
interface ws-network 1	加入绑定无线节点

操作

WS(config)#captive-portal 
WS(config-cp)#enable 

WS(config-cp)#authentication-type internal 
WS(config-cp)#user ABC
WS(config-cp-local-user)#password ABCE2024
WS(config-cp-local-user)#group a 
WS(config-cp-local-user)#exit

WS(config-cp)#configuration 1
WS(config-cp-instance)#verification local 
WS(config-cp-instance)#group a
WS(config-cp-instance)#interface ws-network 1

WS WLAN 接入控制-用户隔离

涉及题型

配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户，并对GUEST网络进行流控，上行1M，下行2M；配置所有无线接入用户相互隔离；

操作

WS(config-cp)#exit
WS(config)#wireless 
WS(config-wireless)#network 2
WS(config-wireless)#max-clients 10
WS(config-network)#time-limit from 00:00 to 06:00 weekday all
WS(config-network)#qos max-bandwidth up 1024
WS(config-network)#qos max-bandwidth down 2048
WS(config-network)#exit


这里需要将无线的用户所处端口加入隔离组
WS(config-ap-profile)#station-isolation allowed vlan add 10  
WS(config-ap-profile)#station-isolation allowed vlan add 20
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#station-isolation

WS WLAN AP 版本检测自动升级-延迟 AP 发送帧时间 -配置 AP 超时状态-AP 脱离 AC 情况自主工作

类似题型

配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级；配置AP发送向无线终端表明AP存在的帧时间间隔为1秒；配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时；配置AP在脱离AC管理时依然可以正常工作;

操作

检测 AP 版本不符自动升级操作

WS(config)#wireless 
WS(config-wireless)#ap auto-upgrade

延迟 AP 发送帧时间操作

WS(config-wireless)#ap profile 1
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#beacon-interval 1000

操作 AP 超时状态-AP 脱离 AC 情况自主工作

WS(config-wireless)#wireless ap anti-flood agetime 120	`超时探测时间`
WS(config-wireless)#agetime ap-failure 2				`状态失败超时时间`

WS(config-wireless)#ap profile 1
WS(config-ap-profile)#ap ?
  escape  开启或关闭AP 逃生模式

WS(config-ap-profile)#ap escape
WS(config-ap-profile)#ap escape client-persist

WS WALN 低于 num% 信号值禁止连接-AP 威胁探测

涉及题目

为防止外部人员蹭网，现需在设置信号值低于50%的终端禁止连接无线信号；为防止非法AP假冒合法SSID，开启AP威胁检测功能；

操作

操作低于阈值禁止链接

WS(config-wireless)#ap profile 1           
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#client-reject rssi-threshold 50
WS(config-ap-profile-radio)#exit
WS(config-ap-profile)#exit

操作 AP 威胁探测

WS(config-wireless)#wids-security fakeman-ap-managed-ssid  
                
WS(config-wireless)#wids-security ap-de-auth-attack 

WS(config-wireless)#wids-security managed-ap-ssid-invalid 

WS(config-wireless)#end            
              
WS#wireless ap profile apply 1

关于这题，我建议这里全打上，多打不扣分

罕见赛题的总结

RS、WS运行静态组播路由和因特网组管理协议第二版本；PC1启用组播，使用VLC工具串流播放视频文件1.mpg，组地址228.10.10.7，端口：3456，实现PC2可以通过组播查看视频播放。

VLAN 40 RS ETH1/0/4	172.16.40.1/26	PC2
VLAN 30 WS ETH1/0/3	172.16.30.1/26	PC1

操作

ip igmp snooping
ip igmp snooping vlan 100
ip igmp snooping vlan 100 static-group 228.10.10.5 source 192.168.100.1 interface e1/0/

RS(config)#ip igmp snooping vlan 100
RS(config)#ip igmp snooping vlan 100 l2-general-querier-version 2

版本

RS(config)#int vlan 100
RS(config-if-vlan100)#ip igmp version 2

End

仅此，《2021-技能大赛-信息安全管理与评估-DCN 设备总结》篇章已完毕，感谢大家的阅读并提出宝贵的意见，也感谢我的指导老师，为此我开源自身对 DCN 安全设备篇的配置总结，仅为广大安全业界贡献一份自身的薄力，提升大家对安全设备的一些理解与渗透，仅此，误念

2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇

2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇

文章目录

WS DHCP 下发三层发现 AP 被动上线

涉及题目

注意点

操作

WS 配置 DHCP 服务下发 IP

RS 开启 DHCP 中继转发 DHCP 服务器 AC VLAN

WS 操刀 AP 三层被动上线

WS WLAN SSID 与安全配置

涉及题型

注意点

操作

(1)

(2)

WS WLAN 本地认证

涉及题型

注意点

命令

操作

WS WLAN 接入控制-用户隔离

涉及题型

操作

WS WLAN AP 版本检测自动升级-延迟 AP 发送帧时间 -配置 AP 超时状态-AP 脱离 AC 情况自主工作

类似题型

操作

检测 AP 版本不符自动升级操作

延迟 AP 发送帧时间操作

操作 AP 超时状态-AP 脱离 AC 情况自主工作

WS WALN 低于 num% 信号值禁止连接-AP 威胁探测

涉及题目

操作

操作低于阈值禁止链接

操作 AP 威胁探测

罕见赛题的总结

RS、WS运行静态组播路由和因特网组管理协议第二版本；PC1启用组播，使用VLC工具串流播放视频文件1.mpg，组地址228.10.10.7，端口：3456，实现PC2可以通过组播查看视频播放。

操作

版本

End

猜你喜欢