2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇_client-reject rssi-threshold

2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇

---

author：leadlife
time：2022/3/11
知识星球：LeadlifeSec
技术交流群：775454947

在前面的篇章中，我们完成了 RS，FW，WAF，NETLOG 等安全设备配置，但仅缺无线 AC 与 AP 的配置过程，让我继续带领大家进入 WLAN
的题目，一步一步参悟与解析，望能对大家起到抛砖引玉的作用。

文章目录

• 2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇

• *       * WS DHCP 下发三层发现 AP 被动上线
  1

  •     * 涉及题目
    1

    • 注意点
    • 操作

    •       * WS 配置 DHCP 服务下发 IP
      1

      • RS 开启 DHCP 中继转发 DHCP 服务器 AC VLAN
      • WS 操刀 AP 三层被动上线
  • WS WLAN SSID 与安全配置

  •     * 涉及题型
    1

    • 注意点
    • 操作

    •       *             * (1)
      1

      • (2)
  • WS WLAN 本地认证

  •     * 涉及题型
    1

    • 注意点
    • 命令
    • 操作
  • WS WLAN 接入控制-用户隔离

  •     * 涉及题型
    1

    • 操作
  • WS WLAN AP 版本检测自动升级-延迟 AP 发送帧时间 -配置 AP 超时状态-AP 脱离 AC 情况自主工作

  •     * 类似题型
    1

    • 操作

    •       * 检测 AP 版本不符自动升级操作
      1

      • 延迟 AP 发送帧时间操作
      • 操作 AP 超时状态-AP 脱离 AC 情况自主工作
  • WS WALN 低于 num% 信号值禁止连接-AP 威胁探测

  •     * 涉及题目
    1

    • 操作

    •       * 操作低于阈值禁止链接
      1

      • 操作 AP 威胁探测
• 罕见赛题的总结

• * RS、WS运行静态组播路由和因特网组管理协议第二版本；PC1启用组播，使用VLC工具串流播放视频文件1.mpg，组地址228.10.10.7，端口：3456，实现PC2可以通过组播查看视频播放。
  1

  •   * 操作
    1

    • 版本
    • End

WS DHCP 下发三层发现 AP 被动上线

涉及题目

WS上配置DHCP，管理VLAN为VLAN101,为AP下发管理地址，保证完成AP注册； 为无线用户VLAN10,20, 有线用户VLAN 30,40下发IP地址；
1

注意点

• AP 上需要配置 DHCP 服务，通过 Option 43 特殊字段下发
• RS 需要配置 DHCP 服务，为业务用户下发 IP 地址，同时做 DHCP 中继转发 WS DHCP 报文以 AP 被动发现

操作

WS 配置 DHCP 服务下发 IP

WS#config          
WS(config)#service dhcp     
WS(config)#ip dhcp pool AP           
WS(dhcp-ap-config)#network-address 192.168.101.0 255.255.255.0
WS(dhcp-ap-config)#default-router 192.168.101.1                                  
WS(dhcp-ap-config)#option 43 hex 0104C0A86401 `这里注意，是 AP 的 VLAN 100 管理地址 hex`
WS(dhcp-ap-config)#exit 

WS(config)#ip dhcp pool 10        
WS(dhcp-10-config)#network-address 172.16.10.0 255.255.255.0
WS(dhcp-10-config)#default-router 172.16.10.1
WS(dhcp-10-config)#exit

WS(config)#ip dhcp pool 20
WS(dhcp-20-config)#network-address 172.16.20.0 255.255.255.128
WS(dhcp-20-config)#default-router 172.16.20.1
WS(dhcp-20-config)#exit

WS(config)#ip dhcp pool 30           
WS(dhcp-30-config)#network-address 172.16.30.0 255.255.255.192
WS(dhcp-30-config)#default-router 172.16.30.1    
WS(dhcp-30-config)#exit

WS(config)#ip dhcp pool 40        
WS(dhcp-40-config)#network-address 172.16.40.0 255.255.255.192
WS(dhcp-40-config)#default-router 172.16.40.1
WS(dhcp-40-config)#exit

WS(config)#ip forward-protocol udp bootps 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

RS 开启 DHCP 中继转发 DHCP 服务器 AC VLAN

CS6200-28X-EI(config)#service dhcp
CS6200-28X-EI(config)#ip forward-protocol udp bootps 
CS6200-28X-EI(config)#int vlan 101
CS6200-28X-EI(config-if-vlan101)#ip helper-address 192.168.100.1
CS6200-28X-EI(config-if-vlan101)#exit
1
2
3
4
5

以上操作完毕后，AP 应当获取到 IP 地址，且 AC 与 AP 可通信

WS#show ip dhcp binding 
Total dhcp binding items: 1, the matched: 1
IP address          Hardware address         Lease expiration         Type
192.168.101.2       00-03-0F-82-2D-B0        Tue Jan 03 01:39:00 2006 Dynami

WS#ping 192.168.101.2
Sending 5 56-byte ICMP Echos to 192.168.101.2, timeout is 2 seconds.
!!!!!
1
2
3
4
5
6
7
8

WS 操刀 AP 三层被动上线

WS(config)#wireless 
WS(config-wireless)#enable 
WS(config-wireless)#no auto-ip-assign 
WS(config-wireless)#static-ip 192.168.100.1
WS(config-wireless)#ap authentication none                 
WS(config-wireless)#discovery ip-list 192.168.101.2
WS(config-wireless)#ap database 00-03-0F-82-2D-B0
1
2
3
4
5
6
7

完成上述步骤后，AP 应当成功上线

WS#show wireless ap status
           
 (*) Peer Managed  IP Address                              Profile Status     Status           Age      
------------------ --------------------------------------- ------- ------- ------------
 00-03-0f-82-2d-b0 192.168.101.2                           1       Managed Success       0d:00:00:04
1
2
3
4
5

WS WLAN SSID 与安全配置

涉及题型

在NETWORK下配置SSID，需求如下：
1：NETWORK 1下设置SSID ABC2021，VLAN10，加密模式为wpa-personal,其口令为ABCE2024；
2：NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID；
1
2
3

注意点

• 加密模式需要注意
• NETWORK 2 需要注意，不进行加密认证，却隐藏

操作

(1)

WS(config-wireless)#network 1
WS(config-network)#ssid ABC2021
WS(config-network)#vlan 10
WS(config-network)#security mode wpa-personal 
WS(config-network)#wpa key ABCE2024
1
2
3
4
5

(2)

WS(config-network)#network 2
WS(config-network)#ssid GUEST
WS(config-network)#vlan 20
WS(config-network)#hide-ssi
1
2
3
4

WS WLAN 本地认证

涉及题型

NETWORK 1开启内置portal+本地认证的认证方式，账号为ABC密码为ABCE2024；
1

注意点

• 开启内置 portal
• 开启本地认证

命令

操作

WS(config)#captive-portal 
WS(config-cp)#enable 

WS(config-cp)#authentication-type internal 
WS(config-cp)#user ABC
WS(config-cp-local-user)#password ABCE2024
WS(config-cp-local-user)#group a 
WS(config-cp-local-user)#exit

WS(config-cp)#configuration 1
WS(config-cp-instance)#verification local 
WS(config-cp-instance)#group a
WS(config-cp-instance)#interface ws-network 1
1
2
3
4
5
6
7
8
9
10
11
12
13

WS WLAN 接入控制-用户隔离

涉及题型

配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户，并对GUEST网络进行流控，上行1M，下行2M；配置所有无线接入用户相互隔离；
1

操作

WS(config-cp)#exit
WS(config)#wireless 
WS(config-wireless)#network 2
WS(config-wireless)#max-clients 10
WS(config-network)#time-limit from 00:00 to 06:00 weekday all
WS(config-network)#qos max-bandwidth up 1024
WS(config-network)#qos max-bandwidth down 2048
WS(config-network)#exit


这里需要将无线的用户所处端口加入隔离组
WS(config-ap-profile)#station-isolation allowed vlan add 10  
WS(config-ap-profile)#station-isolation allowed vlan add 20
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#station-isolation
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

WS WLAN AP 版本检测自动升级-延迟 AP 发送帧时间 -配置 AP 超时状态-AP 脱离 AC 情况自主工作

类似题型

配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级；配置AP发送向无线终端表明AP存在的帧时间间隔为1秒；配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时；配置AP在脱离AC管理时依然可以正常工作;
1

操作

检测 AP 版本不符自动升级操作

WS(config)#wireless 
WS(config-wireless)#ap auto-upgrade 
1
2

延迟 AP 发送帧时间操作

WS(config-wireless)#ap profile 1
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#beacon-interval 1000
1
2
3

操作 AP 超时状态-AP 脱离 AC 情况自主工作

WS(config-wireless)#wireless ap anti-flood agetime 120	`超时探测时间`
WS(config-wireless)#agetime ap-failure 2				`状态失败超时时间`

WS(config-wireless)#ap profile 1
WS(config-ap-profile)#ap ?
  escape  开启或关闭AP 逃生模式

WS(config-ap-profile)#ap escape
WS(config-ap-profile)#ap escape client-persist
1
2
3
4
5
6
7
8
9

WS WALN 低于 num% 信号值禁止连接-AP 威胁探测

涉及题目

为防止外部人员蹭网，现需在设置信号值低于50%的终端禁止连接无线信号；为防止非法AP假冒合法SSID，开启AP威胁检测功能；
1

操作

操作低于阈值禁止链接

WS(config-wireless)#ap profile 1           
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#client-reject rssi-threshold 50
WS(config-ap-profile-radio)#exit
WS(config-ap-profile)#exit
1
2
3
4
5

操作 AP 威胁探测

WS(config-wireless)#wids-security fakeman-ap-managed-ssid  
                
WS(config-wireless)#wids-security ap-de-auth-attack 

WS(config-wireless)#wids-security managed-ap-ssid-invalid 

WS(config-wireless)#end            
              
WS#wireless ap profile apply 1
1
2
3
4
5
6
7
8
9

关于这题，我建议这里全打上，多打不扣分

罕见赛题的总结

---

RS、WS运行静态组播路由和因特网组管理协议第二版本；PC1启用组播，使用VLC工具串流播放视频文件1.mpg，组地址228.10.10.7，端口：3456，实现PC2可以通过组播查看视频播放。

操作

ip igmp snooping
ip igmp snooping vlan 100
ip igmp snooping vlan 100 static-group 228.10.10.5 source 192.168.100.1 interface e1/0/



RS(config)#ip igmp snooping vlan 100
RS(config)#ip igmp snooping vlan 100 l2-general-querier-version 2
1
2
3
4
5
6
7
8

版本

RS(config)#int vlan 100
RS(config-if-vlan100)#ip igmp version 2
1
2

End

仅此，《2021-技能大赛-信息安全管理与评估-DCN 设备总结》 篇章已完毕，感谢大家的阅读并提出宝贵的意见，也感谢我的指导老师，为此我开源自身对 DCN
安全设备篇的配置总结，仅为广大安全业界贡献一份自身的薄力，提升大家对安全设备的一些理解与渗透，仅此，误念

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里