無線部分命令手冊(cè)

第1章AP檢測(cè)命 1debugwirelesswidsinternal- 1showwirelessaprf-scanrogue- 1showwirelesswids- 2showwirelesswids-securityrogue-test- 3 3 3 4 4 4 5 5 5 6 6 6 7第2章Client檢測(cè)參數(shù)命 1debugwirelesswidsknown- 1oui 1showwirelessclientdetected-clientrogue- 1showwirelessoui 2 2 3wids-securityclientauth-with-unknown- 4wids-securityclientconfigured-assoc- 4wids-securityclientconfigured-auth- 4wids-securityclientconfigured-deauth- 4wids-securityclientconfigured-disassoc- 5wids-securityclientconfigured-probe- 5wids-securityclientknown-client- 5 5 6wids-securityclientrogue-det-trap- 6wids-securityclientthreshold-auth- 6wids-securityclientthreshold-interval- 6wids-securityclientthreshold-interval- 6wids-securityclientthreshold-interval- 7wids-securityclientthreshold-interval- 7wids-securityclientthreshold-interval- 7wids-securityclientthreshold-value- 7wids-securityclientthreshold-value- 8wids-securityclientthreshold-value- 8wids-securityclientthreshold-value- 8wids-securityclientthreshold-value- 8第3章功能命 1 1debugwirelesswids 1 1wids-securityap-de-auth- 1wids-securityclientthreat- 2wirelessacknowledge- 2 2第4章用戶命 1 1station-isolation（network模式 1station-isolation（radio模式 1station-isolation（profile模式 1第5章ARP抑制&ARP命 1arp- 1proxy- 1showwirelessap 1第6章動(dòng)態(tài)命 1dynamic- 1 1 1 1第7章無線SAVI命 1clearwirelesssavi 1debugwirelesssavi 1debugwirelesssavi 1debugwirelesssavi 2savi 2saviipv6-nd 2savi 2saviipv6-slaac 3savidyn-mac-binding- 3 3showwirelesssavi 3第8章DHCP抑制命 1dhcp- 1第1章AP檢測(cè)命debugwirelesswidsinternal-命令：debugwirelesswidsinternal-infonodebugwirelesswidsinternal-info使用指南：當(dāng)需要知道檢測(cè)過程中的各種檢測(cè)結(jié)果等debug信息時(shí)，可以使用本命令包括發(fā)送RFScanReport的APMAC，進(jìn)行檢測(cè)的APMAC、VAPMAC，各檢測(cè)步驟的檢測(cè)結(jié)果，同時(shí)還會(huì)打印收到的射頻掃描報(bào)告（RFScanReportMessage）中的鄰居AP信息字段（NeighorAPInfo&NeighorAPInfoPart2）具體內(nèi)容。showwirelessaprf-scanrogue-功能：顯示指定AP檢測(cè)日志概要信息。參數(shù)：<macaddr>RogueAP的MAC地址。使用指南：通過此命令可以顯示AP檢測(cè)日志概要信息AC#showwirelessap00-03-0f-01-02-03rf-scanrogue- MACAddr LastWIDSAPROGUE01False00-00-00-00-00-00(0)Enable WIDSAPROGUE02True00-03-0f-01-02-03(1)EnableRogue0d:08:18:410d:00:29:18WIDSAPROGUE03False00-00-00-00-00-00(0)Enable 0d:00:00:000d:00:00:00WIDSAPROGUE04False00-00-00-00-00-00(0)Enable 0d:00:00:000d:00:00:00 FakemanagedAPonaninvalid fromamanaged APisoperatingonanillegal UnexpectedWDSdevicedetectedon UnmanagedAPdetectedonwired表1-1AP檢測(cè)日志概要信息的說11種AP檢號(hào)Cond當(dāng)前開啟的AP檢測(cè)中，是否檢測(cè)到發(fā)MAC執(zhí)行此射頻掃描APMAC地址（radio序號(hào)TimeSince1stshowwirelesswids-命令：showwirelesswids-security功能：顯示設(shè)置的AP檢測(cè)參數(shù)。 使用指南：通過此命令可以顯示設(shè)置的AP檢測(cè)參數(shù)，詳細(xì)顯示著AP檢測(cè)的各種舉例：顯示設(shè)置的AP檢測(cè)參數(shù) Rogue-AP'sonanillegal Rogue-fakemanagedAP/invalid Rogue-fakemanagedAP/no...............Rogue-managedAP/invalid...............EnableRogue-managed/invalidsecurity Rogue-standaloneAP/unexpected Rogue-unknownAP/managed...............EnableRogue-fakemanagedAP/managed Rogue-unmanagedAPonawired Rogue-unexpectedWDS 60 60 表1-2AP檢測(cè)參數(shù)的說系統(tǒng)每次檢測(cè)是否存在RogueAP 功能：顯示AP檢測(cè)項(xiàng)的說明。使用指南：通過此命令可以顯示AP檢查項(xiàng)的說明。舉例：顯示AP檢測(cè)項(xiàng)的說明。 fromafakemanaged APwithout FakemanagedAPonaninvalid detectedwithincorrect APisoperatingonanillegal UnexpectedWDSdevicedetectedon UnmanagedAPdetectedonwiredtrapflagsrogue-功能：開啟發(fā)現(xiàn)APTrap，如果檢測(cè)到AP，AC將立刻發(fā)送Trap；本命令的檢測(cè)到，則把AP定性為Rogue，并發(fā)送Trap通知。舉例：開啟發(fā)現(xiàn)APTrap。nowired-detection-vlan功能：設(shè)置UnmanagedAP接入有線網(wǎng)絡(luò)檢測(cè)包所帶的VLANIDno操作為恢復(fù)VLANID到默認(rèn)值1。參數(shù)：<0-4094>VLANID0~4094，0表示檢測(cè)幀中不帶tag。使用指南：UnmanagedAPsentrymodeAP全職監(jiān)測(cè)周圍的射頻信息，每1秒鐘切換到新的信道進(jìn)行監(jiān)測(cè)，如果使能了這項(xiàng)檢測(cè)功能，在切換到新的信道后，首先向有線網(wǎng)絡(luò)發(fā)送地址為01-02-BC-00-12-00的組播幀。組播幀中tag的VLANID0則組播幀沒有VLAN標(biāo)志。如果不配置本命令，則組播幀中tag的VLANID為1。舉例：設(shè)置UnmanagedAP接入有線網(wǎng)絡(luò)檢測(cè)包所帶的VLANID為VLAN2。AC(config-wireless)#approfile1AC(config-ap-profile)#wired-detection-vlan2AC(config-ap-profile)#nowired-detection-vlanwids-securityadmin-config-功能：打開設(shè)置的AP檢測(cè)。缺省情況：開啟AP檢測(cè)。使用指南：可以設(shè)置在本地或Radius服務(wù)器的Valid-AP數(shù)據(jù)庫(kù)中的認(rèn)證，在Valid-AP的AP就是本地或Radius服務(wù)器的Valid-AP數(shù)據(jù)庫(kù)被配置為Rogue的AP?？梢允褂帽久畲蜷_本項(xiàng)檢測(cè)，來檢測(cè)這種被配置為RogueAP。舉例：打開設(shè)置的AP檢測(cè)wids-securityap-chan-命令：wids-securityap-chan-illegal功能：打開AP工作在信道檢測(cè)，本命令的no操作為關(guān)閉本檢測(cè)。卻是的，如果AP工作在信道，可以使用本命令打開本項(xiàng)檢測(cè)來檢測(cè)此rogueAP。舉例：打開AP工作在信道檢測(cè)。wids-securityfakeman-ap-chan-命令：wids-securityfakeman-ap-chan-invalidnowids-securityfakeman-ap-chan-invalid功能：打開在錯(cuò)誤信道接收到ManagedAP的Beaconno操作為關(guān)閉本缺省情況：開啟Beacon幀檢測(cè)。使用指南：由于ManagedAP的信道是由AC分配的，所以AC知道ManagedAP應(yīng)該工作的信道，而會(huì)ManagedAP的MAC，但其發(fā)送beacon幀所使用的信道卻可能在錯(cuò)誤的信道?？梢允褂帽久畲蜷_本項(xiàng)檢測(cè)來檢測(cè)此類rogueAP。舉例：打開在錯(cuò)誤信道接收到ManagedAP的Beacon 功能：打開Beacon幀中Vendorno操作為關(guān)閉本檢測(cè)。缺省情況：開啟Vendor字段不合法檢測(cè)。使用指南：有些會(huì)冒充ManagedAP的MAC并發(fā)送Managed的情況，本產(chǎn)品ManagedAPbeaconvendorvendor字段就可以檢測(cè)出ManagedAPMAC地址的RogueAP（如果沒有vendor字段，RFScanReport000000:::命令打開本項(xiàng)檢測(cè)來檢測(cè)此類rogueAP。舉例：打開Beacon幀中Vendorwids-securityfakeman-ap-命令：wids-securityfakeman-ap-no-nowids-securityfakeman-ap-no-功能：打開Beacon幀中沒有字段檢測(cè)，本命令的no操作為關(guān)閉本檢測(cè)。缺省情況：開啟Beacon幀中沒有字段檢測(cè)。使用指南：為了避免被檢測(cè)到，有可能會(huì)在benacon幀中不包含字段，但它仍可以通過發(fā)送proberesponse幀給發(fā)送proberequest的Client，以client接入，騙取安全信息?？梢允褂帽久畲蜷_本項(xiàng)檢測(cè)來檢測(cè)此類rogueAP。舉例：打開Beacon幀中沒有wids-securitymanaged- 命令：wids-securitymanaged-ap--invalidnowids-securitymanaged-ap--invalid功能：打開ManagedAP發(fā)送無效的 缺省情況：開啟ManagedAP發(fā)送無效的 使用指南：如果ManagedAP發(fā)送無效的，則檢測(cè)到ManagedAP的AP會(huì)將RFScanReportMessage發(fā)送給ACcontroller，該信息中將包含此不合法的。可以使用本命令打開本項(xiàng)檢測(cè)來檢測(cè)出發(fā)送無效的的managed，并判定為rogueAP。 命令：wids-securitymanaged--secu-bad功能：打開APno操作為關(guān)閉本檢測(cè)。缺省情況：開啟AP使用了錯(cuò)誤的安全認(rèn)證方式檢測(cè)。AC中也記錄了AP配置。因此通過使用本命令打開本項(xiàng)檢測(cè)，對(duì)比二者中安全認(rèn)證方式是否一致，從而來檢測(cè)此類rogueAP。舉例：打開APwids-securityrogue-det-trap-nowids-securityrogue-det-trap-interval功能：設(shè)置檢測(cè)RogueAPno操作為恢復(fù)間隔時(shí)間到默認(rèn)值。使用指南：設(shè)每隔一定的時(shí)間，系統(tǒng)會(huì)檢查是否存在RogueAP，如果系統(tǒng)中存在，ACcontroller則發(fā)送”wsRoguesPresent”TrapRogueAP?？梢酝ㄟ^此命令wids-securitystandalone-cfg-命令：wids-securitystandalone-cfg-invalidnowids-securitystandalone-cfg-invalid缺省情況：開啟合法的胖AP配置錯(cuò)誤檢測(cè)。使用指南：如果AP初始狀態(tài)為Standalone，且檢查掃描到的配置（工作信道、、安全認(rèn)證方式、WDS模式、是否接入有線網(wǎng)絡(luò)）ACController保存的配置不一致，則可以使用本命令打開本項(xiàng)檢測(cè)來檢測(cè)此類rogueAP。舉例：打開合法的胖AP 命令：wids-securityunknown-ap-managed-功能：打開未知AP合法的檢測(cè)，本命令的no操作為關(guān)閉本檢測(cè)缺省情況：開啟未知AP合法的檢測(cè)。使用指南：ACcontroller中查詢系統(tǒng)的網(wǎng)絡(luò)配置記錄著的，未知AP有時(shí)會(huì)這些的來客戶Client接入，從而竊取。可以使用本命令打開本項(xiàng)檢測(cè)來檢測(cè)此類rogueAP。舉例：打開未知AP合法的檢測(cè)wids-securityunmanaged-ap-命令：wids-securityunmanaged-ap-wired功能：打開UnmanagedAPno操作為關(guān)閉本檢測(cè)。缺省情況：開啟UnmanagedAP接入有線網(wǎng)絡(luò)檢測(cè)。且被檢測(cè)到連接在有線網(wǎng)絡(luò)上，則可以使用本命令打開本項(xiàng)檢測(cè)來檢測(cè)此類rogueAP。舉例：打開UnmanagedAP接入有線網(wǎng)絡(luò)檢測(cè)。wids-securitywds-device-命令：wids-securitywds-device-unexpected缺省情況：開啟APWDS模式檢測(cè)。使用指南：WDS(WirelessDistributionSystem)無線分布式系統(tǒng)，是使接入點(diǎn)（AP）通過無線進(jìn)行連接的協(xié)議。運(yùn)行在WDS模式的AP通過橋接或中繼的方式互相連接，降低了對(duì)APWDSACAPWDS狀態(tài)一致，如果不一致則判定此AP為rogueAP。舉例：打開APWDSwids-securitywired-detection-參數(shù)：<interval>為AP每一輪檢測(cè)的最短空閑等待時(shí)間，范圍為1~3600秒。使用指南：為了避免P過頻繁的送此檢數(shù)包，以設(shè)置短空閑待時(shí)間，（這個(gè)時(shí)間RFcn1第2章Client檢測(cè)參數(shù)命debugwirelesswidsknown-命令：debugwirelesswidsknown-clientnodebugwirelesswidsknown-client功能：打開操Known-clientdebug信息no操作為關(guān)閉本信息參數(shù)：無缺省情況：無命令模式：模式使用指南：Known-client數(shù)據(jù)庫(kù)debug信息，這樣可以得到debug信息，包括添加、刪除、查known-client時(shí)的信息舉例：打開操Known-clientdebug信息；關(guān)閉本信息oui命令：ouidatabaseouivaloui>]noouidatabase<ouival>功能：OUI條目OUI數(shù)據(jù)庫(kù)，用于顯示和檢測(cè)時(shí)使用；本命令的no操作為從本OUI數(shù)據(jù)庫(kù)刪ouivalue對(duì)應(yīng)的條目參數(shù)：<ouival>APClient廠商OUI值；<oui>OUI的廠商名字缺省情況：無命令模式：無線全局配置模式使用指南：通過此命令對(duì)OUI條目進(jìn)行添加和刪除的管理，使得使用OUI表進(jìn)行的檢舉例：vendornameOUI00-03-0f，添加此廠商OUI條目 功能：顯示Client檢測(cè)日志參數(shù)：<macaddr>Client的MAC地址。舉例：Client的MAC地址為00-03-0f-01-02-03，顯示其檢測(cè)日志DetectMACAddrReportLast ClientnotinKnownClient Clientexceedsconfiguredrateforauth ClientexceedsconfiguredrateforprobeWIDSCLNTROGUE4.................................Clientexceedsconfiguredrateforde-auth Clientexceedsmaxfailing ClientOUInotintheOUI表2-1Client檢測(cè)日志的參數(shù)說當(dāng)前開啟的Client檢測(cè)中，是否檢測(cè)到發(fā)MAC執(zhí)行此射頻掃描APMAC地址（radio序號(hào)1stLastshowwirelessoui[參數(shù)：<ouival>AP或ClientOUI值。OUI showwirelesswids-security命令：showwirelesswids-securityclient功能：顯示設(shè)置的Client檢測(cè)參數(shù)。使用指南：通過此命令可以顯示設(shè)置的Client檢測(cè)參數(shù)。舉例：顯示設(shè)置的Client檢測(cè)參數(shù)。 300Rogue-NotinOUI Rogue-NotinKnownClient 300 300 300 Authfailure KnownDB KnownDBRADIUSServer KnownDBRadiusServer Not表2-3Client檢測(cè)參數(shù)的說 AuthfailureKnownDBKnownClientdatabase的位置（本地或Radius服務(wù)器KnownDBRadiusServerKnownClientdatabase的位置為Radius服務(wù)器時(shí)，此KnownDBRadius指示是否將KnownClientdatabase的位置為Radius 功能：顯示Client檢測(cè)說明。使用指南：通過此命令可以顯示Client檢測(cè)說明舉例：顯示Client檢測(cè)說明。 ClientnotinKnownClient Clientexceedsconfiguredrateforauth ClientexceedsconfiguredrateforprobeWIDSCLNTROGUE4.................................Clientexceedsconfiguredrateforde-auth Clientexceedsmaxfailing ClientOUInotintheOUIwids-securityclientauth-with-unknown-功能：打開合法Client關(guān)聯(lián)AP檢測(cè)，本命令的no操作為關(guān)閉本檢測(cè)。缺省情況：開啟合法Client關(guān)聯(lián)AP檢測(cè)。的各種信息就會(huì)在使用次AP的面前。使用本命令可以打開本項(xiàng)檢測(cè)，從而檢測(cè)出此類RogueClient。舉例：打開合法Client關(guān)聯(lián)AP檢測(cè)wids-securityclientconfigured-assoc-命令：wids-securityclientconfigured-assoc-rate使用指南：關(guān)聯(lián)請(qǐng)求幀泛洪是指RogueClient在短時(shí)間內(nèi)對(duì)某個(gè)AP設(shè)備發(fā)送大量的用本命令可以打開本項(xiàng)檢測(cè)，從而檢測(cè)出此類RogueClient。AC(config-wireless)#wids-securityclientconfigured-assoc-rateAC(config-wireless)#nowids-securityclientconfigured-assoc-ratewids-securityclientconfigured-auth-命令：wids-securityclientconfigured-auth-rate使用指南：認(rèn)證請(qǐng)求幀泛洪是指RogueClient在短時(shí)間內(nèi)對(duì)某個(gè)AP設(shè)備發(fā)送大量的用本命令可以打開本項(xiàng)檢測(cè)，從而檢測(cè)出此類RogueClient。wids-securityclientconfigured-deauth-命令：wids-securityclientconfigured-deauth-ratenowids-securityclientconfigured-deauth-rate使用指南：解認(rèn)證請(qǐng)求幀泛洪是指RogueClient在短時(shí)間內(nèi)對(duì)某個(gè)AP設(shè)備發(fā)送大量的認(rèn)證請(qǐng)求幀。使用本命令可以打開OUI不合法檢測(cè)，從而檢測(cè)出此類RogueClient。wids-securityclientconfigured-disassoc-命令：wids-securityclientconfigured-disassoc-rate使用指南：解關(guān)聯(lián)請(qǐng)求幀泛洪是指RogueClient在短時(shí)間內(nèi)對(duì)某個(gè)AP設(shè)備發(fā)送大量的解關(guān)聯(lián)請(qǐng)求幀。此時(shí)AP設(shè)備會(huì)被泛洪的報(bào)文淹沒而無法處理真正的無線終端的報(bào)文。使用本命令可以打開本項(xiàng)檢測(cè)，從而檢測(cè)出此類RogueClient。AC(config-wireless)#wids-securityclientconfigured-disassoc-rateAC(config-wireless)#nowids-securityclientconfigured-disassoc-ratewids-securityclientconfigured-probe-命令：wids-securityclientconfigured-probe-rate使用指南：探查請(qǐng)求幀泛洪是指RogueClient在短時(shí)間內(nèi)對(duì)某個(gè)AP設(shè)備發(fā)送大量的探查請(qǐng)求幀。使用本命令可以打開本項(xiàng)檢測(cè)，從而檢測(cè)出此類RogueClient。wids-securityclientknown-client-命令：wids-securityclientknown-client-database功能：打開KnownClientDatabase判定檢測(cè)，本命令的no操作為關(guān)閉本檢測(cè)。缺省情況：關(guān)閉KnownClientDatabase判定檢測(cè)。使用指南：可以設(shè)置ACcontroller從本地或Radius服務(wù)器KnownClient則Client不合法。使用本命令可以打開本項(xiàng)檢測(cè)，從而檢測(cè)出此類RogueClient。舉例：打開KnownClientDatabase判定檢測(cè)wids-securityclientmax-auth-使用指南：有的適合Client為了接入受保護(hù)的無線網(wǎng)絡(luò)，會(huì)一直嘗試發(fā)送認(rèn)證請(qǐng)求，直到認(rèn)證請(qǐng)求被允許。使用本命令可以打開本項(xiàng)檢測(cè)，從而檢測(cè)出此類RogueClient。wids-securityclientoui-開OUI不合法檢測(cè)，從而檢測(cè)出此類RogueClient。wids-securityclientrogue-det-trap-命令：wids-securityclientrogue-det-trap-interval60-3600>nowids-securityclientrogue-det-trap-interval使用指南：設(shè)每隔一定的時(shí)間，系統(tǒng)會(huì)檢查是否存在RogueClient，如果系統(tǒng)中存在，ACcontroller則發(fā)送”wsRogueClientPresent”Trap提醒用戶當(dāng)前存在RogueClient?？梢酝ㄟ^wids-securityclientthreshold-auth-命令：wids-securityclientthreshold-auth-failure1-99999>nowids-securityclientthreshold-auth-failure功能：設(shè)置Clientno操作為恢復(fù)Client認(rèn)證失敗次數(shù)的閾參數(shù)：<1-99999>Client認(rèn)證失敗次數(shù)的閾值。使用指南：通過判斷ClientRogueAP?？梢允褂帽久钤O(shè)置Client認(rèn)證失敗次數(shù)的閾值。舉例：設(shè)置Client認(rèn)證失敗次數(shù)的閾值為1000次。wids-securityclientthreshold-interval-命令：wids-securityclientthreshold-interval-assoc<1-3600>送802.11關(guān)聯(lián)請(qǐng)求幀的檢測(cè)時(shí)間為默認(rèn)值。缺省情況：60秒。wids-securityclientthreshold-interval-命令：wids-securityclientthreshold-interval-auth1-3600>nowids-securityclientthreshold-interval-auth802.11認(rèn)證請(qǐng)求幀的檢測(cè)時(shí)間為默認(rèn)值。缺省情況：60秒。wids-securityclientthreshold-interval-命令：wids-securityclientthreshold-intervaldeauth1-3600>nowids-securityclientthreshold-interval-deauth缺省情況：60秒。wids-securityclientthreshold-interval-命令：wids-securityclientthreshold-interval-disassoc1-3600>nowids-securityclientthreshold-interval-disassoc缺省情況：60秒。wids-securityclientthreshold-interval-命令：wids-securityclientthreshold-interval-probe1-3600>nowids-securityclientthreshold-interval-probe送802.11探查請(qǐng)求幀的檢測(cè)時(shí)間為默認(rèn)值。缺省情況：60秒。wids-securityclientthreshold-value-命令：wids-securityclientthreshold-value-assoc1-99999>nowids-securityclientthreshold-value-assoc使用指南：可以使用本命令設(shè)置Client在threshold-interval-assoc802.11關(guān)聯(lián)wids-securityclientthreshold-value-命令：wids-securityclientthreshold-value-auth1-99999>nowids-securityclientthreshold-value-auth舉例：設(shè)置Client發(fā)送802.11認(rèn)證請(qǐng)求幀的最大數(shù)量為100。AC(config-wirelesswids-securityclientthreshold-value-auth100wids-securityclientthreshold-value-命令：wids-securityclientthreshold-valuedeauth1-99999>nowids-securityclientthreshold-value-deauth舉例：設(shè)置Client發(fā)送802.11解認(rèn)證請(qǐng)求幀的最大數(shù)量為100。AC(config-wirelesswids-securityclientthreshold-valuedeauth100wids-securityclientthreshold-value-命令：wids-securityclientthreshold-value-disassoc1-99999>nowids-securityclientthreshold-value-disassoc舉例：設(shè)置Client發(fā)送802.11解關(guān)聯(lián)請(qǐng)求幀的最大次數(shù)為1100。wids-securityclientthreshold-value-命令：wids-securityclientthreshold-value-probe1-99999>nowids-securityclientthreshold-value-probe使用指南：可以使用本命令設(shè)置Clientthreshold-interval-probe802.11認(rèn)證舉例：設(shè)置Client發(fā)送802.11探查請(qǐng)求幀的最大次數(shù)為1100。AC(config-wirelesswids-securityclientthreshold-value-probe1100第3章功能命c(diǎn)learwirelessdetected-clientnon-功能：將Clientdetected-client數(shù)據(jù)庫(kù)中清除。參數(shù)：<macaddr>為Client的MAC地址。使用指南：Clientdetected-client數(shù)據(jù)庫(kù)中清除，如果沒有指定client的MAC地址，則將detected-client數(shù)據(jù)庫(kù)清空，但如果Client的狀態(tài)是debugwirelesswids命令：debugwirelesswidsmsgnodebugwirelesswidsmsgshowwirelesswids-securityde-功能：顯示RogueAP列表。 使用指南：通過此命令可以顯示RogueAP列表。舉例：顯示RogueAP列表。 表3-1RogueAP列表的說B對(duì)象RogueAP的B對(duì)象RogueAP收到關(guān)于此RogueAPwids-securityap-de-auth-命令：wids-securityap-de-auth-attack功能：打開RogueAP功能，本命令的no操作為關(guān)閉本項(xiàng)。缺省情況：關(guān)閉RogueAP。使用指南：ACController檢測(cè)出RogueAP后，如果開啟了RogueAP功能，會(huì)將其添加到RogueAP列表中，并將列表通過WIDS-Configuration-Message發(fā)送給所有ManagedAP。SentryMode的RadioClient發(fā)送解認(rèn)證消息給RogueAP，而ActiveMode的Radio會(huì)發(fā)送解認(rèn)證消息給關(guān)聯(lián)到RogueAP的Client。使用本命令打開本項(xiàng)。舉例：打開RogueAP功能。wids-securityclientthreat-命令：wids-securityclientthreat-mitigation缺省情況：關(guān)閉KnownClient保護(hù)。使用指南：如果ACController開啟合法Client關(guān)聯(lián)AP檢測(cè)，并檢測(cè)出了此類，則該Client被標(biāo)志為RogueClientRogueClient的信息構(gòu)造成消息發(fā)送給WIDS模塊發(fā)送的消息后client-securitytask會(huì)構(gòu)造Client-Threat-DeauthenticateMessage發(fā)送給managedAPSentrymode的Radio此Client發(fā)送解認(rèn)證消息給其關(guān)聯(lián)的AP，從而解除與AP的連接。使用本命令打開KnownClient保護(hù)功能。舉例：打開KnownClientwirelessacknowledge-功能：當(dāng)已經(jīng)清除了RogueAP的后，可以改變?cè)揂P的Rogue狀態(tài)。參數(shù)：<macaddr>為RogueAP的MAC地址。使用指南：當(dāng)已經(jīng)清除了RogueAP的后，應(yīng)該恢復(fù)AP在RFScan數(shù)據(jù)庫(kù)中的RogueAPRogue狀態(tài)，若制定了MAC地址，則改變指定MAC地址的AP狀態(tài)；若沒有指定MAC地址，則改變所有rogueAP的狀態(tài)。wirelessdetected-clientack-功能：當(dāng)已經(jīng)清除了RogueClient的后，可以改變?cè)揅lient的Rogue狀態(tài)。參數(shù)：<macaddr>為Client的MAC地址。使用指南：使用本命令可以改變RogueClient的Rogue狀態(tài)，原則是：如果Client在被認(rèn)如果指定了MAC地址，則改變指定MAC地址的Client的狀態(tài)，如果沒有指定MAC地址，則改變所有RogueClient舉例：改變所有Client的Rogue第4章用戶命l2tunnelstation-isolationallowed命令：l2tunnelstation-isolationallowedvlanWORD|addWORD|exceptWORD|removeWORD}參數(shù)：WORD:將vlanList加為allowvlan，同時(shí)覆蓋之前的配置exceptWORD:將除了vlanList外所有的VLAN都設(shè)置為allowvlanremoveWORD:從現(xiàn)有的allowvlanList中刪除vlanList指定的VLAN舉例：開啟集中轉(zhuǎn)發(fā)式模式下vlan100的用戶功能。AC#l2tunnelstation-isolationallowedvlan100功能：設(shè)置同VAP下關(guān)聯(lián)的無線用戶實(shí)現(xiàn)。No命令關(guān)閉功能。令模式：Network配置模式。通過配置該命令可以實(shí)現(xiàn)。配置該命令后，關(guān)聯(lián)在同一個(gè)VAP下的用戶無法互通，但是可以和其它VAP下關(guān)聯(lián)的用戶互通，也可以和有線網(wǎng)絡(luò)的用戶互通。該命令配置后，必須重新下發(fā)profile才能生效，該配置的用戶需要在本地轉(zhuǎn)發(fā)模式下使用。ac(config-wireless)#network18ac#wirelessapprofileapply1功能：設(shè)置radio下所有的VAP開啟用戶功能。No命令關(guān)閉功能。使用指南：該命令啟動(dòng)radio下的所有VAP的無線用戶功能。關(guān)聯(lián)在任何一個(gè)VAP下下發(fā)profile才能生效，該配置的用戶需要在本地轉(zhuǎn)發(fā)模式下使用。ac#wirelessapprofileapply1命令：station-isolationallowed {[add|remove|]<vlanid>}nostation-isolationallowedvlan功能：設(shè)置AP下的屬于相同VLAN的VAP之間的。No命令刪除VLAN，關(guān)閉隔參數(shù)：add：添加1個(gè)VLAN。Remove：刪除1個(gè)VLAN。<vlanid>：為要添加的VLAN1-4094add或remove參數(shù)，則會(huì)清除之前配置的VLAN后添加新的VLAN。缺省情況：無用戶VLAN。命令模式：Profile配置模式。是對(duì)關(guān)聯(lián)在同一個(gè)VAP下的用戶不實(shí)現(xiàn)。舉例，Client1接入AP下的VAP1的1網(wǎng)絡(luò)，Client2接入AP下的VAP2的2的網(wǎng)絡(luò)，網(wǎng)絡(luò)1與2同屬于同一VLAN，如果在profile上啟用了該VLAN的用戶，則Client1和Client2不能互通。但是，如果client1和client2都關(guān)聯(lián)在1或2下，可以互通。該命令配置后，必須重新下發(fā)profile才能生效，該配置的用戶需要在本地轉(zhuǎn)發(fā)模式下使用。舉例：?jiǎn)?dòng)采用profile1下的AP的屬于VLAN100的VAP之間的用戶ac(config-ap-profile)#station-isolationallowed ac#wirelessapprofileapply1第5章ARP抑制&ARP命功能：打開AP上的ARP抑制功能，則自動(dòng)使能ARP廣播轉(zhuǎn)單播、DHCP缺省情況：關(guān)閉APARP抑制功能。命令模式：Network配置模式。使用指南：AP中的ARP抑制功能是利用DHCPAuthenticatedClientsIPMACARPARP廣播報(bào)文，以節(jié)省Client的電力。可以使用本命令打開AP上的ARP抑制功能。舉例：打開APARP抑制功能。AC(config-wireless)#network1功能：打開AP上的ARP功能，則自動(dòng)使能ARP、DHCP報(bào)文檢測(cè)功能。本命令的no操作為關(guān)閉本，并自動(dòng)關(guān)閉其他相應(yīng)檢測(cè)功能。缺省情況：關(guān)閉AP上的ARP功能。命令模式：Network配置模式。的IP和MAC映射表，通過AP收到ARP-Request，AP會(huì)將表中的mac地址返回ARP-Reply（這里是真實(shí)的Client地址，不是傳統(tǒng)中填充的APmac地址），而不必將以使用本命令打開AP上的ARP功能。舉例：打開AP上的ARP功能。AC(config-wireless)#network1AC(config-network)#proxy-arpshowwirelessap功能：顯示ARP抑制&ARP信息。使用指南：通過此命令可以顯示ARP抑制&ARP信息。舉例：顯示ARP抑制&ARP信息。MAC WLANPackets WLANPackets WLANBytesWLANPacketsReceive WLANBytesReceive EthernetMulticastPacketsReceived TotalTransmitErrors. CentralL2TunnelBytesReceived CentralL2TunnelPacketsReceived CentralL2TunnelMulticastPacketsReceived CentralL2TunnelBytesTransmitted............CentralL2TunnelPacketsTransmitted CentralL2TunnelMulticastPacketsTransmitt2391ARPReqsConvertedfromBcastto ProxyARP 表1-1ARP抑制&ARP信息參數(shù)的說廣播轉(zhuǎn)單播后丟棄的ARP廣播轉(zhuǎn)單播的ARPProxyARP的ARP第6章動(dòng)態(tài)命使用指南：本命令用于打開動(dòng)態(tài)，當(dāng)檢測(cè)到符合動(dòng)態(tài)并被認(rèn)定為RogueClient時(shí)，將把這個(gè)Client的mac地址放入動(dòng)態(tài)中發(fā)送給ManagedAP，以這個(gè)Client的泛洪。dynamic-blacklistlifetime<60-nodynamic-blacklistlifetime時(shí)設(shè)置其老化時(shí)間，在這段時(shí)間內(nèi)，AP會(huì)丟棄這個(gè)RogueClient的數(shù)據(jù)幀，當(dāng)老化時(shí)間到后，會(huì)把相應(yīng)表項(xiàng)刪除，重新接收這個(gè)Client的數(shù)據(jù)幀。 cleardynamic-blacklist(FF-FF-FF-FF-FF-參數(shù)：FF-FF-FF-FF-FF-FF：刪除一條無線終端記錄的MAC命令模式：PrivilegedEXEC模式。使用指南：本命令用于手動(dòng)刪除動(dòng)態(tài)中一條或者所有無線終端的MAC地址，把相應(yīng)表項(xiàng)刪除，重新接收這個(gè)Client的數(shù)據(jù)幀。AC#clearwirelessdynamic-blacklist30-46-9a-30-2b-e4showwirelessdynamic-MAC

ExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbeExceedConfiguredProbe clearwirelesssavi功能：清除指定綁定類型的無線SAVI表項(xiàng)或者所有無線SAVI表項(xiàng)。參數(shù)：dhcp：刪除SAVIDHCP類型綁定slaac：刪除SAVISLAAC類型的綁定static：刪除SAVISTATIC類型的綁定使用指南：可以使用本命令刪除指定綁定類型的無線SAVI表項(xiàng)或者所有無