用户饱和时SSID隐藏测试
虽然在FIT AP模式下,华为AP3030DN能支持的最大用户数为256个,但在实际应用中,如果真的接入了这么多终端,每个终端用户的实际应用体验势必会变差。为此,华为AP3030DN特别设计了“用户饱和时SSID隐藏”这一创新功能,即网管员可根据实际网络带宽、用户密度、AP部署密度等等,为AP提前设定一个最大接入终端数,当接入终端数到达这一设定值时,该AP的SSID将自动隐藏。
设置AP最大接入终端数
在实际测试中,用户只需登录WEB网管界面,在AP配置的业务配置菜单中,点击AP系统模板,即可找到AP最大接入终端数设置项,我们将其设置为3个,并点击“应用”按键。
通过WEB网管界面查看接入用户数已达3个
接下来,我们将三个移动终端接入华为AP3030DN的无线网络,通过WEB网关界面可以看到,目前的接入终端数已经达到3个。
搜索SSID
现在,我们再打开另一台移动终端,搜索无线网络SSID,可以看到,之前我们设置的test001、test002、test003均已无法搜索到,即SSID隐藏成功。
防暴力破解PSK测试
虽然华为AP3030DN支持WPA/WPA2–802.1X认证这种更加安全的无线接入方式,当对于不少商业用户来说,还是喜欢简单方便的支持WPA/WPA2–PSK认证方式来接入无线网络。但你知道吗?通过抓包工具,EWSA等密码暴力破解软件(借助GPU不断尝试各种密码组合),以及网络上随处可下载的密码字典,你所设置的无线接入密码很可能会被破解,从而导致整个网络陷入到危险之中。
针对此情况,华为AC6005+AP3030DN的组合专门提供了防暴力破解PSK功能,即可设置在一定时间检测周期内,允许密钥协商失败的次数,一旦移动终端输入错误密钥的次数超过了这个设定值,就会被放入到AC的动态黑名单之中,在该黑名单老化之前,该移动终端(即使输入的密钥正确)将始终无法连接到该无线网络之中。
在实际测试中,我们设定在100秒的检测周期内,允许密钥协商失败的次数为2次,而动态黑名单的老化时间为300秒。
移动终端MAC地址及输入正确密钥
连接始终无法成功
测试终端的MAC地址如上图所示,我们首先通过此终端故意输错两次无线接入密钥,然后再输入正确密钥尝试连接,可以看到,连接始终无法成功。
通过AC命令行查看动态黑名单
此时,通过AC命令行([AC-wlan-view]display wlan ids attack-detected wpa2-psk)查看,可以看到测试终端的MAC地址已被列入到动态黑名单之中。
再次通过AC命令行查看动态黑名单
成功接入test003无线网络
接下来,等待几分钟,再通过AC命令行([AC-wlan-view]display wlan ids attack-detected wpa2-psk)查看,可以看到该动态黑名单中已无刚才移动终端的MAC地址。此时,再通过移动终端即可以正确密钥接入“test003”这一无线网络之中。
