配置VAP
通过配置差异化的VAP模板,并将VAP模板配置下发到AP,为用户提供差异化的WLAN业务。
配置数据转发方式
背景信息
WLAN网络中的数据包括控制报文(管理报文)和数据报文。控制报文是通过CAPWAP的控制隧道转发的,用户的数据报文按照是否通过CAPWAP的数据隧道转发分为隧道转发(又称为“集中转发”)方式和直接转发(又称为“本地转发”)方式。
配置业务VLAN
(可选)提升VAP安全性
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan ac,进入WLAN视图。
- 执行命令vap-profile name profile-name,进入VAP模板视图。
- 提升VAP安全性。
配置项目
操作步骤
说明
使能STA地址学习功能
undo learn-client-address disable
缺省情况下,STA地址学习功能已使能。
使能STA地址学习功能后,如果STA和AP进行关联并成功获取了IP地址,AP都会主动向AC上报与该STA相关的IP信息,用于维护STA的MAC地址和IP地址对应关系表项。
使能STA地址学习功能是使能STA地址严格DHCP获取功能的前提条件。
使能STA地址严格DHCP获取功能
learn-client-address dhcp-strict [ blacklist enable ]
缺省情况下,STA地址严格DHCP获取功能未使能。
使能STA地址严格DHCP获取功能后,STA与AP进行关联。- 如果STA是通过DHCP协议获取的IP地址,AP会主动向AC上报与该STA相关的IP信息,用于维护STA的MAC地址和IP地址对应关系表项;
- 如果STA的IP地址是静态IP地址:
如果指定blacklist enable参数,STA会被加入到AP的动态黑名单中,黑名单表项老化前,STA都无法关联到AP上。
如果不指定blacklist enable参数,允许STA关联AP,但AP不会学习STA的IP地址。
使能STA地址严格DHCP获取功能后,建议执行命令ip source check user-bind enable,使能IPSG功能,保证用户在通过DHCP方式获取IP地址之前,不能和网络进行通信。
使能AP的IPSG功能
ip source check user-bind enable
缺省情况下,AP的IPSG功能未使能。
配置IPSG功能,对接收到的IP报文进行绑定表匹配检查,可以有效的防止基于源地址欺骗的网络攻击行为。
只有同时配置了undo learn-client-address disable和ip source check user-bind enable命令,IPSG功能才会生效。
开启STA地址学习功能,如果STA掉线后重新上线,可能无法在AC上查看STA的IP地址,配置IPSG功能可解决此问题。
去使能AP的DHCP信任功能
undo dhcp trust port
缺省情况下,VAP模板视图下的AP的DHCP信任功能未使能,AP有线口模板视图下的AP上行口的DHCP信任功能已使能。
如果用户侧存在私自架设的DHCP服务器,则可能导致STA获取错误的IP地址和网络配置参数,无法正常通信。在VAP模板视图下执行命令undo dhcp trust port后,AP从用户侧收到DHCP OFFER/ACK/NAK等报文后,则认为用户侧存在私设的DHCP服务器,丢弃报文并向AC上报非法服务器的IP地址等信息。
AP有线口模板下通常需要执行命令dhcp trust port,使能AP的DHCP信任功能,当AP发现上行报文中存在合法的DHCP服务器发送的DHCP OFFER/ACK/NAK等报文后,能够接收并转发给STA以使STA获取合法的IP地址正常上线,具体配置请参考管理AP有线口。
使能广播泛洪攻击检测功能
undo anti-attack broadcast-flood disable
缺省情况下,已经开启广播泛洪攻击检测功能。
如果攻击者在短时间内向目标设备发送大量的广播报文,使目标设备忙于处理这些报文,会造成目标设备负担过重而不能处理正常的业务。为了避免广播泛洪攻击,可以在设备上配置广播泛洪攻击防范功能。
在使能广播泛洪攻击检测功能后,可以通过执行命令anti-attack broadcast-flood sta-rate-threshold sta-rate-threshold来配置广播泛洪攻击检测速率阈值。- 如果用户速率超过了阈值,设备会认为该终端在对设备进行广播泛洪攻击,设备会丢弃超出阈值的广播报文,保证上层网络设备不会受到广播泛洪攻击的影响,能够正常工作
- 如果同时还通过命令行undo anti-attack broadcast-flood blacklist disable使能了广播泛洪攻击检测黑名单功能,设备会将进行广播泛洪攻击的终端加入到黑名单中。
配置安全模板
背景信息
WLAN技术使用无线射频信号作为业务数据的传输介质,这种开放式的信道使攻击者很容易对无线信道中传输的业务数据进行窃听或篡改。因此,安全性是WLAN最为重要的因素。通过安全模板,您可以选择一种安全策略,更好的保护用户敏感数据的安全和用户的隐私。
安全模板提供了WEP、WPA/WPA2、WAPI四种安全策略机制。每种安全策略实现了一整套安全机制,包括无线链路建立时的链路认证方式,无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。
创建安全模板时,如果不配置任何安全策略,则模板内默认指定了安全策略为open-system,即用户在搜索到无线网络时,不需要认证,可以直接访问网络。
使用默认的安全策略存在较大的安全隐患,建议用户根据实际的情况配置合适的安全策略。如果需要配置其他的安全策略,请参见WLAN安全配置。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan ac,进入WLAN视图。
- 执行命令security-profile name profile-name,创建安全模板并进入模板视图。
缺省情况下,系统已经创建名称为default和default-wds的安全模板。
安全模板创建完成后,使用默认的安全策略存在较大的安全隐患,建议用户根据实际需要配置合适的安全策略,具体配置请参考配置WLAN安全策略。
- 执行命令quit,返回WLAN视图。
- 执行命令vap-profile name profile-name,进入VAP模板视图。
- 执行命令security-profile profile-name,在VAP模板中引用安全模板。
缺省情况下,VAP模板引用了名称为default的安全模板。
配置SSID模板
背景信息
SSID用来指定不同的无线网络。在STA上搜索可接入的无线网络时,显示出来的网络名称就是SSID。在SSID模板中用户可以自定义SSID名称并配置其它相关参数。SSID模板配置完成后,需要将SSID模板引用到VAP模板。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan ac,进入WLAN视图。
- 执行命令ssid-profile name profile-name,创建SSID模板,并进入模板视图。
缺省情况下,系统上存在名为default的SSID模板。
- 执行命令ssid ssid,配置SSID名称。
缺省情况下,SSID模板中的SSID为“HUAWEI-WLAN”。
- (可选)执行命令ssid-hide
enable,使能Beacon帧中隐藏SSID功能。
缺省情况下,SSID模板下的Beacon帧中隐藏SSID功能未使能。
用户在创建无线网络时,为了保护无线网络的安全,可以对无线网络名称进行隐藏设置。这样,只有知道网络名称的无线用户才能连接到这个无线网络中。
- (可选)执行命令max-sta-number max-sta-number,配置单个VAP下能够关联成功的最大用户数。
缺省情况下,单个VAP下能够关联成功的最大用户数为64。
单个VAP下接入的用户数越多,每个用户能够使用的平均网络资源就越少,为了保证用户的上网体验,请根据实际的网络状况配置合理的最大用户接入数。
- (可选)执行命令reach-max-sta hide-ssid disable,去使能用户数达到最大时自动隐藏SSID的功能。
缺省情况下,使能用户数达到最大时自动隐藏SSID的功能。
使能用户数达到最大时自动隐藏SSID的功能后,当WLAN网络下接入的用户数达到最大时,SSID会被隐藏,新用户将无法搜索到SSID。
- (可选)执行命令legacy-station disable,禁止传统终端接入。
缺省情况下,允许传统终端接入。
只支持802.11a、802.11b、802.11g类型协议的传统终端,其数据传输速率远低于802.11n和802.11ac类型协议的终端。当传统终端接入到无线网络中,会降低同网络中802.11n和802.11ac类型协议终端的数据传输速度。为保护802.11n和802.11ac类型协议终端的数据传输速度,可以禁止传统终端接入。
- (可选)执行命令association-timeout association-timeout,配置STA关联老化时间。
缺省情况下,STA关联老化时间为5分钟。
通过此命令配置STA关联老化时间。若AP连续一段时间内未收到用户的任何数据报文,当时间到达配置老化时间后,用户下线。
- (可选)执行命令dtim-interval dtim-interval,配置DTIM周期参数。
缺省情况下,DTIM周期参数为1。
DTIM周期表示间隔DTIM个Beacon帧后,下个Beacon帧中会携带DTIM指示,唤醒处于省电状态的STA,并向其传输AP上为之暂存的广播与组播帧。
- DTIM周期参数越小,有助于及时传送数据,但STA必须经常被唤醒,耗电大。
- DTIM周期参数越大,则可以让STA休眠更长时间,省电但实时传送数据的能力差。
- (可选)执行命令active-dull-client enable,使能抑制终端进入省电状态的功能。
缺省情况下,抑制终端进入省电状态的功能未使能。
由于终端本身的原因,部分终端在进入省电状态时可能会出现异常,这种情况下使能抑制终端进入省电状态的功能,AP会针对省电异常的终端频繁发送nulldata帧,使终端不进入省电状态,保证终端的正常业务功能。
- 执行命令quit,返回WLAN视图。
- 执行命令vap-profile name profile-name,进入VAP模板视图。
- 执行命令ssid-profile profile-name,在VAP模板中引用SSID模板。
缺省情况下,VAP模板下引用名为default的SSID模板。
检查VAP的配置结果
操作步骤
- 执行命令display vap { all | ssid ssid }或display vap { ap-group ap-group-name | { ap-name ap-name | ap-id ap-id } [ radio radio-id ] } [ ssid ssid ],查看业务型VAP的相关信息。
- 执行命令display vap-profile { all | name profile-name },查看VAP模板的配置信息和引用信息。
- 执行命令display references vap-profile name profile-name,查看VAP模板的引用信息。
- 执行命令display security-profile { all | name profile-name },查看安全模板的配置信息和引用信息。
- 执行命令display references security-profile name profile-name,查看安全模板的引用信息。
- 执行命令display ssid-profile { all | name profile-name },查看SSID模板的配置信息和引用信息。
- 执行命令display references ssid-profile name profile-name,查看SSID模板的引用信息。
- 执行命令display vap create-fail-record all,查看所有VAP创建失败的记录。
- 执行命令display wlan config-errors,查看WLAN的错误配置信息。