管理AP有线口

操作步骤

1. 执行命令system-view，进入系统视图。
2. 执行命令wlan ac，进入WLAN视图。
3. 执行命令wired-port-profile name profile-name，创建AP有线口模板，并进入模板视图。

   缺省情况下，系统上存在名为“default”的AP有线口模板。

4. 配置AP有线口的参数。

   配置项目	操作步骤	说明
   将AP接口加入到指定Eth-Trunk中	eth-trunk trunk-id 缺省情况下，AP接口没有加入任何Eth-Trunk。	为了提供更高的连接可靠性并扩大接口带宽，可以使用此命令将多个接口捆绑为一个Eth-Trunk接口。 说明： 只有一个物理网口的AP不支持此命令。 物理接口加入Eth-Trunk时，物理接口上不能有其它配置，如果有需要先清除。需要清除的配置不包括接口的状态、工作模式、描述、LLDP功能、CRC告警配置。
   配置AP有线口的工作模式	mode { root | endpoint | middle } 缺省情况下，普通AP的GigabitEthernet口的工作模式为“root”，Ethernet口的工作模式为“endpoint”，Eth-trunk口的工作模式为“root”。	AP有线口作为上行接口连接AC时，需配置AP有线口为root模式，root模式下AP有线口会自动加入业务VLAN和用户的个性VLAN（如Radius服务器为用户分配的VLAN等）。 AP有线口作为下行接口连接有线终端时，需配置AP有线口为endpoint模式，endpoint模式下AP有线口缺省不会加入任何VLAN。 说明： AP有线口为root模式时，不能配置用户隔离。AP有线口只有在endpoint模式时，才能配置用户隔离。
   开启AP有线口的DHCP信任功能	dhcp trust port 缺省情况下，VAP模板视图下的AP的DHCP信任功能未使能，AP有线口模板视图下的AP上行口的DHCP信任功能已使能。 该命令只对AP上行口生效。	配置WLAN业务，下发配置到AP前，需要在AP有线口模板视图下执行命令dhcp trust port，AP发现上行报文中存在合法的DHCP服务器发送的DHCP OFFER/ACK/NAK等报文后，接收并转发给STA以使STA获取合法的IP地址正常上线。 说明： 如果用户侧存在私自架设的DHCP服务器，则可能导致STA获取错误的IP地址和网络配置参数，无法正常通信。在VAP模板视图下执行命令dhcp trust port后，AP从用户侧收到DHCP OFFER/ACK/NAK等报文后，则认为用户侧存在私设的DHCP服务器，丢弃报文并向AC上报非法服务器的IP地址等信息。具体配置请参考（可选）提升VAP安全性。
   开启AP有线口下的终端地址学习功能	learn-client-address enable 缺省情况下，AP有线口下的终端地址学习功能已关闭。	开启AP有线口下的终端地址学习功能后，如果AP有线口下的有线终端成功获取了IP地址，AP都会主动向AC上报与该有线终端相关的IP信息，用于维护有线终端的MAC地址和IP地址对应关系表项。 该配置只在工作模式为“endpoint”的AP有线口才能生效。
   开启AP有线口下的IP报文绑定检查功能	ipsg enable 缺省情况下，AP有线口下的IP报文绑定检查功能已关闭。	在网络中经常出现利用仿冒合法用户的源IP、MAC等信息的报文访问或攻击网络的情况，导致合法用户无法获得稳定、安全的网络服务。配置IP报文绑定检查功能，可以防范上述情况的发生。 必须执行命令learn-client-address enable开启AP有线口下的终端地址学习功能该配置才能生效。
   开启AP有线口下的动态ARP检测功能	dai enable 缺省情况下，AP有线口下的动态ARP检测功能已关闭。	为了防御中间人攻击，避免合法用户的数据被中间人窃取，可以执行本命令使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。 必须执行命令learn-client-address enable开启AP有线口下的终端地址学习功能该配置才能生效。
   配置AP有线口下允许通过的最大广播报文、组播报文和未知单播报文流量。	traffic-optimize { broadcast-suppression | multicast-suppression | unicast-suppression } packets packets-rate 缺省情况下，未对AP有线口下的广播报文、组播报文和未知单播报文进行流量抑制。	当网络中存在泛洪攻击时，AP有线口的广播报文、组播报文和未知单播报文增多，这些报文占用的网络资源也将随之增多，进而会影响网络业务的正常运行。配置AP有线口下允许通过的最大广播报文、组播报文和未知单播报文流量阈值，当报文流量超过配置的阈值时，系统将丢弃多余的报文，使报文流量降低到合理的范围内，缓解用户流量泛洪攻击。

5. 执行命令quit，返回WLAN视图。
6. 配置AP有线口的链路层参数。
   1. 执行命令port-link-profile name profile-name，创建AP有线口链路模板，并进入模板视图。

      缺省情况下，系统上存在名为default的AP有线口链路模板。

   2. 执行命令crc-alarm enable [ high-threshold high-threshold-value | low-threshold low-threshold-value ]^*，使能AP有线口的CRC错误告警功能并配置CRC错误告警和告警恢复的阈值。

      缺省情况下，AP有线口的CRC告警功能未使能，CRC错误告警阈值为50，CRC错误告警恢复阈值为20。

   3. 执行命令shutdown，关闭当前AP有线接口。

      缺省情况下，AP有线口已开启。

      当网络中存在用户通过AP有线口恶意攻击网络时，管理员可在AC下发shutdown命令，关闭该有线口。

      shutdown命令仅针对工作模式为“endpoint”或“middle”的AP有线口生效，对工作模式为“root”的AP有线口不生效。

   4. 执行命令quit，返回WLAN视图。
   5. 执行命令wired-port-profile name profile-name，进入AP有线口模板视图。
   6. 执行命令port-link-profile profile-name，在AP有线口模板下引用AP有线口链路模板。

      缺省情况下，AP有线口模板下引用名为default的AP有线口链路模板。

   7. 执行命令quit，返回WLAN视图。
7. 在AP组或AP中引用AP有线口模板。
   • 在AP组中引用AP有线口模板。
     1. 执行命令ap-group name group-name，进入AP组视图。

     2. 执行命令wired-port-profile profile-name interface-type interface-number，在AP组中引用AP有线口模板。

        缺省情况下，AP组下引用名为default的AP有线口模板。

   • 在AP中引用AP有线口模板。
     1. 执行命令ap-id ap-id、ap-mac ap-mac或ap-name ap-name，进入AP视图。

     2. 执行命令wired-port-profile profile-name interface-type interface-number，在AP中引用AP有线口模板。

        缺省情况下，AP下未引用AP有线口模板。

8. 执行命令quit，返回WLAN视图。
9. 执行命令commit { all | ap-name ap-name | ap-id { ap-id1 [ to ap-id2 ] } &<1-10> }，下发配置到AP。