网络设计

AP1050DN-S

≤50

AP2050DN/AP2050DN-S/AP2050DN-E/AP2051DN-S/AP2051DN-E/AP2051DN/AP2051DN-L-S

≤50

AP3050DE

≤128

AP4050DN-E/AP4050DN-HD/AP4050DN/AP4050DN-S/AP4051DN/AP4151DN/AP4051DN-S/AP4051TN

≤50

AP4050DE-B-S/AP4050DE-M/AP4050DE-M-S

≤128

AP5030DN-C

≤25

AP5510-W-GP

≤50

AP5050DN-S

≤128

AP6050DN/AP6150DN/AP6052DN

≤128

AP7050DN-E/AP7050DE/AP7052DN/AP7152DN/AP7052DE/AP7060DN

≤128

AP8050DN/AP8150DN/AP8050DN-S/AP8030DN/AP8130DN/AP8050TN-HD

≤50

AP8082DN/AP8182DN

≤128

AD9430DN-24/12

同时满足以下要求：

• 中心AP≤8
• RU≤300

ME60

ME60-X16A-DC,ME60-X16A,ME60-X8A-DC,ME60-X8A

S5300

S5320-36C-EI-28S-AC,S5320-36C-EI-28S-DC,S5320-56C-EI-48S-AC,S5320-56C-EI-48S-DC,S5320-36C-EI-AC,S5320-36C-EI-DC,S5320-56C-EI-AC,S5320-56C-EI-DC,S5320-32X-EI-24S-AC,S5320-32X-EI-24S-DC,S5320-50X-EI-46S-AC,S5320-50X-EI-46S-DC,S5320-32X-EI-AC,S5320-52X-EI-AC,S5320-28P-SI-AC,S5320-28X-PWR-SI-AC,S5320-28X-SI-AC,S5320-52X-PWR-SI-AC,S5320-52X-SI-AC,S5321-28P-SI-AC,S5321-28X-SI-AC,S5321-28X-SI-DC,S5321-52X-SI-AC,S5321-52X-SI-DC,S5320-28X-SI-DC,S5320-52X-SI-DC,S5320-12TP-LI-AC,S5320-12TP-PWR-LI-AC,S5320-28P-LI-AC,S5320-28P-PWR-LI-AC,S5320-28P-SI-DC,S5320-28X-LI-24S-AC,S5320-28X-LI-24S-DC,S5320-28X-LI-AC,S5320-28X-LI-DC,S5320-28X-PWR-LI-AC,S5320-28X-PWR-SI-DC,S5320-52P-LI-AC,S5320-52X-LI-AC,S5320-52X-LI-DC,S5320-52X-PWR-LI-AC,S5320-12TP-LI-DC,S5320-28X-SI-24S-AC,S5320-28X-SI-24S-DC,S5320-12X-PWR-LI-AC,

S5320-52X-LI-48S-AC,S5320-52X-LI-48S-DC,S5320-52X-SI-48S,

S5331-H24T4XC,S5331-H24P4XC,S5331-H48T4XC,S5331-H48P4XC,S5332-H24S6Q,S5332-H48S6Q,

S5335-L24P4X-A,S5335-L32ST4X-A,S5335-S32ST4X,S5335-S24T4X,S5335-S24P4X,S5335-S48T4X,S5335-S48P4X,S5335-S48S4X,S5335-L24T4X-A,S5335-L12P4S-A,S5335-L12T4S-A

S5700

S5720-36C-EI-28S-AC,S5720-56C-EI-48S-AC,S5720-36C-EI-AC,S5720-36PC-EI-AC,S5720-56C-EI-AC,S5720-56PC-EI-AC,S5720-36C-PWR-EI-AC,S5720-56C-PWR-EI-AC,S5720-56C-PWR-EI-AC1,S5720-32X-EI-24S-AC,S5720-32X-EI-AC,S5720-32P-EI-AC,S5720-52X-EI-AC,S5720-52P-EI-AC,S5720-28P-SI-AC,S5720-28X-PWR-SI-AC,S5720-28X-SI-AC,S5720-52P-SI-AC,S5720-52X-PWR-SI-AC,S5720-52X-PWR-SI-ACF,S5720-52X-SI-AC,S5720S-28P-SI-AC,S5720S-28X-SI-AC,S5720S-52P-SI-AC,S5720S-52X-SI-AC,S5720-52X-PWR-SI-DC,S5720-28X-SI-DC,S5720-56C-EI-DC,S5720-36C-EI-28S-DC,S5720-56C-EI-48S-DC,S5720-12TP-LI-AC,S5720-12TP-PWR-LI-AC,S5720-28P-LI-AC,S5720-28P-PWR-LI-AC,S5720-28TP-LI-AC,S5720-28TP-PWR-LI-AC,S5720-28TP-PWR-LI-ACL,S5720-28X-LI-24S-AC,S5720-28X-LI-24S-DC,S5720-28X-LI-AC,S5720-28X-LI-DC,S5720-28X-PWR-LI-AC,S5720-28X-SI-24S-AC,S5720-28X-SI-24S-DC,S5720S-12TP-LI-AC,S5720S-12TP-PWR-LI-AC,S5720-52P-LI-AC,S5720-52P-PWR-LI-AC,S5720-52X-LI-AC,S5720-52X-PWR-LI-AC,S5720S-28P-LI-AC,S5720S-28P-PWR-LI-AC,S5720S-28X-LI-24S-AC,S5720S-28X-LI-AC,S5720S-28X-PWR-LI-AC,S5720S-52P-LI-AC,S5720S-52P-PWR-LI-AC,S5720S-52X-LI-AC,S5720S-52X-PWR-LI-AC,S5720-28X-PWH-LI-AC,S5721-28X-SI-24S-AC,S5720-52X-PWR-LI-ACF,S5720-16X-PWH-LI-AC,

S5730-48C-PWR-SI-AC,S5730-48C-SI-AC,S5730-68C-PWR-SI,S5730-68C-SI-AC,S5730S-48C-EI-AC,S5730S-68C-EI-AC,S5720I-12X-SI-AC,S5720I-12X-PWH-SI-DC,S5720I-28X-SI-AC,S5720I-28X-PWH-SI-AC,S5730-36C-HI,S5730-44C-HI,S5730-36C-PWH-HI,S5730-44C-PWH-HI,S5730-60C-HI,S5730-68C-HI,S5730-60C-PWH-HI,S5730-68C-PWH-HI,S5730-44C-HI-24S,

S5720SV2-28P-LI-AC,S5720SV2-52P-LI-AC,

S5730-60C-HI-48S,S5730-68C-HI-48S,S5730-36C-HI-24S,S5720I-10X-PWH-SI-AC,

S5720I-6X-PWH-SI-AC,S5720-52X-LI-48S-AC,S5720-52X-SI-48S,

S5731-S24T4X,S5731S-S24T4X-A,S5731-S24P4X,S5731S-S24P4X-A,S5731-S48T4X,S5731S-S48T4X-A,S5731-S48P4X,S5731S-S48P4X-A,S5732-H24S6Q,S5732-H48S6Q,S5731S-H24T4XC-A,S5731S-H48T4XC-A,

S5731-H48P4XC, S5731-H48T4XC,S5731-H24P4XC,S5731-H24T4XC,

S5735-L24T4S-A,S5735S-L24T4S-A,S5735S-L24T4S-MA,S5735S-L24FT4S-A,S5735-L12T4S-A,S5735S-L12T4S-A,S5735-L24P4S-A,

S5735S-L24P4S-A,S5735S-L24P4S-MA,S5735-L24P4X-A,S5735S-L24P4X-A,S5735-L32ST4X-A,S5735S-L32ST4X-A,S5735-S32ST4X,

S5735S-S32ST4X-A,S5735-L48T4S-A,S5735S-L48T4S-A,S5735S-L48FT4S-A,S5735-S24T4X,S5735-S24P4X,S5735-S48T4X,

S5735-S48P4X,S5735-L48P4X-A,S5735S-L48P4X-A,S5735-S48S4X,S5731S-H24T4S-A,S5731S-H48T4S-A,S5735-L24T4X-A,

S5735S-L24T4X-A,S5735-L12P4S-A,S5735S-L12P4S-A,S5735-L48T4X-A,S5735S-L48T4X-A,S5735S-S24T4S-A,S5735S-S48T4S-A,

S5735S-L48P4S-A, S5735-S4T2X-IA150G1, S5735-S8P2X-IA200G1

S6300

S6320-30C-EI-24S-AC,S6320-30C-EI-24S-DC,S6320-54C-EI-48S-AC,S6320-54C-EI-48S-DC,S6320-26Q-EI-24S-AC,S6320-26Q-EI-24S-DC,S6320-32C-PWH-SI,

S6330-H24X6C,S6330-H48X6C

S6700

S6720-30C-EI-24S-AC,S6720-54C-EI-48S-AC,S6720S-26Q-EI-24S-AC,S6720-30C-EI-24S-DC,S6720-54C-EI-48S-DC,S6720-16X-LI-16S-AC,S6720-26Q-LI-24S-AC,S6720-26Q-SI-24S-AC,S6720-32C-PWH-SI,S6720-32C-SI-AC ,S6720-32C-SI-DC ,S6720-32X-LI-32S-AC,S6720S-16X-LI-16S-AC,S6720S-26Q-LI-24S-AC,S6720S-26Q-SI-24S-AC,S6720-52X-PWH-SI,S6720-56C-PWH-SI,

S6720-50L-HI-48S,S6720-30L-HI-24S,

S6730-S24X6Q,S6730S-S24X6Q-A,

S6730-H24X6C,S6730-H48X6C

S7700

S7703,S7706,S7712

S9300

S9303,S9306,S9312,

S9300X-4,S9300X-8,S9300X-12

S12700

S12700E-4,S12700E-8,S12700E-12

S600-E

S652-E,S652X-E

WAC

AC6800V,

AC6508,AC6805,AC6507S,

AirEngine9700S-S, AirEngine9700-M

FIT AP

AP9131DN,AP9132DN,AP6050DN,AP6150DN,AP4050DN-E,AP4050DN-HD,AP4051DN,AP4151DN,AP4051DN-S ,AP4050DN,AP4050DN-S,AP8050DN,AP8050DN-S,AP8150DN,AP1050DN-S,AD9431DN-24X，AP7152DN,AP6052DN,AP8082DN,AP8182DN,AP8050TN-HD,AP7052DN,R250D,

AP5050DN-S,AP2051DN-E,AP2051DN,AP2051DN-S,R251D,R251D-E,

AP4050DE-M,AP4050DE-M-S,AP7060DN,AP2051DN-L-S,AP4050DE-B-S,AP3050DE,AP5510-W-GP,

AirEngine5760-10, AP6750-10T

FAT AP

AP9131DN,AP9132DN,AP6050DN,AP6150DN,AP4050DN-E,AP4050DN-HD,AP4051DN,AP4151DN,AP4051DN-S ,AP4050DN,AP4050DN-S,AP8050DN,AP8050DN-S,AP8150DN,AP1050DN-S,AD9431DN-24X，AP7152DN,AP6052DN,AP8082DN,AP8182DN,AP8050TN-HD,AP7052DN,R250D,

AP5050DN-S,AP2051DN-E,AP2051DN,AP2051DN-S,R251D,R251D-E,

AP4050DE-M,AP4050DE-M-S,AP7060DN,AP2051DN-L-S,AP4050DE-B-S,AP3050DE,AP5510-W-GP,

AirEngine5760-10, AP6750-10T

AR1200

AR1220E

AR2200

AR2220E,AR2204-27GE-P

AR6100

AR6120

AR6200

AR6280

AR100

AR109, AR129CGVW-L,AR129CVW,

AR101-S, AR101W-S

AR160

AR161,AR161EW

AR600

AR651C

Eudemon200E-G

Eudemon200E-G8-AC,Eudemon200E-G8-DC,

Eudemon200E-G85-DC,Eudemon200E-G85-AC

Eudemon200E-N

Eudemon200E-N1D,Eudemon200E-N3,Eudemon200E-N5,Eudemon200E-N1,Eudemon200E-N2

Eudemon1000E-N

Eudemon1000E-N3,Eudemon1000E-N5,Eudemon1000E-N6,Eudemon1000E-N7,Eudemon1000E-N7E

Eudemon1000E-G

Eudemon1000E-G3-AC,Eudemon1000E-G3-DC,Eudemon1000E-G5-AC,Eudemon1000E-G5-DC,Eudemon1000E-G8-AC,Eudemon1000E-G8-DC,Eudemon1000E-G12-AC,Eudemon1000E-G12-DC,Eudemon1000E-G16-AC,Eudemon1000E-G16-DC,

Eudemon1000E-G25-DC,Eudemon1000E-G25-AC,Eudemon1000E-G15-DC,Eudemon1000E-G15-AC,Eudemon1000E-G55-DC,Eudemon1000E-G55-AC,Eudemon1000E-G35-DC,Eudemon1000E-G35-AC

USG6500

USG6530,USG6550,USG6570,USG6507,USG6510,USG6510-WL,

USG6515E,USG6510E,USG6510E-POE,USG6530E,USG6550E,USG6560E,USG6580E,

USG6585E-AC,USG6565E-AC,USG6555E-AC,USG6525E-AC

USG6600

USG6620,USG6630,USG6650,USG6660,USG6670,USG6680,

USG6630E-AC,USG6630E-DC,USG6650E,USG6680E,

USG6625E-AC,USG6615E-AC,USG6655E-AC,USG6635E-DC,USG6635E-AC

USG6700

USG6712E,USG6716E

USG6300

USG6306,USG6308,USG6310,USG6320,USG6330,USG6350,USG6360,USG6370,USG6380,USG6390,USG6305,USG6305-W,USG6310S,USG6310S-W,USG6310S-WL,USG6310S-WL-OVS,USG6390E,

USG6306E,USG6308E,USG6311E,USG6312E,USG6322E,USG6350E,

USG6307E,USG6331E,USG6332E,USG6395E-AC,USG6385E-AC,USG6365E-AC,USG6355E-AC,USG6335E-AC,USG6325E-AC,USG6315E-AC,USG6309E-AC,USG6305E-AC

堆叠名称

堆叠的名称。

堆叠角色

根据交换机上的设置，上报到系统上的角色。

槽位号

交换机在堆叠中的编号，范围0~8，同一堆叠中的交换机编号不能相同。

优先级

设置堆叠中交换机的优先级，范围为1-255，默认为100。数字越大优先级越高。

名称

用于唯一标识ACL模板。

ACL类型

ACL的类型。

• 3001～3999：高级ACL
• 6000～6031：用户ACL。ACL规则为域名时，一个ACL规则最多可以添加128条规则，ACL规则为IP地址时，最多可以添加32条规则。仅IPv4支持用户ACL。

ACL编号

用于下发到设备的ACL编号。

规则列表

-

-

单击“添加”，定制ACL模板所对应的规则内容，并单击“确认”。

用户ACL

IP/域名

该ACL所对应的IP地址/域名匹配规则。

协议

该ACL所对应的协议：

• Any
• TCP
• UDP

端口

该ACL所对应的目的端口号，仅协议为TCP或者UDP的时候支持。

高级ACL

优先级

同一ACL模板里多条ACL规则之间的优先级顺序。数字越小，优先级越高。

策略

流量通过策略。

• 允许：允许符合条件的报文。
• 拒绝：拒绝符合条件的报文。

协议

流量匹配协议。

源IP

网络报文的源IP地址。

源端口

网络报文的源端口。

目的IP

网络报文的目的IP地址。

目的端口

网络报文的目的端口。

名称

用于唯一标识动态ACL模板。

规则列表

-

单击“增加”，定制动态ACL模板所对应的规则内容，并单击“确定”。

优先级

规则优先级，整数形式。

目的IP地址

该ACL所对应的IP地址匹配规则。

协议

流量匹配协议。包括ALL、TCP和UDP。

端口

网络报文的目的端口。

控制类型

网络报文控制类型，分为放行和阻止两种类型。

名称

用于唯一标识URL分类模板。

URL

需要过滤的URL列表。多个URL之间以换行符分隔。

通过*可以对URL进行模糊匹配。该列表最多支持32条模糊匹配规则，以及512条精确匹配规则（重复项不纳入统计）。

如果过滤目标为https开头的地址（例如https://www.xxx.com/example），只输入URL的域名部分（www.xxx.com）。

域名

需要过滤的域名列表。多个域名之间以换行符分隔。

通过*可以对URL进行模糊匹配。该列表最多支持32条模糊匹配规则，以及512条精确匹配规则（重复项不纳入统计）。

名称

用于唯一标识RADIUS模板。

使用内置服务器

指定iMaster NCE-Campus为RADIUS服务器。选择使用内置服务器之后，主认证组件/备认证组件可以选择业务管理器或者拉远服务器，业务管理器即总部控制器。

主认证服务器地址/端口

分别指定主备认证服务器的IP地址和端口。

备认证服务器地址/端口

主计费服务器地址/端口

分别指定主备计费服务器的IP地址和端口。

备计费服务器地址/端口

实时计费

实时计费开关，开启后可配置计费上报周期。缺省关闭。

计费上报周期

设置实时计费的时间间隔。

密钥

RADIUS服务器的共享密钥。建议定期更换共享密钥。

禁用RADIUS属性

是否在设备与RADIUS服务器之间通信的报文中过滤特定属性。缺省关闭，即不作过滤。

禁用属性

-

单击“创建”，配置具体过滤策略。

属性名称

单击“...”，从弹出窗口中选择需要过滤的属性名称。

禁止发送

禁止设备向RADIUS服务器发送指定RADIUS属性的网络报文。

禁止接收

禁止设备接收来自RADIUS服务器的、指定RADIUS属性的网络报文。

Service-Type属性值设置

-

不同厂商的RADIUS服务器支持的同一属性的属性值可能有所不同。为了实现与不同的RADIUS服务器对接，设备支持更改RADIUS属性的值。

属性值

设置service-type属性的属性值。

Option

指定用户认证类型为MAC认证。

called-station-id属性值设置

-

打开后可以配置called-station-id属性值，设置RADIUS报文中called-station-id属性封装的内容。当前只有AP支持。缺省关闭。

属性值

called-station-id属性封装的内容，支持ap-mac和ap-location。

是否携带SSID属性

打开后called-station-id属性封装的内容中会包含SSID。缺省关闭。

属性分隔符

called-station-id属性封装的内容包含SSID时，SSID前的分隔符。

枚举类型，只能是1位，取值范围：“\”，“/”，“:”，“<”，“>”，“|”，“@”，“'”，“%”，“*”，“+”，“-”，“&”，“!”，“#”，“^”，“~”，缺省值是“:”。

MAC地址格式设置

根据需要设置RADIUS报文中的MAC地址格式。支持的设置的格式包含：

• MAC地址大小写
• MAC地址连接符
• MAC地址格式

名称

用于唯一标识HWTACACS模板。

使用内置服务器

指定iMaster NCE-Campus为HWTACACS服务器。选择使用内置服务器之后，主认证组件/备认证组件可以选择业务管理器或者拉远服务器，业务管理器即总部控制器。

主认证服务器地址/端口

分别指定主备认证服务器的IP地址和端口。

备认证服务器地址/端口

主授权服务器地址/端口

分别指定主备授权服务器的IP地址和端口。

备授权服务器地址/端口

主计费服务器地址/端口

分别指定主备计费服务器的IP地址和端口。

备计费服务器地址/端口

包含域名

缺省情况下，开关关闭。如果打开该开关，设备向HWTACACS服务器发送请求报文时，用户名中包含域名，且缺省域名为default_admin。如果关闭开关，设备向HWTACACS服务器发送的报文中的用户名不包含域名。

密钥

HWTACACS服务器的共享密钥。

名称

用于唯一标识Portal服务器模板。

使用内置服务器

指定iMaster NCE-Campus为Portal服务器。选择使用内置服务器之后，主认证组件/备认证组件可以选择业务管理器或者拉远服务器，业务管理器即总部控制器。缺省的推送协议为HTTPS，如果要使用HTTP协议，需要开启HTTP协议端口。

IP地址

第三方Portal服务器的IP地址。多个IP地址之间可以用英文半角逗号分隔。

端口

第三方Portal服务器的端口号。

URL

第三方Portal服务器的接口URL，用于标识Portal认证用户可以访问的Portal服务器的网址。

Portal用户同步

使用Portal2.0协议认证时，可以开启此功能同步设备和iMaster NCE-Campus之间的用户信息，可以设置设备的同步周期和同步最大失败次数。同步周期取值范围是20-65535，单位是秒，缺省值是300，同步最大失败次数取值范围是2-255，缺省值是3。

同步周期*同步最大失败次数要大于portal服务器发送同步报文的时间间隔，否则设备会在达到最大失败次数后，由于收不到Portal服务器的同步报文，会将用户强制下线。iMaster NCE-Campus内置portal服务器发送同步报文的时间间隔为3600秒。

密钥

Portal服务器的共享密钥。

URL参数模板

通过配置URL模板和模板参数，为Portal服务器关联URL模板，如果SSID引用了该Portal服务器模板，则同时引用了该URL模板。

名称

用于唯一标识URL模板。

模板类型

“云平台中继认证”和“第三方认证”可供选择。

模板参数

-

单击“创建”，定制URL模板所对应的规则内容，并单击。

参数名称

第三方portal服务器认证所需参数名称。

赋值方式

替换控制器已有值：选择iMaster NCE-Campus已有参数。

用户自定义：用户自定义参数值。

赋值方式仅“云平台中继认证”类型有效。

参数内容

名称

用于唯一标识RADIUS中继服务器模板。

Portal认证

认证服务器地址

单击“添加”，配置认证服务器的优先级、IP地址、端口和密钥。最多添加三个认证服务器。

认证协议

支持CHAP（Challenge Handshake Authentication Protocol）协议、PAP（Password Authentication Protocol ）协议。建议使用更安全的CHAP协议。

NAS-Identifier

指定RADIUS中继报文中携带的NAS-Identifier属性值。

• 控制器标识：控制器在发送RADIUS中继报文的时候，报文中的NAS-Identifier携带的值为“Huawei Agile Controller-Campus”。
• 设备MAC：控制器在发送RADIUS中继报文的时候，报文中的NAS-Identifier携带的值为设备MAC。

计费服务器地址

单击“添加”，配置计费服务器的优先级、IP地址、端口和密钥。最多添加三个计费服务器。

超时时间

与认证服务器和计费服务器连接的协商时间，超过该时间则认为本次连接失败。

重发次数

与认证服务器和计费服务器连接的次数。

负载均衡模式

对于配置了多个认证服务器或多个计费服务器的场景，该参数指定客户端连接不同服务器的策略。

• 严格的优先级顺序：客户端严格按服务器的优先级进行连接，只有优先级高的服务器不可达时，才会连接优先级低的服务器。
• 循环：客户端按服务器的优先级顺序循环进行连接。

MAC地址格式设置

根据需要设置RADIUS报文中的MAC地址格式。支持的设置的格式包含：

• MAC地址大小写
• MAC地址连接符
• MAC地址格式

RADIUS认证

认证服务器地址

单击“添加”，配置认证服务器的优先级、IP地址、端口和密钥。最多添加三个认证服务器。

计费服务器地址

单击“添加”，配置计费服务器的优先级、IP地址、端口和密钥。最多添加三个计费服务器。

超时时间

与认证服务器和计费服务器连接的协商时间，超过该时间则认为本次连接失败。

重发次数

与认证服务器和计费服务器连接的次数。

负载均衡模式

对于配置了多个认证服务器或多个计费服务器的场景，该参数指定客户端连接不同服务器的策略。

• 严格的优先级顺序：客户端严格按服务器的优先级进行连接，只有优先级高的服务器不可达时，才会连接优先级低的服务器。
• 循环：客户端按服务器的优先级顺序循环进行连接。

高级

指定RADIUS中继场景下授权信息包含外部RADIUS服务器的授权结果，不支持控制器直接动态授权，需要在外部RADIUS服务器触发动态授权。

转发授权：向设备直接转发外部RADIUS服务器的授权结果。

叠加授权：使用外部RADIUS服务器返回的报文属性作为授权条件匹配授权规则，并叠加授权结果。

名称

用于标识认证模板。

认证方式

有Portal、MAC和802.1X三种方式可供选择，根据实际情况选择即可。

RADIUS服务器模板

选择已经设置的模板。

Portal服务器模板/备Portal服务器模板

选择已经设置的模板。仅认证方式选择为Portal的时候可设置。

IPv6终端认证

认证终端使用IPv6协议时，开启IPv6终端认证开关，Portal服务器推送页面的URL为IPv6格式，不开启推送格式为IPv4格式。

域

采用默认值即可。

IP话机认证

使能或者关闭，根据实际情况选择即可。

RADIUS动态授权

有默认和自定义两种，根据实际情况选择即可。

RADIUS动态服务器地址

设置RADIUS动态服务器的IP地址，RADIUS动态授权选择自定义可设置。

密钥

设置密码，RADIUS动态授权选择自定义可设置。

用户接入模式

设置接口的用户接入模式，包含以下三种模式：

multi-authen：缺省为此模式，指定接口下允许多个用户上线。该方式设备对每一个用户都会进行接入认证，若认证成功，授予用户独立的网络访问权限。之后，某一用户下线不会影响其他用户。

single-voice-with-data：指定接口仅允许一个数据用户和一个语音用户上线。该方式用于一个数据用户通过一个语音终端接入网络的场景。

single-terminal：指定接口仅允许一个用户上线。

RADIUS逃生策略

设置用户RADIUS逃生策略，并指定逃生用户使用的VLAN或者逃生策略模板。

VLAN

逃生策略模板

自动重认证

开启“自动重认证”开关后，终端认证失败后，“重认证时间”结束后，iMaster NCE-Campus会再次发起认证。重认证时间取值范围是30-7200，单位是秒。

名称

用于唯一标识逃生策略模板。

VLAN ID

逃生用户使用的VLAN。

安全组

逃生用户所授予的安全组。

IPv4/IPv6规则

协议

逃生用户所授予的网络访问权限，通过ACL规则定义协议类型、IP地址、端口号。

其中端口号仅协议为TCP和UDP时支持。

IP

端口

名称

安全组名称。

描述

安全组描述信息。

名称

用于唯一标识流分类模板。

描述

流分类模板的描述信息。

规则类型

与：表示流分类中各规则之间关系为逻辑“与”，即报文需匹配流分类中的所有规则。

或：表示流分类各规则之间是逻辑“或”，即报文只需匹配流分类中的一个或多个规则。

IPv4规则

优先级

同一模板里多条规则之间的优先级顺序。数字越小，优先级越高，不可重复。

协议

该规则所对应的协议：

• TCP
• UDP
• ICMP
• Any

源IP

该规则所对应的源IP。

目的IP

该规则所对应的目的IP。

源端口

该规则所对应的源端口号，仅协议为TCP或者UDP的时候支持。

目的端口

该规则所对应的目的端口号，仅协议为TCP或者UDP的时候支持。

VLAN

起始VLAN ID

表示起始外层VLAN ID。

截止VLAN ID

表示结束外层VLAN ID，“截止VLAN ID”取值必须大于“起始VLAN ID”。

名称

用于唯一标识流行为模板。

描述

流行为模板的描述信息。

动作

流量限速

CIR(kbit/s)

Committed Information Rate，承诺信息速率，表示向C桶中投放令牌的速率，即C桶允许传输或转发报文的平均速率。

PIR(kbit/s)

Peak Information Rate，峰值信息速率，表示向P桶中投放令牌的速率，即P桶允许传输或转发报文的峰值速率，PIR大于CIR。

CBS(Byte)

Committed Burst Size，承诺突发尺寸，表示C桶的容量，即C桶瞬间能够通过的承诺突发流量。

PBS(Byte)

Peak Burst Size，峰值突发尺寸，表示P桶的容量，即P桶瞬间能够通过的峰值突发流量。

优先级

本地优先级

设备内部优先级，即设备内部区分报文服务等级的优先级。

DSCP优先级

根据网络规划在不同网络中使用不同的QoS优先级，IP网络中使用DSCP。

802.1p优先级

根据网络规划在不同网络中使用不同的QoS优先级，VLAN网络中使用802.1p。

名称

用于唯一标识应用模板。

描述

自定义应用模板的描述信息。

规则列表

IP/域名

自定义应用的IP地址或域名。

协议

• TCP
• UDP
• ALL

端口

当选择TCP或UDP协议时，需要填写端口。

名称

用于唯一标识应用调度模板。

描述

应用调度模板的描述信息。

应用调度队列

保障带宽

表示应用使用的最低带宽。

模板名称

站点模板的名称。1～64位字符串，不能与已有站点模板重名。

模板类型

站点模板的设备类型，包括FW、LSW、AP、AR。可多选。

模板功能

（仅当“是否定制特性”为“On”时有效）通过该站点模板可以配置的业务。

时区

为当前站点中的所有设备统一配置时区，仅支持防火墙、交换机、AP。

夏令时

为当前站点中的设备配置夏令时，仅支持交换机、AP和AR。

NTP服务器IP地址

设置NTP服务器的地址，仅支持防火墙、交换机、AP。

本地用户

用户名

用于登录设备的AAA本地用户帐号，格式为username或username@domainname，不允许包含*？"或空格，不支持中文字符，不区分大小写。当配置HWTACACS逃生时，需要在“准入 > 准入资源 > 用户管理 > 用户管理 > 用户”菜单下配置与本地用户账号相同的用户认证账号。

密码

用户角色

本地用户的优先级。不同级别的用户登录后，只能使用等于或低于自身级别的命令。

• 监控用户：1级用户
• 管理用户：15级用户

服务类型

本地用户对应的接入方式。

• HTTP(S)：如果勾选该选项，则可以使用该用户通过浏览器以HTTP(S)协议登录设备的WebUI界面。
• SSH：如果勾选该选项，则可以使用该用户通过SSH客户端登录设备的命令行界面。

BootROM密码

设置交换机或者AP设备的BootROM密码。

如果不设置此密码：

• 当站点创建前，已经在“系统 > 系统管理 > 设备密码配置”页面设置了BootROM密码，则默认值为此页面设置的密码。
• 当站点创建时，“系统 > 系统管理 > 设备密码配置”页面也没有设置BootROM密码，则默认值为设备上默认设置的密码。

协议版本

SNMP协议的版本号。由于V1和V2C存在安全风险，建议使用V3。

“协议版本”为“V1”或“V2C”的配置信息

读团体名

团体是网管和SNMP Agent的集合，用团体名来标志。团体名相当于密码，团体内的设备通信时需要使用团体名来进行认证。只有网管和SNMP Agent上配置的团体名相同时，才能互相访问。团体名分读团体名和写团体名，目前iMaster NCE-Campus和SNMP仅对接读团体名。

1～32位数字、字母或特殊字符。

IP地址限定

网管服务器的IP地址白名单。通过该列表可以限定网管的IP地址，提高系统安全性。如果该列表为空，则允许任意IP地址的网管服务器访问设备。

告警服务器

是否为设备配置告警服务器。通过该功能，可以将设备产生的告警将及时传递给网管服务器，从而实现对设备的有效管理。

必须为A类/B类/C类IP地址。多个IP地址之间用换行符分隔，最多可以填写20个IP地址。

• A类IP地址：1.0.0.0～126.255.255.255
• B类IP地址：128.0.0.0～191.255.255.255
• C类IP地址：192.0.0.0～223.255.255.255

告警服务器列表

告警服务器的IP地址。

必须为A类/B类/C类IP地址。多个IP地址之间用换行符分隔，最多可以填写20个IP地址。

“协议版本”为“V3”的配置信息

用户列表

单击“添加”，添加帐号信息。为了成功实现如下场景的双向通信，“用户名”、“加密密码”和“认证密码”必须与网管服务器上的完全相同。

• 设备向网管服务器上报告警时，将使用这里的帐号和密码在网管服务器上执行认证校验。只有校验通过，才能成功上报告警信息。
• 网管服务器主动访问设备时，将在设备上执行认证校验。只有校验通过，网管服务器才能成功连接到设备。

IP地址限定

网管服务器的IP地址白名单。通过该列表可以限定网管的IP地址，提高系统安全性。如果该列表为空，则允许任意IP地址的网管服务器访问设备。

必须为A类/B类/C类IP地址。多个IP地址之间用换行符分隔，最多可以填写20个IP地址。

告警服务器

是否为设备配置告警服务器。通过该功能，可以将设备产生的告警将及时传递给网管服务器，从而实现对设备的有效管理。

告警服务器列表

单击“添加”，添加告警服务器，并从下拉列表中选择对应的帐号。

告警服务器的IP地址必须为A类/B类/C类IP地址。最多可以添加20个IP地址。

终端接入记录储存时间（天）

终端用户接入数据的保留天数，缺省为90，取值范围为1～90。超过该阈值的数据将被自动清除。

匿名化终端信息

是否隐藏终端用户数据（MAC、IP地址、用户名等）。缺省为“ON”。

基本配置

SSID名称

终端接入网络时的无线信号名称。

工作状态

缺省为ON。如果设置为OFF，则该SSID不可用。

定时开启

从下拉列表中选取时间策略，使AP在指定时间段以外的时间自动关闭该SSID，以达到提升网络安全性和节能的目的。

如果系统预置的时间策略不能满足灵活的使用需求，可以单击，在弹出窗口中创建自定义时间模板。

生效射频

缺省三射频，建议使用缺省值。

AP标签

通过标签指定在哪些AP上配置该SSID。如果置空，则说明在当前站点中的所有AP上都配置该SSID。否则需要按界面提示为AP增加标签。

网络连接方式

• 如果无线终端接入AP时AP仅用于二层转发，请选择“二层转发”。
• 如果无线终端接入AP时以AP作为DHCP Server，请选择“NAT”。

VLAN

（仅“二层转发”方式）通过标签为关联到该SSID的无线终端分别指定在不同AP上所属的VLAN ID。

高级配置

隐藏SSID

缺省关闭。隐藏SSID后该SSID不可见。

MDNS Snooping

缺省关闭。打开后无线终端发送mDNS报文时，接入设备可以通过解析报文里的service信息进行终端识别。

断链关断

缺省关闭。打开后，当AP上行链路断开时会自动关闭SSID，保证设备自动连接其他AP。

频谱导航（5G优先）

缺省打开。打开后AP可以控制移动终端优先接入5G频谱，减少2.4G频谱上的负载和干扰，提升用户体验。

2.4G射频Beacon帧发送速率(Mbps)

2.4GHz、5GHz射频类型Beacon帧的发送速率。仅V200R008C10及以上版本的AP设备支持这些参数。单位：Mbps。

5G射频Beacon帧发送速率(Mbps)

禁止传统终端接入

缺省关闭。打开后将禁止802.11a、802.11b和802.11g类型协议的传统终端接入。

最大用户数

允许同时连接该SSID的最大用户数。

接入阈值策略

• 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。
• 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。
• VIP用户优先接入：射频接入的终端达到阈值后，VIP用户优先接入，替换掉普通用户。需要到“准入 > 准入策略 > 认证授权策略”页面授权VIP用户。

用户隔离

缺省打开。打开后，同一个AP同一SSID内用户相互隔离。

隔离方式

• 全部隔离
• 二层用户隔离

IGMP-Snooping

缺省关闭。开启IGMP Snooping二层组播功能，实现组播数据在数据链路层的转发和控制。

禁止广播或组播

缺省关闭。打开后，将禁止无线局域网网络共享、发现广播或组播的功能。另外，打开后，"bonjour透传"参数可配置。

组播转单播

缺省关闭。开启组播转单播功能后，AP通过侦听用户上报的组播报告报文和离开报文来维护组播转单播表项。当AP向客户端发送组播报文时，根据组播转单播表项，将组播数据报文转换为单播数据报文，从而提高组播数据流传输效率。

另外，开启组播转单播自适应功能后，当组播转单播出现空口性能瓶颈时，AP自动将终端数最少的组播组切换为组播模式，当空口性能改善持续一段时间后，AP自动将终端数最多的组播组切换为单播模式，从而保证在不需要人工干预的情况下，自动调整空口性能，提升整体无线用户体验。

bonjour透传

缺省关闭。Bonjour技术是由苹果公司提出的零配置网络技术解决方案，是一种应用在二层广播域的技术，实现二层广播域内网络设备自动获取地址和发现服务。

U-APSD

缺省关闭。U-APSD是WMM定义的一种新的节能处理方式，能进一步提升终端的节能能力。但由于部分终端对U-APSD功能的支持存在问题，这种情况下需要关闭U-APSD功能。

Wi-Fi多媒体标准场景

根据网络实际情况和需要，配置WMM（Wi-Fi Multimedia，Wi-Fi多媒体标准）参数，使高优先级的数据报文优先占用无线信道，达到调整视频、语音等类型的流量的转发优先级的目的。为了使WMM生效，必须在射频参数中开启WMM开关。

• 默认：无优先级
• 语音：以语音流量优先
• 语音与视频：以语音及视频流量优先
• 自定义

终端MAC过滤

缺省关闭。打开此开关后，系统将按照黑名单或白名单的方式对接入到网络的设备MAC进行过滤。

• 黑名单：禁止列表中的设备接入到网络。此时系统按MAC地址完全匹配。
• 白名单：只有列表中的设备才能接入到网络。此时系统支持按MAC地址完全匹配，也可以按OUI匹配。其中，OUI为设备MAC的前一半。

音频质量分析

缺省关闭。打开此开关、并配置了“SIP协议端口”，系统将使能SIP协议，从而设备可以抓取SIP协议报文，并分析出协议所承载的业务类型，如语音业务。

当iMaster NCE-Campus允许设备上报性能数据信息给分析器时，分析器就可以获得语音业务的性能数据，并进行音频通话的质量分析。

802.11r快速漫游

是否使能802.11r快速漫游功能。

• 自适应
• 使能
• 未使能
  说明：

  802.11r功能支持的安全策略包括开放式系统认证、WPA2+PSK+AES、WPA2+PPSK+AES和WPA2+802.1X+AES。

802.11r over the ds

802.11r快速漫游的协议。

• 当打开此开关，表示使用802.11r over the ds协议快速漫游。
• 当关闭此开关，表示使用802.11r over the air协议快速漫游。

重关联超时时间

配置重关联超时时间，超时时间缺省值为1秒。

端管协同漫游

是否使能端管协同漫游，默认状态是关闭。

业务保障功能模式

可以选择：

• 性能优先
• 可靠性优先

手游加速

是否使能手游加速功能，默认状态是打开。现在支持的手游应用：绝地求生（刺激战场、全军出击）、穿越火线、荒野行动、王者荣耀、DNF、梦幻西游、英雄联盟、堡垒之夜、第五人格。游戏加速特性能够在识别出游戏后进行上下行加速。

抑制终端省电

使能抑制终端省电功能。使能抑制终端进入省电状态的功能后，会使终端耗电加快，还要占用额外的带宽，如果没有终端省电状态异常的情况，建议去使能抑制终端进入省电状态的功能。默认关闭状态。

MU-MIMO优化

使能MU-MIMO优化功能。当用户对AP下行业务吞吐量有较高要求，并且环境干扰性小的时候，可以使能MU-MIMO优化功能。默认开启状态。

终端老化时间（分）

强制低信号用户下线时间。为了防止大量低信号用户关联网络导致的网络整体用户体验下降，可以降低终端老化时间。

RADIUS服务器

一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。

用户流量统计使能

开启后提供统计流量的功能。

支持NAT场景CoA/DM

开启后提供一种动态修改在线用户权限或者强制用户下线的机制。开关切换对新上线的用户生效。

自动重认证

使能对在线用户进行重认证的功能。

重认证时间（秒）

对在线用户进行重认证的周期。

逃生策略

系统授予用户特定的网络访问权限，满足用户基本的网络访问需求。

SSID流量限速

限制整个SSID的上下行带宽。

终端流量静态限速

限制单个终端的静态速度，可以分别对上下行带宽限速。

静态限速的优先级高于动态限速。

终端流量动态限速

限制单个终端的动态速度，可以分别对上下行带宽限速。如果某个方向的静态限速打开，则对应方向的动态限速就不生效。

高级配置

IPV6

是否针对此SSID使能IPV6。

ACL

为SSID配置基于ACL的报文过滤功能，允许或禁止符合条件的数据报文通过。可以从下拉列表中选取已有的ACL模板。

应用流量统计

开启后，AP通过对用户发送报文的解析，统计网络中各个用户的应用对网络的使用情况。

应用过滤列表

针对特定应用的网络报文，设置阻断、Car限速、DSCP标记等策略。

AP特征库中的应用程序的具体支持情况，请访问https://support.huawei.com/enterprise/zh/doc/DOC1000183794。

URL过滤

缺省关闭。打开此开关后，通过配置URL过滤策略，可以限制无线网络接入终端所能访问的网络资源。

• 黑名单过滤模式：禁止访问URL过滤列表中的网站。
• 白名单过滤模式：只允许访问URL过滤列表中的网站。

IPSEC ACL

利用ACL设置IPSec策略，对符合条件的数据报文实现按优先级处理。

区域

租户网络所在区域。按AP实际部署地区选择“区域”以后，AP会根据当地法律法规重置射频的工作信道和功率，并相应调整允许配置的信道范围和功率大小。

定时开启

从下拉列表中选取时间策略，使AP在指定时间段以外的时间自动关闭射频功能，以达到提升网络安全性和节能的目的。

如果系统预置的时间策略不能满足灵活的使用需求，可以单击，在弹出窗口中创建自定义时间模板。

调优模式

射频调优的模式。推荐使用定时调优，并将调优时间设定为业务空闲的时段（如当地时间00:00～06:00）。

• 自动调优：AP根据调优间隔（缺省起始时刻03:00:00，间隔1440min）进行周期性的全局调优。
• 定时调优：AP在每天的指定时刻自动开始调优。
• 手动调优：AP不主动进行调优。

射频调优策略

射频调优策略仅在自动调优方式下生效：

• 入侵模式：所在网络中存在非法AP（即此AP不受本WAC控制）时，设备会立即规避该非法AP的干扰。该策略可能会导致信道切换频繁，建议在技术支持人员指导下使用。
• 底噪调优：当所在网络中由于特殊的外部干扰造成AP的底噪过高，导致业务体验恶化时，设备会规避干扰。当AP连续三次检测到当前信道底噪超过底噪阈值门限时，AP就会通过射频调优调离此信道，并在30分钟内不会调回此信道。
• 非Wi-Fi：所在网络中出现非Wi-Fi干扰时，设备会立即规避干扰。

AI调优

该开关默认开启，在系统对接了CampusInsight时生效。未对接CampusInsight时，设备会自动使用原方式调优。AI调优功能生效后，设备会根据设备7天内的历史数据，通过AI算法进行自动调优。设备周边的干扰源在白天和黑夜有变化的场景下，本功能有较好的调优效果。

射频模式

选择AP的射频模式。

2.4GHz

DCA信道集

为AP在2.4GHz频段上的无线信号传输选择调优信道集。为了尽可能地减少邻近AP之间的同频或邻频干扰，系统将根据AP间邻居关系紧密程度从信道集中挑选信道进行调优，按动态信道调整算法（Dynamic Channel Allocation，简称为DCA）分别为每个AP分配信道。

• 1,6,11
• 1,5,9,13

GI模式

配置GI（Guard Interval）模式。仅V200R009C00及以上版本的AP设备支持该功能。

• Default：使用设备缺省值。

• short：短GI，即400ns。
• normal：普通GI，即800ns。

TPC上限

用于限定射频调优完成后发射功率范围，单位为dBm。缺省为9dBm～127dBm。

如果下限过低，可能导致射频调优后的功率过小、无法满足射频覆盖需要；如果上限过高，可能导致射频调优后的功率过大、AP之间出现信号干扰。

TPC下限

接入用户数阈值使能

用于设置AP在2.4GHz频段上最大接入的用户数。缺省为64。

接入阈值策略：

• 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。
• 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。
• VIP用户优先接入：射频接入的终端达到阈值后，VIP用户优先接入，替换掉普通用户。需要到“准入 > 用户准入 > 准入策略 > 授权规则”页面授权VIP用户。

接入用户数阈值

接入阈值策略

TPC阈值

射频调优TPC（Transmit Power Control）覆盖阈值，单位为dBm。缺省为-60dBm。

根据AP实际布放高度和间距适当调整该阈值，可以使AP在射频调优后达到最优的覆盖效果。阈值越大，TPC调整的功率值会整体提高。

组播发射速率

配置的速率要属于基础速率集或者支持速率集，且STA需要支持该速率，否则STA将不能正常接收组播数据。

基础速率(Mbps)

2.4GHz基础速率。

支持速率(Mbps)

2.4GHz支持速率。

终端弱信号快踢

打开开关，当AP检测到终端的信号较弱时，会强制该终端下线。

场景

信噪比阈值(dB)

检测周期(ms)

双频动态调整

是否使能双频动态调整功能。缺省为“Off”。

冗余2.4G射频调整方式

（仅当“双频动态调整”为“On”时有效）冗余射频的处理模式。

• 自动切换成5G：冗余2.4G射频自动切换为5G射频。如果5G射频没有可用信道或当前射频不支持切换为5G时，切换为monitor模式。
• 自动关闭2.4G：冗余2.4G射频自动关闭。

极限功率

当存在物体遮挡，信号无法覆盖时，通过开启更高功率的信号来覆盖此区域。

• 默认
• 开启
• 关闭

VIP用户带宽预留比例

在需要保障VIP用户网络带宽的时候配置。VIP用户空口带宽预留算法基于DL&UL OFDMA传输模式的RU分配实现，实时评估用户实际需要的频谱资源，为VIP用户预留/分配满足其业务需求的频谱资源，从而保证VIP用户的体验。

• 对于“普通”场景，iMaster NCE-Campus已经预设了“关闭”、“缺省模式”、“增强模式”和“极限模式”，不需要再配置。用户可以根据实际情况直接选择场景。
• 对于“自定义”场景，需要用户手工配置VIP用户带宽预留比例。

VIP用户带宽预留比例缺省值为20%。

5GHz

调优信道频宽

为AP在5GHz频段上的无线信号传输设置调优频宽。配置大带宽信道可获得更大的传输速率。

信道集

为AP在5GHz频段上的无线信号传输选择调优信道集。为了达到更优的调优效果，请选用3个或3个以上作为可选信道。

基础速率(Mbps)

5GHz基础速率。

支持速率(Mbps)

5GHz支持速率。

GI模式

配置GI（Guard Interval）模式。仅V200R009C00及以上版本的AP设备支持该功能。

• Default：使用设备缺省值。

• short：短GI，即400ns。
• normal：普通GI，即800ns。

TPC上限(dBm)

用于限定射频调优完成后发射功率范围，单位为dBm。缺省为12dBm～127dBm。

如果下限过低，可能导致射频调优后的功率过小、无法满足射频覆盖需要；如果上限过高，可能导致射频调优后的功率过大、AP之间出现信号干扰。

TPC下限(dBm)

接入用户数阈值使能

用于设置AP在5GHz频段上最大接入的用户数。缺省为64。

接入阈值策略：

• 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。
• 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。
• VIP用户优先接入：射频接入的终端达到阈值后，VIP用户优先接入，替换掉普通用户。需要到“准入 > 用户准入 > 准入策略 > 授权规则”页面授权VIP用户。

接入用户数阈值

接入阈值策略

TPC阈值

射频调优TPC（Transmit Power Control）覆盖阈值，单位为dBm。缺省为-60dBm。

根据AP实际布放高度和间距适当调整该阈值，可以使AP在射频调优后达到最优的覆盖效果。阈值越大，TPC调整的功率值会整体提高。

A-MSDU

使能以A-MSDU聚合方式发送802.11ac报文的功能。

最大子帧数

配置A-MSDU聚合方式一次能聚合的最大子帧数。

组播发射速率

配置的速率要属于基础速率集或者支持速率集，且STA需要支持该速率，否则STA将不能正常接收组播数据。

终端弱信号快踢

打开开关，当AP检测到终端的信号较弱时，会强制该终端下线。

场景

信噪比阈值(dB)

检测周期(ms)

极限功率

当存在物体遮挡，信号无法覆盖时，通过开启更高功率的信号来覆盖此区域。

• 默认
• 开启
• 关闭

VIP用户带宽预留比例

在需要保障VIP用户网络带宽的时候配置。VIP用户空口带宽预留算法基于DL&UL OFDMA传输模式的RU分配实现，实时评估用户实际需要的频谱资源，为VIP用户预留/分配满足其业务需求的频谱资源，从而保证VIP用户的体验。

• 对于“普通”场景，iMaster NCE-Campus已经预设了“关闭”、“缺省模式”、“增强模式”和“极限模式”，不需要再配置。用户可以根据实际情况直接选择场景。
• 对于“自定义”场景，需要用户手工配置VIP用户带宽预留比例。

VIP用户带宽预留比例缺省值为20%。

通用参数

beacon周期(TUs)

配置AP发送Beacon帧的周期。建议使用缺省值100ms。

AP通过周期发送Beacon帧来声明对应802.11网络的存在。终端设备收到Beacon帧后可以得知该网络的存在，从而调整加入该网络所必需的参数。

Beacon周期配置太大，会导致STA休眠时间变长；Beacon周期配置太小，会导致空口开销变大。

RTS-CTS模式

配置RTS-CTS（Request To Send/Clear To Send，握手协议）的工作模式，避免信道冲突导致的数据传输失败。建议使用缺省值cts-to-self。

• cts-to-self：数据传输前由发送方通告周边设备暂停数据发送。以较小的网络开销避免数据传输冲突，可以满足大部分应用环境。
• rts-cts：数据传输前由发送方和接收方分别通告各自周边设备暂停数据发送。可以更好地避免冲突，但网络开销大，可能导致过多的通告帧占用信道带宽。
• disable：数据传输前不发送通告。可能由于冲突而导致数据传输失败。

空口时间公平调度

优先调度占用无线信道时间较少的用户，保证每个用户相对公平的占用无线信道。缺省开启。

逐包功率控制

实时检测终端设备的信号强度，实现绿色节能目的。如果终端信号强度强（距离AP较近），则发送数据包时自动降低实际发送的功率；如果终端信号强度弱（距离AP较远），则恢复正常功率发送无线信号。缺省开启。

波束成形功能

使AP在某个特定角度（目标用户）增强信号，在另一个特定角度（非目标用户或障碍物）减弱信号，从而控制信号传播的方向和覆盖范围。缺省关闭。

负载均衡

在距离相对较近、覆盖范围重叠度较高的多个AP上，通过配置负载均衡功能可以在WLAN网络中平衡AP的负载，充分保障每个STA的无线网络体验。当STA试图接入WLAN网络时，收到访问请求的AP会根据在线STA数和自身能力上限按一定的算法评估当前负荷。如果负荷显著高于附近的同站点AP的平均负荷，该AP将拒绝本次接入请求。

智能漫游

使能智能漫游功能。

传统WLAN网络中，当STA接入AP的信号很弱时，STA的上网速率很低，如果有多个低速率的STA接入AP时，可能造成其他STA占用空口时间变少，造成AP吞吐量偏低，导致其他在线用户体验差。通过配置强制弱信号强度用户下线功能，当AP检测到STA的信噪比或接入速率低于指定的门限时，主动向STA发送解除关联报文，让STA重新连接。通过使能智能漫游功能，并配置智能漫游的用户漫游门限值，AP会将信噪比或接入速率低于该门限值的STA强制下线。

扫描时长(ms)

AP执行空口扫描的持续时间。AP会在该时间段内持续扫描周围的无线信号，扫描完成后AP会将扫描收集的信息上报给iMaster NCE-Campus，用于射频调优和频谱分析。

扫描时间越长，获取到的数据越多，数据分析越精确。但扫描时间过长会消耗过多系统资源，可能会影响正常业务，建议使用缺省值60ms。

扫描间隔(ms)

AP执行空口扫描的周期。建议使用缺省值10000ms。

扫描信道

AP执行空口扫描的信道集合。缺省为“区域信道”。

• 区域信道：扫描“区域”中所选国家码支持的所有信道。
• 调优信道：扫描调优信道集合中的所有信道。
• 工作信道：仅扫描AP当前工作信道。

WMM

是否使能WMM（Wi-Fi Multimedia，Wi-Fi多媒体标准）功能。

信道竞争参数

WMM将报文分为4个类别的AC（Access Category），分别是AC_VO（voice）、AC_VI（video）、AC_BE（Best Effort）、AC_BK（Background）。每一个AC队列定义了一套增强分布式信道访问EDCA参数，该参数决定了队列占用信道的能力大小，可以实现高优先级AC队列占用信道机会大于低优先级AC队列。

EDCA参数分别如下：

• AIFSN ：空闲等待时间，数值越大，等待时间越长，优先级越小。
• ECWmin ：最小竞争窗口，数值越大，优先级越低，且ECWmin 小于 ECWmax。
• ECWmax ：最大竞争窗口，数值越大，优先级越低。
• TXOPLimit：用户一次竞争信道成功后，可占用信道最大时间，数值越大，用户占用时间越长。

ACK策略：

• normal ：对于发送端发送的每个单播报文，接收端在接收到报文后，都需要发送ACK帧进行确认。
• noack ：在通信质量很好、干扰很小的情况下，为提高传输效率，可以选择不应答ACK帧。

BE动态优化

使能此功能后，AP将根据接入用户数，通过算法动态调整终端占用空口资源的优先级，提高BE（Best Effort）业务的用户体验。BE指根据报文到达的先后顺序采用先来先服务的原则处理报文转发，对报文的延迟、抖动、丢包率和可靠性等不做承诺和保证。

BE优化阈值（包/秒）

BE动态优化算法使用到的参数值，建议使用默认值。

多媒体动态优化

使能此功能后，AP将根据接入用户数，通过算法动态调整终端占用空口资源的优先级，提高音频、视频应用的用户体验。

音频优化阈值（包/秒）

多媒体动态优化算法使用到的参数值，建议使用默认值。

视频优化阈值（包/秒）

场景

BE动态优化和多媒体动态优化开关均关闭时，显示此参数。

根据网络实际情况和需要，配置WMM参数，使高优先级的数据报文优先占用无线信道，达到调整视频、语音等类型的流量的转发优先级的目的。为了使WMM生效，必须在射频参数中开启WMM开关。

• 默认：无优先级
• 音频：以语音流量优先
• 音频和视频：以语音及视频流量优先

DHCP使能

使能DHCP，可以配置DHCP的参数。此参数默认打开。

网关IP地址

DHCP客户端的默认网关和子网掩码。网关IP地址和子网掩码共同决定了DHCP客户端可能获取到的IP地址范围（DHCP地址池）。

子网掩码

日志记录

该开关默认关闭。开关开启后，在系统对接了CampusInsight时生效。本功能用来记录DHCP Server配置成功或者失败的日志信息，然后上报给CampusInsight做数据分析与呈现。

第三方URL过滤

开启后，可以通过对接第三方软件实现URL过滤功能。

租期

DHCP客户端自动获取到IP地址的租期。到期后会重新分配。

首选WINS

分配给DHCP客户端的WINS服务器地址。

备用WINS

静态地址绑定

建立IP地址与MAC地址的绑定关系，为特定MAC地址的DHCP客户端分配固定的IP地址。

VLAN ID

配置VLAN ID。LAN侧VLAN不能是已配置的业务VLAN，且修改该VLAN会造成NAT、IPSec用户下线。LAN VLAN不能与管理VLAN相同，否则可能下发失败。

DNS设置

为FW开启/关闭DNS相关功能。如果DNS中继和DNS代理同时开启，DNS代理生效。

• DNS中继：如果设置为“ON”，则开启DNS中继功能。
• DNS代理：如果设置为“ON”，则开启DNS代理功能。
• DNS动态：如果设置为“ON”，则从上行口获取DNS服务器地址。

DNS服务器配置列表

为防火墙配置DNS服务器。最多可以添加6个，优先级按先后顺序由高到低。每一个IP地址以换行符分隔，且重复性无效，提交时将剔除重复项。

DNS本地域名配置列表

单击“创建”，在防火墙的本地域名缓存表中添加域名与IP地址的映射关系，单击“确定”以保存。

子网名称

子网名称。

VLAN ID

与防火墙直连内网设备的VLAN ID一致。

IP

VLANIF接口的IP地址，作为DHCP客户端的默认网关。

掩码

DHCP客户端自动获取到的IP地址的子网掩码。网关IP地址和子网掩码共同决定了DHCP客户端可能获取到的IP地址范围（DHCP地址池）。

Ping

是否开启Ping功能。

DHCP

是否开启DHCP功能。

DHCP模式

为防火墙配置DHCP工作模式。

• 服务器：将防火墙作为DHCP服务器，为内网用户动态分配IP地址。
• 中继：将防火墙作为DHCP中继。

DNS服务

为DHCP客户端指定DNS服务器。

• 系统DNS设置：从上行口获取DNS服务器地址。
• 自定义：单独配置DNS服务器地址。

首选DNS/备选DNS

DNS服务设置为自定义时，需要配置DNS服务器的IP地址。

AP模式

指定当前子网中AP设备的模式，可以是“云AP”或者“Fit AP”。

自动协商控制器地址

打开时，当前子网的DHCP Server自动生成Option148，子网内的设备（交换机或者云AP）可以通过Option148获取iMaster NCE-Campus地址，完成注册。

控制器地址类型

可以是“IP”或者“域名”的形式。

当是域名方式时，需要保证现网已配置DNS能对iMaster NCE-Campus域名进行解析，否则设备将无法向iMaster NCE-Campus发起注册。

DHCP选项

DHCP option的选项和值，在DHCP分配IP地址的时候一起下发给DHCP终端。

当选择“云平台地址(148)”时，需要将文本类型的值设置为agilemode=xxx；agilemanage-mode=xxx；agilemanage-domain=xxxx.xxx；agilemanage-port=xxx；样式。内网云化设备在通过DHCP请求IP地址的时候就会通过该选项的值获得iMaster NCE-Campus的地址和端口。例如：agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device-naas.huawei.com;agilemanage-port=10020;。

其中：

• agilemode：值为agile-cloud（云平台默认下发模式）、tradition（通过外挂的DHCP server option148切换）或者tradition-fit（WAC场景下的fit模式切换；只有AP识别此种类型）。
• agilemanage-mode：值为ip或者domain，表示agilemanage-domain的参数值是IP地址还是域名。
• agilemanage-domain：云平台的域名或者IP地址。
• agile-port：格式为数字，表示云平台的端口。

租期

DHCP服务器采用动态分配机制给客户端分配IP地址时，分配出去的IP地址有租期限制。租期时间到后服务器会收回该IP地址，收回的IP地址可以继续分配给其他客户端使用。

首选WINS

分配给DHCP客户端的WINS服务器地址。

备用WINS

保留IP

保留指定IP地址段。防火墙不会将该范围内的IP地址分配给内网设备。

静态地址绑定

为特定的终端分配固定的IP地址。

DHCP服务器IP

防火墙作为DHCP中继时，需要指定第三方DHCP服务器。

名称

终端接入网络时的无线信号名称。

工作状态

缺省为ON。如果设置为OFF，则该SSID不可用。

生效射频

缺省2.4G/5G，建议使用缺省值。

VLAN ID

终端业务接入的业务VLAN。必须确保当前已存在使用相同VLAN ID的Network。

隐藏SSID

缺省关闭。隐藏SSID后该SSID不可见。

最大用户数

允许同时连接该SSID的最大用户数。

认证方式

SSID认证方式。

加密方式

PSK加密方式，当“认证方式”为“PSK”时有效。支持如下方式：

• WEP
• WPA
• WPA2
• WPA and WPA2

密钥

PSK密钥，当“认证方式”为“PSK”时有效。

控制条件

用户认证后如果满足所有控制条件，则匹配策略。

• 源地址：流量的源地址。
• 目的地址：流量的目的地址。
• 服务：允许或者禁止的服务配置列表。单击“创建”选择和输入合法的协议、源端口、目的端口后，单击。
• 应用：允许或者禁止通过的应用类型，包括一些具体的应用程序。单击“创建”，选择多种支持的应用类型。
• 时间：访问策略的生效时间。
• 安全组：选择安全组。

流量策略

配置流量策略：

• 终端流量限速维度：可以选择“基于IP”或者“基于用户”进行限速。
• 终端流量限速：可以对终端的上下行流量进行限速。
• 整体流量限速：可以对整体的上下行流量进行限速。
• DSCP：设置DSCP策略。
• 流量转发优先级：设置转发流量的优先级。

策略信息

动作

选择对匹配安全策略的流量进行的控制动作，包括：

• 允许：如果动作为允许，则设备会允许符合条件的流量通过。
• 禁止：表示拒绝符合条件的流量通过。

策略组

一个或多个安全策略的集合。

策略匹配条件

用户

用户是流量的所有者，代表了“谁”发出的流量。该匹配条件包括用户、用户组、安全组；当前只支持安全组。

用户和用户组通常是企业“纵向”组织结构的体现；用户和安全组是企业“横向”组织结构的体现。管理员可以根据企业的部门进行分层来创建用户组（部门）和用户，也可以把不同部门的用户划分到同一个安全组，从新的管理维度来对用户进行管理。

源地址/地区

源地址是指流量发出的地址或地区。报文的属性只要匹配其中一个值，就认为报文的属性匹配了这个条件。

目的地址/地区

目的地址是指流量到达的地址或地区。报文的属性只要匹配其中一个值，就认为报文的属性匹配了这个条件。

服务

服务代表了流量的协议类型。管理员可以通过指定端口号等信息来自行定义一些协议类型。服务包括三大类：

• 对于TCP/UDP/SCTP报文，通过指定一系列端口或端口范围来区分应用协议类型。
• 对于ICMP/ICMPV6报文，通过ICMP/ICMPv6类型名称或ICMP/ICMPv6类型号和编码两个字段来区分ICMP/ICMPv6报文类型。
• 对于IP报文，通过IP报文首部中的协议号来自定义协议类型。

应用

识别流量的所属应用，对基于应用的安全策略生效执行相应动作。

时间段

时间段可以控制安全策略的生效时间。

安全配置文件

URL过滤

指定需要的安全配置文件。

反病毒

入侵防御

其他配置

记录日志

• 选择“启用会话日志”后，设备将记录匹配安全策略规则的会话日志。
• 选择“启用策略命中日志”后，设备将记录匹配安全策略规则的流量的日志，即策略命中日志。

会话老化时间

在真实网络环境中，会有一些特殊业务在长时间内没有报文传输，这种情况下FW为了避免消耗性能会清理无用的会话连接。但在实际使用场景中又需要FW记录该连接状态，避免正常的业务中断（如数据库服务），因此FW提供了基于策略的老化时间配置，保持特定的会话连接。

自定义长连接

该功能只针对匹配策略的TCP应用报文生效。与“配置会话老化时间”相比，该功能提供更长时间的会话保持（“配置会话老化时间”只支持到秒级）。选中“自定义长连接”对应的“启用”，开启自定义长连接功能，并配置长连接时间。

Single_gateway_mixed_links

单网关混合双链路

Internet（Device1，GE0/0/0，Internet）

MPLS（Device1，GE0/0/1，MPLS）

-

Single_gateway_mpls_link

单网关MPLS链路

MPLS（Device1，GE0/0/0，MPLS）

-

Single_gateway_internet_link

单网关Internet链路

Internet（Device1，GE0/0/0，Internet）

-

Single_gateway_dual_internet_links

单网关双Internet链路

Internet1（Device1，GE0/0/0，Internet）

Internet2（Device1，GE0/0/1，Internet）

-

Dual_gateways_mixed_links

双网关混合单链路

Internet（Device1，GE0/0/0，Internet）

MPLS（Device2，GE0/0/0，MPLS）

Device1：GE0/0/1，Device2：GE0/0/1

修改链路模板

需要修改链路的模板名称、网关类型、WAN链路等信息。链路模板一旦被站点使用，只能修改模板名和模板描述其他参数不能修改。

系统自带的默认模板不能修改。

在“WAN链路模板”的“操作”列中，单击进行修改。

删除链路模板

链路模板一旦被站点使用不能被删除，只有先删除该模板下的所有站点，才能删除该模板。

系统自带的默认模板不能删除。

在“WAN链路模板”的“操作”列中，单击进行删除。

拷贝链路模板

拷贝模板可以快速新建一个链路模板，提升配置效率。

拷贝模板后进行如下操作，可能导致新拷贝的模板无法应用到源模板关联的站点：

• 修改网关类型
• 修改或删除原有WAN链路
• 修改Inter-CPE链路

在“WAN链路模板”的“操作”列中，单击进行拷贝。

模板名

WAN链路模板名称。

单/双网关

链路所在网关的类型：

• 单网关
• 双网关

支持多子接口

是否使能设备的多子接口功能。使能后，单网关支持最多创建10个子接口，双网关支持最多创建20个子接口。

WAN链路

名称

WAN链路的名称。

设备

站点中网关的名称。

端口

指定WAN侧链路所使用的物理接口类型和接口编号。

端口类型包含：

• GE
• FE
• XGE
• LTE
• xDSL(ATM)
• xDSL(PTM)
• E1-IMA(ATM)
• Ima-group
• Serial

子接口

是否使能设备的子接口。

Overlay隧道

是否使能Overlay隧道功能。若使能，则在这条WAN链路上创建Overlay隧道。

子接口编号

设备的子接口编号。

仅使能“子接口”后该参数才可配置。

传输网络

WAN侧物理链路所属的传输网络的类型，描述具有相同链路质量属性的传输网络。用来标识同一个ISP提供的统一类型的网络。站点WAN侧的每一条物理链路接入的网络都对应一个传输网络。

如果传输网络类型不能满足要求时，需要到“全局配置”中创建。

角色

主备链路。设置完主备链路后，默认情况下，数据只会从主链路通过，当主链路发生异常后，才切换为备链路。

双网关场景下，所有WAN链路的角色都默认为“Active”，至少一条WAN链路为Acitve类型。

高级参数

单击“配置”，在弹出的对话框中可以选择控制器南向接入服务。

“控制器南向接入服务”的默认选项来源于安装规划时配置的“南向负载均衡浮动IP”和“南向业务IP”。若系统管理员已启用其他南向接入服务，则可为站点模板选择其他自定义接入服务。

对于同一台设备，选择的“控制器南向接入服务”必须一致。

Inter-CPE链路（只有当“单/双网关”设置为“双网关”时，才需要配置）

使用LAN侧二层物理口

双网关之间内链路使用的物理接口是否使用LAN侧二层物理口。

• 当双网关之间没有直连链路时，需要使用LAN侧链路，iMaster NCE-Campus将会为每个VPN创建一个互联的逻辑链路。
• 当双网关之间有直连链路时，不需要使用LAN侧链路。

VLAN ID

双网关之间的内链路需要使用该VLAN ID。双网关场景下，iMaster NCE-Campus会在双网关之间的内链路的端口上为不同的部门（VPN）配置不同的子接口，来隔离不同的部门。VLAN ID的数量需要和部门的数量保持一致。该参数取值范围为1~4094。

设备1端口

双网关之间的内链路使用的物理接口。同一个设备下的两个端口类型必须一致。设备间的端口类型必须一致。根据双网关之间是否有直连链路，具体要求不同：

• 当双网关之间有直连链路时（即已经关闭“使用LAN侧二层物理口”），必须使用三层接口。如果创建两条链路后，iMaster NCE-Campus会自动将这两条链路做Eth-trunk，保证链路的可靠性。
• 当双网关之间没有直连链路时（即已经开启“使用LAN侧二层物理口”），必须使用二层接口。

设备2端口

名称

链路名称。

类型

线缆

通过物理线缆直接连接两台设备形成的链路。

二层链路

设备物理端口之间实际物理连接的链路。

IP链路

链路两端接口的IP地址为一堆30位子网掩码的链路。

通用链路

不属于以上几种的链路统称为通用链路。