LAN网络站点配置

域名

为当前站点中的所有交换机和AP统一配置默认域名后缀，例如huawei.com。

在添加设备时指定的“设备名称”和此处设置的“域名”共同构成设备的FQDN（全称标准规范域名）。通过FQDN，可以方便用户在网管系统中识别具体设备。

该参数仅适用于：

• V200R012C00及后续版本的交换机。
• V200R009C00及后续版本的云AP和中心AP。

时区

为当前站点中的所有设备统一配置时区，仅支持防火墙、交换机、AP。

夏令时

为当前站点中的设备配置夏令时，仅支持交换机、AP和AR。

NTP服务器IP地址

设置NTP服务器的地址，仅支持防火墙、交换机、AP。

本地用户

用户名

用于登录设备的AAA本地用户帐号，格式为username或username@domainname，不允许包含*？"或空格，不支持中文字符，不区分大小写。当配置HWTACACS逃生时，需要在“准入 > 准入资源 > 用户管理 > 用户管理 > 用户”菜单下配置与本地用户账号相同的用户认证账号。

密码

用户角色

本地用户的优先级。不同级别的用户登录后，只能使用等于或低于自身级别的命令。

• 监控用户：1级用户
• 管理用户：15级用户

服务类型

本地用户对应的接入方式。

• HTTP(S)：如果勾选该选项，则可以使用该用户通过浏览器以HTTP(S)协议登录设备的WebUI界面。
• SSH：如果勾选该选项，则可以使用该用户通过SSH客户端登录设备的命令行界面。

BootROM密码

设置交换机或者AP设备的BootROM密码。

如果不设置此密码，设备admin帐号密码和BootROM密码为租户管理员首次登录iMaster NCE-Campus设置的密码，或者在“设计 > 站点敏捷设计 > 设备管理”，单击“设备管理”页签，在左侧导航树单击“设备密码配置”，配置设备的密码。

设备登录超时时间

指定用户界面断连的超时时间的分钟数。

缺省值为10，0表示关闭登录超时时间功能。

分屏行数

指定终端屏幕分屏显示的行数。

缺省值为24，0表示关闭分屏功能。

登录限定

通过将设备的SSH VTY帐号绑定到指定的高级ACL，限制允许通过SSH登录设备的帐号。

仅AP和交换机支持该功能。可以使用的ACL编号为3032～3999。

HWTACACS认证

-

是否针对当前站点中的设备使能HWTACACS认证方式。

HWTACACS服务器

从下拉列表中选择HWTACACS服务器。该服务器已在策略模板页面中定义。

命令行授权

根据情况是否使能即可。当iMaster NCE-Campus仅做HWTACACS认证服务器时，此开关可以不使能，如果iMaster NCE-Campus做HWTACACS授权服务器，为设备用户提供命令行授权，则需要在“准入 > 设备管理员 > HWTACACS认证授权 > 命令集”配置命令集，并使能此开关。

HWTACACS逃生配置

配置HWTACACS服务器认证/鉴权失败后的逃生策略。

• HWTACACS服务器故障后，转入本地认证

  使用用户名密码登录时，如果在HWTACACS服务器上认证失败，还会尝试在本地认证。

• HWTACACS服务器故障后，转入本地授权

  使用用户名密码登录时，如果在HWTACACS服务器上鉴权失败，还会尝试在本地鉴权。

• 计费逃生：未开启计费逃生时，只要计费失败就停止为用户提供服务，用户无法登录设备，开启计费逃生，当网络发生故障导致计费失败时，用户仍然可以登录设备。

RADIUS认证

RADIUS服务器

单击选择RADIUS服务器。该服务器已在策略模板页面中定义。

认证协议

选择RADIUS认证协议，支持PAP和CHAP两种。

RADIUS逃生配置

• RADIUS服务器故障后，转入本地认证授权

  使用用户名密码登录时，如果在RADIUS服务器上认证失败，还会尝试在本地认证。

• 计费逃生

  未开启计费逃生时，只要计费失败就停止为用户提供服务，用户无法使用网络，开启计费逃生，当网络发生故障导致计费失败时，用户仍然可以使用网络。

协议版本

SNMP协议的版本号。由于V1和V2C存在安全风险，建议使用V3。

“协议版本”为“V1”或“V2C”的配置信息

读团体名

团体是网管和SNMP Agent的集合，用团体名来标志。团体名相当于密码，团体内的设备通信时需要使用团体名来进行认证。只有网管和SNMP Agent上配置的团体名相同时，才能互相访问。团体名分读团体名和写团体名，目前iMaster NCE-Campus和SNMP仅对接读团体名。

1～32位数字、字母或特殊字符。

IP地址限定

网管服务器的IP地址白名单。通过该列表可以限定网管的IP地址，提高系统安全性。如果该列表为空，则允许任意IP地址的网管服务器访问设备。

告警服务器

是否为设备配置告警服务器。通过该功能，可以将设备产生的告警将及时传递给网管服务器，从而实现对设备的有效管理。

必须为A类/B类/C类IP地址。多个IP地址之间用换行符分隔，最多可以填写20个IP地址。

• A类IP地址：1.0.0.0～126.255.255.255
• B类IP地址：128.0.0.0～191.255.255.255
• C类IP地址：192.0.0.0～223.255.255.255

告警服务器列表

告警服务器的IP地址。

必须为A类/B类/C类IP地址。多个IP地址之间用换行符分隔，最多可以填写20个IP地址。

“协议版本”为“V3”的配置信息

用户列表

单击“添加”，添加帐号信息。为了成功实现如下场景的双向通信，“用户名”、“加密密码”和“认证密码”必须与网管服务器上的完全相同。

• 设备向网管服务器上报告警时，将使用这里的帐号和密码在网管服务器上执行认证校验。只有校验通过，才能成功上报告警信息。
• 网管服务器主动访问设备时，将在设备上执行认证校验。只有校验通过，网管服务器才能成功连接到设备。

IP地址限定

网管服务器的IP地址白名单。通过该列表可以限定网管的IP地址，提高系统安全性。如果该列表为空，则允许任意IP地址的网管服务器访问设备。

必须为A类/B类/C类IP地址。多个IP地址之间用换行符分隔，最多可以填写20个IP地址。

告警服务器

是否为设备配置告警服务器。通过该功能，可以将设备产生的告警将及时传递给网管服务器，从而实现对设备的有效管理。

告警服务器列表

单击“添加”，添加告警服务器，并从下拉列表中选择对应的帐号。

告警服务器的IP地址必须为A类/B类/C类IP地址。最多可以添加20个IP地址。

开启上传功能

使能开启上传功能。

服务器IP/域名

接收报文信息的第三方服务器。仅V200R009C00及更高版本的AP设备支持域名配置。

端口号

接收报文的端口号。需要先使能“开启上传功能”，缺省10031。

周期

AP上报信息的周期。缺省20000ms。

阈值

扫描的信号强度，低于阈值的信号不做处理。缺省-75dBm。

AP身份识别密钥

PSK配置开关。开启表示添加PSK，关闭表示删除PSK。

更新预共享密钥

是否更新PSK值。如果未设置PSK，则更新按钮不可用。

AP安装位置信息设置

AP安装位置信息开关，开启后可以配置AP的安装位置。仅支持AP V200R009C00及以后的版本。

AP安装位置信息

设置AP的安装位置信息。

LLDP

使能LLDP功能时，设备会通过LLDP报文向同样开启了LLDP功能的邻居设备发送自己的状态信息，并收集这些邻居设备的状态信息。当需要通过网管系统了解设备之间二层连接状态并进行网络拓扑分析时，需要开启该功能。缺省为“ON”。

频繁开启/关闭全局LLDP可能导致业务数据下发失败，相邻两次下发的时间间隔应大于10s。

自动识别AP功能，在交换机有线认证场景下，对于交换机连接的AP要配置免认证功能时，需要开启自动识别AP功能，并且在Tagged VLAN和Untagged VLAN中配置放通AP的管理VLAN和业务VLAN。其中Untagged VLAN只能配置单个VLAN，Tagged VLAN可以配置单个VLAN或者VLAN段。

HTTP服务

是否启用云化设备上的HTTP服务。缺省为“ON”（启用HTTP服务）。若关闭HTTP服务，则租户管理员可通过HTTPS协议登录云化设备的Web界面。若开启HTTP服务，则HTTP的地址会跳转到HTTPS地址登录云化设备的Web界面。

SSH客户端首次认证免公钥

是否使能SSH客户端首次认证功能。

IPV6

是否全局使能IPV6，全局使能以后，AP的SSID配置中需要同样使能才生效。

自协商管理VLAN

（仅FW和LSW）下行网元连到当前设备时，可以通过协商机制将管理VLAN切换为该VLAN，使其能从DHCP服务器获取IP地址，从而注册到iMaster NCE-Campus。

管理VLAN

（仅LSW和AP）为当前设备指定管理VLAN。LSW或AP会根据管理VLAN创建一个对应的VLANIF接口，此接口的IP地址将作为设备的管理IP，向控制器发起注册请求。

上行口自动放行

（仅LSW）开启该开关后，

• 如果当前设备的上行口为Trunk口，会自动将管理VLAN加为允许通过的VLAN。
• 如果当前设备的上行口为Access，会自动将管理VLAN作为缺省VLAN ID。

进入wlan视图

system-view

wlan

进入/删除指定的接口视图

system-view

interface interface-type interface-number

undo interface interface-type interface-number

创建/删除VLANIF接口

system-view

interface vlanif vlan-id

undo interface vlanif vlan-id

离线增加RU设备或进入AP视图

wlan

ap-id ap-id [ [ type-id type-id | ap-type ap-type ] { ap-mac ap-mac | ap-sn ap-sn | ap-mac ap-mac ap-sn ap-sn } ]

undo ap ap-id

离线增加RU设备或进入AP视图

wlan

ap-mac ap-mac [ type-idtype-id | ap-typeap-type ] [ ap-idap-id ] [ ap-snap-sn ]

配置/恢复单个RU的名称

AP-view

ap-name ap-name

undo ap-name

配置/恢复内存占用率监控告警阈值

system-view

set memory-usage threshold threshold-value

undo set memory-usage threshold

配置/恢复SSH服务器允许客户端通过合法的物理接口连接

system-view

ssh server permit interface { interface-type interface-number } &<1-5>

undo ssh server permit interface

配置/恢复ssh服务器的端口号

system-view

ssh server port port-number

undo ssh server port

配置/恢复ssh服务器密钥对的更新周期

system-view

ssh server rekey-interval hours

undo ssh server rekey-interval

配置/恢复连接ssh服务器的超时时间

system-view

ssh server timeout seconds

undo ssh server timeout

配置/关闭使能ssh服务器功能

system-view

stelnet server enable

undo stelnet server enable

配置使能/去使能ssh服务器的sftp功能

system-view

sftp server enable

undo sftp server enable

创建/删除防攻击策略

system-view

cpu-defend policy policy-name

undo cpu-defend policy policy-name

配置/恢复上送CPU报文的限制速率

attack defense policy view

packet-type packet-type rate-limit rate-value { wired | wireless }

undo packet-type packet-type rate-limit { wired | wireless }

配置/恢复VAP内所有STA或VAP内每个STA上下行报文的限制速率

traffic profile view

rate-limit { client | vap } { up | down } rate-value

undo rate-limit { client | vap } { up | down }

配置/恢复SSH、Telnet或FTP报文的动态链路保护功能的限制速率

attack defense policy view

application-apperceive packet-type { ssh | telnet | ftp } rate-limit rate-value

undo application-apperceive packet-type { ssh | telnet | ftp }

创建/删除QoS CAR模板

system-view

interface

qos car car-name cir cir-value [ cbs cbs-value [ pbs pbs-value ] | pir pir-value [ cbs cbs-value pbs pbs-value ] ]

undo qos carcar-name

创建/删除VAP模板

wlan

vap-profile name profile-name

undo vap-profile { name profile-name | all }

创建/删除SSID模板

wlan

ssid-profile name profile-name

undo ssid-profile { name profile-name | all }

创建/删除流量模板

wlan

traffic-profile name profile-name

undo traffic-profile { all | name profile-name }

创建/删除Hotspot2.0模板

wlan

hotspot2-profile name profile-name

undo hotspot2-profile { name profile-name | all }

创建/删除安全模板

wlan

security-profile profile-name

undo security-profile

创建/删除2G射频模板

wlan

radio-2g-profile name profile-name

undo radio-2g-profile { name profile-name | all }

创建/删除5G射频模板

wlan

radio-5g-profile name profile-name

undo radio-5g-profile { name profile-name | all }

创建/删除RRM模板

wlan

rrm-profile name profile-name

undo rrm-profile { name profile-name | all }

创建/删除空口扫描模板

wlan

air-scan-profile name profile-name

undo air-scan-profile { name profile-name | all }

创建/删除定位模板

wlan

location-profile name profile-name

undo location-profile { name profile-name | all }

创建/删除AP组

wlan

ap-group name group-name

undo ap-group { name group-name | all }

配置广播泛洪攻击检测

vap-profile

anti-attack broadcast-flood

undo anti-attack broadcast-flood

开启/关闭MU-MIMO优化功能

ssid-profile

mu-mimo

undo mu-mimo

使能/去使能IGMP Snooping功能

system-view

traffic-profile

igmp-snooping enable

undo igmp-snooping enable

配置/恢复AP CAPWAP隧道的最大传输单元

system-view

interface vlanif

mtu mtu

undo mtu

配置/恢复触发调优的底噪阈值

rrm-profile

calibrate noise-floor-threshold threshold

undo calibrate noise-floor-threshold

创建/删除射频调优策略

wlan

calibrate policy { rogue-ap | load | non-wifi | noise-floor }

undo calibrate policy { rogue-ap | load | non-wifi | noise-floor }

开启/关闭DHCP功能

system-view

dhcp enable

undo dhcp enable

配置/恢复DHCP Server发送Ping报文的最大数量

system-view

dhcp server ping packet number

undo dhcp server ping packet

配置/恢复DHCP Server发送Ping报文的最长等待响应时间

system-view

dhcp server ping timeout milliseconds

undo dhcp server ping timeout

使能/去使能DHCP Snooping功能

system-view

interface

dhcp snooping enable [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

undo dhcp snooping enable [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

指定/恢复GI模式为短间隔

radio-2g-profile

radio-5g-profile

guard-interval-mode { short | normal }

undo guard-interval-mode short

配置/恢复5G优先接入用户数起始门限

rrm-profile

band-steer balance start-threshold start-threshold

undo band-steer balance start-threshold

配置/恢复指定射频模板中的RTS-CTS门限

radio-2g-profile

radio-5g-profile

rts-cts-threshold rts-cts-threshold

undo rts-cts-threshold

使能基于终端信噪比的用户CAC（Calling Access Control）

rrm-profile

uac client-snr enable

undo uac client-snr enable

配置/恢复基于终端信噪比的用户CAC门限

rrm-profile

uac client-snr threshold threshold

undo uac client-snr threshold

使能基于信道利用率的用户CAC功能

rrm-profile

uac channel-utilization enable

undo uac channel-utilization enable

配置/恢复基于信道利用率的CAC门限

rrm-profile

uac channel-utilization threshold access access-threshold [ roam roam-threshold ]

undo uac channel-utilization threshold

配置/删除TCP连接的MSS（maximum segment size）最大值

system-view

tcp max-mss mss-value

undo tcp max-mss

配置/取消向日志主机输出信息

system-view

info-center loghost domain domain-name [ channel { channel-number | channel-name } | facility local-number | language language-name | portport| transport { udp | tcpssl-policy policy-name } ] ^*

undo info-center loghost domain domain-name

配置/恢复输出的Log信息的时间戳格式

system-view

info-center timestamp log { { date | short-date | format-date } [ precision-time { tenth-second | millisecond } ] | boot | none }

undo info-center timestamp log

配置安全模板

wlan

vap-profile

security-profile

undo security-profile

关闭/开启智能漫游功能

radio-2g-profile

radio-5g-profile

smart-roam disable

undo smart-roam disable

使能/去使能设备的HTTPS服务器功能

system-view

http secure-server enable

undo http secure-server enable

使能/去使能HTTP服务功能

system-view

http server enable

undo http server enable

恢复基于用户数的用户CAC门限为缺省值

rrm-profile

undo uac client-number threshold

去使能基于用户数的用户CAC功能

rrm-profile

undo uac client-number enable

创建/删除IoT模板

wlan

iot-profile name profile-name

undo iot-profile { name profile-name | all }

配置上位机/删除上位机配置

iot-profile

management-server server-ip server-ip server-port server-port-num

undo management-server server-ip server-ip server-port server-port-num

进入物联网插卡接口视图

wlan

ap-group

card card-number

引用IoT模板

card

iot-profile profile-name config-agent udp port udp-port

配置射频模板中的射频类型

radio-2g-profile

radio-5g-profile

radio-type { dot11b | dot11g | dot11n | dot11ax }

undo radio-type

radio-type { dot11a | dot11n | dot11ac | dot11ax }

使能用户关联成功前设备代理用户发送ARP/ND报文的功能。

wlan

sta arp-nd-proxy before-assoc

undo sta arp-nd-proxy before-assoc

使能根据DHCP选项字段感知终端类型功能

system-view

device-sensor dhcp option

undo device-sensor dhcp option

使能UA（User Agent）功能

system-view

http parse user-agent enable

undo http parse user-agent enabled

设置内存占用率监控告警阈值

system-view

set memory-usage threshold threshold-value

undo set memory-usage threshold

设置/恢复CPU占用率监控告警过载阈值和监控告警恢复阈值

system-view

set cpu-usage threshold threshold-value [ restore restore-threshold-value ]

undo set cpu-usage threshold

配置/恢复AP的低温告警阈值

wlan

low-temperature threshold threshold

undo low-temperature threshold

配置/恢复AP的高温告警阈值

wlan

high-temperature threshold threshold

undo high-temperature threshold

配置RU的低温告警阈值

AP system profile view

low-temperature threshold threshold

undo low-temperature threshold

配置RU的高温告警阈值

AP system profile view

high-temperature threshold threshold

undo high-temperature threshold

配置设备与Portal服务器通信的源IP地址

system-view

web-auth-server server-name

source-ip ip-address

undo web-auth-server server-name

undo source-ip

配置离线自愈功能

system-view

offline self-healing-reset disable

undo offline self-healing-reset disable

配置关闭或者定时关闭/恢复AP的指示灯

system-view

led off [ time-range time-range-name ]

undo led off

配置/删除一个时间段

system-view

time-range time-name { start-time to end-time { days } &<1-7> | from time1 date1 [ to time2 date2 ] }

undo time-range time-name [ start-time to end-time { days } &<1-7> | from time1 date1 [ to time2 date2 ] ]

创建/删除AP系统模板

wlan

ap-system-profile name profile-name

undo ap-system-profile

配置/恢复Mesh模板的网络标识

mesh-profile

mesh-id name

undo mesh-id

创建/删除Mesh模板

wlan

mesh-profile name profile-name

undo mesh-profile { all | name profile-name }

Mesh白名单模板中添加/删除允许接入的邻居AP的物理MAC地址

mesh-whitelist-profile

peer-ap mac mac-address

undo peer-ap mac mac-address

创建/删除Mesh白名单模板

wlan

mesh-whitelist-profile name whitelist-name

undo mesh-whitelist-profile { all | name whitelist-name }

删除所有流表信息

system-view

reset session all

创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。

system-view

vlan vlan-id

vlan batch { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo vlan vlan-id

undo vlan batch { vlan-id1 [ to vlan-id2 ] } &<1-10>

配置接口的缺省VLAN并加入该VLAN

vlan

port interface-type { interface-number1 [ to interface-number2 ] }&<1-10>

undo port interface-type { interface-number1 [ to interface-number2 ] }&<1-10>

使能端口桥功能，即接口支持同源同宿报文的转发

GE interface

Eth-Trunk interface

XGE interface

MultiGE interface

port bridge enable

undo port bridge enable

配置接口的默认VLAN并同时加入这个VLAN

GE interface

Eth-Trunk interface

XGE interface

MultiGE interface

port default vlanvlan-id

undo port default vlan

设置Hybrid类型接口的缺省VLAN ID

GE interface

Eth-Trunk interface

XGE interface

MultiGE interface

port hybrid pvid vlanvlan-id

undo port hybrid pvid vlan

配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Tagged方式通过接口

GE interface

Eth-Trunk interface

XGE interface

MultiGE interface

port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] }&<1-10> | all }

undo port hybrid vlan { { vlan-id1 [ to vlan-id2 ] }&<1-10> | all }

配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Untagged方式通过接口

GE interface

Eth-Trunk interface

XGE interface

MultiGE interface

port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] }&<1-10> | all }

undo port hybrid vlan { { vlan-id1 [ to vlan-id2 ] }&<1-10> | all }

配置接口的链路类型

GE interface

Eth-Trunk interface

XGE interface

MultiGE interface

port link-type { access | hybrid | trunk }

undo port link-type

配置Trunk类型接口加入的VLAN

GE interface

Eth-Trunk interface

XGE interface

MultiGE interface

port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] }&<1-10> | all }

undo port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] }&<1-10> | all }

设置Trunk类型接口的缺省VLAN

GE interface

Eth-Trunk interface

XGE interface

MultiGE interface

port trunk pvid vlanvlan-id

undo port trunk pvid vlan

配置/恢复室外AP的信道模式为室内模式

wlan

channel-load-mode indoor

undo channel-load-mode indoor

配置/删除接口的IP地址

VLANIF interface view

loopback interface view

ip address ip-address { mask | mask-length }

undo ip address ip-address { mask | mask-length }

开启/关闭接口采用接口地址池的DHCP Server功能

VLANIF interface view

dhcp select interface

undo dhcp select interface

配置/删除单播静态路由

system-view

ip route-static ip-address { mask | mask-length } { nexthop-address | interface-type interface-number [ nexthop-address ] } [ preference preference | tag tag ] ^* [ permanent | inherit-cost ] [ description text ]

undo ip route-static ip-address { mask | mask-length } [ nexthop-address | interface-type interface-number [ nexthop-address ] ] [ preference preference | tag tag ] ^* [ permanent ]

undo ip route-static all

关闭/开启未知单播智能流量控制功能

system-view

unicast-suppression auto-detect disable

undo unicast-suppression auto-detect disable

配置/删除Sub-VLAN的IP地址池

vlan

ip pool start-address [ to end-address ]

undo ip pool

创建/删除RADIUS服务器模板

system-view

radius-server template template-name

undo radius-server template template-name

更改/恢复RADIUS属性的属性值

RADIUS server template view

radius-attribute set service-type attribute-value [ auth-type mac | user-type ipsession ]

undo radius-attribute set service-type

配置/删除DNS Server地址

IP address pool view

DHCP Option template view

dns-list { ip-address &<1-8> | unnumbered interface interface-type interface-number }

undo dns-list { ip-address | unnumbered interface | all }

开启/关闭DNS Proxy功能

system-view

dns proxy enable

undo dns proxy enable

开启/关闭动态域名解析功能

system-view

dns resolve

undo dns resolve

开启/关闭USB以太网口模式

system-view

usb enable [ 5w ]

undo usb enable

card connect-type { ethernet | serial }

undo card connect-type

iot-card reboot ap ap-id ap-id card { card-id | usb }

进入/删除指定的接口

system-view

interface interface-type interface-number

undo interface interface-type interface-number

创建/删除VLAN视图

system-view

vlan vlan-id

undo vlan vlan-id

支持在设备上获取符合规则的报文

system-view

capture-packet { interface interface-type interface-number | acl acl-number } * [ vlan vlan-id | cvlan cvlan-id ] * destination terminal [ car cir car-value | time-out time-out-value | packet-num number | packet-len length ] *

capture-packet cpu [ vlan vlan-id | acl acl-number ] * destination terminal [ time-out time-out-value | packet-num number | packet-len length ] *

配置设备的传统本地管理参数（SSH、HTTP、HTTPS）

system-view

ssh [ ipv4 | ipv6 ] server port port-number

undo ssh [ ipv4 | ipv6 ]server port

ssh server rekey-interval hours

undo ssh server rekey-interval

ssh server timeout seconds

undo ssh server timeout

stelnet [ ipv4 | ipv6 ] server enable

undo stelnet [ ipv4 | ipv6 ] server enable

sftp server enable

undo sftp server enable

ssh server-source -i loopback interface-number

undo ssh server-source

http ipv6 server enable

undo http ipv6 server enable

http [ ipv6 ] server port port-number

undo http [ ipv6 ] server port

http timeout

undo http timeout

http [ ipv6 ] secure-server port port-number

undo http [ ipv6 ] secure-server port

http [ ipv6 ] secure-server enable

undo http [ ipv6 ] secure-server enable

http server-source -i loopback interface-number

undo http server-source

限定允许登录的管理员的IP地址。

system-view

ssh [ ipv6 ] server acl acl-number

undo ssh [ ipv6 ] server acl

telnet [ ipv6 ] server acl acl-number

undo telnet [ ipv6 ] server acl

http[ ipv6 ] acl

undo http[ ipv6 ] acl

支持管理广播风暴抑制

vlan

broadcast-suppression threshold-value

undo broadcast-suppression

interface

broadcast-suppression { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

undo broadcast-suppression

multicast-suppression { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

undo multicast-suppression

unicast-suppression { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

undo unicast-suppression

支持链路聚合

interface

lacp preempt enable

undo lacp preempt enable

lacp timeout

undo lacp timeout

lacp force-forward

undo lacp force-forward

system-view

lacp priority

undo lacp priority

支持DLDP

system-view

dldp enable

undo dldp enable

dldp interval interval

undo dldp interval

dldp authentication-mode { md5 md5-password | simple simple-password | sha sha-password | none }

undo dldp authentication-mode [ md5 md5-password | simple simple-password | sha sha-password | none ]

dldp delaydown-timer time

undo dldp delaydown-timer [ time ]

支持管理端口镜像

interface

port-mirroring to observe-port observe-port-index { both | inbound | outbound }

undo port-mirroring [ to observe-port observe-port-index ] { both | inbound | outbound }

system-view

observe-port [ observe-port-index ] interface interface-type interface-number [ untag-packet ]

undo observe-port observe-port-index

支持管理交换机的IGMP snooping

system-view

igmp-snooping enable

VLAN

l2-multicast forwarding-mode

undo l2-multicast forwarding-mode

l2-multicast router-port-discard

undo l2-multicast router-port-discard

igmp-snooping enable

undo igmp-snooping enable

igmp-snooping version version

undo igmp-snooping version

支持DHCP Snooping

system-view

VLAN

interface

dhcp snooping check dhcp-request enable

undo dhcp snooping check dhcp-request enable

dhcp snooping check dhcp-rate enable [ rate ]

undo dhcp snooping check dhcp-rate enable

支持ND Snooping

VLAN

interface

nd snooping enable dhcpv6 only

undo nd snooping enable

nd snooping trusted interface interface-type interface-number

undo nd snooping trusted interface interface-type interface-number

nd snooping trusted dhcpv6 only

支持MLD Snooping

system-view

VLAN

mld-snooping enable [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

undo mld-snooping enable [ vlan { all | { vlan-id1 [ to vlan-id2 ] } &<1-10> } ]

mld-snooping enable

undo mld-snooping enable

支持IPv6 Management（仅在VLANIF下配置了IPv6的地址，不要求iMaster NCE-Campus通过IPV6的地址来管理设备）

interface

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }

undo ipv6 address [ ipv6-address prefix-length | ipv6-address/prefix-length ]

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } anycast

ipv6 address auto global [ default ]

ipv6 address auto link-local

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } eui-64

ipv6 address ipv6-address link-local

undo ipv6 address dhcpv6-prefix

ipv6 enable

undo ipv6 enable

Portsecurity

interface

port-security enable

undo port-security enable

port-security mac-address sticky [ mac-address vlan vlan-id ]

undo port-security mac-address sticky [ mac-address vlan vlan-id ]

port-security max-mac-num max-number

undo port-security max-mac-num

port-security aging-time

undo port-security aging-time

port-security protect-action

undo port-security protect-action

支持QOS相关命令

system-view

traffic classifier classifier-name [ operator { and | or } ]

undo traffic classifier classifier-name

traffic policy policy-name [ match-order { auto | config } ] [ atomic ]

undo traffic policy policy-name

drop-profile drop-profile-name

qos queue queue-index wred drop-profile-name

qos-profile name profile-name

undo qos-profile { all | name profile-name }

traffic behavior behavior-name

undo traffic behavior behavior-name

interface

traffic-policy policy-name { inbound | outbound }

undo traffic-policy [ policy-name ] { inbound | outbound }

trust { 8021p | dscp }

trust { 8021p { inner | outer } | dscp }

qos queue queue-index wred drop-profile-name

qos { pq | wrr | drr }

undo qos { pq | wrr | drr }

qos queue queue-index drr weight weight

undo qos queue queue-index drr

qos queue queue-index wrr weight weight

undo qos queue queue-index wrr

qos lr inbound cir cir-value [ cbs cbs-value ]

qos lr outbound cir cir-value [ cbs cbs-value ]

qos queue queue-index shaping cir cir-value pir pir-value [ cbs cbs-value pbs pbs-value ]

traffic classifier

if-match [ ipv6 ] acl { acl-number | acl-name }

undo if-match [ ipv6 ] acl { acl-number | acl-name }

if-match vlan-id start-vlan-id [ to end-vlan-id ] [ cvlan-id cvlan-id ]

undo if-match vlan-id start-vlan-id [ to end-vlan-id ] [ cvlan-id cvlan-id ]

traffic behavior

car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] [ share ] [ green { discard | pass [ remark-dscp dscp-value | remark-8021p 8021p-value ] } ] [ yellow { discard | pass [ remark-dscp dscp-value | remark-8021p 8021p-value ] } ] [ red { discard | pass [ remark-dscp dscp-value | remark-8021p 8021p-value ] } ]

undo car

statistic enable

undo statistic enable

remark dscp { dscp-name | dscp-value }

undo remark dscp

traffic policy

classifier classifier-name behavior behavior-name

undo classifier classifier-name

drop profile

color { green | non-tcp | red | yellow } low-limit low-limit-percentage high-limit high-limit-percentage discard-percentage discard-percentage

undo color { green | non-tcp | red | yellow }

ACL命令

system-view

acl [ number ] acl-number [ match-order { auto | config } ]

undo acl { [ number ] acl-number | all }

advanced ACL

basic ACL

user ACL

user-defined ACL

layer 2 ACL

rule [ rule-id ] { deny | permit } { protocol-number | icmp } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | icmp-type { icmp-name | icmp-type [ icmp-code ] } | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

undo rule { deny | permit } { protocol-number | icmp } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | icmp-type { icmp-name | icmp-type [ icmp-code ] } | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

undo rule { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

rule [ rule-id ] { deny | permit } { protocol-num ber | udp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

undo rule { deny | permit } { protocol-number | udp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

rule [ rule-id ] { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

undo rule { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

undo rule rule-id [ destination | destination-port | { { precedence | tos } * | dscp } | { fragment | first-fragment } | logging | icmp-type | source | source-port | tcp-flag | time-range | ttl-expired | vpn-instance ] *

配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址

system-view

access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address

undo access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address

配置用户下线探测报文的默认源IP地址

system-view

access-user arp-detect default ip-address ip-address

undo access-user arp-detect default ip-address ip-address

配置流量抑制模式

system-view

suppression mode { by-packets | by-bits }

undo suppression mode

配置DLDP的工作模式

system-view

dldp work-mode { enhance | normal }

undo dldp work-mode [ enhance | normal ]

支持MUX VLAN

VLAN

mux-vlan

undo mux-vlan

subordinate group { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo subordinate group { vlan-id1 [ to vlan-id2 ] } &<1-10>

subordinate separate vlan-id

undo subordinate separate

interface

port mux-vlan enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo port mux-vlan enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo port mux-vlan enable

配置TCP连接的MSS（maximum segment size）最大值

system-view

tcp max-mss mss-value

undo tcp max-mss

优先级映射配置命令

interface

trust { 8021p { inner | outer } | dscp }

undo trust

拥塞避免和拥塞管理命令

system-view

drop-profile drop-profile-name

undo drop-profile drop-profile-name

创建用户组或直接进入user-group视图

system-view

user-group group-name

undo user-group group-name

IPv6基础配置命令

interface

ipv6

ipv6 address

undo ipv6 address

ipv6 enable

undo ipv6 enable

DHCP Snooping配置命令

system-view

undo dhcp enable

undo dhcp snooping enable

undo dhcp snooping trusted

支持配置DHCP

system-view

ip pool ip-pool-name

undo ip pool ip-pool-name

snmp-agent trap enable feature-name dhcp

undo snmp-agent trap source

ip pool

gateway-list ip-address &<1-8>

undo gateway-list { ip-address | all }

network ip-address [ mask { mask | mask-length } ]

undo network ip-address [ mask { mask | mask-length } ]

excluded-ip-address start-ip-address [ end-ip-address ]

undo excluded-ip-address start-ip-address [ end-ip-address ]

domain-namedomain-name

undo domain-name

interface

dhcp select global

undo dhcp select global

配置/删除DNS Server地址

ip pool

dns-list { ip-address &<1-8> | unnumbered interface interface-type interface-number }

undo dns-list { ip-address | unnumbered interface | all }

开启/关闭动态域名解析功能

system-view

dns resolve

undo dns resolve

开启/关闭DNS Proxy功能

system-view

dns proxy enable

undo dns proxy enable

配置DNS

system-view

dns domain domain-name [ vpn-instance vpn-instance-name ]

undo dns domain domain-name [ vpn-instance vpn-instance-name ]

dns server ip-address [ vpn-instance vpn-instance-name ]

undo dns server ip-address [ vpn-instance vpn-instance-name ]

配置交换机根桥

system-view

stp vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> root primary

undo stp vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> root

stp [ instance instance-id ] root primary

undo stp [ instance instance-id ] root

配置使能集群功能

system-view

cluster enable

undo cluster enable

堆叠配置命令

system-view

stack timer mac-address switch-delay delay-time

undo stack timer mac-address switch-delay

stack reserved-vlan

mad restore

mad exclude interface

undo mad exclude interface

将以太网接口从二层模式切换到三层模式

interface

undo portswitch

配置接口的多主检测功能

system-view

mad detect [mode direct | mode relay]

undo mad detect [mode direct | mode relay]

把交换机接口的供电标准由802.3at修改成802.3af

interface

poe af-inrush enable

undo poe af-inrush enable

设置内存占用率阈值

system-view

set memory-usage threshold threshold-value [ slot slot-id ]

undo set memory-usage threshold [ threshold-value ] [ slot slot-id ]

设置设备CPU占用率的告警过载阈值和告警恢复阈值

system-view

盒式交换机：

cpu-usage threshold threshold-value [ restore restore-threshold-value ] [ slot slot-id ]

undo cpu-usage threshold [ threshold-value [ restore [ restore-threshold-value ] ] ] [ slot slot-id ]

设置CPU占用率监控告警过载阈值和监控告警恢复阈值

system-view

框式交换机：

set cpu-usage threshold threshold-value [ restore restore-threshold-value ] [ slot slot-id ]

undo set cpu-usage threshold [ threshold-value [ restore [ restore-threshold-value ] ] ] [ slot slot-id ]

设置设备的告警温度阈值

system-view

盒式交换机：

temperature threshold slot { slot-id | all } lower-limit min-temperature upper-limit max-temperature

undo temperature threshold slot { slot-id | all }

设置设备的告警温度阈值

system-view

框式交换机：

temperature threshold slot STRING<1-10> sensor INTEGER<0-127> upper-limit INTEGER<0-93>

在全局或VLAN上配置基于ACL的报文过滤

system-view

traffic-filter [ vlan vlan-id ] inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name } | l2-acl | user-acl } [ rule rule-id ]

undo traffic-filter [ vlan vlan-id ] inboundacl { [ ipv6 ] { bas-acl | adv-acl | nameacl-name } | l2-acl | user-acl } [ rule rule-id ]

配置指定MAC地址为BPDU MAC

system-view

bpdu mac-address

undo bpdu mac-address

根据流分类对业务报文进行访问控制

traffic behavior

permit

undo permit

配置接口发布MED TL/配置接口禁止发布MED TLV

interface

lldp tlv-enable med-tlv { all | capability | inventory | location-id { civic-address device-type country-code { ca-type ca-value } &<1-10> | elin-address Tel-Number } | network-policy [ voice-vlan { vlan vlan-id [ cos cvalue | dscp dvalue ]^* | 8021p [ cos cvalue | dscp dvalue ]^* | untagged } ] | power-over-ethernet }

undo lldp tlv-enable med-tlv { all | capability | inventory | location-id [ civic-address | elin-address ] | network-policy [ voice-vlan { vlan | cos | dscp | 8021p | untagged } ] | power-over-ethernet }

去使能处于Error-Down状态的接口状态自动恢复为Up的功能

system-view

undo error-down auto-recovery cause { auto-defend | bpdu-protection | efm-remote-failure | efm-threshold-event | error-statistics | link-flap | mac-address-flapping | port-security | transceiver-power-low | storm-control | data-integrity-error }

OSPF配置命令

system-view

ospf [ process-id | router-id router-id | vpn-instance vpn-instance-name ] ^*

undo ospf process-id [ flush-waiting-timer time ]

preference [ ase ] { preference | route-policy route-policy-name } ^*

undo preference [ ase ]

silent-interface { all | interface-type interface-number }

undo silent-interface { all | interface-type [ interface-number ] }

bandwidth-reference value

undo bandwidth-reference

area area-id

undo area area-id

abr-summary ip-address mask [ cost { cost | inherit-minimum } | [ advertise [ generate-null0-route ] | not-advertise | generate-null0-route [ advertise ] ] ] ^*

undo abr-summary ip-address mask

network network-address wildcard-mask [ description text ]

undo network network-address wildcard-mask

stub [ no-summary | default-route-advertise backbone-peer-ignore ] ^*

undo stub

开启/关闭NAC重认证

system-view

mac-authen reauthenticate mac-address mac-address

mac-access-profile name access-profile-name

undo mac-access-profile name access-profile-name

mac-authen reauthenticate

undo mac-authen reauthenticate

mac-authen timer reauthenticate-period reauthenticate-period-value

undo mac-authen timer reauthenticate-period

authentication-profilename authentication-profile-name

mac-access-profile access-profile-name

undo mac-access-profile

创建/删除接口

system-view

interface interface-type interface-number

undo interface interface-type interface-number

新建/删除普通接口组

system-view

interface-group [ interface-group-id ] name interface-group-name

undo interface-group { interface-group-id | name interface-group-name }

配置设备的传统本地管理参数（SSH、Telnet）

system-view

ssh user user-name

undo ssh user user-name

ssh user user-name authentication-type password

undo ssh user user-name authentication-type

ssh user user-name service-type stelnet

undo ssh user user-name service-type

telnet server enable

undo telnet server enable

配置策略路由

policy-based-route

rule copy rule-name new-rule-name

rule move rule-name1 { { after | before } rule-name2 | up | down | top | bottom }

rule name rule-name

undo rule { name rule-name | id rule-id | all }

rule rename old-name new-name

配置访问控制列表

system-view

acl [ number ] acl-number [ vpn-instance vpn-instance-name ]

undo acl { all | [ number ] acl-number }

配置设备的传统本地管理参数（HTTP、HTTPS）

system-view

web-manager enable [ port port-number ]

web-manager security enable [ port port-number ]

undo web-manager enable [ port port-number ]

undo web-manager security enable [ port port-number ]

配置PPPoE

interface

dialer enable-circular

undo dialer enable-circular

dialer number dial-number [ autodial ]

undo dialer number dial-number

system-view

dialer-rule

undo dialer-rule

interface

dialer-group group-number

undo dialer-group

dialer timer idle seconds

undo dialer timer idle

restart

支持3G/4G上网卡

system-view

apn profile profile-name

undo apn profile profile-name

interface cellular interface-number

ip address negotiate

undo ip address negotiate

interface cellular

apn-profile

undo apn-profile

支持多出口链路的负载分担，即支持智能出口选路。

system-view

multi-interface

multi-interface

add interface { interface-name | interface-type interface-num } [ { { weight weight-value } | { priority priority-value } }* ]

add interface-group { group-name | isp isp-name} [ { { weight weight-value } | { priority priority-value } }* ]

mode { proportion-of-bandwidth | proportion-of-weight | priority-of-userdefine }

undo mode

priority-of-link-quality protocol { icmp | tcp-simple }

undo priority-of-link-quality protocol

priority-of-link-quality parameter { delay | jitter | loss }*

undo priority-of-link-quality parameter

priority-of-link-quality {interval INTEGER<1-10> | times INTEGER<2-10>}*

undo priority-of-link-quality {interval | times}*

priority-of-link-quality mask INTEGER<1-32>

undo priority-of-link-quality mask

load-balance flow hash { destination-ip | destination-port | source-ip | source-port }*

multi-interface priority-of-link-quality parameter { delay accuracy delay-accuracy | jitter accuracy jitter-accuracy }

undo multi-interface priority-of-link-quality parameter { delay accuracy | jitter accuracy }

standby-interface status down

undo standby-interface status

session persistence enable

undo session persistence enable

session persistence source-ip mask <src-mask-value>

session persistence destination-ip mask <dst-mask-value>

undo session persistence { source-ip | destination-ip }* mask

session persistence table aging-time <aging-time-value>

undo session persistence table aging-time

session persistence mode { source-ip | destination-ip }*

undo session persistence mode

diagnose

reset session persistence table

rule

action pbr egress-interface multi-interface

undo action pbr egress-interface multi-interface

设置向FTPS服务器上传日志文件时不需要校验服务器证书

system-view

gawa-log non-certificate

undo gawa-log non-certificate

配置TCP连接的MSS（maximum segment size）最大值

system-view

tcp max-mss mss-value

undo tcp max-mss

进入诊断视图

system-view

diagnose

ISP选路配置命令

interface-group

add interface

undo add interface

multi-interface

add interface-group

undo add interface-group

配置FW所在的国家或地区信息

system-view

country country-code

undo country

进入IPSec智能选路视图

system-view

ipsec smart-link profile profile-name

undo ipsec smart-link profile profile-name

添加IPSec智能选路链路

system-view

link link-id interface interface-type interface-number [ local local-address ] [ nexthop nexthop-address ] remote remote-address

undo link link-id

IPSec智能选路链路切换

system-view

auto-switch preempt enable

undo auto-switch preempt enable

基本配置

SSID名称

终端接入网络时的无线信号名称。

工作状态

缺省为ON。如果设置为OFF，则该SSID不可用。

定时开启

从下拉列表中选取时间策略，使AP在指定时间段以外的时间自动关闭该SSID，以达到提升网络安全性和节能的目的。

如果系统预置的时间策略不能满足灵活的使用需求，可以单击，在弹出窗口中创建自定义时间模板。

生效射频

缺省三射频，建议使用缺省值。

AP标签

通过标签指定在哪些AP上配置该SSID。如果置空，则说明在当前站点中的所有AP上都配置该SSID。否则需要按界面提示为AP增加标签。

网络连接方式

• 如果无线终端接入AP时AP仅用于二层转发，请选择“二层转发”。
• 如果无线终端接入AP时以AP作为DHCP Server，请选择“NAT”。

VLAN

（仅“二层转发”方式）通过标签为关联到该SSID的无线终端分别指定在不同AP上所属的VLAN ID。

高级配置

隐藏SSID

缺省关闭。隐藏SSID后该SSID不可见。

MDNS Snooping

缺省关闭。打开后无线终端发送mDNS报文时，接入设备可以通过解析报文里的service信息进行终端识别。

断链关断

缺省关闭。打开后，当AP上行链路断开时会自动关闭SSID，保证设备自动连接其他AP。

频谱导航（5G优先）

缺省打开。打开后AP可以控制移动终端优先接入5G频谱，减少2.4G频谱上的负载和干扰，提升用户体验。

2.4G射频Beacon帧发送速率(Mbps)

2.4GHz、5GHz射频类型Beacon帧的发送速率。仅V200R008C10及以上版本的AP设备支持这些参数。单位：Mbps。

5G射频Beacon帧发送速率(Mbps)

禁止传统终端接入

缺省关闭。打开后将禁止802.11a、802.11b和802.11g类型协议的传统终端接入。

最大用户数

允许同时连接该SSID的最大用户数。

接入阈值策略

• 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。
• 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。
• VIP用户优先接入：射频接入的终端达到阈值后，VIP用户优先接入，替换掉普通用户。需要到“准入 > 准入策略 > 认证授权策略”页面授权VIP用户。

用户隔离

缺省打开。打开后，同一个AP同一SSID内用户相互隔离。

隔离方式

• 全部隔离
• 二层用户隔离

IGMP-Snooping

缺省关闭。开启IGMP Snooping二层组播功能，实现组播数据在数据链路层的转发和控制。

禁止广播或组播

缺省关闭。打开后，将禁止无线局域网网络共享、发现广播或组播的功能。另外，打开后，"bonjour透传"参数可配置。

组播转单播

缺省关闭。开启组播转单播功能后，AP通过侦听用户上报的组播报告报文和离开报文来维护组播转单播表项。当AP向客户端发送组播报文时，根据组播转单播表项，将组播数据报文转换为单播数据报文，从而提高组播数据流传输效率。

另外，开启组播转单播自适应功能后，当组播转单播出现空口性能瓶颈时，AP自动将终端数最少的组播组切换为组播模式，当空口性能改善持续一段时间后，AP自动将终端数最多的组播组切换为单播模式，从而保证在不需要人工干预的情况下，自动调整空口性能，提升整体无线用户体验。

bonjour透传

缺省关闭。Bonjour技术是由苹果公司提出的零配置网络技术解决方案，是一种应用在二层广播域的技术，实现二层广播域内网络设备自动获取地址和发现服务。

U-APSD

缺省关闭。U-APSD是WMM定义的一种新的节能处理方式，能进一步提升终端的节能能力。但由于部分终端对U-APSD功能的支持存在问题，这种情况下需要关闭U-APSD功能。

Wi-Fi多媒体标准场景

根据网络实际情况和需要，配置WMM（Wi-Fi Multimedia，Wi-Fi多媒体标准）参数，使高优先级的数据报文优先占用无线信道，达到调整视频、语音等类型的流量的转发优先级的目的。为了使WMM生效，必须在射频参数中开启WMM开关。

• 默认：无优先级
• 语音：以语音流量优先
• 语音与视频：以语音及视频流量优先
• 自定义

终端MAC过滤

缺省关闭。打开此开关后，系统将按照黑名单或白名单的方式对接入到网络的设备MAC进行过滤。

• 黑名单：禁止列表中的设备接入到网络。此时系统按MAC地址完全匹配。
• 白名单：只有列表中的设备才能接入到网络。此时系统支持按MAC地址完全匹配，也可以按OUI匹配。其中，OUI为设备MAC的前一半。

音频质量分析

缺省关闭。打开此开关、并配置了“SIP协议端口”，系统将使能SIP协议，从而设备可以抓取SIP协议报文，并分析出协议所承载的业务类型，如语音业务。

当iMaster NCE-Campus允许设备上报性能数据信息给分析器时，分析器就可以获得语音业务的性能数据，并进行音频通话的质量分析。

802.11r快速漫游

是否使能802.11r快速漫游功能。

• 自适应
• 使能
• 未使能
  说明：

  802.11r功能支持的安全策略包括开放式系统认证、WPA2+PSK+AES、WPA2+PPSK+AES和WPA2+802.1X+AES。

802.11r over the ds

802.11r快速漫游的协议。

• 当打开此开关，表示使用802.11r over the ds协议快速漫游。
• 当关闭此开关，表示使用802.11r over the air协议快速漫游。

重关联超时时间

配置重关联超时时间，超时时间缺省值为1秒。

端管协同漫游

是否使能端管协同漫游，默认状态是关闭。

业务保障功能模式

可以选择：

• 性能优先
• 可靠性优先

手游加速

是否使能手游加速功能，默认状态是打开。现在支持的手游应用：绝地求生（刺激战场、全军出击）、穿越火线、荒野行动、王者荣耀、DNF、梦幻西游、英雄联盟、堡垒之夜、第五人格。游戏加速特性能够在识别出游戏后进行上下行加速。

抑制终端省电

使能抑制终端省电功能。使能抑制终端进入省电状态的功能后，会使终端耗电加快，还要占用额外的带宽，如果没有终端省电状态异常的情况，建议去使能抑制终端进入省电状态的功能。默认关闭状态。

MU-MIMO优化

使能MU-MIMO优化功能。当用户对AP下行业务吞吐量有较高要求，并且环境干扰性小的时候，可以使能MU-MIMO优化功能。默认开启状态。

终端老化时间（分）

强制低信号用户下线时间。为了防止大量低信号用户关联网络导致的网络整体用户体验下降，可以降低终端老化时间。

SSID流量限速

限制整个SSID的上下行带宽。

终端流量静态限速

限制单个终端的静态速度，可以分别对上下行带宽限速。

静态限速的优先级高于动态限速。

终端流量动态限速

限制单个终端的动态速度，可以分别对上下行带宽限速。如果某个方向的静态限速打开，则对应方向的动态限速就不生效。

高级配置

IPV6

是否针对此SSID使能IPV6。

ACL

为SSID配置基于ACL的报文过滤功能，允许或禁止符合条件的数据报文通过。可以从下拉列表中选取已有的ACL模板。

应用流量统计

开启后，AP通过对用户发送报文的解析，统计网络中各个用户的应用对网络的使用情况。

应用过滤列表

针对特定应用的网络报文，设置阻断、Car限速、DSCP标记等策略。

AP特征库中的应用程序的具体支持情况，请访问https://support.huawei.com/enterprise/zh/doc/DOC1000183794。

URL过滤

缺省关闭。打开此开关后，通过配置URL过滤策略，可以限制无线网络接入终端所能访问的网络资源。

• 黑名单过滤模式：禁止访问URL过滤列表中的网站。
• 白名单过滤模式：只允许访问URL过滤列表中的网站。

IPSEC ACL

利用ACL设置IPSec策略，对符合条件的数据报文实现按优先级处理。

区域

租户网络所在区域。按AP实际部署地区选择“区域”以后，AP会根据当地法律法规重置射频的工作信道和功率，并相应调整允许配置的信道范围和功率大小。

定时开启

从下拉列表中选取时间策略，使AP在指定时间段以外的时间自动关闭射频功能，以达到提升网络安全性和节能的目的。

如果系统预置的时间策略不能满足灵活的使用需求，可以单击，在弹出窗口中创建自定义时间模板。

调优模式

射频调优的模式。推荐使用定时调优，并将调优时间设定为业务空闲的时段（如当地时间00:00～06:00）。

• 自动调优：AP根据调优间隔（缺省起始时刻03:00:00，间隔1440min）进行周期性的全局调优。
• 定时调优：AP在每天的指定时刻自动开始调优。
• 手动调优：AP不主动进行调优。

射频调优策略

射频调优策略仅在自动调优方式下生效：

• 入侵模式：所在网络中存在非法AP（即此AP不受本WAC控制）时，设备会立即规避该非法AP的干扰。该策略可能会导致信道切换频繁，建议在技术支持人员指导下使用。
• 底噪调优：当所在网络中由于特殊的外部干扰造成AP的底噪过高，导致业务体验恶化时，设备会规避干扰。当AP连续三次检测到当前信道底噪超过底噪阈值门限时，AP就会通过射频调优调离此信道，并在30分钟内不会调回此信道。
• 非Wi-Fi：所在网络中出现非Wi-Fi干扰时，设备会立即规避干扰。

AI调优

该开关默认开启，在系统对接了CampusInsight时生效。未对接CampusInsight时，设备会自动使用原方式调优。AI调优功能生效后，设备会根据设备7天内的历史数据，通过AI算法进行自动调优。设备周边的干扰源在白天和黑夜有变化的场景下，本功能有较好的调优效果。

射频模式

选择AP的射频模式。

2.4GHz

DCA信道集

为AP在2.4GHz频段上的无线信号传输选择调优信道集。为了尽可能地减少邻近AP之间的同频或邻频干扰，系统将根据AP间邻居关系紧密程度从信道集中挑选信道进行调优，按动态信道调整算法（Dynamic Channel Allocation，简称为DCA）分别为每个AP分配信道。

• 1,6,11
• 1,5,9,13

GI模式

配置GI（Guard Interval）模式。仅V200R009C00及以上版本的AP设备支持该功能。

• Default：使用设备缺省值。

• short：短GI，即400ns。
• normal：普通GI，即800ns。

TPC上限

用于限定射频调优完成后发射功率范围，单位为dBm。缺省为9dBm～127dBm。

如果下限过低，可能导致射频调优后的功率过小、无法满足射频覆盖需要；如果上限过高，可能导致射频调优后的功率过大、AP之间出现信号干扰。

TPC下限

接入用户数阈值使能

用于设置AP在2.4GHz频段上最大接入的用户数。缺省为64。

接入阈值策略：

• 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。
• 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。
• VIP用户优先接入：射频接入的终端达到阈值后，VIP用户优先接入，替换掉普通用户。需要到“准入 > 用户准入 > 准入策略 > 授权规则”页面授权VIP用户。

接入用户数阈值

接入阈值策略

TPC阈值

射频调优TPC（Transmit Power Control）覆盖阈值，单位为dBm。缺省为-60dBm。

根据AP实际布放高度和间距适当调整该阈值，可以使AP在射频调优后达到最优的覆盖效果。阈值越大，TPC调整的功率值会整体提高。

组播发射速率

配置的速率要属于基础速率集或者支持速率集，且STA需要支持该速率，否则STA将不能正常接收组播数据。

基础速率(Mbps)

2.4GHz基础速率。

支持速率(Mbps)

2.4GHz支持速率。

终端弱信号快踢

打开开关，当AP检测到终端的信号较弱时，会强制该终端下线。

场景

信噪比阈值(dB)

检测周期(ms)

双频动态调整

是否使能双频动态调整功能。缺省为“Off”。

冗余2.4G射频调整方式

（仅当“双频动态调整”为“On”时有效）冗余射频的处理模式。

• 自动切换成5G：冗余2.4G射频自动切换为5G射频。如果5G射频没有可用信道或当前射频不支持切换为5G时，切换为monitor模式。
• 自动关闭2.4G：冗余2.4G射频自动关闭。

极限功率

当存在物体遮挡，信号无法覆盖时，通过开启更高功率的信号来覆盖此区域。

• 默认
• 开启
• 关闭

VIP用户带宽预留比例

在需要保障VIP用户网络带宽的时候配置。VIP用户空口带宽预留算法基于DL&UL OFDMA传输模式的RU分配实现，实时评估用户实际需要的频谱资源，为VIP用户预留/分配满足其业务需求的频谱资源，从而保证VIP用户的体验。

• 对于“普通”场景，iMaster NCE-Campus已经预设了“关闭”、“缺省模式”、“增强模式”和“极限模式”，不需要再配置。用户可以根据实际情况直接选择场景。
• 对于“自定义”场景，需要用户手工配置VIP用户带宽预留比例。

VIP用户带宽预留比例缺省值为20%。

5GHz

调优信道频宽

为AP在5GHz频段上的无线信号传输设置调优频宽。配置大带宽信道可获得更大的传输速率。

信道集

为AP在5GHz频段上的无线信号传输选择调优信道集。为了达到更优的调优效果，请选用3个或3个以上作为可选信道。

基础速率(Mbps)

5GHz基础速率。

支持速率(Mbps)

5GHz支持速率。

GI模式

配置GI（Guard Interval）模式。仅V200R009C00及以上版本的AP设备支持该功能。

• Default：使用设备缺省值。

• short：短GI，即400ns。
• normal：普通GI，即800ns。

TPC上限(dBm)

用于限定射频调优完成后发射功率范围，单位为dBm。缺省为12dBm～127dBm。

如果下限过低，可能导致射频调优后的功率过小、无法满足射频覆盖需要；如果上限过高，可能导致射频调优后的功率过大、AP之间出现信号干扰。

TPC下限(dBm)

接入用户数阈值使能

用于设置AP在5GHz频段上最大接入的用户数。缺省为64。

接入阈值策略：

• 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。
• 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。
• VIP用户优先接入：射频接入的终端达到阈值后，VIP用户优先接入，替换掉普通用户。需要到“准入 > 用户准入 > 准入策略 > 授权规则”页面授权VIP用户。

接入用户数阈值

接入阈值策略

TPC阈值

射频调优TPC（Transmit Power Control）覆盖阈值，单位为dBm。缺省为-60dBm。

根据AP实际布放高度和间距适当调整该阈值，可以使AP在射频调优后达到最优的覆盖效果。阈值越大，TPC调整的功率值会整体提高。

A-MSDU

使能以A-MSDU聚合方式发送802.11ac报文的功能。

最大子帧数

配置A-MSDU聚合方式一次能聚合的最大子帧数。

组播发射速率

配置的速率要属于基础速率集或者支持速率集，且STA需要支持该速率，否则STA将不能正常接收组播数据。

终端弱信号快踢

打开开关，当AP检测到终端的信号较弱时，会强制该终端下线。

场景

信噪比阈值(dB)

检测周期(ms)

极限功率

当存在物体遮挡，信号无法覆盖时，通过开启更高功率的信号来覆盖此区域。

• 默认
• 开启
• 关闭

VIP用户带宽预留比例

在需要保障VIP用户网络带宽的时候配置。VIP用户空口带宽预留算法基于DL&UL OFDMA传输模式的RU分配实现，实时评估用户实际需要的频谱资源，为VIP用户预留/分配满足其业务需求的频谱资源，从而保证VIP用户的体验。

• 对于“普通”场景，iMaster NCE-Campus已经预设了“关闭”、“缺省模式”、“增强模式”和“极限模式”，不需要再配置。用户可以根据实际情况直接选择场景。
• 对于“自定义”场景，需要用户手工配置VIP用户带宽预留比例。

VIP用户带宽预留比例缺省值为20%。

通用参数

beacon周期(TUs)

配置AP发送Beacon帧的周期。建议使用缺省值100ms。

AP通过周期发送Beacon帧来声明对应802.11网络的存在。终端设备收到Beacon帧后可以得知该网络的存在，从而调整加入该网络所必需的参数。

Beacon周期配置太大，会导致STA休眠时间变长；Beacon周期配置太小，会导致空口开销变大。

RTS-CTS模式

配置RTS-CTS（Request To Send/Clear To Send，握手协议）的工作模式，避免信道冲突导致的数据传输失败。建议使用缺省值cts-to-self。

• cts-to-self：数据传输前由发送方通告周边设备暂停数据发送。以较小的网络开销避免数据传输冲突，可以满足大部分应用环境。
• rts-cts：数据传输前由发送方和接收方分别通告各自周边设备暂停数据发送。可以更好地避免冲突，但网络开销大，可能导致过多的通告帧占用信道带宽。
• disable：数据传输前不发送通告。可能由于冲突而导致数据传输失败。

空口时间公平调度

优先调度占用无线信道时间较少的用户，保证每个用户相对公平的占用无线信道。缺省开启。

逐包功率控制

实时检测终端设备的信号强度，实现绿色节能目的。如果终端信号强度强（距离AP较近），则发送数据包时自动降低实际发送的功率；如果终端信号强度弱（距离AP较远），则恢复正常功率发送无线信号。缺省开启。

波束成形功能

使AP在某个特定角度（目标用户）增强信号，在另一个特定角度（非目标用户或障碍物）减弱信号，从而控制信号传播的方向和覆盖范围。缺省关闭。

负载均衡

在距离相对较近、覆盖范围重叠度较高的多个AP上，通过配置负载均衡功能可以在WLAN网络中平衡AP的负载，充分保障每个STA的无线网络体验。当STA试图接入WLAN网络时，收到访问请求的AP会根据在线STA数和自身能力上限按一定的算法评估当前负荷。如果负荷显著高于附近的同站点AP的平均负荷，该AP将拒绝本次接入请求。

智能漫游

使能智能漫游功能。

传统WLAN网络中，当STA接入AP的信号很弱时，STA的上网速率很低，如果有多个低速率的STA接入AP时，可能造成其他STA占用空口时间变少，造成AP吞吐量偏低，导致其他在线用户体验差。通过配置强制弱信号强度用户下线功能，当AP检测到STA的信噪比或接入速率低于指定的门限时，主动向STA发送解除关联报文，让STA重新连接。通过使能智能漫游功能，并配置智能漫游的用户漫游门限值，AP会将信噪比或接入速率低于该门限值的STA强制下线。

扫描时长(ms)

AP执行空口扫描的持续时间。AP会在该时间段内持续扫描周围的无线信号，扫描完成后AP会将扫描收集的信息上报给iMaster NCE-Campus，用于射频调优和频谱分析。

扫描时间越长，获取到的数据越多，数据分析越精确。但扫描时间过长会消耗过多系统资源，可能会影响正常业务，建议使用缺省值60ms。

扫描间隔(ms)

AP执行空口扫描的周期。建议使用缺省值10000ms。

扫描信道

AP执行空口扫描的信道集合。缺省为“区域信道”。

• 区域信道：扫描“区域”中所选国家码支持的所有信道。
• 调优信道：扫描调优信道集合中的所有信道。
• 工作信道：仅扫描AP当前工作信道。

WMM

是否使能WMM（Wi-Fi Multimedia，Wi-Fi多媒体标准）功能。

信道竞争参数

WMM将报文分为4个类别的AC（Access Category），分别是AC_VO（voice）、AC_VI（video）、AC_BE（Best Effort）、AC_BK（Background）。每一个AC队列定义了一套增强分布式信道访问EDCA参数，该参数决定了队列占用信道的能力大小，可以实现高优先级AC队列占用信道机会大于低优先级AC队列。

EDCA参数分别如下：

• AIFSN ：空闲等待时间，数值越大，等待时间越长，优先级越小。
• ECWmin ：最小竞争窗口，数值越大，优先级越低，且ECWmin 小于 ECWmax。
• ECWmax ：最大竞争窗口，数值越大，优先级越低。
• TXOPLimit：用户一次竞争信道成功后，可占用信道最大时间，数值越大，用户占用时间越长。

ACK策略：

• normal ：对于发送端发送的每个单播报文，接收端在接收到报文后，都需要发送ACK帧进行确认。
• noack ：在通信质量很好、干扰很小的情况下，为提高传输效率，可以选择不应答ACK帧。

BE动态优化

使能此功能后，AP将根据接入用户数，通过算法动态调整终端占用空口资源的优先级，提高BE（Best Effort）业务的用户体验。BE指根据报文到达的先后顺序采用先来先服务的原则处理报文转发，对报文的延迟、抖动、丢包率和可靠性等不做承诺和保证。

BE优化阈值（包/秒）

BE动态优化算法使用到的参数值，建议使用默认值。

多媒体动态优化

使能此功能后，AP将根据接入用户数，通过算法动态调整终端占用空口资源的优先级，提高音频、视频应用的用户体验。

音频优化阈值（包/秒）

多媒体动态优化算法使用到的参数值，建议使用默认值。

视频优化阈值（包/秒）

场景

BE动态优化和多媒体动态优化开关均关闭时，显示此参数。

根据网络实际情况和需要，配置WMM参数，使高优先级的数据报文优先占用无线信道，达到调整视频、语音等类型的流量的转发优先级的目的。为了使WMM生效，必须在射频参数中开启WMM开关。

• 默认：无优先级
• 音频：以语音流量优先
• 音频和视频：以语音及视频流量优先

射频开关

开启或关闭射频功能。缺省为开启。

带宽

选择工作带宽。缺省为“20mhz”。

• 调优带宽
• 20mhz
• 40mhz-plus
• 40mhz-minus
• 80mhz (仅5GHz射频)
• 80+80mhz (仅5GHz射频。三射频场景中，5G射频2为低频，不支持配置此带宽。)

信道自动选择

选择“调优带宽”时，自动选择信道。

信道

传输射频信号所使用的频段。为了避免信号干扰，请确保相邻AP工作在非重叠信道上。为了避免产生射频干扰，建议为相邻部署的AP在2.4GHz频段规划非重叠信道组合（例如1、6、11），在5GHz频段规划不同信道。

带宽自动选择

（仅5G射频）当“带宽”选择“调优带宽”时，可动态调整射频的带宽，而不受已有的调优带宽限制。

功率自动选择

自动选择功率开关，关闭时，可以手工调整发射功率。

发送功率

根据实际网络环境的需求，配置射频的发射功率，使射频信号强度具备满足实际网络需求的能力，提高射频信号质量。

天线增益

天线增益用于衡量天线向特定方向收发信号的能力。在相同条件下，天线增益越高，电波传播的距离越远。请填写为AP实际所使用天线的增益值。

冗余射频调整

（仅2.4G射频）是否在当前设备的2.4G射频上使能“冗余射频调整”功能。将该参数设置为On以后，还必须确保“高级配置”中的“双频动态调整”为“On”，目标设备 2.4G射频才会真正使能该功能。

暴力破解密钥攻击检测

AP通过检测WPA/WPA2-PSK，WAPI-PSK，WEP-Share-Key认证时的密钥协商报文在一定的时间内的密钥协商失败次数是否超过阈值（20），如果超过，则认为该用户在通过暴力破解法破解密码。

欺骗攻击检测

当AP接收到广播型的去关联帧Disassociation和去认证帧Deauthentication时，会检测报文的源地址是否为AP自身的MAC地址，如果是，则表示WLAN网络受到了解除认证报文或解除关联报文的欺骗攻击。

非法设备检测

AP可以检测到其覆盖范围内的其它无线设备信息，从而使AP可以了解到整个WLAN网络中无线设备的情况，判断当前网络中是否存在非法设备。

泛洪攻击检测

AP通过持续的监控每个STA的流量大小来预防泛洪攻击。当流量超出可容忍的上限时（例如1秒中接收到超过100个报文），表明可能发生了泛洪攻击，AP上报告警信息。

弱向量检测

AP识别每个WEP报文的IV，判断是否是弱IV（IV的第一个字节取值为3～15，第二个字节取值为255时，即为弱IV）。

动态黑名单防御

AP将检测为泛洪攻击或暴力破解密钥攻击的用户加入到动态黑名单列表中，丢弃该用户的所有报文，直至动态黑名单老化（10分钟）。

手动反制设备

AP根据非法设备的类型（AP/终端）采取相应的方式对非法设备完成反制。

仿冒AP反制

AP通过使用仿冒AP的MAC地址发送假的广播解除认证帧对仿冒AP进行反制，抑制合法无线用户和仿冒AP建立连接。

Adhoc设备反制

AP以Adhoc设备的身份持续发送单播解除认证帧，断开非法设备的连接。

开放设备反制

AP通过使用认证方式为open的非法AP设备的MAC地址发送假的广播解除认证帧对认证方式为open的非法AP进行反制，抑制合法无线用户和认证方式为open的非法AP建立连接。

终端保护

AP以保护终端所连接的非法AP的身份持续发送单播解除认证帧，断开其与非法AP的连接。

MAC白名单

设备检测到非法AP后，如果非法AP能够匹配列表，则判断该AP是合法AP，不对其进行反制。当启用“非法设备检测”功能时有效。

OUI白名单

SSID白名单

手动反制设备MAC列表

手动指定需要被反制的非法设备。当启用“手动反制设备”功能时有效。

在“监控 > 健康度 > 设备360”菜单下的“AP > 安全”的“风险设备检测”页签中，也可以单击“添加手动反制”将目标设备添加到该列表中。

仿冒SSID规则列表

指定SSID的正则表达式，如果检测到SSID和正则表达式匹配，则认为该SSID是仿冒SSID。当启用“非法设备检测”功能时有效。

保护终端MAC列表

根据MAC地址识别合法终端并加以保护，确保该终端不会接入到非法AP上。当启用“终端保护”功能时有效。

畸形报文

通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的IP包时会出现崩溃，给目标系统带来损失。

分片报文

通过向目标系统发送大量的分片报文，来消耗目标系统的内存资源，而导致目标系统不能响应正常的IP报文。

ICMP泛洪

攻击者短时间内发送大量的ICMP报文到被攻击目标，导致依靠会话转发的网络设备会话耗尽引起网络瘫痪，如果采用超大报文攻击也会导致网络链路拥塞。

TCP SYN泛洪

通过利用大量伪造的IP地址向目标系统发出请求，使得目标系统不能将响应报文发送到目标地址，造成主机资源耗尽。

UDP泛洪

短时间内用大量的UDP报文向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的任务。

MAC

终端地址的唯一编码。

VLAN ID

虚拟局域网的编码。

接口名称

AP的接口。相同的MAC地址和Vlan ID的组合只能绑定一个接口。

绑定类型

（可选）通过如下策略之一，对允许接入到AP的终端设备进行限制。不支持广播、组播或全零的MAC或OUI，最多可以配置2048条记录。

• 不绑定
• 黑名单（不允许通过）
• 白名单（只允许通过）

ALL

是否使能AP的所有广播报文和IGMP组播报文限速功能。

ARP

是否使能AP的ARP广播报文限速功能。

ND

是否使能AP的ND广播报文限速功能。

IGMP

是否使能AP的IGMP组播报文限速功能。

DHCP

是否使能AP的DHCP广播报文限速功能。

DHCPv6

是否使能AP的DHCPv6广播报文限速功能。

mDNS

是否使能AP的mDNS组播报文限速功能。

Other-broadcast

是否使能AP的除ARP、ND、DHCP和DHCPv6以外的广播报文限速功能。

Other-multicast

是否使能AP的除IGMP和mDNS以外的组播报文限速功能。

端口类型

-

IoT插卡上与物联网AP相连的接口类型。Card插卡支持“串口”和“以太网口”，而USB插卡仅支持“串口”。

串口

通信协议

IoT插卡与IoT服务器之间的通信协议和端口。

通信端口

信任主机地址

当AP作为服务端接收数据时，只与信任范围内的客户端建立通信。如果不配置该参数，则允许所有网络可达的客户端与AP建立连接和下发配置。

输入格式为单播IP+掩码，例如192.168.0.1/24。

共享密钥

（仅TCP协议）用于AP与IoT服务器之间的报文加密，提升数据通信安全性。为了保障安全性，建议包含小写字母、大写字母、数字和特殊字符中的至少两种。

IoT服务器

IoT服务器的地址和端口。如果配置多个IoT服务器，则地址和端口不能都相同。

端口

以太网口

管理状态

用于开启/关闭该IoT插卡的功能。

缺省VLAN

AP上与IoT插卡通信的网口的缺省VLAN。IoT插卡将从该VLAN的DHCP地址池自动获取IP地址用于与外部通信。

广播

广播

是否使能蓝牙模块的广播功能。若网络环境中未部署独立的BLE设备时，需要开启AP内置蓝牙模块的“广播”功能。

发射功率

蓝牙模块的发射功率。根据规划配置，再到现场微调定位。

可取值为-21、-18、-15、-12、-9、-6、-3、0、1、2、3、4、5，单位为dBm。缺省值为0。

RSSI校准值

距离BLE设备1米距离时测量到的该BLE设备的RSSI值，用于进行距离估算。根据规划配置，再到现场微调定位。

取值范围为-97～-50。单位为dBm。缺省值为-65。

广播间隔

蓝牙模块发送BLE广播帧的周期。根据规划配置，再到现场微调定位。

取值范围为100～10240。单位为ms。缺省值为400。

广播的UUID值

BLE广播帧中的UUID字段（十六进制类型），UUID是BLE设备的唯一识别码，用来识别设备。根据第三方设备提供的规划配置，第三方厂家识别是否是自己厂家的设备。例如，蓝牙定位器厂家提供UUID值，AP根据UUID在众多蓝牙信号里识别蓝牙终端。

广播的Major值

BLE广播帧中的Major字段（十六进制类型），Major用来标示一个大的分组，和Minor共同定义BLE设备的信息（如BLE设备的位置等）。根据第三方设备提供的规划配置。例如，提供蓝牙定位器厂家业务量大，会分层级表示。中国江苏，Major设置为中国。

广播的Minor值

BLE广播帧中的Minor字段（十六进制类型），Minor用来标示一个小的分组，和Major共同定义BLE设备的信息（如BLE设备的位置等）。根据第三方设备提供的规划配置。例如，提供蓝牙定位器厂家业务量大，会分层级表示。中国江苏，Minor设置为江苏。

监控

监控

是否使能蓝牙模块的监控功能。

监控模式

• iBeacon：蓝牙终端定位。
• Tag：蓝牙Tag定位。
• Transparent：蓝牙数据透传。

数据上报

是否开启AP上报蓝牙定位报文信息的功能。

• 当场景是蓝牙Tag定位时，需开启数据上报功能。开启数据上报功能，蓝牙Tag信息和蓝牙Tag掉线告警上报给服务器。
• 当场景是蓝牙数据透传时，需开启数据上报功能。开启数据上报功能，蓝牙客户端信息上报给服务器。
• 当场景是蓝牙终端定位且只有AP上报信息给定位服务器时，才需要开启数据上报功能。

数据上报模式

AP上报蓝牙定位报文的模式和周期。当配置蓝牙报文立即上报时，可使定位精确更高，但是对AP性能会有影响。

数据上报周期

“数据上报模式”选择“周期上报”时，AP上报蓝牙定位报文的周期。单位为s。缺省值为10。

服务器地址

AP上报蓝牙定位报文的目的服务器地址和端口。

服务器端口

策略名称

用于标识一条IPSec策略。建议设置为对端设备的IP地址或域名。

对端IP/域名

对端设备的IP地址。针对相同地址只允许创建一条IPSec策略，否则将导致IPSec隧道建立失败。

本端ID

定义本端ID类型和ID值，用于IKE协商过程中的身份认证。

• IP：使用本端建立IPSec隧道的接口IP地址作为本端ID。
• FQDN：名称形式，并指定ID值。

加密ACL

单击“添加”，创建本端ACL规则，并单击“提交”以保存该ACL。

• 加密ACL：用于定义需要通过IPSec隧道以加密方式传输的报文。

  “策略”为“允许”的报文将进入IPSec隧道传输，其他报文则不进入IPSec隧道传输。

• 过滤ACL：对通过“加密ACL”过滤的报文进行再次过滤，不匹配“过滤ACL”的流量只能走普通二三层转发，不能通过IPSec隧道进行传输。

过滤ACL

安全模板

-

单击“+”，设置“IKE参数”和“IPSec参数”，并单击“保存”以保存当前模板。

IKE参数

IKE版本

IKE对等体使用的IKE协议版本号，本端和对端必须相同。推荐选用安全性扩展性更好、协商效率更高的IKEv2。如果选用IKEv1，则本端和对端必须使用相同的“协商模式”。

加密算法

用于加密和解密IP报文的算法，密钥长度越大越安全，但加密速度越慢。

安全级别由高到低依次为AES-256 > AES-192 > AES-128 > 3DES > DES。不建议使用不安全的DES和3DES算法。

协商模式

（仅IKEv1）IKEv1阶段1的协商模式。

• 全模式：提供身份保护。对等体标识时只能是IP类型。
• 野蛮模式：协商速度更快，但不提供身份保护。对等体标识时可以是IP类型，也可以是名称类型。

认证算法

（仅IKEv1）IKEv1协商所使用的认证算法。

安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的MD5和SHA1算法。

完整性算法

（仅IKEv2）IKEv2协商所使用的完整性算法。

安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > AES-XCBC-96 > SHA1 > MD5。不建议使用不安全的MD5和SHA1算法。

PRF

（仅IKEv2）IKEv2协商伪随机数产生函数（PRF）的算法。

安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > AES-XCBC-96 > SHA1 > MD5。不建议使用不安全的MD5和SHA1。

DH组

IKE阶段1密钥协商时所使用的DH（Diffie-Hellman）组，用于计算共享密钥，防止报文被非法破解。

DH组安全级别由高到低依次为group16 > group15 > group14> group5 > group2 > group1。不建议使用不安全的group1、group2和group5。

SA超时时间

IKE SA的生存周期，用于IKE SA的定时更新，降低SA被破解的风险，可以提高安全性。超时后需重新协商新的IKE SA。建议设置为大于600秒。

IPSec参数

封装模式

将AH或ESP相关的字段按一定规则插入到原始IP报文中，以实现对报文的认证和加密。相对于传输模式，隧道模式的安全性更高，但也占用更多带宽。

安全协议

传输和封装数据报文时所使用的协议。AH和ESP各有优缺点，在安全要求较高的场景中推荐使用AH-ESP。

• AH：只能对报文进行认证。

  认证算法安全级别由高到低分别为SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的SHA1和MD5。

• ESP：可以对报文进行加密或认证。

  ESP加密算法安全级别由高到低依次为AES-256 > AES-192 > AES-128 > 3DES > DES。不建议使用不安全的3DES和DES。

  ESP认证算法安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的SHA1和MD5。

• AH-ESP：同时使用AH和ESP协议对报文进行保护。先对报文进行ESP封装，再进行AH封装。

  认证算法安全级别由高到低分别为SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的SHA1和MD5。

  ESP加密算法安全级别由高到低依次为AES-256 > AES-192 > AES-128 > 3DES > DES。不建议使用不安全的3DES和DES。

  ESP认证算法安全级别由高到低依次为SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。不建议使用不安全的SHA1和MD5。

PFS

配置本端发起协商时使用的PFS特性。 在IKEv1阶段2或IKEv2创建子SA交换的协商中进行一次附加的DH交换，保证IPSec SA密钥的安全，以提高通信的安全性。不建议使用不安全的group1、group2和group5。

IPSec SA老化管理

配置SA生存周期，用于SA实时更新，降低SA被破解的风险，可以提高安全性。如下两种生存周期中只要有任意一种到期，当前SA都会失效，IKE将为对等体协商新的SA用于保护IPSec通信。

• 基于时间：SA的存活时间。
• 基于流量：SA允许处理的最大流量。建议该取值与带宽的比值大于等于3600秒。

DPD

-

设置是否启用对等体存活检测DPD（Dead peer detection）功能。启用该功能以后，IKE对等体之间将通过DPD消息检测对方的存活。

检测方式

• 按需发送：当在设定的时间内没有收到对端的报文时，发送DPD报文，检测SA的对方是否存在。
• 周期性发送：当长时间收不到对端的报文时，接收端将主动定期向对端发送请求报文，检测IKE对等体是否存活。

载荷顺序

• hash-notify。
• notify-hash。

检测时间间隔

DPD检测报文的发送周期。IPSec隧道数量较多时，需要适当调整DPD报文的发送间隔，避免DPD报文收发过于密集而导致设备性能下降。

重传时间间隔

DPD报文重传时间间隔。

密钥

IPSec隧道两端必须以相同的方式输入认证密钥。如果一端以字符串方式输入密钥，另一端以16进制方式输入密钥，则无法正确地建立SA。

管理状态

用于开启/关闭该网口。如果设置为“OFF”，则该网口将不可用，请慎重操作。

LLDP

使能LLDP功能时，设备会通过LLDP报文向同样开启了LLDP功能的邻居设备发送自己的状态信息，并收集这些邻居设备的状态信息。当需要通过网管系统了解设备之间二层连接状态并进行网络拓扑分析时，需要开启该功能。缺省为“ON”。

频繁开启/关闭全局LLDP可能导致业务数据下发失败，相邻两次下发的时间间隔应大于10s。

仅当“站点 > 业务配置”中的“其他”折叠匡中的LLDP开关打开时，此处的配置才会生效。

缺省VLAN

该网口缺省加入的VLAN。

允许通过的VLAN

该网口允许通过的VLAN。

单击“添加”增加VLAN ID时，可以通过标签在不同AP上允许不同VLAN通过。如果“VLAN ID”为空，则说明在对应AP标签所标识的AP上允许所有VLAN通过。需要预先按如下步骤为AP打标签。

1. 选择“监控 > 健康度 > 设备360”菜单下的“AP > AP”。
2. 勾选需要打标签的设备，单击“增加标签”。
3. 在弹出窗口中为所选设备打上新建标签或已有标签。

MAC限制

基于AP的终端地址学习功能，通过MAC地址数量限制接入终端的数量上限。启用该功能可以避免网络攻击，但达到“最大MAC数”以后AP将拒绝更多终端的接入请求，可能会影响业务。

管理状态

用于开启/关闭该网口。如果设置为“OFF”，则该网口将不可用，请慎重操作。

LLDP

使能LLDP功能时，设备会通过LLDP报文向同样开启了LLDP功能的邻居设备发送自己的状态信息，并收集这些邻居设备的状态信息。当需要通过网管系统了解设备之间二层连接状态并进行网络拓扑分析时，需要开启该功能。缺省为“ON”。

频繁开启/关闭全局LLDP可能导致业务数据下发失败，相邻两次下发的时间间隔应大于10s。

仅当“站点 > 业务配置”中的“其他”折叠匡中的LLDP开关打开时，此处的配置才会生效。

Binding check

是否启用该网口的动态ARP检测功能、IP报文检查功能和DHCP Snooping功能。缺省未启用。

• 动态ARP检测（Dynamic ARP Inspection，简称为DAI）：通过比对ARP报文的源IP、源MAC、接口、VLAN信息和绑定表中的信息，识别并丢弃可疑ARP报文，从而抑制网络攻击。
• IP报文检查（IP Source Guard，简称为IPSG）：通过比对IP报文的源IP、源MAC、接口、VLAN信息和绑定表中的信息，识别并丢弃可疑IP报文，从而抑制网络攻击。
• DHCP Snooping：保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。

网络连接方式

• 二层转发：AP作为二层转发设备。此时需要将VLAN ID配置为与WAN口连接到的交换机网口的VLAN ID一致。
• NAT：AP作为三层网关设备（终端设备以NAT方式访问公网，AP为终端设备动态分配IP地址）。缺省情况下，终端设备自动获取到的IP地址为10.1.1.2～10.1.1.254，所属VLAN ID为3911。用户可以按需调整DHCP地址池和VLAN ID，具体操作请参见配置DHCP部分的描述。

VLAN ID

仅当该AP作为二层转发设备时配置。必须与上行网口所连接的交换机接口VLAN ID相同。

上行终端限速

为上行终端配置流量限速策略。

ACL

在接口层面基于目的IP地址、协议和端口控制允许或禁止访问指定资源。

接口状态

用于开启/关闭该网口。如果设置为“OFF”，则该网口将不可用，请慎重操作。

LLDP

使能LLDP功能时，设备会通过LLDP报文向同样开启了LLDP功能的邻居设备发送自己的状态信息，并收集这些邻居设备的状态信息。当需要通过网管系统了解设备之间二层连接状态并进行网络拓扑分析时，需要开启该功能。缺省为“ON”。

频繁开启/关闭全局LLDP可能导致业务数据下发失败，相邻两次下发的时间间隔应大于10s。

仅当“站点 > 业务配置”中的“其他”折叠匡中的LLDP开关打开时，此处的配置才会生效。

POE

用于开启/关闭该下行网口的POE供电功能，从而对该网口直连的分布式AP上下电操作。

接口状态

用于开启/关闭该网口。如果设置为“OFF”，则该网口将不可用，请慎重操作。

LLDP

使能LLDP功能时，设备会通过LLDP报文向同样开启了LLDP功能的邻居设备发送自己的状态信息，并收集这些邻居设备的状态信息。当需要通过网管系统了解设备之间二层连接状态并进行网络拓扑分析时，需要开启该功能。缺省为“ON”。

频繁开启/关闭全局LLDP可能导致业务数据下发失败，相邻两次下发的时间间隔应大于10s。

仅当“站点 > 业务配置”中的“其他”折叠匡中的LLDP开关打开时，此处的配置才会生效。

Binding check

是否启用该网口的动态ARP检测功能、IP报文检查功能和DHCP Snooping功能。缺省未启用。

• 动态ARP检测（Dynamic ARP Inspection，简称为DAI）：通过比对ARP报文的源IP、源MAC、接口、VLAN信息和绑定表中的信息，识别并丢弃可疑ARP报文，从而抑制网络攻击。
• IP报文检查（IP Source Guard，简称为IPSG）：通过比对IP报文的源IP、源MAC、接口、VLAN信息和绑定表中的信息，识别并丢弃可疑IP报文，从而抑制网络攻击。
• DHCP Snooping：保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。

网络连接方式

• 二层转发：AP作为二层转发设备。此时需要将VLAN ID配置为与WAN口连接到的交换机网口的VLAN ID一致。
• NAT：AP作为三层网关设备（终端设备以NAT方式访问公网，AP为终端设备动态分配IP地址）。缺省情况下，终端设备自动获取到的IP地址为10.1.1.2～10.1.1.254，所属VLAN ID为3911。用户可以按需调整DHCP地址池和VLAN ID，具体操作请参见配置DHCP部分的描述。

VLAN ID

仅当该AP作为二层转发设备时配置。必须与上行网口所连接的交换机接口VLAN ID相同。

上行终端限速

为上行终端配置流量限速策略。

ACL

在接口层面基于目的IP地址、协议和端口控制允许或禁止访问指定资源。

接口状态

用于开启/关闭该网口。如果设置为“OFF”，则该网口将不可用，请慎重操作。

LLDP

使能LLDP功能时，设备会通过LLDP报文向同样开启了LLDP功能的邻居设备发送自己的状态信息，并收集这些邻居设备的状态信息。当需要通过网管系统了解设备之间二层连接状态并进行网络拓扑分析时，需要开启该功能。缺省为“ON”。

频繁开启/关闭全局LLDP可能导致业务数据下发失败，相邻两次下发的时间间隔应大于10s。

仅当“站点 > 业务配置”中的“其他”折叠匡中的LLDP开关打开时，此处的配置才会生效。

VLAN ID

该网口缺省加入的VLAN。

允许通过的VLAN

该网口允许通过的VLAN。

MAC限制

基于AP的终端地址学习功能，通过MAC地址数量限制接入终端的数量上限。启用该功能可以避免网络攻击，但达到“最大MAC数”以后AP将拒绝更多终端的接入请求，可能会影响业务。

接口状态

用于开启/关闭该网口。如果设置为“OFF”，则该网口将不可用，请慎重操作。

LLDP

使能LLDP功能时，设备会通过LLDP报文向同样开启了LLDP功能的邻居设备发送自己的状态信息，并收集这些邻居设备的状态信息。当需要通过网管系统了解设备之间二层连接状态并进行网络拓扑分析时，需要开启该功能。缺省为“ON”。

频繁开启/关闭全局LLDP可能导致业务数据下发失败，相邻两次下发的时间间隔应大于10s。

仅当“站点 > 业务配置”中的“其他”折叠匡中的LLDP开关打开时，此处的配置才会生效。

VLAN ID

该网口缺省加入的VLAN。

允许通过的VLAN

该网口允许通过的VLAN。

管理状态

用于开启/关闭该网口。如果设置为“OFF”，则该网口将不可用，请慎重操作。

LLDP

使能LLDP功能时，设备会通过LLDP报文向同样开启了LLDP功能的邻居设备发送自己的状态信息，并收集这些邻居设备的状态信息。当需要通过网管系统了解设备之间二层连接状态并进行网络拓扑分析时，需要开启该功能。缺省为“ON”。

频繁开启/关闭全局LLDP可能导致业务数据下发失败，相邻两次下发的时间间隔应大于10s。

仅当“站点 > 业务配置”中的“其他”折叠匡中的LLDP开关打开时，此处的配置才会生效。

缺省VLAN

该网口缺省加入的VLAN。

允许通过的VLAN

该网口允许通过的VLAN。

单击“添加”增加VLAN ID时，可以通过标签在不同AP上允许不同VLAN通过。如果“VLAN ID”为空，则说明在对应AP标签所标识的AP上允许所有VLAN通过。需要预先按如下步骤为AP打标签。

1. 选择“监控 > 健康度 > 设备360”菜单下的“AP > AP”。
2. 勾选需要打标签的设备，单击“增加标签”。
3. 在弹出窗口中为所选设备打上新建标签或已有标签。

管理状态

用于开启/关闭该网口。如果设置为“OFF”，则该网口将不可用，请慎重操作。

LLDP

使能LLDP功能时，设备会通过LLDP报文向同样开启了LLDP功能的邻居设备发送自己的状态信息，并收集这些邻居设备的状态信息。当需要通过网管系统了解设备之间二层连接状态并进行网络拓扑分析时，需要开启该功能。缺省为“ON”。

频繁开启/关闭全局LLDP可能导致业务数据下发失败，相邻两次下发的时间间隔应大于10s。

仅当“站点 > 业务配置”中的“其他”折叠匡中的LLDP开关打开时，此处的配置才会生效。

Binding check

是否启用该网口的动态ARP检测功能、IP报文检查功能和DHCP Snooping功能。缺省未启用。

• 动态ARP检测（Dynamic ARP Inspection，简称为DAI）：通过比对ARP报文的源IP、源MAC、接口、VLAN信息和绑定表中的信息，识别并丢弃可疑ARP报文，从而抑制网络攻击。
• IP报文检查（IP Source Guard，简称为IPSG）：通过比对IP报文的源IP、源MAC、接口、VLAN信息和绑定表中的信息，识别并丢弃可疑IP报文，从而抑制网络攻击。
• DHCP Snooping：保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。

网络连接方式

• 二层转发：AP作为二层转发设备。此时需要将VLAN ID配置为与WAN口连接到的交换机网口的VLAN ID一致。
• NAT：AP作为三层网关设备（终端设备以NAT方式访问公网，AP为终端设备动态分配IP地址）。缺省情况下，终端设备自动获取到的IP地址为10.1.1.2～10.1.1.254，所属VLAN ID为3911。用户可以按需调整DHCP地址池和VLAN ID，具体操作请参见配置DHCP部分的描述。

VLAN ID

仅当该AP作为二层转发设备时配置。必须与上行网口所连接的交换机接口VLAN ID相同。

DHCP使能

使能DHCP，可以配置DHCP的参数。此参数默认打开。

网关IP地址

DHCP客户端的默认网关和子网掩码。网关IP地址和子网掩码共同决定了DHCP客户端可能获取到的IP地址范围（DHCP地址池）。

子网掩码

日志记录

该开关默认关闭。开关开启后，在系统对接了CampusInsight时生效。本功能用来记录DHCP Server配置成功或者失败的日志信息，然后上报给CampusInsight做数据分析与呈现。

第三方URL过滤

开启后，可以通过对接第三方软件实现URL过滤功能。

租期

DHCP客户端自动获取到IP地址的租期。到期后会重新分配。

首选WINS

分配给DHCP客户端的WINS服务器地址。

备用WINS

静态地址绑定

建立IP地址与MAC地址的绑定关系，为特定MAC地址的DHCP客户端分配固定的IP地址。

VLAN ID

配置VLAN ID。LAN侧VLAN不能是已配置的业务VLAN，且修改该VLAN会造成NAT、IPSec用户下线。LAN VLAN不能与管理VLAN相同，否则可能下发失败。

NAT日志

NAT日志的开关，打开后设备会朝Syslog服务器上传NAT日志信息。

文本日志输出间隔

设置文本日志的输出间隔。单位：秒。

二进制日志输出

二进制日志的输出开关。打开后，会同时输出二进制的日志信息。

日志服务器地址和端口

配置日志二进制日志的地址和端口信息。

发送日志源地址和源端口

配置AP的地址和发送日志的端口，地址可以自动获取，只需要配置端口。

名称

Mesh网络的名称。

生效射频

配置Mesh链路的射频参数。

• 2.4G（wlan-radio 0/0/0）
• 5G（wlan-radio 0/0/1）

• 5G（wlan-radio 0/0/2）

是否使用白名单

白名单里记录的是允许接入Mesh网络的邻居AP的MAC地址。使能后，只有匹配了白名单中MAC的邻居AP才被允许接入，其他邻居AP被拒绝接入。iMaster NCE-Campus最多支持配置512个白名单MAC地址，且白名单MAC地址不允许重复。

缺省配置时，该功能默认为关闭。如果不配置白名单，AP可能会与不需要建链的邻居AP建立Mesh链路，占用有限的Mesh链路数。另外邻居AP中可能存在不合法的AP，不配置Mesh白名单存在安全风险。

场景

根据MPP节点数量，可配置单MPP和多MPP两种应用场景。

• 单MPP：Mesh网络中只包含一个MPP节点。

• 多MPP：Mesh网络中包含一个或多个MPP节点。

成员

设备上报角色

设备上线后，上报到iMaster NCE-Campus的真实角色。

名称

添加到Mesh中的AP设备的名称和ESN号。

ESN

配置角色

可配置MPP和MP两种角色，缺省配置时，角色默认为MP。最多支持配置512个成员，MP和MPP角色数量的比例不能大于6：1

• MPP（Mesh Portal Point）：连接Mesh网络和其他类型网络的MP节点。该节点具有Portal功能，可以实现Mesh内部节点和外部网络的通信。每个Mesh网络中至少存在一个MPP。

• MP（Mesh Point）：使用IEEE 802.11MAC和物理层协议进行无线通信，并且支持Mesh功能的节点。该节点支持自动拓扑、自动发现路由、数据报文转发等功能。MP节点可以同时提供Mesh服务和用户接入服务。

测试例名称

填写NQA测试例名称。

目的IP

待进行链路检测的目的IP地址。

源端口

待进行链路检测的源IP端口。

发包个数

每次检测的报文发送个数。

发包间隔

发送探测报文的时间间隔。

超时时间

超时失败的最大时间。

发包频率

探测报文的发送频率。

接口名

请选择作为访问公网的出接口的WAN口。

ACL

选择ACL模板，在当前接口上绑定地址映射规则。

NAT预分类

开启或关闭NAT预分类功能，将NAT转换前的私网IP地址信息携带到出接口。基于不同的私网IP地址可以实现对网络报文的分类，从而提供差分服务。

应用流量统计

开启后，路由器通过对用户发送报文的解析，了解网络中各个用户的应用对网络的使用情况，并将统计信息上报到iMaster NCE-Campus。

DNS代理

为AR开启/关闭DNS代理功能。如果设置为“ON”，则表示开启。

DNS服务器配置列表

单击“创建”，为AR配置DNS服务器，单击“提交”以保存。最多可以添加6个，优先级按先后顺序由高到低。

DNS本地域名配置列表

终端用户请求DNS解析时首先在本地域名映射表中查询，如无法解析再转发到DNS服务器。

地址池模式

可以选择“手动”或者“自动”模式。

• 手动：需要手工设置DHCP客户端默认网关的IP地址和掩码。
• 自动：可以在地址池中选择可用的IP资源。

地址池

选择资源池中可用的IP资源。或者单击新建可用的IP资源。

VLAN ID

与AR直连内网设备的VLAN ID一致。内网设备将以AR为默认网关。

Network名称

填写网络名称。

IP

VLANIF接口的IP地址，作为DHCP客户端的默认网关。

掩码

DHCP客户端自动获取到的IP地址的子网掩码。网关IP地址和子网掩码共同决定了DHCP客户端可能获取到的IP地址范围（DHCP地址池）。

出方向流量策略

设置出方向的流量策略。

入方向流量策略

设置入方向的流量策略。

DHCP

设置为“ON”，并为AR配置DHCP工作模式。

• 服务器：将AR作为DHCP服务器，为内网用户动态分配IP地址。
• 中继：将AR作为DHCP中继。