华为AC中服务集命令解释配置

时间:2024-03-07 22:25:07

配置WLAN服务集

管理员必须给AP下发业务参数,AP才能为无线用户提供正常网络接入服务。服务集就是这样的一个业务参数的集合,服务集内可配置SSID、SSID是否隐藏、业务VLAN、最大接入用户数和STA的关联老化时间等参数。

通过手工配置服务集,并将该服务集绑定到AP射频上,则服务集内所有的业务参数都会被应用到VAP上,AP将会以这些业务参数向用户提供差异化的无线服务。

操作步骤

1、进入系统视图

system-view

2、进入WLAN视图

wlan

3、创建服务集。

service-set { name service-set-name | id service-set-id }

创建服务集时,必须输入服务集的名称。

4、配置服务集必配参数: 

a、 配置SSID

ssid ssid

缺省情况下,服务集下没有配置SSID。

b、配置业务VLAN

service-vlan vlan-id

缺省情况下,业务VLAN ID为1。该处的vlan就是终端上线后使用的vlan。

c、配置转发模式

forward-mode {tunnel | direct}

以下参数都具有默认值,可作为可选配置

c、配置服务集的最大接入用户数目

max-user-number max-user-number

缺省情况下,服务集最大接入用户数目为64,32-128.

d、配置无线用户的关联老化时间

association-timeout association-timeout

缺省情况下,老化时间为5分钟。

e、配置Beacon帧中隐藏SSID

ssid-hide

缺省情况下,Beacon帧中没有隐藏SSID。 用户在创建无线网络时,为了保护无线网络的安全,可以对无线网络名称进行隐藏设置。这样,只有知道网络名称的无线用户才能连接到这个无线网络中。

f、配置AP离线管理VAP功能

offline-management enable

缺省情况下,AP离线管理VAP功能未使能。 由于AP设备通常安装在比较隐蔽或较高的位置,当AP出现异常时,现场维护人员定位故障是需要通过Console或网线直接连接到AP,很不方便。每个AP仅支持一个管理VAP,当服务集下使能AP离线管理VAP功能并被绑定到AP射频上时,AP创建新的管理VAP并删除名为hw_manage的VAP。维护人员在现场将维护设备的IP地址配置成169.254.1.x/16(169.254.1.1除外)的IP地址后,关联该无线网络后,可以连接上AP进行故障处理。

说明:

当且仅当AP模板和服务集视图下都执行命令offline-management enable后,AP离线管理VAP功能才能使能。

离线管理VAP只能使用2.4G射频。如果AP的2.4G射频被WDS网桥或Mesh链路占用,则无法使用离线管理VAP。

使用离线管理VAP请确保AP设备已经开启了Telnet服务。

离线管理VAP只支持WEP或WPA/WPA2 PSK方式的安全策略。

g、使能802.1X认证报文或HTTP认证报文或WAPI认证报文的隧道转发功能

tunnel-forward protocol { all | dot1x | http | wapi | mdns }

缺省情况下,802.1X认证报文、HTTP认证报文、WAPI认证报文和MDNS报文的隧道转发功能使能。

采用802.1X、Portal认证或WAPI认证时,如果数据转发模式为直接转发模式,则认证报文不能由AP通过CAPWAP隧道发送给AC,AC不能集中认证。

通过使能802.1X认证报文、HTTP认证报文或WAPI认证报文的隧道转发功能,可以将认证报文进行CAPWAP报文封装,实现直接转发模式下的AC集中认证功能。

h、使能STA地址学习功能

learn client ip-address enable

缺省情况下,STA地址学习功能处于使能状态。 使能STA地址学习功能后,如果STA和AP进行关联并成功获取了IP地址,AP都会主动向AC上报与该STA相关的IP信息,用于维护STA的MAC地址和IP地址对应关系表项。

i、使能STA地址严格DHCP获取功能

learn client ipv4-address dhcp-strict

缺省情况下,STA地址严格DHCP获取功能处于未使能状态。使能STA地址严格DHCP获取功能后,STA与AP进行关联,如果STA是通过DHCP协议获取的IP地址,AP会主动向AC上报与该STA相关的IP信息,用于维护STA的MAC地址和IP地址对应关系表项;如果STA的IP地址是静态IP地址,STA会被加入到AP的动态黑名单中,黑名单表项老化前,STA都无法关联到AP上。

j、使能动态ARP检测功能

dai enable

缺省情况下,动态ARP检测功能处于未使能状态。 配置动态ARP检测功能可以防御中间人攻击,避免合法用户的数据被中间人窃取,还可以防止攻击者对AP的CPU形成冲击,造成AP功能无法正常运行甚至AP瘫痪。

k、使能AP的IPSG功能

ip source guard enable

缺省情况下,AP的IPSG功能处于未使能状态。 配置IPSG功能,对接收到的IP报文进行绑定表匹配检查,可以有效的防止基于源地址欺骗的网络攻击行为。

说明: 
只有同时配置了learn client ip-address enable和ip source guard enable命令,IPSG功能才会生效。

开启STA地址学习功能,如果STA掉线后重新上线,可能无法在AC上查看STA的IP地址,配置IPSG功能可解决此问题。

l、去使能AP的DHCP信任功能

undo dhcp trust port

缺省情况下,服务集视图下AP的DHCP信任功能处于未使能状态。 如果用户侧存在私自架设的DHCP服务器,则可能导致STA获取错误的IP地址和网络配置参数,无法正常通信。在服务集视图下执行命令undo dhcp trust port后,AP发现从用户侧收到的报文中存在私设的DHCP服务器发送的DHCP OFFER/ACK/NAK等报文后,丢弃报文并向AC上报非法服务器的IP地址等信息。

m、去使能AP的ND信任功能

undo nd trust port

缺省情况下,服务集视图下AP的ND信任功能处于未使能状态。 如果用户侧存在私自架设的ND服务器,则可能导致STA获取错误的IPv6地址和网络配置参数,无法正常通信。在服务集视图下执行命令undo nd trust port后,AP发现从用户侧收到的报文中存在私设的ND服务器发送的ND OFFER/ACK/NAK等报文后,丢弃报文并向AC上报非法服务器的IPv6地址等信息。

n、配置在STA发送的DHCP报文中添加Option82选项

dhcp option82 insert enable

dhcp option82 remote-id format { ap-mac | ap-mac-ssid }

缺省情况下,未使能在STA发送的DHCP报文中添加Option82选项功能。 STA上线后通过DHCP方式获取IP地址,当STA发送的DHCP请求报文到达AP时,AP通过在DHCP请求报文中添加Option82选项,可以将AP的MAC地址或SSID发送给DHCP Server,从而使得DHCP Server能够根据Option82选项的内容定位出STA是从哪个AP上线。缺省情况下,STA发送的DHCP报文中添加的Option82的remote-id子选项的格式为ap-mac。

o、打开指定的VAP

service-mode enable

缺省情况下,VAP处于打开状态。当我们需要关闭一个服务集就可以使用该命令。

p、组播转单播功能

igmp-mode snooping

mld-mode snooping

缺省情况下,IPv4报文组播转单播功能处于关闭状态。 开启组播转单播功能后,AP通过侦听用户上报的组播报告报文和离开报文来维护组播转单播表项。当AP向客户端发送组播报文时,根据组播转单播表项,将组播数据报文转换为单播数据报文,从而提高组播数据流传输效率

q、配置服务集的类型

type { ac-management | ap-management | service }

管理型AC,管理型AP,服务集类型缺省。

undo type

恢复默认

5、(必选)服务集下绑定安全模板

security-profile { name profile-name | id profile-id }

缺省情况下,服务集没有绑定安全模板。

6、(必选)服务集下绑定流量模板

traffic-profile { name profile-name | id profile-id }

缺省情况下,服务集没有绑定流量模板。

7、(必选)服务集下绑定WLAN-ESS接口

wlan-ess wlan-ess-number

缺省情况下,服务集下没有绑定WLAN-ESS接口。