WLAN业务配置流程
5.1 WLAN模板引用关系
5.2 WLAN基本业务配置流程
5.3 AP组和AP
5.4 域管理模板
5.5 射频模板
5.6 空口扫描模板
5.7 RRM模板
5.8 VAP模板
5.9 SSID模板
5.10 认证模板
5.11 安全模板
5.12 流量模板
5.13 STA黑名单模板
5.14 STA白名单模板
5.15 AP系统模板
5.16 AP有线口模板
5.17 AP有线口链路模板
5.18 WIDS模板
5.19 SSID仿冒识别规则模板
5.20 WIDS白名单模板
5.21 定位模板
5.22 BLE模板
5.23 WDS模板
5.24 WDS白名单模板
5.25 Mesh模板
5.26 Mesh快切模板
5.27 Mesh白名单模板
5.28 IoT模板
5.29 串口模板
5.30 AP上线参数模板
5.31 模板的公共操作
5.1 WLAN模板引用关系
为了方便用户配置和维护WLAN的各个功能,针对WLAN的不同功能和特性设计了各种类型的模板,这些模板统称为WLAN模板。如图5-1所示,各个WLAN模板间存在着相互引用的关系,通过了解这些引用关系,明确WLAN模板的引用关系配置思路,便于用户顺利完成WLAN模板的配置。
如图5-1所示,AP组和AP下都能够引用如下模板:域管理模板、射频模板、VAP模板、AP系统模板、WIDS模板、定位模板、AP有线口模板、WDS模板、Mesh模板。部分模板例如射频模板还能继续引用其它模板,例如还能引用空口扫描模板和RRM模板。
图5-1 WLAN模板引用关系图
说明:
标有*的模板表示该模板存在缺省的模板。
AP上线参数模板不能引用到其它模板,只能手动下发配置到指定的AP或AP组,因此图中未展示。
AP射频下能直接引用部分模板,如射频模板、VAP模板、WDS模板、WDS白名单模板、Mesh模板和Mesh白名单模板。
IoT模板和串口模板是直接引用到物联网AP的IoT插卡接口视图下的,因此图中未展示。
WLAN模板的产生是为了方便WLAN功能的配置和维护,当用户在配置WLAN业务功能时,只需要在对应功能的WLAN模板中进行参数配置,配置完成后,将此模板引用到上一层模板或者引用到AP组或AP中,配置就会自动下发到AP,配置下发完成后,配置的功能就会直接在AP上生效。
说明:
如果一个WLAN模板引用到了上一层模板中,还需要配置上一层模板引用到AP组或AP中。
AP上线参数模板中的配置参数需要手动下发到AP才能生效,其它WLAN模板的配置参数会自动下发到AP。
例如需要配置空口扫描的参数,可以在空口扫描模板下配置具体参数,配置完成后,参考图5-1,先将空口扫描模板引用到射频模板,然后将射频模板引用到AP组或AP中,配置的空口扫描参数就会自动下发到AP上生效。如果各模板之间已经提前配置好了引用关系,在空口扫描模板下配置参数后,配置也会自动下发到AP。
5.2 WLAN基本业务配置流程
在配置WLAN基本业务过程中,用户可参照如图5-2的配置流程。
WLAN基本业务配置流程包括:
创建AP组。
配置网络互通。
配置AC系统参数。
配置AC为FIT AP下发WLAN业务。
图5-2 WLAN基本业务配置流程图
5.3 AP组和AP
WLAN网络中存在着大量的AP,通常很多AP都需要进行同样的配置,为了简化AP的配置操作步骤,可以将AP加入到AP组中,在AP组中统一对AP进行同样的配置。
但是每个AP也有着不同于其它AP的参数配置,不便于通过AP组来进行统一配置,这类个性化的参数可以直接在每个AP下配置。
每个AP在上线时都会加入并且只能加入到一个AP组中。当AP从AC上获取到AP组和AP个性化的配置后,会优先使用AP下的配置。
如果AP下没有配置,会直接使用AP组下的配置。
如果AP下存在配置,优先使用AP下的配置,但是如果AP下的配置不完整,则AP还会从AP组中获取AP下不存在的配置。
如果同一AP组内添加了多个性能不同的AP款型,且通过AP组统一下发配置,但是组内某AP的性能达不到AP组所下发的配置,则该配置对这个AP不生效。
如图5-3所示,AP ID为1的AP在获取配置时,未发现ID为1的AP下的配置,则此AP会直接使用其所属AP组“a”下的所有WLAN配置。
图5-3 AP组
如图5-4所示,AP ID为101的AP在获取配置时,发现ID为101的AP下存在个性化的配置,则此AP会优先使用AP下的所有配置。由于AP下只有域管理模板的配置,所以AP继续从其所属AP组“a”中获取除域管理模板以外的配置,例如图中所示的VAP模板、AP系统模板和其它模板等。
图5-4 AP组和AP
5.4 域管理模板 regulatory-domain-profile name profile-name
域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。
国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。具体配置请参见6.9.3 配置国家码。
通过配置调优信道集合,可以在配置射频调优功能时指定AP信道动态调整的范围,同时避开雷达信道和终端不支持信道。具体请参见8 射频资源管理。
对于5G频段,频率资源更为丰富,AP不仅支持20MHz带宽的信道,同样支持40MHz和80MHz带宽的信道。不同的调优带宽支持的调优信道不同,配置大带宽信道可获得更大的传输速率,但是射频调优需要3个或3个以上可选信道才能达到更优的调优效果,用户在配置调优时,需要考虑调优带宽和调优信道的匹配关系。具体请参见8 射频资源管理。
5.5 射频模板
射频模板主要用于优化射频的参数,以及配置信道切换业务不中断功能。具体请参见6.11.1 配置射频。
射频模板分为2G射频模板和5G射频模板,2G射频模板只对2.4GHz的射频生效,5G射频模板只对5GHz的射频生效。2G射频模板和5G射频模板的配置差异在于:
2G射频模板支持配置802.11bg的基础速率集和支持速率集。radio-2g-profile name profile-name
5G射频模板支持配置802.11a的基础速率集和支持速率集,支持802.11ac的相关配置。radio-5g-profile name profile-name
射频模板能够引用空口扫描模板和RRM模板。
空口扫描模板主要用于射频调优、频谱分析、定位和WIDS的数据分析,通过AP周期性地扫描周围的无线信号,并将扫描采集的信息上报给AC或服务器。
RRM模板主要用于保持最优的射频资源状态,通过自动检查周边无线环境、动态调整信道和发射功率等射频资源、智能均衡用户接入,从而调整无线信号覆盖范围,降低射频信号干扰,使无线网络能够快速适应无线环境变化,确保用户接入无线网络的服务质量。具体请参见8 射频资源管理。
5.6 空口扫描模板 air-scan-profile name profile-name
空口扫描模板主要用于射频调优和WIDS的数据分析,通过AP周期性地扫描周围的无线信号,并将扫描采集的信息上报给AC或服务器。
射频调优功能。
在射频调优时,合法AP需要扫描周围无线信号,收集周围合法AP、非法AP和非WIFI设备的信息,并上报给AC。
具体配置请参考8.7 配置射频调优。
WIDS(无线入侵检测系统)。
工作在监测模式的AP扫描信道监测周边的无线设备信息,通过侦听周围设备发送的WLAN报文来搜集周边的无线设备信息,将收集到的设备信息定期上报AC,由AC进行非法设备的判决。
具体配置请参考。
空口扫描模板需要被射频模板引用才能生效。
5.7 RRM模板 rrm-profile name profile-name
WLAN技术是以射频信号(例如频率为2.4GHz或5GHz的无线电磁波)作为传输介质的,无线电磁波在空气中的传播会因为周围环境影响而导致无线信号衰减等现象,进而影响无线用户上网的服务质量。通过配置射频资源管理,可以动态调整射频资源以适应无线信号环境的变化,提高用户上网的服务质量。
RRM模板主要用于保持最优的射频资源状态,通过自动检查周边无线环境、动态调整信道和发射功率等射频资源、智能均衡用户接入,从而调整无线信号覆盖范围,降低射频信号干扰,使无线网络能够快速适应无线环境变化,确保用户接入无线网络的服务质量。具体请参见8 射频资源管理。
RRM模板需要被射频模板引用才能生效。
5.8 VAP模板 vap-profile name profile-name
在VAP模板下配置各项参数,然后在AP组或AP中引用VAP模板,AP上就会生成VAP,VAP用来为STA提供无线接入服务。通过配置VAP模板下的参数,使AP实现为STA提供不同无线业务服务的能力。
VAP模板能够引用以下模板。
SSID模板主要用于配置WLAN网络的SSID名称,还可以配置禁止非HT终端接入功能、配置STA关联老化时间和DTIM周期参数,具体请参见配置SSID模板。
安全模板主要用于配置WLAN网络的安全策略,包括对STA的认证和加密。安全策略主要有开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WAPI-PSK和WAPI-证书,具体请参见12.8 配置WLAN安全策略。
流量模板主要用于配置WLAN网络的优先级映射和流量监管功能,优先级映射包括在STA和AP使能了WMM功能后,设置报文的上行优先级、上行隧道优先级和下行优先级映射方式,流量监管为对无线终端发送报文的速率进行限制,具体请参见11.7.2 配置优先级映射和11.7.3 配置流量监管。
认证模板主要用来统一管理NAC的配置信息,其中与接入协议相关的配置信息通过绑定接入模板(包括802.1x接入模板、MAC接入模板和Portal接入模板)来确定。认证模板配置完成后要绑定到接口或VAP模板下,实现对接入用户进行认证和控制。具体请参见NAC配置(统一模式)。
在VAP模板下配置各项参数,然后在AP组或AP中引用VAP模板,AP上就会生成VAP,VAP用来为STA提供无线接入服务。通过配置VAP模板下的参数,使AP实现为STA提供不同无线业务服务的能力。
VAP模板能够引用以下模板。
SSID模板主要用于配置WLAN网络的SSID名称,还可以配置禁止传统终端接入功能、配置STA关联老化时间和DTIM周期参数,具体请参见配置SSID模板。
安全模板主要用于配置WLAN网络的安全策略,包括对STA的认证和加密。安全策略主要有开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WAPI-PSK和WAPI-证书,具体请参见配置WLAN安全策略。
流量模板主要用于配置WLAN网络的优先级映射和流量监管功能,优先级映射包括在STA和AP使能了WMM功能后,设置报文的上行优先级、上行隧道优先级和下行优先级映射方式,流量监管为对无线终端发送报文的速率进行限制,具体请参见配置优先级映射和配置流量监管。
用户模板主要用于绑定QoS CAR模板,然后将用户模板绑定到VAP模板中,从而实现对绑定到VAP模板的单个用户进行限速,具体请参见配置流量监管。
认证模板主要用来统一管理NAC的配置信息,其中与接入协议相关的配置信息通过绑定接入模板(包括802.1x接入模板、MAC接入模板和Portal接入模板)来确定。认证模板配置完成后要绑定到接口或VAP模板下,实现对接入用户进行认证和控制。具体请参见配置NAC。
Hotspot2.0模板主要用于配置Hotspot2.0网络的各种参数,例如位置信息、运营商信息、漫游联盟信息等,让STA可以识别当前的网络,从而顺利接入运营商提供的网络,具体请参见Hotspot2.0配置。
智能应用控制模板主要用于应用协议识别与分类,利用业务感知技术,对报文和协议进行检测和识别,使得系统可以对各类应用进行智能分类,识别关键业务,保证其带宽,对非关键业务流量进行限制,实施精细化QoS策略控制。具体请参见配置SAC。
UCC模板主要用于配置微软Lync软件的语音、视频、桌面共享、文件传输等的报文优先级。具体请参见配置Lync。
5.9 SSID模板 ssid-profile profile-name
SSID用来指定不同的无线网络。在STA上搜索可接入的无线网络时,显示出来的网络名称就是SSID。
SSID模板主要用于配置WLAN网络的SSID名称,还可以配置其他功能,主要包括如下功能:
隐藏SSID功能:用户在创建无线网络时,为了保护无线网络的安全,可以对无线网络名称进行隐藏设置。这样,只有知道网络名称的无线用户才能连接到这个无线网络中。
单个VAP下能够关联成功的最大用户数:单个VAP下接入的用户数越多,每个用户能够使用的平均网络资源就越少,为了保证用户的上网体验,可以根据实际的网络状况配置合理的最大用户接入数。
用户数达到最大时自动隐藏SSID的功能:使能用户数达到最大时自动隐藏SSID的功能后,当WLAN网络下接入的用户数达到最大时,SSID会被隐藏,新用户将无法搜索到SSID。
禁止非HT终端接入功能:只支持802.11a、802.11b、802.11g类型协议的非HT终端,其数据传输速率远低于802.11n和802.11ac类型协议的终端。当非HT终端接入到无线网络中,会降低同网络中802.11n和802.11ac类型协议终端的数据传输速度。为保护802.11n和802.11ac类型协议终端的数据传输速度,可以禁止非HT终端接入。
STA关联老化时间:若AP连续一段时间内未收到用户的任何数据报文,当时间到达配置老化时间后,用户下线。
DTIM周期参数:DTIM周期表示间隔DTIM个Beacon帧后,下个Beacon帧中会携带DTIM指示,唤醒处于省电状态的STA,并向其传输AP上为之暂存的广播与组播帧。
SSID模板的具体配置请参见配置SSID模板。
5.10 认证模板
NAC能够实现对用户进行接入控制,为便于管理员配置NAC的相关功能,设备使用认证模板统一管理NAC的配置信息。通过配置认证模板下的参数(例如:配置认证模板下绑定的接入模板,确定认证模板的认证方式;之后应用该认证模板的接口或VAP模板采用以上认证方式对用户做认证),实现对不同的用户进行不同的接入控制。
具体配置请参见配置认证模板。
5.11 安全模板 security-profile name profile-name
配置WLAN安全策略,可以对无线终端进行身份验证,对用户的报文进行加密,保护WLAN网络和用户的安全。WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WAPI-PSK和WAPI-证书,在安全模板中选择其中一种进行配置。开放认证和WPA/WPA2-802.1X还需要和NAC一起配置,有效管理用户的接入。
对于无线终端接入WLAN网络业务,需要将安全模板引用到VAP模板,这样在无线终端通过SSID接入WLAN网络时,会根据VAP中配置的安全策略,完成身份认证后接入WLAN网络,具体配置请参见12.8 配置WLAN安全策略。
对于WDS业务,需要将安全模板引用到WDS模板,用于保证WDS的安全,建议为WDS配置WPA2+PSK+AES的安全策略。具体配置请参见13.8.5 配置安全模板。
对于Mesh业务,需要将安全模板引用到Mesh模板,用于保证Mesh的安全,建议为Mesh配置WPA2+PSK+AES的安全策略。具体配置请参见14.9.5 配置安全模板。
5.12 流量模板traffic-profile name profile-name
流量模板用于配置无线侧的优先级映射、流量监管、空口性能优化、基于ACL的报文过滤等功能。流量模板引用到VAP模板后,配置才会生效。
优先级映射
不同的报文使用不同的报文优先级。例如,STA发出的802.11报文中携带UP优先级或DSCP优先级,有线网络中的VLAN报文使用802.1p优先级,IP报文使用DSCP优先级。当报文经过不同网络时,为了保持报文的优先级,需要在设备上配置优先级字段的映射关系。
具体请参见11.7.2 配置优先级映射。
流量监管
为了保护网络资源,降低网络拥塞,可以通过配置流量监管,来限制用户进入WLAN网络的流量。在流量模板中可以配置VAP内所有STA或VAP内每个STA上下行报文的限制速率。
具体请参见11.7.3 配置流量监管。
流量优化
在无线网络中,需要转发的报文数量很大,很容易造成网络拥塞,导致无线网络性能下降。通过流量限制、组播优化等WLAN流量优化措施,实时调节无线网络中的流量,可以有效减少大量报文对无线网络造成的冲击,提升网络性能。
具体请参见20 WLAN流量优化。
基于ACL的报文过滤
通过配置基于ACL的报文过滤,对匹配ACL规则报文进行禁止/允许动作,可以实现对网络流量的控制。
具体请参见11.7.5 配置基于ACL的报文过滤。
基于ACL的报文重标记
通过配置基于ACL的报文重标记,对匹配ACL规则的报文进行优先级重标记,可以实现对无线报文的差分服务。
具体请参见11.7.6 配置基于ACL的报文重标记。
5.13 STA黑名单模板
STA黑名单模板内里包含了禁止接入的无线终端的MAC地址。如果只禁止少数无线终端接入WLAN网络,可以配置STA黑名单模板,并在AP系统模板或者VAP模板中引用。
在不同类别的模板引用STA黑名单模板时,其生效范围有所差异。
AP系统模板:基于AP生效。如果有AP使用该AP系统模板,则AP会包含该STA黑名单,对所有接入该AP的STA生效,包括该AP上的所有VAP。
VAP模板:基于VAP生效。如果有AP使用该模板,则AP上的STA黑名单,仅对接入对应VAP的STA生效。
具体配置请参见《配置指南-WLAN安全配置》中的12.9.2 配置STA黑名单模板。
5.14 STA白名单模板 sta-whitelist-profile name profile-nameSTA白名单模板内里包含了允许接入的无线终端的MAC地址。如果只允许少数无线终端接入WLAN网络,可以配置STA白名单模板,并在AP系统模板或者VAP模板中引用。
在不同类别的模板引用STA白名单模板时,其生效范围有所差异。
AP系统模板:基于AP生效。如果有AP使用该AP系统模板,则AP会包含该STA白名单,对所有接入该AP的STA生效,包括该AP上的所有VAP。
VAP模板:基于VAP生效。如果有AP使用该模板,则AP上的STA白名单,仅对接入对应VAP的STA生效。
具体配置请参见12.9.1 配置STA白名单模板。
5.15 AP系统模板ap-system-profile name profile-name
AP系统模板提供对AP系统参数的配置、引用用户黑白名单模板以及频谱分析。主要包括以下功能:
管理登录AP的方式。
通过AP的有线口登录到AP的方式有串口登录、STelnet登录、SFTP登录和Telnet登录方式,通过WLAN网络无线登录AP支持Telnet登录方式。在AP系统模板下可以开启或者关闭这些登录方式,以提高AP的登录安全性。具体请参考7.5 管理AP的有线登录和7.6 管理AP的无线登录。
管理AP离线管理VAP功能和天线对准VAP功能。
AP异常掉线时,无法通过AC来管理维护AP,可以通过开启AP离线管理VAP功能,然后通过无线Telnet方式连接上AP进行故障定位处理,省去了通过Console或网线直连AP的繁琐操作。
天线对准VAP功能则用于用户通过使用安装了天线对准APP软件的手机,关联SSID名为hw_manage_xxxx的隐藏无线网络,xxxx为AP MAC地址的后四位,接收天线对准VAP发送的报文,获取信号强度等信息,用于天线对准。
具体请参考13.9.2 配置天线对准VAP。
配置AP的管理VLAN。
在实际应用中,会将AP上行直连的接入设备接口的PVID配置为管理VLAN ID(具体请参见6.5 配置前须知),则AP发送的管理报文或隧道转发方式下的数据报文进入CAPWAP隧道,到达接入设备时,接入设备会给报文打上PVID的VLAN Tag。
如果接入设备的PVID已用作其它用途(例如为有线用户提供缺省VLAN Tag),不能在接入设备的接口上将PVID配置成管理VLAN ID,因此可以配置AP有线口发送的CAPWAP报文所携带的管理VLAN Tag功能。此时,AP预先将发送给AC的CAPWAP报文加上管理VLAN的VLAN Tag,AP直连的接入设备只需配置允许该VLAN通过即可。
具体请参考7.8.3 配置AP有线口携带的管理VLAN Tag功能。
配置CAPWAP断链业务保持功能。
为在直接转发方式下减小断链对用户造成的损失,提高了用户业务的可靠性,可以配置CAPWAP断链业务保持功能。同时为了使CAPWAP断链后,新的用户还能够接入到AP上,可以同时配置断链后允许新用户接入功能。注意当CAPWAP链路恢复后,AP将所有在线STA强制下线,让STA重新与该AP进行关联,并通过日志上报所有的STA信息。
具体请参考7.8.8 配置CAPWAP断链业务保持功能。
配置AP的PoE参数。
主要包括配置PoE供电功率参数、允许上电瞬间的高冲击电流功能和AP的PoE供电标准。具体请参考7.10 管理AP的PoE功能。
配置AP指示灯。
部署在医院、宾馆等室内的AP在工作时其指示灯的闪烁可能会对用户夜间的休息产生影响,因此在AP安装完成并正常工作后,可以关闭AP的指示灯,减少对用户的影响。
配置AP的告警功能。
用户可以通过配置AP告警阈值对AP进行实时监控。当监控项目超出用户设定的上限或者下限阈值时,AP通过产生告警或记录日志的方式通知AC,告知自身出现的状况。
在用户关联阶段,如果因安全类型不匹配、接入用户数达到最大值、用户CAC功能限制用户接入等原因导致用户无法上线,用户会自动重新连接。在这个阶段,AP会向AC发送大量的同样的用户无法关联告警,影响系统性能。
为了解决这个问题,可以通过配置AP的告警抑制功能,在告警抑制周期内,对于重复的告警,不会重复上报,从而避免了告警风暴的产生。
具体请参考7.8.4 配置AP的告警功能。
配置AP的日志备份和日志抑制功能。
日志用来记录用户执行的所有操作和系统运行时的相关信息,将日志备份到服务器上后,网络管理员通过对AP日志内容的分析、归纳,可以了解之前在AP上发生的操作,方便问题的分析和解决。
设备支持AP自动备份日志功能,配置AP自动备份日志功能后,AP产生的日志会自动发送给日志服务器。
如果由于干扰、信号不稳定等原因,导致无线用户不断尝试连接WLAN网络,则AP会在短时间内向AC发送大量的重复的用户上下线日志信息,严重浪费设备资源。
为了解决这个问题,可以使能日志抑制功能,这样在日志抑制周期内,AP只会发送一条同一用户的日志给AC,不会重复发送。
具体请参考7.8.5 配置AP的日志备份和日志抑制功能。
配置AP的LLDP功能。
通过LLDP功能,网络管理系统可以获得网络设备的拓扑、设备接口状态、管理地址等详细二层信息。
配置AP的LLDP功能后,AP可以向直连的邻居设备发送携带AP自身状态信息的LLDP报文,同时也能够解析邻居设备发送的LLDP报文。在AP发现邻居后,AP向AC发送邻居信息,网络管理系统可以通过AC获取AP的LLDP信息,从而掌握网络拓扑。
具体请参考7.8.6 配置AP的LLDP功能。
配置STA黑白名单生效范围。
将STA黑白名单最终应用到AP系统模板,使STA黑白名单在所有使用了此AP系统模板的AP上都生效。具体请参考12.9.3 应用配置到VAP模板或AP系统模板。
配置频谱分析功能的部分参数。
包括配置频谱服务器的IP地址、端口号,以及频谱分析时非Wi-Fi设备的信息在AC上的老化时间。具体请参考9.6.1 在AC上配置频谱分析功能。
5.16 AP有线口模板wired-port-profile name profile-name
AP有线口模板提供给对AP有线口的配置,AP有线口模板下能够引用AP有线口链路模板,AP有线口链路模板用来配置AP有线口的链路层参数,具体请参见7.9 管理AP有线口。
通过AP有线口模板主要可以配置:
将AP接口加入到指定Eth-Trunk。
AP有线口的STP功能、工作模式、DHCP信任功能。
AP有线口下的终端地址学习功能、IP报文绑定检查功能、动态ARP检测功能。
AP有线口下允许通过的最大广播报文、组播报文和未知单播报文流量。
AP有线口下的STP与接口Shutdown联动功能。
AP有线口下的IGMP Snooping功能。
5.17 AP有线口链路模板 port-link-profile name profile-name
AP有线口链路模板提供给对AP有线口链路层的配置。
通过AP有线口链路模板主要可以配置:
关闭或开启AP有线口。
正常使用AP有线口时,需要开启AP有线口。当网络中存在用户通过AP有线口恶意攻击网络时,可以关闭该有线口。具体请参见7.9 管理AP有线口。
AP有线口的LLDP功能和发布可选的TLV类型。
通过LLDP功能,可以获取AP的网络拓扑。具体请参考7.8.6 配置AP的LLDP功能。
AP有线口的PoE功能。
部分款型AP可以作为PSE设备为PD提供PoE供电,通过配置AP有线口的PoE功能,为PD设备提供合适的PoE输入。具体请参考7.10 管理AP的PoE功能。
AP有线口的CRC错误告警功能。
具体请参见7.9 管理AP有线口。
5.18 WIDS模板wids-profile name profile-name
WIDS模板提供了一种保障WLAN网络安全的机制,将WIDS模板引用到AP组或者AP,使其生效,请参见12.6 配置非法设备检测和反制和12.7 配置攻击检测和动态黑名单。
WIDS模板中包括以下内容。
WIDS设备检测和反制
检测AP覆盖范围内的WLAN设备,并判断设备是否合法。
可以配置SSID仿冒识别规则模板和WIDS白名单模板,分别用于识别仿冒的SSID和将信任的设备加入白名单。配置模板后,将模板引用到WIDS模板。
对检测出的非法设备进行反制,避免非法STA接入网络,或者STA接入非法AP。
WIDS攻击检测和动态黑名单
检测当前网络中可能存在攻击行为的WLAN设备,其中攻击行为包括泛洪攻击、弱IV向量攻击、欺骗攻击和暴力****攻击。
使能动态黑名单功能,将检测到的攻击设备加入动态黑名单,丢弃这些设备发送的报文。
5.19 SSID仿冒识别规则模板wids-spoof-profile name profile-name
在银行、机场等公共场所提供WLAN上网服务,用户搜索到SSID后接入网络。但是如果存在私设AP,并设置与合法SSID相同或相似的SSID,用户搜索SSID时,有可能误接入到私设AP,存在安全隐患。为了解决此问题,可以配置SSID的模糊匹配规则,识别出仿冒SSID。设备检测到SSID后,如果发现SSID和规则匹配,则判断此SSID是仿冒SSID,使用该SSID的AP为非法AP。开启非法AP反制功能后,对非法AP进行反制,使用户从仿冒SSID下线。
具体配置请参见12.6.5 (可选)配置SSID仿冒识别规则。
5.20 WIDS白名单模板wids-whitelist-profile name profile-name
如果无线信号覆盖范围内,还存在其他网络或厂商的AP在正常工作,设备会检测到并将其识别为非法AP,如果开启非法设备反制功能,会对这些AP的业务造成影响。此时可以将AP加入WIDS白名单,包括合法MAC地址表、合法OUI表和合法SSID表。对于检测到的非法AP,如果在合法MAC地址表中存在,则判断其为合法AP;如果在合法MAC地址表中不存在,其OUI和使用的SSID必须同时在合法OUI表和合法SSID表中存在,才判断其为合法AP。
具体配置请参见《配置指南-WLAN安全配置》中的12.6.6 (可选)配置WIDS白名单。
5.21 定位模板location-profile name profile-name
定位模板主要用于使能WLAN定位功能,配置定位服务器参数,以及AP上报定位信息的方式。具体请参见16 Wi-Fi Tag定位配置、17 终端定位配置和18 蓝牙定位配置。
5.22 BLE模板
蓝牙终端定位技术是指利用BLE(Bluetooth Low Energy)设备和定位系统通过iBeacon协议对蓝牙终端进行定位的技术。内置蓝牙模块的AP收集BLE设备信息通过AC上报给服务器,服务器将地图和BLE位置等数据通过APP应用服务器发送到蓝牙终端,配合定位APP计算出该终端的位置信息。也可以通过AP收集蓝牙终端定位报文信息上报给AC或者定位服务器,实现在服务器侧定位。
蓝牙Tag定位技术是指利用蓝牙Tag标签和定位系统通过BLE协议对蓝牙Tag进行定位的技术。内置蓝牙模块的AP将收集到的蓝牙Tag标签的信息报文上送到定位服务器进行定位。
蓝牙数据透传技术是指通过内置蓝牙模块的AP收集蓝牙客户端(例如蓝牙体温计、蓝牙血压计、蓝牙心跳仪等)的数据上传至服务器,实现对各客户端的数据采集。
具体配置请参见18.6 蓝牙定位配置。
5.23 WDS模板
WDS模板包含了配置WDS功能所需要的主要参数。AP组或指定AP的射频引用WDS模板,是AP射频建立WDS链路的基本条件。
在配置WDS业务时,WDS模板主要与以下模板配合使用:
安全模板:WDS模板引用安全模板后,建立的WDS链路会引用安全模板的配置参数,建议为WDS使用的安全模板配置WPA2+PSK+AES的安全策略,确保WDS链路的安全。
WDS白名单模板:WDS白名单模板里记录的是WDS链路允许接入的邻居AP的MAC地址。AP射频引用WDS白名单模板后,只有匹配了白名单中的MAC的邻居AP才被允许接入,其他的邻居AP被拒绝接入。在WDS中,只有射频工作在root模式和middle模式的AP才能配置白名单,工作在leaf模式下的AP不需要配置。wds-whitelist-profile name whitelist-name
说明:
匹配了白名单的邻居AP,仍需要通过安全认证,才能成功建立起无线虚链路。
如果AP射频没有引用WDS白名单模板,则所有的邻居AP都允许接入。
AP组射频或指定AP射频:用户可以直接为AP组的射频或指定AP的射频配置射频的主要特征参数,主要包括:射频工作信道和带宽、天线增益、发射功率、射频覆盖距离等。如,在配置WDS时,需要将WDS节点AP的射频配置为同一信道。
射频模板:射频模板分为2G射频模板和5G射频模板,用户可以通过射频模板配置WDS链路的其他射频参数。
缺省情况下,系统已经创建名称为“default”的WDS模板。无论是“default”还是用户自定义创建的WDS模板,缺省情况下均会引用系统已经创建的名称为“default-wds”的安全模板,“default-wds”的安全策略为WPA2+PSK+AES,安全**为“huawei_secwds”。为了安全起见,如果用户使用缺省的安全模板“default-wds”,建议用户修改“default-wds”的安全**。
5.24 WDS白名单模板
WDS白名单模板里记录的是WDS链路允许接入的邻居AP的MAC地址。AP射频引用WDS白名单模板后,只有匹配了白名单中的MAC的邻居AP才被允许接入,其他的邻居AP被拒绝接入。在WDS中,只有射频工作在root模式和middle模式的AP才能配置白名单,工作在leaf模式下的AP不需要配置。
说明:
匹配了白名单的邻居AP,仍需要通过安全认证,才能成功建立起无线虚链路。
如果AP射频没有引用WDS白名单模板,则所有的邻居AP都允许接入。
5.25 Mesh模板
Mesh模板包含了配置Mesh功能所需要的主要参数。AP组或指定AP的射频引用Mesh模板,是AP射频建立Mesh链路的基本条件。
在配置Mesh业务时,Mesh模板主要与以下模板配合使用:
安全模板:Mesh模板引用安全模板后,建立的Mesh链路会引用安全模板的配置参数,建议为Mesh使用的安全模板配置WPA2+PSK+AES的安全策略,确保Mesh链路的安全。
说明:
仅轨交场景支持配置安全策略为open。
Mesh白名单模板:Mesh白名单模板里记录的是Mesh链路允许接入的邻居AP的MAC地址。AP射频引用Mesh白名单模板后,只有匹配了白名单中的MAC的邻居AP才被允许接入,其他的邻居AP被拒绝接入。在普通的Mesh组网中,必须为Mesh节点配置Mesh白名单。
说明:
匹配了白名单的邻居AP,仍需要通过安全认证,才能成功建立起无线虚链路。
在AT接入应用场景中,使能Mesh模板的FWA功能后,Mesh节点可以不配Mesh白名单,则所有的邻居AT设备均允许接入到该Mesh节点。
AP组射频或指定AP射频:用户可以直接为AP组的射频或指定AP的射频配置射频的主要特征参数,主要包括:射频工作信道和带宽、天线增益、发射功率、射频覆盖距离等。如,在配置Mesh时,需要将Mesh节点AP的射频配置为同一信道。
射频模板:射频模板分为2G射频模板和5G射频模板,用户可以通过射频模板配置Mesh链路的其他射频参数。
AP有线口模板:AP有线口模板用来配置AP有线口参数和Mesh角色。用户在配置Mesh业务时,需要根据实际情况配置AP有线口参数,使Mesh网络能承载用户业务。如,在配置Mesh业务时,如果Mesh网络承载的WLAN业务使用直接转发,则需要将Mesh相关节点AP的有线口配置为允许业务VLAN通过。
Mesh快切模板:Mesh模板引用Mesh快切模板后,使Mesh模板具备Mesh快切功能,仅适用于车地通信快速切换的场景中。Mesh快切模板与Mesh模板的FWA功能互斥,使能了FWA功能的Mesh模板不能引用Mesh快切模板。
缺省情况下,系统已经创建名称为“default”的Mesh模板。无论是“default”还是用户自定义创建的Mesh模板,缺省情况下均会引用系统已经创建的名称为“default-mesh”的安全模板,“default-mesh”的安全策略为WPA2+PSK+AES,安全**为“huawei_secmesh”。为了安全起见,如果用户使用缺省的安全模板“default-mesh”,建议用户修改“default-mesh”的安全**。
5.26 Mesh快切模板
Mesh模板引用Mesh快切模板后,使Mesh模板具备Mesh快切功能,仅适用于车地通信快速切换的场景中。Mesh快切模板与Mesh模板的FWA功能互斥,使能了FWA功能的Mesh模板不能引用Mesh快切模板。
5.27 Mesh白名单模板
Mesh白名单模板:Mesh白名单模板里记录的是Mesh链路允许接入的邻居AP的MAC地址。AP射频引用Mesh白名单模板后,只有匹配了白名单中的MAC的邻居AP才被允许接入,其他的邻居AP被拒绝接入。在普通的Mesh组网中,必须为Mesh节点配置Mesh白名单。
说明:
匹配了白名单的邻居AP,仍需要通过安全认证,才能成功建立起无线虚链路。
在AT接入应用场景中,使能Mesh模板的FWA功能后,Mesh节点可以不配Mesh白名单,则所有的邻居AT设备均允许接入到该Mesh节点。
5.28 IoT模板
IoT提供对AP与上位机的通信参数的配置:
上位机的IP地址和端口号:
AP上报数据给上位机前,需要配置上位机的IP地址和端口号,否则AP上报的串口数据将被丢弃。
代理信任主机:
配置代理信任主机,使得只有指定IP地址范围内的主机才能与AP通信并下发配置,防止AP受到非法设备的攻击。如果不配置代理信任主机,则其他主机也能给AP下发IoT插卡的配置信息。
共享**:
为了提升数据通信的安全性,用户可以配置共享**,用于AP与上位机间报文的加密。上位机上需要配置和AP相同的共享**。
本端端口号:
IoT插槽的端口号是区分不同插槽的标识,也是AP和上位机通信的必要配置。
具体请参见19.6.2 配置AP与上位机的通信参数。
5.29 串口模板
IoT插卡和AP通过串口方式通信。每个IoT插卡接口使用独立的串口通信参数和串口分包参数,串口通信参数和串口分包参数可在串口模板下配置。
具体请参见19.6.1 配置AP与IoT插卡的通信参数。
5.30 AP上线参数模板
为便于维护和管理,部分需要登录到FIT AP上执行的命令,也支持在AC设备的AP上线参数模板中直接配置,配置完成后,手动下发配置给指定的AP或AP组即可。具体请参见7.2 配置AP上线参数(AP上线参数配置视图)或7.4.5 切换AP的运行模式。
AP上线参数模板中的参数是用来配置AP上线过程中需要使用到的参数信息,主要包括:
AP的名称、AP加入的AP组、AP获取IP地址的方式、AP的静态IP地址、AP的网关和AP对应的AC的IP地址列表。
AP的运行模式。配置AP的运行模式在FAT模式和云模式间切换。
5.31 模板的公共操作
拷贝模板
为提高配置效率,可以拷贝其它模板下的配置到当前的模板中,然后对需要修改的个别参数进行重新配置。
例如VAP模板“a”需要拷贝VAP模板“b”下的配置,需要在VAP模板“a”下执行copy-from profile-name就可以完成拷贝。具体操作步骤如下:
system-view
[HUAWEI] wlan
[HUAWEI-wlan-view] vap-profile name a
[HUAWEI-wlan-vap-prof-a] copy-from b
说明:
一个模板只能拷贝同一类型的另外一个模板中的配置,不能拷贝不同类型模板中的配置。例如VAP模板只能拷贝其它VAP模板的配置,不能拷贝射频模板的配置。
如果其它模板引用了当前的模板,则当前的模板不能再执行拷贝操作。例如AP组引用了VAP模板“a”,则VAP模板“a”不能再执行拷贝操作。
查看模板引用信息
模板配置完成后,为查看当前模板都引用到了哪些对象中,可以通过执行命令display references profile-type name profile-name来查询,其中profile-type是模板的类型名称,通过在任意视图下输入display references ?可以获取所有能够查看的profile-type及其简单描述。例如查看名为“default”的2G射频模板被哪些对象引用,可以通过命令display references radio-2g-profile name default来查看。