大型园区网络内网安全部署一般方法和配置案例

1、园区网络安全所涉及的内容

如下图,大型园区网络安全一般包括两个方面,内部和外部的网络安全:

图片[1]-大型园区网络内网安全部署一般方法和配置案例-不念博客

在两个方向上加强安全防护的一般思路如下:

# 园区内网安全

1)设备登录安全

  • 如果是本地Console登录,强烈建议使用用户名和密码登录
  • 如果是远程登录,则建议使用安全性较高的SSH协议(STelnet登录)

2)不同网络层次的安全

比如:

  • 接入层:作为园区网络的边界,需要防止非法的终端和用户进入网络,同时控制二层流量的转发行为
  • 核心层:作为网络的关键位置,其安全性更为重要,当核心设备作为集中认证点时,需要考虑CPU性能要能满足处理大量用户接入时的协议报文的能力,当核心设备作为网关时,还需考虑其ARP安全。

3)无线业务安全

  • 对非法入侵的设备和非法攻击的用户进行检测和反制,保护无线网络边界的安全
  • 对用户接入的合法性和安全性进行认证,保证用户业务数据的安全

# 园区出口安全

1)上网行为管理

针对内网员工访问外部网络的行为,开启URL过滤、文件过滤、内容过滤、应用行为控制、反病毒等功能,既保护内网主机不受外网威胁,又可以防止企业机密信息的泄露,提高企业网络的安全性。

2)边界防护

将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。

根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对文件服务器开启文件过滤和内容过滤,针对邮件服务器开启邮件过滤,并且针对所有服务器开启反病毒和入侵防御。

2、园区内网安全配置

2.1、设备登录安全配置

登录网络设备的方式主要有以下两种:

  • 本地Console
  • 远程STelnet(SSH)
2.1.1、本地Console口登录安全配置

通过Console口(也称串口)登录交换机是登录设备的最基本方式,也是其他登录方式的基础。

通过配置Console口用户界面的认证方式、用户的认证信息和用户级别,可以保证Console登录的安全性。

注意事项:

如果用户通过Console口登录设备再进行Console用户界面配置,所配置的属性需退出当前登录,再次通过Console口登录才会生效。

# 配置步骤如下:

1)配置Console用户界面的认证方式

<HUAWEI> system-view
[HUAWEI] user-interface console 0            # 进入Console用户界面
[HUAWEI-console0] authentication-mode aaa    # 配置认证方式为AAA,默认情况下即AAA
[HUAWEI-console0] quit

2)配置Console用户的认证信息及用户级别

[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202403   # 创建本地用户admin123,登录密码为YsHsjx_202403
[HUAWEI-aaa] local-user admin123 privilege level 15    # 配置本地用户admin123的级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa] local-user admin123 service-type terminal    # 配置本地用户admin123的接入类型为终端用户,即Console用户
2.1.2、远程STelnet登录安全配置

Telnet协议存在安全风险,而STelnet则基于SSH协议,实现了在不安全网络上提供安全的远程登录,提供安全信息保障和强大认证功能,保护交换机不受IP欺骗等攻击。

注意事项:

  • 配置前保证网络间互联互通
  • STelnet V1协议存在安全风险,建议使用STelnet V2登录设备
  • 通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置VTY用户界面认证方式为AAA认证
  • 为充分保证设备安全,需定期修改密码

# 配置步骤如下:

1)配置VTY用户界面的支持协议类型、认证方式和用户级别

[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] authentication-mode aaa    # 配置VTY用户界面认证方式为AAA认证
[HUAWEI-ui-vty0-4] protocol inbound ssh       # 配置VTY用户界面支持的协议为SSH,默认情况下即SSH
[HUAWEI-ui-vty0-4] user privilege level 15    # 配置VTY用户界面的级别为15
[HUAWEI-ui-vty0-4] quit

2)开启STelnet服务器功能并创建SSH用户

[HUAWEI] stelnet server enable    # 使能设备的STelnet服务器功能
[HUAWEI] ssh user admin123        # 创建SSH用户admin123
[HUAWEI] ssh user admin123 service-type stelnet    # 配置SSH用户的服务方式为STelnet

3)配置SSH用户认证方式

  • 配置SSH用户认证方式为Password使用Password认证方式时,需要在AAA视图下配置与SSH用户同名的本地用户。
[HUAWEI] ssh user admin123 authentication-type password    # 配置SSH用户认证方式为password
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206    # 创建与SSH用户同名的本地用户和对应的登录密码
[HUAWEI-aaa] local-user admin123 privilege level 15    # 配置本地用户级别为15
[HUAWEI-aaa] local-user admin123 service-type ssh      # 配置本地用户的服务方式为SSH
[HUAWEI-aaa] quit
  • 配置SSH用户认证方式为RSADSAECC使用RSADSAECC认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。

下面以ECC认证方式为例,RSADSA认证方式步骤类似:

[HUAWEI] ssh user admin123 authentication-type ecc       # 配置SSH用户认证方式为ecc
[HUAWEI] ecc peer-public-key key01 encoding-type pem     # 配置ECC公共密钥编码格式,并进入ECC公共密钥视图,key01为公共密钥名称
Enter "ECC public key" view, return system view with "peer-public-key end".
[HUAWEI-ecc-public-key] public-key-code begin            # 进入公共密钥编辑视图
Enter "ECC key code" view, return last view with "public-key-code end".
[HUAWEI-dsa-key-code] 308188                             # 拷贝复制客户端的公钥,为十六进制字符串
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-ecc-key-code] 171896FB 1FFC38CD
[HUAWEI-ecc-key-code] 0203
[HUAWEI-ecc-key-code] 010001
[HUAWEI-ecc-key-code] public-key-code end                # 退回到公共密钥视图
[HUAWEI-ecc-public-key] peer-public-key end              # 退回到系统视图
[HUAWEI] ssh user admin123 assign ecc-key key01          # 为用户admin123分配一个已经存在的公钥key01

4)在服务器端生成本地密钥对

[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC.
Info: The key modulus can be any one of the following: 256, 384, 521.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=521]:521
Info: Generating keys..........
Info: Succeeded in creating the ECC host keys.

2.2、接入层设备安全配置

接入层作为园区网络的边界,为各种终端接入网络,需要防止非法的终端和用户进入网络。

此外,接入层设备还承载二层流量转发的功能,需要对二层流量的转发行为进行控制。

下面就不同方面进行示例配置:

# 配置流量抑制功能示例

<HUAWEI> system-view
[HUAWEI] suppression mode by-bits                                      # 配置全局流量抑制模式
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] broadcast-suppression cir 1000           # 配置接口入方向的未知广播流量抑制
[HUAWEI-GigabitEthernet0/0/1] multicast-suppression cir 1000           # 配置接口入方向的未知组播流量抑制           
[HUAWEI-GigabitEthernet0/0/1] unicast-suppression cri 1000             # 配置接口入方向的未知单播流量抑制
[HUAWEI-GigabitEthernet0/0/1] broadcast-suppression block outbound     # 配置阻断接口出方向的广播流量
[HUAWEI-GigabitEthernet0/0/1] multicast-suppression block outbound     # 配置阻断接口出方向的组播流量
[HUAWEI-GigabitEthernet0/0/1] unicast-suppression block outbound       # 配置阻断接口出方向的单播流量

# 配置风暴控制功能示例

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000    # 配置广播风暴控制
[HUAWEI-GigabitEthernet0/0/1] storm-control multicast min-rate 1000 max-rate 2000    # 配置未知组播风暴控制
[HUAWEI-GigabitEthernet0/0/1] storm-control unicast min-rate 1000 max-rate 2000      # 配置未知单播风暴控制
[HUAWEI-GigabitEthernet0/0/1] storm-control action block                             # 配置风暴控制的动作
[HUAWEI-GigabitEthernet0/0/1] storm-control enable log                               # 使能风暴控制时记录日志的功能
[HUAWEI-GigabitEthernet0/0/1] storm-control interval 90                              # 配置风暴控制的检测时间间隔

# 配置DHCP Snooping功能示例

<HUAWEI> system-view
[HUAWEI] dhcp enable                                  # 使能DHCP功能
[HUAWEI] dhcp snooping enable                         # 使能全局DHCP Snooping功能   
[HUAWEI] interface gigabitethernet 0/0/1              # 进入用户侧接口
[HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable    # 使能DHCP Snooping功能
[HUAWEI-GigabitEthernet0/0/1] quit                    
[HUAWEI] interface gigabitethernet 0/0/2              # 进入直接或间接连接DHCP服务器的接口
[HUAWEI-GigabitEthernet0/0/2] dhcp snooping trusted   # 配置该接口为信任接口

# 配置IPSG功能示例

  • 配置基于静态绑定表的IPSG功能示例
<HUAWEI> system-view
[HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 00e0-fc01-0001     # 创建静态绑定表项
[HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 00e0-fc02-0002    # 创建静态绑定表项
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable               # 使能IP报文检查功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable         # 使能IP报文检查告警功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100  # 配置IP报文检查告警阈值
  • 配置基于DHCP Snooping动态绑定表的IPSG功能示例

配置前需要配置DHCP Snooping功能并生成DHCP Snooping动态绑定表

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1             
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable                 # 使能IP报文检查功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable           # 使能IP报文检查告警功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100    # 配置IP报文检查告警阈值

# 配置ND Snooping功能示例

<HUAWEI> system-view
[HUAWEI] nd snooping enable                          # 使能全局ND Snooping功能   
[HUAWEI] interface gigabitethernet 0/0/1             # 进入用户侧接口
[HUAWEI-GigabitEthernet0/0/1] nd snooping enable     # 使能ND Snooping功能
[HUAWEI-GigabitEthernet0/0/1] quit                    
[HUAWEI] interface gigabitethernet 0/0/2             #进入直接或间接连接网关的接口
[HUAWEI-GigabitEthernet0/0/2] nd snooping trusted    # 配置该接口为信任接口

# 配置DAI功能示例

配置前需要配置DHCP Snooping功能并生成DHCP Snooping动态绑定表或手动添加静态绑定表

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1           
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind enable      # 使能动态ARP检测功能
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind check-item ip-address  # 配置ARP报文绑定表匹配检查时只检查IP地址
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable           # 使能动态ARP检测丢弃报文告警功能
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm threshold 100    # 配置动态ARP检测丢弃报文告警阈值

# 配置端口安全功能示例

  • 接入用户变动比较频繁可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable                      # 使能端口安全功能
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1               # 配置端口安全MAC地址学习限制数
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict     # 配置端口安全保护动作
[HUAWEI-GigabitEthernet0/0/1] port-security aging-time 100              # 配置端口安全动态MAC地址的老化时间
  • 接入用户变动较少可以通过端口安全把动态MAC地址转换为Sticky MAC地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable                    # 使能端口安全功能
[HUAWEI-GigabitEthernet0/0/1] port-security mac-address sticky        # 使能接口Sticky MAC功能
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1             # 配置端口安全MAC地址学习限制数
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict   # 配置端口安全保护动作
  • 接入用户变动较少,且数量较少可以通过配置为安全静态MAC地址,实现MAC地址表项的绑定
<HUAWEI> system-view
[HUAWEI] port-security static-flapping protect                          # 使能静态MAC地址漂移的检测功能
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable                      # 使能端口安全功能
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1               # 配置端口安全MAC地址学习限制数
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict     # 配置端口安全保护动作

# 配置端口隔离功能示例

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-isolate enable                        # 配置该接口的端口隔离功能

2.3、核心层设备安全配置

核心层作为网络的关键位置,其安全性更为重要,当核心设备作为集中认证点时,需要考虑CPU性能要能满足处理大量用户接入时的协议报文的能力。

当核心设备作为网关时,需考虑其ARP安全。

下面就不同方面进行示例配置:

# 配置CPU防攻击功能示例

<HUAWEI> system-view
[HUAWEI] acl number 2001
[HUAWEI-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] quit
[HUAWEI] cpu-defend policy test                                      # 创建防攻击策略,并进入防攻击策略视图
[HUAWEI-cpu-defend-policy-test] car packet-type http cir 120         # 配置协议未建立连接时报文的CPCAR值
[HUAWEI-cpu-defend-policy-test] linkup-car packet-type http cir 120  # 配置协议连接建立时协议报文的CPCAR值
[HUAWEI-cpu-defend-policy-test] deny packet-type icmp                # 配置对上送CPU的报文动作为丢弃
[HUAWEI-cpu-defend-policy-test] blacklist 1 acl 2001                 # 配置CPU防攻击黑名单
[HUAWEI-cpu-defend-policy-test] quit
[HUAWEI] cpu-defend application-apperceive enable                    # 使能全局动态链路保护功能
[HUAWEI] cpu-defend application-apperceive http enable               # 使能协议报文的动态链路保护功能   

# 配置攻击溯源功能示例

<HUAWEI> system-view
[HUAWEI] acl number 2001
[HUAWEI-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] quit
[HUAWEI] cpu-defend policy test                                     # 创建防攻击策略,并进入防攻击策略视图
[HUAWEI-cpu-defend-policy-test] auto-defend enable                  # 使能攻击溯源功能
[HUAWEI-cpu-defend-policy-test] auto-defend alarm enable            # 使能攻击溯源事件上报功能
[HUAWEI-cpu-defend-policy-test] auto-defend whitelist 1 acl 2001    # 配置攻击溯源白名单
[HUAWEI-cpu-defend-policy-test] auto-defend action deny             # 使能攻击溯源的惩罚功能,并指定惩罚措施

# 配置端口防攻击功能示例

<HUAWEI> system-view
[HUAWEI] acl number 2001
[HUAWEI-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] quit
[HUAWEI] cpu-defend policy test                                      # 创建防攻击策略,并进入防攻击策略视图
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable              # 使能端口防攻击功能
[HUAWEI-cpu-defend-policy-test] auto-port-defend alarm enable        # 使能端口防攻击事件上报功能
[HUAWEI-cpu-defend-policy-test] auto-defend whitelist 1 acl 2001     # 配置端口防攻击白名单

# 配置用户级限速功能示例

<HUAWEI> system-view
[HUAWEI] cpu-defend host-car enable               # 使能用户级限速功能

# 配置ARP报文限速功能示例

<HUAWEI> system-view
[HUAWEI] arp anti-attack rate-limit enable                           # 使能全局ARP报文限速功能
[HUAWEI] arp speed-limit source-mac 00e0-fc01-0001 maximum 20        # 配置根据源MAC地址进行ARP报文限速的限速值
[HUAWEI] arp speed-limit source-ip 10.1.1.1 maximum 20               # 配置根据源IP地址进行ARP报文限速的限速值

# 配置ARP Miss消息限速功能示例

<HUAWEI> system-view
[HUAWEI] arp-miss anti-attack rate-limit enable                       # 使能全局ARP Miss报文限速功能
[HUAWEI] arp-miss speed-limit source-mac 00e0-fc01-0001 maximum 20    # 配置根据源MAC地址进行ARP Miss报文限速的限速值
[HUAWEI] arp-miss speed-limit source-ip 10.1.1.1 maximum 20           # 配置根据源IP地址进行ARP Miss报文限速的限速值

# 配置临时ARP表项的老化功能示例

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] arp-fake expire-time 3                  # 配置临时ARP表项的老化时间

# 配置禁止过路ARP报文上送CPU功能示例

<HUAWEI> system-view
[HUAWEI] interface vlanif 10 
[HUAWEI-Vlanif10] arp optimized-passby enable                         # 配置禁止过路ARP报文上送CPU

# 配置ARP优化应答功能示例

<HUAWEI> system-view
[HUAWEI] undo arp optimized-reply disable                              # 使能ARP优化应答功能

# 配置ARP表项严格学习功能示例

<HUAWEI> system-view
[HUAWEI] arp learning strict                                           # 使能全局ARP表项严格学习功能
[HUAWEI] quit

# 配置ARP表项限制功能示例

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] arp-limit maximum 20                     # 配置限制接口能够学习到的最大动态ARP表项数目

# 配置禁止接口学习ARP表项功能示例

<HUAWEI> system-view
[HUAWEI] interface vlanif 10 
[HUAWEI-Vlanif10] arp learning disable                                 # 配置禁止接口学习动态ARP表项

# 配置ARP表项固化功能示例

<HUAWEI> system-view
[HUAWEI] arp anti-attack entry-check fixed-mac enable                 # 使能全局的ARP表项固化功能

# 配置ARP防网关冲突功能示例

<HUAWEI> system-view
[HUAWEI] arp anti-attack gateway-duplicate enable                     # 使能ARP防网关冲突攻击功能

# 配置发送ARP免费报文功能示例

<HUAWEI> system-view
[HUAWEI] arp gratuitous-arp send enable                               # 使能发送免费ARP报文的功能
[HUAWEI] arp gratuitous-arp send interval 60                          # 使能发送免费ARP报文的时间间隔

# 配置ARP报文内MAC地址一致性检查功能示例

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] arp validate source-mac destination-mac  # 使能ARP报文内MAC地址一致性检查功能

# 配置ARP报文合法性检查功能示例

<HUAWEI> system-view
[HUAWEI] arp anti-attack packet-check ip dst-mac sender-mac            # 使能ARP报文合法性检查功能

# 配置DHCP触发ARP学习功能示例

<HUAWEI> system-view
[HUAWEI] interface vlanif 10 
[HUAWEI-Vlanif10] arp learning dhcp-trigger                           # 使能DHCP触发ARP学习功能

2.4、无线业务安全配置

通过对非法入侵的设备和非法攻击的用户进行检测和反制,保护无线网络边界的安全;

对用户接入的合法性和安全性进行认证,保证用户无线业务数据的安全。

# 配置WIDS/WIPS功能

  • 配置设备检测和反制
<Huawei> system-view
[Huawei] wlan
[Huawei-wlan-view] ap-id 0
[Huawei-wlan-ap-0] radio 0
[Huawei-wlan-radio-0/0] wids device detect enable                # 使能设备检测功能
[Huawei-wlan-radio-0/0] wids contain enable                       # 使能设备反制功能
[Huawei-wlan-radio-0/0] quit
[Huawei-wlan-ap-0] quit
[Huawei-wlan-view] wids-profile name wlan-wids                   # 创建WIDS模板
[Huawei-wlan-wids-prof-wlan-wids] contain-mode spoof-ssid-ap         # 配置对非法设备或干扰设备的反制模式
[Huawei-wlan-wids-prof-wlan-wids] quit                         
[Huawei-wlan-view] ap-id 0
[Huawei-wlan-ap-0] wids-profile wlan-wids                        # 在AP中引用WIDS模板
  • 配置攻击检测和动态黑名单功能
<Huawei> system-view
[Huawei] wlan
[Huawei-wlan-view] ap-id 0
[Huawei-wlan-ap-0] radio 0
[Huawei-wlan-radio-0/0] wids attack detect enable all           # 使能攻击检测功能
[Huawei-wlan-radio-0/0] quit
[Huawei-wlan-ap-0] quit
[Huawei-wlan-view] wids-profile name wlan-wids                  # 创建WIDS模板
[Huawei-wlan-wids-prof-wlan-wids] dynamic-blacklist enable          # 使能动态黑名单功能
[Huawei-wlan-wids-prof-wlan-wids] quit                         
[Huawei-wlan-view] ap-id 0
[Huawei-wlan-ap-0] wids-profile wlan-wids                       # 在AP中引用WIDS模板

# 配置安全策略功能

WLAN安全策略均在安全模板内配置,模板下仅能配置一种安全策略。用户可以根据需要,创建多个安全模板来承载不同的安全策略,应用于不同的VAP

这里以配置WPA2-PSK-AES认证为例:

<Huawei> system-view
[Huawei] wlan
[Huawei-wlan-view] security-profile name wlan-security           # 创建安全模板
[HUAWEI-wlan-sec-prof-wlan-security] security wpa2 psk pass-phrase YsHsjx_202206 aes  # 配置安全策略为WPA2-PSK-AES
[HUAWEI-wlan-sec-prof-wlan-security] quit
[Huawei-wlan-view] vap-profile name vap1                          # 创建VAP模板
[HUAWEI-wlan-vap-prof-vap1] security-profile wlan-security        # 在VAP模板中引用安全模板

# 配置STA黑白名单功能示例

<Huawei> system-view
[Huawei] wlan
[Huawei-wlan-view] sta-whitelist-profile name sta-whitelist      # 创建STA白名单模板
[Huawei-wlan-whitelist-prof-sta-whitelist] sta-mac 0001-0001-0001  # 将STA的MAC地址加入STA白名单
[Huawei-wlan-whitelist-prof-sta-whitelist] quit
[Huawei-wlan-view] sta-blacklist-profile name sta-blacklist      # 创建STA黑名单模板
[Huawei-wlan-blacklist-prof-sta-blacklist] sta-mac 0002-0002-0002   # 将STA的MAC地址加入STA黑名单

# 配置VAP内的用户隔离功能示例

<Huawei> system-view
[Huawei] wlan
[Huawei-wlan-view] traffic-profile name traff1                    # 创建流量模板
[HUAWEI-wlan-traffic-prof-traff1] user-isolate l2                  # 配置用户隔离功能
Warning: Enabling user isolation may interrupt services. Are you sure you want to continue? [Y/N]:y
[HUAWEI-wlan-traffic-prof-traff1] quit
[Huawei-wlan-view] vap-profile name vap1                          # 创建VAP模板
[HUAWEI-wlan-vap-prof-vap1] traffic-profile traff1                # 在VAP模板中引用流量模板

# 配置端口隔离功能示例

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-isolate enable                 # 配置该接口的端口隔离功能
© 版权声明
THE END