WLAN系统安全配置.docVIP

WLAN系统主要安全风险解决措施中AC、AP设备的配置示例 以下按照“关于进一步强化WLAN系统安全管理的通知”文件中“（四）网络安全配置维护要求”部分解决措施中涉及AC、AP设备的配置示例。（以下以华三设备命令配置为例） 网络安全配置维护要求 对WLAN各个网元进行正确、有效的安全配置及安全检查是提高WLAN安全防护水平的关键。安全配置主要包含以下各项。 禁止AP向与其关联的所有终端广播ARP报文； 配置二层隔离 user-isolation vlan vlan-list enable undo user-isolation vlan vlan-list enable user-isolation vlan vlan-list permit-mac mac-list undo user-isolation vlan vlan-list permit-mac { mac-list |all } 【参数释义】 vlan-list：vlan-list为VLAN列表，其表示方式为vlan-list = { vlan-id [ to vlan-id ] }1-10。其中，vlan-id为指定VLAN的编号，取值范围为1～4094。1-10表示前面的参数最多可以输入10次。 user-isolation vlan enable 命令用来使能指定VLAN 的用户隔离功能。 undo user-isolation vlan enable 命令用来关闭指定VLAN 的用户隔离功能。 mac-list：允许的MAC地址列表，格式为H-H-H，在一个VLAN内最多可以配置16个允许的MAC地址列表。该MAC地址不允许为广播或组播地址。 all：删除指定VLAN的所有允许MAC地址。 user-isolation vlan permit-mac命令用来在指定VLAN内添加允许MAC地址。 undo user-isolation permit-mac命令用来删除VLAN内指定或所有的允许MAC地址。 【配置要求】 # 对VLAN 1使能用户隔离。 Sysname system-view [Sysname] user-isolation vlan 1 enable # 配置VLAN 1的允许MAC地址为00bb-ccdd-eeff和0022-3344-5566。 [Sysname] user-isolation vlan 1 permit-mac 00bb-ccdd-eeff 0022-3344-5566 【适用硬件及软件版本】 硬件：H3C WX61系列无线控制器板卡 软件版本：version 5.20全系列版本 【适用条件】 无 在AC上设置DNS白名单或实施ACL控制，限定指定的DNS为WLAN用户使用； 配置Portal的免认证规则 portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } | source { any | [ interface interface-type interface-number | ip { ip-address mask { mask-length | netmask } | any } | mac mac-address | vlan vlan-id ] * } } * undo portal free-rule { rule-number | all } 【参数释义】 rule-number：免认证规则编号。取值范围为0～511。 any：表示不对前面的参数做限制。 ip ip-address：免认证规则的IP地址。 mask { mask-length | netmask }：免认证规则的IP地址掩码。其中，mask-length为子网掩码长度，取值范围为0～32；netmask为子网掩码，点分十进制格式。 interface interface-type interface-number：免认证规则的源接口。interface-type interface-number为接口类型和接口编号。 mac mac-address：免认证规则的源MAC地址，为H-H-H的形式。 vlan vlan-id：免认证规则的源VLAN编号。 all：所有免认证规则。 portal free-rule命令用来配置Portal的免认证规则，指定源过滤条件或目的过滤条件。undo portal free-rule命令用来删除免认证规则。 需要注意的是： 如果同时指定源IP地址与源MAC地址，则必须保证IP地址为32位掩码的主机地址，否则指定的MAC地址无效。 如果