华为AR系列路由器 01-04 WLAN-FAT AP安全配置

1设备支持的AP介绍查看设备缺省支持的AP设备类型的方法。

●本配置指南中提到的AP，均为华为公司的AP产品。

推荐用户选择华为公司的AP设备与AC对接。

●执行命令display ap-type { all | id type-id | type ap-type }，可以查看设备支持的AP设备类型。

设备缺省支持的AP设备类型显示如下：<Huawei> display ap-type all-------------------------------------------------------------------------------- ID Type--------------------------------------------------------------------------------17 AP6010SN-GN19 AP6010DN-AGN21 AP6310SN-GN23 AP6510DN-AGN25 AP6610DN-AGN27 AP7110SN-GN28 AP7110DN-AGN29 AP5010SN-GN30 AP5010DN-AGN31 AP3010DN-AGN33 AP6510DN-AGN-US34 AP6610DN-AGN-US35 AP5030DN36 AP5130DN37 AP7030DE38 AP2010DN39 AP8130DN40 AP8030DN42 AP9330DN43 AP4030DN44 AP4130DN45 AP3030DN46 AP2030DN47 AP9131DN48 AP9132DN49 AP5030DN-S50 AP3010DN-V251 AP4030DN-E56 AP6050DN57 AP6150DN58 AP7050DE59 AP7050DN-E60 AP4030TN61 AP4050DN-E62 AP4050DN-HD64 AP430-E68 AP1010SN69 AP2050DN70 AP2050DN-E71 AP8130DN-W73 AP2050DN-S75 AP4050DN76 AP4051DN77 AP4151DN78 AP4050DN-S79 AP4051DN-S80 AP8050DN81 AP8150DN82 AP8050DN-S85 AP1050DN-S86 AP4051TN87 AP6052DN88 AP7052DN89 AP7052DE90 AP3050DE91 AP7152DN92 AP8050TN-HD93 AP8082DN94 AP8182DN97 AP2051DN98 AP2051DN-S99 AP2051DN-E100 AP7060DN101 AP5050DN-S 102 AP2030DN-S 103 AP4050DE-M 104 AP4050DE-M-S 105 AP100EC106 AP200EC107 AP300EC108 WA375DD-CE 109 AP4050DE-B-S 110 AP5510-W-GP 111 AP2051DN-L-S -------------------------------------------------------------------------------- Total: 74●建议使用设备缺省支持的AP设备类型，否则，AP可能无法正常上线。

6漫游配置关于本章通过配置漫游，实现STA从一个AP覆盖范围移动到另一个AP覆盖范围的过程中保证用户业务不中断。

6.1 漫游简介介绍漫游的定义和目的。

6.2 漫游原理描述6.3 漫游应用场景介绍WLAN漫游的应用场景。

6.4 漫游缺省配置介绍系统常见参数的缺省配置。

6.5 漫游配置前须知6.6 漫游配置举例介绍WLAN漫游的配置举例。

配置举例中包括组网需求、配置思路、配置步骤等。

6.1 漫游简介介绍漫游的定义和目的。

定义WLAN漫游是指STA在同属一个ESS的不同AP的覆盖范围之间移动且保持用户业务不中断的行为。

如图6-1所示，STA从AP_1的覆盖范围移动到AP_2的覆盖范围时保持业务不中断。

图6-1 WLAN漫游组网图目的WLAN网络的最大优势就是STA不受物理介质的影响，可以在WLAN覆盖范围内四处移动并且能够保持业务不中断。

同一个ESS内包含多个AP设备，当STA从一个AP覆盖区域移动到另外一个AP覆盖区域时，利用WLAN漫游技术可以实现STA用户业务的平滑切换。

WLAN漫游解决了以下问题：●保证用户IP地址不变，漫游后仍能访问初次上线时关联的网络，且所能执行的业务保持不变。

●避免漫游过程中用户的认证时间过长而导致数据丢包甚至业务中断。

6.2 漫游原理描述6.2.1 WLAN漫游的网络架构WLAN漫游的网络架构如图6-2所示。

WLAN网络通过AC对AP进行管理，其中AP_1和AP_2与AC进行关联。

现STA在WLAN网络中进行漫游，漫游过程中与不同的AP进行关联，漫游过程如下：STA从AP_1覆盖范围漫游到AP_2覆盖范围的过程中，因为AP_1和AP_2均与AC进行关联，所以此次漫游为AC内漫游。

图6-2 WLAN漫游组网图6.2.2 二层漫游二层漫游漫游前报文走向漫游后报文走向6.2.3 使用快速漫游来缩短WPA2-802.1X安全策略下的漫游切换时间根据用户采用的不同安全策略，可以将漫游分为快速漫游和非快速漫游两种方式，如表6-1所示。

HuaWei路由器安全配置规范一、初始设置1、更改默认登录凭据在首次配置 HuaWei 路由器时，务必更改默认的用户名和密码。

使用强密码，包含字母、数字和特殊字符，并且长度不少于 8 位。

避免使用常见的、容易猜测的密码，如生日、电话号码等。

2、关闭远程管理功能除非有特殊需求，否则应关闭远程管理功能。

远程管理可能会增加被黑客攻击的风险。

如果确实需要远程管理，应限制访问的 IP 地址范围，并使用加密协议（如 SSH 或 HTTPS）。

二、无线网络设置1、启用加密选择 WPA2 或更高级别的加密方式（如 WPA3）来保护无线网络。

避免使用不安全的 WEP 加密。

2、设置强密码为无线网络设置一个复杂且难以猜测的密码，同样包含字母、数字和特殊字符。

3、隐藏 SSID隐藏无线网络的 SSID（服务集标识符），使未经授权的设备无法轻易发现您的网络。

但需要注意的是，隐藏 SSID 并非绝对安全，只是增加了一定的隐蔽性。

4、启用 MAC 地址过滤将允许连接到无线网络的设备的 MAC 地址添加到白名单中，拒绝其他未知设备的连接。

三、防火墙设置1、开启防火墙HuaWei 路由器通常内置有防火墙功能，确保将其开启以阻挡未经授权的网络访问。

2、配置端口转发规则仅在必要时配置端口转发规则，并限制转发到特定的内部IP 地址。

避免开放不必要的端口，以减少潜在的攻击面。

3、启用入侵检测和预防系统（IDS/IPS）如果路由器支持 IDS/IPS 功能，建议启用，以便及时检测和阻止网络中的恶意活动。

四、更新固件定期检查并更新 HuaWei 路由器的固件。

厂商会通过固件更新来修复已知的安全漏洞和提升性能。

确保在更新固件时，不会中断网络连接，并按照官方的指导进行操作。

五、访问控制1、限制内部设备访问通过设置访问控制列表（ACL），限制内部设备之间的访问，防止恶意软件在内部网络中传播。

2、禁止不必要的服务关闭路由器上不使用的服务，如 UPnP（通用即插即用）等，以降低安全风险。

5 IPSec配置关于本章5.1 IPSec简介5.2 IPSec原理描述5.3 IPSec应用场景5.4 IPSec配置任务概览5.5 IPSec配置注意事项5.6 IPSec缺省配置5.7 配置采用ACL方式建立IPSec隧道5.8 配置采用虚拟隧道接口方式建立IPSec隧道5.9 配置采用Efficient VPN策略建立IPSec隧道5.10 配置IKE5.11 维护IPSec5.12 IPSec配置举例5.13 IPSec常见配置错误5.1 IPSec简介起源随着Internet的发展，越来越多的企业直接通过Internet进行互联，但由于IP协议未考虑安全性，而且Internet上有大量的不可靠用户和网络设备，所以用户业务数据要穿越这些未知网络，根本无法保证数据的安全性，数据易被伪造、篡改或窃取。

因此，迫切需要一种兼容IP协议的通用的网络安全方案。

为了解决上述问题，IPSec（Internet Protocol Security）应运而生。

IPSec是对IP的安全性补充，其工作在IP层，为IP网络通信提供透明的安全服务。

定义IPSec是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。

它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，包括认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating SecurityPayload）两个安全协议、密钥交换和用于验证及加密的一些算法等。

通过这些协议，在两个设备之间建立一条IPSec隧道。

数据通过IPSec隧道进行转发，实现保护数据的安全性。

受益IPSec通过加密与验证等方式，从以下几个方面保障了用户业务数据在Internet中的安全传输：●数据来源验证：接收方验证发送方身份是否合法。

●数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。

4 PPPoE配置关于本章PPPoE（PPP over Ethernet）是在以太网链路上运行PPP协议，在小区组网建设等一系列应用中被广泛采用。

4.1 PPPoE简介介绍PPPoE的定义和目的。

4.2 PPPoE配置注意事项介绍PPPoE的配置注意事项。

4.3 PPPoE原理描述介绍PPPoE的实现原理。

4.4 PPPoE应用场景介绍PPPoE的应用场景。

4.5 PPPoE附录介绍PPPoE的报文。

4.6 PPPoE缺省配置介绍PPPoE常见参数的缺省配置。

4.7 配置设备作为PPPoE Server设备提供了PPPoE Server的功能，支持动态分配IP地址，提供多种认证方式。

4.8 配置设备作为PPPoE Client设备作为PPPoE Client下行连接局域网用户，同一个局域网中的所有主机可以共享一个帐号，进行拨号上网。

4.9 维护PPPoEPPPoE相关维护命令，包括复位PPPoE会话和强制断开PPPoE会话。

4.10 PPPoE配置举例介绍PPPoE典型场景配置举例。

配置示例中包括组网需求、配置思路等。

4.11 PPPoE常见配置错误介绍常见配置错误的案例，避免在配置阶段引入故障。

4.1 PPPoE简介介绍PPPoE的定义和目的。

定义PPPoE（PPP over Ethernet）协议是一种把PPP帧封装到以太网帧中的链路层协议。

PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。

目的运营商希望把一个站点上的多台主机连接到同一台远程接入设备，同时接入设备能够提供与拨号上网类似的访问控制和计费功能。

在众多的接入技术中，把多个主机连接到接入设备的最经济的方法就是以太网，而PPP协议可以提供良好的访问控制和计费功能，于是产生了在以太网上传输PPP报文的技术，即PPPoE。

PPPoE利用以太网将大量主机组成网络，通过一个远端接入设备连入因特网，并运用PPP协议对接入的每个主机进行控制，具有适用范围广、安全性高、计费方便的特点。

如何配置AR路由器限制用户上网（Web方式）文档版本01发布日期2020-12-29版权所有 © 华为技术有限公司 2020。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：https://客户服务邮箱：support@客户服务电话：4008302118如何配置AR路由器限制用户上网（Web方式）目录目录1 如何配置AR路由器限制用户上网（WEB方式） (1)1.1 常见的限制用户上网场景 (1)1.2 配置AR路由器限制用户上网的前提条件 (2)1.3 配置AR路由器限制内网用户上网 (2)1.3.1 限制用户的IP地址 (2)1.3.2 限制用户的MAC地址 (6)1.3.3 限制用户的VLAN (11)1.4 限制用户上网相关信息 (16)1如何配置AR路由器限制用户上网（WEB方式）1.1 常见的限制用户上网场景1.2 配置AR路由器限制用户上网的前提条件1.3 配置AR路由器限制内网用户上网1.4 限制用户上网相关信息1.1 常见的限制用户上网场景根据企业对内部员工上网权限的要求不同，本文总结了几种常见的限制用户上网场景，如表1-1所示。

表1-1常见的限制用户上网场景1.2 配置AR路由器限制用户上网的前提条件●已通过Web方式登录AR路由器。

7快速配置功能配置关于本章通过配置快速配置功能，可以使以太网子接口能够从对端设备自动学习配置信息。

7.1 快速配置功能概述快速配置功能是指设备的子接口能够从对端设备自动学习并保存VLAN、IP地址和DLCI（Data link Connection Identifier）等配置信息的一种手段。

7.2 使能快速配置功能使能快速配置功能后，还需要对端设备发送PING报文才有可能触发自动学习。

7.3 维护快速配置功能通过清除子接口已经学到的配置信息，可以使得子接口重新自动学习相关配置。

7.4 快速配置注意事项介绍快速配置的配置注意事项。

7.5 配置举例介绍快速配置功能配置举例。

配置示例中包括组网需求、配置思路、配置步骤等。

7.1 快速配置功能概述快速配置功能是指设备的子接口能够从对端设备自动学习并保存VLAN、IP地址和DLCI（Data link Connection Identifier）等配置信息的一种手段。

在U盘开局场景中，当待配置设备数量很多时，如果为每一台设备单独准备不同配置文件，这样会耗费很多的人力和时间。

通过在U盘开局的配置文件中添加使能快速配置功能的配置信息，可以使得待配置设备的子接口能够从对端设备自动学习并保存VLAN、IP地址和DLCI等配置信息。

实现原理表7-1支持快速配置功能的子接口及其实现原理说明●当子接口上预配置了IP地址，使能快速配置功能之后，自动学习的IP地址会覆盖原有的IP地址。

●从触发子接口的自动学习功能开始，1小时之后全局快速配置功能和接口的快速配置功能将全被去使能。

如果在1小时之内重启设备，即使达到1小时，设备上的快速配置功能将不会自动去使能，此时需要通过执行命令行去使能快速配置功能。

●如果待配置设备有多个子接口使能快速配置功能，则按照子接口号从小到大的顺序触发自动学习功能。

例如设备有GE1/0/0.1和GE1/0/0.2两个子接口使能快速配置功能，当对端设备顺次执行ping1.1.1.1和ping2.2.2.2命令后，GE1/0/0.1自动学习的IP地址为1.1.1.1，GE1/0/0.2自动学习的IP地址为2.2.2.2。