1、园区网络安全所涉及的内容
如下图,大型园区网络安全一般包括两个方面,内部和外部的网络安全:
![图片[1]-大型园区网络内网安全部署一般方法和配置案例-不念博客](https://img.mryunwei.com/uploads/2024/03/20240319000150899.jpg "大型园区网络内网安全部署一般方法和配置案例")
在两个方向上加强安全防护的一般思路如下:
# 园区内网安全
1)设备登录安全
- 如果是本地
Console登录,强烈建议使用用户名和密码登录- 如果是远程登录,则建议使用安全性较高的
SSH协议(STelnet登录)
2)不同网络层次的安全
比如:
- 接入层:作为园区网络的边界,需要防止非法的终端和用户进入网络,同时控制二层流量的转发行为
- 核心层:作为网络的关键位置,其安全性更为重要,当核心设备作为集中认证点时,需要考虑
CPU性能要能满足处理大量用户接入时的协议报文的能力,当核心设备作为网关时,还需考虑其ARP安全。
3)无线业务安全
- 对非法入侵的设备和非法攻击的用户进行检测和反制,保护无线网络边界的安全
- 对用户接入的合法性和安全性进行认证,保证用户业务数据的安全
# 园区出口安全
1)上网行为管理
针对内网员工访问外部网络的行为,开启
URL过滤、文件过滤、内容过滤、应用行为控制、反病毒等功能,既保护内网主机不受外网威胁,又可以防止企业机密信息的泄露,提高企业网络的安全性。
2)边界防护
将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。
根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对文件服务器开启文件过滤和内容过滤,针对邮件服务器开启邮件过滤,并且针对所有服务器开启反病毒和入侵防御。
2、园区内网安全配置
2.1、设备登录安全配置
登录网络设备的方式主要有以下两种:
- 本地
Console口 - 远程
STelnet(SSH)
2.1.1、本地Console口登录安全配置
通过Console口(也称串口)登录交换机是登录设备的最基本方式,也是其他登录方式的基础。
通过配置Console口用户界面的认证方式、用户的认证信息和用户级别,可以保证Console登录的安全性。
注意事项:
如果用户通过
Console口登录设备再进行Console用户界面配置,所配置的属性需退出当前登录,再次通过Console口登录才会生效。
# 配置步骤如下:
1)配置Console用户界面的认证方式
<HUAWEI> system-view
[HUAWEI] user-interface console 0 # 进入Console用户界面
[HUAWEI-console0] authentication-mode aaa # 配置认证方式为AAA,默认情况下即AAA
[HUAWEI-console0] quit2)配置Console用户的认证信息及用户级别
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202403 # 创建本地用户admin123,登录密码为YsHsjx_202403
[HUAWEI-aaa] local-user admin123 privilege level 15 # 配置本地用户admin123的级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa] local-user admin123 service-type terminal # 配置本地用户admin123的接入类型为终端用户,即Console用户2.1.2、远程STelnet登录安全配置
Telnet协议存在安全风险,而STelnet则基于SSH协议,实现了在不安全网络上提供安全的远程登录,提供安全信息保障和强大认证功能,保护交换机不受IP欺骗等攻击。
注意事项:
- 配置前保证网络间互联互通
STelnet V1协议存在安全风险,建议使用STelnet V2登录设备- 通过
STelnet登录设备需配置用户界面支持的协议是SSH,必须设置VTY用户界面认证方式为AAA认证- 为充分保证设备安全,需定期修改密码
# 配置步骤如下:
1)配置VTY用户界面的支持协议类型、认证方式和用户级别
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] authentication-mode aaa # 配置VTY用户界面认证方式为AAA认证
[HUAWEI-ui-vty0-4] protocol inbound ssh # 配置VTY用户界面支持的协议为SSH,默认情况下即SSH
[HUAWEI-ui-vty0-4] user privilege level 15 # 配置VTY用户界面的级别为15
[HUAWEI-ui-vty0-4] quit2)开启STelnet服务器功能并创建SSH用户
[HUAWEI] stelnet server enable # 使能设备的STelnet服务器功能
[HUAWEI] ssh user admin123 # 创建SSH用户admin123
[HUAWEI] ssh user admin123 service-type stelnet # 配置SSH用户的服务方式为STelnet3)配置SSH用户认证方式
- 配置
SSH用户认证方式为Password使用Password认证方式时,需要在AAA视图下配置与SSH用户同名的本地用户。
[HUAWEI] ssh user admin123 authentication-type password # 配置SSH用户认证方式为password
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 # 创建与SSH用户同名的本地用户和对应的登录密码
[HUAWEI-aaa] local-user admin123 privilege level 15 # 配置本地用户级别为15
[HUAWEI-aaa] local-user admin123 service-type ssh # 配置本地用户的服务方式为SSH
[HUAWEI-aaa] quit- 配置
SSH用户认证方式为RSA、DSA或ECC使用RSA、DSA或ECC认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。
下面以ECC认证方式为例,RSA、DSA认证方式步骤类似:
[HUAWEI] ssh user admin123 authentication-type ecc # 配置SSH用户认证方式为ecc
[HUAWEI] ecc peer-public-key key01 encoding-type pem # 配置ECC公共密钥编码格式,并进入ECC公共密钥视图,key01为公共密钥名称
Enter "ECC public key" view, return system view with "peer-public-key end".
[HUAWEI-ecc-public-key] public-key-code begin # 进入公共密钥编辑视图
Enter "ECC key code" view, return last view with "public-key-code end".
[HUAWEI-dsa-key-code] 308188 # 拷贝复制客户端的公钥,为十六进制字符串
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-ecc-key-code] 171896FB 1FFC38CD
[HUAWEI-ecc-key-code] 0203
[HUAWEI-ecc-key-code] 010001
[HUAWEI-ecc-key-code] public-key-code end # 退回到公共密钥视图
[HUAWEI-ecc-public-key] peer-public-key end # 退回到系统视图
[HUAWEI] ssh user admin123 assign ecc-key key01 # 为用户admin123分配一个已经存在的公钥key014)在服务器端生成本地密钥对
[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC.
Info: The key modulus can be any one of the following: 256, 384, 521.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=521]:521
Info: Generating keys..........
Info: Succeeded in creating the ECC host keys.2.2、接入层设备安全配置
接入层作为园区网络的边界,为各种终端接入网络,需要防止非法的终端和用户进入网络。
此外,接入层设备还承载二层流量转发的功能,需要对二层流量的转发行为进行控制。
下面就不同方面进行示例配置:
# 配置流量抑制功能示例
<HUAWEI> system-view
[HUAWEI] suppression mode by-bits # 配置全局流量抑制模式
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] broadcast-suppression cir 1000 # 配置接口入方向的未知广播流量抑制
[HUAWEI-GigabitEthernet0/0/1] multicast-suppression cir 1000 # 配置接口入方向的未知组播流量抑制
[HUAWEI-GigabitEthernet0/0/1] unicast-suppression cri 1000 # 配置接口入方向的未知单播流量抑制
[HUAWEI-GigabitEthernet0/0/1] broadcast-suppression block outbound # 配置阻断接口出方向的广播流量
[HUAWEI-GigabitEthernet0/0/1] multicast-suppression block outbound # 配置阻断接口出方向的组播流量
[HUAWEI-GigabitEthernet0/0/1] unicast-suppression block outbound # 配置阻断接口出方向的单播流量# 配置风暴控制功能示例
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000 # 配置广播风暴控制
[HUAWEI-GigabitEthernet0/0/1] storm-control multicast min-rate 1000 max-rate 2000 # 配置未知组播风暴控制
[HUAWEI-GigabitEthernet0/0/1] storm-control unicast min-rate 1000 max-rate 2000 # 配置未知单播风暴控制
[HUAWEI-GigabitEthernet0/0/1] storm-control action block # 配置风暴控制的动作
[HUAWEI-GigabitEthernet0/0/1] storm-control enable log # 使能风暴控制时记录日志的功能
[HUAWEI-GigabitEthernet0/0/1] storm-control interval 90 # 配置风暴控制的检测时间间隔# 配置DHCP Snooping功能示例
<HUAWEI> system-view
[HUAWEI] dhcp enable # 使能DHCP功能
[HUAWEI] dhcp snooping enable # 使能全局DHCP Snooping功能
[HUAWEI] interface gigabitethernet 0/0/1 # 进入用户侧接口
[HUAWEI-GigabitEthernet0/0/1] dhcp snooping enable # 使能DHCP Snooping功能
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] interface gigabitethernet 0/0/2 # 进入直接或间接连接DHCP服务器的接口
[HUAWEI-GigabitEthernet0/0/2] dhcp snooping trusted # 配置该接口为信任接口# 配置IPSG功能示例
- 配置基于静态绑定表的
IPSG功能示例
<HUAWEI> system-view
[HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 00e0-fc01-0001 # 创建静态绑定表项
[HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 00e0-fc02-0002 # 创建静态绑定表项
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable # 使能IP报文检查功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable # 使能IP报文检查告警功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100 # 配置IP报文检查告警阈值- 配置基于
DHCP Snooping动态绑定表的IPSG功能示例
配置前需要配置DHCP Snooping功能并生成DHCP Snooping动态绑定表
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable # 使能IP报文检查功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable # 使能IP报文检查告警功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100 # 配置IP报文检查告警阈值# 配置ND Snooping功能示例
<HUAWEI> system-view
[HUAWEI] nd snooping enable # 使能全局ND Snooping功能
[HUAWEI] interface gigabitethernet 0/0/1 # 进入用户侧接口
[HUAWEI-GigabitEthernet0/0/1] nd snooping enable # 使能ND Snooping功能
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] interface gigabitethernet 0/0/2 #进入直接或间接连接网关的接口
[HUAWEI-GigabitEthernet0/0/2] nd snooping trusted # 配置该接口为信任接口# 配置DAI功能示例
配置前需要配置DHCP Snooping功能并生成DHCP Snooping动态绑定表或手动添加静态绑定表
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind enable # 使能动态ARP检测功能
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind check-item ip-address # 配置ARP报文绑定表匹配检查时只检查IP地址
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable # 使能动态ARP检测丢弃报文告警功能
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm threshold 100 # 配置动态ARP检测丢弃报文告警阈值# 配置端口安全功能示例
- 接入用户变动比较频繁可以通过端口安全把动态
MAC地址转换为安全动态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable # 使能端口安全功能
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1 # 配置端口安全MAC地址学习限制数
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict # 配置端口安全保护动作
[HUAWEI-GigabitEthernet0/0/1] port-security aging-time 100 # 配置端口安全动态MAC地址的老化时间- 接入用户变动较少可以通过端口安全把动态
MAC地址转换为Sticky MAC地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable # 使能端口安全功能
[HUAWEI-GigabitEthernet0/0/1] port-security mac-address sticky # 使能接口Sticky MAC功能
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1 # 配置端口安全MAC地址学习限制数
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict # 配置端口安全保护动作- 接入用户变动较少,且数量较少可以通过配置为安全静态
MAC地址,实现MAC地址表项的绑定
<HUAWEI> system-view
[HUAWEI] port-security static-flapping protect # 使能静态MAC地址漂移的检测功能
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable # 使能端口安全功能
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1 # 配置端口安全MAC地址学习限制数
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict # 配置端口安全保护动作# 配置端口隔离功能示例
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-isolate enable # 配置该接口的端口隔离功能2.3、核心层设备安全配置
核心层作为网络的关键位置,其安全性更为重要,当核心设备作为集中认证点时,需要考虑CPU性能要能满足处理大量用户接入时的协议报文的能力。
当核心设备作为网关时,需考虑其ARP安全。
下面就不同方面进行示例配置:
# 配置CPU防攻击功能示例
<HUAWEI> system-view
[HUAWEI] acl number 2001
[HUAWEI-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] quit
[HUAWEI] cpu-defend policy test # 创建防攻击策略,并进入防攻击策略视图
[HUAWEI-cpu-defend-policy-test] car packet-type http cir 120 # 配置协议未建立连接时报文的CPCAR值
[HUAWEI-cpu-defend-policy-test] linkup-car packet-type http cir 120 # 配置协议连接建立时协议报文的CPCAR值
[HUAWEI-cpu-defend-policy-test] deny packet-type icmp # 配置对上送CPU的报文动作为丢弃
[HUAWEI-cpu-defend-policy-test] blacklist 1 acl 2001 # 配置CPU防攻击黑名单
[HUAWEI-cpu-defend-policy-test] quit
[HUAWEI] cpu-defend application-apperceive enable # 使能全局动态链路保护功能
[HUAWEI] cpu-defend application-apperceive http enable # 使能协议报文的动态链路保护功能 # 配置攻击溯源功能示例
<HUAWEI> system-view
[HUAWEI] acl number 2001
[HUAWEI-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] quit
[HUAWEI] cpu-defend policy test # 创建防攻击策略,并进入防攻击策略视图
[HUAWEI-cpu-defend-policy-test] auto-defend enable # 使能攻击溯源功能
[HUAWEI-cpu-defend-policy-test] auto-defend alarm enable # 使能攻击溯源事件上报功能
[HUAWEI-cpu-defend-policy-test] auto-defend whitelist 1 acl 2001 # 配置攻击溯源白名单
[HUAWEI-cpu-defend-policy-test] auto-defend action deny # 使能攻击溯源的惩罚功能,并指定惩罚措施# 配置端口防攻击功能示例
<HUAWEI> system-view
[HUAWEI] acl number 2001
[HUAWEI-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] quit
[HUAWEI] cpu-defend policy test # 创建防攻击策略,并进入防攻击策略视图
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable # 使能端口防攻击功能
[HUAWEI-cpu-defend-policy-test] auto-port-defend alarm enable # 使能端口防攻击事件上报功能
[HUAWEI-cpu-defend-policy-test] auto-defend whitelist 1 acl 2001 # 配置端口防攻击白名单# 配置用户级限速功能示例
<HUAWEI> system-view
[HUAWEI] cpu-defend host-car enable # 使能用户级限速功能# 配置ARP报文限速功能示例
<HUAWEI> system-view
[HUAWEI] arp anti-attack rate-limit enable # 使能全局ARP报文限速功能
[HUAWEI] arp speed-limit source-mac 00e0-fc01-0001 maximum 20 # 配置根据源MAC地址进行ARP报文限速的限速值
[HUAWEI] arp speed-limit source-ip 10.1.1.1 maximum 20 # 配置根据源IP地址进行ARP报文限速的限速值# 配置ARP Miss消息限速功能示例
<HUAWEI> system-view
[HUAWEI] arp-miss anti-attack rate-limit enable # 使能全局ARP Miss报文限速功能
[HUAWEI] arp-miss speed-limit source-mac 00e0-fc01-0001 maximum 20 # 配置根据源MAC地址进行ARP Miss报文限速的限速值
[HUAWEI] arp-miss speed-limit source-ip 10.1.1.1 maximum 20 # 配置根据源IP地址进行ARP Miss报文限速的限速值# 配置临时ARP表项的老化功能示例
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] arp-fake expire-time 3 # 配置临时ARP表项的老化时间# 配置禁止过路ARP报文上送CPU功能示例
<HUAWEI> system-view
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] arp optimized-passby enable # 配置禁止过路ARP报文上送CPU# 配置ARP优化应答功能示例
<HUAWEI> system-view
[HUAWEI] undo arp optimized-reply disable # 使能ARP优化应答功能# 配置ARP表项严格学习功能示例
<HUAWEI> system-view
[HUAWEI] arp learning strict # 使能全局ARP表项严格学习功能
[HUAWEI] quit# 配置ARP表项限制功能示例
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] arp-limit maximum 20 # 配置限制接口能够学习到的最大动态ARP表项数目# 配置禁止接口学习ARP表项功能示例
<HUAWEI> system-view
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] arp learning disable # 配置禁止接口学习动态ARP表项# 配置ARP表项固化功能示例
<HUAWEI> system-view
[HUAWEI] arp anti-attack entry-check fixed-mac enable # 使能全局的ARP表项固化功能# 配置ARP防网关冲突功能示例
<HUAWEI> system-view
[HUAWEI] arp anti-attack gateway-duplicate enable # 使能ARP防网关冲突攻击功能# 配置发送ARP免费报文功能示例
<HUAWEI> system-view
[HUAWEI] arp gratuitous-arp send enable # 使能发送免费ARP报文的功能
[HUAWEI] arp gratuitous-arp send interval 60 # 使能发送免费ARP报文的时间间隔# 配置ARP报文内MAC地址一致性检查功能示例
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] arp validate source-mac destination-mac # 使能ARP报文内MAC地址一致性检查功能# 配置ARP报文合法性检查功能示例
<HUAWEI> system-view
[HUAWEI] arp anti-attack packet-check ip dst-mac sender-mac # 使能ARP报文合法性检查功能# 配置DHCP触发ARP学习功能示例
<HUAWEI> system-view
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] arp learning dhcp-trigger # 使能DHCP触发ARP学习功能2.4、无线业务安全配置
通过对非法入侵的设备和非法攻击的用户进行检测和反制,保护无线网络边界的安全;
对用户接入的合法性和安全性进行认证,保证用户无线业务数据的安全。
# 配置WIDS/WIPS功能
- 配置设备检测和反制
<Huawei> system-view
[Huawei] wlan
[Huawei-wlan-view] ap-id 0
[Huawei-wlan-ap-0] radio 0
[Huawei-wlan-radio-0/0] wids device detect enable # 使能设备检测功能
[Huawei-wlan-radio-0/0] wids contain enable # 使能设备反制功能
[Huawei-wlan-radio-0/0] quit
[Huawei-wlan-ap-0] quit
[Huawei-wlan-view] wids-profile name wlan-wids # 创建WIDS模板
[Huawei-wlan-wids-prof-wlan-wids] contain-mode spoof-ssid-ap # 配置对非法设备或干扰设备的反制模式
[Huawei-wlan-wids-prof-wlan-wids] quit
[Huawei-wlan-view] ap-id 0
[Huawei-wlan-ap-0] wids-profile wlan-wids # 在AP中引用WIDS模板- 配置攻击检测和动态黑名单功能
<Huawei> system-view
[Huawei] wlan
[Huawei-wlan-view] ap-id 0
[Huawei-wlan-ap-0] radio 0
[Huawei-wlan-radio-0/0] wids attack detect enable all # 使能攻击检测功能
[Huawei-wlan-radio-0/0] quit
[Huawei-wlan-ap-0] quit
[Huawei-wlan-view] wids-profile name wlan-wids # 创建WIDS模板
[Huawei-wlan-wids-prof-wlan-wids] dynamic-blacklist enable # 使能动态黑名单功能
[Huawei-wlan-wids-prof-wlan-wids] quit
[Huawei-wlan-view] ap-id 0
[Huawei-wlan-ap-0] wids-profile wlan-wids # 在AP中引用WIDS模板# 配置安全策略功能
WLAN安全策略均在安全模板内配置,模板下仅能配置一种安全策略。用户可以根据需要,创建多个安全模板来承载不同的安全策略,应用于不同的VAP。
这里以配置WPA2-PSK-AES认证为例:
<Huawei> system-view
[Huawei] wlan
[Huawei-wlan-view] security-profile name wlan-security # 创建安全模板
[HUAWEI-wlan-sec-prof-wlan-security] security wpa2 psk pass-phrase YsHsjx_202206 aes # 配置安全策略为WPA2-PSK-AES
[HUAWEI-wlan-sec-prof-wlan-security] quit
[Huawei-wlan-view] vap-profile name vap1 # 创建VAP模板
[HUAWEI-wlan-vap-prof-vap1] security-profile wlan-security # 在VAP模板中引用安全模板# 配置STA黑白名单功能示例
<Huawei> system-view
[Huawei] wlan
[Huawei-wlan-view] sta-whitelist-profile name sta-whitelist # 创建STA白名单模板
[Huawei-wlan-whitelist-prof-sta-whitelist] sta-mac 0001-0001-0001 # 将STA的MAC地址加入STA白名单
[Huawei-wlan-whitelist-prof-sta-whitelist] quit
[Huawei-wlan-view] sta-blacklist-profile name sta-blacklist # 创建STA黑名单模板
[Huawei-wlan-blacklist-prof-sta-blacklist] sta-mac 0002-0002-0002 # 将STA的MAC地址加入STA黑名单# 配置VAP内的用户隔离功能示例
<Huawei> system-view
[Huawei] wlan
[Huawei-wlan-view] traffic-profile name traff1 # 创建流量模板
[HUAWEI-wlan-traffic-prof-traff1] user-isolate l2 # 配置用户隔离功能
Warning: Enabling user isolation may interrupt services. Are you sure you want to continue? [Y/N]:y
[HUAWEI-wlan-traffic-prof-traff1] quit
[Huawei-wlan-view] vap-profile name vap1 # 创建VAP模板
[HUAWEI-wlan-vap-prof-vap1] traffic-profile traff1 # 在VAP模板中引用流量模板# 配置端口隔离功能示例
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-isolate enable # 配置该接口的端口隔离功能
