更新时间:2024-12-03 GMT+08:00
分享

SSID

背景信息

SSID是终端用户无线接入网络时看到的网络名称,全称Service Set Identifier,以区分不同的无线网络。例如,当我们在笔记本电脑上搜索可接入无线网络时,显示出来的网络名称就是SSID。一个AP允许部署多个SSID,每个SSID可以指定一种认证方式,从而实现对无线接入的终端用户准入控制。

操作步骤

  1. 在站点配置页面,选择左侧导航栏的“无线配置 > SSID”,进入SSID配置页面。
  2. 单击“创建”,配置SSID基本信息。根据表1配置参数,完成后单击“下一步”。

    • 修改“隐藏SSID”、“禁止传统终端接入”、“最大用户数”、“U-APSD”、“Wi-Fi多媒体标准场景”参数,会导致当前已连接的终端断开并重新连接,请谨慎操作。
    • AirEngine9700D-M、AD9431DN-24X不支持NAT连接方式。
    表1 SSID配置参数说明

    参数

    说明

    SSID名称

    终端接入的Wi-Fi网络名称。

    工作状态

    缺省为开启。如果设置为关闭,则该SSID不可用。

    生效射频

    缺省三射频,建议使用缺省值。

    说明:

    AP4051TN、AP6750-10T、AP8050TN-HD、AP350、 AirEngine8760R-X1E、AirEngine8760-X1-PRO、AirEngine6760-X1、AirEngine6760-X1E和AirEngine5760-51支持三种射频,其他款型不支持5G(wlan-radio 0/0/2)射频。其中AirEngine6760-X1、AirEngine6760-X1E和AirEngine5760-51支持三种射频时,需要将“生效射频”配置为“2.4G (wlan-radio 0/0/0)”、“5G (wlan-radio 0/0/1)”和“5G (wlan-radio 0/0/2)”。

    云AP作为网关

    缺省关闭。使能后,由AP全局DHCP分配地址,主要配合AP的全局DHCP功能。

    VLAN

    关联到该SSID的无线终端指定所属VLAN。

    高级参数设置

    隐藏SSID

    缺省关闭。开启后该SSID不可见。

    DAI

    ARP检测。开启后可进行源MAC地址和ARP报文数据区中的源MAC地址的一致性检查,防止非法用户的ARP报文通过AP访问外部网络并对合法用户进行干扰或欺骗。

    IPSG

    IP地址绑定检测,开启后可防止基于源地址欺骗的攻击行为。

    DNS Snooping

    缺省关闭。开启后设备解析收到的DNS应答报文来获取IP地址,生成IP地址与域名的映射关系。

    说明:

    仅V200R020C10及之后版本的AP设备支持该功能配置。

    mDNS Snooping

    缺省关闭。开启后无线终端发送mDNS报文时,接入设备可以通过解析报文里的service信息进行终端识别。

    说明:

    仅V200R020C10及之后版本的AP设备支持该功能配置。

    断链关断

    缺省关闭。开启后,当AP上行链路断开时会自动关闭SSID,强制用户下线,保证设备自动连接其他AP。

    频谱导航(5G优先)

    缺省打开。开启后AP可以控制移动终端优先接入5G频谱,减少2.4G频谱上的负载和干扰,提升用户体验。

    2.4G射频Beacon帧发送速率(Mbps)

    2.4GHz、5GHz射频类型Beacon帧的发送速率。仅V200R008C10及以上版本的AP设备支持这些参数。单位:Mbps。

    5G射频Beacon帧发送速率(Mbps)

    禁止传统终端接入

    • 缺省关闭。开启后将禁止802.11a、802.11b和802.11g类型协议的传统终端接入。
    • 安全认证中的加密方式仅支持“WPA and WPA2”、“WPA2”、“WPA2 and WPA3”和“WPA3”。

    最大用户数

    允许同时连接该SSID的最大用户数。

    接入阈值策略

    • 新用户禁止接入:SSID接入的终端达到阈值后,新用户禁止接入。
    • 新用户禁止接入且隐藏SSID:SSID接入的终端达到阈值后,新用户禁止接入,且自动隐藏该SSID。

    用户隔离

    缺省开启。开启后,接入相同AP的同一个SSID内用户之间报文相互不转发;关闭后,可能会带来广播报文泛洪的风险。

    隔离方式

    • 全部隔离
    • 二层用户隔离

    IGMP-Snooping

    • 缺省关闭。IGMP snooping是二层组播的基本功能,可以实现组播数据在数据链路层的转发和控制。
    • 开启后,若“禁止广播或组播”按钮关闭,“组播转单播”参数可配置。根据实际情况选择自适应、开启、关闭。

    禁止广播或组播

    缺省关闭,开启后将禁止无线局域网网络共享、发现广播或组播报文的功能。开启后,“bonjour透传”参数可配置。

    bonjour透传

    缺省关闭。Bonjour技术是由苹果公司提出的零配置网络技术解决方案,是一种应用在二层广播域的技术,实现二层广播域内网络设备自动获取地址和发现服务。

    U-APSD

    缺省关闭。U-APSD是WMM定义的一种高级省电功能,能提升终端的节能能力。但由于部分终端对U-APSD功能的支持存在问题,这种情况下需要关闭U-APSD功能。

    Wi-Fi多媒体标准场景

    根据网络实际情况和需要,配置WMM(Wi-Fi Multimedia,Wi-Fi多媒体标准)参数,使高优先级的数据报文优先占用无线信道,达到调整视频、语音等类型的流量的转发优先级的目的。为了使WMM生效,必须在射频参数中开启WMM开关。

    • 默认:无优先级
    • 语音:以语音流量优先
    • 语音与视频:以语音及视频流量优先
    • 自定义:自定义配置数据报文的优先级。
    说明:

    仅V200R008C10及以上版本的AP设备支持WMM功能。

    终端MAC过滤

    缺省关闭。开启后,系统将按照黑名单或白名单的方式对接入到网络的设备MAC进行过滤。

    • 黑名单:禁止列表中的设备接入到网络。此时系统按MAC地址完全匹配。
    • 白名单:只有列表中的设备才能接入到网络。此时系统支持按MAC地址完全匹配,也可以按OUI匹配。其中,OUI为设备MAC的前一半。

    音频质量分析

    缺省关闭。开启开关并配置了“SIP协议端口”,系统将使能SIP协议,从而设备可以抓取SIP协议报文,并分析出协议所承载的业务类型,如语音业务。

    华为乾坤允许设备上报性能数据信息给分析器时,分析器就可以获得语音业务的性能数据,并进行音频通话的质量分析。

    SIP协议端口

    SIP协议的端口号。

    802.11r快速漫游

    • 缺省不使能802.11r快速漫游功能。
    • 若使能该功能,需设置是否使能“802.11r over the ds”。使能“802.11r over the ds”时,如果终端不同时支持over the ds和over the air方式将无法快速漫游,只能进行普通漫游,而当前大部分终端只支持over the air,请慎重配置。
    说明:

    802.11r功能支持的安全策略包括开放网络、PSK+WPA2+AES。

    重关联超时时间(秒)

    配置重关联超时时间,超时时间缺省值为1秒。

    端管协同漫游

    是否使能端管协同漫游。协同优化网络侧和终端侧,提升用户上网体验。

    • 当开启开关,表示使用802.11r over the ds协议快速漫游。
    • 当关闭开关,表示使用802.11r over the air协议快速漫游。

    业务保障功能模式

    • 可靠性优先:AR/VR场景请选择可靠性优先,可以减少丢包、重传引起的抖动、延迟,提升用户体验。
    • 性能优先:其他场景请选择性能优先,否则可能导致比较大的性能下降。

    手游加速

    缺省开启。目前支持手游加速的应用:绝地求生(刺激战场、全军出击)、穿越火线、荒野行动、王者荣耀、DNF、梦幻西游、英雄联盟、堡垒之夜、第五人格。游戏加速特性能够在识别出游戏后进行上下行加速。

    抑制终端省电

    缺省关闭。如果使能该功能,会加速终端耗电,占用额外带宽。如果没有终端省电状态异常的情况,建议关闭抑制终端进入省电状态的功能。

    MU-MIMO

    缺省开启。使能MU-MIMO优化功能。当用户对AP下行业务吞吐量有较高要求,并且环境干扰性小的时候,可以使能MU-MIMO优化功能。

    终端老化时间

    缺省值为5分钟,强制低信号用户下线时间。为了防止大量低信号用户关联网络导致的网络整体用户体验下降,可以降低终端老化时间。

    DHCP option 82选项

    无线终端接入AP SSID,申请IP地址时发送DHCP申请报文。AP通过DHCP Option82设置AP的MAC、SSID、名称、位置等信息,DHCP申请的报文到达DHCP Server,DHCP Server根据DHCP Option82携带的AP信息进行认证,并根据预置的地址分配策略分配不同的IP地址

    子选项

    • Circuit ID:指定配置Option82的circuit-id(CID)子选项。
    • Remote ID:指定配置Option82的remote-id(RID)子选项。

    内容连接符

    默认为冒号,可设置为分号。

    内容类型

    • ap-mac:AP的MAC地址。STA发送的DHCP报文到达AP后,AP将自己的MAC地址添加到DHCP报文中的Option82选项中。
    • ap-mac-ssid:AP的MAC地址和SSID。STA发送的DHCP报文到达AP后,AP将自己的MAC地址和用户关联的SSID添加到DHCP报文中的Option82选项中。
    • ap-name:AP名称。STA发送的DHCP报文到达AP后,AP将自己的名称添加到DHCP报文中的Option82选项中。
    • ap-name-ssid:AP的名称和SSID。STA发送的DHCP报文到达AP后,AP将自己的名称和用户关联的SSID添加到DHCP报文中的Option82选项中。
    • ap-location:AP的位置。STA发送的DHCP报文到达AP后,AP将自己的位置添加到DHCP报文中的Option82选项中。
    • ap-location-ssid:AP的位置和SSID。STA发送的DHCP报文到达AP后,AP将自己的位置和用户关联的SSID添加到DHCP报文中的Option82选项中。
    • user-defined:用户自定义设置。

    内容格式

    ASCII:指定MAC地址格式为ASCII形式的XXXXXXXXXXXX。

    Normal:指定MAC地址的格式为xx-xx-xx-xx-xx-xx。

    Compact:指定MAC地址的格式为xxxx-xxxx-xxxx。

    Hex:指定MAC地址的格式为HEX形式的XXXXXXXXXXXX。

    Colon:指定MAC地址的格式为xx:xx:xx:xx:xx:xx。

    自定义内容

    用户自定义字符。

  3. 配置WLAN安全策略。以“半开放网络”为例,根据表2配置,完成后单击“下一步”。

    单站点下最多支持配置16个SSID。

    表2 安全认证参数说明

    参数

    说明

    WLAN安全策略

    SSID认证方式。支持如下方式:

    • 开放网络:支持无认证方式和Portal认证方式。
    • 半开放网络:共享密钥方式,需要设置密钥,用于无线终端接入时确认身份、数据加密。支持PSK/SAE/PSK-SAE认证。

    开放网络(选择Portal认证时需要配置以下参数)

    免认证有效期

    在用户有效期内再次登录,不需要进行认证。

    计费

    设置计费上报周期。

    认证前访问授权

    配置ACL模板,提供基本网络访问安全,可以允许特定不需要登录就可以正常访问的网址和IP。

    可以单击,从已有ACL模板中选取。若没有合适的ACL模板,可单击“创建”填写参数新建一个模板。

    推送协议

    支持HTTP和HTTPS两种协议。

    说明:

    HTTP协议存在安全风险,建议您使用HTTPS安全协议。

    页面规则

    页面规则设定请参见准入认证 > 配置页面规则

    逃生策略

    通过设置自定义以逃生策略保证用户基本的网络访问需求。

    半开放网络

    密钥类型

    当“认证方式”为“半开放网络”时,需要配置该参数。

    • PSK
    • SAE
    • PSK-SAE

    加密方式

    • 当密钥类型为PSK,半开放网络支持的加密方式:WEP、WPA、WPA2、WPA and WPA2。
    • 当密钥类型为SAE,半开放网络支持的加密方式:WPA3。
    • 当密钥类型为PSK-SAE,半开放网络支持的加密方式:WPA2 and WPA3。

    加密算法

    • 当密钥类型为PSK,半开放网络支持的加密算法:AES、AES-TKIP、TKIP。
    • 当密钥类型为SAE或PSK-SAE ,半开放网络支持的加密算法:AES。

    密钥

    根据自身情况自定义8~63位密钥。

  4. 配置基于SSID的策略控制参数。根据表3设置SSID流量限速、终端流量限速、ACL等参数,完成后单击“确定”。

    表3 策略控制参数说明

    参数

    说明

    SSID下行流量限速

    限制整个SSID的下行流量。

    SSID上行流量限速

    限制整个SSID的上行流量。

    终端下行限速

    限制单个终端的下行流量,并且限速值采用静态固定值。

    终端上行限速

    限制单个终端的上行流量,并且限速值采用静态固定值。

    高级参数配置

    ACL模板名称

    为SSID配置基于ACL的报文过滤功能,允许或禁止符合条件的数据报文通过。可以从下拉列表中选取已有的ACL模板。

    若没有合适的ACL模板,可单击“创建”填写参数新建一个模板。

    说明:

    对于AP1050DN-S、AP2050DN、AP2050DN-E、AP2050DN-S、AP2051DN、AP2051DN-E、AP2051DN-S、AP4051DN-S、AP4050DN、AP4050DN-S、AP4050DN-E、AP4050DN-HD、AP4051DN、AP4151DN、AP5030DN-C、AP5050DN-S、AP6050DN、AP6150DN、AP7050DE、AP7050DN-E、AP8030DN、AP8050DN、AP8050DN-S、AP8130DN、AP8150DN、AD9430DN-12、AD9430DN-24、R230D、R240D、R250D、R250D-E、R251D、R251D-E、R450D、AP4051TN、AP6052DN、AP7052DN、AP7052DE、AP7152DN、AP8050TN-HD、AP8082DN、AP8182DN、AP100EC、AP200EC、AP300EC、AP3050DE、AP7060DN、WA375DD-CE、AP4050DE-M、AP5510-W-GP、AP9330DN、AD9431DN-24X、AP5030DN、AP4030DN、AP4130DN、AP2030DN、AP6010DN-AGN、AP3010DN-AGN、AP2010DN、AP6510DN-AGN、AP4050DE-M-S、AP4050DE-B-S、AP2051DN-L-S、AP5030DN-S、AP6750-10T、AirEngine5760-10款型的设备,可能存在设备上的ACL ID和华为乾坤云平台页面上的ID显示不一致的情况,其他配套款型华为乾坤云平台和设备上的显示一致。

    应用流量统计

    缺省关闭。若开启,AP通过对用户发送报文的解析,统计网络中各个用户的应用对网络的使用情况。

    说明:

    AP2050DN、AP2050DN-E、AP2050DN-S、AP4050DN-E、AP4050DN-HD、AP6050DN(256M)、AP6150DN(256M)、AP7050DE(256M)、AP8030DN、AP8130DN、R230D、R240D、R250D、R250D-E、R251D、R251D-E、R450D不支持应用流量统计。

    URL过滤

    缺省关闭。若开启,通过配置URL过滤策略,可以限制无线网络接入终端所能访问的网络资源。

    • 黑名单过滤模式:禁止访问URL过滤列表中的网站。
    • 白名单过滤模式:只允许访问URL过滤列表中的网站。
    说明:
    • 中心AP不支持URL过滤。
    • 如果终端使用的浏览器采用代理访问机制,由于数据报文中的URL并非真实访问的URL,因此黑白名单过滤模式不生效。

后续操作

创建SSID后,支持如下操作:

  • 修改SSID:单击列表中,支持修改SSID相关信息。
  • 删除SSID:单击列表中,支持删除SSID。或选择多个SSID,单击列表右上角“删除”,支持批量删除。

相关文档