WPA2+802.1X的接入方式
对于商用环境应该提供更安全的认证和加密方式, 推荐使用WPA2的AES加密方式,结合安全级别较高的802.1X认证方式,更适合封闭性较高的企业级用户。
# 配置WPA2的AES 802.1X认证方式。
<HUAWEI> system-view [HUAWEI] wlan [HUAWEI-wlan-view] security-profile name p1 [HUAWEI-wlan-sec-prof-p1] security wpa2 dot1x aes
如果用户的终端存在多种类型,支持不同的认证和加密方式,推荐使用混合方式。
# 配置WPA-WPA2混合方式,使用混合加密,认证方式为802.1X。
<HUAWEI> system-view [HUAWEI] wlan [HUAWEI-wlan-view] security-profile name p1 [HUAWEI-wlan-sec-prof-p1] security wpa-wpa2 dot1x aes-tkip
Radius超时配置
对于一个较大规模或者较繁忙的网络尽可能的配置最低的RADIUS重传超时。因为过长的超时时间会占用系统资源,更小的超时时间可以更好地提高AC的处理能力。
当前无线用户默认重传超时时间是5秒,适用于大多数无线用户认证场景。当RADIUS服务器模板下配置了8个以上认证服务器的IP地址,或者使用802.1X认证时,推荐将超时时间配置为1秒以提升网络处理效率。
# 配置重传超时时间为1秒。
<HUAWEI> system-view [HUAWEI] radius-server template test1 [HUAWEI-radius-test1] radius-server timeout 1
802.1X请求超时配置
AC默认的802.1X请求超时时间是30秒,最大重传2次,但是在某些场景需要适当调整,让网络部署更优。
如果网络使用一次性密码(OTP),例如接入密码由网络维护部门通过短信发到用户终端的场景,用户发起密码申请,到收到密码后再输入,整个时间可能已经超过30秒,所以这种场景下需要适当调大超时时间。
如果网络条件较差(比如无线干扰严重),丢包严重,那么建议配置较短的超时时间和较多的重传次数,加快网络收敛性能。
# 设置发送认证请求的时间间隔为20秒,重传次数为4次。
<HUAWEI> system-view [HUAWEI] dot1x timer tx-period 20 [HUAWEI] dot1x-access-profile name d1 [HUAWEI-dot1x-access-profile-d1] dot1x retry 4
减少SSID的数量
SSID用来指定不同的无线网络。在无线终端上搜索可接入的无线网络时,显示出来的网络名称,就是SSID。
建议限制AC上配置的SSID数量,虽然每个AP最多可配置16个SSID,但是过多的SSID数量会占用AC系统资源,因此推荐尽可能少的创建SSID。
降低STA老化时间
因为终端流动性大,一些部署在场馆入口的AP会短时间内关联上较多的终端,从而导致关联终端数达到上限后无法接入新用户。
实际上,由于终端是流动接入,很多终端会很快离开AP的覆盖范围,因此,建议降低STA的老化时间到1分钟。
无线城市场景下,也建议降低STA老化时间,推荐配置为1分钟。
# 在名为“ssid1”的SSID模板中配置用户关联老化时间为1分钟。
<HUAWEI> system-view [HUAWEI] wlan [HUAWEI-wlan-view] ssid-profile name ssid1 [HUAWEI-wlan-ssid-prof-ssid1] association-timeout 1 Warning: This action may cause service interruption. Continue?[Y/N]y
不建议部署STA黑白名单
在WLAN网络环境中,可以通过黑白名单功能设定一定的规则过滤无线客户端,实现对无线客户端的接入控制,以保证合法客户端能够正常接入WLAN网络,避免非法客户端强行接入WLAN网络。
但是开启STA黑白名单后会增加AC的负担,导致性能下降,因此,如无必要,不建议部署STA黑白名单。
不建议开启802.11r
802.11r标准是IEEE对快速漫游概念的标准化,在客户端关联到目标无线接入点(即客户端连接到的)之前就完成与它的初始身份验证握手。默认情况下,802.11r没有被启用。
只有苹果IOS Version6及以上的版本才支持802.11r,其他不支持802.11r协议的终端无法关联打开了802.11r功能的WLAN网络。所以网络终端存在多种类型时,不建议开启802.11r。
不建议开启AP负载均衡
配置AP负载均衡功能后,负载均衡组中的AP接收到探测报文后,都会发送探测报文给AC,由AC决定终端从哪个AP接入。过多的探测报文会降低AC的性能,如无必要,不建议开启AP负载均衡功能。
不建议开启记录关联日志功能
打开用户上线成功信息记录到日志功能之后,对于设备上成功上线的用户信息都会记录到日志中,便于管理员查看用户上线成功信息。但是记录日志会影响AC性能,尤其是用户量大的场景影响更大,所以不建议开启。该功能默认不开启。
# 关闭用户上线成功信息记录到日志功能。
<HUAWEI> system-view [HUAWEI] wlan [HUAWEI-wlan-view] undo report-sta-assoc enable
不建议开启上报STA流量和上线时长信息
为方便在eSight网管上查询STA的流量信息和在AP中的上线时长信息,需要打开AC主动上报STA的流量信息和在AP中的上线时长信息的功能,打开后,用户下线或进行AC内漫游时,AC收集这些信息通过Syslog主动上报到eSight网管。
无论网络中是否部署eSight都不建议开启该功能,因为频繁的上报信息会影响AC性能,尤其是用户量大的场景影响更大,所以不建议开启。该功能默认不开启。
# 关闭AC主动上报STA的流量信息和在AP中的上线时长信息的功能。
<HUAWEI> system-view [HUAWEI] wlan [HUAWEI-wlan-view] undo report-sta-info enable
合理开启低信号强度强制用户下线
高密场馆、高校场景下建议开启,无线城市场景下不建议使用。
2181
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
