Ensp中ac怎么配置

### 配置概述 在 eNSP 中配置无线 AC 控制器涉及多个方面，包括拓扑设计、交换机配置、AP 地址分配以及 WLAN 参数设定等。以下是关于如何完成这些操作的具体说明。 --- ### 拓扑图描述与组网设计 为了实现 AP 和 AC 的通信，在二层旁路组网模式下，通常会通过 VLAN 来划分管理流量和数据流量。这种设计允许 AP 自动上线并接收来自 AC 的集中化控制[^1]。 #### 组网特点 - **AC/AP 间连接**：利用二层直连或三层路由的方式建立通信链路。 - **VLAN 划分**：定义特定的 VLAN（如 VLAN10），作为管理和控制信道专用。 - **IP 地址规划**：为 AC 及其 DHCP 功能预留独立子网范围（如 192.168.10.0/24 或其他自定义地址段）[^2]。 --- ### 接入交换机基础配置 接入交换机负责提供物理端口供 AP 连接，并需支持基于 VLAN 的隔离策略： ```shell # 创建 VLAN 并将其绑定到指定接口 [SwitchA] vlan batch 10 [SwitchA] interface GigabitEthernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] port link-type access [SwitchA-GigabitEthernet0/0/1] port default vlan 10 ``` 上述命令创建了一个名为 VLAN10 的虚拟局域网实例，并将第一个千兆以太网端口设为其成员[^3]。 --- ### AC 上的 IP 地址与 DHCP 地址池设置 为了让 AP 能够成功注册至 AC，必须先由后者向前者动态授予合法 IPv4 地址资源。 #### 步骤一：启用 VRRP/Virtual Interface 假设我们采用的是默认网关形式，则需要激活某个逻辑接口来承载外部访问请求： ```shell [Huawei_AC] interface Vlanif 10 [Huawei_AC-Vlanif10] ip address 192.168.10.2 255.255.255.0 ``` 这里指定了一个静态 IP `192.168.10.2` 属于前述提到过的同一子网结构之中。 #### 步骤二：构建 DHCP Pool 接着继续补充剩余部分——即实际用来派发客户端使用的公有或者私有的连续区间数值集合： ```shell [Huawei_AC] dhcp enable [Huawei_AC] dhcp server ip-pool ap_pool [Huawei_AC-dhcp-pool-ap_pool] network 192.168.10.0 mask 255.255.255.0 [Huawei_AC-dhcp-pool-ap_pool] gateway-list 192.168.10.2 [Huawei_AC-dhcp-pool-ap_pool] dns-list 8.8.8.8 ``` 以上脚本片段实现了如下功能： - 开启全局范围内 DHCP 协议的支持状态； - 定义名称叫做 “ap_pool” 的共享存储区域； - 明确指出该区域内可供租赁出去的有效主机号段及其掩码长度； - 同时还设置了缺省路由器位置以便后续转发报文到达更远的目的地节点处。 --- ### 查看 AP 是否已正常联机 一旦完成了前期准备工作之后就可以尝试验证整个系统的运行状况了。具体做法是从设备本身出发调取实时在线清单列表出来加以确认即可： ```shell [Huawei_AC] display wlan ap all ``` 如果一切顺利的话应该可以看到至少有一条记录显示对应 MAC 地址已经处于活动当中并且关联到了预期中的 SSID 下面去。 --- ### 配置 WLAN 参数信息 最后一步便是针对目标覆盖区内的终端用户提供个性化的服务选项比如加密机制类型选择SSID广播开关等等均可以通过下面类似的指令序列达成目的: ```shell [Huawei_AC] wlan ssid-profile name test_profile [Huawei_AC-wlan-ssid-prof-test_profile] ssid my_wifi_network [Huawei_AC-wlan-ssid-prof-test_profile] broadcast-ssid enable [Huawei_AC-wlan-ssid-prof-test_profile] security wpa2-psk pass-phrase huawei@123 aes ``` 此阶段主要围绕安全性考量展开讨论从而保障最终用户体验质量达到最佳水平的同时也兼顾保护个人隐私不受侵犯的原则之上. ---

### ENSP 中 AC 配置黑白名单的方法 在 ENSP 平台中配置访问控制列表（ACL），可以有效地管理网络流量并实施安全策略。对于配置黑白名单的操作，主要涉及 ACL 规则的创建和应用。 #### 黑名单配置 当需要阻止特定 IP 地址或网段访问受保护资源时，可以通过定义拒绝规则来实现黑名单效果： ```plaintext [Huawei] acl number 3000 [Huawei-acl-adv-3000] rule deny source x.x.x.x 0.0.0.0 // 将x.x.x.x替换为要屏蔽的具体IP地址 ``` 上述命令用于创建编号为 3000 的高级 ACL，并添加一条拒绝来自指定源 IP 地址的数据包进入接口的规则[^2]。 为了使这些规则生效，还需将其应用于相应的物理或逻辑接口上： ```plaintext [Huawei]interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3000 ``` 这会将刚才设定好的 ACL 应用到入站方向上的 GE0/0/1 接口处，从而拦截匹配该条件下的数据流。 #### 白名单配置 如果希望允许某些特定设备不受限地通信，则可通过设置通配符掩码的方式构建白名单条目，在此之前应先清除默认放行所有流量的行为： ```plaintext [Huawei] acl number 3001 [Huawei-acl-adv-3001] undo rule all // 清除已有规则 [Huawei-acl-adv-3001] rule permit ip // 默认情况下允许全部流量通过 [Huawei-acl-adv-3001] rule deny ip // 明确拒绝其他未列明情况 [Huawei-acl-adv-3001] rule 5 permit source y.y.y.y 0 // 添加具体允许的IP地址y.y.y.y ``` 这里需要注意的是，默认行为被设为拒绝一切不符合已知许可项的情况；而每增加一个新的例外情形都需要单独声明其合法性。 同样地，完成以上操作之后记得把新制定的安全措施绑定至目标端口之上以便实际发挥作用： ```plaintext [Huawei]interface GigabitEthernet 0/0/2 [Huawei-GigabitEthernet0/0/2] traffic-filter outbound acl 3001 ``` 这样就完成了针对出口方向的过滤机制部署工作，确保只有被列入正面清单内的主机能够顺利发送请求给外部服务器或其他内部子网成员。