• 组网需求
• 配置思路
• 配置注意事项
• 操作步骤
• 配置文件

组网需求

如图1所示，用户通过Web方式访问网关设备AP。

为了防止传输的数据不被窃听和篡改，实现对设备的安全管理，网络管理员要求用户以HTTPS的方式安全访问设备。

配置思路

采用如下思路在AP上进行配置：

1. 创建VLAN、VLANIF，并配置各接口，使企业用户能够访问设备。
2. 配置服务器型SSL策略并配置缺省的PKI域作为该策略使用的PKI域，无需安装独立的CA服务器。
3. 配置HTTPS服务器功能，保证用户与AP之间数据传输的私密性与完整性。

配置注意事项

纯组播报文由于协议要求在无线空口没有ACK机制保障，且无线空口链路不稳定，为了纯组播报文能够稳定发送，通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入，则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击，建议在直连AP的交换机接口上配置组播报文抑制功能。配置前请确认是否有组播业务，如果有，请谨慎配置限速值。

操作步骤

1. 创建VLAN并配置各接口

   # 在AP上创建VLAN 11。
   
   <HUAWEI> system-view
   [HUAWEI] vlan batch 11
   # 配置AP连接用户的接口GE0/0/1加入VLAN11。
   
   [HUAWEI] interface gigabitethernet 0/0/1
   [HUAWEI-GigabitEthernet0/0/1] port link-type access
   [HUAWEI-GigabitEthernet0/0/1] port default vlan 11
   [HUAWEI-GigabitEthernet0/0/1] quit
   # 创建VLANIF11，并为VLANIF11配置IP地址10.1.1.1/24。
   
   [HUAWEI] interface vlanif11
   [HUAWEI-Vlanif11] ip address 10.1.1.1 24
   [HUAWEI-Vlanif11] quit

2. 配置服务器型SSL策略

   # 配置SSL策略使用PKI缺省域default。
   
   [HUAWEI] ssl policy userserver type server
   [HUAWEI-ssl-policy-userserver] pki-realm default
   # 配置保存会话的最大数目和最大时长。
   
   [HUAWEI-ssl-policy-userserver] session cachesize 20 timeout 7200
   [HUAWEI-ssl-policy-userserver] quit

3. 配置HTTPS服务器

   # 配置HTTPS服务器关联的SSL策略为userserver。
   
   [HUAWEI] http secure-server ssl-policy userserver
   # 配置HTTPS服务的端口号。
   
   [HUAWEI] http secure-server port 1278
   # 使能AP的HTTPS服务器功能。
   
   [HUAWEI] http secure-server enable
     This operation will take several minutes, please wait...
   Info:HTTPS server has been started
   [HUAWEI] quit

4. 检查配置结果

   # 执行命令display ssl policy policy-name，查看SSL策略userserver的配置信息。
   
   <HUAWEI> display ssl policy userserver
    ------------------------------------------------------------------------------
     Policy name                     :   userserver
     Policy ID                       :   0
     Policy type                     :   Server 
     Cache number                    :   20
     Time out(second)                :   7200
     Server certificate load status  :   loaded
     CA certificate chain load status:   loaded
     Bind number                     :   1
     SSL connection number           :   0
     -----------------------------------------------------------------------------
   # 当用户在主机user上打开浏览器，输入网址“https://10.1.1.1:1278”后，主机user将以HTTPS的方式访问Web网管页面，用户后续可以利用Web网管页面安全访问和管理AP。

配置文件

AP的配置文件

#
 http server enable
 http secure-server port 1278
 http secure-server ssl-policy userserver
 #
vlan batch 11
#
pki realm default
 enrollment self-signed
#
ssl policy userserver type server
 pki-realm default
 session cachesize 20 timeout 7200
#
interface Vlanif11
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 11
# 
return