A：基于MAC本地認證的配置方法如下: [Quidway]mac-authen [Quidway]mac-authen username macaddress format with-hyphen [Quidway]aaa [Quidway-aaa] [Quidway-aaa]local-user f0de-f163-76d5 password simple f0de-f163-76d5 [Quidway]int ethe0/0/4 [Quidway-Ethernet0/0/4]mac-authen 當(dāng)mac認證不通過時，交換機上上不學(xué)習(xí)PC的mac，查看認證狀態(tài)時有如下顯示： [Quidway]dis mac-authen int Ethernet 0/0/4 Ethernet0/0/4 state: UP. MAC address authentication is enabled Maximum users: 256 Current users: 0 Authentication Success: 6, Failure: 18 Guest VLAN is disabled Silent MAC info: f0de-f163-76d5 1 silent mac address(es) found, 1 printed. 當(dāng)MAC認證通過時，交換機上學(xué)習(xí)到PC的MAC，查看認證狀態(tài)時有如下顯示： [Quidway]dis mac-authen int Ethernet 0/0/4 Ethernet0/0/4 state: UP. MAC address authentication is enabled Maximum users: 256 Current users: 1 Authentication Success: 5, Failure: 17 Guest VLAN is disabled Online user(s) info: UserId MAC/VLAN AccessTime UserName ------------------------------------------------------------------------------ 37 f0de-f163-76d5/1 2008/01/01 00:37:08 f0de-f163-76d5 ------------------------------------------------------------------------------

# acl number 3000 //用于內(nèi)部主機直接使用211.1.1.6訪問服務(wù)器，只有內(nèi)網(wǎng)發(fā)起的服務(wù)才會在GE1/0/0上進行NAT rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 211.1.1.6 0 # interface GigabitEthernet1/0/0 ip address 192.168.1.1 255.255.255.0 nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255 //內(nèi)網(wǎng)用戶直接使用211.1.1.6訪問服務(wù)器時進行NAT nat outbound 3000 //內(nèi)網(wǎng)用戶直接訪問211.1.1.6時做Easy IP，將源地址改為GE1/0/0的地址,保證內(nèi)網(wǎng)服務(wù)器和主機間的交互都經(jīng)過Router轉(zhuǎn)發(fā) # interface GigabitEthernet1/0/1 ip address 202.1.1.1 255.0.0.0 nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255 //保證外網(wǎng)用戶使用211.1.1.6可以訪問服務(wù)器 return

　　在接口上做QOS CAR，如下舉例（WAN接口）： 　　qos car outbound source-ip-address range 192.168.1.2 to 192.168.1.254 per-address cir 32 cbs 6016 pbs 10016 green pass yellow pass red discard //配置在接口出方向?qū)υ吹刂窞?92.168.1.2到192.168.1.254范圍內(nèi)的報文做流量監(jiān)管，指定各IP地址發(fā)送報文的承諾信息速率為32kbit/s　即上傳 　　qos car outbound destination-ip-address range 192.168.2.2 to 192.168.2.254 per-address cir 16 cbs 3008 pbs 5008 green pass yellow pass red discard 即下載 //配置在接口出方向?qū)υ吹刂窞?92.168.2.2到192.168.2.254范圍內(nèi)的報文做流量監(jiān)管，指定各IP地址發(fā)送報文承諾信息速率為16kbit/s 　　若在qos car命令中不配置per-address參數(shù)，則對源IP在指定范圍內(nèi)的所有報文聚合起來做CAR，即對該地址段發(fā)送報文的總流量做流量監(jiān)管。

場景一：用戶使用設(shè)備時不使用WEB網(wǎng)頁進行配置管理，且不使用BIMS（Branch Intelligent Management System）功能進行遠程配置。 規(guī)避方案：關(guān)閉HTTP端口 和BIMS服務(wù)，具體配置如下： AR 18/28/46： [Quidway] ip http shutdown [Quidway] undo bims enable AR 19/29/49： [Quidway] undo ip http enable S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交換機： [Quidway] ip http shutdown (注3) S7800系列交換機： [Quidway] undo ip http enable 場景二：用戶使用WEB網(wǎng)頁對設(shè)備進行配置管理或使用BIMS功能進行遠程配置。 規(guī)避方案：通過ACL控制HTTP建立的源IP地址，具體配置如下： AR 18/28/46： [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 AR 19/29/49： [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交換機： [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 (注3) S7800系列交換機： [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 場景三：設(shè)備不支持WEB網(wǎng)頁進行配置管理，但HTTP服務(wù)端口是打開的。 規(guī)避方案：關(guān)閉HTTP服務(wù)端口，具體配置如下： S8500系列交換機： [Quidway] ip http shutdown

　　更改加密套件為CCMP，客戶端設(shè)置安全類型為WPA2，加密類型為AES

802.11a/b/g/n在頻段、兼容性、理論速率、實測速率、單AP用戶量方面的對比情況如下表：

協(xié)議	使用頻段	兼容性	理論速率	實測速率	1M限速最大用戶	建議最大用戶
802.11a	5GHz	NA	54Mbps	22Mbps左右	15	10
802.11b	2.4GHz	NA	11Mbps	5Mbps左右	--	--
802.11g	2.4GHz	兼容802.11b	54Mbps	22Mbps左右	15	10
802.11n	2.4GHz、5GHz	兼容802.11a/b/g	300Mbps（二空間流）	80–220Mbps左右	見下表	見下表

環(huán)境	理論用戶	企業(yè)建議最大用戶
11n 1×1 MIMO HT20模式單流（65Mbps），每用戶限速512k	23	15
11n 2×2 MIMO HT20模式雙流（130Mbps），每用戶限速1M	25	15
11n 1×1 MIMO HT40模式單流（150Mbps），每用戶限速1M	28	15
11n 2×2 MIMO HT40模式雙流（300Mbps），每用戶限速1M	45	25

　　1、速率。目前來看，我們建議所有新建網(wǎng)用戶采用802.11A/B/N,支持300M 　　2、胖AP Or 瘦AP：AP數(shù)量大型12臺建議采用瘦AP，瘦AP支持漫游業(yè)務(wù)不中斷。 　　3、功率大小：用戶密度大，功率小，用戶密度小，功率選大，一個AP支持的用戶數(shù)大概為15-20個。 　　4、放裝型還是分布型：樓道、普通用戶密度小用分布型，會議室用戶密碼大用放裝型。

　　使用NTP時間同步的方式處理。網(wǎng)絡(luò)中一般路由器、防火墻設(shè)備都有硬件時鐘芯片。我們可以通過NTP時鐘同步的方式將所有網(wǎng)絡(luò)設(shè)備的時鐘進行同步。 　　例： 　　防火墻配置（10.10.1.254）： ntp-service refclock-master 2 　　交換機配置： ntp-service unicast-server 10.10.1.254

　　1、由于華為交換機（Sx300/Sx700）默認是不將操作命令記入日志，如果需要將操作的命令寫入日志，需要配置相關(guān)的命令。 　　2、在設(shè)備需要配置如下的命令： info-center source SHELL channel logbuffer log level debugging state on，這樣在設(shè)備上通過display logbuffer就可以看見登陸設(shè)備之后操作的命令了。 例如： [SW-L-S2752-02]info-center source SHELL channel logbuffer log level debugging state on [SW-L-S2752-02]dis logb Logging buffer configuration and contents : enabled Allowed max buffer size : 1024 Actual buffer size : 512 Channel number : 4 , Channel name : logbuffer Dropped messages : 0 Overwritten messages : 0 Current messages : 295 Feb 15 2012 04:50:32-05:13 SW-L-S2752-02 %%01SHELL/5/CMDRECORD(l)[0]:Record command information. (Task=VT0 , Ip=10.10.1.254, User=huawei, Command="info-center source SHELL channel logbuffer log level debugging state on")