WPA2+802.1X的接入方式

对于商用环境应该提供更安全的认证和加密方式， 推荐使用WPA2的AES加密方式，结合安全级别较高的802.1X认证方式，更适合封闭性较高的企业级用户。

# 配置WPA2的AES 802.1X认证方式。

<HUAWEI> system-view
[HUAWEI] wlan
[HUAWEI-wlan-view] security-profile name p1
[HUAWEI-wlan-sec-prof-p1] security wpa2 dot1x aes

如果用户的终端存在多种类型，支持不同的认证和加密方式，推荐使用混合方式。

# 配置WPA-WPA2混合方式，使用混合加密，认证方式为802.1X。

<HUAWEI> system-view
[HUAWEI] wlan
[HUAWEI-wlan-view] security-profile name p1
[HUAWEI-wlan-sec-prof-p1] security wpa-wpa2 dot1x aes-tkip

Radius超时配置

对于一个较大规模或者较繁忙的网络尽可能的配置最低的RADIUS重传超时。因为过长的超时时间会占用系统资源，更小的超时时间可以更好地提高AC的处理能力。

当前无线用户默认重传超时时间是5秒，适用于大多数无线用户认证场景。当RADIUS服务器模板下配置了8个以上认证服务器的IP地址，或者使用802.1X认证时，推荐将超时时间配置为1秒以提升网络处理效率。

# 配置重传超时时间为1秒。

<HUAWEI> system-view
[HUAWEI] radius-server template test1
[HUAWEI-radius-test1] radius-server timeout 1

802.1X请求超时配置

AC默认的802.1X请求超时时间是30秒，最大重传2次，但是在某些场景需要适当调整，让网络部署更优。

如果网络使用一次性密码（OTP），例如接入密码由网络维护部门通过短信发到用户终端的场景，用户发起密码申请，到收到密码后再输入，整个时间可能已经超过30秒，所以这种场景下需要适当调大超时时间。

如果网络条件较差（比如无线干扰严重），丢包严重，那么建议配置较短的超时时间和较多的重传次数，加快网络收敛性能。

# 设置发送认证请求的时间间隔为20秒，重传次数为4次。

<HUAWEI> system-view
[HUAWEI] dot1x timer tx-period 20
[HUAWEI] dot1x-access-profile name d1
[HUAWEI-dot1x-access-profile-d1] dot1x retry 4

减少SSID的数量

SSID用来指定不同的无线网络。在无线终端上搜索可接入的无线网络时，显示出来的网络名称，就是SSID。

建议限制AC上配置的SSID数量，虽然每个AP最多可配置16个SSID，但是过多的SSID数量会占用AC系统资源，因此推荐尽可能少的创建SSID。

降低STA老化时间

因为终端流动性大，一些部署在场馆入口的AP会短时间内关联上较多的终端，从而导致关联终端数达到上限后无法接入新用户。

实际上，由于终端是流动接入，很多终端会很快离开AP的覆盖范围，因此，建议降低STA的老化时间到1分钟。

无线城市场景下，也建议降低STA老化时间，推荐配置为1分钟。

# 在名为“ssid1”的SSID模板中配置用户关联老化时间为1分钟。

<HUAWEI> system-view
[HUAWEI] wlan
[HUAWEI-wlan-view] ssid-profile name ssid1
[HUAWEI-wlan-ssid-prof-ssid1] association-timeout 1
Warning: This action may cause service interruption. Continue?[Y/N]y

不建议部署STA黑白名单

在WLAN网络环境中，可以通过黑白名单功能设定一定的规则过滤无线客户端，实现对无线客户端的接入控制，以保证合法客户端能够正常接入WLAN网络，避免非法客户端强行接入WLAN网络。

但是开启STA黑白名单后会增加AC的负担，导致性能下降，因此，如无必要，不建议部署STA黑白名单。

不建议开启802.11r

802.11r标准是IEEE对快速漫游概念的标准化，在客户端关联到目标无线接入点（即客户端连接到的）之前就完成与它的初始身份验证握手。默认情况下，802.11r没有被启用。

只有苹果IOS Version6及以上的版本才支持802.11r，其他不支持802.11r协议的终端无法关联打开了802.11r功能的WLAN网络。所以网络终端存在多种类型时，不建议开启802.11r。

不建议开启AP负载均衡

配置AP负载均衡功能后，负载均衡组中的AP接收到探测报文后，都会发送探测报文给AC，由AC决定终端从哪个AP接入。过多的探测报文会降低AC的性能，如无必要，不建议开启AP负载均衡功能。

不建议开启记录关联日志功能

打开用户上线成功信息记录到日志功能之后，对于设备上成功上线的用户信息都会记录到日志中，便于管理员查看用户上线成功信息。但是记录日志会影响AC性能，尤其是用户量大的场景影响更大，所以不建议开启。该功能默认不开启。

# 关闭用户上线成功信息记录到日志功能。

<HUAWEI> system-view
[HUAWEI] wlan
[HUAWEI-wlan-view] undo report-sta-assoc enable

不建议开启上报STA流量和上线时长信息

为方便在eSight网管上查询STA的流量信息和在AP中的上线时长信息，需要打开AC主动上报STA的流量信息和在AP中的上线时长信息的功能，打开后，用户下线或进行AC内漫游时，AC收集这些信息通过Syslog主动上报到eSight网管。

无论网络中是否部署eSight都不建议开启该功能，因为频繁的上报信息会影响AC性能，尤其是用户量大的场景影响更大，所以不建议开启。该功能默认不开启。

# 关闭AC主动上报STA的流量信息和在AP中的上线时长信息的功能。

<HUAWEI> system-view
[HUAWEI] wlan
[HUAWEI-wlan-view] undo report-sta-info enable

合理开启低信号强度强制用户下线

高密场馆、高校场景下建议开启，无线城市场景下不建议使用。