| 功能 | 是否必须 | 配置端 | 具体配置 | 配置说明 | 注意事项 | 举例 | 参数说明 | ||
| openflow对接配置 | 设备端添加 | of controller-ip (onc ip) port 6653 interface (port / vlan xx) | 配置与控制器对接openflow协议 | of controller-ip 172.18.157.134 port 6653 interface loopback 0 | onc ip:onc的ip地址 port / vlan xx :配置与onc设备对接的接口或vlan |
||||
| SSH和netconf对接配置 | √ | 设备端添加 | aaa new-model aaa authentication login default local username (username) password (password) enable password ruijie enable service ssh-server crypto key generate rsa line vty 0 10 login authentication default |
配置与控制器对接netconf协议 | aaa new-model aaa authentication login test local username ruijie password ruijie enable password ruijie enable service ssh-server crypto key generate rsa line vty 0 4 login authentication test |
username :ONC设备对接时使用的用户名 password :ONC设备对接时使用的密码 |
|||
| snmp对接配置 | √ | 设备端添加 | snmp-server enable traps snmp-server community (community) rw snmp-server host (ONC ip) informs version 2c (radius snmp key) ——可选 snmp-server host (radius ip) informs version 2c (radius snmp key) |
配置与控制器对接snmp协议 | snmp-server enable traps snmp-server community ruijie rw snmp-server host 172.18.157.139 informs version 2c ruijie |
onc ip:ONCip地址 onc snmp key:snmp key community:snmp对接的团体字 radius ip:N18k对接的radius设备地址 radius snmp key:与radius对接的snmp key |
|||
| 网关认证模式 | √ | 设备端添加 | auth-mode gateway | 开启大网关模式(极简专用模式,必须开启),调整内部表项容量和功能使之适应大网关场景的部署机制 | 该配置需要保存重启后才能生效 | auth-mode gateway | |||
| 配置用户定期同步 | √ | 设备端添加 | snmp-server host (radius ip) informs version 2c (radius snmp key) | 为了防止SAM上有存在因为异常情况导致的用户无法下线情况,SAM每天凌晨2点会自动与NAS上在线用户进行核对,删除假在线的用户信息 | snmp-server host 202.204.193.23 informs version 2c ruijie | radius ip:IP address of radius server key:SNMPv2c community string |
|||
| 接口索引唯一性 | √ | 设备端添加 | snmp-server if-index persist | 每个端口的接口索引都是唯一,可以通过show interface查看(Index字段),当有多张线卡和AP口时(先插入1张,配置AP口,再插入1张),设备重启后,可能会导致设备接口索引发生变化,导致SAM上的区域划分功能失效,建议开启接口索引唯一。 | snmp-server if-index persist | ||||
| 关闭https重定向 | √ | 设备端添加 | no http redirect port 443 | https涉及到socket加密与解密,当前版本性能比起http低得多。开启HTTPS后会导致原有HTTP的重定向性能降低,暂时建议关闭。已在版本优化进行中。 | no http redirect port 443 | ||||
| 地址快速回收 | √ | 设备端添加 | ip dhcp snooping arp-detect ip dhcp server arp-detect |
启动dhcp-snooping的arp快速回收,arp老化时进行默认1s/次,最多5次 启动dhcp-server快速地址回收,如发现用户在一段时间内(默认5分钟)未重新上线,DHCP服务器就回收分配给该用户的地址 |
ip dhcp snooping arp-detect ip dhcp server arp-detect |
||||
| 防私设IP地址 | web认证防私设 | √ | 设备端添加 | web-auth dhcp-check | 配置web认证防私设,用户发起web认证,会先检查dhcp绑定表中是否有该用户ip地址。若为私设用户,无法弹出或跳转到web认证页面 | web-auth dhcp-check | |||
| 1x认证防私设 | √ | 设备端添加 | dot1x valid-ip-acct enable | 必配,通过记帐更新报文上传用户IP通告给SAM,如果发现1x认证模块没有终端用户的IP表项,5分钟后就会将用户踢下线。 | dot1x valid-ip-acct enable | ||||
| mac快速认证防私设 | √ | 设备端添加 | dot1x mac-auth-bypass valid-ip-auth | 必配,由DHCP模块通告MAB模块开始认证,终端用户进行无感知认证前必须要先获取到IP | dot1x mac-auth-bypass valid-ip-auth | ||||
| 用户组信息接收 | √ | 设备端添加 | radius-server group-attribute 25 | 配置后识别radius报文的25号属性,若对策略随行功能有部署要求,则必配 | radius-server group-attribute 25 | ||||
| 配置DHCP snooping | √ | 设备端添加 | ip dhcp snooping | dhcp snooping开关,极简中场景主要作用为,mab、1x认证的带上IP地址。这两种认证的IP地址从dhcp snooping表中获得 | ip dhcp snooping | ||||
| 下联口配置(接入隔离) | √ | 设备端添加 | interface xx switchport mode trunk switchport trunk allowed vlan only vlan-list XX switchport protected |
必须配置端口隔离/或者vlan隔离,进行vlan裁剪 | interface xx switchport mode trunk switchport trunk allowed vlan only 10,20,100-400 switchport protected |
||||
| 子网策略例外口 | 设备端添加 | interface xx network-policy uplink |
端口配置这条命令,子网策略在这个端口就不生效 | interface xx network-policy uplink |
|||||
| 认证 | 基本信息 | √ | 设备端添加 | aaa new-model aaa accounting network (list name) start-stop group (group name) aaa authentication dot1x (list name) group (group name) aaa authentication web-auth (list name) group (group name) aaa authentication login default local aaa group server radius (group name) server (radius ip) radius-server host (radius ip) key ruijie aaa accounting update periodic 30 aaa accounting update aaa authorization ip-auth-mode mixed no aaa log enable ip portal source-interface (portal interface) ip radius source-interface (radius interface) |
aaa和radius-server的通用命令,可参考 | 注意事项1:若使用mab认证时aaa authorization ip-auth-mode (mix/dhcp-server)只能配置这两种模式 注意事项2:ip portal source-interface和ip radius source-interface的接口IP地址,必须和radius或者eportal一致 |
aaa new-model aaa accounting network sam start-stop group sam aaa authentication dot1x sam group sam aaa authentication web-auth sam group sam aaa authentication login default local aaa group server radius sam server 202.204.193.23 radius-server host 202.204.193.23 key ruijie aaa accounting update periodic 30 aaa accounting update aaa authorization ip-auth-mode mixed no aaa log enable ip portal source-interface TenGigabitEthernet 8/48 ip radius source-interface TenGigabitEthernet 8/48 or ip portal source-interface vlan 60 ip radius source-interface vlan 60 radius-server attribute nas-port-id format qinq |
list name:Named aaa(accounting\authentica\authorization) list group name:Group name radius ip:IP address of radius server radius key:The HIDDEN server key portal interface:Specify interface for PORTAL device radius interface:Specify interface for RADIUS device |
|
| web认证 | web认证 | √ | 设备端添加 | web-auth template eportalv2 ip (portal ip) url (web url) authentication (list name) accounting (list name) web-auth portal key (portal key) http redirect direct-site (portal ip) |
web认证通用模板 | authentication (list name) accounting (list name) 此处的list name需要和aaa配置的list name一致 |
web-auth template eportalv2 ip 202.204.193.32 url http://202.204.193.32/eportal/index.jsp authentication wifi accounting wifi web-auth portal key university http redirect direct-site 202.204.193.32 |
portal ip::IP address of portal web url::Portal url list name:Named aaa(accounting\authentica/authorization) list portal key:Portal key string |
|
| 相关接口命令 | √ | 设备端添加 | web-auth enable eportalv2 | web认证受控口配置通用模板 | 在需要开启web认证的接口上开启 | web-auth enable eportalv2 | |||
| WEB无感知认证(mab) | web无感知认证(mab) | √ | 设备端添加 | ip dhcp snooping aaa authorization ip-auth-mode mixed dot1x accounting (list name) dot1x authentication (list name) dot1x mac-auth-bypass valid-ip-auth dot1x valid-ip-acct enable |
【无感知认证通用模板】 1、ip dhcp snooping //无感知认证提供给SAM的ip地址表项,需要通过dhcp snooping表项来获取 2、aaa authorization ip-auth-mode mixed //ip授权模式需要配置为mix 3、dot1x mac-auth-bypass valid-ip-auth //mab认证前携带IP地址,未有ip地址则不允许认证 4、dot1x valid-ip-acct enable //mab认证后通过记帐报文携带IP地址,未有ip地址则5分钟后下线 |
dot1x mac-auth-bypass valid-ip-auth dot1x valid-ip-acct enable 1、以上两条命令未配置可能在SAM上出现0.0.0.0的地址用户,部分多运营商boss要求不能有该类用户,则必须配置。 2、但配置完成之后,对使用静态IP地址进行mab认证的用户,支持性差。需要搜集所有静态mab用户的mac地址进行IP绑定,否则mab认证会失败 |
dot1x accounting wifi dot1x authentication wifi dot1x mac-auth-bypass valid-ip-auth dot1x valid-ip-acct enable |
||
| 相关接口命令 | 设备端添加 | dot1x port-control auto dot1x mac-auth-bypass multi-user dot1x mac-auth-bypass vlan (vlan-list)---可选 |
无感知认证受控口配置模板 | 在需要开启web无感知认证的接口上,开启这个命令。 若需要在相关接口下开启部分vlan的无感知认证,可以使用 dot1x mac-auth-bypass vlan (vlan-list) |
dot1x port-control auto dot1x mac-auth-bypass multi-user |
||||
| 有线1X认证 | 有线1x认证 | √ | 设备端添加 | dot1x accounting (list name) dot1x authentication (list name) dot1x valid-ip-acct enable |
1x认证配置模板 | dot1x accounting sam dot1x authentication sam dot1x valid-ip-acct enable |
list name:Named aaa(accounting\authentica\authorization) list | ||
| 相关接口上命令 | 设备端添加 | dot1x port-control auto | 端口应用1x受控 | dot1x port-control auto | |||||
| 无线1X认证 | 无线1x认证免认证vlan | 设备端添加 | direct-vlan (1X-vlan) | 免认证vlan;一般用作无线管理vlan、无线1x认证vlan、以及一卡通、视频业务等特殊业务vlan 免认证vlan的总数不能超过50个 |
当前无线1x认证不能上收到N18K,只能在AC上面。在N18K上开启1x认证用户的直通vlan | direct-vlan 1-2,7,30 | 1X-VLAN:Vlan port number of 1X. Ps: 1-2,7,30 | ||
| 有线SU客户端下载 | su客户端下载 | 设备端添加 | web-auth template eportalv2 ip (su download ip) url (su download url) authentication (list name) accounting (list name) web-auth portal key (portal key) http redirect direct-site (su download ip) |
su下载配置模板,需要依赖web认证的页面跳转 | 对于第一次进行认证的客户,设备没有下载SU客户端,需要认证前能重定向到su下载的页面 | web-auth template eportalv2 ip 202.204.193.32 url http://202.204.193.32/su/index.jsp authentication sam accounting sam web-auth portal key university http redirect direct-site 202.204.193.32 |
su-download ip::IP address of su-download su-download url::Su-download url list name:Named aaa(accounting\authentica/authorization) list portal key:Portal key string |
||
| 相关接口上命令 | 设备端添加 | web-auth enable eportalv2 | 端口应用web认证受控 | 在需要进行su客户端下载的端口下开启 | web-auth enable eportalv2 | ||||
| 免认证 | 全局免认证vlan | √ | 设备端添加 | direct-vlan (vlan list) | 免认证vlan的总数不能超过50个 | ||||
| 安全通道 | √ | 设备端添加 | expert access-list extended RG-ONC-FREE 2 permit ip 10.0.0.0 0.255.255.255 any host 172.18.159.52 any 3 permit ip 10.0.0.0 0.255.255.255 any host 172.18.159.53 any 8001 permit arp any any 8197 permit ip 10.14.0.0 0.0.255.255 any any any 8198 permit ip any any host 172.18.157.49 any security global access-group RG-ONC-FREE |
8001以后的ACE都由ONC下发,如需要手动配置安全通道,ACE的编号请用1-8000之间的编号 | |||||
| QINQ隔离场景使用 | CE-VLAN设置(QINQ特有) | 设备端添加 | qinq termination ce-vlan (ce-vlan-first) to (ce-vlan-end) | 1、配置qinq终结的内层vlan范围,必配 2、vlan必须连续 3、DB/DC线卡支持60个CE-VLAN 4、ED线卡支持511个CE-VLAN |
qinq termination ce-vlan 101 to 124 | ce-vlan-first:Start vlan number of ce-vlan ce-vlan-end:End vlan number of ce-vlan |
|||
| PE-VLAN设置(QINQ特有) | 设备端添加 | qinq termination pe-vlan add (pe-vlan) | 配置qinq终结的外层vlan范围,必配 | 需要注意,pe-vlan的范围必须是有双层tag,qinq用户的外层vlan范围。若pe-vlan范围内涉及的vlan属于单层vlan的用户,则这些单层用户的vlan无法上网。 具体请参考《极简地图》中的《QINQ实施方案案例》 |
qinq termination pe-vlan add 601-624,701 | pe-vlan:Vlan list in separator '-' and ',' of pe-vlan | |||
| 双层Q上传配置(QINQ特有) | 设备端添加 | radius-server attribute nas-port-id format qinq | 配置上传双层标签到radius服务器 | 注意事项:radius-server attribute nas-port-id format qinq是为了报文QINQ部署模式下,N18K能将用户的双层tag都上传给服务器 | |||||
| DHCP服务器 | 基本信息 | √ | 设备端添加 | service dhcp | dhcp服务总开关 | service dhcp | |||
| 地址池 | √ | 设备端添加 | ip dhcp pool (address-pool-name) lease 0 2 0 network (network-number) (netmask) dns-server (dns-server-address(more than one)) default-router (default-router-address) |
dhcp地址池通用模板 | 这个命令可以配置多个地址池 | ip dhcp pool student lease 0 2 0 network 110.65.90.0 255.255.255.0 dns-server 202.116.32.254 222.200.129.134 default-router 110.65.90.254 |
address-pool-name:Name of address pool network-number:Network number in dotted-decimal notation netmask:Network mask dns-server-address:IP address of DNS server default-router-address:IP address of Router |
||
| AM规则 | 基本信息 | 设备端添加 | address-manage | AM规则,可以作为dhcp地址分配的精细化管理。将总的dhcp地址池,根据匹配用户的vlan+nas port,划分出更精细化的地址池范围 | 配置AM规则后,需要对所有的动静态IP进行AM规则匹配 | address-manage | |||
| 基于VLAN | 设备端添加 | match ip (network-number) (netmask) vlan (vlan list) | 根据vlan进行细分地址池规划 | 这个匹配规则可以配置多个 | match ip 110.64.172.0 255.255.255.0 vlan 100-103 | network-number: IP address netmask::IP address mask vlan list:Vlan list |
|||
| 基于VLAN/PORT | 设备端添加 | match ip (network-number) (netmask) (interface-info) vlan (vlan list) | 根据vlan+port进行细分地址池规划 | 这个匹配规则可以配置多个 | match ip 110.64.172.0 255.255.255.0 gigabitEthernet8/15 vlan 200-203 | network-number:IP address netmask:IP address mask interface-info: Interface information vlan list:Vlan list |
|||
| DHCP排斥地址 | 设备端添加 | ip dhcp excluded-address (excluded-ip-address) | 排斥地址的网段不进行dhcp分配 | 这个地址可以配置多个 | ip dhcp excluded-address 222.201.89.1 | excluded-ip-address:Excluded IP address | |||
| AC、AP设备管理 | √ | 设备端添加 | direct-vlan (AP managed vlan) | direct-vlan 1-2,7-10,30 | AP managed vlan:Managed vlan of AP device or AC device | ||||
| PORTAL逃生 | √ | 设备端添加 | web-auth portal-check interval 3 timeout 3 retransmit 10 web-auth portal-escape nokick |
配置portal检测 | 若与深澜等服务器对接,由于深澜服务器无法对检测报文回应,会导致N18k无法检测到portal从逃生。此类服务器对接时不能配置该命令 | web-auth portal-check interval 3 timeout 3 retransmit 10 web-auth portal-escape nokick |
|||
| RADIUS逃生 | 基本信息 | √ | 设备端添加 | radius-server host (radius ip) test username (user-name) idle-time 1 key (radius key) | radius认证逃生模板 | 配置radius服务器并开启检测功能,配置使用用户名a去检测(配置radiu服务器中不存在的用户名), idle-time为检测间隔。这里面测试用户的密码写死的是111。 同时SAM上需要配置这个虚拟账号和密码,否则会产生大量账号不存在的垃圾日志。 |
radius-server host 192.168.1.6 test username a idle-time 1 key ruijie | radius ip:IP address of radius server user-name:The name of user radius key:The HIDDEN server key |
|
| WEB认证下逃生 | √ | 设备端添加 | web-auth radius-escape | 开启web认证下的radius逃生 | WEB认证RADIUS逃生基于全局开启 | web-auth radius-escape | |||
| 1X认证下逃生 | √ | 设备端添加 | dot1x critical dot1x critical recovery action reinitialize |
配置1x认证逃生 | 1X认证RADIUS逃生基于端口开启。开启第二条命令表示当RADIUS服务器恢复后,那些使用1X逃生的用户会被踢下线进行重新认证 | dot1x critical recovery action reinitialize dot1x critical |
|||
| VLAN相关 | SUPERVLAN | √ | vlan (supervlan) supervlan subvlan (subvlan-list) name (supervlan-name) |
创建supervlan | 可配置多条 | vlan 4001 supervlan subvlan 601-625 name teacher |
supervlan:VLAN ID subvlan-list:VLAN IDs of the sub-vlans supervlan-name:Name of super vlan |
||
| SUBVLAN | √ | vlan range (subvlan-list) | 创建subvlan | ||||||
| 普通VLAN | √ | vlan range (vlan-list) | 创建普通vlan | ||||||
| SVI | √ | interface vlan xxx ip address xxx.xxx.xxx.xxx |
创建网关 | ||||||
| IPV6 | 通用 | √ | 设备端添加 | address-bind ipv6-mode compatible | ipv6兼容模式 | 当ipv4认证成功后,ipv6即可联网 | address-bind ipv6-mode compatible | ||
| 无状态获取 | 设备端添加 | ipv6 address 2001::1/64 ipv6 enable no ipv6 nd suppress-ra |
|||||||
| 有状态获取 | 设备端添加 | ipv6 dhcp pool ruijie——地址池 domain-name scu6.edu.cn dns-server 2003::1 iana-address prefix 2001::/64 interface VLAN xxx——网关 ipv6 address 2001::1/64 ipv6 enable no ipv6 nd suppress-ra ipv6 nd prefix 2001::/64 no-autoconfig ipv6 nd managed-config-flag ipv6 nd other-config-flag ipv6 dhcp server ruijie |
1、配置DHCPv6地址池 Ruijie(config)#ipv6 dhcp pool ruijie //创建IPv6地址池 Ruijie(dhcp-config)#domain-name scu6.edu.cn //配置分配给客户端的域名 Ruijie(dhcp-config)#dns-server 2003::1 //配置分配给客户端的DNS服务器 Ruijie(dhcp-config)#iana-address prefix 2001::/64 //应用IPv6地址前缀池 2、接口下开启DHCPv6状态自动获取功能 Ruijie(config)#interface vlan 100 Ruijie(config-if-VLAN 100)#ipv6 address 2001::1/64 //配置接口IPv6地址 Ruijie(config-if-VLAN 100)#ipv6 enable //接口下使能IPv6功能 Ruijie(config-if-VLAN 100)#no ipv6 nd suppress-ra //关闭路由通告抑制功能,下发IPV6网络前缀 Ruijie(config-if-VLAN 100)#ipv6 nd prefix 2001::/64 no-autoconfig //指明通告的前缀不能用于无状态自动配置 Ruijie(config-if-VLAN 100)#ipv6 nd other-config-flag //设置终端获取DNS、域名等信息(将RA通告的O位置1) Ruijie(config-if-VLAN 100)#ipv6 nd managed-config-flag //使下面的终端可以获取DHCPV6下发的地址池(设置RA通告的M位) Ruijie(config-if-VLAN 100)#ipv6 dhcp server ruijie //调用IPV6地址池 |
||||||
| 相关接口命令 | 设备端添加 | ipv6 address (ipv6 address prefix) ipv6 enable no ipv6 nd suppress-ra |
当前IPV6的地址都是使用无状态获取 在需要开启web认证的接口上,开启这个命令 |
ipv6 address 2001:DA8:200B:9778::1/64 ipv6 enable no ipv6 nd suppress-ra |
ipv6 address prefix:IPv6 prefix | ||||
| IPV6认证 | 设备端添加 | address-bind ipv6-mode compatible http redirect ipv6 enable web-auth redirect-ip xxx.xxx.xxx.xxx |
1、 IPv6认证方案,需要全局开启ipv6兼容模式:address-bind ipv6-mode compatible 2、 需要全局开启ipv6重定向开关(该命令默认关闭):http redirect ipv6 enable 3、当前通过V6的HTTP报文触发重定向到一个预先设置的IPV4地址(默认是1.1.1.1,可配置的)。如果客户现场已使用1.1.1.1该地址,通过该命令Web-auth redirect-ip xxx.xxx.xxx.xxx修改一个没有使用的IPv4地址,如2.2.2.2。 |
||||||
| IPV6安全 | 无状态获取场景 | 设备端添加 | ipv6 nd snooping enable savi ipv6 station-move ipv6 nd snooping check address-resolution ——下联接口模式下配置 |
ipv6 nd snooping enable 全局开启nd snp功能 savi ipv6 station-move 全局配置savi无感知迁移功能 ipv6 nd snooping check address-resolution 接口上配置防ND欺骗功能 |
ipv6 nd snooping enable savi ipv6 station-move interface gi 1/1 ipv6 nd snooping check address-resolution |
||||
| 有状态获取场景 | 设备端添加 | ipv6 dhcp snooping ipv6 nd snooping enable ipv6 nd snooping nd-check only savi ipv6 check permit link-local savi ipv6 station-move ipv6 nd snooping check address-resolution——下联接口模式下配置 |
ipv6 dhcp snooping //全局开启dhcp snp功能 ipv6 nd snooping enable //全局开启nd snp功能 ipv6 nd snooping nd-check only //全局配置,对于dhcp-only场景,只检查nd报文的合法性,不生成nd snp表项 savi ipv6 check permit link-local // 全局配置,对于dhcp-only场景,需要放行用户的链路本地地址 savi ipv6 station-move //全局配置savi无感知迁移功能 ipv6 nd snooping check address-resolution //接口上配置防ND欺骗功能 |
||||||
| 无状态&有状态混合场景 | 设备端添加 | ipv6 dhcp snooping nd-detect ipv6 dhcp snooping ipv6 nd snooping enable savi ipv6 station-move ipv6 nd snooping check address-resolution ——下联接口模式下配置 |
ipv6 dhcp snooping nd-detect //全局配置dhcp snp和nd联动 ipv6 dhcp snooping //全局开启dhcp snp功能 ipv6 nd snooping enable //全局开启nd snp功能 savi ipv6 station-move //全局配置savi无感知迁移功能 ipv6 nd snooping check address-resolution //接口上配置防ND欺骗功能 |
||||||
| 认证迁移 | √ | 设备端添加 | station-move permit savi ipv6 station-move web-auth station-move auto web-auth station-move info-update no web-auth station-move arp-detect no dot1x station-move arp-detect |
1、认证迁移通用模板 2、savi ipv6 station-move //全局配置savi无感知迁移功能 |
注意:认证迁移和AC集中转发共用时,需要开启: 1、no web-auth station-move arp-detect 2、no dot1x station-move arp-detect 否则会导致认证迁移失败 |
station-move permit web-auth station-move auto web-auth station-move info-update no web-auth station-move arp-detect no dot1x station-move arp-detect |
|||
| 无流量下线 | √ | 设备端添加 | offline-detect interval 15 threshold 0 | N18K通过mac地址表检测,配置时间内mac地址表用户表不存在;则判断为用户没有流量,将其下线 | 建议将无流量下线的时间设置为15分钟,同时需要保证设备上的系统时间同服务器上的时间要一致 | offline-detect interval 15 threshold 0 | |||
| SSID信息上传 | VLAN同SSID映射 | 设备端添加 | web-auth mapping (mapping-name) vlan (vlan-list) ssid (ssid-name) | 通过不同vlan进行ssid映射,上传给SAM做策略定制(如不同运营商的认证页面推送,根据不同vlan来做) | 需要对当前所有的VLAN都进行映射 | web-auth mapping Sch-Wifi vlan 301-370,901-926 ssid Wifi-Stu | mapping-name:Webauth mapping name vlan-list:Web-auth vlan-mapping vlan list ssid-name:Webauth ssid name |
||
| 相关接口命令 | 设备端添加 | web-auth apply-mapping (mapping-name) | 将vlan和ssid映射的策略,应用到接口上 | web-auth apply-mapping Sch-Wifi | |||||