mt7981 WiFi黑白名单为何无法生效？

1. 问题现象与背景分析

在使用MT7981芯片的Wi-Fi设备时，用户普遍反馈黑白名单（ACL）功能无法正常生效。典型表现为：已明确添加至黑名单的终端设备仍可成功接入无线网络；或在启用白名单模式后，未授权的MAC地址依然能够完成关联和数据通信。此类问题直接影响企业级网络的安全策略部署，尤其在需要严格控制接入权限的场景中（如医院、学校、工业物联网），造成严重的安全隐患。

该问题的根本成因通常涉及多个技术层级的协同失效，主要包括：

• hostapd配置错误或ACL模式未正确启用；
• Linux内核中的cfg80211子系统未能将ACL规则同步至驱动层；
• mt7981驱动对IEEE 802.11标准中访问控制机制支持不完整；
• 固件版本存在缺陷，导致ACL规则未实时下发至硬件转发引擎（Hardware Forwarding Engine）。

以下将从配置、驱动、内核、固件四个维度进行深入剖析。

2. 配置层排查：确认hostapd ACL设置正确性

首先需验证hostapd.conf文件中是否正确启用了ACL功能。常见的配置项如下表所示：

确保文件路径正确且格式合规（每行一个MAC地址，如aa:bb:cc:dd:ee:ff）。重启hostapd服务后，可通过命令ps | grep hostapd确认进程加载了正确的配置文件。

3. 日志诊断：通过dmesg与hostapd日志定位异常

执行以下命令查看内核日志中是否存在ACL相关错误：

dmesg | grep -i "acl\|mt7981\|deny\|accept"

常见输出包括：

• mt7981_pci 0000:01:00.0: failed to update ACL list
• cfg80211: call to ieee80211_check_acl returned -EOPNOTSUPP

上述日志表明驱动或cfg80211未实现ACL接口支持。同时检查hostapd运行日志：

tail -f /var/log/hostapd.log

观察是否出现Could not set MAC address ACL等提示，这通常意味着底层nl80211/cfg80211调用失败。

4. 内核与驱动协同机制分析

Linux无线架构依赖cfg80211子系统作为用户空间（hostapd）与驱动之间的桥梁。其工作流程如下：

若mt7981驱动未注册set_acl回调函数，则ACL策略无法传递至硬件层，导致策略“形同虚设”。

5. 固件与硬件转发引擎同步问题

即使驱动成功接收ACL指令，部分MT7981固件版本（如v1.6以前）存在ACL规则未及时刷新至硬件转发引擎的问题。该引擎负责L2层帧过滤，若未更新，所有数据帧仍将被转发。

可通过以下方式检测：

echo "iw dev wlan0 station dump" | nc localhost 12345

对比实际连接设备MAC与ACL规则，结合抓包工具（tcpdump）确认非法设备是否收到Beacon响应或IP分配。

解决方案包括升级至官方推荐固件版本（建议≥v1.8），并确认厂商发布的Release Note中包含“Fix ACL sync issue with hardware engine”条目。

6. 驱动层补丁与定制化开发建议

对于长期维护项目，建议在驱动源码中显式实现ACL支持。以Mediatek OpenWrt驱动为例，在drivers/net/wireless/mediatek/mt7981/mt7981.h中查找：

static const struct ieee80211_ops mt7981_ops = {
    .start = mt7981_start,
    .add_interface = mt7981_add_interface,
    // ...
    .set_acl = mt7981_set_acl, // 确保此函数存在并注册
};

若缺失set_acl，需参考mt76系列其他芯片实现补全，并通过ioctl调用MUC（Microcontroller Unit）固件接口更新CAM（Content Addressable Memory）表项。