我们已经准备好了,你呢?

2022我们与您携手共赢,为您的企业网络安全保驾护航!

无线“网忧”

1.信号弱

部署存在盲区

AP掉线

2.上网卡

AP干扰

非WLAN干扰

带宽不足

非法攻击

3.认证繁琐

1x频繁掉线

portal弹出慢

IP地址获取

4.漫游效果差

关联远端AP

业务对漫游要求高

终端问题

多问问客户有关故障的问题:什么时间点、什么类型业务、什么样的环境下、是不是有规律。

网优必选项

1.信号强度达标

笔记本不低于-75dBm,PAD等移动终端不低于-65dBm。室内放装或者X分自己看实际情况。

2.信道规划

需要考虑三维空间,蜂窝状部署。

建议使用20MHz信道,不建议进行信道聚合成40MHz甚至更高。

5G的52、56、60、64为雷达信道,如果存在雷达信道AP会自动规避,影响终端使用体验。

3.功率设定和规划

调整同一信道AP发射功率降低AP可见度

经验:

2.4GHz:6dBm

5GHz:10dBm

在AC上修改AP的发射功率

system-view

wlan ap ap3 model WA4320i-ACN

radio 1

max-power 5

注意:不要开启动态功率调整,开启后AP会关注周围信号强弱,无故调整可能会导致终端无端漫游!

4.有线无线VLAN区分并隔离

无线网络中广播/组播报文以最低速率发送,当有较多的广播报文会消耗大量的空口资源。特别是一个广播报文会向VLAN内所有AP发送,进而影响所有AP。所以我们需要将AP与有线网络规划为2个不同的VLAN,诸如ARP请求、DHCP广播发现等协议报文不会再在无线网络中进行复制。

不建议的做法:AC在服务模板下的隔离

wlan service-template 1

user-isolation enable

对SSID下的终端隔离无法做到从有线过来的报文。

推荐:AC命令行下进行全局隔离,只放通目标MAC(通常为网关)

system-view

user-isolation vlan 10 enable

user-isolation vlan 10 permit-mac xxxx-xxxx-xxxx xxxx-xxxx-xxxx

undo user-isolation permit-broadcast

对于VRRP,放通虚实MAC;本地转发,配置下发到AP上;超瘦模式,下发到本体设备;建议AC与对端三层交换机trunk口只放通必要的VLAN,禁止配置permit vlan all。

二层放通的需求

AC上开启ARP快达功能

此功能只允许用户单播发现应用层服务,如HTTP、FTP等,需要通过广播/组播相互发现的应用,如局域网游戏等就无法满足。

vlan 10

arp fast-reply enable

原理:使能VLAN用户隔离时带上参数permit-unicast后,用户间的单播报文将不再收到限制。通过arp fast-reply,由AC帮助用户互相学习MAC地址。

网优推荐项

经过对大量局点的应用,这些功能能够起到较好的无线网络优化效果。在客户没有要求且不影响现网环境的条件下强烈建议客户使用的功能,可以放心使用。

VLAN池

为客户端分配VLAN,使各个客户端均匀地分布在各个VLAN中,减小了广播域,提高非连续地址段的利用率。AC默认使用动态分配(每次上线VLAN可能会变化),对于部分终端而言,连接SSID不变的情况下地址更新慢甚至不更新,这会影响用户的体验。这里强烈建议如果没有特殊需求修改为静态分配,即只要终端MAC不变,再次上线继承上次VLAN池分配的VLAN,方便漫游。

指定客户端VLAN分配方式为静态

wlan service-template 1

client vlan-alloc static

开启静态VLAN池的特性,可以扩充VLAN数量减少广播域的同时保持终端VLAN不变。利用这个特点,多AC间漫游也可以保证VLAN不变,尤其是V5和V7版本AC混合使用的场景。

跨V5、V7漫游保证VLAN不变配置举例:

#v5版本AC配置

wlan vlan-pool roam

vlan-id 10 20 30

work-mode static

#v7版本AC配置

vlan-group roam

vlan-list 10 20 30

wlan service-template 1

client vlan-alloc static-compatible

注意:v7版本要配置静态兼容算法,VLAN地址池name、列表要相同。

禁止VLAN低速率

大量的广播报文和管理报文都是通过最低速率1Mbps发送,在无线网络中信号传输距离不是问题的情况下(即信号比较好)可以禁用低速率,整体上减少广播和管理报文对空口资源的占用。

wlan ap test

radio 1

rate disabled 6 9 

radio 2

rate disabled 1 2 5.5 6 9

无线终端限速

配置用户上行512kbps,下行2048kbps

wlan ap ap1 model WA4320i-ACN

radio 1

client-rate-limit enable

client-rate-limit inbound mode static cir 512

client-rate-limit outbound mode static cir 2048

面板AP下行接口隔离

用户可能对面板AP的网口私接网线或者路由器,导致出现广播风暴或DHCP分配的问题。这里可以开启基于端口隔离组的二层隔离,组内端口互相隔离,无需划分VLAN。

这里举例超瘦的配置方案,进入本体WT1020的2号槽位子卡slot视图进行预配置,将slot2分体(WTU420H)下行口1/2/1-1/2/4配置成隔离组1(可以通过map针对所有子卡进行下发)

system-view

port-isolate group 1

slot 2

provision model WTU420H

interface Ethernet 1/2/1

port-isolate enable group 1

interface Ethernet 1/2/2

port-isolate enable group 1

interface Ethernet 1/2/3

port-isolate enable group 1

interface Ethernet 1/2/4

port-isolate enable group 1

#注意配置顺序,只有创建slot x并预配置provision model才能够进入接口配置。

Portal用户开启idel-cut

当AC作为接入设备,承载Portal认证业务时,如果服务器侧没有设置用户闲置切断功能,会导致终端在离开的情况下,终端认证表项长期在服务器上存在。当终端再次上线,可能获取到新的IP地址,这样就会导致认证不通过。

AC上指定ISP域test下的用户限制切断时间为30分钟,闲置切断时间内产生的流量为10240字节。

[AC] domain test

[AC-isp-test] authorization-attribute idle-cut 30 10240

注意:时长至少要小于DHCP租约的一半。

加密

不配置可以减少加密带来的密钥协商时间开销。如果考虑加密建议设置为RSN+CCMP,不推荐使用TKIP或WEB加密,这两种加密协议限速54Mbps,无法发挥高带宽的性能且容易破解。

配置安全加密方式RSN+CCMP

wlan service-template 1

akm mode psk

security-ie rsn

cipher-suite ccmp


我们凭借多年的智能化设计及施工经验,坚持以“帮助中小企业实现现代化网络”为宗旨,累计为4000多家客户提供品质智能化服务,得到了客户的一致好评。如果您有综合布线、计算机网络、无线覆盖、门禁考勤、机房建设、防火墙、路由器及交换机调试等方面的需求...
请立即点击咨询我们或拨打咨询热线: 17804441181,我们会详细为你一一解答你心中的疑难。项目经理在线

我们已经准备好了,你呢?

2022我们与您携手共赢,为您的企业网络安全保驾护航!

在线客服
联系方式

热线电话

17804441181

上班时间

周一到周五

公司电话

+86-512-65829193

二维码
微信
线