无线智能AP推广版本.ppt

Ni 智能无线 AP 高密度推广版本 一.智能射频改进 二.漫游负载改进 三.新增网络优化 四.问题排查改进 五.补充 目 录 一.智能射频改进 目 录 1、功率调整与信道调整独 立区分，不再相互关联，可 分别启用和禁用 1、智能射频改进功率与信道独立调整 1、智能射频改进功率可调 AP功率调整范围：3dBm23dBm 1、智能射频改进功率可调 2、参数需要修正 智能射频值邻居信号 强度 邻居个 数 被邻居感知的 信号强度阀值 手动设置AP射 频值 低密度F (AP间隔80米)-85dBm3-75dBm20dBm 中密度E (AP间隔50米)-75dBm4-65dBm17dBm 高密度D (AP间隔40米)-75dBm4-65dBm15dBm 高密度C (AP间隔30M)-75dBm4-65dBm12dBm 高密度B (AP间隔20米)-65dBm5-55dBm9dBm 高密度A (AP间隔10M)-65dBm5-55dBm6dBm 超高密度 (AP间隔5M)-65dBm5-55dBm3dBm 1、智能射频改进功率可调 1、智能射频改进高级选项 1、智能射频改进信道自动调整 2、信道自动调整改进 原来的版本依靠 （1）噪声率 （2）误码率 （3）重传率 但是误码率和重传率越高， 并不代表网络传送质量越差 。因为当一个AP接入用户很 少，且传送的数据很少时， 重传率和误码率的比重就很 高。 所以1.5版本的信道自动调 整就不再选择误码率和重传 率了，只选择了信道利用率 ，当信道利用率越高，表示 信道越繁忙，越需要调整 1、智能射频改进信道自动调整 当有用户在线时，不调整信道， 是为了优先保证用户的正常上网 业务，有用户接入AP时，只做信 道利用率的分析统计，当无用户 时，再进行信道调整 1、智能射频改进信道自动调整 当AP选择Hybrid的时候，默认扫 描时间是全天24小时的去检测信 道利用率，当AP去检测信道利用 率的时候，会有短暂时间工作在 monitor模式下，这样就会造成一 定的正常数据传送延时，因此当 开启信道自动调整时，选择 Hybrid工作模式后，建议合理规 划调整信道扫描时间，比如避开 重要时间段扫描信道 当遇到美版的IPAD，或iPhone等国 外手机时，有可能采用中国的信 道无法使用或体验不好，这时可 以修改国家码测试。 二.漫游负载改进 目 录 2、漫游改进接入点智能负载 漫游改进 2、漫游改进接入点智能负载 变化1、双频同时参与负载，只要是同 一个SSID，2.4G与5.8G都同时参与负 载 变化2、负载只考虑信号强度与人数， 不再考虑流量负载（流量通过其他方 式控制） 1、负载原理：接入点智能负载属于接入式负载，当一个STA搜索到一个SSID附 近好几个BSSID，一般会以信号最强的BSSID去连接，WAC会根据该BSSID的AP所 在组的所有的相同BSSID负载情况（包括双频）计算，当BSSID负载高时，拒绝 STA的接入，然后STA就会自动连接附近其他BSSID。 2、至于手机终端是优先连接2G还是5G频段，是由终端自己的驱动去决定，一 般在高密度情况下，5G的信号会更好，接入人数更少，所以支持5G的终端会优 先成功的连接5G频段信号。 2、漫游改进接入点智能负载 比如一个STA扫描1个信号有6个BSSID，其中BSSID1：-45dBm，已接入10个人，BSSID2：-45dBm，10个人 ， BSSID3：-50dBm，9个人.BSSID4:-50dBm，9个人，BSSID5 ：-60dBm ，5个人，BSSID6：-60dBm，5个人。 STA终端连接SSID时，一般会先连接BSSID1，单播发送关联请求。WAC就以该BSSID的为基点确认信号差值与 人数差值，确定哪些范围内的BSSID可以参与负载。 其中参数值配置为15dBm时，表示一个差值范围在15范围内（-45到-60）的BSSID才可以考虑参与负载，然 后再考虑人数，BSSID接入人数与基点BSSID人数差值大于设置的人数差值时，该BSSID（10-5=5大于3）， 就可以参与负载。满足条件的BSSID就参与负载，不会拒绝STA的连接 ，不满足条件的BSSID就不参与负载 ，就会拒绝STA的连接请求，包括基点BSSID也拒绝STA的接入 “信号强度差值”取值可以在：5-40dBm范围，一般可设值为15。当AP部署越密集的时候，参与负载的 BSSID离STA都比较近，彼此信号强度也都比较强，差值设置应该越小。 接入人数差值范围在1-10范围。一般可设置值为3，当邻居AP之间的接入用户差别越大时，为了更加均衡负 载，应减小差距时，设置更小的接入人数差值。 2、漫游改进接入点智能负载 STA一般从强到弱的信号强度去连接BSSID，打个比方，如果一个终端一直很顽固，一直请 求信号最强的BSSID1，不请求BSSID3，BSSID4，BSSID5，BSSID6这些相对较弱的信号，那 么超过10s后，还是会让STA接入BSSID1的。这个顽固强度，一般由网卡驱动决定，漫游灵 敏度越高，越容易实现负载。网卡的灵敏度也是衡量无线网卡芯片的一个指标 三.新增网络优化 目 录 广播优化ARP广播优化 ARP转单播： 首先：ARP是广播包，想要知道同VLAN的某个IP 地址的MAC地址，会广播发送出去，所有终端都 收到该arp广播包，然后只有对应MAC地址才对该 广播包做出回应。 AP和WAC会对“IP”和“MAC”和“vlan”和“接口”做一 份记录，叫做arpip-hash-tables 当有线侧或无线侧的arp广播请求到达AP或WAC时 ，转到无线侧时，ARP请求广播包，修改为单播 ，只修改MAC层，arp内层不修改，如果查询不到 ，仍然广播出去。 3、网络优化广播优化 3、网络优化广播优化 如下：只修改Ethernet的ff-ff-ff-ff-ff-ff为对应 的MAC地址，而不再修改arp协议内的全0目 本地转发与集中转发都有效，本地转发时， 由AP查询arpip-hash-tables,集中转发时，由 WAC查询arpip-hash-tables。 广播优化ARP广播优化 补充内容：ARP欺骗 当ARP报文不是广播，是单播时，不查询arpip-hash-table,查询fdb表， 如果查询到fdb表，就按fdb表记录的接口转发，如果查询不到，就按照基本 的交换原理，每个网卡口转发一份数据报文。 由于arpip-hash-table对于ARP的请求和回复包都会记录到arpip-hash-table,所 以目前WAC没有防护ARP攻击的能力，因为一个欺骗的arp报文请求会导致 arpip-hast-tables记录错误，也会导致fdb表更新到错误的MAC-接口对应表， 导致网络故障 补充内容：ARP欺骗 3、网络优化广播优化 3、网络优化DHCP广播优化 A.网络中，可能存在环路，导致一个DHCP请求包多次无响应。 B.从数据包可以看出，无线终端没有正常获取到IP地址。 C.无线终端能能正常获取到IP地址了，获取到的IP地址是192.200.200.233 D.从上图数据包可以看出，该控制器WAC有3个AP同时在线。 该功能就是限制DHCP的discover数据包和request发送到无线用户端，认为无线用 户端是没有DHCP服务器的，这样既可以防止无线侧私开DHCP服务，也可以减少 有线网络的广播包发送到无线侧，造成无线侧的广播数据包过量，导致无线访 问慢。 3、网络优化DHCP广播抑制 原来版本对于广播帧的发送速度（AP发往对于所有STA），不伦是低速终端还是 高速终端，（非协商速度）2.4G固定是1Mb/s,5.8G固定是6Mb/s速度发送，因此 ，提高广播帧的速度能让无线用户提高数据吞吐率。 802.11n的数据帧分为管理帧，数据帧和控制帧。这里主要针对管理帧中的广播 数据帧，比如beacon帧，还有数据帧中的广播帧，比如ARP广播帧，都进行提速 发送 3、网络优化自动广播提速 3、网络优化限制低速终端接入 终端速率限制： 在高密度环境下，为 了限制某一个无线 STA以低速的速率连 接到AP，整体拉低 所有无线用户的速率 ，在这里限制了低速 终端的接入。 因为无线可以看成是 半双工的传输环境， 同样的大小的文件， 低速终端占用信道时 间更长，增加了信道 占用率。 只对2.4G频段有效 3、网络优化流控改进 对于AP到终端的下行数据发送时，以前版本是次数公 平，勾选用户间平均分配带宽后，变为时间公平。以 前是数据包次数传送公平原则，打个比方2个不同远近 的STA都是2M和2M的传送速率。开启这个功能后，一 个近一些的终端可以达到20Mb/s，另一个终端就可能 下降到1.5Mb/s。目的是为了防止低速终端拉低高速终 端的速度。 带宽分配权重： 内部员工的SSID分配的权重 要更高一些 访客的SSID分配的权重要更 低一些，这样可以优先保障 内部员工，而不会因为访客 人数的突然增加，影响到内 部员工的无线体验。 四.问题排查方面的改进 目 录 4、问题排查改进新增命令控制台 4、问题排查改进新增调试开关ssh和telnet telnet 密码与与WAC的控制台密码一致，WAC控制台密码变动，AP联动变化 ssh为联动组合密码 串口登录密码同telnet和ssh 4、问题排查改进telnet调试窗口 4、问题排查改进日志优化 4、问题排查改进日志优化 用户认证的成功与失败的日志属于系统日志中 4、问题排查改进直通（非1.5改进） 直通：只对访问控制策略（ACL）生效，且只打出ACL的日志，其他模 块都不生效，（比如黑白名单，流控等其他功能都不生效） 4、问题排查改进日志优化 日志包含了黑匣子和配置文件，以及日志文件，日志解压密码： sangforwns 4、问题排查改进控制台加强升级功能 WEBUI控制台可以给WAC升级SSU包 WEBUI控制台可以给WAC升级KB补丁包 WEBUI控制台可以给WAC回顾KB补丁包 4、问题排查改进接入点可升级（非1.5改进） 4、问题排查改进tcpdump_dp 后台抓包变化 不需要再到cli模式通过镜像口方式抓包了，可以直接在物理口抓包 ：tcpdump_dp i eth1 在VLAN口抓包，还是用tcpdump i vlanif1 的方式抓包 4、问题排查改进SNMP监控 4、问题排查改进SNMP监控-MIB库信息 通过下载MIB库获取到的信息 192.200.200.4客服常用客服常用工具wireless ManageEngine_MibBrowser_FreeTool.exe 问题排查改进SNMP监控-ARP表信息 ARP表是通过工具自带标准的MIB库，RFC-1213库获取到OID：.1.3.6.1.2.1.3.1.1 填写团体名称为public后，AC可以自动扫描获取到到 五.补充 目 录 5、补充-删掉默认角色 新版本默认策略被删除，低版本有引用的升级后被更新为 default_role，默认放通所有 5、补充功能VLAN用户间隔离 禁止同一个VLAN内的用户相互通信，是指接入同一个VLAN的无线用户之间不能互 相通讯，所有数据包都被丢弃。如果是同一个vlan内的有线用户与有线用户，有线 用户与无线用户则不在此限制范围内，可以自由通讯。 本地转发与集中转发该功能都生效。 不同VLAN间的无线用户也不受此限制，由是否开启vlan间路由决定。 同一个VLAN，如果要限制无线到有线的访问，可以采用角色策略中的访问控制策 略（ACL）实现 5、补充受信任的DHCP（非1.5改进） 无线用户端的DHCP请求转发至 有线端，广播出去的discover和 request数据包，都不限制转发 正常，来自不再受信任列表中的 DHCP报文，直接丢弃，包括 offer和ack响应数据包。但是， 对应WAC自己接口的dhcp服务不 生效，就是自己的不在受信任的 列表中，仍然可以提供DHCP服 务，不受该功能的限制。注意事 项1：该功能只对集中转发生效 ，对本地转发不生效 5、补充受信任的DHCP（非1.5改进） 能解决的什么样的问题? 主要是防止某无线终端私自配置了静态IP地址，造成与网关地址或其他已经在使用的IP地址冲突等 情况，导致其他正常用户误学了该终端