无线智能AP推广版本.ppt

Ni,智能无线AP高密度推广版本,一.智能射频改进二.漫游负载改进三.新增网络优化四.问题排查改进五.补充,目录,一.智能射频改进,目录,1、功率调整与信道调整独立区分，不再相互关联，可分别启用和禁用,1、智能射频改进功率与信道独立调整,1、智能射频改进功率可调,AP功率调整范围：3dBm23dBm,1、智能射频改进功率可调,2、参数需要修正,1、智能射频改进功率可调,1、智能射频改进高级选项,1、智能射频改进信道自动调整,2、信道自动调整改进原来的版本依靠（1）噪声率（2）误码率（3）重传率但是误码率和重传率越高，并不代表网络传送质量越差。因为当一个AP接入用户很少，且传送的数据很少时，重传率和误码率的比重就很高。所以1.5版本的信道自动调整就不再选择误码率和重传率了，只选择了信道利用率，当信道利用率越高，表示信道越繁忙，越需要调整,1、智能射频改进信道自动调整,当有用户在线时，不调整信道，是为了优先保证用户的正常上网业务，有用户接入AP时，只做信道利用率的分析统计，当无用户时，再进行信道调整,1、智能射频改进信道自动调整,当AP选择Hybrid的时候，默认扫描时间是全天24小时的去检测信道利用率，当AP去检测信道利用率的时候，会有短暂时间工作在monitor模式下，这样就会造成一定的正常数据传送延时，因此当开启信道自动调整时，选择Hybrid工作模式后，建议合理规划调整信道扫描时间，比如避开重要时间段扫描信道,当遇到美版的IPAD，或iPhone等国外手机时，有可能采用中国的信道无法使用或体验不好，这时可以修改国家码测试。,二.漫游负载改进,目录,2、漫游改进接入点智能负载,漫游改进,2、漫游改进接入点智能负载,变化1、双频同时参与负载，只要是同一个SSID，2.4G与5.8G都同时参与负载变化2、负载只考虑信号强度与人数，不再考虑流量负载（流量通过其他方式控制）,1、负载原理：接入点智能负载属于接入式负载，当一个STA搜索到一个SSID附近好几个BSSID，一般会以信号最强的BSSID去连接，WAC会根据该BSSID的AP所在组的所有的相同BSSID负载情况（包括双频）计算，当BSSID负载高时，拒绝STA的接入，然后STA就会自动连接附近其他BSSID。2、至于手机终端是优先连接2G还是5G频段，是由终端自己的驱动去决定，一般在高密度情况下，5G的信号会更好，接入人数更少，所以支持5G的终端会优先成功的连接5G频段信号。,2、漫游改进接入点智能负载,比如一个STA扫描1个信号有6个BSSID，其中BSSID1：-45dBm，已接入10个人，BSSID2：-45dBm，10个人，BSSID3：-50dBm，9个人.BSSID4:-50dBm，9个人，BSSID5：-60dBm，5个人，BSSID6：-60dBm，5个人。STA终端连接SSID时，一般会先连接BSSID1，单播发送关联请求。WAC就以该BSSID的为基点确认信号差值与人数差值，确定哪些范围内的BSSID可以参与负载。其中参数值配置为15dBm时，表示一个差值范围在15范围内（-45到-60）的BSSID才可以考虑参与负载，然后再考虑人数，BSSID接入人数与基点BSSID人数差值大于设置的人数差值时，该BSSID（10-5=5大于3），就可以参与负载。满足条件的BSSID就参与负载，不会拒绝STA的连接，不满足条件的BSSID就不参与负载，就会拒绝STA的连接请求，包括基点BSSID也拒绝STA的接入“信号强度差值”取值可以在：5-40dBm范围，一般可设值为15。当AP部署越密集的时候，参与负载的BSSID离STA都比较近，彼此信号强度也都比较强，差值设置应该越小。接入人数差值范围在1-10范围。一般可设置值为3，当邻居AP之间的接入用户差别越大时，为了更加均衡负载，应减小差距时，设置更小的接入人数差值。,2、漫游改进接入点智能负载,STA一般从强到弱的信号强度去连接BSSID，打个比方，如果一个终端一直很顽固，一直请求信号最强的BSSID1，不请求BSSID3，BSSID4，BSSID5，BSSID6这些相对较弱的信号，那么超过10s后，还是会让STA接入BSSID1的。这个顽固强度，一般由网卡驱动决定，漫游灵敏度越高，越容易实现负载。网卡的灵敏度也是衡量无线网卡芯片的一个指标,三.新增网络优化,目录,广播优化ARP广播优化,ARP转单播：首先：ARP是广播包，想要知道同VLAN的某个IP地址的MAC地址，会广播发送出去，所有终端都收到该arp广播包，然后只有对应MAC地址才对该广播包做出回应。AP和WAC会对“IP”和“MAC”和“vlan”和“接口”做一份记录，叫做arpip-hash-tables当有线侧或无线侧的arp广播请求到达AP或WAC时，转到无线侧时，ARP请求广播包，修改为单播，只修改MAC层，arp内层不修改，如果查询不到，仍然广播出去。,3、网络优化广播优化,3、网络优化广播优化,如下：只修改Ethernet的ff-ff-ff-ff-ff-ff为对应的MAC地址，而不再修改arp协议内的全0目,本地转发与集中转发都有效，本地转发时，由AP查询arpip-hash-tables,集中转发时，由WAC查询arpip-hash-tables。,广播优化ARP广播优化,补充内容：ARP欺骗当ARP报文不是广播，是单播时，不查询arpip-hash-table,查询fdb表，如果查询到fdb表，就按fdb表记录的接口转发，如果查询不到，就按照基本的交换原理，每个网卡口转发一份数据报文。由于arpip-hash-table对于ARP的请求和回复包都会记录到arpip-hash-table,所以目前WAC没有防护ARP攻击的能力，因为一个欺骗的arp报文请求会导致arpip-hast-tables记录错误，也会导致fdb表更新到错误的MAC-接口对应表，导致网络故障,补充内容：ARP欺骗,3、网络优化广播优化,3、网络优化DHCP广播优化,A.网络中，可能存在环路，导致一个DHCP请求包多次无响应。B.从数据包可以看出，无线终端没有正常获取到IP地址。C.无线终端能能正常获取到IP地址了，获取到的IP地址是192.200.200.233D.从上图数据包可以看出，该控制器WAC有3个AP同时在线。,该功能就是限制DHCP的discover数据包和request发送到无线用户端，认为无线用户端是没有DHCP服务器的，这样既可以防止无线侧私开DHCP服务，也可以减少有线网络的广播包发送到无线侧，造成无线侧的广播数据包过量，导致无线访问慢。,3、网络优化DHCP广播抑制,原来版本对于广播帧的发送速度（AP发往对于所有STA），不伦是低速终端还是高速终端，（非协商速度）2.4G固定是1Mb/s,5.8G固定是6Mb/s速度发送，因此，提高广播帧的速度能让无线用户提高数据吞吐率。802.11n的数据帧分为管理帧，数据帧和控制帧。这里主要针对管理帧中的广播数据帧，比如beacon帧，还有数据帧中的广播帧，比如ARP广播帧，都进行提速发送,3、网络优化自动广播提速,3、网络优化限制低速终端接入,终端速率限制：在高密度环境下，为了限制某一个无线STA以低速的速率连接到AP，整体拉低所有无线用户的速率，在这里限制了低速终端的接入。因为无线可以看成是半双工的传输环境，同样的大小的文件，低速终端占用信道时间更长，增加了信道占用率。只对2.4G频段有效,3、网络优化流控改进,对于AP到终端的下行数据发送时，以前版本是次数公平，勾选用户间平均分配带宽后，变为时间公平。以前是数据包次数传送公平原则，打个比方2个不同远近的STA都是2M和2M的传送速率。开启这个功能后，一个近一些的终端可以达到20Mb/s，另一个终端就可能下降到1.5Mb/s。目的是为了防止低速终端拉低高速终端的速度。,带宽分配权重：内部员工的SSID分配的权重要更高一些访客的SSID分配的权重要更低一些，这样可以优先保障内部员工，而不会因为访客人数的突然增加，影响到内部员工的无线体验。,四.问题排查方面的改进,目录,4、问题排查改进新增命令控制台,4、问题排查改进新增调试开关ssh和telnet,telnet密码与与WAC的控制台密码一致，WAC控制台密码变动，AP联动变化ssh为联动组合密码串口登录密码同telnet和ssh,4、问题排查改进telnet调试窗口,4、问题排查改进日志优化,4、问题排查改进日志优化,用户认证的成功与失败的日志属于系统日志中,4、问题排查改进直通（非1.5改进）,直通：只对访问控制策略（ACL）生效，且只打出ACL的日志，其他模块都不生效，（比如黑白名单，流控等其他功能都不生效）,4、问题排查改进日志优化,日志包含了黑匣子和配置文件，以及日志文件，日志解压密码：sangforwns,4、问题排查改进控制台加强升级功能,WEBUI控制台可以给WAC升级SSU包WEBUI控制台可以给WAC升级KB补丁包WEBUI控制台可以给WAC回顾KB补丁包,4、问题排查改进接入点可升级（非1.5改进）,4、问题排查改进tcpdump_dp,后台抓包变化不需要再到cli模式通过镜像口方式抓包了，可以直接在物理口抓包：tcpdump_dpieth1在VLAN口抓包，还是用tcpdumpivlanif1的方式抓包,4、问题排查改进SNMP监控,4、问题排查改进SNMP监控-MIB库信息,通过下载MIB库获取到的信息192.200.200.4客服常用客服常用工具wirelessManageEngine_MibBrowser_FreeTool.exe,问题排查改进SNMP监控-ARP表信息,ARP表是通过工具自带标准的MIB库，RFC-1213库获取到OID：.1.3.6.1.2.1.3.1.1填写团体名称为public后，AC可以自动扫描获取到到,五.补充,目录,5、补充-删掉默认角色,新版本默认策略被删除，低版本有引用的升级后被更新为default_role，默认放通所有,5、补充功能VLAN用户间隔离,禁止同一个VLAN内的用户相互通信，是指接入同一个VLAN的无线用户之间不能互相通讯，所有数据包都被丢弃。如果是同一个vlan内的有线用户与有线用户，有线用户与无线用户则不在此限制范围内，可以自由通讯。本地转发与集中转发该功能都生效。不同VLAN间的无线用户也不受此限制，由是否开启vlan间路由决定。同一个VLAN，如果要限制无线到有线的访问，可以采用角色策略中的访问控制策略（ACL）实现,5、补充受信任的DHCP（非1.5改进）,无线用户端的DHCP请求转发至有线端，广播出去的discover和request数据包，都不限制转发正常，来自不再受信任列表中的DHCP报文，直接丢弃，包括offer和ack响应数据包。但是，对应WAC自己接口的dhcp服务不生效，就是自己的不在受信任的列表中，仍然可以提供DHCP服务，不受该功能的限制。注意事项1：该功能只对集中转发生效，对本地转发不生效,5、补充受信任的DHCP（非1.5改进）,能解决的什么样的问题?主要是防止某无线终端私自配置了静态IP地址，造成与网关地址或其他已经在使用的IP地址冲突等情况，导致其他正常用户误学了该终端的MAC，从而导致上不了网或访