无线智能AP推广版本.ppt

Ni,,智能无线 AP高密度推广版本,一.智能射频改进二.漫游负载改进三.新增网络优化四.问题排查改进五.补充,目 录,一.智能射频改进,目 录,1、功率调整与信道调整独立区分，不再相互关联，可分别启用和禁用,1、智能射频改进——功率与信道独立调整,1、智能射频改进——功率可调,AP功率调整范围：3dBm——23dBm,1、智能射频改进——功率可调,2、参数需要修正,1、智能射频改进——功率可调,1、智能射频改进——高级选项,1、智能射频改进——信道自动调整,2、信道自动调整改进原来的版本依靠（1）噪声率（2）误码率（3）重传率但是误码率和重传率越高，并不代表网络传送质量越差因为当一个AP接入用户很少，且传送的数据很少时，重传率和误码率的比重就很高所以1.5版本的信道自动调整就不再选择误码率和重传率了，只选择了信道利用率，当信道利用率越高，表示信道越繁忙，越需要调整,1、智能射频改进——信道自动调整,当有用户时，不调整信道，是为了优先保证用户的正常上网业务，有用户接入AP时，只做信道利用率的分析统计，当无用户时，再进行信道调整,1、智能射频改进——信道自动调整,当AP选择Hybrid的时候，默认扫描时间是全天24小时的去检测信道利用率，当AP去检测信道利用率的时候，会有短暂时间工作在monitor模式下，这样就会造成一定的正常数据传送延时，因此当开启信道自动调整时，选择Hybrid工作模式后，建议合理规划调整信道扫描时间，比如避开重要时间段扫描信道,当遇到美版的IPAD，或iPhone等国外时，有可能采用中国的信道无法使用或体验不好，这时可以修改国家码测试。

二.漫游负载改进,目 录,2、漫游改进——接入点智能负载,漫游改进,2、漫游改进——接入点智能负载,变化1、双频同时参与负载，只要是同一个SSID，2.4G与5.8G都同时参与负载变化2、负载只考虑信号强度与人数，不再考虑流量负载（流量通过其他方式控制）,1、负载原理：接入点智能负载属于接入式负载，当一个STA搜索到一个SSID附近好几个BSSID，一般会以信号最强的BSSID去连接，WAC会根据该BSSID的AP所在组的所有的相同BSSID负载情况（包括双频）计算，当BSSID负载高时，拒绝STA的接入，然后STA就会自动连接附近其他BSSID 2、至于终端是优先连接2G还是5G频段，是由终端自己的驱动去决定，一般在高密度情况下，5G的信号会更好，接入人数更少，所以支持5G的终端会优先成功的连接5G频段信号2、漫游改进——接入点智能负载,比如一个STA扫描1个信号有6个BSSID，其中BSSID1：-45dBm，已接入10个人，BSSID2：-45dBm，10个人 ，BSSID3：-50dBm，9个人.BSSID4:-50dBm，9个人，BSSID5 ：-60dBm ，5个人，BSSID6：-60dBm，5个人。

 STA终端连接SSID时，一般会先连接BSSID1，单播发送关联请求WAC就以该BSSID的为基点确认信号差值与人数差值，确定哪些范围内的BSSID可以参与负载 其中参数值配置为15dBm时，表示一个差值范围在15范围内（-45到-60）的BSSID才可以考虑参与负载，然后再考虑人数，BSSID接入人数与基点BSSID人数差值大于设置的人数差值时，该BSSID（10-5=5大于3），就可以参与负载满足条件的BSSID就参与负载，不会拒绝STA的连接 ，不满足条件的BSSID就不参与负载，就会拒绝STA的连接请求，包括基点BSSID也拒绝STA的接入 “信号强度差值”取值可以在：5-40dBm范围，一般可设值为15当AP部署越密集的时候，参与负载的BSSID离STA都比较近，彼此信号强度也都比较强，差值设置应该越小接入人数差值范围在1-10范围一般可设置值为3，当邻居AP之间的接入用户差别越大时，为了更加均衡负载，应减小差距时，设置更小的接入人数差值2、漫游改进——接入点智能负载,STA一般从强到弱的信号强度去连接BSSID，打个比方，如果一个终端一直很顽固，一直请求信号最强的BSSID1，不请求BSSID3，BSSID4，BSSID5，BSSID6这些相对较弱的信号，那么超过10s后，还是会让STA接入BSSID1的。

这个顽固强度，一般由网卡驱动决定，漫游灵敏度越高，越容易实现负载网卡的灵敏度也是衡量无线网卡芯片的一个指标,三.新增网络优化,目 录,广播优化——ARP广播优化,ARP转单播：首先：ARP是广播包，想要知道同VLAN的某个IP地址的MAC地址，会广播发送出去，所有终端都收到该arp广播包，然后只有对应MAC地址才对该广播包做出回应 AP和WAC会对“IP”和“MAC”和“vlan”和“接口”做一份记录，叫做arpip-hash-tables当有线侧或无线侧的arp广播请求到达AP或WAC时，转到无线侧时，ARP请求广播包，修改为单播，只修改MAC层，arp内层不修改，如果查询不到，仍然广播出去3、网络优化——广播优化,3、网络优化——广播优化,如下：只修改Ethernet的ff-ff-ff-ff-ff-ff为对应的MAC地址，而不再修改arp协议内的全0目,本地转发与集中转发都有效，本地转发时，由AP查询arpip-hash-tables,集中转发时，由WAC查询arpip-hash-tables广播优化——ARP广播优化,补充内容：ARP欺骗当ARP报文不是广播，是单播时，不查询arpip-hash-table,查询fdb表，如果查询到fdb表，就按fdb表记录的接口转发，如果查询不到，就按照基本的交换原理，每个网卡口转发一份数据报文。

 由于arpip-hash-table对于ARP的请求和回复包都会记录到arpip-hash-table,所以目前WAC没有防护ARP攻击的能力，因为一个欺骗的arp报文请求会导致arpip-hast-tables记录错误，也会导致fdb表更新到错误的MAC-接口对应表，导致网络故障,补充内容：ARP欺骗,3、网络优化——广播优化,3、网络优化——DHCP广播优化,A.网络中，可能存在环路，导致一个DHCP请求包多次无响应B.从数据包可以看出，无线终端没有正常获取到IP地址C.无线终端能能正常获取到IP地址了，获取到的IP地址是192.200.200.233D.从上图数据包可以看出，该控制器WAC有3个AP同时该功能就是限制DHCP的discover数据包和request发送到无线用户端，认为无线用户端是没有DHCP服务器的，这样既可以防止无线侧私开DHCP服务，也可以减少有线网络的广播包发送到无线侧，造成无线侧的广播数据包过量，导致无线访问慢3、网络优化——DHCP广播抑制,原来版本对于广播帧的发送速度（AP发往对于所有STA），不伦是低速终端还是高速终端，（非协商速度）2.4G固定是1Mb/s,5.8G固定是6Mb/s速度发送，因此，提高广播帧的速度能让无线用户提高数据吞吐率。

 802.11n的数据帧分为管理帧，数据帧和控制帧这里主要针对管理帧中的广播数据帧，比如beacon帧，还有数据帧中的广播帧，比如ARP广播帧，都进行提速发送,3、网络优化——自动广播提速,3、网络优化——限制低速终端接入,终端速率限制：在高密度环境下，为了限制某一个无线STA以低速的速率连接到AP，整体拉低所有无线用户的速率，在这里限制了低速终端的接入因为无线可以看成是半双工的传输环境，同样的大小的文件，低速终端占用信道时间更长，增加了信道占用率只对2.4G频段有效,3、网络优化——流控改进,对于AP到终端的下行数据发送时，以前版本是次数公平，勾选用户间平均分配带宽后，变为时间公平以前是数据包次数传送公平原则，打个比方2个不同远近的STA都是2M和2M的传送速率开启这个功能后，一个近一些的终端可以达到20Mb/s，另一个终端就可能下降到1.5Mb/s目的是为了防止低速终端拉低高速终端的速度带宽分配权重：内部员工的SSID分配的权重要更高一些访客的SSID分配的权重要更低一些，这样可以优先保障内部员工，而不会因为访客人数的突然增加，影响到内部员工的无线体验四.问题排查方面的改进,目 录,4、问题排查改进——新增命令控制台,4、问题排查改进——新增调试开关ssh和telnet,telnet 密码与与WAC的控制台密码一致，WAC控制台密码变动，AP联动变化ssh为联动组合密码串口登录密码同telnet和ssh,4、问题排查改进——telnet调试窗口,4、问题排查改进——日志优化,4、问题排查改进——日志优化,用户认证的成功与失败的日志属于系统日志中,4、问题排查改进——直通（非1.5改进）,直通：只对访问控制策略（ACL）生效，且只打出ACL的日志，其他模块都不生效，（比如黑白名单，流控等其他功能都不生效）,4、问题排查改进——日志优化,日志包含了黑匣子和配置文件，以及日志文件，日志解压密码：sangforwns,4、问题排查改进——控制台加强升级功能,WEBUI控制台可以给WAC升级SSU包WEBUI控制台可以给WAC升级KB补丁包WEBUI控制台可以给WAC回顾KB补丁包,4、问题排查改进——接入点可升级（非1.5改进）,4、问题排查改进——tcpdump_dp,后台抓包变化不需要再到cli模式通过镜像口方式抓包了，可以直接在物理口抓包：tcpdump_dp –i eth1 在VLAN口抓包，还是用tcpdump –i vlanif1 的方式抓包,4、问题排查改进——SNMP监控,4、问题排查改进——SNMP监控-MIB库信息,通过下载MIB库获取到的信息\\192.200.200.4\客服常用\客服常用工具\wireless\ManageEngine_MibBrowser_FreeTool.exe,问题排查改进——SNMP监控-ARP表信息,ARP表是通过工具自带标准的MIB库，RFC-1213库获取到OID：.1.3.6.1.2.1.3.1.1填写团体名称为public后，AC可以自动扫描获取到到,五.补充,目 录,5、补充-删掉默认角色,新版本默认策略被删除，低版本有引用的升级后被更新为default_role，默认放通所有,5、补充功能——VLAN用户间隔离,禁止同一个VLAN内的用户相互通信，是指接入同一个VLAN的无线用户之间不能互相通讯，所有数据包都被丢弃。

如果是同一个vlan内的有线用户与有线用户，有线用户与无线用户则不在此限制范围内，可以自由通讯本地转发与集中转发该功能都生效不同VLAN间的无线用户也不受此限制，由是否开启vlan间路由决定同一个VLAN，如果要限制无线到有线的访问，可以采用角色策略中的访问控制策略（ACL）实现,5、补充——受信任的DHCP（非1.5改进）,无线用户端的DHCP请求转发至有线端，广播出去的discover和request数据包，都不限制转发正常，来自不再受信任列表中的DHCP报文，直接丢弃，包括offer和ack响应数据包但是，对应WAC自己接口的dhcp服务不生效，就是自己的不在受信任的列表中，仍然可以提供DHCP服务，不受该功能的限制注意事项1：该功能只对集中转发生效，对本地转发不生效,5、补充——受信任的DHCP（非1.5改进）,能解决的什么样的问题?主要是防止某无线终端私自配置了静态IP地址，造成与网关地址或其他已经在使用的IP地址冲突等情况，导致其他正常用户误学了该终端的MAC，从而导致上不了网或访问不了正常的用户 效果:无线终端配置了静态IP地址就不能上网 原理：AP学习终端HDCP请求和接收报文，从报文中记住终端对应的IP地址，如果终端使用不是报文中的IP来上网时，就认为该终端私设IP地址，将该终端的所有ARP请求和回复报文丢弃，意味着该终端与网关都互相获取不到彼此的MAC地址，所以上不了网。

注意事项1：如果此时PC和网关，都相互静态的绑定了彼此的MAC地址后，PC配置正确的IP地址也是可以正常上网的，只是不能访问同网段的用户注意事项2：该功能只支持集中转发，本地转发不生效。