H3c无线优化总结
5、为无线业务构建独立的VLAN
应用说明:
WLAN无线网络理论上就是实现一个二层的接入网络,而这个二层网络通常直接连接到现 有的有线网络中。
而在无线网络中,广播/组播报文会使用最低速率发送广播报文,所以当广播报文比较多时, 会相对较多地消耗信道空口资源,从而影响到整个无线网络性能和应用。特别是一个广播报 文通常会向VLAN内的所有的AP发送,同时消耗所有AP的资源。所以在构建WLAN网 络的时候,在条件允许的条件下,一定为无线业务创建独立的VLAN,而不要和有线网络使 用相同的VLAN,这样即可以避免大量的广播/组播报文对无线网络的影响,又可以避免不 必要的攻击。
实施说明:
在规划WLAN网络时,建议分配一些有线网络未使用的VLAN给WLAN接入使用。可以 通过service-template对应的接口配置对应的VLAN、也可以在为 AP绑定service-template 时指定VLAN、甚至可以在无线客户端接入的时候授权VLAN,具体配置请直接参考'WLAN 服务配置手册”。
为了清晰网络规划,WLAN网络仅作为一个新增的接入网络,所有的流量和接入都可以通 过现有的有线网络设备进行监管和控制。可以充分考虑无线控制器主要完成WLAN网络的 构建、无线客户端接入管理等功能,而将业务VLAN的网关统一放在无线控制器的外部已 经存在有线设备,相当于在一个现有的设备上增加了一个独立的二层网络。
注意事项:
WLAN设备主要关注无线接入服务,对于大型的综合网络一般建议业务VLAN的网关设置 在无线控制器以外的设备。
6、无线用户VLAN内二层隔离
应用说明:
同一 VLAN内,来自无线客户端的广播、组播报文会向所有放通该VLAN的AP上广播, 而且在空间介质中广播报文通常使用最低速率进行发送。当广播报文比较多时,会占用较多 的空口资源,在一定程度上影响到整个网络应用。
无线用户VLAN内二层隔离可以在AC上控制无线用户只能访问网关设备,而不能互相之 间访问。这样可以大量减少整个WLAN网络的广播流量,提高WLAN网络的整体性能。
配置说明: 【命令一】
user-isolation vlan vlan-list enable
【参数】
vlan-list: vlan-list 为 VLAN 列表,其表示方式为 vlan-list= { vlan-id [ to vlan-id ] }&<1-10>。 其中,vlan-id为指定VLAN的编号,取值范围为1-4094。&<1-10>表示前面的参数最多可 以输入10次。
【命令二】
user-isolation vlan vlan-list permit-macmac-list
【参数】
vlan-list:在指定VLAN内配置用户隔离功能。vlan-list为VLAN列表,表示多个VLAN。 其表示方式为 vlan-list = { vlan-id [to vlan-id ] }&<1-10>,其中,vlan-id 为指定 VLAN 的编号, 取值范围为1-4094。&<1-10>表示前面的参数最多可以输入10次。
mac-list:允许的MAC地址列表,格式为H-H-H,在一个VLAN内最多可以配置16个允许 的MAC地址,该MAC地址不允许为广播或组播地址。
【举例】
#在VLAN 1上开启用户隔离功能,允许访问MAC地址为00bb-ccdd-eeff和0022-3344-5566 的设备(允许的MAC地址通常为网关MAC地址)。
<sysname> system-view
[sysname] user-isolation vlan 1 enable
[sysname] user-isolation vlan 1 permit-mac 00bb-ccdd-eeff 0022-3344-5566 7、关闭低速率应用
应用说明: 无线WLAN网络中不是使用固定的速率发送所有的报文,而是使用一个速率集进行报文发
送(例如 11g 支持 1、2、5.5、11、6、9、12、18、24、36、48、54Mbps),实际无线终端 或者AP在发送报文的时候会动态的在这些速率中选择一个速率进行发送。通常提到的11g 可以达到速率主要指所有报文都采用54M速率进行发送的情况,而且是指的一个空口信道 的能力。而实际上大量的广播报文和无线的管理报文都使用最低速率1Mbps进行发送,所 以会消耗一定得空口资源。在无线网络中信号传输的距离不是问题的情况下,可以将1、2、 6和9Mbps速率禁用,这样整体上减少广播报文和管理报文对空口资源的占用。
对于信号强度比较弱的终端,或者距离比较远的终端,关闭低速率应用后可能会出现丢包现 象。但是正常的室内覆盖,信号强度可以保证,所以要求在室内覆盖情况下此功能为必选项。
配置说明:
【命令】
dot11g disabled-raterate-value
【参数】
disabled-rate:禁用速率。
rate-value:可设置的射频速率如下:1、2、5.5、6、9、11、12、18、24、无线网络受限制或无连接36、48、54Mbps。
【举例】
#配置802.11g模式的射频速率(禁用速率:1、2、6、9Mbps)。
<sysname> system-view
[sysname] wlan rrm
[sysname-wlan-rrm] dot11g disabled-rate 1 2 6 9
8、调整Beacon帧发送间隔
应用说明:
默认情况下,射频卡radio上的每个SSID每100TU就会发送一个Beacon信标报文,这个 报文通告WLAN网络服务,同时和无线网卡进行信息同步。Beacon报文通常使用最小速率 进行发送,而且优先级比较高,所以考虑将 Beacon 发送的时间间隔从 100TU 调整到 160-200TU之间,这样可以有效降低空口的消耗,使整个WLAN网络应用得到一定的提升。
通常情况下,一个radio下配置SSID的数量建议不超过5个。
【命令】
beacon-interval interval
【参数】
interval:发送信标帧的时间间隔。取值范围为32〜8191,单位TU (Time Unit, 1TU=1024 微秒)。
【举例】
#设置发送信标帧的时间间隔为200TU。
<sysname> system-view
[sysname] wlan radio-policy radio1
[sysname-wlan-rp-radio1] beacon-interval 200
然后将radio-policy在各个AP的Radio接口上应用。
9、关闭广播Probe探测功能
应用说明:
WLAN有两种探测机制:一种为无线终端被动的侦听Beacon帧之后,根据获取的无线网络 情况,选择AP建立连接;另外一种为无线终端主动发送Probe request探测周围的无线网络, 然后根据获取的Probe Response报文获取周围的无线网络,之后选择AP建立连接。
本功能主要针对Probe探测方式。根据Probe Request帧(探测请求帧)是否携带SSID,可 以将主动扫描分为两种:1、广播方式的Probe探测,客户端发送Probe Request帧(Probe Request中SSID为空,也就是SSID IE的长度为0); 2、单播方式的Probe探测,客户端发 送的Probe Request帧(携带指定的SSID)。
而大部分的无线终端都不会指定要链接的“无线接入服务”,这样就造成了无线终端会大量 发送广播Probe Request探测,造成所有的接收到该报文的AP设备都会回应Probe Response 报文。因此,在无线用户比较多的网络中,可能会出现一定量的robe Response报文,而且 这些报文都是使用低速率进行发送,会消耗一定的空间资源。如果网络条件允许可以考虑关 闭广播Probe探测功能,AP针对SSID为空的探测请求不进行回复,有效降低空口的消耗, 使整个WLAN网络应用得到一定的提升。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论