9.無線架構之存在的問題(包括Guest限制、調優、限速、通道切換掉線)
拓撲
拓撲可以儲存到本地,然後擴大檢視,這樣才能看的更清楚。(拖動到新視窗開啟即可)
目前環境存在的問題 8.5.1 無線之間都可以訪問。
可以看到內部使用者與Guest之間是可以訪問的,這樣存在一定的安全性,因為訪客是從外面過來的,經過了各種各樣的網路,假設客戶的PC干擾了病毒,那麼則可以通過無線傳遞給內部網路。
8.5.2 Guest使用者可以訪問內部任何資源
可以看到 192.168.20.0/24網段是boss的網段,但是Guest卻可以自由訪問,這是不允許的。
8.5.3 網速任意
預設情況下,是不會對客戶端網速進行限速的,雖然有一個閥值,但是可以說沒任何限制一樣。我們希望的是對Guest訪問限速嚴格些,而內部使用者限速則根據需求來決定。
8.5.4 通道調優
可以看到通道調優是auto的,也就是當有多個AP在附件的情況下,AC會根據AP上報的資訊,來自動劃分AP之間的隧道,如果是2.4G的話,則會自動規劃為A為1,B為6,C為11,這樣互不干擾,而5G的話,則可以自動分配為149、153、157、161、165通道,當然自動調優是需要一定時間的,如果自己確定位置的話,則可以手動調優通道,規劃如下。
8.5.5 AP與AC失聯後,仍可以為PC提供無線連線
說明:預設情況下,如果AC與AP的CAPWAP隧道端了後,AP則會認為與AC失去通訊,則會把所有的無線業務關閉提供,開啟該功能後,可以保證在AP與AC失聯後,仍可以提供無線連線,這種在總部與分支之間的無線架構非常有用。
8.5.6 無線漫遊【二層與三層漫遊】
說明:在很多情況下,因為無線覆蓋的問題,需要部署多個AP,而且SSID需要設定一樣,客戶需求就是在移動的過程中,客戶不會出現任何斷開連線,對客戶來說是透明的,漫遊也可以分為二層漫遊與三層漫遊。
8.5.7 低速率與低訊號限制使用者接入
說明:在客戶端與無線裝置離得比較遠的情況下,速度與訊號都是非常低的,我們希望給使用者體驗一個好的環境,可以部署這麼一個功能,讓低速率或者訊號的使用者不能接入到這個AP,讓其關聯其他訊號好的AP上面。
8.5.8 負載均衡
說明:負載均衡在實際環境中是非常有用的,比如企業網中有多個AP掛在大廳提供給客戶上網,但是所有客戶一上來都是連線的A,而不是B或者C,那麼這樣的情況會導致A負載過多,而B跟C卻很空閒,負載均衡的效果就是通過定義一個閥值,當AC檢測到該AP的承載已經超過這個閥值了,那麼就會讓客戶端自動關聯到其他AP上面,這樣達到負載均衡的效果。
優化解決辦法 8.61 解決無線之間都可以訪問。
分析:如果想讓2個無線的SSID之間的網路不能互訪,那麼解決辦法有2個,一個是在對應的服務集下做埠隔離,另外一個就是ACL,但是ACL需要明確指定,而客戶是動態地址不變的,所以建議的是埠隔離。
具體配置
[AC6605]wlan
[AC6605-wlan-view]service-set id 0
[AC6605-wlan-service-set-intrenet]user-isolate
[AC6605-wlan-service-set-open]q
[AC6605-wlan-view]service-set id 1
[AC6605-wlan-service-set-intrenet]user-isolate
[AC6605-wlan-view]commit ap 1
說明:該效果是啟用了埠隔離的服務集之間不能互訪。注意最後需要下放配置
驗證結果
8.6.2 解決Guest使用者可以訪問內部任何資源問題
分析:我們之前希望的是,Guest使用者只能訪問企業內部特點的網站地址,跟Internet,其餘的是不允許訪問的。這裡的解決辦法可以使用ACL來決定。
具體配置
[AC6605]acl number 3000
[AC6605-acl-adv-3000] rule 5 permit ip source 192.168.19.0 0.0.0.255 destination 192.168.88.251 0
[AC6605-acl-adv-3000]rule 10 deny ip source 192.168.19.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
[AC6605-acl-adv-3000]rule 15 permit ip source 192.168.19.0 0.0.0.255
說明:ACL定義的重要是,首先允許訪問特定的伺服器地址,然後拒絕訪問內網所有的網段,然後在允許它訪問Internet。當然可以具體指定伺服器的埠號,只允許訪問什麼服務。
[AC6605]wlan
[AC6605-wlan-view]service-set id 0
[AC6605-wlan-service-set-open]traffic-filter inbound acl 3000
[AC6605-wlan-view]commit ap 1
說明:然後在服務集下呼叫,最後下發即可。
驗證結果
可以看到訪問內部網路的20.1是無法通訊的,而訪問特點的伺服器是OK的,當然訪問Internet也是OK的,但是目前還沒配置到防火牆那塊,沒打通Internet服務。
可以看到,當AC下放配置給AP後,AP上面自動會有ACL的存在,並且呼叫在了WLAn-BSS上面。
8.6.3 解決網速任意問題【對客戶限速】
分析:之前可以看到對於使用者的網速是沒有任何限制的,這樣的話很有可能造成某幾個使用者在大量下載的情況下,導致其他使用者延遲非常大,把整個網路資源都佔用了,所以我們希望的是,給客戶端進行限速,可以基於使用者或者VAP。
具體配置
[AC6605-wlan-view]traffic-profile name guest
[AC6605-wlan-traffic-prof-guest]rate-limit client up 200
[AC6605-wlan-traffic-prof-guest]rate-limit client down 400
[AC6605-wlan-traffic-prof-guest]rate-limit vap up 1024
[AC6605-wlan-traffic-prof-guest]rate-limit vap down 2048
[AC6605-wlan-view]traffic-profile name intrenet
[AC6605-wlan-traffic-prof-intrenet]rate-limit client up 400
[AC6605-wlan-traffic-prof-intrenet]rate-limit client down 800
說明:定義了2個流量的模板,一個是Guest,具體的作用就是,每個Client的上行為200,下行為400KB,而總共的VAP不能超過上行1024,下行2048,防止Guest大量下載,造成內部訪問公網緩慢。 還定義了一個intrenent的,作用差不多。
[AC6605-wlan-view]service-set name open
[AC6605-wlan-service-set-open]traffic-profile name guest
[AC6605-wlan-view]service-set name intrenet
[AC6605-wlan-service-set-intrenet]traffic-profile name intrenet
[AC6605-wlan-view]commit AP 1
說明:在對於那個的服務集下呼叫即可,最終下發。
結果測試
說明:由於無線這塊是模擬環境部署的,所以沒辦法進行測試,實際環境部署的話,就是這樣的思路。
8.6.4 解決通道調優【自動與手動】
分析:在企業網部署無線的時候,有時候因為覆蓋問題,會部署多個AP存在,但是AP之間很有可能由於AP的通道存在重疊,導致干擾,這樣的情況下,無線的體驗感是非常不好的,所以我們可以通過自動調優 或者認為的調整。
具體配置
[AC6605]wlan
[AC6605-wlan-view]radio-profile name 2.4G
[AC6605-wlan-radio-prof-2.4G]calibrate enable
[AC6605-wlan-radio-prof-2.4G]calibrate-interval 60
[AC6605-wlan-view]commit ap 1
說明:該意思就是說在射頻模板下面2.4g的,開啟自動調優功能,間隔為60分鐘一次。
另外一種就是認為的除錯,比如你相鄰的有3個AP,A B C,那麼可以認為的定義行道為 1,6,11
[AC6605-wlan-view]radio-profile name 2.4G
[AC6605-wlan-radio-prof-2.4G]channel-mode fixed
說明:該意思就是說把通道設為固定的通道,通過人為定義,而不是AC自己根據周圍情況變化。
[AC6605-wlan-view]ap 1 radio 0
[AC6605-wlan-radio-1/0]channel 20mhz 1
說明:該意思就是把AP 1的2.4g頻率定義為通道1,然後可以定義其他AP為6 ,11,這樣就互不干擾了。5g的修方法是一樣的,只是進入radio 1下。
結果驗證
說明:該效果需要實際環境才能測試出來,所以這裡只能給出配置了,但是效果肯定有的,因為在工作中部署過。選擇自動還是手動,可以根據需求決定,如果比較固定的網路,使用手動比較好,如果是廣場之類的 干擾比較大,則需要AC週期性的根據周圍情況來不斷變化。
自動的話 可以智慧化的實現這種效果,沒調整前,AP 2與AP4的通道是重疊的,干擾非常大,調整後,可以看到通道都互不干擾,干擾的情況降低了。
解決通道切換自動掉線問題
在應用了自動調優的情況下,通道會根據環境的變化而變化,也就是說一個VAP可能處於不同的通道,但是預設情況下,客戶端關聯的是通道1,但是在這個時候,AC下放調優把通道調節成了6,那麼客戶就會斷開連線,需要重新連線,這樣是非常麻煩的,也非常不方便,所以需要解決該問題。
[AC6605]wlan
[AC6605-wlan-view]radio-profile name 2.4G
[AC6605-wlan-radio-prof-2.4G]channel-switch announcement enable
[AC6605-wlan-radio-prof-2.4G]channel-switch mode continue-transmitting
[AC6605-wlan-view]commit aP 1
說明:這樣的話 開啟該功能後,在通道切換的過程中,保證無線客戶端是連線的,而且是流量不中斷。
8.6.5 解決AP與AC失聯後,仍可以為PC提供無線連線【特別是總部與分支架構的情況下】
分析:在AC-AP架構中,如果AP檢測到AC出現故障後,會斷開CAPWAP鏈路,停止所有的無線服務功能,這樣會導致所有的無線業務出現問題,而啟用了該功能後,儘管AC出現了故障 或者鏈路不通了,但是AP還是可以繼續服務,並且可以新關聯客戶端進來,提供服務,當然這種方法只時候直接轉發模式。
具體配置
[AC6605-wlan-view]ap id 1
[AC6605-wlan-ap-1]keep-service enable allow new-access
說明:表示開啟繼續提供服務功能,紅色部分特別需要注意,如果直接Enable回車的話,只能保證aP可以繼續為已經關聯的無線客戶端提供服務,而新的想接入到無線中來就不行了。
結果驗證
人為的把AC的介面關閉了,這樣可以看成AP與AC之間的通訊是不能繼續了。
可以看到之前的無線依舊存在,我這用一臺新的連線進去,看是否可以連線。
可以看到訪客2也可以連線了。
訪問伺服器沒有任何問題。