WX系列AC 降低CPU利用率的配置说明

对于校园局点、互联网局点等单AC注册AP数在500以上，关联和在线用户数在2000以上的局点，可能会存在AC CPU利用率高的情况，如下为降低AC CPU利用率的配置说明：

备注：AC CPU利用率高的情况可能不限于本文档，但排查CPU利用率高问题时，建议先按照本文挡进行配置。

一、无线用户VLAN内二层隔离

应用说明：

[AC-hidecmd]display cpu-usage task显示ARP进程较高（8%以上），原因为大量ARP上送CPU处理导致，大量ARP可能来源无线侧或有线侧。无线侧ARP报文来源于无线客户端，如果用户业务网关在AC上层设备（AC只做二层透传）、且AC未开启Portal认证时，可以AC上不配置用户业务Vlan的三层接口，避免无线客户端的ARP报文上送CPU处理。有线侧ARP报文可以通过如下配置限制。

配置说明：

【命令一】

user-isolation vlan vlan-list enable

【参数】

vlan-list：vlan-list为VLAN列表，其表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-10>。其中，vlan-id为指定VLAN的编号，取值范围为1～4094。&<1-10>表示前面的参数最多可以输入10次。

【命令二】

user-isolation vlan vlan-list permit-mac mac-list

【参数】

vlan-list：在指定VLAN内配置用户隔离功能。vlan-list为VLAN列表，表示多个VLAN。其表示方式为vlan-list＝{ vlan-id [ to vlan-id ] }&<1-10>，其中，vlan-id为指定VLAN的编号，取值范围为1～4094。&<1-10>表示前面的参数最多可以输入10次。

mac-list：允许的MAC地址列表，格式为H-H-H，在一个VLAN内最多可以配置16个允许的MAC地址，该MAC地址不允许为广播或组播地址。

【命令三】

user-isolation permit broadcast

【举例】

# 在VLAN 10上开启用户隔离功能，允许访问MAC地址为00bb-ccdd-eeff和0022-3344-5566的设备（允许的MAC地址通常为网关MAC地址等无线客户端有二层互访需求的有线侧MAC地址），同时禁止有线用户（permit-mac允许的mac地址除外）发送广播、组播报文给无线用户。

system-view

[sysname] user-isolation vlan 10 enable

[sysname] user-isolation vlan 10 permit-mac 00bb-ccdd-eeff 0022-3344-5566

[sysname] undo user-isolation permit broadcast

备注：

1、AC上查看上送CPU的报文统计的命令如下：

[AC-hidecmd]fpl-diag showcpufc  //间隔10秒共收集3次，以第3次为准

2、如果[AC-hidecmd]fpl-diag showcpufc设备不识别，则需先配置如下命令，查看完后无需关闭。

[AC-hidecmd]fpl-diag enable

Are you sure you want to enable FPL-DIAG? [Y/N] y

二、关闭负载均衡

应用说明：

当AC上关联终端数较多时，开启负载均衡（尤其没有配置详细的负载均衡组）会消耗一定的CPU，对负载均衡没有使用需求或使用意义不大的局点，建议关闭负载均衡。

备注：

如果局点确实有负载均衡的需求，则建议划分小块区域将区域内的AP建立负载均衡组，负载均衡RSSI门限保持默认。

配置说明：

【命令一】

load-balance session value [ gap gap-value ]

【参数】

value：会话门限，取值范围为1～40。

gap gap-value：会话差值门限，取值范围为1～8，缺省值为4。

【命令二】

load-balance traffic value [ gap gap-value ]

【参数】

value：流量门限，以百分比表示，取值范围为1～80。

gap gap-value：流量差值门限，以百分比表示，取值范围为10～40，缺省值为20。

【举例】

# 关闭AC负载均衡。

system-view

[sysname] wlan rrm

[sysname-wlan-rrm] undo load-balance

三、扩大AC-AP之间心跳间隔和AP发送统计信息报告的时间间隔

应用说明：

[AC-hidecmd]display cpu-usage task显示LWPS进程较高（8%以上），LWPS为AC-AP之间LWAPP控制报文进程，与AP注册数量成正比。降低该进程CPU的方法为扩大AC-AP之间心跳间隔和AP发送统计信息报告的时间间隔。

【命令一】

echo-interval interval

【参数】

interval：AP向AC发送回声请求的时间间隔，取值范围为5～80，单位为秒，缺省值为10。

【命令二】

statistics-interval interval

【参数】

interval：指定AP发送统计信息报告的时间间隔，取值范围为2～120，单位为秒，缺省值为50。

【举例】

# 配置AC-AP之间心跳间隔为80秒，AP发送统计信息报告的时间间隔为120秒。

system-view

[sysname] wlan ap-group default_group

[Sysname-ap-group- default_group] echo-interval 80

[Sysname-ap-group- default_group] statistics-interval 120

四、配置Portal支持基于MAC地址的快速认证

应用说明：

使用Portal认证的场景，某些无线终端的应用可能会存在访问TCP 80端口的需求，触发AC的TCP仿冒，而此时无线终端其实没有打开WEB页面进行Portal认证。TCP仿冒为PTTP进程，[AC-hidecmd]display cpu-usage task显示PTTP进程较高（10%以上），建议配置Portal支持基于MAC地址的快速认证（需Portal服务器支持）。

【命令一】

portal mac-trigger server ip ip-address [ port port-number ]

【参数】

ip-address：MAC绑定服务器的IPv4地址。

port-number：MAC服务器监听来自接入设备的MAC绑定查询请求的UDP端口号，取值范围为1～65534，缺省值为50100。

【命令二】

portal mac-trigger enable [ period period-value ] [ threshold threshold-value ]

【参数】

period-value：用户流量的统计周期，单位为秒，取值范围为60～7200，缺省值为300秒。

threshold-value：触发MAC快速认证的用户流量阈值，单位为字节，取值范围为0～10240000，缺省值为0，表示只要Portal用户有访问网络的流量产生，设备就立即触发MAC快速认证，且不允许用户在通过认证前有除免认证规则所允许的以外的流量通过接入设备。该值越大，表示允许用户通过认证前可使用的流量越多，请根据网络流量的实际应用情况合理设置。

【举例】

# 配置MAC绑定服务器的IP地址为2.2.2.2，在业务接口Vlan-interface10上使能MAC快速认证功能，指定用户流量的检测周期为300秒，触发MAC快速认证的流量阈值为10240字节。

system-view

[sysname] portal mac-trigger server ip 2.2.2.2

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] portal mac-trigger enable period 300 threshold 10240

五、iMC网管设置

应用说明：

AC上配置SNMP网管后，网管服务器轮询读取AC MIB节点时会占用一定CPU资源，网管进程为AGNT进程。当[AC-hidecmd]display cpu-usage task显示AGNT进程较高（10%以上），可以通过iMC上设置降低AC的AGNT进程CPU利用率，同时建议AC只使用一套网管。

【举例】

# 设置配置轮询时间为1500分钟（缺省值为120分钟），状态轮询时间为600秒（缺省值为60秒）。

备注：

1500分钟为24小时，即设置配置轮询时间为1500分钟后，iMC每24小时对AC配置轮询一次，iMC实现机制为在更改设备配置轮询时间的时刻对设备进行一次配置轮询。因此，为保证iMC在AC业务低峰期时进行设备配置轮询，需在业务低峰期时对iMC进行设置（如凌晨2点）。

# 取消监控不必要的无线性能指标。