易筋洗髓之WLAN网络优化

一、易筋洗髓之脱胎换骨

易筋经乃传说中天竺和尚达摩为传真经只身东来，一路扬经颂法，后落迹于少林寺。达摩内功深厚，在少林寺面壁禅坐九年，以致石壁都留下了他的身影，达摩会意后留下秘经《易筋经》。

“易”是变通、改换、脱胎换骨之意，“筋”指筋骨、筋膜，“经”则带有指南、法典之意。《易筋经》就是改变筋骨，通过修炼丹田真气打通全身经络的内功方法，修炼达到内壮后，运气时不需练习任何排打功即可自然产生开砖劈石的内功威力，如配合《易筋经》搏击术同时练习可达到无坚不摧的神功威力。

易筋经之WLAN网络优化在于分析WLAN网络拓扑，梳理客户的常见需求，融合客户拓扑以及需求，选取合适的方法优化无线网络（包括AC、AP、STA），通过优化可使网络脱胎换骨，增强网络健壮性与稳定性，建立可持续、高效的WLAN 网络环境，最大程度的提供高质量无线服务。

二、青龙探爪—AC优化

1、  AC热备优化

两台AC建立热备份后通过AC之间的心跳报文探测对方AC工作是否正常，AC之间心跳报文是正常的以太网报文，可以通过二层网络传送，AC心跳报文在传送过程中如果连续三个心跳报文未收到对方响应就会触发热备切换。热备切换过程中，AP将与备份AC建立主隧道并将用户业务数据传送到备份AC转发。在实际的网络应用中，如果存在流量攻击、峰值流量大且不稳定、二层网络不稳定存在丢包或者AC间心跳报文发送间隔时间配置比较短时，AC的转发模块可能出现心跳报文得不到及时处理，在连续几个心跳报文得不到及时处理时，会导致备份AC错误检测到主AC故障，而造成AP发生主备切换。因此建议针对AC热备建议做如下优化：

a.         AC热备心跳周期不能设置过小，推荐保持缺省值2000ms，如果需要调整，建议不小于300ms；

b.         主备AC之间的热备vlan建议使用独立vlan，避免非心跳报文影响引起主备切换；

c.         如果有多组AC备份，建议每组AC均使用单独vlan传送热备报文，例如4台AC两两备份，建立使用两个独立的非业务vlan做心跳报文，两组备份心跳报文通过两个vlan转发，相互不干扰；

2、  业务备份

主备AC上对于业务备份包括业务配置备份、DHCP表项备份、portal表项备份以及802.1x表项备份，每个备份都将影响业务：

a.         AC业务配置备份，在主备AC热备切换后，为了实现快速切换和业务恢复，AP上将保持主AC下发的配置信息，不会更新备份AC对AP的配置。如果主备AC配置不一致，可能触发终端业务报文转发异常，例如WLAN RRM配置的速率集不匹配，会导致切换后无线网卡的速率协商不通过，造成AC热备切换后连接无线网络失败。在N+1或者1+1备份方案的无线网络中，要求保证主、备AC的RRM、radio-policy、AP模板等配置相同。

b.         DHCP表项备份，正常组网情况下，建议由AC作为AP的DHCP服务器分配IP地址，由上行的BAS或者核心设备作为业务DHCP服务器。在主备AC组网情况下，如果AP DHCP续约的时候发生主备切换，由于备份AC上没有AP的DHCP表项信息，将导致AP续约地址失败，从而AP下线影响用户业务。通常情况下，要求主备AC配置相同的DHCP地址池并开启DHCP表项同步，主备AC DHCP表相同步情况下，即使AC主备切换不会影响业务转发。

c.         Portal表项备份，AC上开启portal认证且用户认证成功之后，在AC上会生成一条用户portal会话表项。AC上portal表项存在情况下，即使用户断开无线重新连接也不需要重新认证。在AC未开启portal会话备份，AC主备切换后，终端连接到备份AC需要重新portal认证，将影响用户使用体验，在AC开启portal业务情况下，建议开启portal会话表项备份。

d.         802.1x表项备份，AC上开启8021.x认证且用户认证成功之后，AC上生成一条802.1x认证会话表项，在跨AC漫游的场景或者主备AC切换场景下，终端连接到新AC后需要重新认证，这种场景建议开启802.1x会话备份，可以减少终端漫游时间，同时提高用户使用体验。

 

3、  开启二层隔离

无线二层隔离与有线端口隔离相似，用户隔离无线用户之间相互通信。无线的二层隔离基于无线服务（SSID）和VLAN两种方式实现，基于无线服务的隔离限制连接相同SSID的用户之间相互访问，基于VLAN的用户隔离不仅隔离同一VLAN相同SSID的用户之间的单播报文，同时隔离无线用户之间的广播和组播报文，通过命令行还可以控制隔离有线网络到无线用的广播和组播报文。

同一VLAN内，来自无线/有线客户端的广播、组播报文会向所有放通该VLAN的AP上广播，而且在空间介质中广播/组播报文通常使用最低速率进行发送。当广播报文比较多时，会占用较多的空口资源，同时影响AC的转发性能，在一定程度上影响到整个网络应用。基于VLAN的二层隔离可以在AC上控制无线用户只能访问网关设备，无线用户到有线用户的广播、组播报文不受限制。这样可以大量减少整个WLAN网络的广播流量，提高WLAN网络的整体性能。

 

4、  关闭低速率

无线WLAN网络中不是使用固定的速率发送所有的报文，而是使用一个速率集进行报文发送（例如11g支持1、2、5.5、11、6、9、12、18、24、36、48、54Mbps），无线终端或者AP在发送报文的时候会动态的在这些速率中选择一个速率进行发送。通常提到的11g可以达到速率不仅是所有报文都采用54M速率进行发送的情况，而且是一个空口信道的带宽大小。广播报文和无线的管理报文都使用最低速率1Mbps进行发送，低速率转发报文将降低该信道的带宽。在无线网络中双向信号（AP和STA接收信号）都比较好的情况下，可以将1、2、6和9Mbps速率禁用，这样管理报文将选用高速率转发广播报文和管理报文，减少对空口带宽的占用。对于连接AP信号强度比较弱的终端，或者距离AP较远的终端，关闭低速率应用后可能会出现丢包现象，不建议关闭低速率。

 

5、  开启无线用户限速

在WLAN网络中每一个AP提供的可用带宽有限，且无线接入的无线用户数据传送是共享抢占，如果个别的无线用户通过WLAN使用网络工具下载文件，可能达到非常大的流量，会耗尽AP提供的带宽，造成其他无线用户访问网络慢、ping抖动、延时以及丢包等问题。通过配置用户限速功能，可以控制无线客户端对带宽的消耗，保证所有接入无线客户端都能获得相同的无线带宽，可以正常访问网络业务。在H3C的无线控制器上有三种无线客户端限速：

a.         基于服务模板（SSID）的无线限速，对连接相同SSID的无线客户端限速。限速分为动态限速和静态限速，静态限速针对每个无线客户端限制相同的速率，保障每个客户端有相同的带宽访问业务，动态限速是针对AP下连接相同SSID的无线客户端总带宽，每个无线客户端可以平均分配动态限速的总带宽。

b.         基于AP射频的限速，在AP射频下可以绑定多个服务模板，基于射频的限速将限制该射频下接入的所有无线客户端，基于射频的限速也分为动态限速和静态限速；

c.         基于无线协议的限速，不同的无线客户端支持的协议不同（802.11b、802.11a/g、802.11an/gn、802.11ac），在H3C无线控制器可以基于不同的协议限速，可以优先保障802.11n和802.11ac的带宽与业务。

H3C无线控制器有多种限速方式，同时配置多种限速时，限制速率小的优先生效。

 

6、  禁止弱信号终端接入

在WLAN网络中，信号强度较弱的无线客户端，虽然也可以接入到网络中，但是所能够获取的网络性能和服务质量要比信号强度较强的无线客户端差很多。如果弱信号的无线客户端接入到WLAN网络中大量的下载数据，就会占用较多的信道资源，最终将影响其他无线客户端带宽需求。

禁止弱信号客户端接入功能，通过配置允许接入的无线客户端的最小信号强度阈值，当AP接收到无线客户端信号强度低于指定阈值时，AP将无线客户端让下线，这样减少无线客户端接入到WLAN网络中，减少弱信号客户端对其他无线客户端的影响，从而提升整个WLAN网络的应用效果。

 

7、  开启弱信号终端重连接

在WLAN网络中，无线客户端网卡根据扫描的信号强度决定连接某个AP，在无线客户端网卡的高级设置中可以调整网卡漫游的灵敏度（“漫游主动性”），网卡默认的“漫游主动性”默认值为“中间”，如果不希望终端漫游可以设置为“最低”，反之可以设置为“最高”。在实际无线网络环境中，某些终端主动漫游能力弱或者无法调整“漫游主动性”，在信号明显变化的情况下仍然不能及时切换到信号强的AP，导致用户使用体验差。在H3C无线控制器上，通过配置弱信号终端重连接策略来帮助终端及时漫游到最合适的AP上。AP在运行过程中，会实时的更新每一个无线客户端的信号强度，当AP感知到无线客户端的信号强度低于指定的阈值时，将主动地向无线客户端发送解除认证帧报文，给无线客户端一次重新连接或者漫游的机会。 

 

8、  无线加密算法

在WLAN网络中，空口设置明文不加密，可以减少因加密带来的密钥协商时间开销，获取最大的无线空口性能。在11n网络中，为保证无线终端业务报文的安全，需要针对业务报文设置加密，建议加密方式设置为RSN+CCMP，不推荐使用TKIP或者WEP加密方式，这两种加密方式无法发挥11n网络的高带宽性能。

 

9、  ESS接口配置规范

在某些业务规划中，需要针对相同SSID不同AP接入无线客户端分配不同网段，这种情况可在AP射频上绑定服务模板时配置vlan-id或者通过认证为终端下发vlan，针对这种业务需求，在配置ESS接口时有如下几点需要注意：

a.         将ESS接口配置为hybrid模式，并禁止vlan1通过（业务vlan为vlan1除外）；

b.         选择一个非业务vlan配置为PVID；

c.         将PVID VLAN配置为untag模式；

d.         在接口下使能mac-vlan enable；

 

三、摘星换斗—AP优化

1、  信道优化

在H3C AP上，信道选择分为自动选择、手动分配以及首次自动选择，默认情况下AP首次自动选择，在竞争式无线网络中，合理的信道部署与无线带宽成正比。在实际的安装部署中，为了保证信号覆盖的质量以及接入用户使用效果，AP的覆盖范围经常出现重叠，在重叠区域相同信道的数据转发将影响两个AP的带宽。如果所有的AP都工作在相同信道，这些AP只能共享一个信道的频率资源，降低整个WLAN网络的性能。WLAN协议本身提供了一些不重叠的物理信道，可以规划不通vlan构建多个虚拟的独立的WLAN网络，各个网络独立使用一个信道的带宽，例如使用2.4G频段时可以使用1、6、11三个非重叠信道构建WLAN网络。

同时信道规划调整需要考虑三维空间的信号覆盖情况，无论是水平方向还是垂直方向都要做到无线的蜂窝式覆盖，最大可能的避免同楼层和上下楼层间的同频干扰。

强烈推荐：802.11n网络在实际部署时，无论是2.4G频段或5G频段，建议都采用20MHz模式进行覆盖，以加强信道隔离与复用，提升WLAN网络整体性能。（注意：H3C AP在802.11n 5G频段默认为40MHz频宽方式）

 

2、  功率优化

通过信道规划构建互不影响的虚拟网络，而无线AP射频的发送功率决定每个虚拟网络的覆盖，AP发射功率的调整需要逐个关注每个虚拟WLAN网络，通过调整同一信道的AP的发射功率，降低这些AP之间的可见度，加强相同信道频谱资源的复用，提高WLAN网络的整体性能。通常优化的原则是保证每个虚拟网络边缘区域信号强度在-65dbm左右。

 

3、  频谱导航

在实际无线网络环境中，某些客户端由于网卡支持限制只能工作在2.4GHz频段上，也有一部分客户端可以同时支持2.4GHz和5GHz频段。如果支持双频的客户端都工作在2.4GHz频段上，会导致2.4GHz频段资源带宽紧张，而5GHz射频相对空余。在这种情况下，可以在设备上开启频谱导航功能。频谱导航功能可以将支持双频工作的客户端优先接入5GHz射频，使得两个频段上的客户端数量相对均衡，从而提高整网性能。

开启频谱导航功能后，AP会对发起连接请求的客户端进行导航，将其均衡地连接至该AP的不同射频上。首先当客户端与某个AP连接时，若该客户端只支持单频2.4GHz，则频谱导航功能不生效，客户端直接关联至AP的2.4GHz射频上。若客户端支持双频，AP则会将客户端优先引导至5GHz射频上。若客户端只支持单频5GHz，则会直接关联至AP的5GHz射频上。

在双频客户端关联到5GHz射频前，AP会检查5GHz射频接收到的客户端的RSSI值，若该RSSI值低于设定值，则不会将此客户端导航至5GHz射频。如果5GHz射频上已连接的客户端数量达到门限，且5GHz射频与2.4GHz射频上连接的客户端差值达到或超过差值门限，AP会拒绝客户端接入5GHz射频，且允许新客户端接入2.4GHz射频（即不会引导双频客户端优先接入5GHz射频）。如果客户端反复向该AP的5GHz射频上发起关联请求，且AP拒绝客户端关联请求次数达到/超过设定的最大拒绝关联请求次数，那么该AP会认为此时该客户端不能连接到其它任何的AP，在这种情况下，AP上的5GHz射频也会接受该客户端的关联请求。

 

4、  关闭Probe探测回应

无线客户端接收SSID有两种机制：一种为无线终端被动的侦听Beacon帧之后，根据Beason帧字段中的SSID选择AP建立连接；另外一种为无线终端主动发送Probe request探测周围的无线网络，然后根据获取的Probe Response报文获取周围的无线网络，之后选择AP建立连接。

本功能主要针对Probe探测方式。根据Probe Request帧（探测请求帧）是否携带SSID，可以将主动扫描分为两种：1、广播方式的Probe探测，客户端发送Probe Request帧（Probe Request中SSID为空，也就是SSID IE的长度为0）；2、单播方式的Probe探测，客户端发送的Probe Request帧（携带指定的SSID）。

在正常的网络中无线终端不会使用广播方式的Probe探测，如果无线客户端使用广播方式探测将造成了大量广播Probe Request在信道转发，所有的接收到该报文的AP都会回应Probe Response报文，这部分报文均是低速率转发，大量的报文将降低整体网络的性能带宽。因此，在无线用户比较多的网络中，建议关闭广播Probe探测功能，AP针对SSID为空的探测请求不进行回复，有效降低空口的消耗，使整个WLAN网络应用得到一定的提升

 

5、  调整Beacon帧周期

无线客户端通过AP发送Beacon帧识别不同的无线信号，在H3C AP中，默认情况下射频卡上每个SSID发送Beacon的周期为100TU（约100ms），Beacon报文通常使用最小速率进行发送，而且转发优先级比较高，在高密环境下或者业务报文比较多的情况下，考虑将Beacon发送周期从100TU调整到160-200TU之间，这样可以有效降低空口的消耗，使整个WLAN网络应用得到一定的提升，在医院或者漫游比较频繁的场景，可以考虑将Beacon发送间隔调整为60TU。

 

6、  限制AP接入用户数

根据802.11协议特性，每个AP射频带宽均有上限，例如802.11g带宽为5Mbps、802.11n带宽为300Mbps。H3C AP射频接入无线客户数量也有上限，AP每个射频上最大接入用户数是124个，默认情况下最大用户数支持64个无线客户端接入。由于射频带宽限制，接入终端越多每终端的可用带宽就越小，为了使每个接入用户有良好的使用体验，建议配置限制AP接入用户数，在H3C无线控制器上有如下两种方式控制接入用户数量：

a.         基于服务配置接入用户数，在服务模板下接入用户阈值，每个调用该服务的AP均受限制，每个AP下该SSID接入用户数均不会超过该阈值；

b.         基于radio-policy配置，在全局视图定义策略，并在AP射频下调用该策略，AP射频下接入的用户数不会超过该阈值；

以上两种接入限制同时配置的时候，限制阈值小的优先生效。

 

7、  客户端保活

在无线协议中，无线客户端主动离开WLAN网络时，终端会发送解除关联的报文，AP可以及时释放关联资源，提高整机的使用性能。但在信号覆盖不足或者其他特殊情况下，部分客户端离开WLAN网络时，不会主动向AP发送解除关联报文，使得AP上长时间保持大量“僵尸用户”关联的状态，在极端情况下会导致AP关联用户数达到上限，影响正常用户接入无线网络，降低AP整机的使用性能。在H3C的AP上支持两种方式的无线客户端保活探测：

a.         配置client idle-timeout，当AP在一段时间内没有收到终端的任何802.11报文，则直接清除用户的关联状态，缺省开启，保活时间是1个小时；

b.         配置client keep-alive，AP定期给终端发送探测报文，若终端连续3次不响应，则AP主动解除终端的关联状态，缺省关闭；

在实际应用中，不推荐采用b方式。在b这种方式下，有可能因客户端休眠等原因误踢用户下线，导致终端丢包、掉线类的问题。

 

8、AP安装部署

AP部署位置与信号覆盖面成正比，当AP安装位置越高时信号覆盖范围越广，合理的部署AP安装位置可以减少同频以及临频干扰，同时可以提高用户体验，H3C针对AP部署有如下建议：

a.         吸顶式安装，在楼层间距比较低办公楼、教室等场景下推荐吸顶式安装，由于安装距离比较低，AP覆盖面积比较小，可减少AP之间相互干扰，提高每个AP接入用户的体验；

b.         壁挂式安装，在用户比较多、天花板较高、要求AP信号覆盖广等场景下，建议推荐使用壁挂式安装，通过AP安装高度可控制AP信号覆盖面积且方便安装，在公共区域安装需要注意防盗。

c.         X分或者功分安装，该方式适合

 

9、天线连接

无线AP包括室内型AP和室外型AP，两种类型的AP对于天线的连接方式如下：

1)         室内型AP，室内AP常用内置天线释放信号，特殊场景使用外置天线需要注意：

a.         使用命令将内置天线切换为外置天线；

b.         天线分频连接，2.4G天线连接2.4G馈线口，5G天线连接5G馈线口；

2)         室外型AP连接外置天线需要注意：

a.         室外型AP默认使用外置天线（WA2610X-NGP默认使用内置天线，使用外置天线需要命令切换）；

b.         天线分频连接，2.4G天线连接2.4G馈线口，5G天线连接5G馈线口；

c.         AP上有ANT-1/2/3，室外天线有H/V/V，要求ANT1/3分别接H/V没有顺序要求，ANT2接V ；

d.         同时支持2.4G和5G的天线（ANT-2506V-M6）没有（3）限制；

 

四、出爪亮翅—STA优化

1、  传输电源

无线客户端使用电池蓄电以及供电，为保证电池更持久供电，无线网卡的传输电源默认被设置为中间或者最小值，即限制无线客户端网卡的发送功率，在发送功率较低情况下将影响无线客户端与AP之间的速率以及链路质量，建议客户端无线网卡“传输电源”调整为最高值。

2、  漫游主动性

无线客户端漫游取决于无线网卡驱动程序，无线网卡根据扫描到的信号数据决定是否漫游，漫游阈值根据“漫游主动性”值决定，默认“漫游主动性”值为中间，如果希望终端可以更频繁的漫游，可以配置“漫游主动性”未最高值，反之可以配置为最低值。

                                                                                                   

3、  无线模式

无线的模式包括802.11a/b/g，如果网卡支持调整“无线模式”，建议配置为802.11a/b/g，配合AP的频谱导航功能，终端可以优先连接5G频段，通信质量会有所提升。

4、  启用802.11n模式

在支持802.11n的AP下，终端使用802.11n连接可以充分利用AP信道带宽，终端上可以通过“802.11n模式”调整，如果无线网卡关闭请将值调整为已启用。

5、  调整首选带宽

对于支持2.4G和5G的双频AP，在客户端上通过“首选频带”可以调整无线客户端优先使用哪个频段连接网络，建议调整为首选5G频宽，即使无线控制器上未配置频谱导航，终端也可以优先连接5G频带，可以得到高质量的带宽保证。

易筋洗髓心经修炼之路漫长，实战经验极其重要，大成之日不仅强身健体，更是所向披靡，希望义士茶余饭后多多思虑，如有顿悟可相互切磋。