H3C F1000-AI-10防火墙问题

无线做一下限速 

一、 排查无线控制器（AC）限速与转发模式

1. 检查 SSID 级或用户级限速配置：登录 WX2520X-LI，使用 display wlan service-template <模板ID> 命令，确认是否配置了 rate-limit client（用户级限速）或 rate-limit ssid（SSID级限速）。如果限速值设置过低，早高峰并发量大时极易导致卡顿。
2. 确认数据转发模式：检查 AP 是“本地转发”还是“隧道转发”。如果是本地转发，AC 上的限速策略是不生效的，此时需要去核心交换机或 AP 层面排查；只有隧道转发模式下，AC 限速才会生效。

二、 分析无线空口质量与射频干扰

1. 查看重传率与信道利用率：通过 display wlan ap all radio 命令查看各 AP 的信道利用率和重传率。若下行重传率高，多为 AP 侧干扰或功率问题；若上行重传率高，则可能是部分终端发射能力弱导致。
2. 评估 AP 部署密度与功率：检查相邻 AP 覆盖边缘重叠是否过大（建议不超过15-20%），避免自干扰。同时，建议引导终端优先连接 5GHz 频段（Band Steering），因为 5GHz 信道多、干扰少，是解决早高峰拥塞的根本途径。

三、 定位是否存在“流氓终端”抢占资源

1. 抓取高流量终端：在故障发生时，登录 AC 或核心交换机，通过 display wlan client status 或 display interface 等命令，观察是否有终端的 Rx/Tx 速率持续偏高，或者存在 P2P 下载、大视频流等行为。
2. 针对性处置：如果发现此类异常终端，可以直接将其断开，或在 AC 上对其做严格的单用户限速处理。

四、 物理链路与底层协议排查

1. 检查 CRC 错包与 Discard 计数：在故障时段，检查 AP 到接入交换机、以及交换机到 AC 之间的接口，执行 display interface 查看是否存在不断增长的 CRC 校验错误（代表物理链路质量差或线材不达标）以及 Discard 丢包计数（代表端口发生拥塞）。
2. 排查隐藏的网络环路：环路具有极强的隐蔽性，在早高峰流量增大时容易爆发。可通过 display interface brief | include up 查看是否有接口的 InUti 和 OutUti 异常飙升接近 100%，并观察对应 VLAN 接口指示灯是否频繁闪烁。

你这个现象（早高峰 9–10 点无线专线丢包 / 高延迟、有线正常、内网到防火墙正常），90% 是 WX2520X-LI 集中转发瓶颈 + 无线空口拥塞 + F1000-AI-10 会话 / 带宽被打满。下面给你一套从易到难、可直接照着做的排查方案。
一、先定边界：故障点在哪里？
你的组网大概是：
无线终端 → AP → WX2520X-LI（AC）→ F1000-AI-10（专线）→ 外网
有线终端 → 千兆宽带 → 防火墙 → 外网
现象：
内网 ping 网关、ping 防火墙：正常
有线走千兆宽带：全天正常
无线走专线：仅早高峰 9–10 点丢包、延迟大
结论：
出口物理线路、防火墙基础转发、内网交换都没问题
问题集中在：AC→无线侧 + 专线出口的带宽 / 会话 / 策略
二、第一优先级：排查 AC（WX2520X-LI）瓶颈（最常见）
WX2520X-LI 性能不高，默认集中转发时，所有无线流量都要经过 AC 封装 / 解封装，早高峰终端一上来直接 CPU 跑满、延迟丢包。
1）看 AC CPU 负载（关键）
bash
运行
display cpu-usage
display cpu-usage history
早高峰 CPU 持续 >70% → 就是它瓶颈。
2）看转发模式（必须改成本地转发）
默认是 tunnel（集中转发），所有流量过 AC；改成 local（本地转发），流量直接 AP 出，不占 AC 性能。
bash
运行
# 查看当前模式
wlan ap all
display this

# 改成本地转发（全局模板）
wlan service-template 1
client forwarding-mode local
quit

# AP 应用模板
wlan ap all
service-template 1
quit
改完后，早高峰 CPU 立马下降，延迟丢包明显缓解。
3）看 AP 空口利用率（早高峰是否爆满）
bash
运行
# 看所有 AP 的空口利用率
display wlan ap all radio

# 看单 AP 详细（利用率、重传、错误）
display ar5drv radio calibration
Channel Utilization > 70% → 空口拥塞，需要优化信道、功率、负载均衡。
三、第二优先级：排查 F1000-AI-10 专线侧（会话 / 带宽 / 策略）
有线走千兆宽带正常、无线走专线异常，说明专线这条链路在早高峰被无线流量打满。
1）看防火墙会话数（是否到极限）
F1000-AI-10 最大并发约 90 万，新建约 1.5 万 / 秒。
bash
运行
display session table summary
早高峰接近 90 万 → 会话满，新连接被丢弃 → 丢包、延迟。
2）看专线带宽是否被占满
bash
运行
display interface GigabitEthernet x/x/x # 专线接口
早高峰 In/Out 接近 100% → 带宽拥塞，需要限流或扩容。
3）检查是否开启了耗资源功能
IPS/AV/AI 检测：专线流量大时，安全引擎耗 CPU，导致延迟。
建议：无线专线侧先关闭 IPS/AV，只开基础访问控制，观察是否恢复。
四、第三优先级：无线空口优化（早高峰干扰 / 负载）
1）强制无线终端连 5G，关闭 2.4G（干扰大户）
bash
运行
# 关闭 2.4G
wlan radio 1
radio disable
quit

# 5G 设为 80M 频宽、固定优质信道
wlan radio 2
channel 36 # 或 44、149，选干扰最小的
bandwidth 80MHz
quit
2）开启无线负载均衡（避免单 AP 终端过多）
bash
运行
wlan rrm
load-balance enable
load-balance threshold 20 # 单 AP 超过 20 个终端就分流
quit
3）检查 AP 供电与固件
用 千兆 8 芯网线，POE 供电不足会导致 AP 降速 / 丢包。
AC/AP 固件升级到 最新稳定版（修复早高峰内存泄漏、性能问题）。
五、快速验证步骤（按顺序做，1 小时内定位）
早高峰 9:00 登录 AC：
display cpu-usage → 超过 70% → 立即改本地转发。
改完本地转发后：
观察 10 分钟，延迟 / 丢包消失 → 就是 AC 集中转发瓶颈。
若仍有丢包：
登防火墙：display session table summary → 接近 90 万 → 会话满。
display interface 专线口 → 带宽满 → 限流或扩容。
空口优化：
关 2.4G、5G 固定信道、开负载均衡。
六、临时应急方案（先恢复业务）
AC 无线模板改成 本地转发（最有效）。
防火墙专线接口做 带宽限流（比如限制无线总带宽为专线的 80%）。
关闭专线侧 IPS/AV/AI 检测，降低 CPU 消耗。
七、长期根治建议
WX2520X-LI 只做管理，不做转发：所有 AP 本地转发。
无线与有线分开策略：无线专线侧单独限流、单独会话限制。
升级 AC 或增加 AC：WX2520X-LI 带机量有限，早高峰压力大。