某局点出现无线延迟高、卡顿丢包问题

办公网WX3520X+WA6638，本地转发，1+1备份场景。

本地转发，故障时刻终端ping网关延时高（1000+ms）和丢包。

  1、首先设备上了云简，查看云简告警日志，ac侧有“广播组播占比高告警”，告警级别“致命”，且ap侧有“AP radio发送广播/组播报文数告警”，告警级别“严重”且ap测有线口接口错包持续增长。

2、在云简上观察到一个终端，在故障时刻，发送了3519519广播报文（云简统计间隔为5分钟，约10000+pps），

3、怀疑此次故障为异常流量冲击导致，需要把部分ap流量统计清零。配合交换机流量统计峰值时间记录观察。通过交换机侧接口统计，查看在故障时刻接口接收方向的报文统计2000+pps。

最终该问题定位为网络中异常终端发送大量广播流量导致，针对此问题我们后续可以通过以下配置进行优化：

1、配置终端arp扫描抑制功能：rrop ul-arp attack-suppression enable。（开启本功能后，在1秒内，当AP收到某一无线客户端的ARP请求/应答报文个数超过门限值时，则认为受到了该无线客户端的ARP报文攻击，AP会在配置的阻断时间间隔内丢弃该无线客户端的所有ARP请求/应答报文。当环境中无线客户端发送的ARP报文过多时，建议开启本功能。需要注意的是，本功能不限制无线客户端请求网关的ARP报文。）

2、配置AP有线口的广播流量控制在100pps以下，broadcast-suppression pps 100。（本命令设置的是接口允许通过的最大广播报文流量。当接口上的广播流量超过用户设置的值后，系统将丢弃超出广播流量限制的报文，从而使接口广播流量所占的比例控制在限定的范围内，以便保证业务的正常运行。 执行broadcast-suppression命令能开启端口的广播风暴抑制功能，broadcast-suppression通过芯片物理上对广播报文进行抑制，对设备性能影响较小。）

3、AP相连poe交换机配置接口广播抑制，broadcast-suppression pps 200  

4、配置rrop arp ap-proxy-gateway（开启本功能后，AP会对收到的无线客户端发送给网关的ARP请求报文进行响应代答。为了避免代答期间，网关的MAC地址发生变化，当一个周期内AP代答报文个数超过配置的个数时，AP会转发一个ARP请求报文给网关，由网关直接处理：

·              若网关答复，则使用新的网关MAC地址，并且进入下一个响应代答周期。

·              若网关未答复，则继续使用上一个周期的网关MAC，并且进入下一个响应代答周期。

当网关任务繁重或者网络状况不佳时，建议开启本功能，从而降低网关业务压力。）