9、华为华三中小型企业网络架构搭建【无线架构之存在的问题（包括Guest限制、调优、限速、信道切换掉线）】

实战系列说明

实战系列，每个星期一发送一到两篇，预计18篇左右，整理跟排版都需要时间，博主也只是业余时间写写技术文档，请大家见谅，大家觉得不错的话，可以推荐给朋友哦，博主会努力推出更好的系列文档的，点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方，欢迎大家留言指出，博主看到后会第一时间修改，谢谢大家的支持，更多技术文章尽在网络之路博客，http://ccieh3c.com。

拓扑

拓扑可以保存到本地，然后扩大查看，这样才能看的更清楚。（拖动到新窗口打开即可）

目前环境存在的问题 8.5.1 无线之间都可以访问。

可以看到内部用户与Guest之间是可以访问的，这样存在一定的安全性，因为访客是从外面过来的，经过了各种各样的网络，假设客户的PC干扰了病毒，那么则可以通过无线传递给内部网络。

8.5.2 Guest用户可以访问内部任何资源

可以看到 192.168.20.0/24网段是boss的网段，但是Guest却可以自由访问，这是不允许的。

8.5.3 网速任意

默认情况下，是不会对客户端网速进行限速的，虽然有一个阀值，但是可以说没任何限制一样。我们希望的是对Guest访问限速严格些，而内部用户限速则根据需求来决定。

8.5.4 信道调优

可以看到信道调优是auto的，也就是当有多个AP在附件的情况下，AC会根据AP上报的信息，来自动划分AP之间的隧道，如果是2.4G的话，则会自动规划为A为1，B为6，C为11，这样互不干扰，而5G的话，则可以自动分配为149、153、157、161、165信道，当然自动调优是需要一定时间的，如果自己确定位置的话，则可以手动调优信道，规划如下。

8.5.5 AP与AC失联后，仍可以为PC提供无线连接

说明：默认情况下，如果AC与AP的CAPWAP隧道端了后，AP则会认为与AC失去通信，则会把所有的无线业务关闭提供，开启该功能后，可以保证在AP与AC失联后，仍可以提供无线连接，这种在总部与分支之间的无线架构非常有用。

8.5.6 无线漫游【二层与三层漫游】

说明：在很多情况下，因为无线覆盖的问题，需要部署多个AP，而且SSID需要设置一样，客户需求就是在移动的过程中，客户不会出现任何断开连接，对客户来说是透明的，漫游也可以分为二层漫游与三层漫游。

8.5.7 低速率与低信号限制用户接入

说明：在客户端与无线设备离得比较远的情况下，速度与信号都是非常低的，我们希望给用户体验一个好的环境，可以部署这么一个功能，让低速率或者信号的用户不能接入到这个AP，让其关联其他信号好的AP上面。

8.5.8 负载均衡

说明：负载均衡在实际环境中是非常有用的，比如企业网中有多个AP挂在大厅提供给客户上网，但是所有客户一上来都是连接的A，而不是B或者C，那么这样的情况会导致A负载过多，而B跟C却很空闲，负载均衡的效果就是通过定义一个阀值，当AC检测到该AP的承载已经超过这个阀值了，那么就会让客户端自动关联到其他AP上面，这样达到负载均衡的效果。

优化解决办法 8.61 解决无线之间都可以访问。

分析：如果想让2个无线的SSID之间的网络不能互访，那么解决办法有2个，一个是在对应的服务集下做端口隔离，另外一个就是ACL，但是ACL需要明确指定，而客户是动态地址不变的，所以建议的是端口隔离。
具体配置
[AC6605]wlan
[AC6605-wlan-view]service-set id 0
[AC6605-wlan-service-set-intrenet]user-isolate
[AC6605-wlan-service-set-open]q
[AC6605-wlan-view]service-set id 1
[AC6605-wlan-service-set-intrenet]user-isolate
[AC6605-wlan-view]commit ap 1
说明：该效果是启用了端口隔离的服务集之间不能互访。注意最后需要下放配置

验证结果

8.6.2 解决Guest用户可以访问内部任何资源问题

分析：我们之前希望的是，Guest用户只能访问企业内部特点的网站地址，跟Internet，其余的是不允许访问的。这里的解决办法可以使用ACL来决定。

具体配置
[AC6605]acl number 3000
[AC6605-acl-adv-3000] rule 5 permit ip source 192.168.19.0 0.0.0.255 destination 192.168.88.251 0
[AC6605-acl-adv-3000]rule 10 deny ip source 192.168.19.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
[AC6605-acl-adv-3000]rule 15 permit ip source 192.168.19.0 0.0.0.255
说明：ACL定义的重要是，首先允许访问特定的服务器地址，然后拒绝访问内网所有的网段，然后在允许它访问Internet。当然可以具体指定服务器的端口号，只允许访问什么服务。

[AC6605]wlan
[AC6605-wlan-view]service-set id 0
[AC6605-wlan-service-set-open]traffic-filter inbound acl 3000
[AC6605-wlan-view]commit ap 1
说明：然后在服务集下调用，最后下发即可。

验证结果

可以看到访问内部网络的20.1是无法通信的，而访问特点的服务器是OK的，当然访问Internet也是OK的，但是目前还没配置到防火墙那块，没打通Internet服务。

可以看到，当AC下放配置给AP后，AP上面自动会有ACL的存在，并且调用在了WLAn-BSS上面。

8.6.3 解决网速任意问题【对客户限速】

分析：之前可以看到对于用户的网速是没有任何限制的，这样的话很有可能造成某几个用户在大量下载的情况下，导致其他用户延迟非常大，把整个网络资源都占用了，所以我们希望的是，给客户端进行限速，可以基于用户或者VAP。

具体配置
[AC6605-wlan-view]traffic-profile name guest
[AC6605-wlan-traffic-prof-guest]rate-limit client up 200
[AC6605-wlan-traffic-prof-guest]rate-limit client down 400
[AC6605-wlan-traffic-prof-guest]rate-limit vap up 1024
[AC6605-wlan-traffic-prof-guest]rate-limit vap down 2048

[AC6605-wlan-view]traffic-profile name intrenet
[AC6605-wlan-traffic-prof-intrenet]rate-limit client up 400
[AC6605-wlan-traffic-prof-intrenet]rate-limit client down 800
说明：定义了2个流量的模板，一个是Guest，具体的作用就是，每个Client的上行为200，下行为400KB，而总共的VAP不能超过上行1024，下行2048，防止Guest大量下载，造成内部访问公网缓慢。还定义了一个intrenent的，作用差不多。

[AC6605-wlan-view]service-set name open
[AC6605-wlan-service-set-open]traffic-profile name guest

[AC6605-wlan-view]service-set name intrenet
[AC6605-wlan-service-set-intrenet]traffic-profile name intrenet
[AC6605-wlan-view]commit AP 1
说明：在对于那个的服务集下调用即可，最终下发。

结果测试
说明：由于无线这块是模拟环境部署的，所以没办法进行测试，实际环境部署的话，就是这样的思路。

8.6.4 解决信道调优【自动与手动】

分析：在企业网部署无线的时候，有时候因为覆盖问题，会部署多个AP存在，但是AP之间很有可能由于AP的信道存在重叠，导致干扰，这样的情况下，无线的体验感是非常不好的，所以我们可以通过自动调优或者认为的调整。

具体配置
[AC6605]wlan
[AC6605-wlan-view]radio-profile name 2.4G
[AC6605-wlan-radio-prof-2.4G]calibrate enable
[AC6605-wlan-radio-prof-2.4G]calibrate-interval 60
[AC6605-wlan-view]commit ap 1
说明：该意思就是说在射频模板下面2.4g的，开启自动调优功能，间隔为60分钟一次。

另外一种就是认为的调试，比如你相邻的有3个AP，A B C，那么可以认为的定义行道为 1，6，11
[AC6605-wlan-view]radio-profile name 2.4G
[AC6605-wlan-radio-prof-2.4G]channel-mode fixed
说明：该意思就是说把信道设为固定的信道，通过人为定义，而不是AC自己根据周围情况变化。
[AC6605-wlan-view]ap 1 radio 0
[AC6605-wlan-radio-1/0]channel 20mhz 1
说明：该意思就是把AP 1的2.4g频率定义为信道1，然后可以定义其他AP为6 ，11，这样就互不干扰了。5g的修方法是一样的，只是进入radio 1下。

结果验证
说明：该效果需要实际环境才能测试出来，所以这里只能给出配置了，但是效果肯定有的，因为在工作中部署过。选择自动还是手动，可以根据需求决定，如果比较固定的网络，使用手动比较好，如果是广场之类的干扰比较大，则需要AC周期性的根据周围情况来不断变化。

自动的话可以智能化的实现这种效果，没调整前，AP 2与AP4的信道是重叠的，干扰非常大，调整后，可以看到信道都互不干扰，干扰的情况降低了。

解决信道切换自动掉线问题

在应用了自动调优的情况下，信道会根据环境的变化而变化，也就是说一个VAP可能处于不同的信道，但是默认情况下，客户端关联的是信道1，但是在这个时候，AC下放调优把信道调节成了6，那么客户就会断开连接，需要重新连接，这样是非常麻烦的，也非常不方便，所以需要解决该问题。

[AC6605]wlan
[AC6605-wlan-view]radio-profile name 2.4G
[AC6605-wlan-radio-prof-2.4G]channel-switch announcement enable
[AC6605-wlan-radio-prof-2.4G]channel-switch mode continue-transmitting
[AC6605-wlan-view]commit aP 1
说明：这样的话开启该功能后，在信道切换的过程中，保证无线客户端是连接的，而且是流量不中断。

8.6.5 解决AP与AC失联后，仍可以为PC提供无线连接【特别是总部与分支架构的情况下】

分析：在AC-AP架构中，如果AP检测到AC出现故障后，会断开CAPWAP链路，停止所有的无线服务功能，这样会导致所有的无线业务出现问题，而启用了该功能后，尽管AC出现了故障或者链路不通了，但是AP还是可以继续服务，并且可以新关联客户端进来，提供服务，当然这种方法只时候直接转发模式。

具体配置
[AC6605-wlan-view]ap id 1
[AC6605-wlan-ap-1]keep-service enable allow new-access
说明：表示开启继续提供服务功能，红色部分特别需要注意，如果直接Enable回车的话，只能保证aP可以继续为已经关联的无线客户端提供服务，而新的想接入到无线中来就不行了。

结果验证

人为的把AC的接口关闭了，这样可以看成AP与AC之间的通信是不能继续了。

可以看到之前的无线依旧存在，我这用一台新的连接进去，看是否可以连接。

可以看到访客2也可以连接了。

访问服务器没有任何问题。

说明

实战系列，每个星期一发送一到两篇，预计18篇左右，整理跟排版都需要时间，博主也只是业余时间写写技术文档，请大家见谅，大家觉得不错的话，可以推荐给朋友哦，博主会努力推出更好的系列文档的，谢谢大家支持！！

博客全系列文档帖子汇总

文档帖子汇总，点击查看

下载整理好的PDF

百度盘地址
如果下载地址失效，请联系博主或者在下面留言，谢谢。

关于博客资源下载说明

首先，感谢大家对网络之路博客的支持，本站所有资源都是开放下载，不做任何限制，资源都是上传在百度盘，分为两种类型：
（1）第一种是书籍PDF与视频类，全部放在博客分享，觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
（2）第二种是技术性文章与视频，全部放在公众号（网络之路博客）/B站（网络之路Blog）发布，以博主原创为主，主要分享系列为主，由浅入深的带大家了解工作中常用到的一些网络技术，当然也会分享一些比较经典的案例。
（3）分享资源有涉及到您的利益以及版权问题，请联系博主，24小时候内删除。
想第一时间收到最新更新内容吗，点击获取~~~