北京财贸职业学院网络优化解决方案文档格式.docx
《北京财贸职业学院网络优化解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《北京财贸职业学院网络优化解决方案文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
WLAN技术中,对无线信号造成干扰的因素有哪些,下面简单做一下介绍:
1无线信号衰减大
无线信号在无线传输过程中会因传输介质等因素引起的能量损失。
空间中的超高频和微波波段信号的传播,也会对信号带来多种传输损伤、衰减和多径衰落。
无线传播损伤有衰减、失真、自由空间损耗、噪声、大气吸收和折射等。
多径衰落是由于无线信号从发射机到接收机的传输过程中,由于障碍物的影响,信号经过折射、反射等途径,在时间和相位上发生变化,相比直接传输信号产生衰落。
信号衰减是无线信号穿过障碍物信号强度变弱。
障碍物不仅影响AP到无线客户端的无线信号,同时也会影响无线客户端到AP的无线信号。
下表为障碍物的衰减经验数据表:
物体
dBM
地板
30
承重墙
20-40
砖墙
10
金属门
20
办公室窗户(10mm)
5
2存在比较大的同频干扰
无线干扰是WLAN接入点设备AP或无线客户端受到其它相邻WLANAP与无线客户端及在同一无许可限制的频带中运行的非802.11设备的干扰。
产生干扰的非802.11设备如下:
●无绳电话(2.4或5GHz)
●蓝牙个人区域联网设备(2.4GHz)
●蓝牙无线耳机是特殊的情况
●脉冲雷达
●微波炉(在2.4GHz频带中50%的忙闲度将产生脉冲干扰)
●采用包括GSM蜂窝、蓝牙与WLAN在内的多种无线技术的集成设备、手持终端与PDA中假讯号RF噪声
●满足新兴"
全频段"
要求的宽频带5GHz设备
根据在学校办公楼内搜索到的无线信号,除用户正常使用的无线信号外,其它无线信号也均使用2.4G频段,该频段信号具体划分如上图:
该频段不重叠信道为3个,而在大楼内接收到无线信号较多,非正常无线信号的同信道
干扰更为严重。
根据以上分析原因在现场不同环境下测试:
测试地点:
北京财贸办公大楼区1-4层
测试软件:
WirelessMon、wifi分析仪、Inssider
干扰状态时网络使用状况
扫描现场AP在1-14信道的情况如下图:
PC下载时出现速度慢时对信道监控情况如下:
高峰期可达到100KB/s,平均速度10KB/s左右:
4、无线优化方案:
1、AP信道优化
2.4GHz是802.11b和802.11g的工作频段,其可用带宽为83.5MHz,划分为13个信道,每个信道带宽为22MHz,只有其中的3个信道完全没有耦合干扰,如信道1、6、11。
5.8GHz是802.11a的工作频段,其可用带宽为125MHz,划分为5个信道(149、153、157、161、165),每个信道带宽为20MHz,5个信道完全没有耦合干扰。
而目前大部份笔记本电脑自带无线网卡都支持802.11a和802.11b/g,所以一般在高密度覆盖中加入5.8GAP,以解决系统容量问题。
无需授权使用的无线频率(ISM):
办公楼区域内AP信号强度基本可以满足用户接入需求,但部分楼层存在接入盲点。
另外,用户接入一段时间后不规律会出现使用速度下降的现象,根据此现象建议调整相邻AP的工作信道为非重叠信道,以减少同频干扰对WLAN网络产生的影响。
蜂窝式无线覆盖规划:
(图14)
建议办公楼区增加接入AP数量,并手工调整AP信道达到最优效果。
AP信道划分首先从每层楼AP信号进行隔离,在此基础上把附近办公楼之间信道划分也考虑进去。
信道规划总图:
这样可最大化避免同楼和隔楼间信号相互干扰情况的发生,从而减少因同频干扰对网络造成的影响。
2、AP发射功率优化建议
默认500mWAP发生功率是27dBm,楼层间信号隔离度不高,信号穿透楼板能力较强,因此需对各楼层进行差异化AP发射功率调整,调整功率要遵循两个原则:
1、首先要保证本楼层覆盖效果,若调整功率后本楼层覆盖效果变差则不允许调整;
2、相邻信道信号强度差值需调整优化,或把影响到目标覆盖区域的信号强度调整至-80dBm以下。
3、AP天线优化方案
天线安装在走廊部署方式无法彻底规避相互信号影响问题,想要彻底解决信号经过发射、折射后而相互产生的影响必须要对天线部署方式做出如下调整:
部署方式一:
天线部署在办公室房间内:
优点分析:
天线部署在办公室内可利用墙壁、门窗来有效控制AP覆盖范围,减少射频信号折射对网络产生的影响;
办公室内的AP站点相互是可见的,这可避免隐藏节点对网络造成影响;
这种部署方式使覆盖变得均匀并可有效控制覆盖范围,避免部分覆盖区域信号弱用户不断发送低速率报文,减少整个网络性能下降情况的发生;
缺点分析:
天线部署在办公室内对施工来说难度较大,需与建设方、物业方、校方等多个部门共同协商施工问题;
部署方式二:
为了保证用户的安全稳定性,信号的强度和速度,以及客户的需求,项目计划在走廊和拐角,重点覆盖区域等区域添加15台FIT-AP,两台接入交换机以及配套的光纤、网线、天线等配料。
天线部署在走廊和设备的添加,需与建设方、物业方、校方等多个部门共同协商施工问题,但是成本较高。
4、外部环境干扰清除
在测试过程中发现办公楼中存在员工自己布放的无线路由器,会对大楼无线网络造成一定的同频干扰,建议关闭或错开信道使用。
在测试过程中发现办公楼内同时存在另一套“ChinaUnicom”无线系统,在局部地区信号很强,信道分别是2.4G信道3与信道9。
会对本系统在2.4G上产生同频干扰,同时由于SSID相同用户很可能发生在两套无线网间切换,造成切换延时过大。
目前办公楼新加15台AP在容量上已能满足学校用户需求,建议拆除运营商旧AP。
5、无线AC双机热备
6、为无线业务构建独立的VLAN
应用说明:
WLAN无线网络理论上就是实现一个二层的接入网络,而这个二层网络通常直接连接到现有的有线网络中。
而在无线网络中,广播/组播报文会使用最低速率发送广播报文,所以当广播报文比较多时,会相对较多地消耗信道空口资源,从而影响到整个无线网络性能和应用。
特别是一个广播报文通常会向VLAN内的所有的AP发送,同时消耗所有AP的资源。
所以在构建WLAN网络的时候,在条件允许的条件下,一定为无线业务创建独立的VLAN,而不要和有线网络使用相同的VLAN,这样即可以避免大量的广播/组播报文对无线网络的影响,又可以避免不必要的攻击。
实施说明:
在规划WLAN网络时,建议分配一些有线网络未使用的VLAN给WLAN接入使用。
可以通过service-template对应的接口配置对应的VLAN、也可以在为AP绑定service-template时指定VLAN、甚至可以在无线客户端接入的时候授权VLAN,具体配置请直接参考“WLAN服务配置手册”。
为了清晰网络规划,WLAN网络仅作为一个新增的接入网络,所有的流量和接入都可以通过现有的有线网络设备进行监管和控制。
可以充分考虑无线控制器主要完成WLAN网络的构建、无线客户端接入管理等功能,而将业务VLAN的网关统一放在无线控制器的外部已经存在有线设备,相当于在一个现有的设备上增加了一个独立的二层网络。
注意事项:
WLAN设备主要关注无线接入服务,对于大型的综合网络一般建议业务VLAN的网关设置在无线控制器以外的设备。
7、无线用户VLAN内二层隔离
同一VLAN内,来自无线客户端的广播、组播报文会向所有放通该VLAN的AP上广播,而且在空间介质中广播报文通常使用最低速率进行发送。
当广播报文比较多时,会占用较多的空口资源,在一定程度上影响到整个网络应用。
无线用户VLAN内二层隔离可以在AC上控制无线用户只能访问网关设备,而不能互相之间访问。
这样可以大量减少整个WLAN网络的广播流量,提高WLAN网络的整体性能。
配置说明:
【命令一】
user-isolationvlanvlan-listenable
【参数】
vlan-list:
vlan-list为VLAN列表,其表示方式为vlan-list={vlan-id[tovlan-id]}&
<
1-10>
。
其中,vlan-id为指定VLAN的编号,取值范围为1~4094。
&
表示前面的参数最多可以输入10次。
【命令二】
user-isolationvlanvlan-listpermit-macmac-list
在指定VLAN内配置用户隔离功能。
vlan-list为VLAN列表,表示多个VLAN。
其表示方式为vlan-list={vlan-id[tovlan-id]}&
,其中,vlan-id为指定VLAN的编号,取值范围为1~4094。
mac-list:
允许的MAC地址列表,格式为H-H-H,在一个VLAN内最多可以配置16个允许的MAC地址,该MAC地址不允许为广播或组播地址。
【举例】
#在VLAN1上开启用户隔离功能,允许访问MAC地址为00bb-ccdd-eeff和0022-3344-5566的设备(允许的MAC地址通常为网关MAC地址)。
sysname>
system-view
[sysname]user-isolationvlan1enable
[sysname]user-isolationvlan1permit-mac00bb-ccdd-eeff0022-3344-5566
8、关闭低速率应用
无线WLAN网络中不是使用固定的速率发送所有的报文,而是使用一个速率集进行报文发送(例如11g支持1、2、5.5、11、6、9、12、18、24、36、48、54Mbps),实际无线终端或者AP在发送报文的时候会动态的在这些速率中选择一个速率进行发送。
通常提到的11g可以达到速率主要指所有报文都采用54M速率进行发送的情况,而且是指的一个空口信道的能力。
而实际上大量的广播报文和无线的管理报文都使用最低速率1Mbps进行发送,所以会消耗一定得空口资源。
在无线网络中信号传输的距离不是问题的情况下,可以将1、2、6和9Mbps速率禁用,这样整体上减少广播报文和管理报文对空口资源的占用。
对于信号强度比较弱的终端,或者距离比较远的终端,关闭低速率应用后可能会出现丢包现象。
但是正常的室内覆盖,信号强度可以保证,所以要求在室内覆盖情况下此功能为必选项。
【命令】
dot11gdisabled-raterate-value
disabled-rate:
禁用速率。
rate-value:
可设置的射频速率如下:
1、2、5.5、6、9、11、12、18、24、36、48、54Mbps。
#配置802.11g模式的射频速率(禁用速率:
1、2、6、9Mbps)。
[sysname]wlanrrm
[sysname-wlan-rrm]dot11gdisabled-rate1269
9、统一规划SSID
统一规划SSID避免覆盖区域内存在多个不同的SSID,无线控制机器可以支持相同SSID划分不同VLAN功能;
覆盖区域SSID相同、WLAN信号强度相差无几,部分网卡无法正确与覆盖区域相匹配的SSID连接,经常会发生连接到其他楼层AP情况,是应用效果变得差。
在办公区域这个特殊场景下建议每层楼SSID进行相应标识,让用户人工判断所在区域应连接SSID,这样可避免上述情况的发生。
如:
北京财贸办公楼2楼第一个AP
SSID可规划为:
bjcmbgl-2F-1
10、调整Beacon帧发送间隔
默认情况下,射频卡radio上的每个SSID每100TU就会发送一个Beacon信标报文,这个报文通告WLAN网络服务,同时和无线网卡进行信息同步。
Beacon报文通常使用最小速率进行发送,而且优先级比较高,所以考虑将Beacon发送的时间间隔从100TU调整到160-200TU之间,这样可以有效降低空口的消耗,使整个WLAN网络应用得到一定的提升。
通常情况下,一个radio下配置SSID的数量建议不超过5个。
beacon-intervalinterval
interval:
发送信标帧的时间间隔。
取值范围为32~8191,单位TU(TimeUnit,1TU=1024微秒)。
#设置发送信标帧的时间间隔为200TU。
[sysname]wlanradio-policyradio1
[sysname-wlan-rp-radio1]beacon-interval200
然后将radio-policy在各个AP的Radio接口上应用。
11、关闭广播Probe探测功能
WLAN有两种探测机制:
一种为无线终端被动的侦听Beacon帧之后,根据获取的无线网络情况,选择AP建立连接;
另外一种为无线终端主动发送Proberequest探测周围的无线网络,然后根据获取的ProbeResponse报文获取周围的无线网络,之后选择AP建立连接。
本功能主要针对Probe探测方式。
根据ProbeRequest帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:
1、广播方式的Probe探测,客户端发送ProbeRequest帧(ProbeRequest中SSID为空,也就是SSIDIE的长度为0);
2、单播方式的Probe探测,客户端发送的ProbeRequest帧(携带指定的SSID)。
而大部分的无线终端都不会指定要链接的“无线接入服务”,这样就造成了无线终端会大量发送广播ProbeRequest探测,造成所有的接收到该报文的AP设备都会回应ProbeResponse报文。
因此,在无线用户比较多的网络中,可能会出现一定量的ProbeResponse报文,而且这些报文都是使用低速率进行发送,会消耗一定的空间资源。
如果网络条件允许可以考虑关闭广播Probe探测功能,AP针对SSID为空的探测请求不进行回复,有效降低空口的消耗,使整个WLAN网络应用得到一定的提升。
undobroadcast-probereply
[sysname]wlanapap3modelWA2100
[sysname-wlan-ap-ap3]undobroadcast-probereply
12、禁止弱信号终端接入
在WLAN网络中,信号强度较弱的无线客户端,虽然也可以接入到网络中,但是所能够获取的网络性能和服务质量要比信号强度较强的无线客户端差很多。
如果弱信号的无线客户端在接入到WLAN网络的同时还在大量地下载数据,就会占用较多的信道资源,最终必然对其他的无线客户端造成很大的影响。
禁止弱信号客户端接入功能,通过配置允许接入的无线客户端的最小信号强度门限值,可以直接拒绝信号强度低于指定门限的无线客户端接入到WLAN网络中,减少弱信号客户端对其他无线客户端的影响,从而提升整个WLAN网络的应用效果。
wlanoptionclient-rejectrssi
rssi:
允许接入的无线客户端的最小信号强度门限值,取值范围为1~30,建议取值为10,单位dBm。
#配置禁止RSSI信号强度低于15的无线客户端接入网络。
[sysname]wlanoptionclient-reject15
备注:
1、如果终端接入后信号强度发生变化低于门限,AP也不会主动踢掉终端,但是如果断开后重新关联则无法成功。
13、频谱导航
在实际无线网络环境中,某些客户端只能工作在2.4GHz频段上,也有一部分客户端可以同时支持2.4GHz和5GHz频段,如果支持双频的客户端都工作在2.4GHz频段上,会导致2.4GHz频段过载,5GHz射频相对空余。
在这种情况下,可以在设备上开启频谱导航功能。
频谱导航功能可以将支持双频工作的客户端优先接入5GHz射频,使得两个频段上的客户端数量相对均衡,从而提高整网性能。
开启频谱导航功能后,AP会对发起连接请求的客户端进行导航,将其均衡地连接至该AP的不同射频上。
首先当客户端与某个AP连接时,若该客户端只支持单频2.4GHz,则频谱导航功能不生效,客户端直接关联至AP的2.4GHz射频上。
若客户端支持双频,AP则会将客户端优先引导至5GHz射频上。
若客户端只支持单频5GHz,则会直接关联至AP的5GHz射频上。
在双频客户端关联到5GHz射频前,AP会检查5GHz射频接收到的客户端的RSSI值,若该RSSI值低于设定值,则不会将此客户端导航至5GHz射频。
如果5GHz射频上已连接的客户端数量达到门限,且5GHz射频与2.4GHz射频上连接的客户端差值达到或超过差值门限,AP会拒绝客户端接入5GHz射频,且允许新客户端接入2.4GHz射频(即不会引导双频客户端优先接入5GHz射频)。
如果客户端反复向该AP的5GHz射频上发起关联请求,且AP拒绝客户端关联请求次数达到/超过设定的最大拒绝关联请求次数,那么该AP会认为此时该客户端不能连接到其它任何的AP,在这种情况下,AP上的5GHz射频也会接受该客户端的关联请求。
band-navigationenable
band-navigationrssi-thresholdrssi-threshold
rssi-threshold:
频谱导航RSSI门限值,取值范围为5~100。
【命令三】
band-navigationaging-timeaging-time
aging-time:
客户端信息的老化时间,取值范围为10~600,单位为秒。
【命令四】
band-navigationbalancesessionsession[gapgap]
session:
5GHz射频上客户端连接数门限,取值范围为2~40。
gap:
客户端连接数差值门限,即gap=5GHz射频上客户端的数量-2.4GHz射频上客户端的数量,取值范围为1~8,缺省的差值门限为4。
【命令五】
band-navigationbalanceaccess-denialaccess-denial
access-denial:
设备拒绝5GHz客户端关联请求的最大次数,取值范围为1~10。
#开启全局频谱导航功能。
[sysname-wlan-rrm]band-navigationenable
#配置频谱导航RSSI门限值为20。
[sysname-wlan-rrm]band-navigationrssi-threshold20
#配置客户端信息的老化时间为200秒。
[sysname-wlan-rrm]band-navigationaging-time200
#配置客户端连接数门限为10,差值门限为5。
[sysname-wlan-rrm]band-navigationbalancesession10gap5
#配置设备拒绝5GHz客户端关联请求的最大次数为5。
[sysname-wlan-rrm]band-navigationbalanceaccess-denial5
14、微信服务器认证
微信认证是指iMCUAM与腾讯微信服务器联动,通过微信客户端来验证用户身份合法性的一种认证方式。
公众号认证:
用户认证前必须先关注校内的微信公众号,关注成功后,在微信公众号中根据提示信息可以使用微信号、手机号或固定帐号认证上网。
portal型微信认证:
用户连接open的ssid,连接之后自动跳转到浏览器web界面,点击该页面上微信认证按钮后会提示是否打开微信,点击打开按钮后系统会调用出微信,点击立即连接按钮后会进行认证,认证通过后可以访问正常网络。
·
组网信息及描述:
portal型微信认证对组网有以下要求。
1、AP的SSID必须为开放性的,不可加密。
2、SSID的名称必须为WX开头
3、设备上必须放通有关微信服务器的portalfree-rule。
此次微信认证采用的认证设备如XXXXXX。
4、确保iMC服务器能够正常访问微信服务器
15、二维码扫描方式准入认证
微信连Wi-Fi:
用户认证前只需扫描认证二维码,或者在浏览器中打开任一页面进行重定向即可进行微信连Wi-Fi认证。
该功能不需要用户事先关注校内的微信公众号。
学校现网iMC版本为V5.20E0401,不
升级会员 