1、无线用户的转发模式推荐是集中转发;
2、无线用户的web认证在核心上开启,1x认证在AC上开启;
3、arp-guard优化配置,需要将所有STA网段的网关ARP表项加入到arp-guard的信任列表中,原因和配置方法如下:
集中转发模式下,STA网关不在AC上的情况下,由于网关发送或响应的ARP报文的源MAC地址都是STA网关的地址,且报文都需要经过AC,所以在AC上很容易达到NFPP的限定阀值,从而导致网关发送或响应的ARP报文被丢弃,STA学习网关ARP表项慢甚至学习不到。建议将所有STA网段的网关ARP表项加入到arp-guard的信任列表中。
集中转发arp-guard优化配置命令如下:
nfpp
arp-guard trusted-host 网关IP 网关MAC
4、dhcp-gurad优化配置,需要将所有dhcp server的mac地址加入信任表项,原因和配置方法如下:
集中转发,sta的dhcp server在核心上的模型中。由于dhcp server响应的dhcp报文源mac地址都是核心设备的mac地址,且报文都需要经过AC,所以在AC上很容易就会达到nfpp限制的阀值。而导致sta获取IP地址慢。为避免出现这种情况,需要将所有dhcp server的mac地址加入信任表项。
集中转发dhp-guard优化配置命令如下:
nfpp
dhcp-guard trusted-host dhcp服务器mac地址
5、AC全局上不要关闭arp代理功能(no proxy_arp enable),保持默认配置即可。
原传统极简要求关闭AC的ARP代理功能,这一限制已经在无线新版本中得到解决,并且机制存在差异,反而要求保持默认的arp代理开启状态。
1)AC版本AC_RGOS11.1(5)B9P5之前版本(2017年8月发布)+极简方案,要求AC版本升级到最新,同时开启arp代理(默认开启,如果原先关闭需要重新CLI开启)
2)
AC版本
AC_RGOS11.1(5)B9P5之后版本(含)+极简方案,要求不要关闭ARP代理,保持默认配置即可。
6、部署隔离配置: