常见问题:
1、AP的管理VALN广播域如果过大,会出现广播泛洪的问题。一个VLAN下的AP的数量不要超过512个;
2、本地转发场景时,同一个VLAN下的无线用户不要超过512个,因为AP的MAC和ARP硬件表项最多是1K;
3、无线用户的arp欺骗和私设ip地址问题,在AC上配置dhcp snooping+ip source guard+arp-check解决。1X认证下开启dhcp snooping+ip verify source port-security+arp-check,WEB认证下开启:dhcp snooping+arp-check,不能在接入交换机上开启,会导致无线用户漫游后无法上网,需要用户下线之后再重新获取地址;
4、接入交换机上,如果开启端口隔离,AP间无法通信,会导致AP的分布式升级失效,可以在AP对应的网关上开启arp代理功能解决,极简的AP的网关在核心上;
5、接入交换机上,如果开启端口隔离,会导致本地转发场景下无线用户漫游失败,在AP对应的网关上开启arp代理功能可解决;
6、无线用户的1x认证只能开启在AC上,但是用户的网关在核心上,如果核心上1x用户vlan属于supper vlan的某个sub vlan,会产生大量的广播报文,导致线卡cpu高,通过在核心上将1x用户设置成普通vlan即可解决;
7、极简方案中用户的网关在核心上,因为AC和核心的报文交互频繁,导致核心的网关的MAC会被AC上的nfpp的arp-gurad和dhcp-guard加入到隔离列表中,需要将核心的网关的MAC地址加入到信任列表中;
8、WALL-AP的有线口没有隔离功能,需要在上层接入交换机的端口上开启端口隔离来实现隔离;
9、WALL-AP的管理VALN和用户VLAN不能相同,因为核心上需要放行AP的管理VLAN,如果相同,会导致用户无线认证即可上网;
10、极简改造中,无线认证的NAS要统一,如果出现部分无线用户NAS是核心,部分无线用户NAS是AC,会导致无感知认证跨区域漫游失败,需要重新认证,严重情况下出现用户信息在两个NAS上,导致计费异常;
11、极简方案中,如果使用集中转发,那么在AC上部署的认证方案只有1x认证,AC的11.x的版本,wlansec下默认是15分钟无流量下线。