A: Các phiên bản mã dưới 17.3.2 sử dụng chính sách licensing truyền thống. Các bản phát hành bắt đầu từ 17.3.2 sử dụng Chính sách licensing sử dụng (SLUP). Về cơ bản, chúng hoạt động theo cùng một cách, chỉ khác biệt rất nhỏ và có các lệnh khác nhau. Chỉ cần làm theo hướng dẫn licensing cho bản phát hành bạn đang chạy. Bài viết này chỉ đề cập đến SLUP.
H: 9800 WLC có cần license không ?
A: Không. Bản thân WLC không yêu cầu license. Chỉ các Access Points được kết nối vào WLC mới cần license.
Tuy nhiên, đối với các mẫu 9800-L, có optional performance license giúp tăng số lượng AP được phép tham gia, tăng maximum throughput và số lượng clients tối đa được phép trên WLC.
H: Có sự khác biệt nào giữa việc licensing cho 9800-L, 9800–40, 9800–80, 9800-CL, CW9800M, CW9800H1, CW9800H2 và Embedded Wireless Controller trên AP 91xx không?
A: Không. Chức năng license có cùng chức năng trên tất cả các mẫu WLC.
Sự khác biệt duy nhất là các mẫu 9800-L cung cấp license performance giúp tăng số lượng AP, số lượng client và throughput tối đa.
Embedded Wireless Controller chạy trên AP 91xx không cần license trừ khi được tích hợp với Catalyst Center (trước đây gọi là DNA Center)
H: Có license thực thi nào đối với Catalyst 9800 WLC không?
A: Trong các phiên bản dưới 17.7.1, không có quy định bắt buộc về license, nghĩa là bạn có thể tham gia bao nhiêu AP tùy thích và WLC vẫn sẽ tiếp tục hoạt động bình thường.
Trong các phiên bản mới hơn, bắt đầu từ 17.7.1, WLC 9800 sẽ thực hiện việc thực thi license. Nếu bạn kết nối hơn 50 AP vào một WLC duy nhất mà không license đúng cách sau khi hết thời gian đánh giá (evaluation period), WLC sẽ tạo thông báo syslog và không cho phép thêm AP nào tham gia. Nếu khởi động lại, WLC sẽ chỉ cho phép tối đa 50 AP tham gia.
Về mặt pháp lý, bạn cần license cho WLC của mình và Cisco có quyền thực hiện audit.
H: Thời gian đánh giá license (license evaluation) cho Catalyst 9800 WLC là bao lâu?
A: Thời gian đánh giá là 90 ngày. Sau khi thời hạn này kết thúc, WLC sẽ bắt đầu áp dụng các hạn chế license đối với các phiên bản 17.7.1 trở lên.
Đối với các phiên bản trước 17.7.1, WLC sẽ tạo thông báo syslog nhắc nhở bạn add license cho WLC của mình.
H: Có những cấp độ license nào trên 9800 WLC?
A: WLC có thể được cấu hình với hai cấp độ license mang lại những tính năng khác nhau:
Essential
Advanced
License level có thể được cấu hình trong phần mềm và không bị ràng buộc với phần cứng. Bất kỳ 9800 nào cũng có thể được cấu hình với bất kỳ license level nào.
H: Tôi cần mua loại license nào cho mỗi AP được kết nối vào WLC của tôi ?
A: Mỗi AP được kết nối với 9800 WLC sẽ tiêu tốn một license AIR Network và một license AIR DNA. Tùy thuộc vào license level được thiết lập, cả hai license này có thể là cấp độ Essential hoặc Advantage.
Ví dụ về WLC với license cấp độ Advantage được cấu hình
H: Những tính năng nào được bao gồm trong license Essential và Advantage ?
H: License Network và DNA hết hạn khi nào?
License Network Essential/Advantage là vĩnh viễn, nghĩa là không bao giờ hết hạn.
License DNA Essential và DNA Advantage có thể được mua với thời hạn 3, 5 và 7 năm.
H: Tôi có thể chỉ mua license Perpetual Network mà không mua license DNA không?
A: Khi mua license lần đầu, bạn cần mua cả license Network và license DNA (Essential or Advantage leve, tùy bạn chọn) cho mỗi AP. Sau khi license DNA hết hạn, bạn không cần phải gia hạn. Vì license Network là vĩnh viễn.
H: Làm thế nào để thay đổi license level ?
A: Có thể thay đổi level license trong menu License ở giao diện web WLC bằng cách sử dụng nút “Change Wireless License Level” hoặc sử dụng lệnh “ license air level air-network-essentials ” hoặc “ license air level air-network-advantage ”.
Để thay đổi level license, bạn cần phải khởi động lại WLC.
H: Trên WLC 9800, một phần AP có thể chạy level Essential và một phần AP có thể chạy level Advanced không ?
A: Không. Tất cả các AP được kết nối vào cùng một WLC phải chạy cùng một level license. Không thể tách chúng ra.
H: Tôi có thể sử dụng lại license từ WLC AireOS cũ (2504/3504/5520/8540) của mình không?
A: Không. Bạn sẽ phải mua license mới cho 9800 WLC của mình.
H: License có thể được sử dụng lại hoặc di chuyển giữa hai WLC 9800 không?
A: License có thể được sử dụng lại hoặc di chuyển giữa bất kỳ hai WLC 9800 nào, bất kể mô hình của chúng.
H: Tôi có thể tải xuống file .lic license ở đâu?
A: Không giống như các WLC AireOS cũ (5520, 8540), WLC 9800 không có/không hỗ trợ file license. Nó hoạt động hoàn toàn thông qua smart license, nghĩa là tất cả license đều được lưu trữ online.
H: License của tôi được lưu trữ ở đâu và CSSM là gì?
Tất cả các license đã mua đều được lưu trữ trên trang web Cisco Smart Software Manager (CSSM). Nếu license bạn đã mua không hiển thị, bạn phải liên hệ với quản lý tài khoản hoặc nhóm TAC license của Cisco và cung cấp cho họ phiếu order.
H: Phải mất bao lâu để cập nhật license trên trang web CSSM?
A: Có thể mất đến 8 giờ để cập nhật số lượng license. WLC cập nhật mức sử dụng license lên đám mây sau mỗi 8 giờ, và ngay cả khi cố gắng ép cập nhật cũng không có tác dụng.
H: license diễn ra như thế nào khi bộ điều khiển ở chế độ HA SSO High Availability?
A: HA SSO là chế độ dự phòng trong đó 2 bộ điều khiển nằm trong một cluster hoạt động như một bộ điều khiển duy nhất.
Trong trường hợp này, chỉ cần cấu hình cluster HA và thiết lập license giống như cách bạn làm trên một WLC đơn lẻ. Mọi thông tin sẽ được tự động đồng bộ hóa giữa chúng. Không cần phải mua license cho mỗi AP hai lần.
Trong trường hợp performance license trên 9800-L WLC, bạn sẽ cần phải mua riêng cho từng WLC.
H: Performance license làm việc như thế nào khi bộ điều khiển ở trạng thái HA N+1 High Availability?
A: Tính khả dụng cao HA N+1 đề cập đến việc triển khai trong đó một WLC là chính và tất cả các điểm truy cập đều được kết nối với nó, trong khi các WLC khác đang ở trạng thái chờ, chờ WLC chính ngừng hoạt động và các AP chuyển sang WLC đó khi cần thiết.
Trong trường hợp này, chỉ cần đảm bảo cả hai WLC đều có license. Không cần phải mua license cho mỗi AP hai lần.
Vì các WLC dự phòng sẽ không có bất kỳ AP nào, nên việc license hiển thị là “không sử dụng” là điều bình thường. Khi các AP chuyển đổi dự phòng, license cuối cùng sẽ bị sử dụng hết.
Trong trường hợp license performance trên 9800-L WLC, bạn sẽ cần phải mua riêng cho từng WLC.
H: License performance cho 9800-L WLC hoạt động như thế nào ?
A: Theo mặc định, bộ điều khiển 9800-LC và 9800-LF cho phép tối đa 250 AP, throughput hai chiều 5Gbps và 5000 client. Khi cài đặt license performance, con số tối đa có thể tăng lên 500 AP, throughput 10Gbps và 10000 client.
Nếu bạn đang chạy 9800-L ở chế độ high availability,, bạn sẽ cần phải mua riêng license performance cho từng WLC
H: Làm thế nào để tôi có thể get license cho 9800 WLC ?
A: Có nhiều cách để get license cho WLC:
Offline licensing Air Gapped (cách dễ nhất)
Licensing sử dụng Catalyst Center (trước đây gọi là DNA Center)
Direct connect licensing
Licensing using Smart Software Manager On-Prem
License sử dụng ứng dụng Cisco Smart Licensing Utility trên Windows/Linux
H: License offline Air Gapped hoạt động như thế nào?
License offline là phương pháp dễ nhất để add license cho WLC của bạn. Phương pháp này yêu cầu máy tính xách tay có kết nối Internet và truy cập được vào WLC. Bản thân WLC có thể bị chặn bởi tường lửa nếu không có kết nối Internet. Nhược điểm duy nhất của phương pháp này là sau khi thêm AP bổ sung, bạn phải lặp lại quy trình (về mặt kỹ thuật là không bắt buộc). Sau khi được add license, WLC không bao giờ cần phải add license lại nữa.
Quá trình này diễn ra như sau:
Generate a Resource Utilization Map (RUM) Report
Download it from WLC to your PC
Upload from PC to the smart licensing cloud portal (CSSM)
Download the RUM Acknowledgement file to your PC from CSSM
Upload the RUM Acknowledgement file to the WLC
H: Việc add license thông qua Catalyst/DNA Center diễn ra như thế nào ?
A: Phương pháp này yêu cầu DNA Center phải có kết nối internet. WLC không yêu cầu kết nối internet, nhưng cần được thêm vào kho dữ liệu của DNA Center.
Trong trường hợp này, DNA Center đóng vai trò là proxy giữa WLC và smart licensing cloud portal. DNA center sẽ định kỳ kết nối SSH vào WLC và thu thập báo cáo sử dụng license từ WLC, sau đó tải thông tin chi tiết lên cloud.
H: Việc add license thông qua kết nối trực tiếp license portal hoạt động như thế nào ?
A: Đây là một trong những phương thức license được sử dụng phổ biến nhất. Phương thức này yêu cầu WLC phải có kết nối internet qua HTTPS (cổng TCP 443). Quy trình khá đơn giản:
Tạo mã thông báo trên trang web Cisco CSSM
Dán mã thông báo vào WLC
WLC sẽ liên hệ với CSSM và báo cáo số lượng license (sử dụng mã thông báo làm hình thức xác thực)
H: Add License thông qua máy ảo Smart Software Manager On-Prem hoạt động như thế nào ?
A: Việc add license sử dụng máy ảo Smart Software Manager On-Prem tương tự như license qua DNA Center. Máy ảo Smart Software Manager cần có khả năng giao tiếp với WLC và Internet. Bản thân WLC có thể nằm sau tường lửa mà không cần kết nối Internet.
Phương pháp này cho phép WLC đẩy số lượng license sử dụng lên on-prem hoặc để on-prem lấy số lượng license sử dụng từ WLC theo định kỳ, sau đó gửi báo cáo lên CSSM Cloud.
H: Việc add license sử dụng ứng dụng Cisco Smart Licensing Utility trên Windows/Linux hoạt động như thế nào?
A: Việc add license sử dụng ứng dụng Windows khá đơn giản và không yêu cầu bất kỳ phần cứng bổ sung nào để triển khai.
Chỉ cần cài đặt ứng dụng trên máy tính xách tay Windows/Debian/RHEL hoặc máy ảo (VM), nhập thông tin đăng nhập Cisco và chi tiết WLC. Ứng dụng sẽ kết nối SSH vào WLC, thu thập thông tin sử dụng license và tải lên cloud. Quy trình này không cần lặp lại trong tương lai.
H: Specific License Reservation là gì?
A: Specific License Reservation cụ thể là phiên bản license offline cũ được cung cấp trên các phiên bản phần mềm trước 17.3. Có lẽ bạn không nên sử dụng tính năng này.
Gần đây tôi phải xử lý một vài trường hợp client tự động mất kết nối trong hệ thống mạng wireless cisco và sự cố này khá phổ biến. Bài viết này sẽ đề cập đến cách khắc phục một số sự cố thường gặp nhất trên Cisco 9800 Wireless LAN Controller. Hầu hết các sự cố được đề cập ở đây cũng áp dụng cho các AireOS WLCs.
Session Timeout
Recommendation:
Session timeout = 3600 seconds
Session timeout là khoảng thời gian mà sau đó client sẽ bị kicked out khỏi mạng và buộc phải xác thực lại. Trên các phiên bản Catalyst 9800 WLC cũ hơn, giá trị này theo mặc định được đặt thành 1800 giây (30 phút), điều này rất nghiêm trọng và gây ra nhiều lần ngắt kết nối không mong muốn. Các phiên bản mới hơn đã tăng giá trị mặc định lên 43200 giây (12 giờ).
Đặt giá trị thành 0 không có nghĩa là thời gian chờ là vô hạn và không được khuyến khích vì nó có thể ngăn client thực hiện roaming nhanh trên một số bản phát hành 9800.
Tuy nhiên, bạn nên tăng giá trị này lên 1 ngày (86400 giây ). Có thể thực hiện việc này thông qua CLI theo cấu hình policy profile:
Thời gian Idle Timeout thể hiện khoảng thời gian mà sau đó client sẽ bị loại khỏi mạng nếu không gửi bất kỳ dữ liệu nào. Theo mặc định, giá trị này được đặt là 300 giây (5 phút), một con số quá cao. Nhiều thiết bị client, đặc biệt là điện thoại IP, có xu hướng chuyển sang chế độ ngủ lâu hơn 5 phút, dẫn đến tình trạng hết thời gian chờ..
Khi client vô tình rời khỏi mạng, dữ liệu cũ có thể vẫn nằm trên WLC trong suốt thời gian Timeout, do đó không nên tăng giá trị này quá nhiều. Nên tăng giá trị này lên 3600 giây (1 giờ).
Có thể thay đổi theo cấu hình chính sách bằng cách sử dụng các lệnh:
conf t
wireless profile policy <Policy-profile-name>
idle-timeout 3600
webUI
Fast Roaming (802.11r) & OKC
Recommendation:
FT = Enabled Over the DS = Disabled
Auth Key Mgmt = 802.1x & FT+802.1x OKC = Enabled
Nếu không có giao thức fast roaming, việc di chuyển giữa 2 access points sẽ khiến thiết bị client phải thực hiện lại quy trình xác thực đầy đủ. Đối với các mạng open và bảo mật PSK, điều này không sao cả, vì các loại xác thực này thường nhanh. Tuy nhiên, đối với các mạng bảo mật dạng dot1x, quá trình xác thực đầy đủ có thể mất tới hơn 1 giây. Điều này có nghĩa là mỗi khi client của bạn thay đổi AP, bạn sẽ gặp phải khoảng cách 1 giây trở lên, điều này có thể rất dễ nhận thấy nếu người dùng đang thực hiện cuộc gọi thoại/video.
Giao thức fast roaming 802.11r cho phép client roaming trong vòng vài mili giây. Giao thức này có thể được đặt thành chế độ tắt, bật, thích ứng và được gọi là “chế độ hỗn hợp”, có hoặc không có chế độ Over the DS. Tùy chọn Over the DS không được nhiều thiết bị client hỗ trợ, vì vậy nên tắt nó và sử dụng chế độ mặc định, over the air mode
Adaptive mode là chế độ đặc biệt được hỗ trợ chủ yếu bởi điện thoại thông minh Apple và Samsung, cho phép chỉ những điện thoại này roaming nhanh.
Chỉ cần đặt FT thành Bật sẽ chỉ cho phép các thiết bị khách hỗ trợ FT tham gia mạng. Các thiết bị không hỗ trợ FT sẽ không được phép tham gia.
Tuy nhiên, việc đặt FT thành Bật và thay đổi tùy chọn Quản lý Khóa Xác thực thành 802.1x & FT+802.1X sẽ đặt nó ở chế độ được gọi là “mixed” mode, trong đó cả client hỗ trợ và không hỗ trợ Fast Roaming đều có thể tham gia. Đây là chế độ được khuyến nghị và tương thích với nhiều thiết bị client nhất.
Để thiết lập Mixed mode FT, hãy chạy lệnh trong cấu hình WLAN:
conf t
wlan <Profile-Name> 1 <SSID-name>
security ft
security wpa akm ft dot1x
webUI:
Một giải pháp thay thế cho các thiết bị không hỗ trợ 802.11r là thuật toán OKC. Thuật toán này chậm hơn một chút so với 802.11r Fast Roaming và được bật theo mặc định, vì vậy bạn nên giữ nguyên chế độ này.
DCA Algorithm Interval
Recommendation:
2.4 GHz DCA interval = 4 hours
5 GHz DCA interval = 8 or 12 hours
6 GHz DCA Interval = 8 or 12 hours
Thuật toán Dynamic Channel Assignment là một quy trình chịu trách nhiệm gán kênh cho tất cả các AP và chạy theo mặc định cứ sau 10 phút. Điều này có nghĩa là kênh AP có thể thay đổi sau mỗi 10 phút, làm tăng khả năng khả năng client bị ngắt kết nối.
Cấu hình khoảng thời gian cho thuật toán DCA bằng lệnh:
configure terminal
ap dot11 24ghz rrm channel dca interval 4
ap dot11 5ghz rrm channel dca interval 12
ap dot11 6ghz rrm channel dca interval 12
WebUI – Configuration > RRM > 2.4/5/6 GHz > DCA
DCA Channel Width
Recommendation:
On 5 GHz — Static 20/40 MHz
On 6 GHz — Static 20/40/80 MHz
Việc thiết lập độ rộng kênh giúp client dễ dàng quét toàn bộ mạng. Nếu client đã kết nối với kênh 20 MHz, trước tiên nó sẽ quét tất cả các kênh 20 MHz trước khi bắt đầu quét các kênh 40 MHz. Việc thiết lập độ rộng kênh thành “Best” cho phép kết hợp các kênh có độ rộng 20/40/80 MHz trong mạng, giúp làm chậm quá trình chuyển vùng.
Để đảm bảo roaming đáng tin cậy hơn, chúng tôi khuyến nghị giữ nguyên độ rộng kênh trên tất cả các AP. Do số lượng kênh khả dụng trên băng tần 5GHz khá lớn và không nên bật kênh rộng 80 MHz trong môi trường văn phòng thông thường.
Có thể thực hiện thay đổi theo cấu hình RF bằng cách sử dụng lệnh:
configure terminal
ap dot11 5ghz rrm channel dca chan-width 20
ap dot11 5ghz rf-profile <RF-Profile-Name>
channel chan-width 20
ap dot11 6ghz rf-profile <RF-Profile-Name>
channel chan-width 20
webUI
Global config — value set to Best
EAP Broadcast Key Interval
Recommendation:
EAP-Broadcast Key Interval = 86400
Theo mặc định, AP và tất cả các clients được kết nối sẽ thương lượng lại khóa phát sóng sau mỗi 1 giờ. Điều này có nghĩa là người dùng văn phòng trung bình phải thực hiện trao đổi này 8 lần mỗi ngày, làm tăng khả năng xảy ra sự cố.
Rất thường xảy ra trường hợp clients đang ở chế độ ngủ và không phản hồi gói tin M5 đến từ AP yêu cầu trao đổi khóa phát sóng, dẫn đến client bị xóa do lý do xóa
CO_CLIENT_DELETE_REASON_GROUP_KEY_UPDATE_TIMEOUT.
Nên tăng giá trị này lên 1 ngày (86400 giây)
wireless security dot1x group-key interval 86400
hoặc trong webUI tại mục Configuration > EAP
EAP Request & EAP Identity Request Timeout And Retries
Recommendation:
EAP-Identity-Request Timeout = 1s EAP-Identity-Request Max Retries = 10
EAP-Request Timeout = 1s EAP-Request Max Retries = 10
Client driver upgrade
Khi các client dot1x không hỗ trợ Fast Roaming và phải di chuyển từ AP này sang AP khác, chúng phải thực hiện xác thực dot1x đầy đủ, bao gồm toàn bộ quá trình trao đổi EAP.
Trong quá trình trao đổi này, WLC gửi 2 gói tin quan trọng: yêu cầu Nhận dạng EAP và yêu cầu EAP, mà client được kỳ vọng sẽ phản hồi. Nếu client không phản hồi, WLC sẽ đợi 30 giây để truyền lại gói tin. Nó thử tổng cộng 2 lần trước khi từ bỏ và loại client ra. Điều này có nghĩa là nếu client không phản hồi, toàn bộ quá trình có thể mất đến một phút để thất bại.
Thông thường, do lỗi phía trình điều khiển, thiết bị không phản hồi gói tin yêu cầu Danh tính. Sự cố này thường đi kèm với lỗi CO_CLIENT_DELETE_REASON_CLIENT_EAP_TIMEOUT_FAILURE và lỗi CO_CLIENT_DELETE_REASON_CLIENT_EAP_ID_TIMEOUT, cùng lỗi 5440 Endpoint đã hủy phiên EAP và bắt đầu lại trên Cisco ISE.
Việc đặt giá trị này thành 10 lần thử lại mỗi 1 giây sẽ đảm bảo WLC cố gắng kết nối với client mạnh mẽ hơn. Việc thay đổi các giá trị này không đảm bảo sự cố sẽ được giải quyết. Cách duy nhất để khắc phục là nâng cấp trình điều khiển của thiết bị và hy vọng thiết bị client sẽ bắt đầu phản hồi các gói tin yêu cầu EAP (nhận dạng).
WPA3 và Protected Management Frame (PMF) đã ra mắt được một vài năm, nhưng vẫn còn rất nhiều vấn đề cần giải quyết với nhiều thiết bị client cũ.
Bạn nên tắt WPA3 và Protected Management Frame (PMF), đặc biệt là trên mạng mà bạn không có quyền kiểm soát client. Bạn có thể thực hiện việc này thông qua giao diện webUI trong phần cấu hình WLAN
DHCP Required
Recommendation:
DHCP Required = Disabled
Khi bật tính năng này, các thiết bị client được yêu cầu thực hiện DHCP mỗi khi tham gia mạng. Tất cả các máy khách đều thực hiện việc này theo mặc định. Tuy nhiên, vấn đề sẽ phát sinh khi chúng bắt đầu chuyển vùng.
Hầu hết thời gian, các thiết bị sẽ chỉ thực hiện một phần của quy trình DHCP DORA (Khám phá — Đề nghị — Yêu cầu — Xác nhận) khi di chuyển từ AP này sang AP khác bằng cách chỉ trao đổi Request + ACK để tăng tốc độ chuyển vùng. Tuy nhiên, một số thiết bị, sau khi di chuyển từ AP này sang AP khác, sẽ quyết định không thực hiện DHCP nữa và chỉ sử dụng lại địa chỉ cũ — về cơ bản hoạt động như một client với địa chỉ IP tĩnh.
Khi tùy chọn DHCP Required được bật, những thiết bị không thực hiện DHCP sau khi roaming sẽ không được phép tham gia và cuối cùng sẽ bị kick out. Thông thường, chúng sẽ tự động phục hồi sau khi bị kick out bằng cách thực hiện lại toàn bộ quy trình DHCP DORA, nhưng điều này vẫn sẽ gây ra khoảng cách kết nối đáng kể. Những sự cố này thường đi kèm với lý do CO_CLIENT_DELETE_REASON_IPLEARN_CONNECT_TIMEOUT hoặc CO_CLIENT_DELETE_REASON_MN_AP_IPLEARN_TIMEOUT trong trường hợp triển khai flex connect.
Tùy chọn này chỉ áp dụng cho các client thực hiện roaming chậm 802.11i (về cơ bản là xác thực đầy đủ khi roaming từ AP này sang AP khác). Tùy chọn này không áp dụng cho các máy khách thực hiện OKC hoặc Roaming nhanh 802.11. Lưu ý rằng các máy khách hỗ trợ Roaming nhanh 802.11 đôi khi có thể không thực hiện roaming nhanh và chọn không thực hiện roaming chậm, xác thực đầy đủ.
Bạn nên tắt tính năng này trong policy profile bằng lệnh:
RX-SOP là một tính năng cho phép AP loại bỏ tất cả các gói tin được nhận ở cường độ tín hiệu yếu hơn cường độ tín hiệu được cấu hình. Mục đích của tính năng này là để AP loại bỏ các gói tin được gửi bởi các client ở rất xa AP, với hy vọng rằng client sẽ nhận ra rằng AP không phản hồi và cố gắng chuyển đến một AP mới.
Nó cung cấp 4 giá trị. 3 giá trị được xác định trước và một giá trị tùy chỉnh:
Cao = -79 dBm trên 2,4 GHz và -76 dBm trên 5 GHz
Trung bình = -82 dBm trên 2,4 GHz và -78 dBm trên 5 GHz
Thấp = -85 dBm trên 2,4 GHz và -80 dBm trên 5 GHz
Tùy chỉnh = được xác định bởi người dùng
Trên thực tế, tính năng này hầu như không ảnh hưởng đến quyết định roaming của client. Các thử nghiệm của tôi với MacBook và điện thoại Android cho thấy các client cố định (sticky client) sẽ liên tục cố gắng kết nối với một AP ở xa và việc bật RX-SOP hầu như không ảnh hưởng gì đến quyết định roaming. Kết quả duy nhất của việc bật RX-SOP là thay vì kết nối/tín hiệu kém khi cố gắng kết nối với một AP ở xa, client sẽ không có kết nối nào cả do các gói tin bị loại bỏ bởi RX-SOP.
Tính năng này phải được tắt (đặt thành Auto) trên globally hoặc trong cấu hình RF, tùy thuộc vào mục.
configure terminal
ap dot11 5ghz rx-sop threshold auth
ap dot11 24ghz rx-sop threshold auth
ap dot11 24ghz rf-profile <24GHz-RF-profile-name>
high-density rx-sop threshold auto
ap dot11 5ghz rf-profile <5GHz-RF-profile-name>
high-density rx-sop threshold auto
Hướng dẫn này giúp khôi phục lại Access Point trong trường hợp bạn không thể truy cập vào giao diện quản lý khi AP đang ở chế độ Unleashed, Standalone hoặc khi AP hoạt động không đúng như mong đợi và không thể flash firmware thông tin qua bộ điều khiển .
Yêu cầu Trước Khi Thực hiện
Tải xuống phiên bản firmware độc lập mới nhất phù hợp với loại Access Point của bạn.
Cài đặt máy chủ TFTP trên máy tính, thiết bị này phải kết nối với switch hoặc trực tiếp với Access Point
Trên Windows, khuyến khích sử dụng TFTPD32
Cấu hình điều khiển tập tin (Control File)
Trước khi thực hiện hạ cấp firmware thủ công cho AP, bạn cần tạo một tệp có tên fwcntrl.rcksvà chỉnh sửa nội dung bằng trình chỉnh sửa văn bản (notepad hoặc notepad ++).
Nội dung trong tệp phải có định dạng sau:
CSS
[rcks_fw.main]
Địa chỉ IP của máy chủ TFTP
Tên tập tin firmware standalone
Kích thước tập tin firmware (đơn vị: byte)
Ghi chú: Tệp fwcntrl.rcksvà tệp chương trình cơ sở .bl7phải được đặt trong thư mục gốc của máy chủ TFTP.
Lệnh CLI cho AP KHÔNG chạy firmware Unleashed phiên bản 207.x trở lên
Lệnh sau cần được nhập trực tiếp vào AP thông qua SSH sau khi đăng nhập:
đập mạnh
fw set control fwcntrl.rcks
fw set proto tftp
fw set host 192.168.12.222 >>>> Địa chỉ IP máy chủ TFTP
fw update
Lưu ý: KHÔNG THỂ ngắt kết nối trong quá trình cập nhật sau khi nhập lệnh fw update. Nếu quá trình cập nhật bị lỗi (hết thời gian chờ), hãy chạy lại toàn bộ lệnh.
Lệnh CLI cho AP CHẠY firmware Unleashed phiên bản 207.x trở lên
Cũng đăng nhập vào AP qua SSH và nhập các lệnh sau:
đập mạnh
enable
ap-mode
fw set control fwcntrl.rcks
fw set proto tftp
fw set host 192.168.12.222 >>>> Địa chỉ IP máy chủ TFTP
fw update
Lưu ý: KHÔNG ngắt kết nối trong quá trình cập nhật sau khi nhập fw update. Nếu quá trình cập nhật bị lỗi, hãy lặp lại lệnh.
Mục đích của hướng dẫn này là giúp bạn thiết lập mức độ ưu tiên của cấu hình cho hệ thống không dây trên bộ điều khiển SmartZone.
Bước 1
Trước tiên, bạn cần truy cập vào phần Network , sau đó từ menu thả xuống, chọn Access Point .
Bước 2
Màn hình Access Point sẽ hiển thị. Tại đây, bạn có thể tạo một Zone (Vùng) mới bằng cách chọn Domain (tên miền) tương ứng, sau đó nhấn vào biểu tượng dấu + .
Bước 3
Trong cấu hình Zone , đặt tên cho Zone và chọn mã quốc gia phù hợp vowis các điểm truy cập (AP) sẽ được khai báo.
Bước 4
Bạn buộc phải nhập tên người dùng và mật khẩu để xác định cấu hình. Tài khoản này sẽ được sử dụng để truy cập CLI (lệnh giao diện dòng lệnh) của các AP sau khi chúng đã kết nối vàoSmartZone.
Bước 5
Kéo xuống để cài đặt thông số radio của AP tại Band/Spectrum Configuration (Cấu hình băng tần/phổ) .
Đối với băng tần 2.4GHz , đặt Channelization là 20MHz để hạn chế việc trùng kênh.
Với new firmware, bộ điều khiển sẽ tự động chọn các kênh: 1, 6 và 11 .
Nếu sử dụng firmware cũ, tất cả các kênh đều có thể được chọn, bạn cần phải tắt các kênh không mong muốn.
Bật “Auto Cell Sizing” để AP tự động điều chỉnh công xuất phát phù hợp với môi trường.
Kích hoạt tùy chọn “CTS only” để giúp thiết bị nhận được hiệu quả dữ liệu hơn, giảm xung đột giao tiếp.
Bước 6
Sau khi hoàn tất băng tần 2.4GHz, chuyển sang tab 5GHz bên cạnh.
Chọn Kênh à 40 MHz . Nếu khu vực bị nhiễu nặng, nên sử dụng 20MHz
Cũng bật Auto Cell Sizing như ở bước 5.
Bước 7
Tắt mặc định multicast tùy chọn (chúng đã được bật sẵn).
Bước 8
Sau khi cấu hình xong Zone, chọn Network ở thanh trên cùng, sau đó chọn Wireless LANs (Mạng không dây) trong menu thả xuống.
Bước 9
Trong phần WLAN, chọn Zone của bạn rồi nhấn Create (Tạo) .
Bước 10
Nếu bạn tạo WLAN cho khách, hãy bật tùy chọn Wireless Client Isolation (Cô lập thiết bị không dây) để các thiết bị không thể nhìn thấy nhau.
Bước 11
Trong phần Tùy chọn nâng cao, kéo xuống bật OFDM và đặt tốc độ tối thiểu BSS là 12Mbps . Chức năng này giúp thiết bị di chuyển giữa các AP mượt mà hơn, chỉ cho phép kết nối dù tốc độ đạt mức tối thiểu.
Bước 12
Đặt giá trị Directed MC/BC Threshold về 0 .
Bước 13
Kích hoạt “Airtime Decongestion” , giúp quản lý lượng tối ưu và tránh sử dụng băng tải truyền tải của thiết bị khách.
Mình xin chia sẻ chút kinh nghiệm của mình trong việc phát hiện và xử lý Loop trong hệ thống chạy switch ICX của Ruckus. Đôi khi các bạn sẽ gặp phải tình trạng này trong quá trình vận hành hệ thống của mình. Loop thường xảy ra khi re-layout lại văn phòng thay đổi vị trí các máy tính, các bàn làm việc, các thiết bị được kết nối lại với nhau, sau đó mạng trở nên chậm hoặc thậm chí mất kết nối.
Broadcast storm có thể dễ dàng xảy ra, Ruckus có một tính năng trên switch ICX là “Loop Detection” có thể phát hiện và ngăn chặn broadcast storm.
Loop Detection là một tính năng hữu ích có thể dễ dàng ngăn chặn loop trong mạng khi chúng xảy ra. Tính năng này hoạt động hoàn toàn độc lập với Spanning Tree và có thể được sử dụng cùng hoặc thậm chí thay thế Spanning Tree để chủ động ngăn chặn loop trong mạng.
Loop Detection hoạt động như thế nào ?
Loop Detection hoạt động rất đơn giản: Switch sẽ gửi một gói tin broadcast trên mỗi interface (được cấu hình Loop Detection). Nếu switch phát hiện cùng một gói tin quay trở lại qua một interface khác, điều này có nghĩa là đã xảy ra loop trên hệ thống và switch sẽ tự động disable interface.
Có hai loại phát hiện vòng lặp: Strict (theo port) và Loose (theo VLAN).
Trong cấu hình Chế độ Strict, switch sẽ kiểm tra xem nó có thấy gói tin phát hiện vòng lặp đi ra được trả về trên cùng một interface hay không và vô hiệu hóa cổng đó nếu điều này xảy ra.
Trong cấu hình Chế độ Loose, switch sẽ kiểm tra xem có gói tin phát hiện vòng lặp nào được switch gửi đi và trả về trên một interface khác hay không và disable cả interface gửi và interface nhận.
Cấu hình chế độ Strict (cho mỗi interface)
Bật tính năng Loop Detection trên tất cả các interface có khả năng xảy ra vòng lặp
Ví dụ, nếu 1 VLAN được cấu hình với tính năng loop detection và switch phát hiện ra vòng loop trong VLAN, toàn bộ interface trong VLAN sẽ bị disable, do đó phải cân nhắc việc cần thiết bật tính năng loop detection trên tất cả các VLAN. Theo kinh nghiệm của mình chỉ bật loop detection trên những vlan có khả năng bị loop cao.
Lưu ý ! bật tính năng này trên nhiều VLAN thì càng tốn nhiều tài nguyên.
Đôi khi có những interface mà bạn muốn loại trừ khỏi việc bị disable trong quá trình loop detection và bạn không muốn switch của mình disable các interface đó. Bạn có thể tắt tính năng này ở Chế độ loop detection Loose như sau:
SSH@sw02(config)#int eth 1/3/1SSH@sw02(config-if-e10000-1/3/1)#loop-detection shutdown-disable
Làm thế nào để xem trạng thái của loop-detection ?
Với “show loop-detection status”, bạn có thể xem cổng nào đang gửi các gói loop-detection cùng với số liệu thống kê của interface và/hoặc VLAN:
Làm thế nào để biết interface nào được phát hiện Loop ?
Lệnh “show loop-detection disabled” cho phép bạn xem cổng nào bị Loop disabled.
SSH@sw02(config)# show loop-detection disabledNumber of err-disabled ports: 3You can re-enable err-disable ports one by one by “disable” then “enable”under interface config, re-enable all by “clear loop-detect”, orconfigure “errdisable recovery cause loop-detection” for automatic recoveryindex port caused-by disabled-time1 1/1/18 itself 00:13:302 1/1/19 vlan 12 00:13:303 1/1/20 vlan 12 00:13:30
Làm thế nào để biết có loop trên interface đã cấu hình được “loop-detection shutdown-disable” ?
Lệnh “show loop-detection no-shutdown-status” sẽ hiển thị cho bạn tất cả các interface đã cấu hình “loop-detection shutdown-disable” và đánh giá xem nó có phải (hoặc đã từng) là một phần của loop gần đây hay không.
SSH@sw02(config)#show loop-detection no-shutdown-status
loop detection no shutdown syslog interval : 5 (unit 1 min /Default 5 min)
loop detection no shutdown port status :
Note: Port's loop status gets cleared if loop is not detected in a next interval window
Postage || Loop Status
==========||==========
ethernet 1/3/1 || (Not In Loop)
Làm thế nào để xóa loop ?
Khi bạn chắc chắn rằng loop đã được giải quyết, bạn có thể enable lại tất cả các cổng trên switch bằng lệnh “clear loop-detection”. Việc này cũng thiết lập lại số liệu thống kê về 0.
Làm thế nào để đảm bảo interface tự động enable sau khi phát hiện loop ?
Cấu hình “errdisable recovery interval” cho phép bạn cấu hình khoảng thời gian cần thiết để một interface tự động chuyển từ bị disable sang enable. Dưới đây là ví dụ về cách thiết lập thời gian này thành 2 phút.
Thời gian gần đây mình dần chuyển đổi các thiết bị có dây thành các thiết bị không dây và mình gặp một vài vấn đề với hệ thống Audio. Sau khi tìm hiểu, mặc định ruckus chuyển đổi lưu lượng Multicast thành Unicast. Điều này làm các thiết bị như Yamaha MusicCast … không tìm thấy khi sử dụng spotify connect.
Để khắc phục lưu lượng Multicast trên hệ thống Wi-Fi, chúng ta cần cấu hình cho Ruckus dừng thực hiện việc chuyển đổi Multicast thành Unicast.
Hướng dẫn này sẽ chỉ cho bạn cách thực hiện điều đó
Kết nối ssh đến AP Master
Login vào AP với thông tin tài khoản được dùng để login trên Web
Sau khi đăng nhập nhập lệnh:
enable
config
Chọn wlan cần cấu hình, trong trường hợp này mình chọn wlan test
wlan test
no qos directed-multicast
qos directed-threshold 0
Nhập exit 2 lần để thoát
Các bước cấu hình đã hoàn tất, hãy thử lại ứng dụng của mình ! Chúc các bạn thành công
Tôi liên tục điều chỉnh để hệ thống WiFi nhiều tầng, mật độ cao của tôi hoạt động tốt với Windows, Mac OSX và các thiết bị di động.
Sau đây là các tối ưu hóa hiện tại của tôi:
Toàn hệ thống:
Tối ưu hóa kênh: Tối ưu hóa hiệu suất, enables tất cả các kênh 5GHz, đặc biệt hữu ích trong môi trường có nhiều AP.
Self-Healing: Tự động điều chỉnh kênh 2,4Ghz và 5Ghz bằng cách sử dụng Background scanning (Tôi thấy ChannelFly quá bận rộn và nó không đáp ứng kỳ vọng của tôi)
Background scanning: Chạy Background scanning sau mỗi 3600 giây. Thời gian mặc định của Rukus quá ngắn, gây ra việc thay đổi kênh không cần thiết.
Đối với Access Point:
Radio B/G/N(2.4G): Chỉ cho phép các kênh 1, 6, 11
Radio A/N/AC(5G) indoor: Tùy thuộc vào môi trường, có thể cho phép tất cả hoặc vô hiệu hóa một số kênh DFS hoặc kênh ngang hàng Apple TV (149).
Channelization 2,4 GHz: 20
Channelization 5.0GHz: 40 (80 chỉ sử dụng quá nhiều kênh trong môi trường dày đặc)
Tôi cũng vô hiệu hóa radio 2,4 GHz trên hầu hết mọi AP khác, vì vị trí đặt AP được xây dựng cho vùng phủ sóng 5 GHz. Điều này giúp giải quyết tình trạng tranh chấp kênh 2,4 GHz.
Giảm công suất TX cho 2,4 GHz và có thể là 5 GHz tùy thuộc vào vị trí lắp đặt.
WLAN:
Nếu các clients không dây không cần giao tiếp trực tiếp với nhau, hãy bật tính năng Wireless client isolation.
Cân bằng băng tần, bỏ chọn “Do not perform Band Balancing on this WLAN service”
Enable OFDM (Tắt client chỉ sử dụng 802.11b)
BSS Min Rate: 24,00mbps (Để khuyến khích client roaming đến AP gần hơn)
Enable 802.11k
Với những thiết lập này, tôi có ít phàn nàn từ người dùng và kết nối không dây “just work”. Tất nhiên, máy khách Apple (đặc biệt là OSX) là khó nhất, nhưng hầu hết các vấn đề của họ có thể được giải quyết bằng cách tắt/bật WiFi hoặc đôi khi là resetting PRAM.
Dòng sản phẩm WLAN controller Zone Director nổi tiếng của Ruckus là một trong những sản phẩm chính đã giúp Ruckus từ một công ty khởi nghiệp năm 2008 với quy mô chỉ khoảng 100 nhân viên trở thành một công ty lớn trên thế giới về WLAN. Dòng sản phẩm này đang được sử dụng bởi hàng chục nghìn khách hàng, giúp họ dễ dàng cấu hình và quản lý mạng không dây của mình. Tuy nhiên, Ruckus không dừng lại ở đó, vào năm 2015, Ruckus đã giới thiệu một nền tảng WLAN controller mới – SmartZone, một thế hệ mới của controller nhằm giúp Ruckus Wireless tiếp cận được những nhu cầu/xu thế đang thay đổi của thị trường và khắc phục được các nhược điểm của nền tảng Zone Director.
Bài viết này sẽ so sánh sơ qua về kiến trúc giữa hai nền tảng Zone Director và SmartZone và áp dụng chúng vào việc thiết kế các mô hình mạng như thế nào. Chúng ta sẽ bắt đầu với việc nhắc lại về các kiến trúc WLAN MAC.
1. CÁC KIẾN TRÚC WLAN MAC:
Có 3 kiến trúc WLAN MAC phổ biến trong mạng Wireless LAN 802.11, bao gồm:
Remote MAC, Split MAC và Local MAC
Remote MAC:
AP chỉ là PHY radio, toàn bộ việc xử lý của MAC layer được thực hiện tập trung;
Toàn bộ việc xử lý các tác vụ real-time và non-real-time đều được thực hiện bởi controller;
Kết nối PHY layer data giữa AP và controller;
Là kiến trúc ít phổ biến cho mạng WLAN;
Một ví dụ điển hình cho kiến trúc remote MAC là hệ thống LTE Active DAS.
Split MAC:
Việc xử lý MAC layer được phân chia cho cả AP và Controller;
Các chức năng xử lý real-time MAC layer được thực hiện tại AP;
Việc điều khiển được thực hiện thông qua giao thức LWAPP hoặc CAPWAP bởi controller tập trung;
Việc xử lý các tác vụ non-real-time hoặc near-real-time được thực hiện bởi Controller;
Integration Service (Chuyển đổi từ 802.11 WLAN Frame sang 802.3 Ethernet Frame) được thực hiện hoặc ở AP, hoặc ở Controller;
Kết nối giữa AP và Controller là Layer 2 / Layer 3;
Kiến trúc phổ biến cho các mạng WLAN;
Ruckus Wireless Zone Director được thiết kế dựa theo kiến trúc này.
Local MAC:
Việc xử lý MAC layer được thực hiện toàn bộ ở AP;
Việc xử lý các tác vụ Real-time, near real-time và non-real-time đều được thực hiện tại AP;
Toàn bộ các chức năng cơ bản đều được thực hiện tại AP vì vậy có khả năng hoạt động không phụ thuộc vào controller tập trung;
Các dịch vụ khác có thể được thực thi bởi chức năng điều khiển (vd: Quản lý cấu hình …);
Các hệ thông phân tán như controller dạng cloud thường lựa chọn kiến trúc này;
Ruckus Wireless Smart Zone được thiết kế dựa theo kiến trúc này.
Theo RFC 5412, bảng sau đây mô tả về kiến trúc SPLIT MAC và LOCAL MAC:
2. KIẾN TRÚC ZONE DIRECTOR MAC
Nền tảng Ruckus Wireless Zone Director được phát triển để nhắm vào các khách hàng doanh nghiệp vừa và nhỏ. Nền tảng này được thiết kế dựa trên một phiên bản tùy biến của kiến trúc Split MAC (được định nghĩa trong RFC 5412). Dưới đây là bảng các chức năng được phân chia thực hiện bởi AP và Zone Director.
Zone Director Split MAC: Vai trò và trách nhiệm:
Việc hiểu rõ từng vai trò và trách nhiệm (hay còn gọi là các chức năng) được phân công cho AP và Zone Director là rất quan trọng trong việc thiết kế một mạng WLAN. Dưới đây là một số điểm quan trọng nhất cần xem xét khi thiết kế:
2.1. Khả năng phục hồi
Từ bảng trên ta có thể dễ dàng nhận thấy chức năng nào sẽ bị mất khi Zone Director bị lỗi. Các client đang kết nối tới hệ thống vẫn sẽ duy trì kết nối, tuy nhiên các client mới sẽ không thể kết nối vào hệ thống nếu không có controller. Các client cũng sẽ không thể roaming giữa các AP vì tất cả các association / re-association requests đều phải gửi đến controller.
Thuật toán Ruckus SmartMesh chạy trên các AP cho phép mỗi AP tính toán các đường uplink. Tuy nhiên, chức năng SmartMesh topology change (cho phép Mesh AP kết nối với đường uplink mới) sẽ không thực hiện được nếu không có controller.
Việc mất kết nối với Zone Director cũng ảnh hưởng đến các chức năng quản lý encryption key, xác thực RADIUS, phát hiện Rogue AP và các chức năng WLAN khác có sự tham gia của controller.
Các AP được thiết kế để làm việc với mode local breakout (Dữ liệu người dùng không tunnel về controller mà đi ra thẳng tại AP) sẽ thực hiện việc chuyển đổi frame tại AP. Các cấu hình cho các chức năng về L3/L4 Access Control Lists và client isolation được lưu tại AP vì vậy các chức năng này vẫn sẽ tiếp tục làm việc với các client đã kết nối. Chức năng L2 Access Control (MAC Address based Access Control) được thực hiện trên Zone Director khi client thực hiện associate vào hệ thống, vì vậy chức năng này cũng sẽ không hoạt động nếu không có controller.
2.2. Dự phòng và quy mô
Nền tảng Zone Director chỉ hỗ trợ dự phòng 1+1 Active/Standby (được gọi là Smart Redundancy) và không hỗ trợ khả năng tạo cluster để tang quy mô (dung lượng) của hệ thống. Việc này gây ra những khó khăn trong việc triển khai một mạng WLAN với quy mô lớn hơn 1000 AP. Zone Director cos thể chạy với mô hình dự phòng N+1 khi sử dụng tính năng Primary and Secondary Zone Director failover, tuy nhiên không hỗ trợ stateful failover (sateful failover – chuyển đổi không làm gián đoạn dịch vụ)
2.3. Authentication / Association
Hạn chế chính của Zone Director AP là tất cả các request của 802.11 Authentication và Association phải đi qua controller.
Zone Director cũng đóng vai trò là RADIUS Client cho tất cả các bản tin authentication và accounting, đồng thời cũng đóng vài trò là một 802.1X authenticator trong 802.1x framework. Zone Director chịu trách nhiệm cho việc quản lý encryption key như là tạo và phân phối Master Session Key (MSK), Pairwise Master Key (PMK), các key tạm khác. Các key này được dùng để mã hóa việc gửi thông tin qua giao diện vô tuyến của AP.
Zone Director cũng chịu trách nhiệm trong việc tích hợp các kiểu xác thực khác bao gồm LDAP / Active Directory, Captive Portal Access, Guest Access Services, Zero-IT client provisioning, Dynamic Pre-Shared Keys và Hotspot Access…
Việc bắt buộc tất cả các giao dịch 802.11 authentications / associations phải đi qua Zone Director dẫn đến một số khó khăn khi thiết kế một mạng WLAN quy mô lớn, bao gồm:
11 Authentication/Association request latency – Trễ xác thực 802.11
1X Authentication latency / packet loss – Trễ/mất gói trong xác thực 802.1X
WPA / WPA2 4-Way handshake
AP roaming delays – Trễ trong roaming
Khả năng đáp ứng trong triển khai theo mô hình phân tán
802.11 Authentication/Association latency:
Một số thiết bị có giới hạn về độ trễ giữa các gói tin gửi đi và nhận về trong quá trình xác thực. Một ví dụ là một số máy quét barcode sẽ không kết nối được mạng WLAN nếu không nhận được gói tin trả lời trong vòng 100ms trong quá trình xác thực. Các kỹ sư Ruckus đã thực hiện một thử nghiệm năm 2013 và thấy rằng hầu hết các thiết bị không bị ảnh hưởng với độ trễ là vài tram mili giấy. Độ trễ lớn nhất giữa AP và controller đã được thử nghiệm là >400ms (Gửi từ Sunnyvale tới South Africa / Beijing) và hầu như không ảnh hưởng tới việc kết nối của các thiết bị. Tuy nhiên, độ trễ tối đa được khuyến nghị sẽ là 150ms bởi vì chúng ta không thể chắc chắn hết về các thiết bị đầu cuối.
Từ version ZoneFlex 9.7, một tính năng mới đã được giới thiệu là Autonomous WLAN cho phép các Ap có thể trực tiếp trả lời các request authentication của association của client
802.1X Authentication with latency/packet loss:
Bên cạnh các bản tin xác thực 802.11, các bản tin EAPOL được gửi giữa Supplicant (client device) và Authenticator (Zone Director) cũng sẽ gặp vấn đề khi được truyền qua kết nối WAN có đã trễ cao và dễ mất gói. Nên nhớ rằng, LWAPP tunnels sử dụng UDP, các kỹ sư Ruckus đã thử nghiệm và thấy rằng các client sẽ khó xác thực 802.1x thanh công nếu việc trao đổi các EAPOL key được thực hiện qua kết nối có đỗ trễ cao do bị mất thứ tự các frame và tăng số lượng bản tin EAPOL replay.
WPA / WPA2: 4-Way Handshake
WPA/WPA2 4-Way handshake được thực hiện bởi Client STA và Zone Director để thiết lập các khóa Pairwise Transient Key (PTK) và GroupWise Transient Keys (GTK) được sử dụng cho việc mã hóa dữ liệu được gửi qua giao diện vô tuyến. Sau khi Zone Director đã thiết lập được PTK (dùng để mã hóa lưu lượng unicast của client) và GTK (được gửi đến client để mã hóa lưu lượng multicast), nó thông báo cho AP giá trị của các key để AP có thể thực hiện mã hóa dữ liệu được gửi qua giao diện vô tuyến. Key Caching được lưu trữ tập trung tại Zone Director và về nguyên tắc AP không cần phải biết đến giá trị của PMK hay bất cứ một Transient Keys nào.
Từ phiên bản Zone Flex version 9.7, Ruckus Wireless đã đưa vào một tính năng mới gọi là “Autonomous WLAN” cho phép một WLAN sử dụng phương pháp xác thực “Open authentication” với tùy chọn mã hóa WPA/WPA2-Personal trong đó AP sẽ đẩm nhiệm việc sinh PTK từ PMK và lưu trữ PMK trên AP.
AP Roaming Delays:
Một trong những yếu tố cần quan tâm khi thiết kế một mạng WLAN là độ trễ roaming khi di chuyển giữa các AP. Mỗi khi client re-associate với một AP mới, re-association request phải được chuyển tới Zone Director để phê duyệt. Nếu mã hóa được sử dụng thì sẽ phải thực hiện lại quá trình 4-way handshake giữa Client STA và Zone Director. Việc này có thể sẽ dẫn đến thời gian trễ đáng kể nếu controller đặt xa các thiết bị đầu cuối. Ngay cả khi kỹ thuật fast roaming như PMK caching được sử dụng, thời gian roaming cũng có thể quá dài đối với một số ứng dụng nhạy cảm trễ.
Trong một thử nghiệm, khi độ trễ từ Zone Director đến AP là 50ms, cũng sẽ mất tới >200ms để thực hiện việc chuyển vùng AP. Thời gian này chưa kể thời gian trao đổi các bản tin RADIUS giữa Zone Director và Authentication Server (AS).
Khả năng đáp ứng trong triển khai theo mô hình phân tán
Với các doanh nghiệp/tổ chức lớn với nhiều văn phòng/chi nhánh nằm tại các địa điểm khác nhau, trụ sở chính sẽ có một hạ tầng CNTT bao gồm các dịch Active Directory, LDAP, RADIUS, DHCP, DNS và một số máy chủ. Các văn phòng nhỏ/chi nhánh sẽ kết nối về trụ sở chính qua các kết nối WAN thường có tốc độ thấp và độ trễ cao. Trong một số trường hợp các chi nhánh có thể kết nối về trụ sở chính thông qua kết nối VPN trên môi trường internet. Với môi trường như vậy, về nguyên tắc chúng ta có thể đặt Zone Director controller tại trụ sở chính và các AP tại tất cả các trụ sở/chi nhánh sẽ kết nối về. Tuy nhiên, khi đó mọi association và AAA authentication/authorization request sẽ buộc phải tập trung về controller. Tất nhiên, mô hình này vẫn có thể hoạt động nhưng với các ứng dụng yêu cầu thời gian roaming nhỏ như là dịch vụ Vo-WiFi (yêu cầu thời gian roaming nhỏ hơn 50ms) thì yêu cầu về độ trễ của kết nối WAN giữa các trụ sở phải rất nhỏ (ví dụ với Vo-WiFi nêu trên thì độ trễ không vượt quá 12.5ms), điều này khó khả thi với các kết nối WAN hay Internet.
2.4. Layer 3 Networks:
Từ version ZoneFlex 9.4 trở lên, Ruckus không thực hiện Layer 2 LWAPP tunnels mà thực hiện L3 LWAPP tunnels giúp hỗ trợ việc đặt Zone Director và AP ở các subnet khác nhau.
2.5. Triển khai với NAT:
Tất cả các bản tin LWAPP đều xuất phát từ Access Point và gửi đến controller, vì vậy AP hoàn toàn có thể được triển khai phía sau NAT mà không gặp bất kỳ vấn đề gì. Từ version ZoneFlex 9.2 trở lên, Zone Director cũng hỗ trợ việc triển khai sau NAT, lúc đó AP sẽ được trỏ về địa chỉ public của Zone Director và tất nhiên là phải thực hiện forward một số cổng cần thiết của Zone Director ra ngoài địa chỉ public này. Tương tự vậy, chức năng Smart Redundancy cũng có thể hoạt động nếu Zone Director được đặt sau NAT.
2.6. Chuyển tiếp dữ liệu tập trung
Kiến trúc Split MAC của Zone Director cho phép dữ liệu được chuyển tiếp tập trung nhờ LWAPP tunnel (qua cổng UDP 12222). Tương tự như CAPWAP, LWAPP không hỗ trợ việc tách rời lưu lượng điều khiển và dữ liệu. Cả LWAPP control và LWAPP data tunnel đều kết nối về cùng một interface của Zone Director. Đây không thực sự là vấn đề đối với hầu hết các môi trường triển khai cho doanh nghiệp.
Tuy nhiên, đối với các nhà cung cấp dịch vụ viễn thông thì đây lại là một vấn đề lớn. Hầu hết các nhà cung cấp dịch vụ viễn thông lớn đều muốn tách rời mạng điều khiển và mạng dữ liệu của người dùng.
This is not always the case with service providers though. Most large operators and service providers actually prefer to keep network control and subscriber data separate and forward them to parts of the network optimized for dealing with the specific traffic types.
Một vấn đề nghiêm trọng nữa là khi mà luồng điều khiển và luồng dữ liệu được truyền chung với nhau, nếu luồng điều khiển gặp vấn đề cũng sẽ làm gián đoạn luồng dữ liệu của người dùng.
Và rắc rối cuối cùng là Zone Director sẽ phải thực hiện một lượng lớn các xử lý MAC layer khi mà dữ liệu người dùng được forward tập trung về. Chính vì vậy, trong kiến trúc Split MAC về nguyên tắc một controller tối đa chỉ quản lý được vài nghìn AP.
Kết Luận:
Kiến trúc Split MAC của Zone Director có một số hạn chế vì vậy cần được cân nhắc khi triển khai các mạng WLAN dựa trên Zone Director. Việc thực thi các tác vụ của 802.11 và toàn bộ việc xác thực, quản lý key được thực hiện trên controller có thể dẫn đến việc tăng thời gian chuyển vùng AP làm việc triển khai theo mô hình phân tán gặp nhiều khó khăn. Vì vậy, việc đặt Zone Director tại chỗ ở mỗi địa điểm triển khai nên được xem xét, nhưng điều này cũng làm tăng chi phí triển khai và quản lý.
3. KIẾN TRÚC SMARTZONE MAC
Nền tảng SmartZone bắt đầu được phát triển từ đầu năm 2011 và không dựa trên kiến trúc Split MAC vốn đã được chấp nhận rộng rãi trong việc thiết kế các mạng WLAN doanh nghiệp. Nền tảng SmartZone đã triển khai một kiến trúc Local MAC tùy biến với việc tách rồi luồng điều khiển và luồng dữ liệu và sử dụng các giao thức lightweight phù hợp nhất cho mỗi nhiệm vụ. Hầu hết các công việc quan trọng của giao thức 802.11 (802.11 Client State Machine) và các chức năng khác được thực hiện tại AP. Bảng dưới đây mô tả rõ việc phân chia các chức năng giữa AP và SmartZone:
Một số chức năng khác được thực hiện trên SmartZone và trên AP được thể hiện ở bảng sau:
3.1. Khả năng phục hồi (khả năng hoạt động khi bị lỗi)
Như chúng ta thấy ở trong bảng trên, nền tảng SmartZone có khả năng phục hồi rất tốt với việc controller bị lỗi. Tất cả các chức WLAN cơ bản và một vài chức năng khác đều được thực hiện tại AP. Việc mất kết nối tới controller sẽ hầu như không ảnh hưởng để hoạt động bình thường của mạng WLAN.
Một số chức năng khác như Social Media Login hoặc Guest access có thể cần sử dụng CSDL người dùng được lưu trên SmartZone để xác thực người dùng có thể bị ảnh hưởng khi mất kết nối với controller. Tuy nhiên, các AP sẽ lưu trạng thái của người dùng đã kết nối với hệ thống và đảm bảo kết nối người dùng không bị ảnh hưởng.
Việc xác thực captive portal qua AP tới các CSDL bên ngoài sẽ không bị ảnh hưởng bởi kết nối tới controller.
Chức năng WiSPR Hotspot cần phải có sự hỗ trợ của SmartZone trong việc HTTP/HTTPS redirect, xử lý client proxy, tích hợp với Landing portal và xác thực RADIUS. Chức năng walled garden (một dạng whitelist trong xác thực hotspot) được thực hiện trên AP qua cơ chế DNS cache, cho phép lưu lượng người dùng đi ra internet trực tiếp từ AP mà không phải đi qua controller.
3.2. Dự phòng và quy mô:
Nền tảng SmartZone hỗ trợ dự phòng cluster N+1 active/active, cho phép tối đa lên tới 4 node trên một cluster. Các AP sẽ tự động san đều ra các node trong cluster (theo thứ tự ngẫu nhiên) để đảm bảo không có node nào bị quá tải.
Tất cả các thông tin về client được chia sẻ và đồng bộ giữa các node. Tất các cả thông tin về cấu hình và các bản ghi cố định khác được phân chia và sao lưu trên các CSDL của cluster để đảm bảo rằng nếu 1 node bất kỳ bị lỗi sẽ không ảnh hưởng đến dịch vụ.
Một controller SmartZone có thể hỗ trợ lên tới 10 000 AP và một cluster (4 node) có thể hỗ trợ lên tới 30 000 AP. SmartZone cũng hỗ trợ việc dự phòng giữa các cluster. Khi một toàn bộ cluster bị lỗi thì có thể chuyển đổi dự phòng sang một cluster khác. Cấu hình giữa 2 cluster phải được đồng bộ (thủ công hoặc đình kỳ).
3.3. 802.11 Association
Trong kiến trúc SmartZone, các thông tin để thực hiện các công việc trong giao thức 802.11 được lưu tại AP. Tất cả các nhiệm vụ về 802.11 authentication & association đều được đảm nhiệm trực tiếp bởi AP và kết quả sẽ được gửi về SmartZone (theo thời gian thực) để lưu trữ trong events logs. Vì vậy sẽ gặp phải các vấn đề về độ trễ giữa Smartzone và AP trong việc thực hiện 802.11 authentication và association.
Trong trường hợp sử dụng phương thức xác thực captive portal, AP sẽ cho phép người dùng associate và đồng thời kiểm tra trang thái của người dùng trên SmartZone. Nếu trạng thái của người dùng là “Authorized” thì AP sẽ không chuyển tiếp người dùng ra captive portal mà cho phép lưu lượng người dùng đi qua ngay lập tức (trong trường hợp kết nối Internet là cho phép ra Internet)
Trong trường hợp sử dụng WPA2-Personal, Pre-Shared Key cũng sẽ được lưu tại từng AP. Tương tự, danh sách L2 Access Control được dùng cho việc hạn chế truy cập theo MAC cũng sẽ được lưu tại AP.
Kiến trúc Local MAC của nền tảng SmartZone đã hạn chế được rất nhiều các vấn đề mà kiến trúc Split MAC gặp phải, bao gồm:
11 Authentication/Association request latency – Trễ xác thực 802.11
1X Authentication latency / packet loss – Trễ/mất gói trong xác thực 802.1X
WPA / WPA2 4-Way handshake
AP roaming delays – Trễ trong roaming
Khả năng đáp ứng trong triển khai theo mô hình phân tán
Quản lý 802.1X Authentication & Encryption Key
AP đóng vai trò như là RADIUS client trong việc gửi tất cả các bản tin RADIUS Authentication và Accounting. Tuy nhiên, cũng có lựa chọn cho phép SmartZone đóng vai trò như là một Radius Proxy.
AP đóng cũng đóng vai trò là 802.1X Authenticator trong 802.1X framework và chịu tránh nhiệm trong việc quản lý tất cả các encryption key, sinh MSK, PMK và các key tạm khác sử dụng trong quá trình mã hóa giao diện vô tuyến. Khi PMK được sinh ra, nó sẽ được lưu tại AP (PMK-caching) để làm tăng trải nghiệm người dùng trong quá trình 802.1x roaming. PMK cũng được gửi từ AP tới SmartZone để lưu trữ phục vụ chức năng Opportunistic PMK Caching. Nếu người dùng chuyển vùng sang một AP mới và cung cấp PMK-ID trong quá trình re-association, AP sẽ tìm kiểm PMK-ID này trên SmartZone để không phải thực hiện lại quá trình xác thực 802.1X đầy đủ. Quá trình WPA-4 way handshake được thực hiện hoàn toàn giữa client và AP loại bỏ hoàn toàn các vấn đề về độ trễ giữa AP và controller.
Tuy nhiên, vẫn có thể xảy ra một số vấn đề liên quan đến độ trễ cao của kết nối giữa SmartZone và AP. Độ trễ trong quá trình tìm kiếm PMK của AP trên SmartZone và có thể gây ra độ trễ không chấp nhận được trong quá trình roaming. Tuy nhiên, ảnh hưởng này là không nhiều bởi vì quá trình tìm kiếm được thực hiện ngay sau quá trình association, sau đó tất cả các tác vụ khác sẽ được thực hiện trực tiếp giữa AP và Client.
Khả năng đáp ứng trong triển khai theo mô hình phân tán:
Nền tảng SmartZone cho phép các chi nhánh triển khai các AP tích hợp thẳng vào hạ tầng CNTT tại chỗ (Active Directory, LDAP, RADIUS, DHCP, DNS, Firewalls etc.). Điều này có nghĩa là một SmartZone controller có thể quản lý được nhiều site mà không bắt buộc các authentication request hay dữ liệu người dùng phải kết nối về SmartZone. Đương nhiên là chúng ta vẫn có thể dùng SmartZone như là một proxy nếu muốn.
3.4. Layer 3 Networks:
Các AP chạy với nền tảng SmartZone sử dụng giao thức điều khiển riêng (dựa trên SSH) để kết nối với SmartZone cho phép tất cả lưu lượng điều khiển có thể vận chuyển qua Layer 3.
3.5. Khả năng triển khai với NAT
Tất cả các bản tin trao đổi đều được xuất phát từ AP và gửi tới SmartZone, vì vậy các AP làm việc trong nền tảng SmartZone có thể triển khai được sau NAT mà không gặp trở ngại gì. Các controller trong nền tảng SmartZone bao gồm virtual SmartZone (vSZ-E, vSZ-H) and SmartZone 100/300 đều hỗ trợ khả năng triển khai sau NAT. Trong trường hợp chạy cluster, thì phải sử dụng các địa chỉ IP public riêng biệt cho từng node.
3.6. Chuyển tiếp dữ liệu tập trung
Nền tảng SmartZone giao thức điều khiển riêng (dựa trên SSH) và giao thức dựa trên GRE cho đường dữ liệu và hai đường này được tách riêng. Nền tảng SmartZone cho phép chuyển tiếp dữ liệu tập trung tới SmartZone Controller (dạng Appliance) hoặc về Data Plane (dạng ảo hóa) thông qua giao thức RuckusGRE
RuckusGRE
RuckusGRE là phiên bản tùy biến của L2oGRE (còn được gọi là Ethernet over GRE hoặc SoftGRE) bằng cách thêm vào một header lớp Transport vào gói IP. Việc thêm vào một UDP header cho phép AP thiết lập một GRE tunnel ngay cả khi nó được đặt đằng sau một NAT router. GRE tiêu chuẩn không có UPD/TCP header này.
RuckusGRE sử dụng TLS certificate cho việc xác thực và có tùy chọn mã hóa AES 128 bit.
Xử lý riêng biệt – Differentiated Handling
SmartZone tách biệt control và data plane vì vậy cho phép xử lý riêng biệt lưu lượng điều khiển và lưu lượng người dùng. Data plane được thiết kế để nhận cấu hình từ control plane nhưng vẫn tách biệt được việc xử lý dữ liệu của người dùng.
Các controller dạng appliance như SmartZone 100/300 đều hỗ trợ data plane trên thiết bị cứng cho phép lưu lượng có thể được tunnel về cùng một thiết bị phần cứng.
Data Plane trên SmartZone 100 có thể sử dụng địa chỉ IP và subnet riêng hoặc sử dụng cùng địa chỉ IP với control plane. Còn SmartZone 300 thì yêu cầu mỗi thanh phần (data plane và control plane) cần có địa chỉ IP riêng của nó.
Virtual SmartZone Data Plane (vSZ-D) là dạng ảo hóa của DataPlane và được sử dụng cùng với dạng ảo hóa của SmartZone controller. Với phiên bản hiện tại, mỗi virtual SmartZone có thể quản lý được tối đa 10 vSZ-D và một cluster có thể quản lý lên tới 40 vSZ-D.
Triển khai Data Plane với NAT
Các controller trong nền tảng SmartZone đều hỗ trợ việc đặt data plane phía sau NAT. kết nối điều khiển giữa vSZ-D và SmartZone cũng hỗ trợ việc đặt sau NAT. Tuy nhiên, mỗi vSZ-D sẽ cần địa chỉ IP public riêng cho nó.
Yêu cầu về độ trễ:
Độ trễ được khuyến nghị giữa vSZ-D và vSZ control plane là <150ms. Đối với các controller dạng appliance (SmartZone 100/300) thì không có yêu cầu này vì dataplane và control plane nằm trên cùng một thiết bị phần cứng.
Xử lý các frame 802.11:
AP vẫn sẽ đảm nhiệm toàn bộ việc chuyển đổi từ 802.11 frame sang 802.3 frame trước khi chúng được đóng gói GRE header điều này giúp giảm tải cho và tăng hiệu năng cho DataPlane.
Kết Luận
Nền tảng SmartZone được thiết kế dựa trên kiến trúc Local MAC cho phép đơn giản hóa việc triển khai các mạng WLAN trên nhiều địa điểm địa lý khác nhau và tăng cường trải nghiệm người dùng mà không cần phải trang bị mỗi nơi một controller. Đây là một yếu tố cốt lõi cho phép triển khai các mô hình kinh doanh dạng cloud, managed service…
Kiến trúc SmartZone cũng cho thấy khả năng xử lý riêng biệt dữ liệu điều khiển và dữ liệu người dùng. Khả năng vSZ-D có thể được đặt trong một subnet riêng cho phép phân cách lưu lượng điều khiển và lưu lượng người dùng trong các mạng của nhà cung cấp dịch vụ. Khả năng vSZ-D có thể đặt được ở các vị trí địa lý khác nhau làm cho việc chuyển tiếp dữ liệu người dùng trở nên linh hoạt hơn.
