WLAN 选项

这是 WLAN 将广播供客户端查看的名称。

虽然每个频段最多可配置 15 个服务集标识符 （SSID），但对于设备配置文件和 WLAN 模板而言，一个好的经验法则是每个 AP 仅使用两到三个 WLAN。这个想法是将信标管理帧产生的通话时间开销降至最低，信标管理帧以最低基本速率 （MBR） 每个无线电每 102.4 毫秒发送一次。换言之，为了在接入点上实现 4 个、6 个甚至 8 个有源 WLAN，您需要仔细考虑数据速率和同信道争用，否则我们建议每个接入点最多支持 2 到 3 个 WLAN。

使用该选项可以设置接入点是否广播 WLAN。您还可以执行以下作：

• 隐藏 SSID

• 按名称广播接入点

• 将Mist设置为在接入点没有 IP 地址或默认网关时禁用 WLAN，或者在Mist Edge隧道关闭时禁用隧道 WLAN。这是为了防止在接入点没有完整的网络连接或失去与 Mist Edge 的连接时出现客户端死胡同。

• 启用频段切换。频段控制技术可检测连接的客户端是否具有双频（2.4GHz 和 5GHz）功能。许多设备在过度拥挤的区域以 2.4 频段传输时，可能会产生噪音并干扰您的无线连接。启用频段转向可以鼓励客户端在信号良好时加入 5Ghz 频段，从而缓解这种情况。

选择要在 WLAN 上广播的无线电频率：2.4 GHz、5 GHz 或 6 GHz。 无线客户端在连接到 5 GHz 频段（而不是 2.4 GHz 频段）时通常会体验到更好的性能，因为 5 GHz 频段具有更多信道，因此同信道争用更少。6 GHz 频段具有更多的信道、更宽的信道、更高级的安全选项和更高的数据传输速率。

您可以在 WLAN 上配置非活动计时器以防止拥塞。AP 取消对非活动客户端的身份验证，由您在此处设置的时间定义。默认时间为 1800 秒。

地理围栏可以防止接收信号强度指示器 （RSSI） 低于指定电平的客户端加入网络。您可以为每个无线电频段设置最小客户端 RSSI，以防止超出给定距离或范围的客户端加入 WLAN。地理围栏仅适用于初始关联。因此，如果客户端已与网络关联，则如果客户端的 RSSI 值低于配置的阈值，则不会取消关联客户端。对于所有射频频段，默认设置为禁用。

请参阅 启用地理围栏。

设置数据速率可防止连接速度较慢的客户端降低整体 WLAN 性能。

默认值为 Compatible，允许所有连接。其他选项包括：

• 无旧版（2.4G，无 11b）— 阻止 802.11b 和 802.11g 设备加入 WLAN（这实际上增加了网络容量）。

• 高密度（禁用所有较低速率） — 阻止 802.11b 和 802.11g 客户端加入网络，并设置要连接的最低信号电平。此设置可能会影响客户端漫游。它还可以阻止旧设备加入网络，从容量的角度来看，这可能是可取的，或者相反，例如，如果您有很多旧设备被切断。

• 自定义速率 — 请参阅 Wi-Fi 数据速率配置。

使用 WLAN 速率限制为 WLAN 带宽设置上行链路和下行链路限制。您可以配置每个接入点、每个客户端和每个应用的速率限制。您还可以限制给定应用程序的总带宽分配。

设置每个客户端的上行链路和下行链路速率。

此选项限制指定应用程序的每个客户端的上行链路或下行链路速率。您必须通过应用程序的名称或主机名来标识应用程序。

选择您希望此 WLAN 应用到的接入点：全部、特定或根据接入点标签。

默认情况下，所选站点或站点组中的所有接入点都将获得 WLAN 配置，并使用 SSID 进行信标。根据用例或要求，您可以应用过滤器，仅在接入点标签或特定接入点上配置 WLAN。

安全类型

• 使用 Enterprise （802.1X） 的 WPA3 — 基于 RADIUS 的身份验证。使用此安全类型，您还可以启用其他选项：

  • WPA3+WPA2 过渡 — 过渡模式可以通过提供现有安全类型来帮助简化对 WPA3 和 OWE 的采用。有关详细信息，请参阅 6 GHz 无线的注意事项。

  • 192 位加密 — 此选项通过提供 GCMP-256 无线加密并需要更安全的证书，为 Wi-Fi 提供最高级别的 802.1X 安全性。

• WPA3 与个人 （SAE） — 基于密码的身份验证。您可以配置单个密码短语或多个密码短语。

• 使用 Enterprise （802.1X） 的 WPA2 - 基于 RADIUS 的身份验证。

• WPA2 与个人 （PSK） - 使用标准预共享密钥 （PSK） 的 Wi-Fi 保护访问 （WPA） 2。您可以配置单个密码短语或多个密码短语。

• 机会性无线加密 （OWE）—您可以在 6 GHz 多频段 SSID 上配置 WPA3/OWE 转换模式，以便更轻松地采用过渡模式 SSID。有关详细信息，请参阅 6 GHz 无线的注意事项。

• 开放访问 - 未加密，通常用于访客网络。

根据所选的安全类型，其他选项包括：

• 使用 RADIUS 查找进行 MAC 地址身份验证 — 将 MAC 地址提供给 RADIUS 服务器以授权设备。不适用于某些安全类型。

• 阻止被禁止的客户端关联 — 此选项可防止在“网络安全”页面上被禁止的客户端与此 WLAN 关联。

• 快速漫游 — 一种基于 802.11r 的安全方法，用于对新客户端进行身份验证。

VLAN

• 未标记 — 不使用 VLAN;这是默认设置。

• 标记 - 如果网络上有静态 VLAN，请选择此选项。在显示的字段中，输入 VLAN ID。 确保连接到接入点 （AP） 的交换机端口也使用标记的 VLAN。

• 池 — 选择此选项可从池中列出的其中一个 VLAN 中为无线客户端分配随机选择的 IP 地址。将其用于基于 PSK 的网络分段时，请指定 PSK 的 VLAN ID 字段所需的所有 VLAN ID（组织> WLAN 模板>预共享密钥>添加密钥 按钮，然后是 VLAN ID）。

  或者，要根据客户端的站点将客户端置于不同的 VLAN 中，请为池 VLAN 使用站点变量，并在 PSK 配置页面中将 VLAN ID 字段留空。

• 动态 — 选择此选项可将无线用户连接到 RADIUS 服务器中配置的给定 VLAN。

对等隔离可防止同一 WLAN、接入点或者有线或无线子网上的第 2 层对等流量。默认情况下，此选项处于禁用状态。（对于第 3 层过滤，您可以创建 WxLAN 策略。）

子网隔离需要固件版本 0.12 或更高版本，并且客户端必须具有 DHCP 地址。

• ARP
• 广播/组播
  • 允许 mDNS
  • 允许 SSDP
  • 允许 IPv6 邻接方发现
• 忽略广播 SSID 探测请求

这些过滤器可减少 WLAN 中接入点发送的管理帧数量。滤波可以通过释放无线电广播时间来显著提高性能，否则这些时间将作为作开销的常规部分消耗掉。

• ARP 过滤器可防止对给定 WLAN 接口的地址解析协议 （ARP） 广播请求。如果未启用，代理 ARP 将尝试通过将请求泛洪到任何未过滤的接口来解析所有未知以太网地址请求。建议将 ARP 筛选器保持启用状态。（默认情况下，Mist 个接入点都支持代理 ARP，这意味着接入点代表客户端发送 ARP 响应，而不是通过无线方式转发数据包。）
• 广播/组播过滤器可防止接入点在无线网络上传播广播和组播帧。该功能可过滤 IPv6 广播、组播和 IPv4/IPv6 mDNS 帧，但可以单独豁免这些帧。此过滤器中不包括 DHCP 广播。

• • 通过在选择广播/组播过滤时免除此流量的过滤来允许 mDNS 帧。Apple Bonjour 需要 mDNS 进行网络发现。

  • 通过在选择广播/组播过滤时豁免过滤的此流量，允许简单服务发现协议 （SSDP） 通告信标。需要 SSDP 通用即插即用 （UPnP） 设备发现。

  • 在选择广播/组播过滤时，通过豁免此流量来允许 IPv6 邻居发现 帧。

• AP 可以忽略来自无线客户端 的广播 SSID 探测请求 ，即不发送探测响应（该响应会通告其 SSID、支持的数据速率和其他 802.11 功能）。

• eth0 + PoE - 默认值。将流量转发出 Eth0 端口。

• Eth1 — 通过接入点的第二个以太网端口转发流量。此模式要求对 WLAN VLAN 进行取消标记。您必须将端口 Eth1 连接到物理上单独的 LAN。

• L2TPv3 - 基于标准的隧道。如果使用此选项，您还可以将Mist设置为在Mist隧道关闭时禁用 WLAN。

• 站点 Mist Edge — 将自定义转发设置为站点级别 Mist Edge，然后选择一个隧道。您还可以通过选中隧道 故障时禁用 WLAN 复选框，将Mist设置为在隧道关闭时禁用 WLAN Mist。

• 组织 Mist Edge — 如果使用此选项，则可以选择多个隧道，使用 VLAN 分离将流量划分到多个 Mist Edge 集群。这意味着，您可以将 WLAN 设置为转发至多个 Mist Edge 隧道以及本地分支。在 WLAN 中，您可以通过 VLAN 决定转发行为。由于每个 VLAN 转发控制可以转发至不同的 Mist Edge 群集，因此可在大型环境中实现极高的可扩展性。另一个用途是具有灵活转发功能的 SSID 整合。您必须确保 VLAN 不会在多个隧道上重复。您还可以将Mist设置为：

  • 通过选中隧道 故障时禁用 WLAN 复选框，在Mist隧道关闭时禁用 WLAN Mist禁用 WLAN。

  • 当接入点的 Mist Edge 隧道故障转移到其他 Mist Edge 群集中的 Mist Edge 时，通过选中 Mist Edge 群集更改时重新连接客户端 复选框，强制客户端重新连接。如果 Mist Edge 群集未使用相同的 IP 子网，这对于正常断开客户端连接非常有用。

您可以使用此选项使 WLAN 仅在特定日期和时间广播 SSID。当计划禁用时，AP 将不会广播 SSID（也就是说，搜索可用网络的客户端将看不到 SSID）。广播状态的更改不会重置射频或禁用 AP。

SSID 调度支持每天的多个时间范围。默认情况下，此模式处于禁用状态。

802.1X Web 重定向

适用于安全类型 为企业 （802.1X） 的 VLAN。

使用服务质量 （QoS） 确定流量优先级，这样更重要的流量就不会在拥塞期间排队。瞻博网络接入点可以优先分配无线流量，以优化共享射频，实现最佳应用性能。

Wi-Fi 多媒体 （WMM） 是基于 IEEE 802.11e 无线 QoS 标准的 Wi-Fi 联盟规范，用于支持流量优先级。本规范使用以下访问类别来确定传输的优先级：

• 0=背景（瞻博网络接入点未使用）

• 1=尽力而为

• 2=视频

• 3=语音

当多个并发应用争夺网络资源时，瞻博网络接入点可以使用 MME 来定义和提高无线信号质量和性能。

多媒体扩展 （MME） 是对通用处理器的架构扩展，用于提高多媒体工作负载的性能。WMM 不保证吞吐量。

AirWatch™ 是第三方移动设备管理系统。启用此设置后，AP 仅允许流量通过 AirWatch 控制台中已识别的客户端。如果启用，您需要为受管设备指定 AirWatch 控制台 URL、API 密钥和登录凭据。

未配置默认值。从 WLAN 配置页面或 WLAN 模板中按每个 WLAN 配置此设置。此功能会自动启用广播/组播过滤。因此，请务必选择允许 mDNS 帧的选项。

以下服务可用，但必须显式启用才能被发现：

• AirDrop、AirPlay、AirPrint、Apple HomeKit
• Amazon Devices、GoogleCast、Roku、Spotify Connect
• NFS、扫描程序、SleepProxy（网络唤醒）

请参阅将 Bonjour 网关添加到 WLAN。

支持 WPA3、WPA2、Legacy、OWE 和开放获取，支持企业 （802.1X） 和个人 （SAE），以及单个或多个密码短语、TKIP 等。

看：

• 在 WLAN 上启用 WPA2/WPA3 Enterprise （802.1X） 安全性

• 非法接入点、邻居接入点和蜜罐接入点

• 配置和管理预共享密钥

启用快速漫游，使使用 WPA2 或 WPA3 安全性连接到网络的客户端能够在接入点之间漫游时保持连接。使用快速漫游时，WPA2 和 WPA3 客户端无需在每次更换同一网络中的 AP 时都使用身份验证服务器重新进行身份验证。

• 默认值 - 仅本地 PMKID 缓存;网络上的 Mist 个 AP 之间不会共享 PMKID。这可能适用于某些用例，但无法扩展。

• .11r - 基于标准的快速漫游方法，在 802.11r 中描述。

每个 WLAN 都需要。指定接入点将在交换机连接中使用的 VLAN 类型。

• 未标记 — 不使用 VLAN;这是默认设置。

• 标记 — 与网络上的静态 VLAN 配合使用（连接到接入点的交换机端口也必须使用标记的 VLAN）。

• 池 — 用于为无线客户端分配从池中列出的其中一个 VLAN 中随机选择的 IP 地址。

• 动态 — 用于将无线用户连接到 RADIUS 服务器中配置的给定 VLAN。

有关使用具有预共享密钥的 VLAN 池进行分段的信息，请参阅利用 PSK 中的角色（用例）。

可以通过在Juniper Mist创建登录门户、使用自己的外部门户或启用单一登录来启用来宾访问。有关详细信息，请参阅 WLAN 访客门户。