WLAN 选项

这是 WLAN 将广播给客户端查看的名称。

虽然每个无线频段最多可配置 15 个服务集标识符 （SSID），但设备配置文件和 WLAN 模板的一个良好经验法则是每个接入点仅使用两到三个 WLAN。其想法是最大程度地减少信标管理帧产生的联网时间开销，这些帧以最低基本速率 （MBR） 每隔 102.4 毫秒发送每个无线频段。换句话说，除非您仔细考虑数据速率和同信道争用，以便在一个接入点上实现 4、6 甚至 8 个活动 WLAN，否则建议每个接入点最多有 2 到 3 个 WLAN。

如果要将此 WLAN 标记为无线服务级别预期 （SLE） 的“排除的 WLAN”，请选中该复选框。例如，您可能希望排除测试 WLAN 或正在微调的新 WLAN。查看无线 SLE 仪表板时，您可以隐藏或显示任何排除的 WLAN。此排除项适用于除运行状况之外的所有SLE指标接入点运行状况，其中无一例外地包括所有 WLAN。

使用此选项可设置接入点是否广播 WLAN。您还可以执行以下作：

• 隐藏 SSID

• 按名称广播接入点

• 设置Mist以在接入点没有 IP 地址或默认网关时禁用WLAN，或者在 Mist Edge 隧道 关闭时禁用隧道式 WLAN 上。这是为了防止在接入点没有完整的网络连接或与 Mist Edge 断开连接时，客户端出现死胡同。

• 启用频段切换。频段控制技术可检测连接的客户端是否具有双频（2.4GHz 和 5GHz）功能。许多在过度拥挤的区域以 2.4 频段传输的设备可能会对您的无线连接造成噪音和干扰。启用频段控制可以鼓励客户端在信号良好的情况下加入 5Ghz 频段，从而缓解这种情况。

选择要在 WLAN 上广播的无线电频率：2.4 GHz、5 GHz 或 6 GHz。 无线客户端在连接到 5 GHz 频段而不是 2.4 GHz 频段时通常能获得更好的性能，因为 5 GHz 频段的信道更多，因此同信道干扰更少。6 GHz 频段的信道更多、信道更宽、安全选项更高级、数据传输速率更快。

请参阅无线资源管理 （RRM）。

您可以在 WLAN 上配置非活动计时器以防止拥塞。接入点会取消对非活动客户端的身份验证，如您在此处设置的时间所定义。非活动计时器的范围在 60 到 86400 秒之间。默认时间为 1800 秒。

地理围栏可防止接收信号强度指示器 （RSSI） 低于指定级别的客户端加入网络。您可以为每个无线电频段设置最小客户端 RSSI，以防止超出给定距离或范围的客户端加入 WLAN。地理围栏仅适用于初始关联。因此，如果客户端已与网络关联，则当客户端的 RSSI 值低于配置的阈值时，客户端将不会解开。默认值为所有无线电频段禁用。

请参阅 启用地理围栏。

设置数据速率，以防止连接速度较慢的客户端降低整体 WLAN 性能。

默认值为“ 兼容”，它允许所有连接。其他选项包括：

• 无旧版（2.4G，无 11b） — 阻止 802.11b 设备加入 WLAN（这实际上会增加网络容量）。

• 高密度（禁用所有较低速率） — 阻止 802.11b 和 802.11g 客户端加入网络，并设置连接的最小信号级别。此设置可能会影响客户端漫游。它还可以阻止传统设备加入网络（从容量的角度来看，这可能是可取的），反之亦然，例如，如果您有大量被切断的传统设备。

• 自定义速率 — 请参阅 Wi-Fi 数据速率配置。

使用WLAN速率限制为WLAN带宽设置上行和下行链路限制。您可以为每个接入点、每个客户端和每个应用配置速率限制。您还可以限制给定应用程序的总带宽分配。

速率限制字段还支持每个 WLAN 和每个客户端的站点级变量，作为对值进行硬编码（即使其全局）的选项。这在 WLAN 模板中尤其有用，在这些模板中，您希望配置一个常用的核心配置，但又希望灵活地处理特定于站点的差异。您可以在 组织 > 管理员 > 站点配置 页面上添加变量。

设置每个客户端的上行链路和下行链路速率。

此选项将限制指定应用程序的每个客户端的上行或下行链路速率。您必须通过名称或主机名来识别应用程序。

选择要此 WLAN 应用于的 AP：全部、特定或根据接入点标签。

默认情况下，选定站点或站点组中的所有 AP 都将获取 WLAN 配置并信标 SSID。根据用例或要求，您可以应用筛选条件，仅在接入点标签或特定接入点上配置WLAN。

安全性类型

• 使用企业 （802.1X） 的 WPA3 — 基于 RADIUS 的身份验证。使用此安全类型，您还可以启用其他选项：

  • WPA3+WPA2 转换 — 转换模式可以通过提供现有的安全类型来帮助简化对 WPA3 和 OWE 的采用。有关更多信息，请参阅 6 GHz 无线的注意事项。

  • 192 位加密 —此选项通过提供 GCMP-256 无线加密并且要求更安全的证书，可在 Wi-Fi 中实现最高级别的 802.1X 安全性。

• WPA3 与个人 （SAE） — 基于密码的身份验证。您可以配置单个密码短语或多个密码短语。

• 使用企业 （802.1X） 的 WPA2 — 基于 RADIUS 的身份验证。

• WPA2 与个人 （PSK） — 使用标准预共享密钥 （PSK） 的 Wi-Fi 保护访问 （WPA） 2。您可以配置单个密码短语或多个密码短语。

• 机会无线加密 （OWE） — 您可以在 6 GHz 多频段 SSID 上配置 WPA3/OWE 转换模式，以便更轻松地采用转换模式 SSID。有关更多信息，请参阅 6 GHz 无线的注意事项。

• 开放接入 — 未加密，通常用于访客网络。

根据选用的安全类型，其他选项包括：

• 使用 RADIUS 查找进行 MAC 地址身份验证 — 将 MAC 地址提供给 RADIUS 服务器以对设备进行授权。某些安全类型不可用。

• 阻止被禁止的客户端关联 — 此选项可防止在“网络安全性”页面上被禁止的客户端与此 WLAN 关联。

• 快速漫游 — 一种基于 802.11r 的安全方法，用于对新客户端进行身份验证。

VLAN

• 无标记 — 不使用 VLAN;这是默认设置。

• 标记 — 如果网络上有静态 VLAN，请选择此选项。在出现的字段中，输入 VLAN ID。 确保连接到接入点（接入点）的交换机端口也使用标记的 VLAN。

• 池 - 选择此选项可为无线客户端分配从池中列出的一个 VLAN 中随机选择的 IP 地址。将此项用于基于 PSK 的网络分段时，请为 PSK 的 VLAN ID 字段指定所需的所有 VLAN ID（组织>WLAN模板>预共享密钥>添加密钥 按钮，然后是 VLAN ID）。

  或者，要根据客户端的站点将客户端置于不同的 VLAN 中，请为池 VLAN 使用站点变量，并在 PSK 配置页面中将 VLAN ID 字段留空。

• 动态 - 选择此选项可将无线用户连接到给定 VLAN（如 RADIUS 服务器中配置）。

对等隔离可防止第 2 层对等流量位于同一 WLAN、接入点或有线或无线子网上。默认情况下，此选项处于禁用状态。（对于第 3 层过滤，您可以创建 WxLAN 策略。）

子网隔离需要固件版本 0.12 或更高版本，并且客户端必须具有 DHCP 地址。

• ARP
• 广播/组播
  • 允许 mDNS
  • 允许 SSDP
  • 允许 IPv6 邻接方发现
• 忽略广播 SSID 探测请求

这些过滤器可减少 WLAN 中接入点发送的管理帧数。过滤可以通过释放无线电通话时间来显著提高性能，否则无线电通话时间会作为运营开销的常规部分消耗。

• ARP — ARP 过滤器可阻止地址解析协议 （ARP） 对给定 WLAN 接口的广播请求。如果未启用，代理 ARP 将尝试通过将请求泛洪到任何未过滤的接口来解析所有未知的以太网地址请求。建议启用 ARP 过滤器。（默认情况下，Mist 接入点支持代理 ARP，这意味着接入点代表客户端发送 ARP 响应，而不是通过无线方式转发数据包。）
• 广播/组播 — 广播/组播过滤器可防止接入点在无线网络上传播广播和组播帧。它过滤 IPv6 广播、组播和 IPv4/IPv6 mDNS 帧，尽管这些帧可以单独豁免。此过滤器不包括 DHCP 广播。

• • 选择 广播/组播 过滤时，通过免除此流量过滤来允许 mDNS 帧。Apple Bonjour 需要 mDNS 来进行网络发现。

  • 选择 广播/组播 过滤时，通过豁免要过滤的流量，来允许简单服务发现协议 （SSDP） 播发信标。需要 SSDP 通用即插即用 （UPnP） 设备发现。

  • 在选择广播/组播过滤时，通过豁免此流量来允许 IPv6 邻 组播发现帧。

• 接入点可以忽略来自无线客户端的 广播 SSID 探测请求 ，即不发送探测响应（通告其 SSID、支持的数据速率和其他 802.11 功能）。

• Eth0 + PoE—默认。从 Eth0 端口转发流量。

• Eth1 — 通过接入点的第二个以太网端口转发流量。此模式要求 WLAN VLAN 未标记。您必须将端口 Eth1 连接到物理上单独的 LAN。

• L2TPv3 — 基于标准的隧道。如果使用此选项，您还可以将 Mist 设置为在 Mist 隧道出现故障时禁用 WLAN。

• 站点 Mist Edge - 将自定义转发设置为站点级别 Mist Edge，然后选择一条隧道。您还可以通过选中 Mist 隧道中断时禁用 WLAN 复选框，将 Mist 设置为在隧道中断时禁用 WLAN。

• 组织 Mist Edge - 如果使用此选项，则可以选择多个隧道，以便使用 VLAN 分离将流量划分为多个 Mist Edge 群集。这意味着，您可以将 WLAN 设置为转发到多个 Mist Edge 隧道以及本地分支。在 WLAN 中，您可以通过 VLAN 决定转发行为。由于接入点可以转发到不同的 Mist Edge 群集，因此每个 VLAN 转发控制可在大型环境中实现极高的可扩展性。另一个用途是具有灵活转发功能的 SSID 整合。您必须确保一个 VLAN 不会在多个隧道上重复。您还可以将 Mist 设置为：

  • 选中 Disable WLAN when Mist Tunnel goes down（隧道关闭时禁用 ）复选框，禁用 Mist 隧道 关闭时的WLAN。

  • 当接入点的 Mist Edge 隧道故障转移到其他 Mist Edge 群集中的 Mist Edge 时，通过选中“当 Mist Edge 群集发生更改时重新连接客户端 ”复选框，强制客户端重新连接。如果 Mist Edge 群集之间未使用相同的 IP 子网，这对于正常断开客户端连接非常有用。

使用此选项可让 WLAN 仅在特定日期和时间广播 SSID。计划禁用时，接入点将不会广播 SSID（即，搜索可用网络的客户端将看不到 SSID）。广播状态的更改不会重置无线电或禁用接入点。

SSID 调度支持每天的多个时间范围。默认情况下，此模式处于禁用状态。

802.1X Web 重定向

适用于安全类型为 企业 （802.1X） 的 VLAN。

使用服务质量 （QoS） 来确定流量的优先级，以便在拥塞期间，重要的流量不会滞留在队列中。瞻博网络接入点可以确定无线流量的优先级，以优化共享无线信号，从而实现最大的应用性能。

Wi-Fi 多媒体 （WMM） 是基于 IEEE 802.11e 无线 QoS 标准的 Wi-Fi 联盟规范，支持流量优先级。此规范使用以下接入类别来确定传输的优先级：

• 0=后台（不由瞻博网络接入点使用）

• 1=尽力而为”

• 2=视频

• 3=语音

当多个并发应用争夺网络资源时，瞻博网络接入点可以使用 MME 来定义和改进无线信号质量和性能。

多媒体扩展 （MME） 是通用处理器的体系结构扩展，用于提高多媒体工作负载的性能。WMM 不保证吞吐量。

AirWatch™ 是第三方移动设备管理系统。启用此设置后，接入点仅允许流量传递给 AirWatch 控制台中已标识的客户端。如果启用，您需要为受管设备指定 AirWatch 控制台 URL、API 密钥和登录凭据。

默认值未配置。从 WLAN 配置页面或 WLAN 模板中，按 WLAN 配置此设置。此功能会自动启用广播/组播过滤。因此，请务必选择允许 mDNS 帧的选项。

以下服务可用，但必须显式启用才能被发现：

• AirDrop、AirPlay、AirPrint、Apple HomeKit
• 亚马逊设备、GoogleCast、Roku、Spotify Connect
• NFS、扫描程序、SleepProxy（网络唤醒）

请参阅将 Bonjour 网关添加到 WLAN。

支持 WPA3、WPA2、旧版、OWE 和开放接入，支持企业 （802.1X） 和个人 （SAE），以及单个或多个密码短语、TKIP 等。

看：

• 在 WLAN 上启用 WPA2/WPA3 企业 （802.1X） 安全性

• 非法、邻居和蜜罐接入点

• 配置和管理预共享密钥

启用快速漫游，让使用 WPA2 或 WPA3 安全性连接到网络的客户端在接入点之间漫游时保持连接。借助快速漫游，WPA2 和 WPA3 客户端每次在同一网络中更换接入点时，都无需向身份验证服务器重新进行身份验证。

• 默认 — 仅本地 PMKID 缓存;网络上的 Mist 接入点之间不会共享 PMKID。这可能适用于某些用例，但无法扩展。

• .11r - 基于标准的快速漫游方法，见 802.11r 中所述。

每个 WLAN 都需要。指定接入点将在交换机连接中使用的 VLAN 类型。

• 无标记 — 不使用 VLAN;这是默认设置。

• 标记 — 与网络上的静态 VLAN 配合使用（连接到接入点的交换机端口也必须使用标记的 VLAN）。

• 池 - 用于为无线客户端分配从池中列出的一个 VLAN 中随机选择的 IP 地址。

• 动态 - 用于将无线用户连接到给定 VLAN，如 RADIUS 服务器中配置。

有关使用带有预共享密钥的 VLAN 池进行分段的信息，请参阅利用 PSK 中的角色（用例）。

您可以通过在瞻博网络 Mist 中创建登录门户、使用自己的外部门户或启用单点登录来启用访客访问。有关更多信息，请参阅 WLAN 访客门户。