产品:AP3030DN华为无线接入器
1为商业用户而生!华为AP3030DN来啦
在这个移动互联、社交网络全面兴起的时代里——移动终端的爆发式增长,各种APP应用的快速普及,都极大的推动了无线网络的普及与发展。此时,对于商业市场的用户(中小型企业、咖啡厅、休闲中心等)而言,如果尚未部署成熟的无线网络,那么无论是企业的发展速度、员工的办公效率,还是用户体验、服务创新、业绩增长等等,势必都会受到影响。
当然,想要部署好的商业级无线网络也并不是一件简单的事情:一方面,传统的企业级WLAN组网方案虽好,但高昂的价格和较高的专业要求,实在让很多商业用户为难;另一方面,家用级无线设备虽然价格便宜、部署方便,但其信号通常不够稳定,且重启、无法关联、断网等故障时有发生,而更为重要的是,其安全防护能力的不足,很可能会带来潜在的商业危险。为此,华为新一代商业级11AC新品——AP3030DN应运而生!
华为AP3030DN无线接入点支持最新的802.11ac标准、支持2.4GHz和5GHz双频段、支持2*2 MIMO技术——双频段无线传输速率可达1.167Gbps(867Mbps+300Mbps),其在为用户提供高速应用体验的同时,还具备完善的业务支持能力,搭配华为AC6005系列接入控制器,即可实现网络轻松部署、自动上线和配置、实时管理和维护、以及高可靠性,高安全性保障;而最值得一提的是,其支持FAT AP和FIT AP两种工作模式(其中FIT AP模式下支持的最大用户数为256个),可全面满足移动互联时代商业用户的无线组网需求。
华为新一代商业级11AC新品——AP3030DN无线接入点(整体外观)
外观方面,华为AP3030DN正方形的白色精巧机身(尺寸仅为180*180*39.5mm,重量仅400g)、绿色的呼吸式状态指示灯,搭配独有的棱格设计让人眼前一亮;而将其握在手中,无论是做工,还是质感,均展现了华为企业级产品的高端水准。
华为AP3030DN接口部分
接口方面,华为AP3030DN提供了一个Console控制口、一个10/100/1000M GE/PoE接口(满足802.3at以太网供电标准)和一个12V DC电源输入接口,并通过不同颜色标示,方便用户区分;而在机身另一侧WhatsApp网页版,则设计有一个Default复位按钮(长按超过3秒恢复出厂缺省值)和一个Lock设备锁接口(防止设备被盗)。
华为AP3030DN底部设计(及搭配安装支架)
作为一款主要应用于室内环境的新品,AP3030DN不仅外观设计出众,可与商业用户的整体设计风格融为一体,还可借助随机赠送的安装支架,轻松满足商业用户壁挂或吸顶等部署需求。而考虑到室内环境也存在差异化,因此华为AP3030DN在出厂前还历经了严苛的可靠性实验室测试,包括4K伏高压浪涌信号测试、-25℃ ~65℃温度循环测试、10度每分钟温变测试等等,通过这些测试,也让AP3030DN高可靠性得到了进一步的保证。
好啦,关于华为AP3030DN的基本信息我们就先介绍到这里。接下来,马上开启华为AP3030DN的实测,看看其在无线覆盖、实际传输性能等方面的表现究竟如何?再看看它又能为商业用户带来哪些不一样的创新体验!
产品:AC6005华为无线控制器
2邀请实测搭档 完成AC+瘦AP经典组网
邀请实测搭档:华为AC6005接入控制器
前文已经提到WhatsApp网页版,华为AP3030DN支持FAT AP和FIT AP两种工作模式。其中在FAT模式下,AP3030DN可独立完成用户接入、认证、数据安全、业务转发和QoS等功能,但对于众多的商业用户而言,具备更强性能、无缝漫游、配置简单、升级方便、维护轻松、安全可控、以及更易扩展等诸多优势的经典AC+瘦AP的组网方式才是首选。因此此次实测我们为AP3030DN挑选了一位搭档——华为AC6005接入控制器。
华为AP3030DN实测搭档——华为AC6005-8-PWR
华为AC6005接入控制器是华为针对中小型企业等商业级用户推出的小型盒式无线接入控制器——支持有线无线一体化接入(拥有8个GE口),具备高容量、高性能等特点,可提供4Gbps的转发能力,同时可管理256个AP、接入2K无线终端;此外,其还支持直接转发和隧道转发两种方式;并拥有灵活的用户权限控制,可提供基于用户和角色的访问控制策略控制能力。
华为AP3030DN通过AC6005的PoE端口供电
AC6005系列有两款产品形态,即AC6005-8和AC6005-8-PWR,其中AC6005-8-PWR支持POE功能,因此非常适合与AP3030DN搭配参与实测。(PS:AC6005-8-PWR的固件版本为AC6005V200R006C00B026.cc;AP3030DN的固件版本为
FitAP3X30XN_V200R006C00B026.bin)
体验华为AC6005的WEB网管
其实对于缺乏专业IT人员的商业用户来说,选择AC+瘦AP的这一组网方式,总要面临配置组网这一难题,特别是目前不少专业的AC产品还仅支持通过命令行(CLI)来完成基本组网,更是让不少商业用户大呼头疼。为此,华为AC6005特别提供了专业且功能全面的WEB网管功能,下面就随我们一起来体验一下吧!
华为AC6005 WEB网管登录界面
用户想要进入华为AC6005的WEB网管界面,仅需在浏览器的地址栏输入其缺省IP地址,例如169.254.1.1,然后在弹出的登录框中输入缺省用户名和密码(admin和admin@huawei.com)即可成功登录。
华为AC6005监控界面
进入华为AC6005的WEB网管界面后,首先映入眼帘的是华为AC6005的监控界面,在这里网管员可第一时间看到用户、射频、AP的健康度,以及接入用户数和有效吞吐量;而在左侧的菜单中,还可细致查看AC、用户、射频、AP、SSID、Mesh&WDS、潜在问题、以及WIDS等相关内容。
华为AC6005配置界面
点击上方的配置按键,我们即可进入华为AC6005的配置界面。在这里,首先可以进行AC、AP和Mesh的快速设置,以AC配置为例,可快速完成配置以太网接口、配置虚拟接口、配置DHCP、配置AC、以及配置确认。而如果管理员想进行更加细致的设置,例如完成IP的相关设置——DHCP地址池、NAT、路由等设置,可以点击左侧的AC配置菜单;此外,关于AP更为细致的配置、安全管理、扩展业务、以及备份配置等,也均可在左侧菜单中完成。
华为AC6005诊断界面
而为了加快管理员解决网络问题的速度,华为AC6005还提供了“诊断”功能,进入其诊断界面,即可实现对用户、AP和AC的智能诊断;同时还提供了非常丰富的诊断工具,包括一键信息采集、无线报文捕获、Ping、Trace Route、AAA Test、RF-Ping和AP-Ping等。
华为AC6005维护界面
此外,在AC和AP维护方面,华为AC6005也提供了丰富的支持。进入其维护界面,既可针对AC进行查看基本信息、AC重启、AC升级、补丁管理、License管理、日志管理、系统管理等设置;也可针对AP进行AP升级、AP重启、日志管理和账号管理等设置。
通过上述介绍不难看出,借助华为AC6005的WEB网管功能,即使商业用户没有专业的IT人员,也能轻松完成基本的网络设置,而其丰富的设置选项,搭配强大的诊断、运维等工具,还可进一步加速IT人员的工作效率,为网络的高效运营提供保障!
3多SSID、5G优先接入、关闭指示灯测试
网络隔离之多SSID测试
如同交换机中的VLAN一样,对于积极部署无线网络的商业用户来说,AP同样需要提供网络隔离能力,以保证网络的基本安全。其中对于中小型企业来说,通常会设有行政、技术、销售、财务等诸多部门,且每个部门都需要独立的无线网络;而对于咖啡厅、休闲中心等商业环境,网络的隔离需求或将更加细致。
针对每个SSID进行个性化设置
华为AP3030DN最多可支持32个SSID,并且通过WEB管理界面即可轻松完成配置,而每个SSID均可设置独立的转发方式、业务VLAN、射频(0或1)、安全策略、以及认证方式等等,这让商业用户可根据部门、人员、服务等不同需求划分不同的SSID,并做到了个性化设置,在实现网络隔离的同时,进一步保证了网络安全。
测试中我们快速完成了3个SSID的设置,随即在手机中就可搜索到这3个SSID(框内小图)
在实际测试中,我们通过点击AP快速配置,并选择好AP组列表,然后选择业务配置中的新建按钮,即可快速进行多个SSID的设置(上限为32个),整个设置过程可谓是相当的简单方便。而在设置完成后,点击保存按钮,即可在手机等终端中搜索到新建的SSID。
双频时代 5G优先接入测试
近几年,无线技术的飞速发展,使得无线干扰问题日益突然,特别是在2.4GHz这个公共频段,已是相当的“拥挤”。为此,支持2.4GHz和5GHz双频段的无线网络(设备)开始普及,而随着支持双频段的移动终端也越来越多,且5GHz频段的无线传输速率突破千兆,越来越多的终端用户希望不用选择就能接入到5GHz频段的无线网络之中。华为AP3030DN就提供了这样的5G优先接入能力,并以此来减少2.4GHz负载,从而提升无线网络的整体性能。
5G优先接入测试
在实际测试中,我们仅让一台iPhone 6手机随意加入到华为AC6005+AP3030DN构建的无线网络之中,然后通过WEB界面查看其是否优先接入到5G频段。结果如上图所示,5G优先接入轻松实现!
当然,5G优先接入仅仅是华为AP3030DN接入优化算法的一个小小展现,借助该算法,其还可实现自动逐包功率控制、AP负载均衡等;而在终端接入控制策略、时间调度策略等方面,AP3030DN也有自己的独到之处——通过低速终端接入控制、下线控制、多用户冲突控制、Airtime公平时间调度+Qos调度等技术保证接入合理的AP,避免误关联,并保障已关联终端的业务性能。
软件关闭AP状态指示灯测试
刚刚已经提到,作为一款主要应用于室内环境的AP产品,华为AP3030DN的部署位置灵活多样。而如果将其部署在用户可视的环境范围内,每一台AP都在不断闪烁着绿色指示灯(或是红色故障指示灯),那么用户的上网应用体验势必会受到影响。正是考虑到这一点,华为特别在WEB网管界面加入了AP指示灯软开关。
软件关闭华为AP3030DN的状态指示灯
那么如何关闭华为AP3030DN的状态指示灯呢?其实过程非常简单,在AP配置菜单中单击业务配置,然后在AP系统模板中即可找到指示灯开关,点击一下使其状态变为“OFF”,再点击应用按钮即可。此时从上图中可以看到,华为AP3030DN的状态指示灯已经被关闭。
4实用案例之跨VLAN三层漫游效果实测
跨VLAN的三层漫游效果实测
如果问经典的AC+瘦AP组网方式的最大优势是什么?无缝漫游绝对是其中之一。然而对于部分商业用户来说,无线网络的部署可能是跨楼层、或是覆盖面积较大的,且每个区域部署的AP所属的VLAN不同,这样当一个用户从一个楼层(或一个AP覆盖范围)移动到另外一个楼层(或另一个AP覆盖范围时),就会导致用户的业务中断。而想要解决这一问题,就需要跨VLAN的三层漫游技术。
华为AC6005+AP3030DN的组合就支持跨VLAN的三层漫游技术,那么其实际应用效果究竟如何呢?接下来我们就通过实测来体验下。
跨VLAN的三层漫游组网图(逻辑组网)
如上图所示,我们将在企业内部署了两台华为AP3030DN,并利用AC6005进行管理,旨在实现STA(移动终端)可以再AP1与AP2之间进行漫游,且STA的业务不间断。而本次实测,我们选择在ZOL办公区内完成,其中AP1和AP2之间相隔的距离约为25米左右,两者之间有无线覆盖重叠的区域。(PS:办公区内有其它AP,会影响测试AP的信号强度,但是不影响AP3030DN的跨VLAN三层漫游功能实现)
测试方法:STA(移动终端)在AP1与AP2间使用inSSIDer查看无线信号强度变化,然后STA长ping网关,并从AP1向AP2方向正常移动,在AC上查看STA的漫游轨迹。
测试结果:
通过inSSIDer测试AP1与AP2端的信号强度变化(AP1与AP2同时工作)
STA关联“SSID-Temp”无线网络
STA ping网关,在AC上查看STA的漫游轨迹,及其IP地址变化
通过实测不难看出,STA成功关联了“SSID-Temp”的无线网络,并获取到vlan-1的IP地址(在AC上可以看到,STA是从AP1接入网络的);与此同时,STA可以ping通网关,并且在向AP2移动过程中,在AC上可以看到STA的漫游轨迹是先接入AP1,再接入AP2,而整个过程中STA的IP地址不变,即跨VLAN的三层漫游体验成功。
5用户饱和时SSID隐藏与防暴力破解PSK
用户饱和时SSID隐藏测试
虽然在FIT AP模式下,华为AP3030DN能支持的最大用户数为256个,但在实际应用中,如果真的接入了这么多终端,每个终端用户的实际应用体验势必会变差。为此,华为AP3030DN特别设计了“用户饱和时SSID隐藏”这一创新功能,即网管员可根据实际网络带宽、用户密度、AP部署密度等等,为AP提前设定一个最大接入终端数,当接入终端数到达这一设定值时,该AP的SSID将自动隐藏。
设置AP最大接入终端数
在实际测试中,用户只需登录WEB网管界面,在AP配置的业务配置菜单中,点击AP系统模板WhatsApp网页版,即可找到AP最大接入终端数设置项,我们将其设置为3个,并点击“应用”按键。
通过WEB网管界面查看接入用户数已达3个
接下来,我们将三个移动终端接入华为AP3030DN的无线网络,通过WEB网关界面可以看到,目前的接入终端数已经达到3个。
搜索SSID
现在,我们再打开另一台移动终端,搜索无线网络SSID,可以看到,之前我们设置的test001、test002、test003均已无法搜索到,即SSID隐藏成功。
防暴力破解PSK测试
虽然华为AP3030DN支持WPA/WPA2–802.1X认证这种更加安全的无线接入方式,当对于不少商业用户来说,还是喜欢简单方便的支持WPA/WPA2–PSK认证方式来接入无线网络。但你知道吗?通过抓包工具,EWSA等密码暴力破解软件(借助GPU不断尝试各种密码组合),以及网络上随处可下载的密码字典,你所设置的无线接入密码很可能会被破解,从而导致整个网络陷入到危险之中。
针对此情况,华为AC6005+AP3030DN的组合专门提供了防暴力破解PSK功能,即可设置在一定时间检测周期内,允许密钥协商失败的次数,一旦移动终端输入错误密钥的次数超过了这个设定值,就会被放入到AC的动态黑名单之中,在该黑名单老化之前,该移动终端(即使输入的密钥正确)将始终无法连接到该无线网络之中。
在实际测试中,我们设定在100秒的检测周期内,允许密钥协商失败的次数为2次,而动态黑名单的老化时间为300秒。
移动终端MAC地址及输入正确密钥
连接始终无法成功
测试终端的MAC地址如上图所示,我们首先通过此终端故意输错两次无线接入密钥,然后再输入正确密钥尝试连接,可以看到,连接始终无法成功。
通过AC命令行查看动态黑名单
此时,通过AC命令行(
AC-wlan-view
display wlan ids attack-detected wpa2-psk)查看,可以看到测试终端的MAC地址已被列入到动态黑名单之中。
再次通过AC命令行查看动态黑名单
成功接入test003无线网络
接下来,等待几分钟,再通过AC命令行(
AC-wlan-view