甚麼是 APC ,無線 AP 控制器 ?
無線控制器,可將區域網路內可控的無線AP 集中管理,包括:無線 AP 設定套用、修改相關設定參數、wifi 訊號管理、及使用者接入安全控制等。(目前市面流通的所有APC和AP都是相同廠商的才能相互管理)
使用 APC 控管無線 AP 的優點是甚麼?
一,Unified-Configure (統一管理組態設定)
在大型企業中為了讓管理者、職員甚至是訪客能夠隨時隨地使用無線網路,常常需要佈署數十個 AP或者可能要上百個 AP才能達到需求。
如果使用傳統 AP所遇到的問題:
1. 在佈建無線網路時,架設幾台AP就必須重複設定幾次IP、SSID、加密、認證、Channel等參數。
2. 日後若需微調AP參數時,有幾台AP就必須重複更改幾次AP設定。
3. 由於設定次數等同AP台數,大量的重複性設定導致設定錯誤機率大幅提高。且因為無線網路支援漫遊之故,就算是AP運作不良,管理者很難發現是哪台AP設定錯誤。
新軟 Fit AP + APC解決方案:
1. 不論架設多少台AP,管理者只需在APC設定 “一次”AP的相關參數。當AP接上網路時就會自行從APC取得相關設定資料,並且自動匯入、運行。
2. 日後微調AP設定參數時,只需在APC變更設定“一次”,十秒內所有的AP會同步更新設定資料。
3. 不需每台AP重複設定各項參數,可將錯誤機率降至最低。且APC擁有AP狀態列表,AP運行情況一目了然。
二,AP Load Balance (負載均衡)
在例行會議上,眾多職員在會議室中利用行動裝置使用無線網路進行開會事宜。
如果使用傳統 Fat AP所遇到的問題:
一般行動裝置會選擇連線訊號最好的AP,因此所有職員都會嘗試連線同一個AP上網。而單一台AP可使用的連線數有限,導致部分用戶可能無法與AP連線。而另一部分用戶雖然與AP連線,但因AP負荷較重,降低上網速度。
一般廠商所提供的 Thin AP + APC解決方案:
雖有提供AP的負載均衡功能,但也僅是以限制AP可服務數量的方式來運作,因此還是會有單一AP之用戶爆滿,上網速度緩慢,而附近其他AP卻只有少少一兩個用戶的情況發生。
新軟Fit AP + APC解決方案:
由APC管控每台AP的連線數;當有一AP用戶數偏多時,APC會將特定用戶(有連線AP但並沒有訊號在傳送的用戶等…)導向訊號次強的AP。讓所有連線妥善分至各AP上,讓整體戶上網順暢。
三,802.11r Fast Roaming(無縫漫遊)
在偌大校園、廣闊機場甚至是大型公司裡,一般人使用無線網路最常見的應用除了上網、收發E-Mail外,大概就是使用網路電話(可節費)。只是通常不會待在固定地點講網路電話,而是到處走動(逛免稅店、散步於校園中…)。因此漫遊功能變得十分重要。
如果使用傳統 Fat AP所遇到的問題:
雖然將所有Fat AP的SSID都設成相同,即可以達到漫遊之目的。但是用戶在移動中所造成AP切換會有相當明顯的連線中斷情形發生(切換時間約0.3秒以上),而導致網路電話收訊不佳、停格,甚至是斷線。
新軟Thin AP + APC解決方案:
用戶的行動裝置在與AP連線同時,就已先行通過附近其他AP的連線認證。待用戶遠離原連線AP的訊號範圍來到其他AP旁,行動裝置可立即切換所連線AP(切換時間約0.06秒,而一般人類視覺站留約為0.1秒,所以您幾乎無法察覺AP已經切換)以達到無縫漫遊的目的。
一個AP為什麼要8個SSID?
設定多個SSID可以因應不同的需求來分組管理不同的用戶群,如公司訪客連的SSID只能上網,無法連入內部Server存取資料;又或者各SSID做頻寬管理(Qos)等…。
應用範例 :
我公司使用 SG2100 已經內建 APC 功能,並且架設多台 AP ( NAP-570 ) 提供內部電腦使用。目前遇到一個問題,如何建立一個專門手機用戶使用的SSID 只能允許上網,但禁止與內部用戶及主機連線 ?
此案例可以使用多個 SSID 透過 SG 資安產品將 APC 與防火牆功能整合來達成控管要求。
首先建立 Mobile_2.4G 及 Mobile_5G 這兩個 SSID ,設定透過此 SSID 認證連線用戶只允許聯外上網,無法與其他內網相通。
設定步驟: ( Mobile_2.4G 及 Mobile_5G 各做一次)
1.AP控制器 > 組態 > SSID設定 ,
SSID: Mobile(2.4G)
用戶端隔離 : 開啟 (不管用戶端是否連到相同的AP或SSID皆不能互通)
認證開啟
2.管制條例選項 > 位址表 > 內部網路,新增
名稱: mobile_wifi_2.4g
網路介面 : SSID: Mobile(2.4G) ; SSID 在防火牆設備如同一個虛擬介面,方便控管。
3.管制條例 > 內部至內部
#1 , Inside_Any to mobile_wifi_2.4g , 禁止
#2,mobile_wifi_2.4g to Inside_ Any , 禁止
加這兩條到最前面就可以了!
4.管制條例 > 內部至外部
#1 , mobile_wifi_2.4g to Outside_Any ,允許
設定完成! 無線用戶使用 SSID :Mobile(2.4G) 連線只允許連上 Internet ,無法與內部其他成員連線。
無線控制器,可將區域網路內可控的無線AP 集中管理,包括:無線 AP 設定套用、修改相關設定參數、wifi 訊號管理、及使用者接入安全控制等。(目前市面流通的所有APC和AP都是相同廠商的才能相互管理)
使用 APC 控管無線 AP 的優點是甚麼?
一,Unified-Configure (統一管理組態設定)
在大型企業中為了讓管理者、職員甚至是訪客能夠隨時隨地使用無線網路,常常需要佈署數十個 AP或者可能要上百個 AP才能達到需求。
如果使用傳統 AP所遇到的問題:
1. 在佈建無線網路時,架設幾台AP就必須重複設定幾次IP、SSID、加密、認證、Channel等參數。
2. 日後若需微調AP參數時,有幾台AP就必須重複更改幾次AP設定。
3. 由於設定次數等同AP台數,大量的重複性設定導致設定錯誤機率大幅提高。且因為無線網路支援漫遊之故,就算是AP運作不良,管理者很難發現是哪台AP設定錯誤。
新軟 Fit AP + APC解決方案:
1. 不論架設多少台AP,管理者只需在APC設定 “一次”AP的相關參數。當AP接上網路時就會自行從APC取得相關設定資料,並且自動匯入、運行。
2. 日後微調AP設定參數時,只需在APC變更設定“一次”,十秒內所有的AP會同步更新設定資料。
3. 不需每台AP重複設定各項參數,可將錯誤機率降至最低。且APC擁有AP狀態列表,AP運行情況一目了然。
二,AP Load Balance (負載均衡)
在例行會議上,眾多職員在會議室中利用行動裝置使用無線網路進行開會事宜。
如果使用傳統 Fat AP所遇到的問題:
一般行動裝置會選擇連線訊號最好的AP,因此所有職員都會嘗試連線同一個AP上網。而單一台AP可使用的連線數有限,導致部分用戶可能無法與AP連線。而另一部分用戶雖然與AP連線,但因AP負荷較重,降低上網速度。
一般廠商所提供的 Thin AP + APC解決方案:
雖有提供AP的負載均衡功能,但也僅是以限制AP可服務數量的方式來運作,因此還是會有單一AP之用戶爆滿,上網速度緩慢,而附近其他AP卻只有少少一兩個用戶的情況發生。
新軟Fit AP + APC解決方案:
由APC管控每台AP的連線數;當有一AP用戶數偏多時,APC會將特定用戶(有連線AP但並沒有訊號在傳送的用戶等…)導向訊號次強的AP。讓所有連線妥善分至各AP上,讓整體戶上網順暢。
三,802.11r Fast Roaming(無縫漫遊)
在偌大校園、廣闊機場甚至是大型公司裡,一般人使用無線網路最常見的應用除了上網、收發E-Mail外,大概就是使用網路電話(可節費)。只是通常不會待在固定地點講網路電話,而是到處走動(逛免稅店、散步於校園中…)。因此漫遊功能變得十分重要。
如果使用傳統 Fat AP所遇到的問題:
雖然將所有Fat AP的SSID都設成相同,即可以達到漫遊之目的。但是用戶在移動中所造成AP切換會有相當明顯的連線中斷情形發生(切換時間約0.3秒以上),而導致網路電話收訊不佳、停格,甚至是斷線。
新軟Thin AP + APC解決方案:
用戶的行動裝置在與AP連線同時,就已先行通過附近其他AP的連線認證。待用戶遠離原連線AP的訊號範圍來到其他AP旁,行動裝置可立即切換所連線AP(切換時間約0.06秒,而一般人類視覺站留約為0.1秒,所以您幾乎無法察覺AP已經切換)以達到無縫漫遊的目的。
一個AP為什麼要8個SSID?
設定多個SSID可以因應不同的需求來分組管理不同的用戶群,如公司訪客連的SSID只能上網,無法連入內部Server存取資料;又或者各SSID做頻寬管理(Qos)等…。
應用範例 :
我公司使用 SG2100 已經內建 APC 功能,並且架設多台 AP ( NAP-570 ) 提供內部電腦使用。目前遇到一個問題,如何建立一個專門手機用戶使用的SSID 只能允許上網,但禁止與內部用戶及主機連線 ?
此案例可以使用多個 SSID 透過 SG 資安產品將 APC 與防火牆功能整合來達成控管要求。
首先建立 Mobile_2.4G 及 Mobile_5G 這兩個 SSID ,設定透過此 SSID 認證連線用戶只允許聯外上網,無法與其他內網相通。
設定步驟: ( Mobile_2.4G 及 Mobile_5G 各做一次)
1.AP控制器 > 組態 > SSID設定 ,
SSID: Mobile(2.4G)
用戶端隔離 : 開啟 (不管用戶端是否連到相同的AP或SSID皆不能互通)
認證開啟
2.管制條例選項 > 位址表 > 內部網路,新增
名稱: mobile_wifi_2.4g
網路介面 : SSID: Mobile(2.4G) ; SSID 在防火牆設備如同一個虛擬介面,方便控管。
3.管制條例 > 內部至內部
#1 , Inside_Any to mobile_wifi_2.4g , 禁止
#2,mobile_wifi_2.4g to Inside_ Any , 禁止
加這兩條到最前面就可以了!
4.管制條例 > 內部至外部
#1 , mobile_wifi_2.4g to Outside_Any ,允許
設定完成! 無線用戶使用 SSID :Mobile(2.4G) 連線只允許連上 Internet ,無法與內部其他成員連線。