過年前經廠商推薦有機會體驗到ZYXEL AP,校內目前有的ZYXEL產品只有交換器XGS 1930-28HP,印象還很深的是ZYXEL有自家一套獨特的Nebula雲端管理平台,以及設定上可以透過ZON輕鬆進行基礎設定。而且官方提供的資訊與資源相當完整與便利能降低接觸門檻。XGS 1930這兩年穩定性很好,有方便的UI進行管理,管理維護需具備的技術門檻也不算高,聽阿福說這兩年在新北的故障率也很低,個人認為對一般國中小而言,是個可以稱職擔任L2 edge的角色。
一、外觀與規格
這次接觸的ZYXEL無線網路基地台型號是WAX610D,盒裝內附基地台本體、保證書與安裝手冊、背板與螺絲,身材適中(大約18*18/cm)。
由於盒裝未隨附電源變壓器,所以看了一下規格要吃12V2A的變壓器,最大耗電19瓦。
打開背面小房間會看到最右側要吃12V電源,中間UPLINK可由PoE Switch供電,左邊LAN1就是接網路不供電,供電配置的規格算蠻普遍也考量到便利性的,不像學校某款既沒附電源,LAN又與PoE孔位共用,手邊若是沒有閒置的PoE設備要重新設定光是解決供電問題就折騰許久。
拿起手邊網路電話附的12V變壓器就能過電,AP電源孔徑大小與網路電話變壓器插頭正好相符…
換到機櫃跟老大哥DLINK 2695借用一下 HP 2520G-24 PoE Switch 供電也沒問題。
翻開手冊一看,突然眼睛為之一亮…是WiFi 6(802.11ax)耶!學校目前最高階也最大宗的AP是前瞻採購的Cisco AIR_AP2802I是WiFi 5,新北早期採購到的AP多半是DLINK,本校95年最初建置的基地台則是Linksys,3年多前為活動中心設置AP時是選擇了Unifi,現在也有機會認識一下ZYXEL的AP了。
在官網上得知用途屬性為高階專業型,詳細規格可參閱ZYXEL官網 WAX610D
二、快速連線與設定(精靈模式)
兩年前接觸過ZYXEL所以這回知道透過ZON就可以快速設定,開啟ZON之後會列出目前的設備資訊,也可以進行簡易管理,例如恢復出廠設定、變更密碼、變更IP…,在不想翻手冊前提下要查詢預設IP或變更密碼的時候,透過ZON處理其實蠻方便的。
可以立刻變更密碼
設定管理IP
回到瀏覽器管理設備(預設帳密admin/1234)
登入後一開始就會跳出設定精靈,隨著安裝精靈可以直接完成時區、IP、頻段、SSID等一些基本設定。如果只是一般家用或無線網路架構單純的環境,直接使用精靈模式可以省去一些繁瑣的步驟,但缺點是Profile都自動化配對,想要調整profile細項時會缺乏彈性(仍可透過CLI進行變更)個人認為精靈模式適合家庭或網路相對單純的環境使用,如果是需要multi ssid的環境則建議跳過精靈進行手動設定才能隨心所欲地進行細部設定。
精靈Step1:設定時區
精靈Step2:變更密碼與IP設定
精靈Step3:無線網路頻譜
精靈Step4:啟用SSID
跑完設定精靈基本上已經會列出這台提供的SSID了
調整交換器的設定,暫時打算放在L2的21埠,所以default vlan要untag
其餘無線網路提供服務的網段分別帶上tag
拔掉跟NB的連線,並將AP連上PoE交換器,透過瀏覽器輸入管理IP就能連上線了。
開完機後AP燈號會變成白燈恆亮
瀏覽器開啟的預設帳密為admin/1234
登入後一樣出現QR詢問要不要加入Nebula
有點意外的,以AP管理介面來說,儀錶板竟然有提供這麼多的資訊,重點是介面挺精美的,有合我的味…
仔細一看發現在Ethernet Neighbor訊息中,連我UPLINK接的L2是HP ProCurve Switch 2520交換器型號與IP都抓出來了~水喔。
目前接在AP的這條線路狀態也能顯示,能快速識別實體線路是否有異常導致沒跑到1000M全雙工,這對於管理端都是一些重要資訊,可見官方在客戶管理設備的便利性方面的確很用心。
RESET
如果使用上需要重設時有三個方式可選擇,一是透過CLI下指令處理,二是透過zon軟體可以reset,我是選擇第三種不用動腦的方式,就是拿根迴紋針戳一下AP RESET孔。
三、進階設定
學校的無線網段經不斷的擴充與配合上級要求弄到有點複雜,但大致可依據不同的驗證方式將七個無線網段區分為底下三種驗證方式:
第一種(WEB驗證)ssid以NTPC與TANetRoaming 為代表,是連線後開啟瀏覽器驗證校務系統帳密才能上網,這種連線方式我比較少鼓勵老師這麼用,因為會需要經常輸入帳密驗證,所以多半是為了開放外校人員使用。
第二種(WPA2驗證)ssid以 NTPC-wpa2與eduroam 為代表,是透過局端radius進行校務系統帳密驗證的wpa2驗證,校內同仁個人設備我都是鼓勵大家這麼做,好處是只要設定一次,爾後進入校園就會自動連網。
第三種(MAC驗證) ssid以 NTPC-Mobile 與class為代表, 是預先登錄載具mac認證,有登錄過的載具進到校園即可自動連線,這個網段的用途我是沒開放校內同仁申請,只登錄校內公務設備的mac,理由是教師個人設備換來換去,三不五時要幫大家登錄mac也是困擾,而且教師個人舊機淘汰了也不會來通知我們進行刪除,日子久了勢必在系統上留下一堆幽靈帳號。
| vlan name | vid | ip | 備註 |
| default | 1 | 10.226 | manage |
| MGMT | 3 | 10.228 | manage |
| wlan | 30 | 10.251 | WiFi-校務帳密web驗證 |
| TANetRoaming | 31 | 10.211 | WiFi-校務帳密web驗證 |
| NTPC-Mobile | 32 | 10.213 | WiFi-mac_address驗證 |
| eduroam | 33 | 10.215 | WiFi-師生校務帳號wpa2加密驗證 |
| class | 34 | 10.217 | WiFi-平板5G mac驗證 |
| ntpc-wpa2 | 35 | 10.245 | WiFi-師生校務帳號wpa2加密驗證 |
| mac_auth | 36 | 10.247 | WiFi-mac_address驗證 |
步驟一:取消精靈
初次或RESET後進入WEB UI一開始就會跳出精靈設定,千萬千萬不要去跑精靈設定,直接按取消,建議自己一步一步來,因為精靈模式設定後為了防呆,會將所有SSID Profile、Security Profile名稱都自動配對且無法透過WEB UI變更,雖然設定內容就是一般的設定時區、網路、radio、SSID…等內容,但是配對寫死的Profile名稱無法自行變更對於提供multi ssid的客戶端管理來說就會顯得不便,據以往操作他牌設備的經驗,這類精靈其實等同於快速設定,所以一開始我也就順勢的跑完精靈,但結果反而造成相當大的不便,這點其實應該要請原廠調整,避免讓客戶踩雷,雖然精靈設定時會有個訊息視窗告知將採用default設定,但實在也無法聯想到精靈產生的各類Profile都配對好且名稱寫死了,如果是單一SSID的用戶端或許沒太大影響,但新北有7個無線網路的SSID,若不能從名稱上識別用途,只顯示Wiz_SSID1.2.3.4.5.6.7…那肯定是有極大不便的。
步驟二:設定IP
取消精靈之後進入左邊齒輪處設定組態,Network選項中只有IP與VLAN需要設定,其他可以先暫時略過…
步驟三:設定VLAN
VLAN標籤依序新增所需的vlan名稱與vid,其中vlan1是default vlan所以是untag (U) ,其餘則要改為tag(T)。
每個新增的vlan要記得加入lan1的Member,要帶tag所以Tagging也要設為yes。
步驟四:設定AP-Profile(Radio)
新北有7個無線網段,依序新增每個網段2.4G與5G 的Radio,所以共需要設置14筆Profile Name,同個Profile須個別建立2.4G與5G兩個不同頻帶且名稱不允許重複。
步驟五:新增Security List
設定SSID時,建議先建完7個Security List的Profile ,待會新增SSID Profile時就能直接選擇這邊建好的項目,不過,我TaNetRoaming未設正確,最後都一直無法開啟瀏覽器驗證畫面,這問題得再請教駐點工程師如何設定了。
步驟六:新增SSID List
逐一新增7筆SSID Profile Name
設定上就是SSID與Profile Name的命名盡量依照局裡的架構規畫,雖然能辨識即可使用,但Security Profile要與VLAN ID相對應,7個無線網路驗證方式才不會混亂。做到這邊,設定所需的Profile就都完成了。
步驟七:設定頻帶(Radio1/Radio2)
設定上剩下最後一步了,就是從AP Management設定Radio1(2.4G)與Radio2(5G)兩個不同頻帶分別要帶入的SSID Profile,由於剛才都已先將所需的Profile建立好了,所以這邊可以直接在MBSSID Setting點一下滑鼠用選擇的方式帶入設定,不用透過+字號重建config。
MBSSID是一種讓連入同一SSID載具彼此之間即使在相同vlan也不能互通的作法,全名是Multiple Basic Service Set ID。若是公共場合開放使用的無線環境沒有要讓載具能在彼此之間互通的情境,設定上只要在SSID Profile新增Layer-2 Isolation Profile,例如NTPC(v30)、TANetRoaming(v31)非教學用途的網段,使用對象可能是來訪的校外師生或公部門等外部人員,或是NTPC-WPA2 (v35) 、eduroam (v33)等師生個人載具亦非教學用途的無線網段,只要新增好Isolation Profile並套用後,連入此SSID的載具就不能彼此互連了,另外也能針對特定載具新增白名單,增加的mac可以讓少數載具互通有無。
MBSSID這樣的機制在公共場合提供的無線網路環境能保護用戶端設備無法互通進而提升資訊安全,但場景若換到教學現場,教師iPad的課堂或第三方廠商開發的教育類APP需要具備能監管學生載具、遙控班級載具執行APP、鎖屏、軟體廣播、收發作業…等需求時,例如上課用途的CLASS SSID為了不受MBSSID限制要達到監管功能,只要將Layer-2 Isolation Profile保持預設disable,班級中的師生載具就可以互相傷害了。
將SSID Profile全部帶入後,訊號就發出去囉。
四、連線測試
做個簡單但不太有意義的測試,只是想了解一下數據以及看看在WAX610D後台能顯示哪些資訊,上線後實際拿4PC+1平板+1手機同時播放YT 4K影片測試,由於6個測試工具都不支援到WiFi 6,所以效能基本上是測不太出來。
播放同一部日本4K影片後,都是同樣802.11ac的設備可以看出傳送速率都是866M,接收速率則落在325-780M之間,距離802.11ac標榜的433–6933 Mbit/s大概只有低空飛過WiFi 5的理論值,這其實在 Cisco AIR_AP2802I AP上測試也是差不多的數據。
N4640跑2160P影片會有明顯延遲的狀況,所以調整解析度降為1440P讓影片播放順暢,CPU負載降為60%左右,WiFi接收量大約落在30-40Mbps
五、心得
第一次接觸ZYXEL AP,從管理者的角度以一句話來總結,就是看似簡單但其實很不簡單,最讓我印象深刻的就是MBSSID的功能兼顧了資安與不同場域給予彈性的需求,且當Radio1套用Isolation Profile之後,Radio2同個SSID也會自動帶入相同 Isolation Profile ,一次搞定2.4G與5G兩個不同頻帶簡化了設定流程,原廠定位為高階專業型真是恰如其分。
備註一:調皮的精靈
初次使用在設定完vlan、profile、ssid之後遇到了奇怪的現象,就是主畫面上Radio1(2.4G)與Radio2(5G)的SSID Profile名稱都被寫死了也無法透過web ui更改。ssid profile沒有手動新增的權限,既有的名稱Wiz_SSID開頭的8筆資料也都無法透過編輯功能修改名稱,Security Profile也是相同狀況。
最後必須透過cli才能做到變更預設名稱的功能,而且即使想將既有名稱刪除也無權限。
後來透過原廠協助,發現我的設定應該是被設定精靈鎖死了,要改這些除了透過cli或整個reset之外別無他法,所以提醒自己要記得reset後別跑精靈模式。
備註二:Layer2 Isolation Profile
