從配置看主要有個(gè)兩個(gè)無線服務(wù)

（1）服務(wù)模板200是普通用戶接入，用的是BYOD方案。

用戶未真正MAC認(rèn)證通過之前，流量是集中轉(zhuǎn)發(fā)到AC上，做portal認(rèn)證的。

這部分流量要走ipsec，但因?yàn)闆]有portal認(rèn)證通過，按理說不會(huì)太大的流量，也就是操作系統(tǒng)、手機(jī)后臺跑的一些流量，我們控制不了，到了AC才會(huì)被portal丟棄。Portal認(rèn)證通過后，BYOD會(huì)把用戶踢下線，重新MAC認(rèn)證走本地轉(zhuǎn)發(fā)，也就不涉及ipsec了。

（2）服務(wù)模板10是個(gè)MAC認(rèn)證，走集中轉(zhuǎn)發(fā)，應(yīng)當(dāng)是客戶業(yè)務(wù)需要。

這些用戶的所有流量都是要進(jìn)過ipsec的。需要搞清楚這部分流量有多少，占比多大。

另外，AC上對于集中轉(zhuǎn)發(fā)的VLAN，沒有開啟用戶隔離，造成廣播報(bào)文被復(fù)制到各個(gè)AP，這點(diǎn)確實(shí)是浪費(fèi)帶寬。如果走集中轉(zhuǎn)發(fā)的終端沒有互訪需求，那么開啟用戶隔離，這是還可以做優(yōu)化的。

從AC的有線口統(tǒng)計(jì)看，出方向流量較大，也就是AC->AP方向，大約是56Mbps左右。從占比看，廣播復(fù)制產(chǎn)生的流量占了大多數(shù)。開啟用戶隔離，可以把下行流量明顯減少。

[MasterAC-hidecmd]dis interface  Ten-GigabitEthernet

Last clearing of counters:  Never

Last 5 seconds input:  3910 packets/sec 724684 bytes/sec 0%

Last 5 seconds output:  39859 packets/sec 6697779 bytes/sec 1%

Input (total):  53503789 packets, 8100950329 bytes

         52305734 unicasts, 720472 broadcasts, 477583 multicasts, 0 pauses

Input (normal):  53503789 packets, 8100950329 bytes

         52305734 unicasts, 720472 broadcasts, 477583 multicasts, 0 pauses

Input:  0 input errors, 0 runts, 0 giants, - throttles

         0 CRC, - frame, 0 overruns, - aborts

         - ignored, - parity errors

Output (total): 1641563604 packets, 210620739207 bytes

         1638905433 unicasts, 2458585 broadcasts, 199586 multicasts, 0 pauses

Output (normal): 1641563604 packets, 210620739207 bytes

         1638905433 unicasts, 2458585 broadcasts, 199586 multicasts, 0 pauses

Output: 0 output errors, 0 underruns, - buffer failures

         - aborts, 0 deferred, 0 collisions, 0 late collisions

        - lost carrier, - no carrier

增加了一條配置目的是禁止來自有線“非permit-mac”發(fā)送的廣播報(bào)文進(jìn)行廣播（有線進(jìn)來的廣播報(bào)文比較多）。

#

user-isolation vlan 100 enable

user-isolation vlan 100 permit-mac 0000-5e00-0102 7425-8ae9-7c60 3891-d528-2d80 7425-8ae9-7c68

user-isolation vlan 200 enable

user-isolation vlan 200 permit-mac 0000-5e00-0103 7425-8ae9-7c60 3891-d528-2d80 7425-8ae9-7c68

undo user-isolation permit broadcast

#

[MasterAC-hidecmd]dis interface Ten-GigabitEthernet

 Ten-GigabitEthernet1/0/1 current state: UP

Last 5 seconds input:  1321 packets/sec 253132 bytes/sec 0%

Last 5 seconds output:  2048 packets/sec 406323 bytes/sec 0%

Ten-GigabitEthernet1/0/2 current state: UP

Last 5 seconds input:  1574 packets/sec 238387 bytes/sec 0%

Last 5 seconds output:  126 packets/sec 43724 bytes/sec 0%

至此MSR路由器CPU壓力大幅度降低

通過廣播隔離本地轉(zhuǎn)發(fā)等優(yōu)化手段減少AC、AP流量，從而減輕MSR路由器ipsec進(jìn)程轉(zhuǎn)發(fā)壓力。