Cisco AP3802I Mobility Express (ME) 测评
前言
思科的坑我已经跳了出来了,想不到还有人往里跳。
现在家中用 Ruckus,2*R600,1*R500,1*T300,刷 Unleashed。夸张点说句,你可以体验到世界上最好的 Wi-Fi 是什么样子的。
——@琴秀
19 年在闲鱼捡过锐捷的 AP530-i 和思科 AP3602I,陆续出二手回血后,又边买边卖、倒腾了一堆 Aruba。在当时,捡垃圾和配网确实是个快乐的过程,能快速获得正反馈,还能学到一些没什么用的 domain knowledge。还记得晚上在龙潭湖公园散步,和 ta 聊 Cisco、Aruba 云云。
换了 Aruba,我终于“体验到世界上最好的 Wi-Fi 是什么样子的”:
- 虚拟控制器:无需独立的 WLC (WLAN Controller),所有 Instant AP 依据共识算法和负载水平自动选举出 VC (Virtual Controller),并将配置同步到所有 AP。如果某个 AP 挂了,直接替换对应 AP 的硬件即可,不需要手动干预集群配置。相同硬件平台(使用同一固件代码)的 AP 会自动从控制器同步固件版本;如果是不同平台,需要手动升级。例如 IAP-214/215、IAP-224/225、IAP-228 和 IAP-274/275/277 都属于 Centaurus(人马座)平台,可以直接混合组网。
- Adaptive Radio Management (ARM) 动态无线电管理:根据无线电环境自动调整 AP 的功率和信道。你也可以按照根据自己的需要,手动将 5GHz tx power 拉满(21-31 dBm),2.4GHz 拉到 6-12 dBm。
- Client Match:根据频道和 AP 的负载,用 802.11k/v 协议将客户端引导至最优的 AP。如果客户端粘滞,则让非备选 AP 临时拉黑客户端,直到客户端重新关联至最优 AP。
- 麻雀虽小,五脏俱全:Aruba InstantOS 集成了 RADIUS、DHCP、NAT、PPPoE(对你没看错)、USB( 可以用华为的 4G 棒子当作 failover uplink)、DNS、简单的 L3 防火墙、基于域名的 DPI 和 ACL、Captive Portal(自建 Web 认证)等一系列只在企业场景才能见到的功能。
使用 Aruba AP-205,你可以以 80 元每个点位的成本,将 iperf3 稳定吞吐 400Mbps+ 的无线网络覆盖到每一个角落,满足至少未来 5 年内的家庭 Wi-Fi 需求(注:YouTube 4K 60帧视频流的码率在 30-60Mbps 范围内)。InstantOS 6.5.4.27 (build 88283) 是最后一个同时支持 1xx、2xx 和 3xx 全系列 AP 的版本。
不过,最近发现了思科 AP3802i 也是相当不错的 deal:由于学习成本较高,二手价格相对较低。简单来说,优点如下:
- 闲鱼均价 200 元,但性能吊打同价位 Aruba AP-335:在两个 80MHz 5GHz 各接入一个客户端时,最高吞吐达到了 1.69Gbps;当客户端数量增加到 30 个时,两个 40MHz 5G 总吞吐仍可达到 1.13Gbps,依旧碾压 Aruba AP-335。
- 4x4:3SS MU-MIMO 满血无线电:比同价位的 AP1815i 不知道高到哪里去了。
- XOR Radio:Radio 1 可根据客户端密度自动在 2.4GHz 和 5GHz 之间切换,且两个 5GHz Radio 可以同时工作在 160MHz 频宽,最高支持单机 5.2Gbps 的吞吐(physical rate)。不过 Miercom 并没有测试 160MHz 频宽的吞吐量,因为在实际场景中没有意义。
- 1/2.5/5GbE mGig + 1GbE (AUX):我可以不用,你不能没有。
- 支持 Mobility Express(ME,类似 Aruba InstantOS 和 Ruckus Unleashed),还能自建 vWLC 爽一把。而如果你不是 HPE 员工或代理商,想试试 Aruba Mobility Controller Virtual Appliance (VMC) 就没那么容易了。
- USB 2.0 接口:不过直到 2800/3800 系列下架(End of Sale),这个 USB 口也没有开发出任何应用(The USB port does not have any software support at this time)。还是那个点:我可以不用,你不能没有。2024 年知道 4G Dongle 是什么的人应该也不多了。
选购
当下闲鱼 Cisco 2700/3700 价格在 50 元左右,多客户端性能上超越 Aruba AP-225。不过,家用场景下相比 Aruba AP-205 的提升不大。此外,ME 控制器只可部署在 1560, 1815W, 1815I, 1830, 1850, 2800 和 3800 系列 AP 上。x600 和 x700 系列 AP 可以作为从属(subordinate)AP,但不能作为 ME 控制器。
如图是思科 802.11ac Wave 2 产品线,其中 2800 和 3800 是最高端的、支持 4x4:3SS MU-MIMO 的产品。2800 和 3800 之间的区别主要在于:
- 3800 支持 mGig(1/2.5/5GbE)+ 1GE,2800 只支持 2 x 1GbE。
- 3800 侧面支持外挂模块,但实际上思科并没有生产对应的模块。
- 3800 支持 48VDC(7.4x5.0mm)圆口内针) 供电,2800 只支持 PoE 供电。
- 3800 背部为鳍片设计,散热更好;而 2800 背部为平面设计(如下图)。
考虑到当前 3800 价格在 200+,2800 价格在 100+,我建议选择 2800。2800 除了不支持 mGig 5GbE 外,性能和天线设计都和 3800 一致。
上文所提到的 2800、3800 均为产品的基本型号,并非产品的 SKU。根据监管域的不同,产品的 SKU 会有所不同。倘若你自以为在拼多多捡漏了一台 150 元的 AIR-AP1815W-Q-K9C
:
AIR
:Aironet,思科无线产品的前缀。1815
:是产品的基本型号,但并不是产品的完整型号。Aruba、Cisco 等跨国公司的产品线为了满足各国的无线电强制规范,会有不同的 SKU(Stock Keeping Unit),并存在硬件上的细微区别,无法通过软件解锁。就像国行版 iPhone 15 没有毫米波天线一样,虽然同属 iPhone 15 系列,即使你可以修改 iOS 系统区域为美国,也无法使用毫米波频段。W
:表示 wall plate–mountable,即墙壁安装型号,也就是 86 盒面板 AP。I(Internal Antenna)为内置天线型号,一般用于室内天花板安装。E(External Antenna)为外置天线型号,设计上更加坚固耐用(Rugged),适用于外部天线和严苛环境。P(Professional)为专业型号,用于室外场景。Q
:表示监管域为日本。根据 List of WLAN Channels 可以看出,U-NII-3(ch149-165)频段在日本不可用,因此日本版 AP 会屏蔽这个频段。如果你不幸购买了日本版 AP,那么你的 AP 将只能使用 5GHz 的 ch36-48 和 ch52-64。你最好买到了-E
(欧洲)、-H
(中国)或-B
(美国),否则内心会很难受。详细内容可以参考华为 WLAN 国家码与信道顺从表。夸夸华为:文档中心里关于 WLAN 标准和合规的内容非常详尽,且一到两个工作日内还会回复留言。K9C
:代表出厂预刷了 ME 固件。如果你购买了 K9,需要手动使用 Console 线或者现有的 ME/vWLC/WLC 控制器将 AP 转换为 Mobility Express 模式。
位于不同监管域的 AP 无法加入同一个 ME 集群,对于 Aruba InstantOS 来说也是如此。如果你有 WLC 或 vWLC,则可以使用同一个独立控制器管理不同监管域的 AP,但仍然面临着频段和发射功率限制。捡垃圾时务必注意 SKU!
ME 部署
获取固件
ME 固件可以在思科官网下载,需要注册账号,但无需服务合同。ME 的生命周期已经结束(End of Life),8.10.190.0 是最后一个正式版本。商业客户可以通过 TAC 获取后续支持版本。
从思科软件中心下载同版本的 ME 主 AP(Primary AP)固件和从属 AP(Subordinate AP)固件包。
AIR-AP3800-K9-ME-8-10-190-0.tar
:3800 系列的主 AP 固件,即胖 AP 固件 + ME 控制器。AIR-AP3800-K9-ME-8-10-190-0.zip
:3800 系列 ME 的从属 AP 固件包,解压后得到不同硬件平台的固件。将解压后的文件上传到 tftp/http 服务器。当版本不一致的从属 AP 加入 ME 集群,主 AP 将固件推送给从属 AP 的 part1 分区,并自动重启。
部署 ME Primary AP
- 将 AP 恢复出厂设置:在启动过程中按住 MODE 按钮,直到 Console 窗口的计时器显示按钮被按下超过 20 秒。在恢复出厂设置后,AP 将启动并尝试 DHCP 获取 IP 地址。
- 使用默认账号登录 AP:用户名
Cisco
,密码Cisco
。注意大小写。 - 进入特权模式:
enable
。 - 写入 ME 固件并切换至 ME 模式:
ap-type mobility-express tftp://[你的 TFTP 服务器 IP]/AIR-AP3800-K9-ME-8-10-190-0.tar
。AP 将自动重启。 - 重启后,Console 窗口会进入 ME 初始化向导。按照向导提示设置 ME 控制器的 IP 地址、初始 SSID、密码等信息。随后,AP 会自动重启。
- AP 启动后,Console 默认位于 ME 控制器的 CLI。若想切换到 AP 的 CLI 进行操作,使用
apciscoshell
命令;切换回 ME 控制器的 CLI,使用logout
命令。 - 使用刚才设置的账号密码,登录 ME 控制器的 Web 界面。
- 配置 ME 控制器的 Software Update 服务器,填入 ME 从属 AP 固件包的路径。
部署 ME Subordinate AP
- 将 AP 恢复出厂设置。
- AP 将从 ME 控制器自动获取固件并重启。此时 AP 工作于 CAPWAP 模式,完全受 ME 控制器管理。
- 如需将当前 AP 写入 ME 控制器固件,按照上文部署主 AP 的步骤进行操作即可。
固件问题
- AP 具有两个启动分区:
part1
和part2
。从属 AP 固件(controller-compatible firmware)必须位于 part1 分区。 - 如果 AP 连续启动 5 次失败,将自动切换至另一分区。
- 务必严格按照 release note 中的 upgrade path 来升级,较低版本的分区无法直接升级到较高版本的分区。例如,
part1
分区的固件版本为8.2.166.0
,直接写入8.10.190.0
固件,会出现分区为空(镜像版本显示为 0.0.0.0)或镜像损坏的错误。 - 在 u-boot 环境下切换分区为
part2
1
2
3setenv BOOT part2
saveenv
boot - 在 AP CLI 环境下切换分区为
part2
1
config boot path 2
- 在 AP CLI 环境下写入固件至另一分区
1
archive download-sw /force-reload /overwrite tftp://[你的 TFTP 服务器 IP]/[tar 文件名]
apciscoshell
命令仅当使用 console 线连接 AP 时有效。如果使用 SSH/Telnet,必须直接访问 AP 的 IP 地址。
多播和 mDNS
根据文档描述,理论上 mDNS Global Snooping 仅当客户端与打印机位于不同 VLAN 时才需开启。在 ME 的 Flexconnect 模式下,mDNS 流量会直接转发。
详情见这个帖子:
mDNS snooping is not supported on access points in FlexConnect mode in a locally switched WLAN and mesh access points. For locally switched WLANs, all multicast traffic including mDNS is simply bridged between the local VLAN and the SSID.
Dual-5GHz Radios
When using FRA with the internal antenna (i series models), two 5–GHz radios may be used in a Micro/Macro cell mode. When using FRA with external antenna (e and p models) the antennas may be placed to enable the creation of two separate macro (wide area cells) or two micro cells (small cells) for HDX or any combination.
在内置天线型号的 AP 上,dual-5GHz 用于构建 macro/micro-cell 场景,即一个 radio 作为 micro-cell 工作在小功率覆盖近距离的客户端,另一个 radio 作为 macro-cell 工作在大功率覆盖较远处的客户端。从而使得距离较远的客户端不会抢占 micro-cell 的空口资源,提高整体网络的吞吐量和用户体验。对于家用场景,Dual-5GHz 没什么太大意义。仅在使用外置天线的 AP(3800E)上,可以开启独立 dual-5GHz radios。
发射功率
- 几乎所有企业 AP 都不会像家用路由器一样以最大发射功率(tx power)工作。为了降低同频、邻频干扰,一般会将 tx power 限制在 12-18 dBm 范围内。所以很多人会觉得家用路由器的信号比企业 AP 强。
- FCC 使用 EIRP(Effective Isotropic Radiated Power)来量化、限制无线电发射功率。Aruba InstantOS 和 ArubaOS 所显示的信号功率为 EIRP 值,可以理解为发射功率加上所有 radio chain 的天线增益。而 Cisco ME 显示的是设备发射功率。
FAQ
为什么 AP 1850 支持 4x4:4SS,而 AP 2800/3800 仅支持 4x4:3SS?
翻译并总结自 3800 部署文档:
- 思科希望将最先进的技术引入到 2800/3800,权衡之处在于支持双 5 GHz 160 MHz,而不是额外的空间流,因为额外的空间流提供的实际好处很少。
- 为了保持良好的 4-SS 链路,需要 n+1 个天线(意味着当天线的最大数量为 4 时,无法对 4-SS 客户进行波束成形)。此外,因为功耗较大,几乎不存在 4-SS 的客户端。目前市面上可见的 4-SS 客户端只有 TL-WDN8280 和华硕 PCE-AC88 这样的台式机 PCIe 无线网卡。
- 低预算客户可以购买 AP 1850 并获得 4-SS,但性能不会胜过 AP 2800/3800。
AP 2800/3800 开启 LAG 端口聚合
翻译并总结自 3800 部署文档:
LAG 开启时,mGig 端口只能工作在 1GbE 模式,也就是说聚合速率只能达到 2GbE。如果想追求最大吞吐,搭配 2.5GbE 或 5GbE 交换机,直连 AP 2800/3800 的 mGig 端口即可。
ME 用户体验
- 应用功能上,Cisco ME 和 Aruba InstantOS 没有太大区别:都内建 DHCP、简单的 L3 防火墙和 DPI、Captive Portal 等功能。
- 无线电管理上,Cisco ME 的 RRM 与 Aruba 的 ARM 类似。且都集成了 IDS,可以限制外部流氓 AP 和客户端。
- 但在 UI 操作上,InstantOS 6.x 最为直观,将仪表盘作为基础页面,所有配置子项都在弹出窗口及二级 Tab 中,信息密度较高。InstantOS 8.x 和 ME 8.10 则采用了左侧导航栏设计,更加符合现代 Web UI 设计风格,信息密度较低。
- 配置项上,ME Web UI 的可配置项相对来说极为精简,复杂配置无法通过 Web 完成,必须使用 CLI。而 InstantOS 可以在 Web UI 中完成大部分配置。
- UE 方面,Aruba InstantOS 做了 i18n,支持多种语言显示。Cisco ME 8.10 相对粗糙,仅支持英文,且默认缩放下,部分页面和列表的文字无法完整显示,在 Chrome 和 Safari 下均能稳定复现。表格不支持自动列宽,需要手动展开才能查看完整的内容,且不会保存列宽设置。
下图为 Aruba InstantOS 6.x 的仪表盘。InstantOS 只提供 15 分钟内的统计数据,如需保存历史数据,需要使用部署 AirWave 或接入 Aruba Central(类似于 Meraki 的云管)。
常用的配置入口已经展示在右上角,包括 System(AP 集群和虚拟控制器管理)、RF(无线电)、Security(ACL 等)、维护(备份、升级和证书管理等)。不常用的配置项如 VPN、路由表和无线 IDS 隐藏在“More”的下拉菜单中,是比较符合直觉的设计。
选中任意 AP,页面下方会显示 AP 的详细信息和统计图表。
下图为 Cisco ME 8.10 的仪表盘。页面布局没什么问题,但左侧导航栏字体明显过大,导致文本看起来很奇怪。右侧表格的列名无法显示完全。除此之外,仪表盘的 IP 地址列居然只能按 IP 地址字符串的字典序排序,令人汗颜。
下图是 ME 的最佳实践页面,提供了一些配置建议,并可以快速进入对应的配置页面。Aruba 没有集成这样的功能,但是提供了 PDF 版本的最佳实践与 checklist,如 Aruba 802.11ac 网络的射频和漫游优化 和 Aruba 无线网络优化项,可以根据实际情况进行配置。家用场景下建议仔细调整无线漫游和发射功率相关的配置项。例如 Client Match (CM) 的 CM calculating interval
默认值为 30 秒,即每 30 秒执行一次。如果你在家中部署了多个 AP,这个值应该调整为 3-5 秒,否则粘滞客户端不会及时地被引导至最佳 AP。还有 CM Restriction Timeout
默认值为 10 秒,作用是 “Configures the timeout interval during which non-target Instant AP will not respond to a specific client”。如果 10 秒内你跑步穿过了两个 AP 的覆盖范围,那么你的设备无法及时的切换至新的 AP,直到 10 秒后才能重新关联。
下图为 ME 的无线电优化项配置,页面内容明显溢出了,看着十分难受。字体和左侧导航栏差不多大,没有区分度,且布局松散。可配置项相对来说极其精简,不如 Aruba 的 ARM 配置菜单好用。
总结和提示
- 从性价比和易用性来看,Aruba Instant 系列仍然是垃圾佬的最佳选择。跨 3 代产品线的兼容性得以支持 1xx-3xx 混合组网。Aruba AP-1xx、2xx 和 3xx 分别对应 802.11n、802.11ac wave 1 和 802.11ac wave 2 产品。
- 相同代际的 Cisco 往往比 Aruba 对应产品能承担更高密度的客户端,但在单客户端吞吐上提升并不大。
- Aruba AP-207 虽然外观采用了类似 AP-3xx 的设计,且支持 Aruba Instant 8.x 新系统,但硬件配置极为极端,在 802.11ac 2x2 80MHz 下单客户端也只能达到约 200Mbps 的吞吐,不及 AP-205 的一半。
- 从实用角度看,即使是 20MHz 5GHz 的 802.11n AP,其 100Mbps 的有效吞吐也足以满足家庭 Wi-Fi 的需求。因此使用 802.11n 的 Aruba 1xx 系列 AP,如 AP-115 也是不错的选择。AP-105/135/125 相对难说难看一些。预算再添点就 AP-205 吧。
读者来信
Yue:
你好,我看了你的这篇文章后购买了一个 ME 系统的 3802i-H-K9,这几天调试发现 2.4G 射频发射最大功率仅有 14dBm,我查了资料发现跟国家设定有关,但是直接使用
config country
设置其他国家会导致接入点不发射信号,想请教一下你如何解决?
config country
命令仅仅是修改了 WLC 配置的监管域,并不会修改 AP 的监管域。当 WLC 监管域与 AP 的监管域不一致,AP 将工作在限制最严格的条件下。具体可以见这个帖子。
从客户端视角来看,信号强度与 AP 的发射功率、损耗、天线增益和射频路数有关。所以你看到的 14dBm 是个合理的值。
更多内容请参考华为知识库 - 什么是射频组合功率。
Yue:
我使用下来觉得这个设备不适合我需要的单机部署,弱信号条件下不如目前用的 3 天线 Ruckus R610,默认的 RSSI threshold 是 -80dbm,弱信号断连很迅速,加上发射功率保守,需要多机组网才能有良好的体验,14W 的待机功耗也比 Ruckus 的 9W 要高。
图片里 Cisco 2.4G 频段的 Country - Power Level 和 Cisco Vendor Specific - Maximum Transmit Power Level 功率相差 4dbm,都没有达到中国规定限制的 20dbm 上限,如果这是 Cisco 为了高密度刻意限制了信号强度,而在 5G 频段的图片里却都达到了规定限制。5G 频段 Transmit Power Envelope 只有 9dbm,已经低于家用无线路由器了。☹️
想拉高 Cisco AP 的 Tx Power,在 CLI 环境中配置 RF Profile 即可。
单机部署更适合 Aruba AP-275(全向天线)和 AP-277(定向天线)这样的户外机,5Ghz 直接拉满 28dBm 的发射功率(31dBm 的 EIRP)。目前闲鱼价格在 250-300 元左右。
经过很多的折腾后,我现在对家庭 Wi-Fi 的理解是,把 Wi-Fi 理解成小规模的移动网络(Cellular)就好了,不需要追求上传下载对等速率。你可以把手头的 3802I 和 Ruckus 卖掉,根据房屋平面图和位置,选购一台 AP-275 或 AP-277,剩下的钱还能吃几顿烧烤。