【正文】 中部署多個(gè) DHCP Server 且只有部分支持 Option 60，交換機(jī)等設(shè)備 充當(dāng) DHCP Relay 時(shí)需要支持識(shí)別 DHCP option 60 并將 DHCP 報(bào)文轉(zhuǎn)發(fā)到相應(yīng)的DHCP Server 上。 DHCP 動(dòng)態(tài)分配 AP 的 IP 地址各種 方式 優(yōu)劣勢 對比如 表 21 所示。 SSID映射以太網(wǎng)中的 VLAN 通常，以太網(wǎng)中 管理 VLAN 和業(yè)務(wù) VLAN 分離 。 業(yè)務(wù) VLAN 應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與 SSID 匹配映射關(guān)系，映射關(guān)系有 1: 1:N、 N: N:N 四種 ， AC 設(shè)備 終結(jié) VLAN 部署。 華為技術(shù)有限公司 12 漫游規(guī)劃 漫游是指 用戶在 部署了 WLAN 網(wǎng)絡(luò)的場所移動(dòng)時(shí)， 用戶終端可以從一個(gè) AP 的覆蓋范圍移動(dòng)到另一個(gè) AP 的覆蓋范圍，用戶無需重新登錄和認(rèn)證。 2. 如圖中的標(biāo)號(hào) 1 所示，刪除用戶與 AP1 現(xiàn)有的關(guān)聯(lián)。 ? 漫游切換 AP 必須是同一個(gè) AC 管理。如果沒有查到，則需要重新進(jìn)行 認(rèn)證過程。 AP 發(fā)現(xiàn) AC 的機(jī)制有如下幾種： 二層廣播發(fā)現(xiàn) AC 當(dāng) AC 和 AP 同在一個(gè)二層的網(wǎng)絡(luò)中時(shí)，可以通過二層廣播方式直接發(fā)現(xiàn) AC。 華為技術(shù)有限公司 14 通過 DNS發(fā)現(xiàn) AC 當(dāng) 網(wǎng)絡(luò)中部署了 DNS Server 時(shí) ，還可以 通過 DNS 方式讓 AP 來發(fā)現(xiàn) AC。 當(dāng)預(yù)配置好 AC 列表 時(shí)， AP 將不再啟動(dòng)正常的 L2或 L3 的發(fā)現(xiàn)過程，故 AC 列表里的地址不可達(dá)時(shí)， AP 將永遠(yuǎn)連接不上 AC。 射頻管理規(guī)劃 與 IP 地址規(guī)劃一樣， WLAN 信道是 WLAN 網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型無線園區(qū)網(wǎng) 網(wǎng)絡(luò)必須對 WLAN 信道進(jìn)行統(tǒng)一規(guī)劃。 ? 頻段信道劃分： ? 頻段具體頻率范圍為 ～ 的連續(xù)頻譜，信道編號(hào) 1～ 14。 ? HT20 信道劃分：不重疊信道在 ～ 頻段有 8 個(gè)，分別為 3 44 5 5 60、 64；在 ～ 4個(gè)，分別為 14 1515 161。設(shè)置為自動(dòng)方式后，一旦檢測到信道沖突AP 具有信道自動(dòng)調(diào)整功能，建議 AP 采用自動(dòng)設(shè)置工作信道方式，避免手動(dòng)設(shè)置后一旦信道沖突將導(dǎo)致無法切換信道的問題 。 AP 交替使用 11 信道及 的 3 44信道，避免信號(hào)相互干擾；一般情況單獨(dú)使用 或 的頻段，對于會(huì)議室等高密度用戶接入的場所，可以啟用雙頻進(jìn)行覆蓋，以便提供更好的接入能力。 FIT AP 在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動(dòng)的時(shí)候從無線控制器動(dòng)態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。 對于 對網(wǎng)絡(luò)發(fā)起無線攻擊的 AP 設(shè)備， 網(wǎng)絡(luò)中合法部署的 AP 監(jiān)聽 設(shè)備負(fù)責(zé)把監(jiān)聽到有攻擊行為的無線設(shè)備上報(bào)給無線控制器 ，繼而上報(bào)給網(wǎng)管。 表 23 對 發(fā)起無線攻擊的 AP 的 監(jiān)聽 部署方案優(yōu)劣勢對比表 部署方式 優(yōu)點(diǎn) 劣勢 部署專職監(jiān)聽AP 實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)，及時(shí)檢測出非法 AP 網(wǎng)絡(luò)部署成本高 業(yè)務(wù) AP 兼職監(jiān)聽 AP 網(wǎng)絡(luò)部署成本相對小 不能實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)，無法及時(shí)檢測到非法 AP ? IPS黑白名單 用戶白名單功能：無線控制器支持靜態(tài)配置白名單功能，該功能一旦啟用，只有白名單上的無線用戶才被認(rèn)為是合法用戶，其他非法用戶的報(bào)文全部在 AC 上被丟棄，從而減少非法報(bào)文對無線網(wǎng)絡(luò)的沖擊。 華為技術(shù)有限公司 18 QoS規(guī)劃 WLAN QoS 保證不同質(zhì)量的無線接入服務(wù)之間的互通，滿足實(shí)際應(yīng)用的需求。 ? 基于 SSID 的流量管理 防止某些 SSID用戶流量過大影響其他 SSID 用戶的正常業(yè)務(wù)，比如訪客 SSID的流量控制 。 表 24 WMM隊(duì)列優(yōu)先級(jí) WMM隊(duì)列 用戶優(yōu)先級(jí) （ UP） Voice 6 或 7 Video 4 或 5 Best Effort 2 或 3 Background 0 或 1 優(yōu)先級(jí)的映射 優(yōu)先級(jí)映射 包括 ： 無線優(yōu)先級(jí)到有線優(yōu)先級(jí)的映射 、 無線優(yōu)先級(jí)到 CAPWAP 隧道優(yōu)先級(jí)的映射。對于本地轉(zhuǎn)發(fā)，需要完成 到 UP 優(yōu)先級(jí)映射；對于集中轉(zhuǎn)發(fā)，在 AC 上可實(shí)現(xiàn) TOS 優(yōu)先級(jí)到 TunnelTOS 映射， 優(yōu)先級(jí)到 優(yōu)先級(jí)映射。 華為技術(shù)有限公司 20 介，導(dǎo)致每個(gè)客戶端的網(wǎng)絡(luò)吞吐將大量減少。 ? AC 負(fù)載分擔(dān) AC 負(fù)載分擔(dān)即 AP 根據(jù) AC 負(fù)載動(dòng)態(tài)選擇接入到負(fù)載輕的 AC 上去。 華為技術(shù)有限公司 21 3 WLAN接入認(rèn)證計(jì)費(fèi)方案 無線安全協(xié)議標(biāo)準(zhǔn) 如 表 31 所示， WLAN 無線安全協(xié)議標(biāo)準(zhǔn)主要有： OPENSYSTEM（ Open system authentication）、 WEP（ Wired Equivalent Privacy）、 WPA/WPA2（ WiFi Protected Access）、WAPI（ WLAN Authentication and Privacy Infrastructure）。 WPA/WPA2 ? 基于 ? 基于 PSK(PreShared Key)、 EAP 等協(xié)議進(jìn)行身份認(rèn)證 ? 基于 TKIP 實(shí)現(xiàn)數(shù)據(jù)加密 ? 基于 4 次握手實(shí)現(xiàn)用戶會(huì)話密鑰的動(dòng)態(tài)協(xié)商 ? WPA2 增加了預(yù)認(rèn)證和 CCMP 加密，同時(shí)兼容 WPA 廣泛應(yīng)用于各種大、中型 WLAN網(wǎng)絡(luò)和公共場合，為目前主推加密方案 。 WLAN終端認(rèn)證 技術(shù) IEEE 標(biāo)準(zhǔn)要求 WLAN 終端在準(zhǔn)備連接到網(wǎng)絡(luò)時(shí)，必須 進(jìn)行“身份驗(yàn)證”。 在這種方式下，接入點(diǎn)并未驗(yàn)證工作站的真實(shí)身份，工作站以 MAC 地址作為身份證明，這種驗(yàn)證方式可以讓所有符合 標(biāo)準(zhǔn)的終端都可以接入到 WLAN網(wǎng)絡(luò)中來。 二者對比如下： 表 32 WLAN終端認(rèn)證方式對比 認(rèn)證方式 優(yōu)點(diǎn) 缺點(diǎn) 適用場景 開放式系統(tǒng)認(rèn)證 部署簡單，終端接入速度快，有效帶寬高。 有效帶寬較低，加密降低了傳輸效率。通過提供有限的訪問權(quán)限來驗(yàn)證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問權(quán)限，可有效判別用戶的合法性。 多種認(rèn)證技術(shù)保證 WiFi終端安全接入，合法用戶訪問合規(guī)資源，從源頭上消除安全威脅。 在企業(yè)園區(qū)中 MAC 認(rèn)證 主要用于 IP 電話、打印機(jī)等啞終端設(shè)備 的接入。 盡管 ，但它也適用于符合 標(biāo)準(zhǔn)的無線局域網(wǎng)，且被視為是 WLAN 的一種增強(qiáng)性網(wǎng)絡(luò)安全 解決方案。認(rèn)證服務(wù)器對請求方進(jìn)行驗(yàn)證，然后告知認(rèn)證方該請求者是否為授權(quán)用戶。 ，而是一個(gè)通用架構(gòu)。 EAP（ Extensible Authentication Protocol） 認(rèn)證協(xié)議 ，目前有超過 20 種不同的 EAP 協(xié)議。 ? 根據(jù)認(rèn)證結(jié)果，是否進(jìn)入到 NCP（ IPCP）協(xié)商階段，接入設(shè)備給用戶計(jì)算機(jī)分配網(wǎng)絡(luò)層參數(shù) （ 例如 IP 地址等 ） 。 Portal認(rèn)證 Portal認(rèn)證也稱 Web 認(rèn)證 或 DHCP+Web認(rèn)證。用戶如果被配置成強(qiáng)制 Web 認(rèn)證，則用戶只需要輸入自己喜歡的網(wǎng)頁即可，系統(tǒng)自動(dòng)下載認(rèn)證網(wǎng)頁。 華為技術(shù)有限公司 25 無線接入認(rèn)證和安全協(xié)議對應(yīng)關(guān)系 表 33 無線接入認(rèn)證和安全協(xié)議對應(yīng)關(guān)系表 認(rèn)證方法 安全協(xié)議 安全性 封裝開銷 地址分配 客戶端軟件 應(yīng)用場景 MAC 認(rèn)證 Open System 低 小 認(rèn)證后分配 不需要 PDA、 IP 電話等啞終端設(shè)備接入。 WEP/WPA/WPA2 高 小 認(rèn)證后分配 需要 大中型園區(qū)網(wǎng)絡(luò)。 無線用戶集中認(rèn)證，需要保證相關(guān)認(rèn)證協(xié)議能夠上送 AC 處理。園區(qū)網(wǎng)中，從安全性、易部署等角度考慮，一般推薦 +WPA2 接入認(rèn)證。 園區(qū)出口部署計(jì)費(fèi)服務(wù)器，實(shí)現(xiàn)園區(qū)出口流量統(tǒng)一計(jì)費(fèi)。 必選 用戶認(rèn)證流程用戶計(jì)費(fèi)流程園區(qū)內(nèi)部流量園區(qū)外部流量核心設(shè)備AC 設(shè)備計(jì)費(fèi)網(wǎng)關(guān)準(zhǔn)出計(jì)費(fèi)點(diǎn)準(zhǔn)入認(rèn)證點(diǎn)服務(wù)器區(qū)域ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 華為專有和保密信息 版權(quán)所有 169。 可選 5 客戶端軟件 通過和服務(wù)器聯(lián)動(dòng)，完成接入認(rèn)證、安全檢查、用戶計(jì)費(fèi)等功能。 不同廠商對于 功能 組件的劃分存在差異，另外用戶需求也具有多樣性，不能簡單的和報(bào)價(jià)組件進(jìn)行對應(yīng)。 可選 表中，除了用戶認(rèn)證是必選組件外，其他組件可基于現(xiàn)網(wǎng)需求選擇。 可選 3 用戶計(jì)費(fèi)組件 支持基于時(shí)間和流量的計(jì)費(fèi)，包括包月、包年、包半年、包學(xué)期、動(dòng)態(tài)包天、動(dòng)態(tài)包月、動(dòng)態(tài)包年、包時(shí)長、包流量等主流計(jì)費(fèi)方式。 采用此方式，實(shí)現(xiàn) 無線園區(qū)用戶集中認(rèn)證，數(shù)據(jù)流量本地轉(zhuǎn)發(fā)，安全管理和網(wǎng)絡(luò)性能做到完美結(jié)合 ；并且實(shí)現(xiàn) 各功能組件按需選擇，提供認(rèn)證、認(rèn)證＋安全、認(rèn)證＋計(jì)費(fèi)、認(rèn)證＋安全＋計(jì)費(fèi)等多套方案。 本地轉(zhuǎn)發(fā) 8 0 2 . 1 x 、P o r t a l 認(rèn)證報(bào)文走C A P W A P 控制隧道集中轉(zhuǎn)發(fā) 8 0 2 . 1 X 、P o r t a l認(rèn)證報(bào)文走C A P W A P 數(shù)據(jù)隧道集中轉(zhuǎn)發(fā)區(qū)域 本地轉(zhuǎn)發(fā)區(qū)域C A P W A P 控制隧道C A P W A P 數(shù)據(jù)隧道園區(qū)網(wǎng)服務(wù)器區(qū)域ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 華為專有和保密信息 版權(quán)所有 169。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 華為專有和保密信息 版權(quán)所有 169。 當(dāng)前 WAPI 在企業(yè)網(wǎng)和運(yùn)營商中應(yīng)用很少，一般作為準(zhǔn)入門檻測試，園區(qū)網(wǎng)中，從安全性和易部署性等多方面考慮，推薦 ＋ WPA2 的機(jī)制。 Portal認(rèn)證 Open System 中 小 認(rèn)證前分配 不需要 中小型園區(qū)網(wǎng)絡(luò)。 Portal認(rèn)證通常需要多個(gè)服務(wù)器支持， DHCP 服務(wù)器、 AAA 服務(wù)器等 。 接入設(shè)備將來自客戶的 HTTP請求重定向到 Portal服務(wù)器， 在 Portal頁面上輸入用戶名、密碼進(jìn)行認(rèn)證。 PPPoE也是一種認(rèn)證模式 ， PPPoE 在 WLAN 使用時(shí)，和 WLAN 本身采用的認(rèn)證加密沒有關(guān)系。主要包括三個(gè)部分 ： ? 用戶和接入設(shè)備在 LCP 階段協(xié)商鏈路層參數(shù) 。 ，基礎(chǔ)的 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 華為專有和保密信息 版權(quán)所有 169。 。 ? 認(rèn)證方（ Authenticator）：允許客戶機(jī)進(jìn)行網(wǎng)絡(luò)訪問的實(shí)體，在無線網(wǎng)絡(luò)中，通常指訪問接入點(diǎn) AP 或控制器 AC 設(shè)備 ?；诙丝诘木W(wǎng)絡(luò)訪問控制利用物理層特性對連接到 LAN 端口的設(shè)備進(jìn)行身份認(rèn)證。由于無線終端的網(wǎng)卡都具備唯一的 MAC 地址，因此可以通過檢查無線終端數(shù)據(jù)包的源 MAC 地址來識(shí)別無線終端的合法性。 常用的 WLAN 的鏈路層身份驗(yàn)證主要有 MAC 認(rèn)證、 、 Portal（ DHCP+Web） 、 PPPoE等幾種 認(rèn)證方式。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 華為專有和保密信息 版權(quán)所有 169。 電信運(yùn)營網(wǎng)絡(luò) 共享密鑰式認(rèn)證 安全性較高，采用加密方式對密鑰進(jìn)行保護(hù)，空口密鑰數(shù)據(jù)不再明文傳輸。 ? 共享密鑰式認(rèn)證必需使用加密方式，要求每個(gè) WLAN 終端都 配置和 AP 完全一致的密鑰（ key）。 ? 開放系統(tǒng)認(rèn)證是 IEEE 標(biāo)準(zhǔn)要求必備的一種方法， 是最簡單的認(rèn)證算法，即不認(rèn)證。 華為技術(shù)有限公司 22 標(biāo)準(zhǔn) 簡介 適用場景 WAPI WAPI系統(tǒng)包含WAI鑒別及密鑰管理和WPI數(shù)據(jù)傳輸保護(hù)： ? 基于證書機(jī)制和自行設(shè)計(jì)的 WAI(WLAN Authentication Infrastructure)認(rèn)證協(xié)議完成身份鑒別和密鑰管理，而沒有重用 ， Radius等現(xiàn)有安全標(biāo)準(zhǔn)； ? 基于自行設(shè)計(jì)的 WPI （ WLAN privacy infrastructure） 協(xié)議實(shí)現(xiàn)數(shù)據(jù)的加密保護(hù)； 中國標(biāo)準(zhǔn)，一般作為準(zhǔn)入門檻測試 。 一般用于有眾多用戶的運(yùn)營網(wǎng)絡(luò) WEP 有線等效加密，即對于數(shù)據(jù)的加密和解密都使用同樣的密鑰和算法，主要用來保護(hù) WLAN空口信號(hào)的信息安全。 通過 CAPWAP 隧道的心跳機(jī)制， AP 可及時(shí) 發(fā)現(xiàn)控制器 Down，同時(shí)根據(jù)該方法重新選擇一個(gè)負(fù)載輕的 AC 接入。 評(píng)估負(fù)載的方式有兩種 ： ? 按照用戶在線會(huì)話數(shù) ? 按照用戶流量 當(dāng)前 AP 負(fù)載分擔(dān)策略是通過 控制 STA的接入實(shí)現(xiàn)負(fù)載均衡 。 ? AP 負(fù)載分擔(dān) 無線客戶端一般會(huì)根據(jù) AP 信號(hào)強(qiáng)度 （ RSSI） 選擇 AP，這很容易導(dǎo)致大量的客戶端僅僅因