【文章內(nèi)容簡介】 ，這樣可以有效避免設(shè)備丟失造成配置泄漏。當(dāng)前FIT AP均能做到零配置。無線IDS/IPSl IDS——非法AP檢測非法AP主要指未經(jīng)網(wǎng)絡(luò)許可而非法部署的AP設(shè)備或者是對網(wǎng)絡(luò)發(fā)起無線攻擊的AP設(shè)備。對于非法部署的AP設(shè)備，可以通過控制AP接入（基于MAC地址；基于設(shè)備名稱SN等）來防止非法AP接入網(wǎng)絡(luò)。對于對網(wǎng)絡(luò)發(fā)起無線攻擊的AP設(shè)備，網(wǎng)絡(luò)中合法部署的AP監(jiān)聽設(shè)備負(fù)責(zé)把監(jiān)聽到有攻擊行為的無線設(shè)備上報(bào)給無線控制器，繼而上報(bào)給網(wǎng)管。部署建議：? 對于非法部署的AP設(shè)備，由網(wǎng)絡(luò)設(shè)備AC檢測，啟動相應(yīng)功能即可。? 這里主要給出對發(fā)起無線攻擊的AP的監(jiān)聽部署方案以及對比情況，如表23所示。可以根據(jù)實(shí)際網(wǎng)絡(luò)要求進(jìn)行取舍。表23 對發(fā)起無線攻擊的AP的監(jiān)聽部署方案優(yōu)劣勢對比表部署方式優(yōu)點(diǎn)劣勢部署專職監(jiān)聽AP實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)，及時(shí)檢測出非法AP網(wǎng)絡(luò)部署成本高業(yè)務(wù)AP兼職監(jiān)聽AP網(wǎng)絡(luò)部署成本相對小不能實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)，無法及時(shí)檢測到非法APl IPS黑白名單用戶白名單功能：無線控制器支持靜態(tài)配置白名單功能，該功能一旦啟用，只有白名單上的無線用戶才被認(rèn)為是合法用戶，其他非法用戶的報(bào)文全部在AC上被丟棄，從而減少非法報(bào)文對無線網(wǎng)絡(luò)的沖擊。用戶黑名單功能：無線控制器通過配置方式或者實(shí)時(shí)檢測偵聽的方式來確定設(shè)備是否被加入黑名單，被加入到黑名單中的設(shè)備發(fā)過來的報(bào)文全部在AC上丟棄，從而減少攻擊報(bào)文對無線網(wǎng)絡(luò)的沖擊。部署建議：大中型園區(qū)網(wǎng)不建議部署，通過認(rèn)證進(jìn)行用戶的合法檢測即可。 QoS規(guī)劃WLAN QoS保證不同質(zhì)量的無線接入服務(wù)之間的互通，滿足實(shí)際應(yīng)用的需求。圖29 WLAN QoS規(guī)劃如圖26所示，在企業(yè)園區(qū)中，常采用無線空口做WMM調(diào)度，有線側(cè)進(jìn)行優(yōu)先級映射，園區(qū)網(wǎng)做DiffServ調(diào)度的方式，最大程度優(yōu)化網(wǎng)絡(luò)發(fā)生擁塞時(shí)的核心業(yè)務(wù)和VIP用戶服務(wù)質(zhì)量。在這里僅介紹WMM協(xié)議技術(shù)、優(yōu)先級映射和流量管理技術(shù)。流量管理l 基于用戶的流量管理防止P2P業(yè)務(wù)占用帶寬導(dǎo)致其他用戶無法正常使用無線網(wǎng)絡(luò)，比如校園網(wǎng)。l 基于SSID的流量管理防止某些SSID用戶流量過大影響其他SSID用戶的正常業(yè)務(wù)，比如訪客SSID的流量控制。無線空口做WMM調(diào)度WiFi多媒體標(biāo)準(zhǔn)WMM（WiFi Multimedia）是一種無線QoS協(xié)議，無線空口上，WMM將數(shù)據(jù)報(bào)文通過4個(gè)優(yōu)先級隊(duì)列發(fā)送，每個(gè)優(yōu)先級隊(duì)列占用信道的機(jī)會不一樣，從而保證語音、視頻等應(yīng)用在無線網(wǎng)絡(luò)中有更好的質(zhì)量。WMM按照優(yōu)先級從高到低的順序分為AC（Access Category）VO（語音流）、ACVI（視頻流）、ACBE（盡力而為流）、ACBK（背景流）四個(gè)優(yōu)先級隊(duì)列，保證越高優(yōu)先級隊(duì)列中的報(bào)文，搶占信道的能力越高。表24 WMM隊(duì)列優(yōu)先級WMM隊(duì)列用戶優(yōu)先級（UP）Voice6或7Video4或5Best Effort2或3Background0或1優(yōu)先級的映射優(yōu)先級映射包括：無線優(yōu)先級到有線優(yōu)先級的映射、無線優(yōu)先級到CAPWAP隧道優(yōu)先級的映射。l 上行無線到有線報(bào)文優(yōu)先級映射（無線）數(shù)據(jù)報(bào)文后，（以太網(wǎng)）報(bào)文，然后向網(wǎng)絡(luò)側(cè)繼續(xù)轉(zhuǎn)發(fā)。對于本地轉(zhuǎn)發(fā)，；對于集中轉(zhuǎn)發(fā)，、TunnleTOS的映射。l 下行有線報(bào)文到無線報(bào)文優(yōu)先級映射，并在空口上依據(jù)報(bào)文中的UP優(yōu)先級選擇不同的WMM隊(duì)列發(fā)送給用戶終端。對于本地轉(zhuǎn)發(fā)，；對于集中轉(zhuǎn)發(fā)，在AC上可實(shí)現(xiàn)TOS優(yōu)先級到TunnelTOS映射。 可靠性規(guī)劃WLAN網(wǎng)絡(luò)可靠性主要是網(wǎng)絡(luò)的負(fù)載分擔(dān)，分為AP負(fù)載分擔(dān)和AC的負(fù)載分擔(dān)。l AP負(fù)載分擔(dān)無線客戶端一般會根據(jù)AP信號強(qiáng)度（RSSI）選擇AP，這很容易導(dǎo)致大量的客戶端僅僅因?yàn)槟硞€(gè)AP信號較強(qiáng)而連接到同一個(gè)AP上。由于這些客戶端共享無線媒介，導(dǎo)致每個(gè)客戶端的網(wǎng)絡(luò)吞吐將大量減少。AP負(fù)載分擔(dān)可動態(tài)地確定在當(dāng)前時(shí)刻和當(dāng)前位置下哪些AP可以彼此分擔(dān)負(fù)載，通過控制無線客戶端接入的AP，來實(shí)現(xiàn)這些AP間的負(fù)載分擔(dān)。評估負(fù)載的方式有兩種：? 按照用戶在線會話數(shù)? 按照用戶流量當(dāng)前AP負(fù)載分擔(dān)策略是通過控制STA的接入實(shí)現(xiàn)負(fù)載均衡。當(dāng)AP的負(fù)載情況超過閾值后，該AP就會拒絕新的終端的接入，此時(shí)終端將尋找負(fù)載較輕的AP進(jìn)行連接，從而實(shí)現(xiàn)負(fù)載的均衡。l AC負(fù)載分擔(dān)AC負(fù)載分擔(dān)即AP根據(jù)AC負(fù)載動態(tài)選擇接入到負(fù)載輕的AC上去。AC在響應(yīng)報(bào)文（Discovery Response）中攜帶該AC負(fù)載信息（比如AC允許接入的最大AP數(shù)、當(dāng)前接入的AP數(shù)、允許接入的最大STA數(shù)、當(dāng)前接入的STA數(shù)），AP通過比較各AC的負(fù)載情況選擇一個(gè)負(fù)載輕的AC接入。通過CAPWAP隧道的心跳機(jī)制，AP可及時(shí)發(fā)現(xiàn)控制器Down，同時(shí)根據(jù)該方法重新選擇一個(gè)負(fù)載輕的AC接入。3 WLAN接入認(rèn)證方案 無線安全協(xié)議標(biāo)準(zhǔn)如表31所示，WLAN無線安全協(xié)議標(biāo)準(zhǔn)主要有：OPENSYSTEM（Open system authentication）、WEP（Wired Equivalent Privacy）、WPA/WPA2（WiFi Protected Access）、WAPI（WLAN Authentication and Privacy Infrastructure）。表31 WLAN無線安全協(xié)議標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)簡介適用場景OPENSYSTEM，不進(jìn)行認(rèn)證。一般用于有眾多用戶的運(yùn)營網(wǎng)絡(luò)WEP有線等效加密，即對于數(shù)據(jù)的加密和解密都使用同樣的密鑰和算法，主要用來保護(hù)WLAN空口信號的信息安全。應(yīng)用于小規(guī)模/低安全需求的WLAN網(wǎng)絡(luò)（SOHO/家庭熱點(diǎn)等）。WPA/WPA2l l 基于PSK(PreShared Key)、EAP等協(xié)議進(jìn)行身份認(rèn)證l 基于TKIP實(shí)現(xiàn)數(shù)據(jù)加密l 基于4次握手實(shí)現(xiàn)用戶會話密鑰的動態(tài)協(xié)商l WPA2增加了預(yù)認(rèn)證和CCMP加密，同時(shí)兼容WPA廣泛應(yīng)用于各種大、中型WLAN網(wǎng)絡(luò)和公共場合，為目前主推加密方案。WAPIWAPI系統(tǒng)包含WAI鑒別及密鑰管理和WPI數(shù)據(jù)傳輸保護(hù)：l 基于證書機(jī)制和自行設(shè)計(jì)的WAI(WLAN Authentication Infrastructure)認(rèn)證協(xié)議完成身份鑒別和密鑰管理，Radius等現(xiàn)有安全標(biāo)準(zhǔn)；l 基于自行設(shè)計(jì)的WPI（WLAN privacy infrastructure）協(xié)議實(shí)現(xiàn)數(shù)據(jù)的加密保護(hù)；中國標(biāo)準(zhǔn)，一般作為準(zhǔn)入門檻測試。華為AC均支持開放系統(tǒng)認(rèn)證、WEP加密、共享密鑰認(rèn)證、WPA/WPA2認(rèn)證和加密、WAPI認(rèn)證加密等無線接入安全特性。 WLAN終端認(rèn)證技術(shù)IEEE ，必須進(jìn)行“身份驗(yàn)證”。WLAN終端身份認(rèn)證主要有兩種方式：開放系統(tǒng)認(rèn)證（Opensystem Authentication）和共享密鑰認(rèn)證（SharedKey Authentication）。l 開放系統(tǒng)認(rèn)證是IEEE ，是最簡單的認(rèn)證算法，即不認(rèn)證。如果認(rèn)證類型設(shè)置為開放系統(tǒng)認(rèn)證，則所有請求認(rèn)證的客戶端都會通過認(rèn)證。在這種方式下，接入點(diǎn)并未驗(yàn)證工作站的真實(shí)身份，工作站以MAC地址作為身份證明。開放系統(tǒng)身份驗(yàn)證比較適合有眾多用戶的電信運(yùn)營WLAN網(wǎng)絡(luò)。l 共享密鑰式認(rèn)證必需使用加密方式，要求每個(gè)WLAN終端都配置和AP完全一致的密鑰（key）。由于配置工作量較大，一般適用于企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡(luò)等。二者對比如下：表32 WLAN終端認(rèn)證方式對比認(rèn)證方式優(yōu)點(diǎn)缺點(diǎn)適用場景開放式系統(tǒng)認(rèn)證部署簡單，終端接入速度快，有效帶寬高。安全性差，無法檢驗(yàn)客戶端是否合法，任何知道無線局域網(wǎng)SSID的用戶都可以訪問網(wǎng)絡(luò)。電信運(yùn)營網(wǎng)絡(luò)共享密鑰式認(rèn)證安全性較高，采用加密方式對密鑰進(jìn)行保護(hù)，空口密鑰數(shù)據(jù)不再