【正文】 不同廠商對于 功能 組件的劃分存在差異，另外用戶需求也具有多樣性，不能簡單的和報(bào)價(jià)組件進(jìn)行對應(yīng)。 可選 表中，除了用戶認(rèn)證是必選組件外，其他組件可基于現(xiàn)網(wǎng)需求選擇。 可選 5 客戶端軟件 通過和服務(wù)器聯(lián)動，完成接入認(rèn)證、安全檢查、用戶計(jì)費(fèi)等功能。 可選 3 用戶計(jì)費(fèi)組件 支持基于時(shí)間和流量的計(jì)費(fèi)，包括包月、包年、包半年、包學(xué)期、動態(tài)包天、動態(tài)包月、動態(tài)包年、包時(shí)長、包流量等主流計(jì)費(fèi)方式。 必選 用戶認(rèn)證流程用戶計(jì)費(fèi)流程園區(qū)內(nèi)部流量園區(qū)外部流量核心設(shè)備AC 設(shè)備計(jì)費(fèi)網(wǎng)關(guān)準(zhǔn)出計(jì)費(fèi)點(diǎn)準(zhǔn)入認(rèn)證點(diǎn)服務(wù)器區(qū)域ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 華為專有和保密信息 版權(quán)所有 169。 采用此方式，實(shí)現(xiàn) 無線園區(qū)用戶集中認(rèn)證，數(shù)據(jù)流量本地轉(zhuǎn)發(fā)，安全管理和網(wǎng)絡(luò)性能做到完美結(jié)合 ；并且實(shí)現(xiàn) 各功能組件按需選擇，提供認(rèn)證、認(rèn)證＋安全、認(rèn)證＋計(jì)費(fèi)、認(rèn)證＋安全＋計(jì)費(fèi)等多套方案。 園區(qū)出口部署計(jì)費(fèi)服務(wù)器，實(shí)現(xiàn)園區(qū)出口流量統(tǒng)一計(jì)費(fèi)。 本地轉(zhuǎn)發(fā) 8 0 2 . 1 x 、P o r t a l 認(rèn)證報(bào)文走C A P W A P 控制隧道集中轉(zhuǎn)發(fā) 8 0 2 . 1 X 、P o r t a l認(rèn)證報(bào)文走C A P W A P 數(shù)據(jù)隧道集中轉(zhuǎn)發(fā)區(qū)域 本地轉(zhuǎn)發(fā)區(qū)域C A P W A P 控制隧道C A P W A P 數(shù)據(jù)隧道園區(qū)網(wǎng)服務(wù)器區(qū)域ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 華為專有和保密信息 版權(quán)所有 169。園區(qū)網(wǎng)中，從安全性、易部署等角度考慮，一般推薦 +WPA2 接入認(rèn)證。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 華為專有和保密信息 版權(quán)所有 169。 無線用戶集中認(rèn)證，需要保證相關(guān)認(rèn)證協(xié)議能夠上送 AC 處理。 當(dāng)前 WAPI 在企業(yè)網(wǎng)和運(yùn)營商中應(yīng)用很少，一般作為準(zhǔn)入門檻測試，園區(qū)網(wǎng)中，從安全性和易部署性等多方面考慮，推薦 ＋ WPA2 的機(jī)制。 WEP/WPA/WPA2 高 小 認(rèn)證后分配 需要 大中型園區(qū)網(wǎng)絡(luò)。 Portal認(rèn)證 Open System 中 小 認(rèn)證前分配 不需要 中小型園區(qū)網(wǎng)絡(luò)。 華為技術(shù)有限公司 25 無線接入認(rèn)證和安全協(xié)議對應(yīng)關(guān)系 表 33 無線接入認(rèn)證和安全協(xié)議對應(yīng)關(guān)系表 認(rèn)證方法 安全協(xié)議 安全性 封裝開銷 地址分配 客戶端軟件 應(yīng)用場景 MAC 認(rèn)證 Open System 低 小 認(rèn)證后分配 不需要 PDA、 IP 電話等啞終端設(shè)備接入。 Portal認(rèn)證通常需要多個(gè)服務(wù)器支持， DHCP 服務(wù)器、 AAA 服務(wù)器等 。用戶如果被配置成強(qiáng)制 Web 認(rèn)證，則用戶只需要輸入自己喜歡的網(wǎng)頁即可，系統(tǒng)自動下載認(rèn)證網(wǎng)頁。 接入設(shè)備將來自客戶的 HTTP請求重定向到 Portal服務(wù)器， 在 Portal頁面上輸入用戶名、密碼進(jìn)行認(rèn)證。 Portal認(rèn)證 Portal認(rèn)證也稱 Web 認(rèn)證 或 DHCP+Web認(rèn)證。 PPPoE也是一種認(rèn)證模式 ， PPPoE 在 WLAN 使用時(shí)，和 WLAN 本身采用的認(rèn)證加密沒有關(guān)系。 ? 根據(jù)認(rèn)證結(jié)果，是否進(jìn)入到 NCP（ IPCP）協(xié)商階段，接入設(shè)備給用戶計(jì)算機(jī)分配網(wǎng)絡(luò)層參數(shù) （ 例如 IP 地址等 ） 。主要包括三個(gè)部分 ： ? 用戶和接入設(shè)備在 LCP 階段協(xié)商鏈路層參數(shù) 。 EAP（ Extensible Authentication Protocol） 認(rèn)證協(xié)議 ，目前有超過 20 種不同的 EAP 協(xié)議。 ，基礎(chǔ)的 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 華為專有和保密信息 版權(quán)所有 169。 ，而是一個(gè)通用架構(gòu)。 。認(rèn)證服務(wù)器對請求方進(jìn)行驗(yàn)證，然后告知認(rèn)證方該請求者是否為授權(quán)用戶。 ? 認(rèn)證方（ Authenticator）：允許客戶機(jī)進(jìn)行網(wǎng)絡(luò)訪問的實(shí)體，在無線網(wǎng)絡(luò)中，通常指訪問接入點(diǎn) AP 或控制器 AC 設(shè)備 。 盡管 ，但它也適用于符合 標(biāo)準(zhǔn)的無線局域網(wǎng)，且被視為是 WLAN 的一種增強(qiáng)性網(wǎng)絡(luò)安全 解決方案?；诙丝诘木W(wǎng)絡(luò)訪問控制利用物理層特性對連接到 LAN 端口的設(shè)備進(jìn)行身份認(rèn)證。 在企業(yè)園區(qū)中 MAC 認(rèn)證 主要用于 IP 電話、打印機(jī)等啞終端設(shè)備 的接入。由于無線終端的網(wǎng)卡都具備唯一的 MAC 地址，因此可以通過檢查無線終端數(shù)據(jù)包的源 MAC 地址來識別無線終端的合法性。 多種認(rèn)證技術(shù)保證 WiFi終端安全接入，合法用戶訪問合規(guī)資源，從源頭上消除安全威脅。 常用的 WLAN 的鏈路層身份驗(yàn)證主要有 MAC 認(rèn)證、 、 Portal（ DHCP+Web） 、 PPPoE等幾種 認(rèn)證方式。通過提供有限的訪問權(quán)限來驗(yàn)證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問權(quán)限，可有效判別用戶的合法性。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 華為專有和保密信息 版權(quán)所有 169。 有效帶寬較低，加密降低了傳輸效率。 電信運(yùn)營網(wǎng)絡(luò) 共享密鑰式認(rèn)證 安全性較高，采用加密方式對密鑰進(jìn)行保護(hù)，空口密鑰數(shù)據(jù)不再明文傳輸。 二者對比如下： 表 32 WLAN終端認(rèn)證方式對比 認(rèn)證方式 優(yōu)點(diǎn) 缺點(diǎn) 適用場景 開放式系統(tǒng)認(rèn)證 部署簡單，終端接入速度快，有效帶寬高。 ? 共享密鑰式認(rèn)證必需使用加密方式，要求每個(gè) WLAN 終端都 配置和 AP 完全一致的密鑰（ key）。 在這種方式下，接入點(diǎn)并未驗(yàn)證工作站的真實(shí)身份，工作站以 MAC 地址作為身份證明，這種驗(yàn)證方式可以讓所有符合 標(biāo)準(zhǔn)的終端都可以接入到 WLAN網(wǎng)絡(luò)中來。 ? 開放系統(tǒng)認(rèn)證是 IEEE 標(biāo)準(zhǔn)要求必備的一種方法， 是最簡單的認(rèn)證算法，即不認(rèn)證。 WLAN終端認(rèn)證 技術(shù) IEEE 標(biāo)準(zhǔn)要求 WLAN 終端在準(zhǔn)備連接到網(wǎng)絡(luò)時(shí)，必須 進(jìn)行“身份驗(yàn)證”。 華為技術(shù)有限公司 22 標(biāo)準(zhǔn) 簡介 適用場景 WAPI WAPI系統(tǒng)包含WAI鑒別及密鑰管理和WPI數(shù)據(jù)傳輸保護(hù)： ? 基于證書機(jī)制和自行設(shè)計(jì)的 WAI(WLAN Authentication Infrastructure)認(rèn)證協(xié)議完成身份鑒別和密鑰管理，而沒有重用 ， Radius等現(xiàn)有安全標(biāo)準(zhǔn)； ? 基于自行設(shè)計(jì)的 WPI （ WLAN privacy infrastructure） 協(xié)議實(shí)現(xiàn)數(shù)據(jù)的加密保護(hù)； 中國標(biāo)準(zhǔn)，一般作為準(zhǔn)入門檻測試 。 WPA/WPA2 ? 基于 ? 基于 PSK(PreShared Key)、 EAP 等協(xié)議進(jìn)行身份認(rèn)證 ? 基于 TKIP 實(shí)現(xiàn)數(shù)據(jù)加密 ? 基于 4 次握手實(shí)現(xiàn)用戶會話密鑰的動態(tài)協(xié)商 ? WPA2 增加了預(yù)認(rèn)證和 CCMP 加密，同時(shí)兼容 WPA 廣泛應(yīng)用于各種大、中型 WLAN網(wǎng)絡(luò)和公共場合，為目前主推加密方案 。 一般用于有眾多用戶的運(yùn)營網(wǎng)絡(luò) WEP 有線等效加密，即對于數(shù)據(jù)的加密和解密都使用同樣的密鑰和算法，主要用來保護(hù) WLAN空口信號的信息安全。 華為技術(shù)有限公司 21 3 WLAN接入認(rèn)證計(jì)費(fèi)方案 無線安全協(xié)議標(biāo)準(zhǔn) 如 表 31 所示， WLAN 無線安全協(xié)議標(biāo)準(zhǔn)主要有： OPENSYSTEM（ Open system authentication）、 WEP（ Wired Equivalent Privacy）、 WPA/WPA2（ WiFi Protected Access）、WAPI（ WLAN Authentication and Privacy Infrastructure）。 通過 CAPWAP 隧道的心跳機(jī)制， AP 可及時(shí) 發(fā)現(xiàn)控制器 Down，同時(shí)根據(jù)該方法重新選擇一個(gè)負(fù)載輕的 AC 接入。 ? AC 負(fù)載分擔(dān) AC 負(fù)載分擔(dān)即 AP 根據(jù) AC 負(fù)載動態(tài)選擇接入到負(fù)載輕的 AC 上去。 評估負(fù)載的方式有兩種 ： ? 按照用戶在線會話數(shù) ? 按照用戶流量 當(dāng)前 AP 負(fù)載分擔(dān)策略是通過 控制 STA的接入實(shí)現(xiàn)負(fù)載均衡 。 華為技術(shù)有限公司 20 介，導(dǎo)致每個(gè)客戶端的網(wǎng)絡(luò)吞吐將大量減少。 ? AP 負(fù)載分擔(dān) 無線客戶端一般會根據(jù) AP 信號強(qiáng)度 （ RSSI） 選擇 AP，這很容易導(dǎo)致大量的客戶端僅僅因?yàn)槟硞€(gè) AP 信號較強(qiáng)而連接到同一個(gè) AP 上。對于本地轉(zhuǎn)發(fā)，需要完成 到 UP 優(yōu)先級映射；對于集中轉(zhuǎn)發(fā)，在 AC 上可實(shí)現(xiàn) TOS 優(yōu)先級到 TunnelTOS 映射， 優(yōu)先級到 優(yōu)先級映射。對于本地轉(zhuǎn)發(fā)，完成用戶優(yōu)先級 UP 到 優(yōu)先級映射；對于集中轉(zhuǎn)發(fā)，再實(shí)現(xiàn) 隧道優(yōu)先級 、 TunnelTOS 的 映射。 表 24 WMM隊(duì)列優(yōu)先級 WMM隊(duì)列 用戶優(yōu)先級 （ UP） Voice 6 或 7 Video 4 或 5 Best Effort 2 或 3 Background 0 或 1 優(yōu)先級的映射 優(yōu)先級映射 包括 ： 無線優(yōu)先級到有線優(yōu)先級的映射 、 無線優(yōu)先級到 CAPWAP 隧道優(yōu)先級的映射。 華為技術(shù)有限公司 19 無線空口做 WMM調(diào)度 WiFi多媒體標(biāo)準(zhǔn) WMM（ WiFi Multimedia）是一種無線 QoS 協(xié)議，無線空口上， WMM將數(shù)據(jù)報(bào)文通過 4個(gè)優(yōu)先級隊(duì)列發(fā)送，每個(gè)優(yōu)先級隊(duì)列占用信道的機(jī)會不一樣，從而保證語音、視頻等應(yīng)用在無線網(wǎng)絡(luò)中有更好的質(zhì)量 。 ? 基于 SSID 的流量管理 防止某些 SSID用戶流量過大影響其他 SSID 用戶的正常業(yè)務(wù)，比如訪客 SSID的流量控制 。 在這里僅介紹 WMM 協(xié)議技術(shù)、優(yōu)先級映射和流量管理技術(shù)。 華為技術(shù)有限公司 18 QoS規(guī)劃 WLAN QoS 保證不同質(zhì)量的無線接入服務(wù)之間的互通，滿足實(shí)際應(yīng)用的需求。 部署建議： 大中型園區(qū)網(wǎng) 不建議部署，通過認(rèn)證進(jìn)行用戶的合法檢測即可 。 表 23 對 發(fā)起無線攻擊的 AP 的 監(jiān)聽 部署方案優(yōu)劣勢對比表 部署方式 優(yōu)點(diǎn) 劣勢 部署專職監(jiān)聽AP 實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)，及時(shí)檢測出非法 AP 網(wǎng)絡(luò)部署成本高 業(yè)務(wù) AP 兼職監(jiān)聽 AP 網(wǎng)絡(luò)部署成本相對小 不能實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)，無法及時(shí)檢測到非法 AP ? IPS黑白名單 用戶白名單功能：無線控制器支持靜態(tài)配置白名單功能，該功能一旦啟用，只有白名單上的無線用戶才被認(rèn)為是合法用戶，其他非法用戶的報(bào)文全部在 AC 上被丟棄，從而減少非法報(bào)文對無線網(wǎng)絡(luò)的沖擊。 ? 這里主要給出 對 發(fā)起無線攻擊的 AP 的 監(jiān)聽 部署方案以及對比情況，如 表 23所示。 對于 對網(wǎng)絡(luò)發(fā)起無線攻擊的 AP 設(shè)備， 網(wǎng)絡(luò)中合法部署的 AP 監(jiān)聽 設(shè)備負(fù)責(zé)把監(jiān)聽到有攻擊行為的無線設(shè)備上報(bào)給無線控制器 ，繼而上報(bào)給網(wǎng)管。 無線 IDS/IPS ? IDS—— 非法 AP 檢測 非法 AP 主要指 未經(jīng)網(wǎng)絡(luò)許可而非法部署的 AP 設(shè)備或者是對網(wǎng)絡(luò)發(fā)起無線攻擊的AP 設(shè)備。 FIT AP 在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動的時(shí)候從無線控制器動態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。 華為技術(shù)有限公司 17 無線網(wǎng)絡(luò)安全規(guī)劃 無線 設(shè)備安全 ? AP 防盜 安裝 AP 時(shí)安裝防盜鎖即可。 AP 交替使用 11 信道及 的 3 44信道，避免信號相互干擾；一般情況單獨(dú)使用 或 的頻段，對于會議室等高密度用戶接入的場所，可以啟用雙頻進(jìn)行覆蓋，以便提供更好的接入能力。 射頻信道覆蓋 WLAN 信道規(guī)劃需遵循兩個(gè) 原則：蜂窩覆蓋、信道間隔 。設(shè)置為自動方式后，一旦檢測到信道沖突AP 具有信道自動調(diào)整功能，建議 AP 采用自動設(shè)置工作信道方式，避免手動設(shè)置后一旦信道沖突將導(dǎo)致無法切換信道的問題 。 華為技術(shù)有限公司 16 ? HT40 信道劃分：在該模式下，這兩段頻譜的可用信道分別為 4 個(gè)和 2 個(gè)。 ? HT20 信道劃分：不重疊信道在 ～ 頻段有 8 個(gè)，分別為 3 44 5 5 60、 64；在 ～ 4個(gè)，分別為 14 1515 161。 ? HT40 信道劃分：信道帶寬為 40M，受頻率限制，只支持一個(gè)不重疊信道。 ? 頻段信道劃分： ? 頻段具體頻率范圍為 ～ 的連續(xù)頻譜，信道編號 1～ 14。 射頻信道劃分 WLAN 信道規(guī)劃是 WLAN 網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，為保證信道之間不相互干擾，大型無線園區(qū)網(wǎng)網(wǎng) 絡(luò)必須對 WLAN 信道進(jìn)行統(tǒng)一規(guī)劃并實(shí)施。 射頻管理規(guī)劃 與 IP 地址規(guī)劃一樣， WLAN 信道