【正文】 鑰式認(rèn)證安全性較高，采用加密方式對密鑰進(jìn)行保護(hù)，空口密鑰數(shù)據(jù)不再明文傳輸。二者對比如下：表32 WLAN終端認(rèn)證方式對比認(rèn)證方式優(yōu)點(diǎn)缺點(diǎn)適用場景開放式系統(tǒng)認(rèn)證部署簡單，終端接入速度快，有效帶寬高。l 共享密鑰式認(rèn)證必需使用加密方式，要求每個WLAN終端都配置和AP完全一致的密鑰（key）。在這種方式下，接入點(diǎn)并未驗(yàn)證工作站的真實(shí)身份，工作站以MAC地址作為身份證明。l 開放系統(tǒng)認(rèn)證是IEEE ，是最簡單的認(rèn)證算法，即不認(rèn)證。 WLAN終端認(rèn)證技術(shù)IEEE ，必須進(jìn)行“身份驗(yàn)證”。WAPIWAPI系統(tǒng)包含WAI鑒別及密鑰管理和WPI數(shù)據(jù)傳輸保護(hù)：l 基于證書機(jī)制和自行設(shè)計的WAI(WLAN Authentication Infrastructure)認(rèn)證協(xié)議完成身份鑒別和密鑰管理，Radius等現(xiàn)有安全標(biāo)準(zhǔn)；l 基于自行設(shè)計的WPI（WLAN privacy infrastructure）協(xié)議實(shí)現(xiàn)數(shù)據(jù)的加密保護(hù)；中國標(biāo)準(zhǔn)，一般作為準(zhǔn)入門檻測試。應(yīng)用于小規(guī)模/低安全需求的WLAN網(wǎng)絡(luò)（SOHO/家庭熱點(diǎn)等）。表31 WLAN無線安全協(xié)議標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)簡介適用場景OPENSYSTEM，不進(jìn)行認(rèn)證。通過CAPWAP隧道的心跳機(jī)制，AP可及時發(fā)現(xiàn)控制器Down，同時根據(jù)該方法重新選擇一個負(fù)載輕的AC接入。l AC負(fù)載分擔(dān)AC負(fù)載分擔(dān)即AP根據(jù)AC負(fù)載動態(tài)選擇接入到負(fù)載輕的AC上去。評估負(fù)載的方式有兩種：? 按照用戶在線會話數(shù)? 按照用戶流量當(dāng)前AP負(fù)載分擔(dān)策略是通過控制STA的接入實(shí)現(xiàn)負(fù)載均衡。由于這些客戶端共享無線媒介，導(dǎo)致每個客戶端的網(wǎng)絡(luò)吞吐將大量減少。 可靠性規(guī)劃WLAN網(wǎng)絡(luò)可靠性主要是網(wǎng)絡(luò)的負(fù)載分擔(dān)，分為AP負(fù)載分擔(dān)和AC的負(fù)載分擔(dān)。l 下行有線報文到無線報文優(yōu)先級映射，并在空口上依據(jù)報文中的UP優(yōu)先級選擇不同的WMM隊列發(fā)送給用戶終端。l 上行無線到有線報文優(yōu)先級映射（無線）數(shù)據(jù)報文后，（以太網(wǎng)）報文，然后向網(wǎng)絡(luò)側(cè)繼續(xù)轉(zhuǎn)發(fā)。WMM按照優(yōu)先級從高到低的順序分為AC（Access Category）VO（語音流）、ACVI（視頻流）、ACBE（盡力而為流）、ACBK（背景流）四個優(yōu)先級隊列，保證越高優(yōu)先級隊列中的報文，搶占信道的能力越高。l 基于SSID的流量管理防止某些SSID用戶流量過大影響其他SSID用戶的正常業(yè)務(wù)，比如訪客SSID的流量控制。在這里僅介紹WMM協(xié)議技術(shù)、優(yōu)先級映射和流量管理技術(shù)。 QoS規(guī)劃WLAN QoS保證不同質(zhì)量的無線接入服務(wù)之間的互通，滿足實(shí)際應(yīng)用的需求。用戶黑名單功能：無線控制器通過配置方式或者實(shí)時檢測偵聽的方式來確定設(shè)備是否被加入黑名單，被加入到黑名單中的設(shè)備發(fā)過來的報文全部在AC上丟棄，從而減少攻擊報文對無線網(wǎng)絡(luò)的沖擊?？梢愿鶕?jù)實(shí)際網(wǎng)絡(luò)要求進(jìn)行取舍。部署建議：? 對于非法部署的AP設(shè)備，由網(wǎng)絡(luò)設(shè)備AC檢測，啟動相應(yīng)功能即可。對于非法部署的AP設(shè)備，可以通過控制AP接入（基于MAC地址；基于設(shè)備名稱SN等）來防止非法AP接入網(wǎng)絡(luò)。當(dāng)前FIT AP均能做到零配置。l AP零配置傳統(tǒng)的FAT AP組網(wǎng)模式要求在AP上配置大量的業(yè)務(wù)參數(shù)，同時需要在AP本地保存這些業(yè)務(wù)配置信息，一旦設(shè)備丟失，AP的業(yè)務(wù)配置信息就可能被泄漏，形成網(wǎng)絡(luò)的安全漏洞。、44信道，避免信號相互干擾；，對于會議室等高密度用戶接入的場所，可以啟用雙頻進(jìn)行覆蓋，以便提供更好的接入能力。射頻信道覆蓋WLAN信道規(guī)劃需遵循兩個原則：蜂窩覆蓋、信道間隔。設(shè)置為自動方式后，一旦檢測到信道沖突AP具有信道自動調(diào)整功能，建議AP采用自動設(shè)置工作信道方式，避免手動設(shè)置后一旦信道沖突將導(dǎo)致無法切換信道的問題。? HT40信道劃分：在該模式下，這兩段頻譜的可用信道分別為4個和2個。l ：? ，主要有兩段：～、～。? HT20信道劃分：信道帶寬為20M，在該模式下，一般選取11三個不重疊信道，頻率規(guī)劃可用頻點(diǎn)只有3個。WLAN系統(tǒng)主要應(yīng)用于兩個頻段：。WLAN信道規(guī)劃的好壞，影響到無線網(wǎng)絡(luò)的帶寬、無線網(wǎng)絡(luò)的性能、無線網(wǎng)絡(luò)的擴(kuò)展以及無線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到無線網(wǎng)絡(luò)的用戶體驗(yàn)。表22 AP發(fā)現(xiàn)并選擇AC方式優(yōu)劣勢對比表方式部署要求優(yōu)勢劣勢適用網(wǎng)絡(luò)DHCP Option 43DHCP Server啟動Option 43屬性適用于AP/AC任何組網(wǎng)中對網(wǎng)絡(luò)有部署要求大中型WLAN網(wǎng)絡(luò)，AP/AC二層或三層組網(wǎng)DNS部署DNS Server；DHCP Server支持Option 15屬性二層廣播發(fā)現(xiàn)無對已有網(wǎng)絡(luò)沒有額外要求僅能用于AP/AC二層組網(wǎng)中小型WLAN網(wǎng)絡(luò)，AP/AC二層組網(wǎng)AP上預(yù)配置靜態(tài)AC列表AP預(yù)配置對已有網(wǎng)絡(luò)沒有額外要求需要對AP逐一進(jìn)行配置，工作量大；若AC的IP地址發(fā)生變化，則需要重新修改AP的配置小型WLAN網(wǎng)絡(luò)若無線網(wǎng)絡(luò)部署了多個無線控制器，AP通過上述某種方式發(fā)現(xiàn)了多個AC時，AP根據(jù)根據(jù)AC負(fù)載動態(tài)選擇接入到負(fù)載輕的AC。當(dāng)預(yù)配置好AC列表時，AP將不再啟動正常的L2或L3的發(fā)現(xiàn)過程，故AC列表里的地址不可達(dá)時，AP將永遠(yuǎn)連接不上AC。當(dāng)AP通過DHCP服務(wù)器獲取IP地址時，DHCP Server會在DHCP Offer報文中將DNS服務(wù)器IP地址（Option 6）和AC域名（Option 15）告知AP，在AP獲取到IP地址后，則通過DNS服務(wù)器解析到AC的IP，從而實(shí)現(xiàn)對AC的發(fā)現(xiàn)和關(guān)聯(lián)。圖23 通過DHCP Option 43發(fā)現(xiàn)AC的報文交互圖通過DNS發(fā)現(xiàn)AC當(dāng)網(wǎng)絡(luò)中部署了DNS Server時，還可以通過DNS方式讓AP來發(fā)現(xiàn)AC。通過DHCP Option 43發(fā)現(xiàn)ACOption 43是DHCP協(xié)議的一個屬性，在華為WLAN網(wǎng)絡(luò)里，AP用它識別AC的IP地址。 AP發(fā)現(xiàn)并選擇AC方式規(guī)劃FIT AP架構(gòu)下的WLAN網(wǎng)絡(luò)中，F(xiàn)IT AP為零配置，當(dāng)FIT AP部署到網(wǎng)絡(luò)的時候，AP需要去找到相應(yīng)的AC，并從AC上下載其配置。 l 密鑰協(xié)商下移技術(shù)：密鑰協(xié)商下移主要是針對數(shù)據(jù)加密用戶包括WPA/WPA2 。l PMK caching：PMK ，STA和AC都會緩存PMK和PMKID； 當(dāng)漫游到新AP時， STA會把這些PMKID攜帶過去，無線控制器根據(jù)STA攜帶的PMKID查找自己緩存的PMK信息，如果查到，利用緩存的PMK進(jìn)行四次握手協(xié)商出加密KEY, 。l 漫游切換AP必須是同一個AC管理。3. 如圖中的標(biāo)號2所示，客戶端通過信道6向AP2發(fā)送關(guān)聯(lián)請求，AP2使用關(guān)聯(lián)響應(yīng)做出應(yīng)答，建立用戶與AP2間的關(guān)聯(lián)。 2. 如圖中的標(biāo)號1所示，刪除用戶與AP1現(xiàn)有的關(guān)聯(lián)。AP2在信道6（AP2使用的信道）中收到請求后，通過在信道6中發(fā)送應(yīng)答來進(jìn)行響應(yīng)。 漫游規(guī)劃漫游是指用戶在部署了WLAN網(wǎng)絡(luò)的場所移動時，用戶終端可以從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍，用戶無需重新登錄和認(rèn)證。VAP構(gòu)建AP可以配置多個SSID，華為單頻AP可支持16個SSID，雙頻AP可支持32個SSID。因此，在業(yè)務(wù)VLAN的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體。 SSID規(guī)劃企業(yè)園區(qū)無線網(wǎng)絡(luò)一般按照業(yè)務(wù)類型劃分不同的SSID（Service Set Identification）。DHCP動態(tài)分配AP的IP地址各種方式優(yōu)劣勢對比如表21所示。? 根據(jù)AP的MAC地址指定分配：在DHCP Server上配置AP的MAC以及對應(yīng)的IP地址。如果網(wǎng)絡(luò)中部署多個DHCP Server且只有部分支持Option 60，交換機(jī)等設(shè)備充當(dāng)DHCP Relay時需要支持識別DHCP option 60并將DHCP報文轉(zhuǎn)發(fā)到相應(yīng)的DHCP Server上。DHCP動態(tài)分配AP的IP地址時，可以有以下幾種方式：l 指定地址池分配? 根據(jù)DHCP Option 60表明AP身份而分配指