【正文】 ，分為本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā) 集中式AC與分布式AC根據(jù)AC的部署方式，網(wǎng)絡(luò)可分為集中式AC部署和分布式AC部署。AC的部署可以采用直路（直接部署在AP和匯聚/核心交換機之間）或旁掛方式（旁掛在匯聚/核心交換機旁側(cè)）。分布式AC方案一般不采用獨立的AC設(shè)備，而是采用在匯聚交換機上集成AC功能，來實現(xiàn)對本交換機下掛的所有AP進行管理。表13 集中式AC與分布式AC優(yōu)缺點對比表AC部署方式優(yōu)點缺點集中式l 節(jié)省投資l 容量管理更簡單有效，成本效益高l 無線業(yè)務(wù)終結(jié)點少，便于管理l 漫游部署簡單、高效l 無線網(wǎng)絡(luò)運維管理更簡單，可集中管理且配置靈活A(yù)C與AP之間的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)規(guī)劃部署相對復(fù)雜分布式AC與AP之間網(wǎng)絡(luò)結(jié)構(gòu)簡單，網(wǎng)絡(luò)部署相對簡單l 投資成本高l 需要部署AC間漫游（除非各AC所在的區(qū)域間不考慮漫游）l 運維成本高 AC旁掛與AC直路根據(jù)AC在網(wǎng)絡(luò)上所處位置，可分為AC旁掛和AC直路。旁掛方式主要用于原有網(wǎng)絡(luò)匯聚/核心設(shè)備非XX設(shè)備的場景，目前主要用于網(wǎng)絡(luò)改造、或者新建大、中型園區(qū)網(wǎng)絡(luò)場景。直路方式主要用于新建中、小型園區(qū)網(wǎng)絡(luò)或原有網(wǎng)絡(luò)匯聚/核心設(shè)備為XX設(shè)備的場景。集成AC集成AC方案指不采用單獨的AC硬件設(shè)備，而是采用在交換機中集成的AC硬件插卡，來實現(xiàn)對交換機下所有AP的管理。使用集成的SPU板卡作為AC，負責(zé)完成對AP設(shè)備的管理。在獨立AC方案中，采用集中式架構(gòu)（FIT AP架構(gòu)），使用FIT AP來負責(zé)無線終端的接入。集成AC和獨立AC優(yōu)缺點比較如表14所示。在接入用戶數(shù)方面略差獨立AC可以實現(xiàn)大容量、高性能的WLAN網(wǎng)絡(luò)部署。 本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)模式主要是AP針對用戶數(shù)據(jù)可以有不同的轉(zhuǎn)發(fā)處理方式。而AP管理流封裝在CAPWAP隧道中，到達AC終止。業(yè)務(wù)數(shù)據(jù)報文由AP統(tǒng)一封裝后到達AC實現(xiàn)轉(zhuǎn)發(fā)，AC不但進行對AP管理，還作為AP流量的轉(zhuǎn)發(fā)中樞。圖112 隧道轉(zhuǎn)發(fā)示意圖本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點對比如表15所示。集中轉(zhuǎn)發(fā)數(shù)據(jù)流量和管理流量全部經(jīng)過AC，可以按用戶需求規(guī)劃安全監(jiān)管策略。2 WLAN基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 IP地址規(guī)劃AC的IP地址AC用于管理AP，IP地址一般通過靜態(tài)手工配置。DHCP動態(tài)分配AP的IP地址時，可以有以下幾種方式：l 指定地址池分配? 根據(jù)DHCP Option 60表明AP身份而分配指定地址池的IP：AP的DHCP Discover報文攜帶Option 60，例如內(nèi)容為“Huawei AP”，表示請求分配IP地址的設(shè)備是XXAP，而不是WLAN用戶。如果網(wǎng)絡(luò)中部署多個DHCP Server且只有部分支持Option 60，交換機等設(shè)備充當(dāng)DHCP Relay時需要支持識別DHCP option 60并將DHCP報文轉(zhuǎn)發(fā)到相應(yīng)的DHCP Server上。? 根據(jù)AP的MAC地址指定分配：在DHCP Server上配置AP的MAC以及對應(yīng)的IP地址。DHCP動態(tài)分配AP的IP地址各種方式優(yōu)劣勢對比如表21所示。 SSID規(guī)劃企業(yè)園區(qū)無線網(wǎng)絡(luò)一般按照業(yè)務(wù)類型劃分不同的SSID（Service Set Identification）。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體。因此，在業(yè)務(wù)VLAN的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。VAP構(gòu)建AP可以配置多個SSID，XX單頻AP可支持16個SSID，雙頻AP可支持32個SSID。 漫游規(guī)劃漫游是指用戶在部署了WLAN網(wǎng)絡(luò)的場所移動時，用戶終端可以從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍，用戶無需重新登錄和認(rèn)證。AP2在信道6（AP2使用的信道）中收到請求后，通過在信道6中發(fā)送應(yīng)答來進行響應(yīng)。 2. 如圖中的標(biāo)號1所示，刪除用戶與AP1現(xiàn)有的關(guān)聯(lián)。3. 如圖中的標(biāo)號2所示，客戶端通過信道6向AP2發(fā)送關(guān)聯(lián)請求，AP2使用關(guān)聯(lián)響應(yīng)做出應(yīng)答，建立用戶與AP2間的關(guān)聯(lián)。l 漫游切換AP必須是同一個AC管理。l PMK caching：PMK ，STA和AC都會緩存PMK和PMKID； 當(dāng)漫游到新AP時， STA會把這些PMKID攜帶過去，無線控制器根據(jù)STA攜帶的PMKID查找自己緩存的PMK信息，如果查到，利用緩存的PMK進行四次握手協(xié)商出加密KEY, 。 l 密鑰協(xié)商下移技術(shù)：密鑰協(xié)商下移主要是針對數(shù)據(jù)加密用戶包括WPA/WPA2 。 AP發(fā)現(xiàn)并選擇AC方式規(guī)劃FIT AP架構(gòu)下的WLAN網(wǎng)絡(luò)中，F(xiàn)IT AP為零配置，當(dāng)FIT AP部署到網(wǎng)絡(luò)的時候，AP需要去找到相應(yīng)的AC，并從AC上下載其配置。通過DHCP Option 43發(fā)現(xiàn)ACOption 43是DHCP協(xié)議的一個屬性，在XXWLAN網(wǎng)絡(luò)里，AP用它識別AC的IP地址。圖23 通過DHCP Option 43發(fā)現(xiàn)AC的報文交互圖通過DNS發(fā)現(xiàn)AC當(dāng)網(wǎng)絡(luò)中部署了DNS Server時，還可以通過DNS方式讓AP來發(fā)現(xiàn)AC。當(dāng)AP通過DHCP服務(wù)器獲取IP地址時，DHCP Server會在DHCP Offer報文中將DNS服務(wù)器IP地址（Option 6）和AC域名（Option 15）告知AP，在AP獲取到IP地址后，則通過DNS服務(wù)器解析到AC的IP，從而實現(xiàn)對AC的發(fā)現(xiàn)和關(guān)聯(lián)。當(dāng)預(yù)配置好AC列表時，AP將不再啟動正常的L2或L3的發(fā)現(xiàn)過程，故AC列表里的地址不可達時，AP將永遠連接不上AC。表22 AP發(fā)現(xiàn)并選擇AC方式優(yōu)劣勢對比表方式部署要求優(yōu)勢劣勢適用網(wǎng)絡(luò)DHCP Option 43DHCP Server啟動Option 43屬性適用于AP/AC任何組網(wǎng)中對網(wǎng)絡(luò)有部署要求大中型WLAN網(wǎng)絡(luò)，AP/AC二層或三層組網(wǎng)DNS部署DNS Server；DHCP Server支持Option 15屬性二層廣播發(fā)現(xiàn)無對已有網(wǎng)絡(luò)沒有額外要求僅能用于AP/AC二層組網(wǎng)中小型WLAN網(wǎng)絡(luò)，AP/AC二層組網(wǎng)AP上預(yù)配置靜態(tài)AC列表AP預(yù)配置對已有網(wǎng)絡(luò)沒有額外要求需要對AP逐一進行配置，工作量大；若AC的IP地址發(fā)生變化，則需要重新修改AP的配置小型WLAN網(wǎng)絡(luò)若無線網(wǎng)絡(luò)部署了多個無線控制器，AP通過上述某種方式發(fā)現(xiàn)了多個AC時，AP根據(jù)根據(jù)AC負載動態(tài)選擇接入到負載輕的AC。WLAN信道規(guī)劃的好壞，影響到無線網(wǎng)絡(luò)的帶寬、無線網(wǎng)絡(luò)的性能、無線網(wǎng)絡(luò)的擴展以及無線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到無線網(wǎng)絡(luò)的用戶體驗。WLAN系統(tǒng)主要應(yīng)用于兩個頻段：。? HT20信道劃分：信道帶寬為20M，在該模式下，一般選取11三個不重疊信道，頻率規(guī)劃可用頻點只有3個。l ：? ，主要有兩段：～、～。? HT40信道劃分：在該模式下，這兩段頻譜的可用信道分別為4個和2個。設(shè)置為自動方式后，一旦檢測到信道沖突AP具有信道自動調(diào)整功能，建議AP采用自動設(shè)置工作信道方式，避免手動設(shè)置后一旦信道沖突將導(dǎo)致無法切換信道的問題。射頻信道覆蓋WLAN信道規(guī)劃需遵循兩個原則：蜂窩覆蓋、信道間隔。、44信道，避免信號相互干擾；，對于會議室等高密度用戶接入的場所，可以啟用雙頻進行覆蓋，以便提供更好的接入能力。l AP零配置傳統(tǒng)的FAT AP組網(wǎng)模式要求在AP上配置大量的業(yè)務(wù)參數(shù)，同時需要在AP本地保存這些業(yè)務(wù)配置信息，一旦設(shè)備丟失，AP的業(yè)務(wù)配置信息就可能被泄漏，形成網(wǎng)絡(luò)的安全漏洞。當(dāng)前FIT AP均能做到零配置。對于非法部署的AP設(shè)備，可以通過控制AP接入（基于MAC地址；基于設(shè)備名稱SN等）來防止非法AP接入網(wǎng)絡(luò)。部署建議：? 對于非法部署的AP設(shè)備，由網(wǎng)絡(luò)設(shè)備AC檢測，啟動相應(yīng)功能即可。可以根據(jù)實際網(wǎng)絡(luò)要求進行取舍。用戶黑名單功能：無線控制器通過配置方式或者實時檢測偵聽的方式來確定設(shè)備是否被加入黑名單，被加入到黑名單中的設(shè)備發(fā)過來的報文全部在AC上丟棄，從而減少攻擊報文對無線網(wǎng)絡(luò)的沖擊。 QoS規(guī)劃WLAN QoS保證不同質(zhì)量的無線接入服務(wù)之間的互通，滿足實際應(yīng)用的需求。在這里僅介紹WMM協(xié)議技術(shù)、優(yōu)先級映射和流量管理技術(shù)。l 基于SSID的流量管理防止某些SSID用戶流量過大影響其他SSID用戶的正常業(yè)務(wù)，比如訪客SSID的流量控制。WMM按照優(yōu)先級從高到低的順序分為AC（Access Category）VO（語音流）、ACVI（視頻流）、ACBE（盡力而為流）、ACBK（背景流）四個優(yōu)先級隊列，保證越高優(yōu)先級隊列中的報文，搶占信道的能力越高。l 上行無線到有線報文優(yōu)先級映射（無線）數(shù)據(jù)報文后，（以太網(wǎng)）報文，然后向網(wǎng)絡(luò)側(cè)繼續(xù)轉(zhuǎn)發(fā)。l 下行有線報文到無線報文優(yōu)先級映射，并在空口上依據(jù)報文中的UP優(yōu)先級選擇不同的WMM隊列發(fā)送給用戶終端。 可靠性規(guī)劃WLAN網(wǎng)絡(luò)可靠性主要是網(wǎng)絡(luò)的負載分擔(dān)，分為AP負載分擔(dān)和AC的負載分擔(dān)。由于這些客戶端共享無線媒介，導(dǎo)致每個客戶端的網(wǎng)絡(luò)吞吐將大量減少。評估負載的方式有兩種：? 按照用戶在線會話數(shù)? 按照用戶流量當(dāng)前AP負載分擔(dān)策略是通過控制STA的接入實現(xiàn)負載均衡。l AC負載分擔(dān)AC負載分擔(dān)即AP根據(jù)AC負載動態(tài)選擇接入到負載輕的AC上去。通過CAPWAP隧道的心跳機制，AP可及時發(fā)現(xiàn)控制器Down，同時根據(jù)該方法重新選擇一個負載輕的AC接入。表31 WLAN無線安全協(xié)議標(biāo)準(zhǔn)介紹標(biāo)準(zhǔn)簡介適用場景OPENSYSTEM，不進行認(rèn)證。應(yīng)用于小規(guī)模/低安全需求的WLAN網(wǎng)絡(luò)（SOHO/家庭熱點等）。WAPIWAPI系統(tǒng)包含WAI鑒別及密鑰管理和WPI數(shù)據(jù)傳輸保護：l 基于證書機制和自行設(shè)計的WAI(WLAN Authentication Infrastructure)認(rèn)證協(xié)議完成身份鑒別和密鑰管理，Radius等現(xiàn)有安全標(biāo)準(zhǔn)；l 基于自行設(shè)計的WPI（WLAN privacy infrastructure）協(xié)議實現(xiàn)數(shù)據(jù)的加密保護；中國標(biāo)準(zhǔn)，一般作為準(zhǔn)入門檻測試。 WLAN終端認(rèn)證技術(shù)IEEE ，必須進行“身份驗證”。l 開放系統(tǒng)認(rèn)證是IEEE ，是最簡單的認(rèn)證算法，即不認(rèn)證。在這種方式下，接入點并未驗證工作站的真實身份，工作站以MAC地址作為身份證明。l 共享密鑰式認(rèn)證必需使用加密方式，要求每個WLAN終端都配置和AP完全一致的密鑰（key）。二者對比如下：表32 WLAN終端認(rèn)證方式對比認(rèn)證方式優(yōu)點缺點適用場景開放式系統(tǒng)認(rèn)證部署簡單，終端接入速度快，有效帶寬高。電信運營網(wǎng)絡(luò)共享密鑰式認(rèn)證安全性較高，采用加密方式對密鑰進行保護，空口密鑰數(shù)據(jù)不再明文傳輸。有效帶寬較低，加密降低了傳輸效率。 無線用戶身份認(rèn)證技術(shù)相對于簡單的STA身份驗證過濾機制，鏈路層用戶身份驗證的安全性大大提高。鏈路層身份驗證是透明的，能配合任何網(wǎng)絡(luò)層協(xié)議使用。對于企業(yè)園區(qū)，無線啞終端一般通過MAC認(rèn)證接入，訪客區(qū)域一般通過Portal認(rèn)證接入。MAC認(rèn)證MAC認(rèn)證是一種基于端口和MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進行控制的認(rèn)證方法，它不需要用戶安裝任何的客戶端。地址過濾控制方式要求預(yù)先在AP服務(wù)器中寫入合法的MAC地址列表，只有當(dāng)客戶機的MAC地址和合法MAC地址表中的地址匹配，AP才允許客戶機與之通信。如果認(rèn)證失敗，則禁止該設(shè)備訪問LAN資源。：l 請求方（Supplicant）：提出認(rèn)證申請的用戶接入設(shè)備，在無線網(wǎng)絡(luò)中，通常指待接入網(wǎng)絡(luò)的無線客戶機STA。l 認(rèn)證服務(wù)器（Authentication Sever）：為認(rèn)證方提供認(rèn)證服務(wù)的實體。認(rèn)證服務(wù)器可以是某個單獨的服務(wù)器實體，也可以不是，后一種情況通常是將認(rèn)證功能集成在認(rèn)證方Authenticator中。無線設(shè)備AP/，同時它還作為Radius認(rèn)證服務(wù)器的客戶端，負責(zé)用戶與Radius服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā)。用來傳輸實際的認(rèn)證協(xié)議。：l EAPMD5l EAPTLS(Transport Layer Security)l EAPTTLS(Tunneled Transport Layer Security)l EAPPEAP(Protected EAP)l EAPLEAP(Lightweight EAP)l EAPSIMPPPoE認(rèn)證PPPoE是PPP協(xié)議應(yīng)用到以太網(wǎng)進行的再一次封裝，進行廣播鏈路上點對點通訊的協(xié)商，包括服務(wù)器的發(fā)現(xiàn)和會話標(biāo)識Session ID的確認(rèn)。l 將用戶名和密碼發(fā)送給接入設(shè)備進行CHAP/PAP認(rèn)證，接入設(shè)備可以進行本地認(rèn)證，也可以將用戶名和密碼發(fā)送給AAA服務(wù)器進行認(rèn)證。PPP的三個協(xié)商階段通過后，用戶就可以發(fā)送和接收數(shù)據(jù)報文。即不管采用WEP、WPA或者WAPI，都可以選擇PPPoE作為用戶業(yè)務(wù)的認(rèn)證協(xié)議。客戶端使用標(biāo)準(zhǔn)Web瀏覽器（例如IE），填入用戶名、密碼信息，頁面提交后，由Web服務(wù)器和設(shè)備配合完成用戶的認(rèn)證。用戶在Web認(rèn)證之前，必須先通過DHCP、靜態(tài)配置等獲得IP地址。主要認(rèn)證過程為：1. 動態(tài)用戶通過DHCP協(xié)議獲取地址；2. 用戶訪問Web認(rèn)證服務(wù)器的認(rèn)證頁面，并在其中輸入用戶名、密碼，Web認(rèn)證服務(wù)器將用戶的信息通過內(nèi)部協(xié)議，通知接入設(shè)備；3. 接入服務(wù)器到相應(yīng)的AAA服務(wù)器對該用戶進行認(rèn)證，將認(rèn)證結(jié)果通知Web認(rèn)證服務(wù)器；4. Web認(rèn)證服務(wù)器通過HTTP頁面將認(rèn)證結(jié)果通知用戶，如果認(rèn)證成功用戶即可正常訪問網(wǎng)絡(luò)資源。無線接入認(rèn)證和安全協(xié)議對應(yīng)關(guān)系表33 無線接入認(rèn)證和安全協(xié)議對應(yīng)關(guān)系表認(rèn)證方法安全協(xié)議安全性封裝開銷地址分配客戶端軟件應(yīng)用場景MAC認(rèn)證Open System低小認(rèn)證后分配不需要PDA、IP電話等啞終端設(shè)備接入