【正文】 unk方式加入VLAN，允許通過的VLAN對(duì)應(yīng)的地址池即為AP分配IP地址。l 統(tǒng)一分配AP的IP地址分配同WLAN用戶一樣，由DHCP Server統(tǒng)一分配，不再區(qū)別。表21 DHCP動(dòng)態(tài)分配AP的IP地址各種方式優(yōu)劣勢表IP地址分配方式優(yōu)勢劣勢適用場景指定地址池分配DHCP Option 60AP設(shè)備與無線用戶的IP地址分離需要交換機(jī)配套支持對(duì)設(shè)備IP地址管理與用戶IP地址管理要求隔離的根據(jù)VLANAP設(shè)備與無線用戶的IP地址分離網(wǎng)絡(luò)配置工作量較大，不利于AP即插即用對(duì)設(shè)備IP地址管理與用戶IP地址管理要求隔離的根據(jù)MACAP設(shè)備與無線用戶的IP地址分離配置工作量較大，IP地址管理難度加大對(duì)少量AP設(shè)備管理有特殊要求的統(tǒng)一分配網(wǎng)絡(luò)配置簡單對(duì)AP IP管理沒有要求無線終端/用戶的IP地址移動(dòng)用戶通過DHCP動(dòng)態(tài)分配IP地址，不建議靜態(tài)配置；對(duì)于基本不移動(dòng)的無線終端（比如：無線打印機(jī)）可以靜態(tài)配置。SSID映射以太網(wǎng)中的VLAN通常，以太網(wǎng)中管理VLAN和業(yè)務(wù)VLAN分離。在WLAN網(wǎng)絡(luò)中SSID也同樣可以承擔(dān)相應(yīng)的工作。業(yè)務(wù)VLAN應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與SSID匹配映射關(guān)系，映射關(guān)系有1:1:N、N:N:N四種，AC設(shè)備終結(jié)VLAN部署。通過配置多個(gè)SSID，可以將一個(gè)AP劃分為多個(gè)VAP（Virtual Access Point），每一個(gè)SSID對(duì)應(yīng)一個(gè)VAP，AC針對(duì)VAP進(jìn)行策略下發(fā)，VAP根據(jù)策略進(jìn)行終端與業(yè)務(wù)管理。圖22 用戶漫游切換示意圖如上圖所示，假設(shè)終端與AP1已經(jīng)建立關(guān)聯(lián)信息，隨著用戶位置的移動(dòng)，終端切換到AP2，具體切換流程如下：1. 。客戶端收到應(yīng)答后，對(duì)其進(jìn)行評(píng)估，確定同哪個(gè)AP關(guān)聯(lián)最合適?？蛻舳送ㄟ^信道1（AP1使用的信道），解除用戶與AP1間的關(guān)聯(lián)。WLAN網(wǎng)絡(luò)漫游中需注意以下兩點(diǎn)：l 漫游切換需要保證SSID相同，即兩臺(tái)AP切換區(qū)域需要配置相同的SSID。華為WLAN解決方案通過支持下述兩種快速漫游技術(shù)，實(shí)現(xiàn)業(yè)務(wù)的平滑過渡。如果沒有查到。在沒有啟用這個(gè)功能之前，STA主要與AC進(jìn)行單播和組播密鑰的協(xié)商；啟用這個(gè)功能后，STA直接與關(guān)聯(lián)上的AP進(jìn)行單播和組播密鑰的協(xié)商，這樣在漫游到新AP時(shí)，減少了密鑰協(xié)商所用的時(shí)間，從而縮短用戶漫游延時(shí)。AP發(fā)現(xiàn)AC的機(jī)制有如下幾種：二層廣播發(fā)現(xiàn)AC當(dāng)AC和AP同在一個(gè)二層的網(wǎng)絡(luò)中時(shí)，可以通過二層廣播方式直接發(fā)現(xiàn)AC。當(dāng)DHCP Server配置了Option 43后，它給AP分配IP時(shí)，在DHCP Offer報(bào)文中同時(shí)會(huì)將此屬性告知AP。需要在DHCP Server上配置DNS Server IP地址以及AC的域名。圖24 通過DNS發(fā)現(xiàn)AC的報(bào)文交互圖AP上預(yù)配置AC列表AP可以預(yù)配置AC的IP地址列表。上述幾種方式優(yōu)劣勢對(duì)比如下表所示。 射頻管理規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型無線園區(qū)網(wǎng)網(wǎng)絡(luò)必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃。射頻信道劃分WLAN信道規(guī)劃是WLAN網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，為保證信道之間不相互干擾，大型無線園區(qū)網(wǎng)網(wǎng)絡(luò)必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃并實(shí)施。l ：? ～，信道編號(hào)1～14。? HT40信道劃分：信道帶寬為40M，受頻率限制，只支持一個(gè)不重疊信道。? HT20信道劃分：～，分別為3445560、64；～，分別為141515161。AP支持手動(dòng)和自動(dòng)兩種方式設(shè)置工作信道。信道自動(dòng)掃描功能：采用信道自動(dòng)掃描功能，自動(dòng)探測周邊的AP、使用的信道及干擾，結(jié)果上報(bào)AC，觸發(fā)信道調(diào)整。根據(jù)覆蓋密度、干擾情況、。圖26 單頻信道規(guī)劃示意圖圖27 雙頻信道規(guī)劃示意圖 無線網(wǎng)絡(luò)安全規(guī)劃無線設(shè)備安全l AP防盜安裝AP時(shí)安裝防盜鎖即可。FIT AP在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動(dòng)的時(shí)候從無線控制器動(dòng)態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。無線IDS/IPSl IDS——非法AP檢測非法AP主要指未經(jīng)網(wǎng)絡(luò)許可而非法部署的AP設(shè)備或者是對(duì)網(wǎng)絡(luò)發(fā)起無線攻擊的AP設(shè)備。對(duì)于對(duì)網(wǎng)絡(luò)發(fā)起無線攻擊的AP設(shè)備，網(wǎng)絡(luò)中合法部署的AP監(jiān)聽設(shè)備負(fù)責(zé)把監(jiān)聽到有攻擊行為的無線設(shè)備上報(bào)給無線控制器，繼而上報(bào)給網(wǎng)管。? 這里主要給出對(duì)發(fā)起無線攻擊的AP的監(jiān)聽部署方案以及對(duì)比情況，如表23所示。表23 對(duì)發(fā)起無線攻擊的AP的監(jiān)聽部署方案優(yōu)劣勢對(duì)比表部署方式優(yōu)點(diǎn)劣勢部署專職監(jiān)聽AP實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)，及時(shí)檢測出非法AP網(wǎng)絡(luò)部署成本高業(yè)務(wù)AP兼職監(jiān)聽AP網(wǎng)絡(luò)部署成本相對(duì)小不能實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)，無法及時(shí)檢測到非法APl IPS黑白名單用戶白名單功能：無線控制器支持靜態(tài)配置白名單功能，該功能一旦啟用，只有白名單上的無線用戶才被認(rèn)為是合法用戶，其他非法用戶的報(bào)文全部在AC上被丟棄，從而減少非法報(bào)文對(duì)無線網(wǎng)絡(luò)的沖擊。部署建議：大中型園區(qū)網(wǎng)不建議部署，通過認(rèn)證進(jìn)行用戶的合法檢測即可。圖29 WLAN QoS規(guī)劃如圖29所示，在企業(yè)園區(qū)中，常采用無線空口做WMM調(diào)度，有線側(cè)進(jìn)行優(yōu)先級(jí)映射，園區(qū)網(wǎng)做DiffServ調(diào)度的方式，最大程度優(yōu)化網(wǎng)絡(luò)發(fā)生擁塞時(shí)的核心業(yè)務(wù)和VIP用戶服務(wù)質(zhì)量。流量管理l 基于用戶的流量管理防止P2P業(yè)務(wù)占用帶寬導(dǎo)致其他用戶無法正常使用無線網(wǎng)絡(luò)，比如校園網(wǎng)。無線空口做WMM調(diào)度WiFi多媒體標(biāo)準(zhǔn)WMM（WiFi Multimedia）是一種無線QoS協(xié)議，無線空口上，WMM將數(shù)據(jù)報(bào)文通過4個(gè)優(yōu)先級(jí)隊(duì)列發(fā)送，每個(gè)優(yōu)先級(jí)隊(duì)列占用信道的機(jī)會(huì)不一樣，從而保證語音、視頻等應(yīng)用在無線網(wǎng)絡(luò)中有更好的質(zhì)量。表24 WMM隊(duì)列優(yōu)先級(jí)WMM隊(duì)列用戶優(yōu)先級(jí)（UP）Voice6或7Video4或5Best Effort2或3Background0或1優(yōu)先級(jí)的映射優(yōu)先級(jí)映射包括：無線優(yōu)先級(jí)到有線優(yōu)先級(jí)的映射、無線優(yōu)先級(jí)到CAPWAP隧道優(yōu)先級(jí)的映射。對(duì)于本地轉(zhuǎn)發(fā)，；對(duì)于集中轉(zhuǎn)發(fā)，、TunnleTOS的映射。對(duì)于本地轉(zhuǎn)發(fā)，；對(duì)于集中轉(zhuǎn)發(fā)，在AC上可實(shí)現(xiàn)TOS優(yōu)先級(jí)到TunnelTOS映射。l AP負(fù)載分擔(dān)無線客戶端一般會(huì)根據(jù)AP信號(hào)強(qiáng)度（RSSI）選擇AP，這很容易導(dǎo)致大量的客戶端僅僅因?yàn)槟硞€(gè)AP信號(hào)較強(qiáng)而連接到同一個(gè)AP上。AP負(fù)載分擔(dān)可動(dòng)態(tài)地確定在當(dāng)前時(shí)刻和當(dāng)前位置下哪些AP可以彼此分擔(dān)負(fù)載，通過控制無線客戶端接入的AP，來實(shí)現(xiàn)這些AP間的負(fù)載分擔(dān)。當(dāng)AP的負(fù)載情況超過閾值后，該AP就會(huì)拒絕新的終端的接入，此時(shí)終端將尋找負(fù)載較輕的AP進(jìn)行連接，從而實(shí)現(xiàn)負(fù)載的均衡。AC在響應(yīng)報(bào)文（Discovery Response）中攜帶該AC負(fù)載信息（比如AC允許接入的最大AP數(shù)、當(dāng)前接入的AP數(shù)、允許接入的最大STA數(shù)、當(dāng)前接入的STA數(shù)），AP通過比較各AC的負(fù)載情況選擇一個(gè)負(fù)載輕的AC接入。3 WLAN接入認(rèn)證方案 無線安全協(xié)議標(biāo)準(zhǔn)如表31所示，WLAN無線安全協(xié)議標(biāo)準(zhǔn)主要有：OPENSYSTEM（Open system authentication）、WEP（Wired Equivalent Privacy）、WPA/WPA2（WiFi Protected Access）、WAPI（WLAN Authentication and Privacy Infrastructure）。一般用于有眾多用戶的運(yùn)營網(wǎng)絡(luò)WEP有線等效加密，即對(duì)于數(shù)據(jù)的加密和解密都使用同樣的密鑰和算法，主要用來保護(hù)WLAN空口信號(hào)的信息安全。WPA/WPA2l l 基于PSK(PreShared Key)、EAP等協(xié)議進(jìn)行身份認(rèn)證l 基于TKIP實(shí)現(xiàn)數(shù)據(jù)加密l 基于4次握手實(shí)現(xiàn)用戶會(huì)話密鑰的動(dòng)態(tài)協(xié)商l WPA2增加了預(yù)認(rèn)證和CCMP加密，同時(shí)兼容WPA廣泛應(yīng)用于各種大、中型WLAN網(wǎng)絡(luò)和公共場合，為目前主推加密方案。華為AC均支持開放系統(tǒng)認(rèn)證、WEP加密、共享密鑰認(rèn)證、WPA/WPA2認(rèn)證和加密、WAPI認(rèn)證加密等無線