【正文】 大；若AC 的 IP 地址發(fā)生變化，則需要重新修改AP 的配置 小型 WLAN網(wǎng)絡(luò) 若無(wú)線網(wǎng)絡(luò)部署了多個(gè)無(wú)線控制器， AP 通過(guò)上述 某 種方式發(fā)現(xiàn)了多個(gè) AC 時(shí)， AP 根據(jù)根據(jù) AC 負(fù)載動(dòng)態(tài)選擇 接入到負(fù)載輕 的 AC。 WLAN 信道規(guī)劃的好壞，影響到無(wú)線網(wǎng)絡(luò)的帶寬 、 無(wú)線網(wǎng)絡(luò)的性能 、無(wú)線網(wǎng)絡(luò)的擴(kuò)展以及 無(wú)線網(wǎng)絡(luò)的抗干擾能力，也必將直接 影響到無(wú)線網(wǎng)絡(luò)的用戶體驗(yàn)。 WLAN 系統(tǒng)主要應(yīng)用于兩個(gè)頻段： 和 。 ? HT20 信道劃分：信道帶寬為 20M，在該模 式下，一般選取 11 三個(gè)不重疊信道 ，頻率規(guī)劃可用頻點(diǎn)只有 3 個(gè)。 ? 頻段信道劃分 ： ? 頻段分配的頻譜并不連續(xù)，主要有兩段： ～ 、 ～。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 2 WLAN 基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 ? HT40 信道劃分：在該模式下，這兩段頻譜的可用信道分別為 4 個(gè)和 2 個(gè)。設(shè)置為自動(dòng)方式后，一旦檢測(cè)到信道沖突AP 具有 信道自動(dòng)調(diào)整功能，建議 AP 采用自動(dòng)設(shè)置工作信道方式，避免手動(dòng)設(shè)置后一旦信道沖突將導(dǎo)致無(wú)法切換信道的問(wèn)題 。 射頻信道覆蓋 WLAN 信道規(guī)劃需遵循兩個(gè) 原則：蜂窩覆蓋、信道間隔 。 AP 交替使用 11 信道及 的 3 44信道，避免信號(hào)相互干擾；一般情況單獨(dú)使用 或 的頻段，對(duì)于會(huì)議室等高密度用戶接入的場(chǎng)所，可以啟用 雙頻進(jìn)行覆蓋，以便提供更好的接入能力。 ? AP 零配置 傳統(tǒng)的 FAT AP 組網(wǎng)模式要求在 AP 上配置大量的業(yè)務(wù)參數(shù)，同時(shí)需要在 AP 本地保存這些業(yè)務(wù)配置信息，一旦設(shè)備丟失， AP 的業(yè)務(wù)配置信息就可能被泄漏，形成網(wǎng)絡(luò)的安全漏洞。 當(dāng)前 FIT AP 均能做到零配置。 對(duì)于非法部署的 AP 設(shè)備，可以通過(guò) 控制 AP 接入 （ 基于 MAC 地址 ； 基于 設(shè)備名稱 SN 等 ）來(lái)防止非法 AP 接入網(wǎng)絡(luò)。 部署建議： ? 對(duì)于 非法部署的 AP 設(shè)備，由網(wǎng)絡(luò)設(shè)備 AC 檢測(cè) ，啟動(dòng)相應(yīng)功能即可。可以根據(jù)實(shí)際網(wǎng)絡(luò)要求進(jìn)行取舍。 用戶黑名單功能：無(wú)線控制器 通過(guò) 配置方式或者實(shí)時(shí)檢測(cè)偵聽的方式來(lái)確定設(shè)備是否被加入黑名單，被加入到黑名單中的設(shè)備發(fā)過(guò)來(lái)的報(bào)文全部在 AC 上丟棄，從而減少攻擊報(bào)文對(duì)無(wú)線網(wǎng)絡(luò)的沖擊 。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 2 WLAN 基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 QoS規(guī)劃 WLAN QoS 保證不同質(zhì)量的無(wú)線接入服務(wù)之間的互通，滿足實(shí)際應(yīng)用的需求。 在這里僅介紹 WMM 協(xié)議技術(shù)、優(yōu)先級(jí)映射和流量管理技術(shù)。 ? 基于 SSID 的流量管理 防止某些 SSID用戶流量過(guò)大影響其他 SSID 用戶的正常業(yè)務(wù)，比如訪客 SSID的流量控制 。 WMM 按照優(yōu)先級(jí)從高到低的順序分為 AC（ Access Category） VO（語(yǔ)音流）、 ACVI（視頻流）、 ACBE（盡力而為流）、 ACBK（背景流）四個(gè)優(yōu)先級(jí)隊(duì)列，保證越高優(yōu)先級(jí)隊(duì)列中的報(bào)文，搶占信道的能力越高 。 ? 上行無(wú)線到有線報(bào)文優(yōu)先級(jí)映射 AP 接收到無(wú)線客戶端發(fā)送的 （無(wú)線）數(shù)據(jù)報(bào)文后，將其轉(zhuǎn)換為 （以太網(wǎng)）報(bào)文，然后向網(wǎng)絡(luò)側(cè)繼續(xù)轉(zhuǎn)發(fā)。 ? 下行有線報(bào)文到無(wú)線報(bào)文優(yōu)先級(jí)映射 AP 接收到 以太報(bào)文后，將其轉(zhuǎn)換為 報(bào)文，并在空口上依據(jù)報(bào)文中的UP 優(yōu)先級(jí)選擇不同的 WMM隊(duì)列發(fā)送給 用戶終端。 可靠性規(guī)劃 WLAN 網(wǎng)絡(luò)可靠性主要是網(wǎng)絡(luò)的負(fù)載分擔(dān)，分為 AP 負(fù)載分擔(dān)和 AC 的負(fù)載分擔(dān)。由于這些客戶端共享無(wú)線媒ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 2 WLAN 基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 介，導(dǎo)致每個(gè)客戶端的網(wǎng)絡(luò)吞吐將大量減少。 評(píng)估負(fù)載的方式有兩種 ： ? 按照用戶在線會(huì)話數(shù) ? 按照用戶流量 當(dāng)前 AP 負(fù)載分擔(dān)策略是通過(guò) 控制 STA的接入實(shí)現(xiàn)負(fù)載均衡 。 ? AC 負(fù)載分擔(dān) AC 負(fù)載分擔(dān)即 AP 根據(jù) AC 負(fù)載動(dòng)態(tài)選擇接入到負(fù)載輕的 AC 上去。 通過(guò) CAPWAP 隧道的心跳機(jī)制， AP 可及時(shí)發(fā)現(xiàn)控制器 Down，同時(shí)根據(jù)該方法重新選擇一個(gè)負(fù)載輕的 AC 接入。 表 31 WLAN無(wú)線安全協(xié)議標(biāo)準(zhǔn)介紹 標(biāo)準(zhǔn) 簡(jiǎn)介 適用場(chǎng)景 OPENSYSTEM 開放系統(tǒng)認(rèn)證是 ，不進(jìn)行認(rèn)證。 應(yīng)用于小規(guī)模 /低安全需求的 WLAN網(wǎng)絡(luò)（ SOHO/家庭熱點(diǎn)等） 。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 標(biāo)準(zhǔn) 簡(jiǎn)介 適用場(chǎng)景 WAPI WAPI系統(tǒng)包含WAI鑒別及密鑰管理和WPI數(shù)據(jù)傳輸保護(hù)： ? 基于證書機(jī)制和自行設(shè)計(jì)的 WAI(WLAN Authentication Infrastructure)認(rèn)證協(xié)議完成身 份鑒別和密鑰管理，而沒(méi)有重用 ， Radius等現(xiàn)有安全標(biāo)準(zhǔn)； ? 基于自行設(shè)計(jì)的 WPI （ WLAN privacy infrastructure） 協(xié)議實(shí)現(xiàn)數(shù)據(jù)的加密保護(hù)； 中國(guó)標(biāo)準(zhǔn)，一般作為準(zhǔn)入門檻測(cè)試 。 WLAN終端認(rèn)證 技術(shù) IEEE 標(biāo)準(zhǔn)要求 WLAN 終端在準(zhǔn)備連接到網(wǎng)絡(luò)時(shí)，必須 進(jìn)行“身份驗(yàn)證”。 ? 開放系統(tǒng)認(rèn)證是 IEEE 標(biāo)準(zhǔn)要求必備的一種方法， 是最簡(jiǎn)單的認(rèn)證算法，即不認(rèn)證。 在這種方式下，接入點(diǎn)并未驗(yàn)證工作站的真實(shí)身份，工作站以 MAC 地址作為身份證明，這種驗(yàn)證方式可以讓所有符合 標(biāo)準(zhǔn)的終端都可以接入到 WLAN網(wǎng)絡(luò)中來(lái)。 ? 共享密鑰式認(rèn)證必需使用加密方式， 要求每個(gè) WLAN 終端都 配置和 AP 完全一致的密鑰（ key）。 二者對(duì)比如下： 表 32 WLAN終端認(rèn)證方式對(duì)比 認(rèn)證方式 優(yōu)點(diǎn) 缺點(diǎn) 適用場(chǎng)景 開放式系統(tǒng)認(rèn)證 部署簡(jiǎn)單，終端接入速度快，有效帶寬高。 電信運(yùn)營(yíng)網(wǎng)絡(luò) 共享密鑰式認(rèn)證 安全性較高，采用加密方式對(duì)密鑰進(jìn)行保護(hù)，空口密鑰數(shù)據(jù)不再明文傳輸。 有效帶寬較低，加密降低了傳輸效率。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 無(wú)線 用戶身份 認(rèn)證技術(shù) 相對(duì)于簡(jiǎn)單的 STA 身份驗(yàn)證過(guò)濾機(jī)制，鏈路層用戶身份驗(yàn)證的安全性大大提高。鏈路層身份驗(yàn)證是透明的，能配合任何網(wǎng)絡(luò)層協(xié)議使用。 對(duì)于企業(yè)園區(qū)， 無(wú)線 啞 終端一般通過(guò) MAC 認(rèn)證接入，辦公區(qū)域通過(guò) Portal認(rèn)證接入，訪客區(qū)域一般 通過(guò) Portal認(rèn)證接入。 MAC認(rèn)證 MAC 認(rèn)證是一種基于端口和 MAC 地址對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限進(jìn)行控制的認(rèn)證方法，它不需要用戶安裝任何的客戶端。地址過(guò)濾控制方式要求預(yù)先在 AP 服務(wù)器中寫入合法的 MAC 地址列表，只有當(dāng)客戶機(jī)的 MAC 地址和合法 MAC 地址表中的地址匹配， AP 才允許 客戶機(jī)與之通信。 。如果認(rèn)證失敗，則禁止該設(shè)備訪問(wèn) LAN 資源。 三個(gè)主要的組件： ? 請(qǐng)求方（ Supplicant） ：提出認(rèn)證申請(qǐng)的用戶接入設(shè)備，在無(wú)線網(wǎng)絡(luò)中，通常指待接入網(wǎng)絡(luò)的無(wú)線客戶機(jī) STA。 ? 認(rèn)證服務(wù)器（ Authentication Sever）：為認(rèn)證方提供認(rèn)證服務(wù)的實(shí)體。認(rèn)證服務(wù)器可以是某個(gè)單獨(dú)的服務(wù)器實(shí)體，也可以不是，后一種情況通常是將認(rèn)證功能集成在認(rèn)證方Authenticator 中。在采用 LAN 中，無(wú)線用戶端安裝 作為請(qǐng)求方 ，無(wú)線 設(shè)備 AP /AC 內(nèi)嵌 作為認(rèn)證方 ，同時(shí)它還作為 Radius 認(rèn)證 服務(wù)器的客戶端，負(fù)責(zé)用戶與 Radius 服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā)。用來(lái)傳輸實(shí)際的認(rèn)證協(xié)議。 EAP（ Extensible Authentication Protocol） 認(rèn)證協(xié)議 ，目前有超過(guò) 20 種不同的 EAP 協(xié)議。主要包括三個(gè)部分 ： ? 用戶和接入設(shè)備在 LCP 階段協(xié)商鏈路層參數(shù) 。 ? 根據(jù)認(rèn)證結(jié)果，是否進(jìn)入到 NCP（ IPCP）協(xié)商階段，接入設(shè)備給用戶計(jì)算機(jī)分配網(wǎng)絡(luò)層參數(shù) （ 例如 IP 地址等 ） 。 PPPoE也是一種認(rèn)證模式， PPPoE 在 WLAN 使用時(shí)，和 WLAN 本身采用的認(rèn)證加密沒(méi)有關(guān)系。 Portal認(rèn)證 Portal認(rèn)證也稱 Web 認(rèn)證 或 DHCP+Web認(rèn)證。 接入設(shè)備將來(lái)自客戶的 HTTP 請(qǐng)求重定向到 Portal服務(wù)器， 在 Portal頁(yè)面上輸入用戶名、密碼進(jìn)行認(rèn)證。用戶如果被配置成強(qiáng)制 Web 認(rèn)證，則用戶只需要輸入自己喜歡的網(wǎng)頁(yè)即可，系統(tǒng)自動(dòng)下載認(rèn)證網(wǎng) 頁(yè)。 Portal認(rèn)證通常需要多個(gè)服務(wù)器支持， DHCP 服務(wù)器、 AAA 服務(wù)器等 。 WEP/WPA/WPA2+PSK 低 小 認(rèn)證后分配 不需要 場(chǎng)景同上，需要維護(hù) PSK 密碼。 WEP/WPA/WPA2+PSK 中 小 認(rèn)證前分配 不需要 場(chǎng)景同上，需要維護(hù) PSK 密碼。 PPPoE認(rèn)證 Open System 低 大 認(rèn)證后分配 需要 運(yùn)營(yíng)商市場(chǎng) WEP/WPA/WPA2+PSK 低 大 認(rèn)證后分配 需要 場(chǎng)景同上，需要維護(hù) PSK 密碼。 無(wú)線用戶 AC集中認(rèn)證 方案 無(wú)線用戶在 AC 上集中認(rèn)證，可以保證無(wú)線用戶集中管理，授權(quán)通過(guò) AC 控制隧道下發(fā)到 AP 設(shè)備，精細(xì)化控制用戶訪問(wèn)權(quán)限，并在用戶漫游、安全控制等 方面 由 AC 做到 靈活控制。集中轉(zhuǎn)發(fā)場(chǎng)景下， EAP、Portal報(bào)文 作為數(shù)據(jù)報(bào)文通過(guò) CAPWAP 數(shù)據(jù)隧道上送 AC；在本地轉(zhuǎn)發(fā)場(chǎng)景下，可通過(guò)配置讓 EAP、 Portal報(bào)文進(jìn)入 CAPWAP 控制隧道，從而上送到 AC 設(shè)備完成認(rèn)證過(guò)程。園區(qū)網(wǎng)中，從安全性、易部署等角度考慮，一般推薦 +WPA2 接入認(rèn)證。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 圖 32 用戶認(rèn)證、安全 、計(jì)費(fèi)集成方案 組網(wǎng)圖 用戶認(rèn)證流程用戶計(jì)費(fèi)流程園區(qū)內(nèi)部流量園區(qū)外部流量核心設(shè)備AC 設(shè)備計(jì)費(fèi)網(wǎng)關(guān)準(zhǔn)出計(jì)費(fèi)點(diǎn)準(zhǔn)入認(rèn)證點(diǎn)服務(wù)器區(qū)域 如上圖所示， 無(wú)線用戶在 AC 集中認(rèn)證和授權(quán)，實(shí)現(xiàn)準(zhǔn)入控制 。無(wú)線數(shù)據(jù)轉(zhuǎn)發(fā)模型采用本地轉(zhuǎn)發(fā)，數(shù)據(jù)流量不經(jīng)過(guò)AC，提升網(wǎng)絡(luò)性能。 認(rèn)證、安全、計(jì)費(fèi) 系統(tǒng) 功能 組件 認(rèn)證、安全、計(jì)費(fèi)集成方案主要由 服務(wù)器、客戶端、計(jì)費(fèi)網(wǎng)關(guān)三部分 組成 ，其中服務(wù)器系統(tǒng)可分為認(rèn)證、安全、計(jì)費(fèi)、 Portal等四個(gè)組件，各組件功能如下表： 表 34 認(rèn)證、安全、計(jì)費(fèi)系統(tǒng) 各 組件 功能 序號(hào) 組件名稱 功能描述 備注 1 用戶認(rèn)證組件 支持 MAC、 、 Portal、 PPPoE 等接入認(rèn)證和相關(guān)統(tǒng)計(jì)報(bào)表。 可選 3 用戶計(jì)費(fèi)組件 支持基于時(shí)間和流量的計(jì)費(fèi)，包括包月、包年、包半年、包學(xué)期、動(dòng)態(tài)包天、動(dòng)態(tài)包月、動(dòng)態(tài)包年、包時(shí)長(zhǎng)、包流量等主流計(jì)費(fèi)方式。 可選 5 客戶端軟件 通過(guò)和服務(wù)器聯(lián)動(dòng)，完成接入認(rèn)證、安全檢查、用戶計(jì)費(fèi)等功能。 可選 表中，除了用戶認(rèn)證是必選組件 外，其他組件可基于現(xiàn)網(wǎng)需求選擇。 注 意 不同廠商對(duì)于 功能 組件的劃分存在差異，另外用戶需求也具有多樣性，不能簡(jiǎn)單的和報(bào)價(jià)組件進(jìn)行對(duì)應(yīng)。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 圖 33 認(rèn)證 方案組網(wǎng)圖 如上圖， 用戶可選擇 Portal認(rèn)證部署，本方案以 Portal認(rèn)證為例，服務(wù)器組件采用 XXTSM系統(tǒng)，認(rèn)證服務(wù)器和 Portal服務(wù)器可部署在同一臺(tái)服務(wù)器上。 2. Portal服務(wù)器把用戶信息回傳給 AC 設(shè)備。 集成方案之二 ：認(rèn)證＋安全 方案 認(rèn)證 +安全部署方案 適合政府、企業(yè)等對(duì)于安全要求較高的行業(yè)客戶 。并且 服務(wù)器組件 支持 定制化選擇，若用戶只作準(zhǔn)入認(rèn)證，則可不選擇安全組件。其中 服務(wù)器 組件 采用 XXTSM系統(tǒng)，認(rèn)證服務(wù)器和安全服務(wù)器之間為內(nèi)部通道，一般部署在同一臺(tái)服務(wù)器上。 2. 安全服務(wù)器和客戶端配合，完成終端病毒庫(kù)、補(bǔ)丁等健康檢查功能，并可和軟件服務(wù)器聯(lián)動(dòng) ， 進(jìn)行終端修復(fù)操作。 通過(guò) 部署準(zhǔn)入控制＋安全檢查，提升內(nèi)網(wǎng)安全；并 和現(xiàn)有 AD 對(duì)接，保護(hù)用戶投資。 功能實(shí)現(xiàn)流程： 1. 無(wú)線用戶認(rèn)證報(bào)文到 AC 后，通過(guò) Radius 協(xié)議 向認(rèn)證服務(wù)器發(fā)起準(zhǔn)入認(rèn)證。 3. 安全服務(wù)器和客戶端配合，完成終端病毒庫(kù)、補(bǔ)丁 等健康檢查，并可和軟件服務(wù)器聯(lián)動(dòng)，進(jìn)行終端修復(fù)操作。通過(guò) 準(zhǔn)入準(zhǔn)出一次認(rèn)證，提升用戶體驗(yàn)。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認(rèn)證計(jì)費(fèi)方案 圖 36 認(rèn)證＋ 計(jì)費(fèi) 方案組網(wǎng)圖 如上圖，要實(shí)現(xiàn)認(rèn)證 +計(jì)費(fèi)功能，認(rèn)證組件、計(jì)費(fèi)組件、 Portal組件、客戶端、計(jì)費(fèi)網(wǎng)關(guān)為必選組件。 功能實(shí)現(xiàn)流程： 1. 無(wú)線用戶認(rèn)證報(bào)文到 AC 后，通過(guò) Radius 協(xié)議到認(rèn)證服務(wù)器完成內(nèi)網(wǎng)準(zhǔn)入認(rèn)證。 3. 用戶訪問(wèn)外網(wǎng)，則計(jì)費(fèi)網(wǎng)關(guān)開始計(jì)費(fèi)，并向計(jì)費(fèi)服務(wù)器通告