1、园区WLAN方案技术建议书贵州金晟数字技术有限公司 2014年4月29日华为专有和保密信息 版权所有 华为技术有限公司68ONE NET Campus 园区WLAN方案技术建议书目 录目 录1 WLAN方案概述11.1 方案背景11.1.1 技术背景11.1.2 企业无线园区网的发展及设计需求21.2 WLAN基本概念21.2.1 网络架构模型21.2.2 集中式AC与分布式AC41.2.3 AC旁挂与AC直路61.2.4 集成AC与独立AC71.2.5 本地转发与集中转发72 WLAN基础网络规划102.1 IP地址规划102.2 SSID规划112.3 漫游规划122.4 AP发现并选择A
2、C方式规划132.5 射频管理规划152.6 无线网络安全规划172.7 QoS规划182.8 可靠性规划193 WLAN接入认证计费方案213.1 无线安全协议标准213.2 WLAN终端认证技术223.3 无线用户身份认证技术233.4 认证、安全、计费功能与部署263.4.1 认证、安全、计费系统功能组件273.4.2 认证、安全、计费集成方案283.4.3 园区出口计费网关部署344 WDS网桥无线数据回传典型方案364.1 WDS组网模式374.2 WDS组网性能指标385 WLAN网络管理方案405.1 网管方案概述405.2 eSight WLAN网络管理流程415.3 企业WL
3、AN网络管理规划426 WLAN网络组网推荐方案436.1 大中型园区网WLAN组网推荐方案436.2 小型园区网WLAN部署方案456.3 SOHO型园区网络WLAN部署方案487 WLAN主要产品介绍507.1 AP6010SN-GN美观标准室内型单频AP507.2 AP6010DN-AGN美观标准室内型双频AP517.3 AP6310SN-GN经济型室分单频AP527.4 AP6510DN-AGN标准室外双频AP537.5 AP6610DN-AGN全规格室外双频AP547.6 AP7110SN-GN增强型室内单频AP557.7 AP7110DN-AGN增强型室内双频AP567.8 AP5
4、010SN-GN美观标准室内单频AP577.9 AP5010DN-AGN美观标准室内单频AP587.10 AC6605-26-PWR597.11 S9700/S7700 SPU插卡59ONE NET Campus 园区WLAN方案技术建议书7 WLAN主要产品介绍1 WLAN方案概述1.1 方案背景1.1.1 技术背景WLAN(Wireless Local Area Network)是指利用高频射频信号(例如2.4GHz或5GHz)作为传输信道的无线局域网。802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。此后这一标准又不断得到补充和完善,形成802.11的标准系列
5、。例如比较重要的802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n等。其中基于802.11b标准的有时也被称为Wi-Fi标准。而802.11n标准兼容802.11a/b/g,带宽优势明显,已经成为当前的主流技术。而随着802.11ac技术的出现,必将引领无线业务进入千兆时代,为用户带来千兆级别的接入速度。表1-1 802.11标准简介标准名称发布时间工作频率理论速率实际速率备注802.11b19992.4GHz11Mbps6Mbps早期标准802.11a19995.0GHz54Mbps22Mbps应用很少802.11g20032.4GH
6、z54Mbps22Mbps早期标准802.11n20092.4/5.0GHz150Mbps75Mbps结合MIMO技术,理论速率600Mbps802.11ac20125.0GHz1Gbps400500Mbps802.11n下一代标准802.11ad发展中60GHz7Gbps发展中面向家庭高清娱乐设备1.1.2 企业无线园区网的发展及设计需求随着技术的发展和大量移动终端的出现,企业园区也从最初的有线覆盖网络形式历经有线无线覆盖网络到现在的无线泛在覆盖网络形式。图1-2 企业园区网的无线化发展示意由于无线网络覆盖场所的多样性、用户上网行为的复杂性、企业对于网络安全和网络质量的需求,需要在进行WLA
7、N规划时除了WLAN组网以外,还需考虑到WLAN网络的通信质量、网络安全、可靠性、统一管理以及部分行业对无线用户接入认证、授权、计费的需求。1.2 WLAN基本概念1.2.1 网络架构模型WLAN网络在部署过程中,根据不同的需求有多种实现形式,根据网络架构分为:l 自治式架构(即FAT AP或胖AP)l 集中式架构(即FIT AP或瘦AP)自治式架构和集中式架构两种网络结构比较如表1-2所示。表1-2 自治式架构和集中式架构比较表项目自治式架构集中式架构适用场景微型企业、个人新生方式,增强管理安全性传统加密、认证方式,普通安全性基于用户位置的安全策略,高安全性网络管理每AP需要单独下发配置文件
8、AC上统一配置,AP本身零配置,维护简单用户管理类似有线,根据AP接入的有线端口区分权限虚拟专用组方式,根据用户名区分权限,使用灵活WLAN组网规模L2漫游,适合小规模组网L2、L3漫游,拓扑无关性,适合大规模组网增值业务能力实现简单数据接入可扩展丰富业务自治式架构该架构下AP实现所有无线接入功能,不需要AC设备形态,如图1-4所示。图1-4 WLAN自治式架构图WLAN早期广泛采用自治式架构,随着企业大量部署AP后,对这些AP进行配置、升级软件等管理工作将给用户带来很高的操作成本,管理成本提高,自治式架构应用逐步减少。集中式架构该架构通过无线控制器(AC)集中管理、控制多个AP,如图1-5所
9、示。所有无线接入功能由AP和AC共同完成:l AC完成网络具有重要意义的功能,例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS(Intrusion Detection Systems)和数据包转发等。l AP完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。图1-5 WLAN集中式架构图AP和AC间采用CAPWAP隧道协议进行通讯,AC与AP间可以是直连或者穿越Layer 2、Layer 3网络。CAPWAP协议是基于UDP传输层的应用层协议,协议传递的信息分为两类:控制信息和数据信息。l 控制信息负责AC与AP之间的管理的交互操
10、作,包括AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。l 数据信息是封装后转发的无线数据。两类信息分别使用不同的UDP端口号。CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制,保证通信的安全性。所有无线接入功能由AP和AC间共同完成。集中式架构是企业网、运营商等WLAN方案的主要架构,便于集中管理、集中认证和实施安全策略。此种方案为目前企业网通用方案。在FIT AP网络架构下,又有如下划分:l 根据AC部署方式,分为集中式和分布式l 根据AC部署位置,分为旁挂和直路l 根据AC硬件体现形式,分为集成AC和独立ACl 根据业务转发形式,分为
11、本地转发和集中转发1.2.2 集中式AC与分布式AC根据AC的部署方式,网络可分为集中式AC部署和分布式AC部署。集中式AC部署集中式AC部署是指整个网络中集中部署AC设备(一般是独立的AC设备),来控制和管理整网的AP设备。AC的部署可以采用直路(直接部署在AP和汇聚/核心交换机之间)或旁挂方式(旁挂在汇聚/核心交换机旁侧)。图1-6 集中式AC部署示意图分布式AC部署分布式AC部署是指网络中分区域采用多个AC设备,分别对本区域的AP设备进行管理。分布式AC方案一般不采用独立的AC设备,而是采用在汇聚交换机上集成AC功能,来实现对本交换机下挂的所有AP进行管理。图1-7 分布式AC部署示意图
12、AC的两种部署方式的优劣势对比如表1-3所示。表1-3 集中式AC与分布式AC优缺点对比表AC部署方式优点缺点集中式l 节省投资l 容量管理更简单有效,成本效益高l 无线业务终结点少,便于管理l 漫游部署简单、高效l 无线网络运维管理更简单,可集中管理且配置灵活AC与AP之间的网络结构复杂,网络规划部署相对复杂分布式AC与AP之间网络结构简单,网络部署相对简单l 投资成本高l 需要部署AC间漫游(除非各AC所在的区域间不考虑漫游)l 运维成本高1.2.3 AC旁挂与AC直路根据AC在网络上所处位置,可分为AC旁挂和AC直路。旁挂旁挂方式是指将AC部署在用户网关设备(汇聚或核心交换机)一侧,实现
13、对用户网关设备下所有AP的管理。旁挂方式主要用于原有网络汇聚/核心设备非华为设备的场景,目前主要用于网络改造、或者新建大、中型园区网络场景。图1-8 AC旁挂示意图直路直路方式是指将AC部署在AP与用户网关设备(汇聚或核心交换机)之间,实现对下辖所有AP的管理。直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。图1-9 AC直路示意图1.2.4 集成AC与独立AC根据AC硬件体现形式,可分为集成AC与独立AC。集成AC集成AC方案指不采用单独的AC硬件设备,而是采用在交换机中集成的AC硬件插卡,来实现对交换机下所有AP的管理。在集成AC方案中,采用集中式架构(FIT
14、 AP架构),使用FIT AP来负责无线终端的接入。使用集成的SPU板卡作为AC,负责完成对AP设备的管理。独立AC独立AC方案是指采用单独的AC硬件设备,通过直路或者旁挂方式实现对于所有AP的管理。在独立AC方案中,采用集中式架构(FIT AP架构),使用FIT AP来负责无线终端的接入。使用独立的AC设备完成对AP设备的管理。集成AC和独立AC优缺点比较如表1-4所示。表1-4 集成AC和独立AC优缺点比较表AC硬件形式优点缺点集成AC部署简便;价格较低。在接入用户数方面略差独立AC可以实现大容量、高性能的WLAN网络部署。价格较高,成本高。1.2.5 本地转发与集中转发转发模式主要是AP
15、针对用户数据可以有不同的转发处理方式。本地转发又称直接转发,是指AP上对用户数据由本地转发到网络上层,不经过AC处理,AC只对AP进行管理。而AP管理流封装在CAPWAP隧道中,到达AC终止。图1-11 本地转发示意图集中转发也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发,AC不但进行对AP管理,还作为AP流量的转发中枢。即AP管理流与数据流都封装在CAPWAP隧道中到达AC。图1-12 隧道转发示意图本地转发与集中转发优缺点对比如表1-5所示。表1-5 本地转发与集中转发优缺点对比表转发方式优点缺点本地转发设备署简单,数据流量不经过AC,AC负担小。-集中转发数据流量和管理流量
16、全部经过AC,可以按用户需求规划安全监管策略。AC设备数据压力较大,对AC设备本身处理能力要求较高。2 WLAN基础网络规划2.1 IP地址规划AC的IP地址AC用于管理AP,IP地址一般通过静态手工配置。AP的IP地址AP的IP地址分配如果采用静态分配,由于一般AP数量较多,配置工作量大,且容易冲突、不易于控制,所以不建议使用,建议使用DHCP动态分配。DHCP动态分配AP的IP地址时,可以有以下几种方式:l 指定地址池分配 根据DHCP Option 60表明AP身份而分配指定地址池的IP:AP的DHCP Discover报文携带Option 60,例如内容为“Huawei AP”,表示请
17、求分配IP地址的设备是华为AP,而不是WLAN用户。DHCP Server可以通过匹配或部分匹配Option 60字符串,来为AP从指定地址池中分配地址。如果网络中部署多个DHCP Server且只有部分支持Option 60,交换机等设备充当DHCP Relay时需要支持识别DHCP option 60并将DHCP报文转发到相应的DHCP Server上。 根据VLAN分配指定地址池的IP:AP相连交换机端口以Trunk方式加入VLAN,允许通过的VLAN对应的地址池即为AP分配IP地址。 根据AP的MAC地址指定分配:在DHCP Server上配置AP的MAC以及对应的IP地址。l 统一分
18、配AP的IP地址分配同WLAN用户一样,由DHCP Server统一分配,不再区别。DHCP动态分配AP的IP地址各种方式优劣势对比如表2-1所示。表2-1 DHCP动态分配AP的IP地址各种方式优劣势表IP地址分配方式优势劣势适用场景指定地址池分配DHCP Option 60AP设备与无线用户的IP地址分离需要交换机配套支持对设备IP地址管理与用户IP地址管理要求隔离的根据VLANAP设备与无线用户的IP地址分离网络配置工作量较大,不利于AP即插即用对设备IP地址管理与用户IP地址管理要求隔离的根据MACAP设备与无线用户的IP地址分离配置工作量较大,IP地址管理难度加大对少量AP设备管理有
19、特殊要求的统一分配网络配置简单-对AP IP管理没有要求无线终端/用户的IP地址移动用户通过DHCP动态分配IP地址,不建议静态配置;对于基本不移动的无线终端(比如:无线打印机)可以静态配置。2.2 SSID规划企业园区无线网络一般按照业务类型划分不同的SSID(Service Set Identification)。SSID映射以太网中的VLAN通常,以太网中管理VLAN和业务VLAN分离。业务VLAN主要用于区分不同的业务类型或用户群体。在WLAN网络中SSID也同样可以承担相应的工作。因此,在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根据实际业务需要与S
20、SID匹配映射关系,映射关系有1:1、1:N、N:1、N:N四种,AC设备终结VLAN部署。VAP构建AP可以配置多个SSID,华为单频AP可支持16个SSID,双频AP可支持32个SSID。通过配置多个SSID,可以将一个AP划分为多个VAP(Virtual Access Point),每一个SSID对应一个VAP,AC针对VAP进行策略下发,VAP根据策略进行终端与业务管理。2.3 漫游规划漫游是指用户在部署了WLAN网络的场所移动时,用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围,用户无需重新登录和认证。图2-2 用户漫游切换示意图如上图所示,假设终端与AP1已经建立关联信息
21、,随着用户位置的移动,终端切换到AP2,具体切换流程如下:1. 客户端在各种信道中发送802.11请求帧。AP2在信道6(AP2使用的信道)中收到请求后,通过在信道6中发送应答来进行响应。客户端收到应答后,对其进行评估,确定同哪个AP关联最合适。 2. 如图中的标号1所示,删除用户与AP1现有的关联。客户端通过信道1(AP1使用的信道)向AP1发送802.11解除关联信息,解除用户与AP1间的关联。3. 如图中的标号2所示,客户端通过信道6向AP2发送关联请求,AP2使用关联响应做出应答,建立用户与AP2间的关联。WLAN网络漫游中需注意以下两点:l 漫游切换需要保证SSID相同,即两台AP切
22、换区域需要配置相同的SSID。l 漫游切换AP必须是同一个AC管理。华为WLAN解决方案通过支持下述两种快速漫游技术,实现业务的平滑过渡。l PMK caching:PMK caching技术是对于802.1X用户而言的,是指802.1X用户与旧AP进行802.1X认证时,STA和AC都会缓存PMK和PMK-ID; 当漫游到新AP时, STA会把这些PMK-ID携带过去,无线控制器根据STA携带的PMK-ID查找自己缓存的PMK信息,如果查到,就认为STA已经经过802.1X认证,直接跳过802.1X认证过程,利用缓存的PMK进行四次握手协商出加密KEY, 从而縮短了802.1X用户的漫游延时
23、。如果没有查到,则需要重新进行802.1X认证过程。 l 密钥协商下移技术:密钥协商下移主要是针对数据加密用户包括WPA/WPA2 PSK和802.1X用户。在没有启用这个功能之前,STA主要与AC进行单播和组播密钥的协商;启用这个功能后,STA直接与关联上的AP进行单播和组播密钥的协商,这样在漫游到新AP时,减少了密钥协商所用的时间,从而縮短用户漫游延时。2.4 AP发现并选择AC方式规划FIT AP架构下的WLAN网络中,FIT AP为零配置,当FIT AP部署到网络的时候,AP需要去找到相应的AC,并从AC上下载其配置。AP发现AC的机制有如下几种:二层广播发现AC当AC和AP同在一个二
24、层的网络中时,可以通过二层广播方式直接发现AC。通过DHCP Option 43发现ACOption 43是DHCP协议的一个属性,在华为WLAN网络里,AP用它识别AC的IP地址。当DHCP Server配置了Option 43后,它给AP分配IP时,在DHCP Offer报文中同时会将此属性告知AP。图2-3 通过DHCP Option 43发现AC的报文交互图通过DNS发现AC当网络中部署了DNS Server时,还可以通过DNS方式让AP来发现AC。需要在DHCP Server上配置DNS Server IP地址以及AC的域名。当AP通过DHCP服务器获取IP地址时,DHCP Serv
25、er会在DHCP Offer报文中将DNS服务器IP地址(Option 6)和AC域名(Option 15)告知AP,在AP获取到IP地址后,则通过DNS服务器解析到AC的IP,从而实现对AC的发现和关联。图2-4 通过DNS发现AC的报文交互图AP上预配置AC列表AP可以预配置AC的IP地址列表。当预配置好AC列表时,AP将不再启动正常的L2或L3的发现过程,故AC列表里的地址不可达时,AP将永远连接不上AC。上述几种方式优劣势对比如下表所示。表2-2 AP发现并选择AC方式优劣势对比表方式部署要求优势劣势适用网络DHCP Option 43DHCP Server启动Option 43属性适
26、用于AP/AC任何组网中对网络有部署要求大中型WLAN网络,AP/AC二层或三层组网DNS部署DNS Server;DHCP Server支持Option 15属性二层广播发现无对已有网络没有额外要求仅能用于AP/AC二层组网中小型WLAN网络,AP/AC二层组网AP上预配置静态AC列表AP预配置对已有网络没有额外要求需要对AP逐一进行配置,工作量大;若AC的IP地址发生变化,则需要重新修改AP的配置小型WLAN网络若无线网络部署了多个无线控制器,AP通过上述某种方式发现了多个AC时,AP根据根据AC负载动态选择接入到负载轻的AC。2.5 射频管理规划与IP地址规划一样,WLAN信道是WLAN
27、网络设计中的重要一环,大型无线园区网网络必须对WLAN信道进行统一规划。WLAN信道规划的好坏,影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力,也必将直接影响到无线网络的用户体验。射频信道划分WLAN信道规划是WLAN网络设计中的重要一环,为保证信道之间不相互干扰,大型无线园区网网络必须对WLAN信道进行统一规划并实施。WLAN系统主要应用于两个频段:2.4GHz和5.0GHz。l 2.4GHz频段信道划分: 2.4G频段具体频率范围为2.42.4835GHz的连续频谱,信道编号114。 HT20信道划分:信道带宽为20M,在该模式下,一般选取1、6、11三个不重
28、叠信道,频率规划可用频点只有3个。 HT40信道划分:信道带宽为40M,受频率限制,只支持一个不重叠信道。l 5.0GHz频段信道划分: 5.0G频段分配的频谱并不连续,主要有两段:5.155.35GHz、5.725GHz5.85GHz。 HT20信道划分:不重叠信道在5.155.35GHz频段有8个,分别为36、40、44、48、52、56、60、64;在5.725GHz5.85GHz频段有4个,分别为149、153、157、161。 HT40信道划分:在该模式下,这两段频谱的可用信道分别为4个和2个。AP支持手动和自动两种方式设置工作信道。设置为自动方式后,一旦检测到信道冲突AP具有信道自
29、动调整功能,建议AP采用自动设置工作信道方式,避免手动设置后一旦信道冲突将导致无法切换信道的问题。信道自动扫描功能:采用信道自动扫描功能,自动探测周边的AP、使用的信道及干扰,结果上报AC,触发信道调整。射频信道覆盖WLAN信道规划需遵循两个原则:蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道,避免信号相互干扰;一般情况单独使用2.4G或5.0G的频段,对于会议室等高密度用户接入的场所,可以启用双频进行覆盖,以便提供更好的接入能力。图2-6 单频信道规划示意图图2-7 双频信道规划示意图2.6
30、 无线网络安全规划无线设备安全l AP防盗安装AP时安装防盗锁即可。l AP零配置传统的FAT AP组网模式要求在AP上配置大量的业务参数,同时需要在AP本地保存这些业务配置信息,一旦设备丢失,AP的业务配置信息就可能被泄漏,形成网络的安全漏洞。FIT AP在设备上不保存业务配置,而是每次启动的时候从无线控制器动态加载业务配置,这样可以有效避免设备丢失造成配置泄漏。当前FIT AP均能做到零配置。无线IDS/IPSl IDS非法AP检测非法AP主要指未经网络许可而非法部署的AP设备或者是对网络发起无线攻击的AP设备。对于非法部署的AP设备,可以通过控制AP接入(基于MAC地址;基于设备名称SN
31、等)来防止非法AP接入网络。对于对网络发起无线攻击的AP设备,网络中合法部署的AP监听设备负责把监听到有攻击行为的无线设备上报给无线控制器,继而上报给网管。部署建议: 对于非法部署的AP设备,由网络设备AC检测,启动相应功能即可。 这里主要给出对发起无线攻击的AP的监听部署方案以及对比情况,如表2-3所示。可以根据实际网络要求进行取舍。表2-3 对发起无线攻击的AP的监听部署方案优劣势对比表部署方式优点劣势部署专职监听AP实时监听网络,及时检测出非法AP网络部署成本高业务AP兼职监听AP网络部署成本相对小不能实时监听网络,无法及时检测到非法APl IPS-黑白名单用户白名单功能:无线控制器支持
32、静态配置白名单功能,该功能一旦启用,只有白名单上的无线用户才被认为是合法用户,其他非法用户的报文全部在AC上被丢弃,从而减少非法报文对无线网络的冲击。用户黑名单功能:无线控制器通过配置方式或者实时检测侦听的方式来确定设备是否被加入黑名单,被加入到黑名单中的设备发过来的报文全部在AC上丢弃,从而减少攻击报文对无线网络的冲击。部署建议:大中型园区网不建议部署,通过认证进行用户的合法检测即可。2.7 QoS规划WLAN QoS保证不同质量的无线接入服务之间的互通,满足实际应用的需求。图2-9 WLAN QoS规划如图2-9所示,在企业园区中,常采用无线空口做WMM调度,有线侧进行优先级映射,园区网做
33、DiffServ调度的方式,最大程度优化网络发生拥塞时的核心业务和VIP用户服务质量。在这里仅介绍WMM协议技术、优先级映射和流量管理技术。流量管理l 基于用户的流量管理防止P2P业务占用带宽导致其他用户无法正常使用无线网络,比如校园网。l 基于SSID的流量管理防止某些SSID用户流量过大影响其他SSID用户的正常业务,比如访客SSID的流量控制。无线空口做WMM调度Wi-Fi多媒体标准WMM(Wi-Fi Multimedia)是一种无线QoS协议,无线空口上,WMM将数据报文通过4个优先级队列发送,每个优先级队列占用信道的机会不一样,从而保证语音、视频等应用在无线网络中有更好的质量。WMM
34、按照优先级从高到低的顺序分为AC(Access Category)-VO(语音流)、AC-VI(视频流)、AC-BE(尽力而为流)、AC-BK(背景流)四个优先级队列,保证越高优先级队列中的报文,抢占信道的能力越高。表2-4 WMM队列优先级WMM队列用户优先级(UP)Voice6或7Video4或5Best Effort2或3Background0或1优先级的映射优先级映射包括:无线优先级到有线优先级的映射、无线优先级到CAPWAP隧道优先级的映射。l 上行无线到有线报文优先级映射AP接收到无线客户端发送的802.11(无线)数据报文后,将其转换为802.3(以太网)报文,然后向网络侧继续转
35、发。对于本地转发,完成用户优先级UP到802.1P优先级映射;对于集中转发,再实现隧道优先级Tunnel-802.1P、Tunnel-TOS的映射。l 下行有线报文到无线报文优先级映射AP接收到802.3以太报文后,将其转换为802.11报文,并在空口上依据报文中的UP优先级选择不同的WMM队列发送给用户终端。对于本地转发,需要完成802.1P到UP优先级映射;对于集中转发,在AC上可实现TOS优先级到Tunnel-TOS映射,802.1P优先级到Tunnel-802.1P优先级映射。2.8 可靠性规划WLAN网络可靠性主要是网络的负载分担,分为AP负载分担和AC的负载分担。l AP负载分担无
36、线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介,导致每个客户端的网络吞吐将大量减少。AP负载分担可动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。评估负载的方式有两种: 按照用户在线会话数 按照用户流量当前AP负载分担策略是通过控制STA的接入实现负载均衡。当AP的负载情况超过阈值后,该AP就会拒绝新的终端的接入,此时终端将寻找负载较轻的AP进行连接,从而实现负载的均衡。l AC负载分担AC负载分担即AP根据AC负载动态选择接
37、入到负载轻的AC上去。AC在响应报文(Discovery Response)中携带该AC负载信息(比如AC允许接入的最大AP数、当前接入的AP数、允许接入的最大STA数、当前接入的STA数),AP通过比较各AC的负载情况选择一个负载轻的AC接入。通过CAPWAP隧道的心跳机制,AP可及时发现控制器Down,同时根据该方法重新选择一个负载轻的AC接入。3 WLAN接入认证计费方案3.1 无线安全协议标准如表3-1所示,WLAN无线安全协议标准主要有:OPEN-SYSTEM(Open system authentication)、WEP(Wired Equivalent Privacy)、WPA/
38、WPA2(Wi-Fi Protected Access)、WAPI(WLAN Authentication and Privacy Infrastructure)。表3-1 WLAN无线安全协议标准介绍标准简介适用场景OPEN-SYSTEM开放系统认证是802.11的缺省设置,不进行认证。一般用于有众多用户的运营网络WEP有线等效加密,即对于数据的加密和解密都使用同样的密钥和算法,主要用来保护WLAN空口信号的信息安全。应用于小规模/低安全需求的WLAN网络(SOHO/家庭热点等)。WPA/WPA2l 基于802.1x架构进行身份认证l 基于PSK(Pre-Shared Key)、EAP等协议
39、进行身份认证l 基于TKIP实现数据加密l 基于4次握手实现用户会话密钥的动态协商l WPA2增加了预认证和CCMP加密,同时兼容WPA广泛应用于各种大、中型WLAN网络和公共场合,为目前主推加密方案。WAPIWAPI系统包含WAI鉴别及密钥管理和WPI数据传输保护:l 基于证书机制和自行设计的WAI(WLAN Authentication Infrastructure)认证协议完成身份鉴别和密钥管理,而没有重用802.1x,Radius等现有安全标准;l 基于自行设计的WPI(WLAN privacy infrastructure)协议实现数据的加密保护;中国标准,一般作为准入门槛测试。华为
40、AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证和加密、WAPI认证加密等无线接入安全特性。3.2 WLAN终端认证技术IEEE 802.11标准要求WLAN终端在准备连接到网络时,必须进行“身份验证”。WLAN终端身份认证主要有两种方式:开放系统认证(Open-system Authentication)和共享密钥认证(Shared-Key Authentication)。l 开放系统认证是IEEE 802.11标准要求必备的一种方法,是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。在这种方式下,接入点并未验证工作站的真
41、实身份,工作站以MAC地址作为身份证明,这种验证方式可以让所有符合802.11标准的终端都可以接入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN网络。l 共享密钥式认证必需使用加密方式,要求每个WLAN终端都配置和AP完全一致的密钥(key)。由于配置工作量较大,一般适用于企业网、校园网及家庭网络等。二者对比如下:表3-2 WLAN终端认证方式对比认证方式优点缺点适用场景开放式系统认证部署简单,终端接入速度快,有效带宽高。安全性差,无法检验客户端是否合法,任何知道无线局域网SSID的用户都可以访问网络。电信运营网络共享密钥式认证安全性较高,采用加密方式对密钥进行保护,
42、空口密钥数据不再明文传输。配置复杂,可扩展性不佳;每台终端和AP上都需要静态配置一个很长的密钥字符串。有效带宽较低,加密降低了传输效率。企业网、校园网及家庭网络等。3.3 无线用户身份认证技术相对于简单的STA身份验证过滤机制,链路层用户身份验证的安全性大大提高。通过提供有限的访问权限来验证用户身份,只有确定用户身份后才给予完整的网络访问权限,可有效判别用户的合法性。链路层身份验证是透明的,能配合任何网络层协议使用。常用的WLAN的链路层身份验证主要有MAC认证、802.1x、Portal(DHCP+Web)、PPPoE等几种认证方式。对于企业园区,无线哑终端一般通过MAC认证接入,办公区域通
43、过802.1x或Portal认证接入,访客区域一般通过Portal认证接入。多种认证技术保证WiFi终端安全接入,合法用户访问合规资源,从源头上消除安全威胁。MAC认证MAC认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何的客户端。由于无线终端的网卡都具备唯一的MAC地址,因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。地址过滤控制方式要求预先在AP服务器中写入合法的MAC地址列表,只有当客户机的MAC地址和合法MAC地址表中的地址匹配,AP才允许客户机与之通信。在企业园区中MAC认证主要用于IP电话、打印机等哑终端设备的接入。80
44、2.1x认证802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证。如果认证失败,则禁止该设备访问LAN资源。尽管802.1x标准最初是为有线以太网设计制定的,但它也适用于符合802.11标准的无线局域网,且被视为是WLAN的一种增强性网络安全解决方案。802.1x体系结构包括三个主要的组件:l 请求方(Supplicant):提出认证申请的用户接入设备,在无线网络中,通常指待接入网络的无线客户机STA。l 认证方(Authenticator):允许客户机进行网络访问的实体,在无线网络中,通常指访问接入
45、点AP或控制器AC设备。l 认证服务器(Authentication Sever):为认证方提供认证服务的实体。认证服务器对请求方进行验证,然后告知认证方该请求者是否为授权用户。认证服务器可以是某个单独的服务器实体,也可以不是,后一种情况通常是将认证功能集成在认证方Authenticator中。802.1x技术是一种增强型的网络安全解决方案。在采用802.1x的无线LAN中,无线用户端安装802.1x客户端软件作为请求方,无线设备AP/AC内嵌802.1x认证代理作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。802.1x体系本身不是一个完整的认证机制,而是一个通用架构。用来传输实际的认证协议。802.1x体系的好处就是当一个新的认证协议发展出来的时候,基础的802.1x体系机制不需要随着改变。802.1x体系使用EAP(Extensible Authentication Protocol)认证协议,目前有超过20种不同的EAP协议。802.1x认证常用的包括以下几种EAP认证模式:l EAP-MD5l EAP-TLS(Transport Layer Security)l EAP-TTLS(Tunneled Transport Layer Sec