- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-網絡功能介紹
本章節下載 (961.86 KB)
目 錄
無線網絡為用戶提供WLAN接入服務。無線服務的骨幹網通常使用有線電纜作為線路連接安置在固定網絡,接入點設備安置在需要覆蓋無線網絡的區域,用戶在該區域內就可以通過無線接入的方式接入無線網絡。
無線服務即一類無線服務屬性的集合,如無線網絡的SSID、認證方式(開放係統認證或者共享密鑰認證)等。
SSID(Service Set Identifier,服務集標識符),就是無線網絡的名稱。
AP將SSID置於Beacon幀中向外廣播發送。若BSS(Basic Service Set,基本服務集)的客戶端數量已達到上限或BSS一段時間內不可用即客戶端不能上線,不希望其它客戶端上線,則可以配置隱藏SSID。若配置了隱藏SSID,AP不將SSID置於Beacon幀中,還可以借此保護網絡免遭攻擊。為了進一步保護無線網絡,AP對於廣播Probe Request幀也不會回複。此時客戶端若想連接此BSS,則需要手工指定該SSID,這時客戶端會直接向該AP發送認證及關聯報文連接該BSS。
基於SSID的用戶隔離功能適用於集中式轉發和本地轉發場景下,設備開啟基於SSID的用戶隔離功能後,通過該SSID接入無線服務且處於同一VLAN內的無線用戶之間將不能夠互相訪問。
可以在AC上將客戶端數據報文轉發位置配置在AC或者AP上。
· 將數據報文轉發位置配置在AC上時,為集中式轉發,客戶端的數據流量由AP通過CAPWAP隧道透傳到AC,由AC轉發數據報文;
· 將數據報文轉發位置配置在AP上時,為本地轉發,客戶端的數據流量直接由AP進行轉發。將轉發位置配置在AP上緩解了AC的數據轉發壓力;
· 將轉發位置配置在AP上時,可以指定VLAN,即隻有處於指定VLAN的客戶端,在AP上轉發其數據流量。
無線服務跟AP的Radio存在多對多的映射關係,將無線服務綁定在某個AP的射頻上,AP會根據射頻上綁定的無線服務的屬性創建BSS。BSS是無線服務提供服務的基本單元。在一個BSS的服務區域內(這個區域是指射頻信號覆蓋的範圍),客戶端可以通過同一個SSID訪問網絡。
綁定無線服務時,可以進行如下配置:
· 可以為該BSS指定一個VLAN組,該BSS下連接的客戶端會被均衡地分配在VLAN組的所有VLAN中,既能將客戶端劃分在不同廣播域中,又能充分利用不連續的地址段為客戶端分配IP地址。
· 可以綁定NAS-Port-ID和NAS-ID,用於網絡服務提供者標識客戶端的接入位置,區分流量來源。按照網絡服務提供者的標準,不同的NAS-Port-ID對應不同的位置信息。
· 可以配置SSID隱藏。
如果WLAN環境中啟動了負載均衡和頻譜導航,客戶端關聯AP的效率將受到影響。對於不需要負載均衡和頻譜導航功能或注重低延遲的網絡服務,可以在無線服務模板下開啟快速關聯功能。無線服務模板開啟快速關聯功能後,即使AP上啟動了負載均衡和頻譜導航功能,也不會對該無線服務模板下接入的無線客戶端進行頻譜導航和負載均衡計算,從而讓客戶端可以快速的關聯到AP上。
802.11r協議中定義的FT(Fast BSS Transition,快速BSS切換)功能用來減少客戶端在漫遊過程中的時間延遲,從而降低連接中斷概率、提高漫遊服務質量。
FT支持兩種實現方式:
· Over-the-Air:客戶端直接與目標AP通信,進行漫遊前的認證。
· Over-the-DS:客戶端通過當前AP與目標AP通信,進行漫遊前的認證。
最初802.11的安全機製被稱為Pre-RSNA安全機製,它的認證機製不完善,容易被攻破,存在安全隱患,且在WEP加密機製中,由於連接同一BSS下的所有客戶端都使用同一加密密鑰和AP進行通信,一旦某個用戶的密鑰泄露,那麼所有用戶的數據都可能被竊聽或篡改,所以IEEE製訂了802.11i協議來加強無線網絡的安全性。
但802.11i僅對無線網絡的數據報文進行加密保護,而不對管理幀進行保護,所以管理幀的機密性、真實性、完整性無法保證,容易受到仿冒或監聽,例如:惡意攻擊者通過獲取設備的MAC地址並仿冒設備惡意拒絕客戶端認證或惡意結束設備與客戶端的關聯。802.11w無線加密標準建立在802.11i框架上,通過保護無線網絡的管理幀來解決上述問題,進一步增強無線網絡的安全性。
Pre-RSNA安全機製采用開放式係統認證(Open system authentication)和共享密鑰認證(Shared key authentication)兩種認證方式來進行客戶端認證,並且采用WEP加密方式對數據進行加密來保護數據機密性,以對抗竊聽。WEP加密使用RC4加密算法(一種流加密算法)實現數據報文的加密,WEP加密支持WEP40、WEP104和WEP128三種密鑰長度。
802.11i安全機製又被稱為RSNA(Robust Security Network Association,健壯安全網絡連接)安全機製,包括WPA(Wi-Fi Protected Access,Wi-Fi保護訪問)和RSN(Robust Security Network,健壯安全網絡)兩種安全模式,采用AKM(Authentication and Key Management,身份認證與密鑰管理)對用戶身份的合法性進行認證,對密鑰的生成、更新進行動態管理,並且采用TKIP(Temporal Key Integrity Protocol,臨時密鑰完整性協議)和CCMP(Counter mode with CBC-MAC Protocol,[計數器模式]搭配[區塊密碼鎖鏈-信息真實性檢查碼]協議)加密機製對報文進行加密。
AKM分為802.1X、Private-PSK和PSK三種模式:
· 802.1X:采用802.1X認證對用戶進行身份認證,並在認證過程中生成PMK(Pairwise Master Key,成對主密鑰),客戶端和AP使用該PMK生成PTK(Pairwise Transient Key,成對臨時密鑰)。
· Private-PSK:采用PSK(Pre-Shared Key,預共享密鑰)認證進行身份認證,使用客戶端的MAC地址作為PSK密鑰生成PMK,客戶端和AP使用該PMK生成PTK。
· PSK:采用PSK認證進行身份認證,並通過PSK密鑰生成PMK,客戶端和AP使用該PMK生成PTK。
802.11i協議中密鑰主要包括PTK和GTK(Group Temporal Key,群組臨時密鑰)兩種:
· PTK用於保護單播數據。
· GTK用於保護組播和廣播數據。
(2) WPA安全模式密鑰協商
WPA是一種比WEP加密性能更強的安全機製。在802.11i協議完善前,采用WPA為用戶提供一個臨時性的WLAN安全增強解決方案。在WPA安全網絡中,客戶端和AP通過使用EAPOL-Key報文進行四次握手協商出PTK,通過使用EAPOL-Key報文進行二次組播握手協商出GTK。
(3) WPA3安全模式密鑰協商
WPA3安全模式應用模式有兩種:WPA3-SAE個人網絡和WPA3-Enterprise企業網絡。
WPA3-SAE個人網絡用SAE(Simultaneous Authentication of Equals,對等實體同時驗證)取代了WPA2-Personal中采用的PSK,能夠提供更可靠的基於密碼的身份驗證,因此可以更好地保護個人用戶的安全。
WPA3-Enterprise企業網絡以WPA2為基礎,提供一種可選模式,該模式采用192位最低加密強度的安全協議和加密工具,並在WPA網絡內設定了一致的安全基準,在整個網絡內確保一致地應用安全協議。
(4) RSN安全模式密鑰協商
RSN是按照802.11i協議為用戶提供的一種WLAN安全解決方案。在RSN網絡中,客戶端和AP通過使用EAPOL-Key類型報文進行四次握手協商出PTK和GTK。
如果客戶端長時間使用一個密鑰,或攜帶當前網絡正在使用的組播密鑰離線,此時網絡被破壞的可能性很大,安全性就會大大降低。WLAN網絡通過身份認證與密鑰管理中的密鑰更新機製來提高WLAN網絡安全性。密鑰更新包括PTK更新和GTK更新。
· PTK更新:PTK更新是對單播數據報文的加密密鑰進行更新的一種安全手段,采用重新進行四次握手協商出新的PTK密鑰的更新機製,來提高安全性。
· GTK更新:GTK更新是對組播數據報文的加密密鑰進行更新的一種安全手段,采用重新進行兩次組播握手協商出新的GTK密鑰的更新機製,來提高安全性。
(6) 忽略授權信息
授權信息包括VLAN、ACL和User Profile,分為RADIUS服務器下發的授權信息和設備本地下發的授權信息。若用戶不想使用授權信息,則可以配置忽略授權信息。
(7) 入侵檢測
當設備檢測到一個未通過認證的用戶試圖訪問網絡時,如果開啟入侵檢測功能,設備將對其所在的BSS采取相應的安全策略。
· 將用戶MAC地址加入到阻止MAC地址列表:缺省模式。如果設備檢測到未通過認證用戶的關聯請求報文,臨時將該報文的源MAC地址加入阻塞MAC地址列表中,在一段時間內,源MAC地址為此非法MAC地址的無線客戶端將不能和AP建立連接,在這段時間過後恢複正常。該MAC地址的阻塞時間由阻塞非法入侵用戶時長決定。
· 暫時關閉收到非法報文的無線服務:關閉收到未通過認證用戶的關聯請求報文的BSS一段時間,該時間由臨時關閉服務時長決定。
· 永久關閉收到非法報文的無線服務:直接關閉收到未通過認證用戶的關聯請求報文的BSS所提供的服務,直到用戶在Radio口上重新生成該BSS。
(8) 加密套件
由於WEP加密易破解,一旦攻擊者收集到足夠多的有效數據幀進行統計分析,那麼將會造成數據泄露,無線網絡將不再安全。802.11i增加了TKIP和CCMP兩種加密套件來保護用戶數據安全,以下分別介紹。
TKIP加密機製依然使用RC4算法,所以不需要升級原來無線設備的硬件,隻需通過軟件升級的方式就可以提高無線網絡的安全性。相比WEP加密機製,TKIP有如下改進:
· 通過增長了算法的IV(Initialization Vector,初始化向量)長度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密鑰的RC4加密算法,而且將初始化向量的長度由24位加長到48位;
· 采用和WEP一樣的RC4加密算法,但其動態密鑰的特性很難被攻破,並且TKIP支持密鑰更新機製,能夠及時提供新的加密密鑰,防止由於密鑰重用帶來的安全隱患;
· 支持TKIP反製功能。當TKIP報文發生MIC錯誤時,數據可能已經被篡改,也就是無線網絡很可能正在受到攻擊。當在一段時間內連續接收到兩個MIC錯誤的報文,AP將會啟動TKIP反製功能,此時,AP將通過關閉一段時間無線服務的方式,實現對無線網絡攻擊的防禦。
CCMP加密機製使用AES(Advanced Encryption Standard,高級加密標準)加密算法的CCM(Counter-Mode/CBC-MAC,區塊密碼鎖鏈-信息真實性檢查碼)方法,CCMP使得無線網絡安全有了極大的提高。CCMP包含了一套動態密鑰協商和管理方法,每一個無線用戶都會動態的協商一套密鑰,而且密鑰可以定時進行更新,進一步提供了CCMP加密機製的安全性。在加密處理過程中,CCMP也會使用48位的PN(Packet Number)機製,保證每一個加密報文都會使用不同的PN,在一定程度上提高安全性。
PSK認證方式需要在AP側預先輸入預共享密鑰,在客戶端關聯過程中,手動輸入該密鑰,AP和客戶端通過四次握手密鑰協商來驗證客戶端的預共享密鑰的合法性,若PTK協商成功,則證明該用戶合法,以此來達到認證的目的。
設備端支持采用EAP中繼方式或EAP終結方式與遠端RADIUS服務器交互。若用戶認證位置在AP上,則AP為認證設備,由AP處理認證過程,若用戶認證位置在AC上,則AC為認證設備,由AC處理認證過程。
· 握手功能:使能802.1X握手功能之後,設備將定期向通過802.1X認證的在線用戶發送握手報文,即單播EAP-Request/Identity報文,來檢測用戶的在線狀態。
· 安全握手功能:802.1X安全握手是指在握手報文中加入驗證信息,以防止非法用戶仿冒正常用戶的在線的802.1X的客戶端與設備進行握手報文的交互。使能802.1X安全握手功能後,支持安全握手的客戶端需要在每次向設備發送的握手應答報文中攜帶驗證信息,設備將其與認證服務器下發的驗證信息進行對比,如果不一致,則強製用戶下線。
· 在無線服務下啟動了802.1X的周期性重認證功能後,設備會根據周期性重認證定時器設定的時間間隔定期向在線802.1X用戶發起重認證,以檢測用戶連接狀態的變化、確保用戶的正常在線,並及時更新服務器下發的授權屬性(例如ACL、VLAN、User Profile)。
在Pre-RSNA安全機製的WEP加密機製中,由於連接同一BSS下的所有客戶端都使用同一加密密鑰和AP進行通信,一旦某個用戶的密鑰泄露,那麼所有用戶的數據都可能被竊聽或篡改,因此802.11提供了動態WEP加密機製。在動態WEP加密機製中,加密單播數據幀的WEP密鑰是由客戶端和認證服務器通過802.1X認證協商產生,保證了每個客戶端使用不同的WEP單播密鑰,從而提高了單播數據幀傳輸的安全性。組播密鑰是WEP密鑰,若未配置WEP密鑰,則AP使用隨機算法產生組播密鑰。
當客戶端通過802.1X認證後,AP通過發送RC4 EAPOL-Key報文將組播密鑰及密鑰ID以及單播密鑰的密鑰ID(固定為4)分發給客戶端。
設備支持通過RADIUS服務進程遠程認證和在接入設備上進行本地認證。若用戶認證位置在AP上,則AP為接入設備,由AP處理認證過程,若用戶認證位置在AC上,則AC為接入設備,由AC處理認證過程。
Portal認證通過Web頁麵接受用戶輸入的用戶名和密碼,對用戶進行身份認證,以達到對用戶訪問控製的目的。在采用了Portal認證的組網環境中,用戶可以主動訪問已知的Portal Web服務器網站進行Portal認證,也可以訪問任意非Portal Web服務器網站時,被強製訪問Portal Web服務器網站,繼而開始Portal認證。目前,設備支持IPv4 Portal認證和IPv6 Portal認證。
Local AC、Central AC和AP均可以處理用戶的認證請求,即對用戶進行本地認證或將用戶的認證信息上送給RADIUS服務器進行集中式認證。當配置的用戶接入認證位置為AC時,在分層AC架構中,表示認證位置在Local AC上;在非分層AC架構中,表示認證位置在AC上。有關分層AC的詳細介紹,請參見“WLAN高級功能配置指導”中的“分層AC”。
基於ACL的接入控製是指,設備根據指定ACL中配置的規則對新接入的無線客戶端進行接入控製。
當無線客戶端接入無線網絡時,設備通過判斷無線客戶端MAC地址與指定的ACL規則的匹配情況對客戶端進行過濾,具體的過濾機製如下:
· 如果匹配上某permit規則,則允許無線客戶端接入無線網絡;
· 如果匹配上某deny規則,則拒絕無線客戶端接入無線網絡;
· 如果未匹配上任何規則,則拒絕其接入。
隨著無線網絡的大規模發展,當大量部署AP(Access Point,接入點)時,AP升級軟件、射頻參數的配置和調整等管理工作將給用戶帶來高昂的管理成本。為解決這一問題,WLAN采用AC+Fit AP架構,即通過AC(Access Controller,接入控製器)對下屬的AP進行集中控製和管理,AP不需要任何配置,所有的配置都保存在AC上並由AC下發,同時由AC對AP進行統一的管理和維護,AP和AC間采用CAPWAP(Controlling and Provisioning of Wireless Access Point,無線接入點控製與供應)隧道進行通訊,用於傳遞數據報文和控製報文。
CAPWAP隧道為AP和AC之間的通信提供了通用的封裝和傳輸機製,CAPWAP隧道使用UDP協議作為傳輸協議,並支持IPv4和IPv6協議。
如圖1-1所示,AC通過CAPWAP協議與AP建立控製隧道和數據隧道,AC通過控製隧道對AP進行管理和監控,通過數據隧道轉發客戶端的數據報文。
圖1-1 CAPWAP隧道典型組網圖
AP零配置啟動後,AP會自動創建VLAN-interface 1,並在該接口上默認開啟DHCP客戶端、DHCPv6客戶端和DNS客戶端功能,完成上述操作後,AP將使用獲取的AC地址發現AC並建立CAPWAP隧道。AP獲取AC地址的方式如下:
· 靜態配置:通過預配置為AP手工指定AC的IP地址。
· DHCP選項:通過DHCP服務器返回的Option 138或Option 43選項獲取AC地址。若通過兩個選項都獲取了AC地址,則AP選擇從Option 138獲取的地址作為AC地址,並向AC地址發送單播Discovery request報文來發現、選擇AC並建立CAPWAP隧道。有關Option選項的詳細介紹請參見“係統功能介紹”中的DHCP及DNS。
· DNS:AP通過DHCP服務器獲取AC的域名後綴及DNS server的IP地址,再將從自身獲取的主機名與域名後綴形成AC的完整域名進行DNS解析,獲取AC地址,AP向獲取的所有AC地址發送單播Discovery request報文來發現、選擇AC並建立CAPWAP隧道。
· 廣播:AP通過向IPv4廣播地址255.255.255.255發送Discovery request廣播報文來發現、選擇AC並建立隧道。
· IPv4組播:AP通過向IPv4組播地址224.0.1.140發送Discovery request組播報文來發現、選擇AC並建立隧道。
· IPv6組播:AP通過向IPv6組播地址FF0E::18C發送Discovery request組播報文來發現、選擇AC並建立隧道。
圖1-2 CAPWAP隧道建立過程
AP發現AC並建立CAPWAP隧道過程如下:
(1) AP向AC地址發送Discovery request報文。
(2) AC收到Discovery request報文後,根據本地策略和報文內容決定是否對AP進行回複Discovery response報文,Discovery response報文中會攜帶優先級值、AC上是否存在該AP的信息和AC上的負載信息等,以此實現AC選擇AP。
(3) AP收到各個AC的Discovery response報文後,根據報文中攜帶的內容,選擇最優AC。
(4) AP向選擇的最優AC發送Join request報文。
(5) AC根據報文內容,檢查是否為該AP提供服務,並回複Join response報文。
(6) AP若收到Result Code為失敗的Join response報文,則不建立隧道;若AP收到Result Code為成功的Join response報文,則AP和AC成功建立隧道。
AP依次使用靜態配置、DHCP選項、DNS、廣播、IPv4組播和IPv6組播獲取的AC地址進行發現AC並建立隧道過程,若某一種方式成功建立CAPWAP隧道,則停止發現AC的過程。
AP組用來實現對批量AP的配置管理,通過使AP繼承其所屬組的配置來達到對大量AP的配置的目的。AP組配置,全局配置及AP配置共同構成了分級繼承的AP運行配置。在大規模無線網絡中,同一AC管理的AP數量可達幾萬台,對每一台AP逐一配置將導致網絡管理難度極大提高。AP組用來降低逐個配置AP的操作成本,用戶可以創建多個組,對不同的組用戶可以根據需要配置不同的AP配置。
所有AP缺省情況下均屬於默認組,默認組組名為default-group,默認組不需創建、不可刪除。
AP組可以指定多個AP名稱、AP序列號、AP MAC地址和AP IP地址四種入組規則,AP的入組匹配順序為:優先根據AP名字入組規則匹配入組,其次是AP序列號入組規則,然後是AP MAC 地址入組規則,最後是AP IP地址入組規則,若未匹配到任何入組規則,則AP將被加入到默認組。
需要注意的是:
· AP必須屬於一個AP組,且隻能屬於一個AP組。
· 同一入組規則不能重複出現在不同的AP組中,若將同一入組規則配置在新AP組中,將導致原AP組中對應的入組規則自動刪除(相當於遷移組)。
· 默認組不能配置AP名字、AP序列號、AP MAC和AP IP地址四種入組規則。
· 刪除AP入組規則,AP會根據AP的入組規則匹配順序重新匹配AP組。比如,刪除某一AP組下的一個AP名字入組規則,該AP會優先進入指定了該AP序列號的AP組,如果匹配不到AP序列號,則該AP會優先進入指定了該AP MAC地址入組規則的AP組,如果匹配不到AP MAC地址,則該AP會優先進入指定了該AP IP地址入組規則的AP組,如果仍然匹配不到,則該AP會進入默認組。
· AP組下有AP已經入組(手工AP或自動AP),則該AP組不允許刪除;配置了入組規則,但是沒有AP入組的AP組可以被刪除。
· AP的生效配置取決於AP、AP組及AP全局配置中優先級最高的配置,優先級從高到低為AP配置、AP組配置、全局配置。若優先級高的配置不存在,則AP使用優先級低的配置。若都不存在AP的配置,則使用缺省值。
全局配置作用於所有AP組下的AP,由於全局配置的優先級最低,所以僅當AP和AP組下無配置時,才會繼承全局配置。AP、AP組及全局配置的優先級從高到低為AP視圖配置、AP組視圖配置、全局視圖配置。若優先級高的配置不存在,則AP使用優先級低的配置;若都不存在AP的配置,則使用優先級最低的視圖下的缺省配置。
通常情況下,可以通過終端連接到AP之後,對AP進行配置,但這種逐台配置AP的操作方式不利於大規模的AP部署以及集中化管理。AP預配置提供了一種在AC上對AP的基本網絡參數進行配置,並將預配置信息下發至AP的方法。下發到AP的配置會保存為AP私有預配置文件wlan_ap_prvs.xml,當AP重啟時,該私有預配置文件才會生效。
需要注意的是:
· AC隻能將預配置信息發送給與它建立CAPWAP隧道的AP,同時隻有主AC才能對已經與它建立CAPWAP隧道的AP進行預配置。
· 一些預配置可以在AP預配置下和AP組預配置下都進行配置,則優先使用AP預配置下的配置。
· 配置AP與指定的AC建立CAPWAP隧道。
· 配置AP的IP地址。
· 配置AP的網關地址。
· 配置AP發現AC時使用的域名服務器的域名後綴。
· 配置AP發現AC時使用的域名服務器的IP地址。
· 配置802.1X Client。
區域碼決定了射頻可以使用的工作頻段、信道、發射功率級別等。在配置WLAN設備時,必須正確地設置區域碼,以確保不違反當地的管製規定。為了防止區域碼的修改導致射頻的工作頻段、信道等與所在國家或地區的管製要求衝突,可以開啟區域碼鎖定功能。
在無線網絡中部署的AP數量較多時,開啟自動AP功能可以簡化配置。開啟自動AP功能後,無需配置手工AP配置,AP和AC就可以建立CAPWAP連接,AC將以AP的MAC地址來命名上線的自動AP。在AP發現AC過程中,AP優先選擇存在手工AP的AC建立CAPWAP隧道連接,若不存在手工AP配置,則AP會從開啟自動AP功能的AC中,選擇最優AC進行CAPWAP隧道連接。自動AP功能生成的AP,沒有提供AP視圖進行相關參數配置,自動AP需要固化為手工AP或者通過AP組進行配置。
出於網絡安全因素考慮,自動AP應配合固化功能使用。若配置固化功能時,用戶應在自動AP第一次接入後,將所有自動AP固化為手工AP並關閉自動AP功能
在集中式轉發模式下,AC在彙聚層上承擔了大量AP的狀態維護和數據轉發工作。AC設備的故障將導致無線網絡的服務中斷。
通過AC備份功能,可以將兩台AC相連,構建一個備份組,備份組中的兩台AC分別為主AC和備AC,主備AC通過WHA(WLAN High Availability,無線局域網高可靠性)數據備份通道進行AP數據的同步,當主AC發生故障時,備AC能夠立即接管當前所有在線AP,使業務流量不中斷。
CAPWAP隧道的建立需要DHCP和DNS的配合。因此,首先需要完成以下配置任務:
· AP需要獲取到自身的IP地址,因此需要在DHCP server上配置地址池為AP分配IP地址。
· 若獲取AC地址的方式為DHCP選項方式,則需要在DHCP server上將對應地址池的Option 138或Option 43配置為AC的IPv4地址,或使用Option 52配置AC的IPv6地址。
· 若獲取AC地址的方式為DNS方式,則需要在DHCP server對應的地址池上配置DNS server的IP地址和AC的域名後綴。並在DNS server上創建區域,添加AC的IP地址和域名的映射。
· 保證AC和AP之間的路由可達。
有關DHCP和域名解析的詳細介紹和相關配置,請參見“係統功能介紹”中的DHCP及DNS。
LED閃爍模式包括四種模式:
· Quiet模式:表示所有LED常滅。
· Awake模式:表示所有LED每分鍾閃爍一次。Awake模式的支持情況與AP設備的型號有關,請以設備的實際情況為準。
· Always-on模式:表示所有LED常亮。Always-on模式的支持情況與AP設備的型號有關,請以設備的實際情況為準。
· Normal模式:表示LED燈的顯示狀態可以標識AP的運行狀態。該模式LED閃爍情況與AP設備的型號有關,請以設備實際情況為準。
在需要更新AP配置文件的情況下,可以在AC上指定AP配置文件的文件名(在AC的存儲介質中必須已經存在該配置文件),當隧道處於Run狀態時,AC會將配置文件中的命令下發到AP上,AP會使用配置文件中的命令,但AP不會保存這些配置。
例如:本地轉發模式下配置用戶方案時,將用戶方案、相關的QoS策略和ACL等命令寫入配置文件,然後通過指定AP的配置文件的方式將命令下發到AP。
一旦為AP指定了配置文件,該配置文件會永久生效,即隻要AP在線,AC就會將配置文件中的命令下發給AP。
在本地轉發模式下配置用戶方案時,通過配置文件配置的AP隻用通過主IP地址與AC建立CAWPAP隧道。
每個AP提供的帶寬由接入的所有客戶端共享,如果部分客戶端占用過多帶寬,將導致其它客戶端受到影響。通過配置客戶端限速功能,可以限製單個客戶端對帶寬的過多消耗,保證所有接入客戶端均能正常使用網絡業務。
客戶端限速功能有兩種工作模式:
· 動態模式:配置所有客戶端使用的速率總值,每個客戶端的限製速率是速率總值/客戶端數量。例如,配置所有客戶端可用速率的總和為10Mbps,當有5個用戶上線時,每個客戶端的可用帶寬限製為2Mbps。
· 靜態模式:為所有客戶端配置相同的限速速率,該配置對所有客戶端生效。當接入客戶端增加至一定數量時,如果所有接入客戶端限製速率的總和超出AP可提供的有效帶寬,那麼每個客戶端將不能保證獲得配置的帶寬。
動態模式與靜態模式僅用於配置基於無線服務或基於射頻方式的客戶端限速功能。
客戶端限速功能有三種配置方式:
· 基於客戶端類型:該方式配置的客戶端限速對所有客戶端生效,每種類型的客戶端的速率都不能超過配置的限速值。
· 基於無線服務:該方式配置的客戶端限速對使用同一個無線服務接入的所有客戶端生效。
· 基於AP和AP組的射頻:該方式配置的客戶端限速對使用同一個/同一組射頻接入的所有客戶端生效。
如果同時配置多種方式或不同模式的客戶端限速,則多個配置將同時生效,每個客戶端的限速值為多種方式及不同模式中的限速速率最小值。
在實際應用中,網絡中的流量不會一直處於某個穩定的狀態。當某個BSS的流量非常大時,會擠占其它BSS的可用帶寬。如果直接對單個BSS的報文進行限速,在總體流量較小時,又會導致閑置帶寬被浪費。
智能帶寬保障功能提供了更靈活的流量控製機製,當網絡未擁塞時,所有BSS的報文都可以通過;在網絡發生擁塞時,每個BSS都可以獲取最低的保障帶寬。通過這種方式,既確保了網絡帶寬的充分利用,又兼顧了不同無線服務之間帶寬占用的公平原則。例如,配置SSID 1、SSID 2及SSID 3的保障帶寬占總帶寬的比例分別為25%、25%及50%。當網絡空閑時,SSID 1可以超過保障帶寬,任意占用網絡剩餘帶寬;當網絡繁忙、沒有剩餘帶寬時,SSID 1至少可以占有自己的保障帶寬部分(25%)。
智能帶寬保障功能隻能對由AP發送至客戶端的流量(即出方向流量)進行控製。
802.11網絡提供了基於競爭的無線接入服務,但是不同的應用對於網絡的要求是不同的,而無線網絡不能為不同的應用提供不同質量的接入服務,所以已經不能滿足實際應用的需要。
IEEE 802.11e為基於802.11協議的WLAN體係添加了QoS功能,Wi-Fi組織為了滿足不同WLAN廠商對QoS的需求,定義了WMM(Wi-Fi Multimedia,Wi-Fi多媒體)協議。WMM協議用於保證優先發送高優先級的報文,從而保證語音、視頻等應用在無線網絡中有更好的服務質量。
在WMM狀態頁麵中可以查看AC連接的各AP是否開啟WMM功能。
在WMM配置頁麵中,可以配置每個AP的SVP映射、連接準入控製策略以及允許接入的客戶端最大數等信息。
SVP映射是指將IP頭中Protocol ID為119的SVP報文放入指定的AC-VI或AC-VO隊列中,保證SVP報文比其他數據報文具有更高的優先級。沒有進行SVP映射時,SVP報文將進入AC-BE隊列。
CAC(Connect Admission Control,連接準入控製)用來限製能使用高優先級隊列(AC-VO和AC-VI隊列)的客戶端個數,從而保證已經使用高優先級隊列的客戶端能夠有足夠的帶寬。如果客戶端需要使用高優先級的AC,則需要進行請求,AP按照基於信道利用率的準入策略或基於用戶數量的準入策略算法,計算是否允許客戶端使用高優先級AC,並將結果回應給客戶端。當單獨或同時開啟AC-VO、AC-VI隊列的CAC功能時,如果客戶端申請AC失敗,設備會對其進行降級至AC-BE處理。
在EDCA參數頁麵中,可以查看和修改EDCA參數和ACK策略。
EDCA(Enhanced Distributed Channel Access,增強的分布式信道訪問)是WMM定義的一套信道競爭機製,有利於高優先級的報文享有優先發送的權利和更多的帶寬。
WMM協議為AC定義了以下EDCA參數:
· AIFSN(Arbitration Inter Frame Spacing Number,仲裁幀間隙數):在802.11協議中,空閑等待時長(DIFS)為固定值,而WMM針對不同AC配置退避前需要等待的時隙,AIFSN數值越小,用戶的空閑等待時間越短。
· ECWmin(Exponent form of CWmin,最小競爭窗口指數形式)和ECWmax(Exponent form of CWmax,最大競爭窗口指數形式):決定了平均退避時間值。這兩個數值越大,該AC中報文的平均退避時間越長。
· TXOP Limit(Transmission Opportunity Limit,傳輸機會限製):AC中的報文每次競爭成功後,可占用信道的最大時長。這個數值越大,用戶一次能占用信道的時長越大。如果是0,則每次占用信道後隻能發送一個報文。
ACK策略有兩種:Normal ACK和No ACK。
· Normal ACK策略:接收者在接收到每個單播報文後,都要回複ACK進行確認。
· No ACK(No Acknowledgment)策略:在無線報文交互過程中,不使用ACK報文進行接收確認。在通信質量較好、幹擾較小的情況下,No ACK策略能有效提高報文傳輸效率。但是,在通信質量較差的情況下,如果使用No ACK策略,則會造成丟包率增大的問題。
在射頻與客戶端協商參數頁麵中,用戶除了可以查看和修改EDCA參數,還可以開啟或關閉連接準入控製策略功能。
在客戶端的WMM統計信息頁麵中,用戶除了可以查看SSID等設備的基本信息和數據流量統計信息,還可以查看到客戶端接入時指定的AC的APSD屬性。
U-APSD是對傳統節能模式的改進。在這種機製下,客戶端不再定期監聽Beacon幀,而是由客戶端決定何時到AP上獲取緩存報文。對於客戶端的一次請求,AP可以發送多個緩存報文給客戶端,該機製顯著改善了客戶端的節能效果。開啟WMM功能的同時將自動開啟U-APSD節能模式。
在傳輸流信息頁麵中,用戶可以查看包括來自有線網絡報文的用戶優先級、傳輸流標識、流方向、允許富餘帶寬等傳輸流信息。
WIPS(Wireless Intrusion Prevention System,無線入侵防禦係統)是針對802.11協議開發的二層協議檢測和防護功能。WIPS通過AC與Sensor(開啟WIPS功能的AP)對信道進行監聽及分析處理,從中檢測出威脅網絡安全、幹擾網絡服務、影響網絡性能的無線行為或設備,並提供對入侵的無線設備的反製,為無線網絡提供一套完整的安全解決方案。
WIPS由Sensor、AC以及網管軟件組成。Sensor負責收集無線信道上的原始數據,經過簡單加工後,上傳至AC進行綜合分析。AC會分析攻擊源並對其實施反製,同時向網管軟件輸出日誌信息。網管軟件提供豐富的圖形界麵,提供係統控製、報表輸出、告警日誌管理功能。
WIPS支持以下功能:
· 攻擊檢測:提供多種攻擊方式的攻擊檢測功能。
· Signature檢測:通過配置Signature規則實現自定義攻擊行為的檢測。
· 設備分類:通過偵聽無線信道的802.11報文來識別無線設備,並對其進行分類。
· 反製:對非法設備進行攻擊,使其它設備無法關聯到非法設備,從而保護用戶網絡的安全。
開啟WIPS功能前,需要將AP加入到指定VSD(Virtual Security Domain,虛擬安全域)中。該AP也稱為Sensor。
通過在虛擬安全域上應用分類策略、攻擊檢測策略、Signature策略或反製策略,使已配置的分類策略、攻擊檢測策略、Signature策略或反製策略在虛擬安全域內的Radio上生效。
可以通過兩種配置方式實現設備分類,其中手工分類的優先級高於自動分類。
· 自動分類:通過信任設備列表、信任OUI列表和靜態禁用設備列表對所有設備進行分類;或通過自定義的AP分類規則對AP設備進行分類。
· 手工分類:通過手動指定AP的類型對設備進行分類。
WIPS將檢測到的AP分為以下幾類:
· 授權AP(Authorized AP):允許在無線網絡中使用的AP。包括已經關聯到AC上且不在禁用列表中的AP和手動指定的授權AP。
· 非法AP(Rouge AP):不允許在無線網絡中使用的AP。包括禁用設備列表中的AP、不在OUI配置文件中的AP和手動指定的非法AP。
· 配置錯誤的AP(Misconfigured AP):無線服務配置錯誤,但是允許在無線網絡中使用的AP。例如,在信任設備列表中,但使用了非法SSID的AP;在OUI配置文件中,但不在禁用設備列表的AP;在信任OUI或是信任設備列表中,但是未與AC關聯的AP。
· 外部AP(External AP):其他無線網絡中的AP。WIPS可能會檢測到鄰近網絡中的AP,例如鄰近公司或個人住宅中的AP。
· Ad hoc:運行在Ad hoc模式的AP。WIPS通過檢測Beacon幀將其分類為Ad hoc。
· 潛在授權的AP(Potential-authorized AP):無法確定但可能是授權的AP。如果AP既不在信任設備或信任OUI列表中也不在禁用設備列表中,那麼該AP很可能是授權的AP,如Remote AP。
· 潛在非法的AP(Potential-rogue AP):無法確定但可能是非法的AP。如果AP既不在信任設備或信任OUI列表中也不在禁用設備列表中,而且它的無線服務配置也不正確,那麼,如果檢測到它的有線端口可能連接到網絡中,則認為其為潛在非法的AP;如果能確定其有線端口連接到網絡中,則認為其為非法AP,如惡意入侵者私自接入網絡的AP。
· 潛在外部的AP(Potential-external AP):無法確定但可能是外部的AP。如果AP既不在信任設備或信任OUI列表中也不在禁用設備列表中,而且它的無線服務配置也不正確,同時也沒有檢測到它的有線端口連接到網絡中,則該AP很可能是外部的AP。
· 未分類AP(Uncategorized AP):無法確定歸屬類別的AP。
WIPS對檢測到的AP的分類處理流程如圖1-3所示:
圖1-3 WIPS對檢測到的AP設備的分類處理流程示意圖
WIPS將檢測到的客戶端分為以下幾類:
· 授權客戶端(Authorized Client):允許使用的客戶端,如關聯到授權AP上的受信任的客戶端或通過加密認證方式關聯到授權AP上的客戶端都是授權的客戶端。
· 未授權客戶端(Unauthorized Client):不允許使用的客戶端。如在禁用設備列表中的客戶端、連接到Rogue AP上的客戶端以及不在OUI配置文件中的客戶端都是未授權客戶端。
· 錯誤關聯客戶端(Misassociation Client):信任設備列表中的客戶端關聯到非授權AP上。錯誤關聯的客戶端可能會對網絡信息安全帶來隱患。
· 未分類客戶端(Uncategorized Client):無法確定歸屬類別的客戶端。
WIPS對檢測到的客戶端的分類處理流程如圖1-4所示:
圖1-4 WIPS對檢測到的客戶端的分類處理流程示意圖
WIPS通過分析偵聽到的802.11報文,來檢測針對WLAN網絡的無意或者惡意的攻擊,並以告警的方式通知網絡管理員。
如果攻擊者通過發送大量報文來增加WIPS的處理開銷等。通過檢測周期內學習到設備的表項來判斷是否需要對表項學習進行限速處理。設備在統計周期內學習到的AP或客戶端表項達到觸發告警閾值,設備會發送告警信息,並停止學習AP表項和客戶端表項。
泛洪攻擊是指通過向無線設備發送大量同類型的報文,使無線設備會被泛洪攻擊報文淹沒而無法處理合法報文。WIPS通過持續地監控AP或客戶端的流量來檢測泛洪攻擊。當大量同類型的報文超出上限時,認為無線網絡正受到泛洪攻擊。
目前WIPS能夠防範的泛洪攻擊包括:
· Probe-request/Association-request/Reassociation-request幀泛洪攻擊
攻擊者通過模擬大量的客戶端向AP發送Probe-request/Association-request/Reassociation-request幀,AP收到大量攻擊報文後無法處理合法客戶端的Probe-request/Association-request/Reassociation-request幀。
· Authentication幀泛洪攻擊
攻擊者通過模擬大量的客戶端向AP發送Authentication幀,AP收到大量攻擊報文後無法處理合法客戶端的Authentication幀。
· Beacon幀泛洪攻擊
該攻擊是通過發送大量的Beacon幀使客戶端檢測到多個虛假AP,導致客戶端選擇正常的AP進行連接時受阻。
· Block ACK泛洪攻擊
該攻擊通過仿冒客戶端發送偽造的Block ACK幀來影響Block ACK機製的正常運行,導致通信雙方丟包。
· RTS/CTS泛洪攻擊
在無線網絡中,通信雙方需要遵循虛擬載波偵聽機製,通過RTS(Request to Send,發送請求)/CTS(Clear to Send,清除發送請求)交互過程來預留無線媒介,通信範圍內的其它無線設備在收到RTS和(或)CTS後,將根據其中攜帶的信息來延遲發送數據幀。RTS/CTS泛洪攻擊利用了虛擬載波偵聽機製的漏洞,攻擊者能通過泛洪發送RTS和(或)CTS來阻塞WLAN網絡中合法無線設備的通信。
· Deauthentication幀泛洪攻擊
攻擊者通過仿冒AP向與其關聯的客戶端發送Deauthentication幀,使得被攻擊的客戶端與AP的關聯斷開。這種攻擊非常突然且難以防範。單播Deauthentication幀攻擊是針對某一個客戶端,而廣播Deauthentication幀攻擊是針對與該AP關聯的所有客戶端。
· Disassociation幀泛洪攻擊
攻擊原理同Disassociation幀泛洪攻擊。攻擊者是通過仿冒AP向與其關聯的客戶端發送Disassociation幀,使得被攻擊的客戶端與AP的關聯斷開。這種攻擊同樣非常突然且難以防範。
· EAPOL-Start泛洪攻擊
IEEE 802.1X標準定義了一種基於EAPOL(EAP over LAN,局域網上的可擴展認證協議)的認證協議,該協議通過客戶端發送EAPOL-Start幀開始一次認證流程。AP接收到EAPOL-Start後會回複一個EAP-Identity-Request,並為該客戶端分配一些內部資源來記錄認證狀態。攻擊者可以通過模擬大量的客戶端向AP發送EAPOL-Start來耗盡該AP的資源,使AP無法處理合法客戶端的認證請求。
· Null-data泛洪攻擊
該攻擊通過仿冒合法客戶端向與其關聯的AP發送Null-data幀,使得AP誤認為合法的客戶端進入省電模式,將發往該客戶端的數據幀進行暫存。如果攻擊者持續發送Null-data幀,當暫存幀的存儲時間超過AP暫存幀老化時間後,AP會將暫存幀丟棄,妨害了合法客戶端的正常通信。
· EAPOL-Logoff泛洪攻擊
在EAPOL認證環境中,當通過認證的客戶端需要斷開連接時,會發送一個EAPOL-Logoff幀來關閉與AP間的會話。但AP對接收到的EAPOL-Logoff幀不會進行認證,因此攻擊者通過仿冒合法客戶端向AP發送EAPOL-Logoff幀,可以使AP關閉與該客戶端的連接。如果攻擊者持續發送仿冒的EAPOL-Logoff幀,將使被攻擊的客戶端無法保持同AP間的連接。
· EAP-Success/Failure泛洪攻擊
在使用802.1X認證的WLAN環境中,當客戶端認證成功時,AP會向客戶端發送一個EAP-Success幀(code字段為success的EAP幀);當客戶端認證失敗時,AP會向客戶端發送一個EAP-Failure幀(code字段為failure的EAP幀)。攻擊者通過仿冒AP向請求認證的客戶端發送EAP-Failure幀或EAP-Success幀來破壞該客戶端的認證過程,通過持續發送仿冒的EAP-Failure幀或EAP-Success幀,可以阻止被攻擊的客戶端與AP間的認證。
畸形報文攻擊是指攻擊者向受害客戶端發送有缺陷的報文,使得客戶端在處理這樣的報文時會出現崩潰。WIPS利用Sensor監聽無線信道來獲取無線報文,通過報文解析檢測出具有某些畸形類型特征的畸形報文,並發送告警。
目前支持的畸形報文檢測包括:
· IE重複的畸形報文
該檢測是針對所有管理幀的檢測。當解析某報文時,該報文所包含的某IE重複出現時,則判斷該報文為重複IE畸形報文。因為廠商自定義IE是允許重複的,所以檢測IE重複時,不檢測廠商自定義IE。
· Fata-Jack畸形報文
該檢測是針對Authentication幀的檢測。Fata-jack畸形類型規定,當身份認證算法編號即Authentication algorithm number的值等於2時,則判定該幀為Fata-jack畸形報文。
· IBSS和ESS置位異常的畸形報文
該檢測是針對Beacon幀和探查響應幀進行的檢測。當報文中的IBSS和ESS都置位為1時,由於此種情況在協議中沒有定義,所以該報文被判定為IBSS和ESS置位異常的畸形報文。
· 源地址為廣播或者組播的認證和關聯畸形報文
該檢測是針對所有管理幀的檢測。當檢測到該幀的TO DS等於1時,表明該幀為客戶端發給AP的,如果同時又檢測到該幀的源MAC地址為廣播或組播,則該幀被判定為Invalid-source-address畸形報文。
· 畸形Association-request報文
該檢測是針對認證請求幀的檢測。當收到認證請求幀中的SSID的長度等於0時,判定該報文為畸形關聯請求報文。
· 畸形Authentication報文
該檢測是針對認證幀的檢測。當檢測到以下情況時請求認證過程失敗,會被判斷為認證畸形報文。
¡ 當對認證幀的身份認證算法編號(Authentication algorithm number)的值不符合協議規定,並且其值大於3時;
¡ 當標記客戶端和AP之間的身份認證的進度的Authentication Transaction Sequence Number的值等於1,且狀態代碼status code不為0時;
¡ 當標記客戶端和AP之間的身份認證的進度的Authentication Transaction Sequence Number的值大於4時。
· 含有無效原因值的解除認證畸形報文
該檢測是針對解除認證畸形幀的檢測。當解除認證畸形幀攜帶的Reason code的值屬於集合[0,67~65535]時,則屬於協議中的保留值,此時判定該幀為含有無效原因值的解除認證畸形報文。
· 含有無效原因值的解除關聯畸形報文
該檢測是針對解除關聯幀的檢測。當解除關聯幀攜帶的Reason code的值屬於集合[0,67~65535]時,則屬於協議中的保留值,此時判定該幀為含有無效原因值的解除關聯畸形報文。
· 畸形HT IE報文
該檢測是針對Beacon、探查響應幀、關聯響應幀、重關聯請求幀的檢測。當檢測到以下情況時,判定為HT IE的畸形報文,發出告警,在靜默時間內不再告警。
¡ 解析出HT Capabilities IE的SM Power Save值為2時;
¡ 解析出HT Operation IE的Secondary Channel Offset值等於2時。
· IE長度非法的畸形報文
該檢測是針對所有管理幀的檢測。信息元素(Information Element,簡稱IE)是管理幀的組成元件,每種類型的管理幀包含特定的幾種IE。報文解析過程中,當檢測到該報文包含的某個IE的長度為非法時,該報文被判定為IE長度非法的畸形報文。
· 報文長度非法的畸形報文
該檢測是針對所有管理幀的檢測。當解析完報文主體後,IE的剩餘長度不等於0時,則該報文被判定為報文長度非法的畸形報文。
· 無效探查響應報文
該檢測是針對探查響應報文。當檢測到該幀為非Mesh幀,但同時該幀的SSID Length等於0,這種情況不符合協議(協議規定SSID Length等於0的情況是Mesh幀),則判定為無效探查響應報文。
· Key長度超長的EAPOL報文
該檢測是針對EAPOL-Key幀的檢測。當檢測到該幀的TO DS等於1且其Key Length大於0時,則判定該幀為Key長度超長的EAPOL報文。Key length長度異常的惡意的EAPOL-Key幀可能會導致DOS攻擊。
· SSID長度超長的畸形報文
該檢測是針對Beacon、探查請求、探查響應、關聯請求幀的檢測。當解析報文的SSID length大於32字節時,不符合協議規定的0~32字節的範圍,則判定該幀為SSID超長的畸形報文。
· 多餘IE畸形報文
該檢測是針對所有管理幀的檢測。報文解析過程中,當檢測到既不屬於報文應包含的IE,也不屬於reserved IE時,判斷該IE為多餘IE,則該報文被判定為多餘IE的畸形報文。
· Duration字段超大的畸形報文
該檢測是針對單播管理幀、單播數據幀以及RTS、CTS、ACK幀的檢測。如果報文解析結果中該報文的Duration值大於指定的門限值,則為Duration超大的畸形報文。
Spoofing攻擊是指攻擊者仿冒其他設備,從而威脅無線網絡的安全。例如:無線網絡中的客戶端已經和AP關聯,並處於正常工作狀態,此時如果有攻擊者仿冒AP的名義給客戶端發送解除認證/解除關聯報文就可能導致客戶端下線,從而達到破壞無線網絡正常工作的目的;又或者攻擊者仿冒成合法的AP來誘使合法的客戶端關聯,攻擊者仿冒成合法的客戶端與AP關聯等,從而可能導致用戶賬戶信息泄露。
目前支持的Spoofing檢測包括:AP地址仿冒和客戶端地址仿冒
WEP安全協議使用的RC4加密算法存在一定程度的缺陷,當其所用的IV值不安全時會大大增加其密鑰被破解的可能性,該類IV值即被稱為Weak IV。WIPS特性通過檢測每個WEP報文的IV值來預防這種攻擊。
· Windows網橋
當一個連接到有線網絡的無線客戶端使用有線網卡建立了Windows網橋時,該無線客戶端就可以通過連接外部AP將外部AP與內部有線網絡進行橋接。此組網方式會使外部AP對內部的有線網絡造成威脅。WIPS會對已關聯的無線客戶端發出的數據幀進行分析,來判斷其是否存在於Windows網橋中。
· 設備禁用802.11n 40MHz
支持802.11n標準無線設備可以支持20MHz和40MHz兩種帶寬模式。在無線環境中,如果與AP關聯的某個無線客戶端禁用了40MHz帶寬模式,會導致AP與該AP關聯的其它無線客戶端也降低無線通信帶寬到20MHz,從而影響到整個網絡的通信能力。WIPS通過檢測無線客戶端發送的探測請求幀來發現禁用40MHz帶寬模式的無線客戶端。
Omerta是一個基於802.11協議的DoS攻擊工具,它通過向信道上所有發送數據幀的客戶端回應解除關聯幀,使客戶端中斷與AP的關聯。Omerta發送的解除關聯幀中的原因代碼字段為0x01,表示未指定。由於正常情況下不會出現此類解除關聯幀,因此WIPS可以通過檢測每個解除關聯幀的原因代碼字段來檢測這種攻擊。
· 未加密授權AP/未加密信任客戶端
在無線網絡中,如果有授權AP或信任的無線客戶端使用的配置是未加密的,網絡攻擊者很容易通過監聽來獲取無線網絡中的數據,從而導致網絡信息泄露。WIPS會對信任的無線客戶端或授權AP發出的管理幀或數據幀進行分析,來判斷其是否使用了加密配置。
· 熱點攻擊
熱點攻擊指惡意AP使用熱點SSID來吸引周圍的無線客戶端來關聯自己。攻擊者通過偽裝成公共熱點來引誘這些無線客戶端關聯自己。一旦無線客戶端與惡意AP關聯上,攻擊者就會發起一係列的安全攻擊,獲取用戶的信息。用戶通過在WIPS中配置熱點文件,來指定WIPS對使用這些熱點的AP和信任的無線客戶端進行熱點攻擊檢測。
· 綠野模式
當無線設備使用802.11n 綠野模式時,不可以和其他802.11a/b/g 設備共享同一個信道。通常當一台設備偵聽到有其他設備占用信道發送和接收報文的時候,會延遲報文的發送直到信道空閑時再發送。但是802.11a/b/g設備不能和綠野模式的AP進行通信,無法被告知綠野模式的AP當前信道是否空閑,會立刻發送自己的報文。這可能會導致報文發送衝突、差錯和重傳。
· 關聯/重關聯DoS攻擊
關聯/重關聯DoS攻擊通過模擬大量的客戶端向AP發送關聯請求/重關聯請求幀,使AP的關聯列表中存在大量虛假的客戶端,達到拒絕合法客戶端接入的目的。
· 中間人
在中間人攻擊中,攻擊者在合法AP和合法客戶端的數據通路中間架設自己的設備,並引誘合法客戶端下線並關聯到攻擊者的設備上,此時攻擊者就可以劫持合法客戶端和合法AP之間的會話。在這種情況下,攻擊者可以刪除,添加或者修改數據包內的信息,獲取驗證密鑰、用戶密碼等機密信息。中間人攻擊是一種組合攻擊,客戶端在關聯到蜜罐AP後攻擊者才會發起中間人攻擊,所以在配置中間人攻擊檢測之前需要開啟蜜罐AP檢測。
· 無線網橋
攻擊者可以通過接入無線網橋侵入公司網絡的內部,對網絡安全造成隱患。WIPS通過檢測無線網絡環境中是否存在無線網橋數據以確定周圍環境中是否存在無線網橋。當檢測到無線網橋時,WIPS係統即產生告警,提示當前無線網絡環境存在安全隱患。如果該無線網橋是Mesh網絡時,則記錄該Mesh鏈路。
· AP信道變化
AP設備在完成部署後通常是固定不動的,正常情況下WIPS通過檢測發現網絡環境的中AP設備的信道是否發生變化。
· 廣播解除關聯幀/解除認證幀
當攻擊者仿冒成合法的AP,發送目的MAC地址為廣播地址的解除關聯幀或者解除認證幀時,會使合法AP下關聯的客戶端下線,對無線網絡造成攻擊。
· AP扮演者攻擊
在AP扮演者攻擊中,攻擊者會安裝一台惡意AP設備,該AP設備的BSSID和ESSID與真實AP一樣。當該惡意AP設備在無線環境中成功扮演了真實AP的身份後,就可以發起熱點攻擊,或欺騙檢測係統。WIPS通過檢測收到Beacon幀的間隔小於Beacon幀中攜帶的間隔值次數達到閾值來判斷其是否為攻擊者扮演的惡意AP。
· AP泛洪
AP設備在完成部署後通常是固定不動的,正常情況下WIPS通過檢測發現網絡環境的中AP設備的數目達到穩定後不會大量增加。當檢測到AP的數目超出預期的數量時, WIPS係統即產生告警,提示當前無線網絡環境存在安全隱患。
· 蜜罐AP
攻擊者在合法AP附近搭建一個蜜罐 AP,通過該AP發送與合法AP SSID相似的Beacon幀或Probe Response幀,蜜罐AP的發送信號可能被調得很大以誘使某些授權客戶端與之關聯。當有客戶端連接到蜜罐AP,蜜罐AP便可以向客戶端發起某些安全攻擊,如端口掃描或推送虛假的認證頁麵來騙取客戶端的用戶名及密碼信息等。因此,需要檢測無線環境中對合法設備構成威脅的蜜罐AP。WIPS係統通過對外部AP使用的SSID進行分析,若與合法SSID的相似度值達到一定閾值就發送蜜罐AP告警。
對於處於非節電模式下的無線客戶端,攻擊者可以通過發送節電模式開啟報文(Null幀),誘使AP相信與其關聯的無線客戶端始終處於睡眠狀態,並為該無線客戶端暫存幀。被攻擊的無線客戶端因為處於非節電模式而無法獲取這些暫存幀,在一定的時間之後暫存幀會被自動丟棄。WIPS通過檢測節電模式開啟/關閉報文的比例判斷是否存在節電攻擊。
· 軟AP
軟AP是指客戶端上的無線網卡在應用軟件的控製下對外提供AP的功能。攻擊者可以利用這些軟AP所在的客戶端接入公司網絡,並發起網絡攻擊。WIPS通過檢測某個MAC地址在無線客戶端和AP這兩個角色上的持續活躍時長來判斷其是否是軟AP,不對遊離的客戶端進行軟AP檢測。
· 配置合法信道集/非法信道
用戶可以設置合法信道集合,並開啟非法信道檢測,如果WIPS在合法信道集合之外的其它信道上監聽到無線通信,則認為在監聽到無線通信的信道上存在入侵行為。
Signature檢測是指用戶可以根據實際的網絡狀況來配置Signature規則,並通過該規則來實現自定義攻擊行為的檢測。WIPS利用Sensor監聽無線信道來獲取無線報文,通過報文解析,檢測出具有某些自定義類型特征的報文,並將分析檢測的結果進行歸類處理。
每個Signature檢測規則中最多支持配置6條子規則,分別對報文的6種特征進行定義和匹配。當AC解析報文時,如果發現報文的特征能夠與已配置的子規則全部匹配,則認為該報文匹配該自定義檢測規則,AC將發送告警信息或記錄日誌。
可以通過子規則定義的6種報文特征包括:
· 幀類型
· MAC地址
· 序列號
· SSID
· SSID長度
· 自定義報文位置
在無線網絡中設備分為兩種類型:非法設備和合法設備。非法設備可能存在安全漏洞或被攻擊者操縱,因此會對用戶網絡的安全造成嚴重威脅或危害。反製功能可以對這些設備進行攻擊使其他無線終端無法關聯到非法設備。
對於可以忽略WIPS告警信息的設備列表中的無線設備,WIPS仍然會對其做正常的監測,但是不會產生與該設備相關的任何WIPS告警信息。
無線網絡很容易受到各種網絡威脅的影響,非法設備對於無線網絡來說是一個很嚴重的威脅,因此需要對客戶端的接入進行控製。通過黑名單和白名單功能來過濾客戶端,對客戶端進行控製,防止非法客戶端接入無線網絡,可以有效的保護企業網絡不被非法設備訪問,從而保證無線網絡的安全。組播或廣播MAC地址不能設置為黑名單或白名單。
白名單定義了允許接入無線網絡的客戶端MAC地址表項,不在白名單中的客戶端不允許接入。白名單表項隻能手工添加和刪除。
黑名單定義了禁止接入無線網絡的客戶端MAC地址表項,在黑名單中的客戶端不允許接入。黑名單分為靜態黑名單和動態黑名單,以下分別介紹。
(1) 靜態黑名單
用戶手工添加、刪除的黑名單稱為靜態黑名單,當無線網絡明確拒絕某些客戶端接入時,可以將這些客戶端加入靜態黑名單。
(2) 動態黑名單
設備通過檢測而自動生成和刪除的黑名單稱為動態黑名單,當AP檢測到來自某一客戶端的攻擊報文時,會將該客戶端的MAC地址動態加入到動態黑名單中,在動態黑名單表項老化時間內拒絕該客戶端接入無線網絡。
當收到客戶端關聯請求報文或AP發送的Add mobile報文時,AC將使用白名單和黑名單對客戶端的MAC地址進行過濾。靜態黑名單和白名單對所有與AC相連的AP生效,而動態黑名單隻會對接收到攻擊報文的AP生效。具體的過濾機製如下:
· 當AC上存在白名單時,將判斷客戶端的MAC地址是否在白名單中,如果在白名單中,則允許客戶端通過任意AP接入無線網絡,否則將拒絕該客戶端接入。
· 當AC上不存在白名單時,則首先判斷客戶端的MAC地址是否在靜態黑名單中,如果客戶端在靜態黑名單中,則拒絕該客戶端通過任何AP接入無線網絡。如果該客戶端不在靜態黑名單中,則繼續判斷其是否在動態黑名單中。如果在動態黑名單中,則不允許該客戶端通過動態黑名單中指定的AP接入無線網絡,但可以通過其它AP接入;如果不在動態黑名單中,則允許客戶端通過任意AP接入。
射頻是一種高頻交流變化電磁波,表示具有遠距離傳輸能力、可以輻射到空間的電磁頻率。WLAN是利用射頻作為傳輸媒介,進行數據傳輸無線通信技術之一。
射頻的頻率介於300KHz和約300GHz之間,WLAN使用的射頻頻率範圍為2.4GHz頻段(2.4GHz~2.4835GHz)和5GHz頻段(5.150GHz~5.350GHz和5.725GHz~5.850GHz)。
按IEEE定義的802.11無線網絡通信標準劃分,射頻模式主要有802.11a、802.11b、802.11g、802.11n和802.11ac:
· 802.11a:工作頻率為5GHz,由於選擇了OFDM(Orthogonal Frequency Division Multiplexing,正交頻分複用)技術,能有效降低多路徑衰減的影響和提高頻譜的利用率,使802.11a的物理層速率可達54Mbps。但是在傳輸距離上存在劣勢。
· 802.11b:工作頻率為2.4GHz,相比5GHz能夠提供更大的傳輸距離,數據傳輸速率最高達11Mbps。由於早期的無線通信更加追求傳輸距離,所以802.11b比802.11a更早被投入使用。
· 802.11g:工作頻率為2.4GHz,可以兼容802.11b。802.11g借用了802.11a的成果,在2.4GHz頻段采用了OFDM技術,最高速率可以達到54Mbps。
· 802.11n:工作於雙頻模式(2.4GHz和5GHz兩個工作頻段),能夠與802.11a/g標準兼容。802.11n的數據傳輸速率達100Mbps以上,理論最高可達600Mbps,使無線局域網平滑地和有線網絡結合,全麵提升了網絡吞吐量。
· 802.11ac:是802.11n的繼承者,理論最高速率可達6900Mbps,全麵提升了網絡吞吐量。
· 802.11ax:基於802.11ac協議,提升調製階級達到1024-QAM,新增了OFDMA、上下行MU-MIMO、SR空間複用等技術,理論最高速率可達9600Mbps,更快更全麵的提升了網絡吞吐量。
表1-1 WLAN的幾種主要射頻模式比較
|
協議 |
頻段 |
最高速率 |
|
802.11a |
5GHz |
54Mbps |
|
802.11b |
2.4GHz |
11Mbps |
|
802.11g |
2.4GHz |
54Mbps |
|
802.11n |
2.4GHz/5GHz |
600Mbps |
|
802.11ac |
5GHz |
6900Mbps |
|
802.11ax |
5GHz |
9600Mbps |
不同的射頻模式所支持的信道、功率有所不同,所以射頻模式修改時,如果新的射頻模式不支持原來配置的的信道、功率,則AP會根據新射頻模式自動調整這些參數。
修改射頻模式時,會導致當前在線客戶端下線。
在指定了射頻模式以後,可以進行射頻功能配置,具體情況如下:
在指定了射頻模式以後,可以進行射頻功能配置,具體情況如下:
· 如果指定的射頻模式為802.11a、802.11b或802.11g,則可以配置射頻基礎功能,有關射頻基礎功能配置的詳細介紹,請參見“射頻基礎功能”。
· 如果指定的射頻模式為802.11n,則可以配置射頻基礎功能和802.11n功能,有關802.11n功能配置的詳細介紹,請參見“802.11n功能”。
· 如果指定的射頻模式為802.11ac,則可以配置射頻基礎功能、802.11n功能和802.11ac功能,有關802.11ac功能配置的詳細介紹,請參見“802.11ac功能”。
· 如果指定的射頻模式為802.11ax,則可以配置射頻基礎功能、802.11n功能、802.11ac和802.11ax功能,有關802.11ax功能配置的詳細介紹,請參見“802.11ax功能”。
信道是具有一定頻寬的射頻。在WLAN標準協議裏,2.4GHz頻段被劃分為13個相互交疊的信道,每個信道的頻寬是20MHz,信道間隔為5MHz。這13個信道裏有3個獨立信道,即沒有相互交疊的信道,目前普遍使用的三個互不交疊的獨立信道號為1、6、11。
5GHz頻段擁有更高的頻率和頻寬,可以提供更高的速率和更小的信道幹擾。WLAN標準協議將5GHz頻段分為24個頻寬為20MHz的信道,且每個信道都為獨立信道。各個國家開放的信道不一樣,目前中國5GHz頻段開放使用的信道號是36、40、44、48、52、56、60、64、149、153、157、161和165。
射頻功率是指天線在無線介質中所輻射的功率,反映的是WLAN設備輻射信號的強度。射頻功率越大,射頻覆蓋的範圍越廣,客戶端在同一位置收到的信號強度越強,也就越容易幹擾鄰近的網絡。隨著傳輸距離的增大,信號強度隨之衰減。
射頻速率是客戶端與WLAN設備之間的數據傳輸速度。不同的射頻模式,根據所使用擴頻、編碼和調製技術,對應不同的傳輸速率。802.11a、802.11b、802.11g、802.11n和802.11ac的速率支持情況如下:
· 802.11a:6Mbps、9Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。
· 802.11b:1Mbps、2Mbps、5.5Mbps、11Mbps。
· 802.11g:1Mbps、2Mbps、5.5Mbps、6Mbps、9Mbps、11Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。
· 802.11n:根據不同信道帶寬可支持不同的速率組合,具體請參見“MCS”
· 802.11ac:根據不同信道帶寬和空間流數量可支持不同的速率組合,具體請參見“VHT-MCS”。
IEEE 802.11n除了向前兼容IEEE 802.11a/b/g的速率外,還定義了新的速率調製與編碼策略,即MCS(Modulation and Coding Scheme,調製與編碼策略)。
無線數據傳輸的物理速率受到編碼方式、調製方式、載波比特率、空間流數量、數據子信道數等多種因素的影響,不同的因素組合將產生不同的物理速率。MCS使用索引的方式將每種組合以及由該組合產生的物理速率進行排列,形成索引值與速率的對應表,稱為MCS表。802.11n的MCS表共有兩個子表,分別用於保存信道帶寬為20MHz和40MHz時的物理速率。索引值的取值範圍為0~76,能夠描述77種物理速率,兩個MCS子表中的索引值相互獨立。
802.11n規定,當帶寬為20MHz時,MCS0~15為AP必須支持的MCS索引,MCS0~7是客戶端必須支持的MCS索引,其餘MCS索引均為可選速率。表1-2和表1-3分別列舉了帶寬為20MHz和帶寬為40MHz的MCS速率表。
完整的MCS對應速率表可參見IEEE 802.11n-2009標準協議。
表1-2 MCS對應速率表(20MHz)
|
MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
6.5 |
7.2 |
|
1 |
1 |
QPSK |
13.0 |
14.4 |
|
2 |
1 |
QPSK |
19.5 |
21.7 |
|
3 |
1 |
16-QAM |
26.0 |
28.9 |
|
4 |
1 |
16-QAM |
39.0 |
43.3 |
|
5 |
1 |
64-QAM |
52.0 |
57.8 |
|
6 |
1 |
64-QAM |
58.5 |
65.0 |
|
7 |
1 |
64-QAM |
65.0 |
72.2 |
|
8 |
2 |
BPSK |
13.0 |
14.4 |
|
9 |
2 |
QPSK |
26.0 |
28.9 |
|
10 |
2 |
QPSK |
39.0 |
43.3 |
|
11 |
2 |
16-QAM |
52.0 |
57.8 |
|
12 |
2 |
16-QAM |
78.0 |
86.7 |
|
13 |
2 |
64-QAM |
104.0 |
115.6 |
|
14 |
2 |
64-QAM |
117.0 |
130.0 |
|
15 |
2 |
64-QAM |
130.0 |
144.4 |
表1-3 MCS對應速率表(40MHz)
|
MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
13.5 |
15.0 |
|
1 |
1 |
QPSK |
27.0 |
30.0 |
|
2 |
1 |
QPSK |
40.5 |
45.0 |
|
3 |
1 |
16-QAM |
54.0 |
60.0 |
|
4 |
1 |
16-QAM |
81.0 |
90.0 |
|
5 |
1 |
64-QAM |
108.0 |
120.0 |
|
6 |
1 |
64-QAM |
121.5 |
135.0 |
|
7 |
1 |
64-QAM |
135.0 |
150.0 |
|
8 |
2 |
BPSK |
27.0 |
30.0 |
|
9 |
2 |
QPSK |
54.0 |
60.0 |
|
10 |
2 |
QPSK |
81.0 |
90.0 |
|
11 |
2 |
16-QAM |
108.0 |
120.0 |
|
12 |
2 |
16-QAM |
162.0 |
180.0 |
|
13 |
2 |
64-QAM |
216.0 |
240.0 |
|
14 |
2 |
64-QAM |
243.0 |
270.0 |
|
15 |
2 |
64-QAM |
270.0 |
300.0 |
從表中可以得到結論:
· 當MSC索引取值為0~7時,空間流數量為1,且當MCS=7時,速率值最大;
· 當MSC索引取值為8~15時,空間流數量為2,且當MCS=15時,速率值最大。
MCS分為三類:
· 基本MCS集:客戶端必須支持的基本MCS集,才能夠與AP以802.11n模式進行連接。
· 支持MCS集:AP所能夠支持的更高的MCS集合,用戶可以配置支持MCS集讓客戶端在支持基本MCS的前提下選擇更高的速率與AP進行數據傳輸。
· 組播MCS集:AP以組播方式對其BSS內的客戶端發送消息所使用的速率。
802.11ac中定義的VHT-MCS表在表項內容上與802.11n的MCS表完全相同,隻是在子表劃分方式上存在區別,VHT-MCS根據信道帶寬和空間流數量的組合來劃分子表。802.11ac支持20MHz、40MHz、80MHz和160MHz(80+80MHz)四種帶寬,最多支持8條空間流,因此VHT-MCS表共劃分為32個子表。每個子表中的MCS索引獨立編號,目前編號範圍為0~9。AP支持的VHT-MCS表僅有12套,具體如表1-4~表1-15所示。
完整的VHT-MCS對應速率表可參見IEEE 802.11ac-2013標準協議。
表1-4 VHT-MCS對應速率表(20MHz,1NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
6.5 |
7.2 |
|
1 |
1 |
QPSK |
13.0 |
14.4 |
|
2 |
1 |
QPSK |
19.5 |
21.7 |
|
3 |
1 |
16-QAM |
26.0 |
28.9 |
|
4 |
1 |
16-QAM |
39.0 |
43.3 |
|
5 |
1 |
64-QAM |
52.0 |
57.8 |
|
6 |
1 |
64-QAM |
58.5 |
65.0 |
|
7 |
1 |
64-QAM |
65.0 |
72.2 |
|
8 |
1 |
256-QAM |
78.0 |
86.7 |
|
9 |
Not valid |
|||
表1-5 VHT-MCS對應速率表(20MHz,2NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
2 |
BPSK |
13.0 |
14.4 |
|
1 |
2 |
QPSK |
26.0 |
28.9 |
|
2 |
2 |
QPSK |
39.0 |
43.3 |
|
3 |
2 |
16-QAM |
52.0 |
57.8 |
|
4 |
2 |
16-QAM |
78.0 |
86.7 |
|
5 |
2 |
64-QAM |
104.0 |
115.6 |
|
6 |
2 |
64-QAM |
117.0 |
130.0 |
|
7 |
2 |
64-QAM |
130.0 |
144.4 |
|
8 |
2 |
256-QAM |
156.0 |
173.3 |
|
9 |
Not valid |
|||
表1-6 VHT-MCS對應速率表(20MHz,3NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
3 |
BPSK |
19.5 |
21.7 |
|
1 |
3 |
QPSK |
39.0 |
43.3 |
|
2 |
3 |
QPSK |
58.5 |
65.0 |
|
3 |
3 |
16-QAM |
78.0 |
86.7 |
|
4 |
3 |
16-QAM |
117.0 |
130.0 |
|
5 |
3 |
64-QAM |
156.0 |
173.3 |
|
6 |
3 |
64-QAM |
175.5 |
195.0 |
|
7 |
3 |
64-QAM |
195.0 |
216.7 |
|
8 |
3 |
256-QAM |
234.0 |
260.0 |
|
9 |
3 |
256-QAM |
260.0 |
288.9 |
表1-7 VHT-MCS對應速率表(20MHz,4NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
4 |
BPSK |
26.0 |
28.9 |
|
1 |
4 |
QPSK |
52.0 |
57.8 |
|
2 |
4 |
QPSK |
78.0 |
86.7 |
|
3 |
4 |
16-QAM |
104.0 |
115.6 |
|
4 |
4 |
16-QAM |
156.0 |
173.3 |
|
5 |
4 |
64-QAM |
208.0 |
231.1 |
|
6 |
4 |
64-QAM |
234.0 |
260.0 |
|
7 |
4 |
64-QAM |
260.0 |
288.9 |
|
8 |
4 |
256-QAM |
312.0 |
346.7 |
|
9 |
Not valid |
|||
表1-8 VHT-MCS對應速率表(40MHz,1NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
13.5 |
15.0 |
|
1 |
1 |
QPSK |
27.0 |
30.0 |
|
2 |
1 |
QPSK |
40.5 |
45.0 |
|
3 |
1 |
16-QAM |
54.0 |
60.0 |
|
4 |
1 |
16-QAM |
81.0 |
90.0 |
|
5 |
1 |
64-QAM |
108.0 |
120.0 |
|
6 |
1 |
64-QAM |
121.5 |
135.0 |
|
7 |
1 |
64-QAM |
135.0 |
150.0 |
|
8 |
1 |
256-QAM |
162.0 |
180.0 |
|
9 |
1 |
256-QAM |
180.0 |
200.0 |
表1-9 VHT-MCS對應速率表(40MHz,2NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
2 |
BPSK |
27.0 |
30.0 |
|
1 |
2 |
QPSK |
54.0 |
60.0 |
|
2 |
2 |
QPSK |
81.0 |
90.0 |
|
3 |
2 |
16-QAM |
108.0 |
120.0 |
|
4 |
2 |
16-QAM |
162.0 |
180.0 |
|
5 |
2 |
64-QAM |
216.0 |
240.0 |
|
6 |
2 |
64-QAM |
243.0 |
270.0 |
|
7 |
2 |
64-QAM |
270.0 |
300.0 |
|
8 |
2 |
256-QAM |
324.0 |
360.0 |
|
9 |
2 |
256-QAM |
360.0 |
400.0 |
表1-10 VHT-MCS對應速率表(40MHz,3NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
3 |
BPSK |
40.5 |
45.0 |
|
1 |
3 |
QPSK |
81.0 |
90.0 |
|
2 |
3 |
QPSK |
121.5 |
135.0 |
|
3 |
3 |
16-QAM |
162.0 |
180.0 |
|
4 |
3 |
16-QAM |
243.0 |
270.0 |
|
5 |
3 |
64-QAM |
324.0 |
360.0 |
|
6 |
3 |
64-QAM |
364.5 |
405.0 |
|
7 |
3 |
64-QAM |
405.0 |
450.0 |
|
8 |
3 |
256-QAM |
486.0 |
540.0 |
|
9 |
3 |
256-QAM |
540.0 |
600.0 |
表1-11 VHT-MCS對應速率表(40MHz,4NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
4 |
BPSK |
54.0 |
60.0 |
|
1 |
4 |
QPSK |
108.0 |
120.0 |
|
2 |
4 |
QPSK |
162.0 |
180.0 |
|
3 |
4 |
16-QAM |
216.0 |
240.0 |
|
4 |
4 |
16-QAM |
324.0 |
360.0 |
|
5 |
4 |
64-QAM |
432.0 |
480.0 |
|
6 |
4 |
64-QAM |
486.0 |
540.0 |
|
7 |
4 |
64-QAM |
540.0 |
600.0 |
|
8 |
4 |
256-QAM |
648.0 |
720.0 |
|
9 |
4 |
256-QAM |
720.0 |
800.0 |
表1-12 VHT-MCS對應速率表(80MHz,1NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
29.3 |
32.5 |
|
1 |
1 |
QPSK |
58.5 |
65.0 |
|
2 |
1 |
QPSK |
87.8 |
97.5 |
|
3 |
1 |
16-QAM |
117.0 |
130.0 |
|
4 |
1 |
16-QAM |
175.5 |
195.0 |
|
5 |
1 |
64-QAM |
234.0 |
260.0 |
|
6 |
1 |
64-QAM |
263.0 |
292.5 |
|
7 |
1 |
64-QAM |
292.5 |
325.0 |
|
8 |
1 |
256-QAM |
351.0 |
390.0 |
|
9 |
1 |
256-QAM |
390.0 |
433.3 |
表1-13 VHT-MCS對應速率表(80MHz,2NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
2 |
BPSK |
58.5 |
65.0 |
|
1 |
2 |
QPSK |
117.0 |
130.0 |
|
2 |
2 |
QPSK |
175.5 |
195.0 |
|
3 |
2 |
16-QAM |
234.0 |
260.0 |
|
4 |
2 |
16-QAM |
351.0 |
390.0 |
|
5 |
2 |
64-QAM |
468.0 |
520.0 |
|
6 |
2 |
64-QAM |
526.5 |
585.0 |
|
7 |
2 |
64-QAM |
585.0 |
650.0 |
|
8 |
2 |
256-QAM |
702.0 |
780.0 |
|
9 |
2 |
256-QAM |
780.0 |
866.7 |
表1-14 VHT-MCS對應速率表(80MHz,3NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
3 |
BPSK |
87.8 |
97.5 |
|
1 |
3 |
QPSK |
175.5 |
195.0 |
|
2 |
3 |
QPSK |
263.3 |
292.5 |
|
3 |
3 |
16-QAM |
351.0 |
390.0 |
|
4 |
3 |
16-QAM |
526.5 |
585.0 |
|
5 |
3 |
64-QAM |
702.0 |
780.0 |
|
6 |
Not valid |
|||
|
7 |
3 |
64-QAM |
877.5 |
975.0 |
|
8 |
3 |
256-QAM |
1053.0 |
1170.0 |
|
9 |
3 |
256-QAM |
1170.0 |
1300.0 |
表1-15 VHT-MCS對應速率表(80MHz,4NSS)
|
VHT-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
4 |
BPSK |
117.0 |
130.0 |
|
1 |
4 |
QPSK |
234.0 |
260.0 |
|
2 |
4 |
QPSK |
351.0 |
390.0 |
|
3 |
4 |
16-QAM |
468.0 |
520.0 |
|
4 |
4 |
16-QAM |
702.0 |
780.0 |
|
5 |
4 |
64-QAM |
936.0 |
1040.0 |
|
6 |
4 |
64-QAM |
1053.0 |
1170.0 |
|
7 |
4 |
64-QAM |
1170.0 |
1300.0 |
|
8 |
4 |
256-QAM |
1404.0 |
1560.0 |
|
9 |
4 |
256-QAM |
1560.0 |
1733.3 |
和MCS一樣,VHT-MCS也分為三類:基本VHT-MCS集、支持VHT-MCS集和組播VHT-MCS集,每類的意義也和MCS相同。
802.11ax中定義的HE-MCS表在表項內容上與802.11n的MCS表完全相同,隻是在子表劃分方式上存在區別,HE-MCS根據信道帶寬和空間流數量的組合來劃分子表。802.11ax支持20MHz、40MHz、80MHz和160MHz(80+80MHz)四種帶寬,最多支持8條空間流,因此HE-MCS表共劃分為32個子表。每個子表中的MCS索引獨立編號,目前編號範圍為0~11。AP支持的VHT-MCS表僅有12套,具體如表1-16~表1-27所示。
表1-16 HE-MCS對應速率表(20MHz,1NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
1 |
BPSK |
8 |
8.6 |
|
1 |
1 |
QPSK |
16 |
17.2 |
|
2 |
1 |
QPSK |
24 |
25.8 |
|
3 |
1 |
16-QAM |
33 |
34.4 |
|
4 |
1 |
16-QAM |
49 |
51.6 |
|
5 |
1 |
64-QAM |
65 |
68.8 |
|
6 |
1 |
64-QAM |
73 |
77.4 |
|
7 |
1 |
64-QAM |
81 |
86 |
|
8 |
1 |
256-QAM |
98 |
103.2 |
|
9 |
1 |
256-QAM |
108 |
114.7 |
|
10 |
1 |
1024-QAM |
122 |
129 |
|
11 |
1 |
1024-QAM |
135 |
143.4 |
表1-17 HE-MCS對應速率表(20MHz,2NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
2 |
BPSK |
16 |
17.2 |
|
1 |
2 |
QPSK |
32 |
34.4 |
|
2 |
2 |
QPSK |
48 |
51.6 |
|
3 |
2 |
16-QAM |
66 |
68.8 |
|
4 |
2 |
16-QAM |
98 |
103.2 |
|
5 |
2 |
64-QAM |
130 |
137.6 |
|
6 |
2 |
64-QAM |
146 |
154.8 |
|
7 |
2 |
64-QAM |
162 |
172 |
|
8 |
2 |
256-QAM |
196 |
206.4 |
|
9 |
2 |
256-QAM |
216 |
229.4 |
|
10 |
2 |
1024-QAM |
244 |
258 |
|
11 |
2 |
1024-QAM |
270 |
286.8 |
表1-18 HE-MCS對應速率表(20MHz,3NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
3 |
BPSK |
24 |
25.8 |
|
1 |
3 |
QPSK |
48 |
51.6 |
|
2 |
3 |
QPSK |
72 |
77.4 |
|
3 |
3 |
16-QAM |
99 |
103.2 |
|
4 |
3 |
16-QAM |
147 |
154.8 |
|
5 |
3 |
64-QAM |
195 |
206.4 |
|
6 |
3 |
64-QAM |
219 |
232.2 |
|
7 |
3 |
64-QAM |
243 |
258 |
|
8 |
3 |
256-QAM |
294 |
309.6 |
|
9 |
3 |
256-QAM |
324 |
344.1 |
|
10 |
3 |
1024-QAM |
366 |
387 |
|
11 |
3 |
1024-QAM |
405 |
430.2 |
表1-19 HE-MCS對應速率表(20MHz,4NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
4 |
BPSK |
32 |
34.4 |
|
1 |
4 |
QPSK |
64 |
68.8 |
|
2 |
4 |
QPSK |
96 |
103.2 |
|
3 |
4 |
16-QAM |
132 |
137.6 |
|
4 |
4 |
16-QAM |
196 |
206.4 |
|
5 |
4 |
64-QAM |
260 |
275.2 |
|
6 |
4 |
64-QAM |
292 |
309.6 |
|
7 |
4 |
64-QAM |
324 |
344 |
|
8 |
4 |
256-QAM |
392 |
412.8 |
|
9 |
4 |
256-QAM |
432 |
458.8 |
|
10 |
4 |
1024-QAM |
488 |
516 |
|
11 |
4 |
1024-QAM |
540 |
573.6 |
表1-20 HE-MCS對應速率表(40MHz,1NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
1 |
BPSK |
16 |
17.2 |
|
1 |
1 |
QPSK |
33 |
34.4 |
|
2 |
1 |
QPSK |
49 |
51.6 |
|
3 |
1 |
16-QAM |
65 |
68.8 |
|
4 |
1 |
16-QAM |
98 |
103.2 |
|
5 |
1 |
64-QAM |
130 |
137.6 |
|
6 |
1 |
64-QAM |
146 |
154.9 |
|
7 |
1 |
64-QAM |
163 |
172.1 |
|
8 |
1 |
256-QAM |
195 |
206.5 |
|
9 |
1 |
256-QAM |
217 |
229.4 |
|
10 |
1 |
1024-QAM |
244 |
258.1 |
|
11 |
1 |
1024-QAM |
271 |
286.8 |
表1-21 HE-MCS對應速率表(40MHz,2NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
2 |
BPSK |
32 |
34.4 |
|
1 |
2 |
QPSK |
66 |
68.8 |
|
2 |
2 |
QPSK |
98 |
103.2 |
|
3 |
2 |
16-QAM |
130 |
137.6 |
|
4 |
2 |
16-QAM |
196 |
206.4 |
|
5 |
2 |
64-QAM |
260 |
275.2 |
|
6 |
2 |
64-QAM |
292 |
309.8 |
|
7 |
2 |
64-QAM |
326 |
344.2 |
|
8 |
2 |
256-QAM |
390 |
413 |
|
9 |
2 |
256-QAM |
434 |
458.8 |
|
10 |
2 |
1024-QAM |
488 |
516.2 |
|
11 |
2 |
1024-QAM |
542 |
573.6 |
表1-22 HE-MCS對應速率表(40MHz,3NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
3 |
BPSK |
48 |
51.6 |
|
1 |
3 |
QPSK |
99 |
103.2 |
|
2 |
3 |
QPSK |
147 |
154.8 |
|
3 |
3 |
16-QAM |
195 |
206.4 |
|
4 |
3 |
16-QAM |
294 |
309.6 |
|
5 |
3 |
64-QAM |
390 |
412.8 |
|
6 |
3 |
64-QAM |
438 |
464.7 |
|
7 |
3 |
64-QAM |
489 |
516.3 |
|
8 |
3 |
256-QAM |
585 |
619.5 |
|
9 |
3 |
256-QAM |
651 |
688.2 |
|
10 |
3 |
1024-QAM |
732 |
774.3 |
|
11 |
3 |
1024-QAM |
813 |
860.4 |
表1-23 HE-MCS對應速率表(40MHz,4NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
4 |
BPSK |
64 |
68.8 |
|
1 |
4 |
QPSK |
132 |
137.6 |
|
2 |
4 |
QPSK |
196 |
206.4 |
|
3 |
4 |
16-QAM |
260 |
275.2 |
|
4 |
4 |
16-QAM |
392 |
412.8 |
|
5 |
4 |
64-QAM |
520 |
550.4 |
|
6 |
4 |
64-QAM |
584 |
619.6 |
|
7 |
4 |
64-QAM |
652 |
688.4 |
|
8 |
4 |
256-QAM |
780 |
826 |
|
9 |
4 |
256-QAM |
868 |
917.6 |
|
10 |
4 |
1024-QAM |
976 |
1032.4 |
|
11 |
4 |
1024-QAM |
1084 |
1147.2 |
表1-24 HE-MCS對應速率表(80MHz,1NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
1 |
BPSK |
34 |
36 |
|
1 |
1 |
QPSK |
68 |
72.1 |
|
2 |
1 |
QPSK |
102 |
108.1 |
|
3 |
1 |
16-QAM |
136 |
144.1 |
|
4 |
1 |
16-QAM |
204 |
216.2 |
|
5 |
1 |
64-QAM |
272 |
288.2 |
|
6 |
1 |
64-QAM |
306 |
324.4 |
|
7 |
1 |
64-QAM |
340 |
360.3 |
|
8 |
1 |
256-QAM |
408 |
432.4 |
|
9 |
1 |
256-QAM |
453 |
480.4 |
|
10 |
1 |
1024-QAM |
510 |
540.4 |
|
11 |
1 |
1024-QAM |
567 |
600.5 |
表1-25 HE-MCS對應速率表(80MHz,2NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
2 |
BPSK |
68 |
72 |
|
1 |
2 |
QPSK |
136 |
144.2 |
|
2 |
2 |
QPSK |
204 |
216.2 |
|
3 |
2 |
16-QAM |
272 |
288.2 |
|
4 |
2 |
16-QAM |
408 |
432.4 |
|
5 |
2 |
64-QAM |
544 |
576.4 |
|
6 |
2 |
64-QAM |
612 |
648.8 |
|
7 |
2 |
64-QAM |
680 |
720.6 |
|
8 |
2 |
256-QAM |
816 |
864.8 |
|
9 |
4 |
256-QAM |
906 |
960.8 |
|
10 |
4 |
1024-QAM |
1020 |
1080.8 |
|
11 |
4 |
1024-QAM |
1134 |
1201 |
表1-26 HE-MCS對應速率表(80MHz,3NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
3 |
BPSK |
102 |
108 |
|
1 |
3 |
QPSK |
204 |
216.3 |
|
2 |
3 |
QPSK |
306 |
324.3 |
|
3 |
3 |
16-QAM |
408 |
432.3 |
|
4 |
3 |
16-QAM |
612 |
648.6 |
|
5 |
3 |
64-QAM |
816 |
864.6 |
|
6 |
3 |
64-QAM |
918 |
973.2 |
|
7 |
3 |
64-QAM |
1020 |
1080.9 |
|
8 |
3 |
256-QAM |
1224 |
1297.2 |
|
9 |
4 |
256-QAM |
1359 |
1441.2 |
|
10 |
4 |
1024-QAM |
1530 |
1621.2 |
|
11 |
4 |
1024-QAM |
1701 |
1801.5 |
表1-27 HE-MCS對應速率表(80MHz,4NSS)
|
HE-MCS索引 |
空間流數量 |
調製方式 |
速率(Mb/s) |
|
|
1600ns GI |
800ns GI |
|||
|
0 |
4 |
BPSK |
136 |
144 |
|
1 |
4 |
QPSK |
272 |
288.4 |
|
2 |
4 |
QPSK |
408 |
432.4 |
|
3 |
4 |
16-QAM |
544 |
576.4 |
|
4 |
4 |
16-QAM |
816 |
864.8 |
|
5 |
4 |
64-QAM |
1088 |
1152.8 |
|
6 |
4 |
64-QAM |
1224 |
1297.6 |
|
7 |
4 |
64-QAM |
1360 |
1441.2 |
|
8 |
4 |
256-QAM |
1632 |
1729.6 |
|
9 |
4 |
256-QAM |
1812 |
1921.6 |
|
10 |
4 |
1024-QAM |
2040 |
2161.6 |
|
11 |
4 |
1024-QAM |
2268 |
2402 |
配置射頻工作信道的目的是盡量減少和避免射頻的幹擾。幹擾主要來自兩方麵:一種是WLAN設備間的幹擾,比如相鄰WLAN設備使用相同信道,會造成相互幹擾;另一種是WLAN設備和其他無線射頻之間的幹擾,比如WLAN設備使用的信道上有雷達信號則必須立即讓出該信道。
射頻工作的信道可以手工配置或者由係統自動選擇。
· 如果用戶配置了手工信道,所配置的信道將一直被使用而不能自動更改,除非發現雷達信號。如果因為發現雷達信號而進行信道切換,AP會在30分鍾後將信道切換回手工指定的信道,並靜默一段時間,如果在靜默時間內沒有發現雷達信號,則開始使用該信道;如果發現雷達信號,則再次切換信道。
· AP默認采用自動信道模式,隨機選擇工作信道。
射頻的最大傳輸功率隻能在射頻支持的功率範圍內進行選取,即保證射頻的最大傳輸功率在合法範圍內。射頻支持的功率範圍由國家碼、信道、AP型號、射頻模式、天線類型、帶寬等屬性決定,修改上述屬性,射頻支持的功率範圍和最大傳輸功率將自動調整為合法值。
如果先開啟功率調整,再配置功率鎖定,AC會自動將當前傳輸功率設置並鎖定為自動功率調整後的功率值,在AC重啟後,AP能繼續使用鎖定的功率調整值。
如果先配置功率鎖定命令,後開啟功率調整功能,由於功率已經被鎖定,功率調整功能不會運行,所以在開啟功率調整功能前,請確保功率沒有被鎖定。
功率鎖定後,如果信道發生調整,並且鎖定的功率值大於調整後使用信道支持的最大功率,設備會將功率值調整為信道支持的最大功率。
有關自動功率調整相關配置的詳細介紹請參見“網絡 > 無線配置 > 射頻資源 > 射頻優化”頁麵。
· 禁用速率:AP禁用的速率。
· 強製速率:客戶端關聯AP時,AP要求客戶端必須支持的速率。
· 支持速率:AP所支持的速率。客戶端關聯AP後,可以在AP支持的“支持速率集”中選用更高的速率發送報文。當受幹擾、重傳、丟包等影響較大時,AP會自動降低對客戶端的發送速率;當受影響較小時,AP會自動升高對客戶端的發送速率。
· 組播速率:AP向客戶端發送組播和廣播報文的速率。組播速率必須在強製速率中選取,且隻能配置一個速率值或由AP自動選擇合適的速率。
隻有2.4GHz射頻,才支持配置前導碼類型。
前導碼是數據報文頭部的一組Bit位,用於同步發送端與接收端的傳輸信號。前導碼的類型有兩種,長前導碼和短前導碼。短前導碼能使網絡性能更好,默認使用短前導碼。如果需要兼容網絡中一些較老的客戶端時可以使用長前導碼保持兼容。
天線發出的電磁波在介質中傳播的時候,隨著距離的增加以及周圍環境因素的影響,信號強度逐漸降低。電磁波的覆蓋範圍主要與環境的開放程度、障礙物的材質類型有關。設備在不加外接天線的情況下,傳輸距離約300米,若空間中有隔離物,傳輸大約在35~50米左右。
如果借助於外接天線,覆蓋範圍則可以達到30~50公裏甚至更遠,這要視天線本身的增益而定。
在WLAN環境中,AP通過不斷廣播Beacon幀來讓客戶端發現自己。AP發送Becaon幀時間間隔越小,AP越容易被客戶端發現,但AP的功耗越大。
當射頻模式為802.11g或802.11gn時,為了提高傳輸速率,可以通過開啟禁止802.11b客戶端接入功能來隔離低速率的802.11b客戶端的影響;當開啟禁止802.11b客戶端接入功能後,不允許客戶端以802.11b模式接入。
在無線環境中,為了避免衝突的產生,無線設備在發送數據前會執行衝突避免,即使用RTS/CTS(Request to Send/Clear to Send,請求發送/允許發送)幀或CTS-to-self(反身CTS)幀來清空傳送區域,取得信道使用權。但是如果每次發送數據前都執行衝突避免,則會降低過多的傳輸量,浪費了無線資源。因此,802.11協議規定僅當發送幀長超過RTS門限的幀時,需要執行衝突避免;幀長小於RTS門限的幀,則可以直接發送。
當網絡中設備較少時,產生幹擾的概率較低,可以適當增大RTS門限以減少衝突避免的執行次數,提高吞吐量。當網絡中設備較多時,可以通過降低RTS門限,增加衝突避免的執行次數來減少幹擾。
隻有當射頻模式為802.11g或802.11n(2.4GHz)時,才支持配置802.11g保護功能。
當網絡中同時存在802.11b和802.11g的客戶端,由於調製方式不同,802.11b客戶端無法解析802.11g信號,會導致802.11b與802.11g網絡之間彼此造成幹擾。802.11g保護功能用於避免幹擾情況的發生,通過使802.11g和802.11n設備發送RTS/CTS報文或CTS-to-self報文來取得信道使用權,確保802.11b客戶端能夠檢測到802.11g和802.11n客戶端正在進行數據傳輸,實現衝突避免。
開啟802.11g保護功能後,當AP在其工作信道上掃描到802.11b信號,則會在傳輸數據前通過發送RTS/CTS報文或CTS-to-self報文進行衝突避免,並通知客戶端開始執行802.11g保護功能;如果未檢測到802.11b信號,則不會采取上述動作。
當802.11b客戶端在開啟了802.11g或802.11n(2.4GHz)的AP上接入時,AP上的802.11g保護功能將自動開啟並生效。
幀的分片是將一個較大的幀分成更小的分片,每個分片獨立進行傳輸和確認。當幀的實際大小超過指定的分片門限值時,該幀將被分片傳輸。
在幹擾較大的無線環境,建議適當降低幀的分片門限值,增加幀的分片數量,則當傳輸受到幹擾時,僅需要重傳未成功發送的分片,從而提高吞吐量。
在無線網絡中傳輸的單播數據,必須得到接收端的應答,否則便認為傳送失敗。設備會對傳送失敗的幀進行重傳,如果在達到最大重傳次數時,仍然沒有傳送成功,則丟棄該幀,並將此狀況告知上層協議。
每個幀或幀片段都分別對應一個重傳計數器。無線設備上具有兩個重傳計數器:短幀重傳計數器與長幀重傳計數器。長度小於RTS門限值的幀視為短幀;長度超過RTS門限值的幀則為長幀。當幀傳送失敗,對應的重傳計數器累加,然後重新傳送幀,直至達到最大重傳次數。
區分短幀和長幀的主要目的是為了讓網絡管理人員利用不同長度的幀來調整重傳策略。由於發送長幀前需要執行衝突避免,因此長幀比短幀占用了更多的緩存空間和傳輸時間。在配置幀的最大重傳次數時,適當減少長幀的最大重傳次數,可以減少所需要的緩存空間和傳輸時間。
如果多個用戶登錄到AC設備上對某台AP配置802.11n功能,同一時間隻有一個用戶可以配置成功。
IEEE 802.11n協議的製定,旨在提供高帶寬、高質量的WLAN服務,使無線局域網達到以太網的性能水平。802.11n通過物理層和MAC(Media Access Control,媒體訪問控製)層的優化來提高WLAN的吞吐能力,從而提高傳輸速率。
802.11n的物理層建立在OFDM係統之上,采用MIMO(Multiple Input,Multiple Output,多輸入多輸出)、40MHz傳輸帶寬、Short GI(Short Guard Interval,短保護間隔)、STBC(Space-Time Block Coding,空時塊編碼)、LDPC(Low-Density Parity Check,低密度奇偶校驗)等技術使物理層達到高吞吐(High Throughput)的效果,並采用A-MPDU(Aggregate MAC Protocol Data Unit,聚合MAC協議數據單元)、A-MSDU(Aggregate MAC Service Data Unit,聚合MAC服務數據單元)、BA(Block Acknowledgment,塊確認)等技術,提高MAC層的傳輸效率。
802.11n標準中采用A-MPDU聚合幀格式,減少了每個傳輸幀中的附加信息,同時也減少了所需要的ACK幀的數目,從而降低了協議的負荷,有效的提高了網絡吞吐量。A-MPDU是將多個MPDU(MAC Protocol Data Unit,MAC協議數據單元)聚合為一個A-MPDU,這裏的MPDU為經過802.11封裝的數據報文。A-MPDU搶占一次信道並使用一個PLCP(Physical Layer Convergence Procedure,物理層彙聚協議)頭來提升信道利用率。一個A-MPDU中的所有MPDU必須擁有相同的QoS優先級,由同一設備發送,並被唯一的一個設備接收。
圖1-5 A-MPDU報文格式圖
A-MSDU技術是指把多個MSDU(MAC Service Data Unit,MAC服務數據單元)聚合成一個較大的載荷。目前,MSDU僅指Ethernet報文。通常,當AP或客戶端從協議棧收到MSDU報文時,會封裝Ethernet報文頭,封裝之後稱之為A-MSDU Subframe;而在通過射頻發送出去前,需要一一將其轉換成802.11報文格式。而A-MSDU技術旨在將若幹個A-MSDU Subframe聚合到一起,並封裝為一個802.11報文進行發送。從而減少了發送每一個802.11報文所需的PLCP Preamble、PLCP Header和802.11MAC Header的開銷,提高了報文發送的效率。
圖1-6 A-MSDU報文格式圖
A-MSDU是將多個MSDU組合在一起發送,這些MSDU必須擁有相同的QoS優先級,而且必須由同一設備發送,並被唯一的一個設備接收。當一個設備接收到一個A-MSDU時,需要將這個A-MSDU分解成多個MSDU後分別處理。
Short GI是802.11n針對802.11a/g所做的改進。射頻在使用OFDM調製方式發送數據時,整個幀是被劃分成不同的數據塊進行發送的,為了數據傳輸的可靠性,數據塊之間會有GI(Guard Interval,保護間隔),用以保證接收側能夠正確的解析出各個數據塊。無線信號的空間傳輸會因多徑等因素在接收側形成時延,如果後麵的數據塊發送的過快,會和前一個數據塊形成幹擾,GI就是用來規避這個幹擾的。802.11a/g的GI時長為800ns,在多徑效應不嚴重時,可以使用Short GI,Short GI時長為400ns,在使用Short GI的情況下,可提高10%的傳輸速率。另外,Short GI與帶寬無關,支持20MHz、40MHz帶寬。
802.11n引入了LDPC(Low-Density Parity Check,低密度奇偶校驗)機製,該機製通過校驗矩陣定義了一類線性碼,並在碼長較長時需要校驗矩陣滿足“稀疏性”,即校驗矩陣中1的個數遠小於0。在802.11n出現以前,所有以OFDM為調製方式的設備都使用卷積作為前向糾錯碼。802.11n引入了LDPC校驗碼,將傳輸的信噪比增加到了1.5到3dB之間,使傳輸質量得到提升。對LDPC的支持需要設備間的協商,以保證設備雙方都支持LDPC校驗。
802.11n引入了STBC(Space-Time Block Coding,空時塊編碼)機製,該機製可以將空間流編碼成時空流,是802.11n中使用的一個簡單的可選的發送分集機製。該機製的優點是不要求客戶端具有高的數據傳輸速率,就可以得到強健的鏈路性能。STBC是完全開環的,不要求任何反饋或額外的係統複雜度,但是會降低效率。
當非802.11n客戶端上線時,將使用基礎速率傳輸單播數據。當802.11n客戶端上線時,將使用MCS索引所代表的調製與編碼策略傳輸單播數據。
當未配置組播MCS索引時,802.11n客戶端和AP之間將使用組播速率發送組播數據;當配置了組播MCS索引且客戶端都是802.11n客戶端時,AP和客戶端將使用組播MCS索引所代表的調製與編碼策略傳輸組播數據。當配置了組播索引且存在非802.11n客戶端時,AP和客戶端將使用基礎模式的組播速率傳輸組播數據,即802.11a/b/g的組播速率。
需要注意的是:
· 組播MCS索引需要小於或等於最大基本MCS索引,最大基本MCS需要小於或等於最大支持MCS索引。
· 配置的802.11n基本MCS最大索引值index表示射頻的802.11n基本MCS的最大索引值,即該射頻的802.11n基本MCS集是0~index。
· 配置的802.11n支持MCS最大索引值index表示射頻的802.11n支持MCS的最大索引值,即該射頻的802.11n支持MCS集是0~index。
· 配置的802.11n組播MCS索引值index表示射頻發送802.11n組播報文使用的MCS索引。
開啟僅允許802.11n及802.11ac客戶端接入功能後,僅允許802.11n及802.11ac客戶端接入,不允許802.11a/b/g客戶端接入,可以隔離低速率的客戶端的影響,提高802.11n設備的傳輸速率。
802.11n沿用了802.11a/b/g的信道結構。20MHz信道劃分為64個子信道,為了防止相鄰信道幹擾,在802.11a/g中,需預留12個子信道,同時,需用4個子信道充當導頻(pilot carrier)以監控路徑偏移,因此20MHz帶寬的信道在802.11a/g中用於傳輸數據的子信道數為48個;而在802.11n中,隻需預留8個子信道,加上充當導頻的4個子信道,20MHz帶寬的信道在802.11n中用於傳輸數據的子信道數為52個,提高了傳輸速率。
802.11n將兩個相鄰的20MHz帶寬綁定在一起,組成一個40MHz通訊帶寬(其中一個為主信道,另一個為輔信道)來提高傳輸速率。
射頻的帶寬配置及芯片的支持能力決定了射頻工作在20MHz的帶寬還是工作在20/40MHz的帶寬。
MIMO是指一個天線采用多條流進行無線信號的發送和接收。MIMO能夠在不增加帶寬的情況下成倍的提高信息吞吐量和頻譜利用率。MIMO模式包括以下八種:
· 1x1:采用一條流進行無線信號的發送和接收。
· 2x2:采用兩條流進行無線信號的發送和接收。
· 3x3:采用三條流進行無線信號的發送和接收。
· 4x4:采用四條流進行無線信號的發送和接收。
· 5x5:配置Radio采用五條流發送和接收無線信號。
· 6x6:配置Radio采用六條流發送和接收無線信號。
· 7x7:配置Radio采用七條流發送和接收無線信號。
· 8x8:配置Radio采用八條流發送和接收無線信號。
支持流的數量與AP型號有關,請以設備的實際情況為準。
開啟綠色節能功能後,在沒有用戶與Radio關聯時,Radio將工作在1x1模式(僅采用一條流進行無線信號的發送和接收),節省用電量。
本功能所指的802.11n包括802.11n和802.11ac。
當網絡中同時存在802.11n和非802.11n的客戶端,由於調製方式不同,非802.11n客戶端無法解析802.11n信號,會導致非802.11n與802.11n網絡之間彼此造成幹擾。802.11n保護功能用於避免幹擾情況的發生,通過使802.11n設備發送RTS/CTS報文或CTS-to-self報文來取得信道使用權,確保非802.11n客戶端能夠檢測到802.11n客戶端正在進行數據傳輸,實現衝突避免。
開啟802.11n保護功能後,當AP在其工作信道上掃描到非802.11n信號,則會在傳輸數據前通過發送RTS/CTS報文或CTS-to-self報文進行衝突避免,並通知客戶端開始執行802.11n保護功能;如果未檢測到非802.11n信號,則不會采取上述動作。
當非802.11n客戶端在開啟了802.11n或802.11ac的AP上接入時,AP上的802.11n保護功能將自動開啟並生效。
· 本特性的支持情況與用戶選擇的AP型號有關,請以設備的實際情況為準。
· 本特性僅對802.11n及802.11ac模式的射頻生效。
開啟智能天線功能之後,AP能夠根據客戶端的當前位置和信道信息,自動調整信號的發送參數,使射頻能夠集中發送至接收方所處的位置,從而提高客戶端的信號質量和穩定性。
針對不同使用環境,本設備提供以下幾種智能天線策略:
· 自適應策略:對語音視頻等報文使用高可靠性策略,對其它報文使用高吞吐量策略。
· 高可靠性策略:優化噪聲影響,抵抗局部幹擾源,保證客戶端帶寬,降低客戶端下線幾率。本策略適用於對於帶寬穩定要求較高的環境。
· 高吞吐量策略:提高收發信號強度,增加吞吐量。本策略適用於對於性能要求較高的環境。
如果多個用戶登錄到AC設備上對某台AP配置802.11ac功能,同一時間隻有一個用戶可以配置成功。
802.11ac是802.11n的繼承者,它采用並擴展了源自802.11n的眾多概念,包括更寬的射頻帶寬(提升至160MHz)、更多的MIMO空間流(增加到8)、多用戶的MIMO、以及更高階的調製方式(達到256QAM),從而進一步提高了WLAN的傳輸速率。
當802.11ac客戶端上線時,將使用NSS(Number of Spatial Streams,空間流數)所對應的VHT-MCS索引所代表的調製與編碼策略傳輸單播數據。
當非802.11ac客戶端上線時,將使用基礎速率或MCS所代表的調製與編碼策略傳輸單播數據。
當未配置組播NSS時,802.11ac客戶端和AP之間將使用組播速率或組播MCS所代表的調製與編碼策略發送組播數據。
當配置了組播NSS且客戶端都是802.11ac客戶端時,AP和客戶端將使用VHT-MCS索引所代表的調製與編碼策略傳輸組播數據。
當配置了組播NSS且存在非802.11ac客戶端時,AP和客戶端將使用基礎模式的組播速率或MCS所代表的調製與編碼策略傳輸組播數據,即802.11a/b/g/n的組播速率。
需要注意的是:
· 組播NSS需要小於或等於最大基本NSS,最大基本NSS需要小於或等於最大支持NSS。
· 配置的802.11ac基本NSS最大數值number表示射頻的802.11ac最大基本NSS,即該射頻的802.11ac基本NSS是1~number。
· 配置的802.11ac支持NSS最大數值number表示射頻的802.11ac最大支持NSS,即該射頻的802.11ac支持NSS是1~number。
· 配置的802.11ac組播NSS數值number表示射頻發送802.11ac組播報文使用的NSS。配置的VHT-MCS索引值index表示射頻發送802.11ac組播報文使用的對應NSS的VHT-MCS索引。
開啟僅允許802.11ac客戶端接入功能後,僅允許802.11ac和802.11ax客戶端接入,不允許802.11a/b/g/n客戶端接入,可以隔離低速率的客戶端的影響,提高802.11ac和802.11ax設備的傳輸速率。
802.11ac將信道帶寬從802.11n的20MHz/40MHz提升到了80MHz。帶寬的提升帶來了可用數據子載波的增加。
802.11ac沿用了802.11n的信道帶寬劃定方式,通過將相鄰的信道合並得到更大帶寬的信道。在802.11ac中,可以將相鄰的兩個20Mhz信道合並得到帶寬為40Mhz的信道,也可以將兩個40Mhz帶寬的信道合並,得到帶寬為80Mhz的信道。
圖1-7 802.11ac信道帶寬劃定方式示意圖
如果多個用戶登錄到AC設備上對某台AP配置802.11ac功能,同一時間隻有一個用戶可以配置成功。
802.11ax采用了更高階的調製方式(達到1024-QAM)、多用戶的MIMO(包括MU-MIMO和UL MU-MIMO)、正交頻分多址技術(OFDMA技術)和SR空間服用技術,從而進一步提高了WLAN的傳輸速率。
當802.11ax客戶端上線時,將使用NSS(Number of Spatial Streams,空間流數)所對應的HE-MCS索引所代表的調製與編碼策略傳輸單播數據。
當非802.11ax客戶端上線時,將使用基礎速率或MCS所代表的調製與編碼策略傳輸單播數據。
當未配置組播NSS時,802.11ax客戶端和AP之間將使用組播速率或組播MCS所代表的調製與編碼策略發送組播數據。
當配置了組播NSS且客戶端都是802.11ax客戶端時,AP和客戶端將使用EH-MCS索引所代表的調製與編碼策略傳輸組播數據。
當配置了組播NSS且存在非802.11ax客戶端時,AP和客戶端將使用基礎模式的組播速率或MCS所代表的調製與編碼策略傳輸組播數據,即802.11a/b/g/n/ac的組播速率。
需要注意的是:
· 組播NSS需要小於或等於最大基本NSS,最大基本NSS需要小於或等於最大支持NSS。
· 配置的802.11ax基本NSS最大數值number表示射頻的802.11ax最大基本NSS,即該射頻的802.11ax基本NSS是1~number。
· 配置的802.11ax支持NSS最大數值number表示射頻的802.11ax最大支持NSS,即該射頻的802.11ax支持NSS是1~number。
配置的802.11ax組播NSS數值number表示射頻發送802.11ax組播報文使用的NSS。配置的EH-MCS索引值index表示射頻發送802.11ax組播報文使用的對應NSS的EH-MCS索引。
開啟僅允許802.11ax客戶端接入功能後,僅允許802.11ax客戶端接入,不允許802.11a/b/g/n/ac客戶端接入,可以隔離低速率的客戶端的影響,提高802.11ax設備的傳輸速率。
本功能支持控製指定的AP射頻在後續的某一時間段、每周的某幾天關閉射頻,以達到控製終端接入的目的。
設備支持兩種定時關閉射頻任務:
· 周期執行任務:每周的某幾天重複執行定時關閉射頻任務。
· 絕對時間執行任務:在未來的某一時間段一次性執行定時關閉射頻任務。
WLAN RRM(Radio Resource Management,射頻資源管理)是一種可升級的射頻管理解決方案,通過“采集(AP實時收集射頻環境信息)->分析(AC對AP收集的數據進行分析評估)->決策(根據分析結果,AC統籌分配信道和發送功率)->執行(AP執行AC設置的配置,進行射頻資源調優)”的方法,提供一套係統化的實時智能射頻管理方案,使無線網絡能夠快速適應無線環境變化,保持最優的射頻資源狀態。WLAN RRM主要通過信道調整和功率調整的方式來優化射頻的服務質量。
信道調整是指AC在調整周期到達時,通過計算信道質量,挑選出質量最優的信道應用到Radio上。影響信道質量的因素包括:
· 誤碼率:包括無線報文傳輸過程中物理層的誤碼率和CRC錯誤。
· 幹擾:802.11信號或非802.11信號對無線接入服務產生的影響。
· 信道使用率:射頻芯片處理大量無線報文的承載能力。
· 重傳:由於AP沒有收到ACK報文造成的數據重傳。
· 雷達信號:在工作信道上檢測到雷達信號。在這種情況下,AC會立即通知AP切換工作信道。
功率調整就是在整個無線網絡的運行過程中,AC能夠根據實時的無線環境情況,動態地調整Radio的發送功率,使Radio的發送功率在能夠覆蓋足夠範圍的情況下減少對其他Radio的幹擾。Radio的發送功率增加或減少取決於鄰居Radio數量等因素(鄰居Radio指的是一個Radio能探測到的、由同一AC管理的其他Radio)。
自動頻寬調整是指設備周期性地進行信道質量檢測,如果某射頻的鄰居Radio數量滿足一定的條件,將會自動增大或降低該射頻的頻寬。
由於WLAN工作在共享頻段,微波爐、無繩電話等設備都可能成為無線網絡潛在的幹擾源。為了解決上述問題,可以通過WSA(Wireless Spectrum Analysis,無線頻譜分析)功能,實現對網絡頻譜環境的實時分析,及時發現幹擾。頻譜分析具有以下作用:
· 識別幹擾設備類型:可識別出無線環境中的幹擾設備類型,並提供關於幹擾設備的詳細信息。
· 檢測信道質量:提供信道質量信息報表,計算出每個信道上幹擾設備的數量以及信道質量的平均值和最差值。
· 幹擾設備特征庫管理:用戶可以向AP下發不同的特征庫,便於AP識別幹擾設備。
· 規避幹擾源:在開啟RRM(Radio Resource Management,射頻資源管理)聯動功能後,當AC檢測到當前工作信道的質量低於要求的級別時,會評估所有可用信道的質量,如果發現有質量更好的信道,就會將工作信道切換到新的信道上。
網絡管理人員可以通過在AC上查看當前幹擾信息,或是在網管係統上查看實時頻譜數據圖,充分了解無線網絡運行情況,為快速診斷並製定排除幹擾源的行動策略提供了有力的支持。
AP可識別的幹擾設備類型取決於所加載的幹擾設備特征庫。AP接收到無線環境中的信號後,通過分析信號的跳頻間隔、脈衝周期等參數,在與幹擾設備特征庫中保存的設備信號信息進行匹配後,能夠識別出無線環境中可能存在的幹擾設備。請單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“監控 > 射頻監控 > 頻譜分析”,查看AP檢測到的幹擾設備信息。
頻譜分析會對當前工作信道及可用信道的質量進行檢測,計算出每個信道上的幹擾設備數量及信道質量的平均值和最差值。請單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“監控 > 射頻監控 > 頻譜分析”,查看AP檢測到的信道質量信息。
開啟RRM(Radio Resource Management,射頻資源管理)聯動功能後,當頻譜分析檢測到當前工作信道的質量低於要求的級別時,會主動通知RRM當前信道質量不佳,由RRM執行信道調整。
頻譜分析可以向網管係統發送兩種告警:
· 幹擾設備告警:檢測到幹擾設備時,AC會向網管係統發送設備發現告警;發現幹擾設備消失時,AC會向網管係統發送設備消失告警。
· 信道質量告警:檢測到信道質量低於指定門限值時,AC會向網管係統發送信道質量差的告警;信道質量恢複至門限值以上時,AC會向網管係統發送信道質量恢複的告警。
WLAN負載均衡用於在高密度無線網絡環境中平衡Radio的負載,充分地保證每個AP的性能和無線客戶端的帶寬。
啟動負載均衡的WLAN環境要求為:相互進行負載均衡的AP必須要連到同一AC上,並且客戶端能掃描到相互進行負載均衡的Radio,客戶端接入的SSID快速關聯功能處於關閉狀態。
目前,AC支持兩種類型的負載均衡:基於Radio的負載均衡和基於負載均衡組的負載均衡。
· 基於Radio的負載均衡是針對AC上的所有Radio進行的負載均衡。
· 基於負載均衡組的負載均衡可以限製負載均衡的範圍,在跨AP的多個Radio之間進行負載均衡。創建負載均衡組後,AC將以負載均衡組為單位,在各個組內的Radio間進行會話模式、流量模式或帶寬模式的負載均衡,沒有加入到任何負載均衡組的Radio不會參與負載均衡。
· 會話模式:當Radio上的在線客戶端數量達到或超過會話門限值並且與同一AC內其他Radio上的在線客戶端數量最小者的差值達到或超過會話差值門限值,Radio才會開始運行負載均衡。
· 流量模式:當Radio上的流量達到或超過流量門限值並且與同一AC內其他Radio上的流量最小者的差值達到或超過流量差值門限值,Radio才會開始運行負載均衡。
· 帶寬模式:當Radio上的帶寬達到或超過帶寬門限值並且與同一AC內其他Radio上的帶寬最小者的差值達到或超過帶寬差值門限值,Radio才會開始運行負載均衡。
· 負載均衡RSSI門限:在進行負載均衡計算時,一個客戶端可能會被多個Radio檢測到,如果某個Radio檢測到該客戶端的RSSI值低於設定值,則該Radio將判定該客戶端沒有被檢測到。如果隻有過載的Radio可以檢測到某客戶端,其他Radio由於檢測到該客戶端的RSSI值低於設定值,將判定該客戶端沒有被檢測到,則AC會通過讓過載的Radio減少拒絕該客戶端關聯請求的最大次數,增大該客戶端接入的概率。
· 設備拒絕客戶端關聯請求的最大次數:如果客戶端反複向某個Radio發起關聯請求,且Radio拒絕客戶端關聯請求次數達到設定的最大拒絕關聯請求次數,那麼該Radio會認為此時該客戶端不能連接到其它任何的Radio,在這種情況下, Radio會接受該客戶端的關聯請求。
在實際無線網絡環境中,有些客戶端隻能工作在2.4GHz頻段上,有些客戶端可以工作在2.4GHz頻段或者5GHz頻段,這有可能導致2.4GHz射頻過載,5GHz射頻相對空餘。在這種情況下,可以使用頻譜導航功能,將支持雙頻工作的客戶端優先接入5GHz射頻,使得兩個頻段上的客戶端數量相對均衡,從而提高整網性能。
如圖1-8所示,無線網絡中存在三個客戶端,AP上開啟5GHz射頻和2.4GHz射頻,Client1關聯到AP的5GHz射頻,Client2關聯到AP的2.4GHz射頻。AC上開啟頻譜導航功能後,當Client3準備接入無線網絡時,如果對5GHz射頻進行關聯,將直接關聯成功,如果對2.4GHz射頻進行關聯,將被AC拒絕。
在傳統無線網絡中,AP之間需要借助電纜,交換機等設備建立連接,成本較高,並且需要大量的時間完成部署。而在無線Mesh網絡中,AP之間可以直接建立無線連接,並且距離較遠的AP間還可以建立多跳的無線鏈路。無線Mesh網絡的優點包括:
· 用戶體驗好,對用戶來說無線Mesh網絡和傳統WLAN在應用上沒有區別。
WLAN Mesh網絡中的設備角色如下:
· 鄰居MP:具備成為對端MP的條件,隻是本端未與其建立Mesh鏈路。
· MAP(Mesh Access Point):同時提供Mesh服務和接入服務的MP。
· MPP(Mesh Portal Point):連接無線Mesh網絡和非Mesh網絡的MP。
Mesh Profile是指MP設備上Mesh協議處理能力的集合,Mesh Profile中主要包括Mesh ID、AKM(Authentication and Key Management,身份認證與密鑰管理)模式與鏈路保活報文的發送間隔。
兩個MP之間需要先發現鄰居並建立鄰居關係,而後才會發起建立Mesh鏈路。在鄰居發現階段,每個MP需要對比收到的Probe Request幀或Probe Response幀中攜帶的Mesh Profile信息與自身的配置是否吻合。
Mesh策略包含一係列影響鏈路建立與維護的屬性。例如,Mesh連接發起功能、探測請求發送間隔、鏈路速率模式、最大Mesh連接數等。將一個Mesh策略和一個MP的射頻綁定後,此Mesh策略裏的屬性將會影響此射頻上鏈路的建立和維護。
射頻上缺省綁定Mesh策略default_mesh_policy,該Mesh策略不允許進行刪除和修改。可以新建Mesh策略替換射頻上綁定的缺省策略。
MPP作為連接無線Mesh網絡和非Mesh網絡的MP,可能需要與大量MP建立Mesh鏈路,為減輕MPP設備負擔,可以通過配置MPP停止發送鄰居探測請求,使MPP不再發送鄰居探測請求來發現鄰居,而隻回複其它MP發送的鄰居探測請求。
配置鄰居白名單後,隻有某MP的MAC地址與鄰居白名單裏的MAC地址匹配,本端才會與該MP建立鄰居關係。如果沒有配置鄰居白名單,即允許和所有符合鄰居建立條件的MP建立鄰居關係。
組播傳輸的特點無法滿足某些對組播流有較高要求的應用,如高清視頻點播,這類應用對傳送時延不敏感,但要求報文流有較高完整性。為了滿足這些應用需求,可開啟組播優化功能,使AP向客戶端發送組播報文時,將組播數據報文轉換為單播數據報文,轉換後的無線單播數據報文不但具有重傳確認機製及更高速率,還具有Video的優先級,可以優先被發送。
組播優化功能通過組播優化表項來管理組播報文的轉發。組播優化表項以客戶端MAC地址為索引,記錄了客戶端加入的組播組、每個組播組下可接收的組播源、加入組的版本、加入組的模式等信息。
在組播優化表中,每個客戶端加入一個組播組即生成一條表項。如果客戶端以指定源的方式加入組播組,則加入的組播組以及每個指定的源均會生成一條表項。客戶端退出組播組或取消某個指定源時,組播優化表中會刪除對應的表項。
組播優化表項老化時間可控製組播優化表項的存活期,過長的老化時間占用係統資源時間過長,影響客戶端創建新的表項,過短的老化時間會造成表項的頻繁生成和老化。
組播優化策略定義了需要進行組播優化的無線客戶端的數量閾值以及超過閾值之後設備對發往無線客戶端的組播報文采取的處理方式。需要進行組播優化的客戶端數量超過閾值前,設備將組播報文轉換為單播報文轉發;客戶端數量超過閾值之後,設備支持以下幾種處理方式:
· 單播轉發:設備隨機選取N個(N為設置的閾值)客戶端進行單播轉發,而超出閾值的客戶端不會收到任何報文。
· 組播轉發:設備為所有客戶端進行組播轉發。
· 丟棄報文:設備直接將組播報文丟棄,不為任何一個客戶端發送報文。
如果不指定處理方式,設備默認的處理方式為單播轉發。
大量的組播優化表項會消耗係統資源,可通過設置組播優化表項的數量上限,來控製組播優化表的大小。
當組播優化表項的數量達到上限時,AP不再創建新的組播優化表項;當上限值被修改或者當前存在的表項因老化而被刪除時,AP會再次創建新的組播優化表項。
組播優化表中的表項數量會占用係統資源,用戶可以通過限製組播優化表中為單個客戶端維護的表項數量,來實現係統資源的合理劃分,避免一個客戶端創建過多的表項占用其它客戶端的資源。
IGMP報文的速率是指在一定時間內允許設備接收無線客戶端IGMP報文的最大數量。通過限製速率避免了設備在某一時間段處理大量來自無線客戶端的IGMP報文。對於超出限製數的報文,設備將會丟棄。
在AP的Radio接口上開啟探針功能後,AP通過對信道進行掃描,收集客戶端信息並生成客戶端表項,實現對客戶端的監測。開啟探針功能後,單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“網絡 > 監控 > 探針”,查看監測到的信息。
AP的Radio接口不能同時開啟WIPS功能和探針功能。
無線定位技術是通過監聽支持802.11或BLE(Bluetooth Low Energy,藍牙低功耗)技術的設備發送的無線報文,實現定位、追蹤和監測目標,可以應用於醫療監護、資產管理、物流等方麵,協助用戶高效地完成物資管理和監控。
無線定位係統由以下三類設備組成:
· 被定位的設備:可以向周圍發送無線報文的設備。其中,支持802.11技術的設備分為Tag(周期性發送802.11報文的小型無線設備)和MU(除Tag外的其他符合802.11技術的設備)兩類設備。
· 定位信息接收設備:符合802.11標準要求的AP或其它接收設備。
· 定位服務器:運行定位軟件的服務器。
定位信息接收設備將搜集到的定位信息發送到定位服務器,定位服務器通過軟件計算出被定位設備的位置信息。
無線定位的工作過程為:
(1) AP發現定位服務器
AP會根據配置的定位服務器地址發送收集到的定位信息。
(2) AP搜集定位信息
AP在收到由被定位設備發出的無線報文後,會將報文與搜集到的定位信息一起封裝為定位協議的協議報文(下文中簡稱為定位報文)發送給定位服務器。
(3) 定位服務器進行定位計算
定位服務器收到定位報文後,提取報文中的定位信息並按照定位算法進行計算,得到被定位設備的位置信息。
· 接收客戶端報文限速
開啟AP接收客戶端報文的限製速率功能後,AP將按照令牌桶算法對從定位設備接收到的報文進行速率限製。當某個定位設備以高於承諾信息速率的速率發送無線報文,並且令牌桶中的令牌已用完時,AP不會對超出的報文做定位相關處理,即不進行定位報文的封裝上報工作。使用本功能可以保障每個客戶端的定位信息都能平均地發送至定位服務器,也可以避免AP處理過多報文,從而保障AP的定位功能正常運行。
本功能僅在AeroScout定位方式和指紋定位方式下生效。如果同時開啟本功能和報文稀釋功能,將對稀釋後的報文進行速率限製。
· 發送定位報文限速
開啟AP發送定位報文的限製速率功能後,AP將按照令牌桶算法對發送的定位報文進行速率限製。當AP以高於承諾信息速率的速率發送定位報文,並且令牌桶中的令牌已用完時,AP將直接丟棄該定位報文。使用本功能可以避免定位報文流量過大對定位服務器造成流量衝擊,影響定位服務器的性能。
本功能僅在AeroScout定位方式和指紋定位方式下生效。
開啟定位保活功能後,AP會每隔15秒發送Hello報文給定位服務器,用於定位服務器確認AP是否在線。如果定位服務器超過30秒沒有收到來自AP的Hello消息或其它任何消息,則認為AP已失去連接,並采取相應的處理。
· 報文RSSI過濾
RSSI是AeroScout定位服務器和指紋定位服務器進行定位計算使用的主要元素之一。RSSI值越低,表示待定位設備距離AP越遠。通過配置報文RSSI過濾,可以讓AP僅對指定範圍內的設備進行定位,即不對報文RSSI值低於RSSI過濾門限的無線報文做定位報文的封裝和上報。
本功能僅在AeroScout定位方式和指紋定位方式下生效。
· 幀過濾
開啟忽略Beacon幀功能後,AP不會將從Beacon幀中獲取的定位信息上報給定位服務器,避免無線環境中大量的Beacon幀對定位服務器造成衝擊,影響定位服務器的性能。
本功能僅在AeroScout定位方式和指紋定位方式下生效。
由於AP需要將與自己關聯和非關聯的客戶端定位報文都發送給定位服務器,報文數量可能非常龐大。通過報文稀釋功能,可以有效減少AP向定位服務器發送的報文數量。報文稀釋功能是指AP每收到一定數量的報文後,才會向定位服務器發送一個報文。例如,將稀釋因子配置為100,則AP在收到100個來自同一客戶端的無線報文(不包括管理報文和廣播報文)後,才會將其封裝成定位報文並向定位服務器發送。
此外,在稀釋超時時間內,若AP收到的報文數量沒有達到稀釋因子數,則將最近接收到的無線報文發送給定位服務器,避免報文搜集周期過長,影響定位的準確性。
開啟AeroScout無線定位功能將觸發AP對所有支持的信道進行掃描,並將捕獲到的無線報文封裝成定位報文發送給AeroScout定位服務器。
使用AeroScout定位時,AP可以為報文封裝兩種時間戳:
· 絕對時間:自1970年以來到接收報文的時間。
· 相對時間:自AP係統啟動以來到接收報文的時間。
Tag設備發送的報文隻能封裝相對時間戳。MU設備發送的報文,對於某特定廠商的定位服務器隻能封裝絕對時間戳,否則隻能封裝相對時間戳。
定位服務器與AP進行報文交互的過程中,向AP的某個端口號發送報文,AP需要監聽該端口號,才能進行響應。
AeroScout定位分為動態定位和靜態定位,需要根據使用的AeroScout定位服務器是否支持向AP發起動態協商來選擇定位模式。
· 動態定位:該模式下,AP支持與AeroScout定位服務器進行動態協商,定位服務器在協商過程中會獲取AP的AeroScout定位版本、設備和狀態信息;AP也將從定位服務器獲取定位參數,包括Tag設備發送報文的目的MAC地址、報文稀釋參數、定位服務器的IP地址和端口號。完成上述協商過程後,定位服務器會向AP發送定位信息收集通知,AP收到通知後才會將收集的定位信息發送給定位服務器。
· 靜態定位:當使用的定位服務器不支持與AP進行動態協商時,需要選擇該模式。該模式下,AP僅接收來自AC的定位參數,因此需要在AC上配置AP進行定位所需的相關參數。靜態定位模式下,隻要AP獲取到定位服務器的IP地址和端口號,就可以向定位服務器發送定位報文。當使用的定位服務器不支持與AP進行動態協商時,需要選擇定位模式為靜態定位。
AeroScout動態定位模式下,當AP收到來自定位服務器的配置信息,會將定位服務器的IP地址及端口號保存到Flash中,用於AP在更換IP地址或重啟後主動通知定位服務器,以便定位服務器快速獲知並響應AP的變化。當AP收到定位服務器發送的配置消息時,AP將等待10分鍾後再更新Flash。如果在這10分鍾內收到新的配置消息,AP隻會刷新緩存,並繼續等待剩餘的時間之後,再將緩存中的信息保存到Flash中。因此,如果AP在收到首個配置消息後的10分鍾內發生IP地址變更或重啟,將無法通知定位服務器。
AP上報定位報文的模式分為本地轉發模式和集中轉發模式:
· 本地轉發模式:AP將定位信息封裝為定位報文後直接發送給定位服務器。
· 集中轉發模式:AP將定位信息封裝為定位報文後先發送給AC,再由AC將定位報文發送給定位服務器。
Tag設備和MU設備都發送802.11報文,其中Tag設備發送報文的目的MAC地址為設備廠家指定的組播MAC地址,將其配置並下發給AP後,AP才能識別報文來自Tag設備或MU設備,並將報文中的定位信息封裝為指定設備類型的定位報文後發送給定位服務器。
在AeroScout定位模式為靜態定位時,需要配置Tag設備的組播MAC地址。在AeroScout定位模式為動態定位時,此配置不生效。
如果未配置Tag設備的組播MAC地址,AP會認為所接收的802.11報文全部來自MU設備。
在AeroScout定位模式為靜態定位時,需要配置AeroScout定位服務器的IPv4地址和端口號。
定位服務器與AP進行報文交互的過程中,向AP的某個端口號發送報文,AP需要監聽該端口號,才能進行響應。
配置藍牙定位服務器的IPv4地址和端口號用於AP主動探知藍牙定位服務器,進行信息交互。
通過AP定位藍牙設備時,需要開啟AP向定位服務器實時上報鄰居信息功能,並配置實時定位的設備廠商前導碼。完成上述配置後,每當AP收到BLE通告,如果通告中攜帶的廠商前導碼和配置的實時定位的設備廠商前導碼相匹配,AP會將通告中攜帶的信息封裝為實時定位報文後發送給定位服務器,用於定位服務器對藍牙設備進行定位。
最多支持配置5個不同的設備廠商前導碼,並可以為不同的前導碼指定不同的藍牙實時定位服務器和實時定位報文的上報間隔。
當BLE定位報文的轉發模式為集中轉發模式且藍牙定位報文的上報格式為輕量級報文格式時,上報實時定位報文的時間間隔固定為1秒。
AP收到iBeacon設備發送的報文後,會將iBeacon設備添加到BLE鄰居列表,鄰居列表記錄著BLE鄰居的UUID、Major ID、Minor ID、最近一次通告的Tx Power以及RSSI。AP將鄰居列表上報給定位服務器後,定位服務器才能對iBeacon設備進行管理。管理員可開啟周期上報鄰居列表功能,並配置上報周期。
AP上報定位報文的模式分為本地轉發模式和集中轉發模式:
· 本地轉發模式:AP將定位信息封裝為定位報文後直接發送給定位服務器。
· 集中轉發模式:AP將定位信息封裝為定位報文後先發送給AC,AC會將來自多個AP的定位信息封裝為一個定位報文,再發送給定位服務器。
藍牙定位的報文格式包括以下兩種:
· 常規報文格式:適用於大部分場景,大部分第三方定位服務器僅支持該報文格式。
· 輕量級報文格式:在對流量敏感的場景,可以選用輕量級報文格式。為了減少帶寬占用,輕量級報文不僅壓縮了報文內容,而且還減少了報文數量,AP會等待一段時間將緩存的多個客戶端信息放在同一個輕量級報文中進行上報。
AP在將定位服務器的配置下發給iBeacon設備時,需要與iBeacon設備檢驗指令密碼,隻有密碼校驗成功,配置才能下發。因此,通過AP對iBeacon設備進行管理前,需要先配置與iBeacon設備的出廠指令密碼相同的缺省指令密碼。
如果AP在老化時間內沒有收到某個iBeacon設備發送的報文,則將該設備從鄰居列表中刪除,並向藍牙定位服務器發送該設備的老化通知。定位服務器收到通知後,會刪除對該設備的記錄,讓用戶及時發現電源耗盡或被移動的iBeacon設備。
可以將遠程定位服務器或者AC指定為CUPID定位服務器來處理定位計算。AC作為CUPID定位服務器時,定位報文上報模式必須為集中上報,且隻能定位已關聯客戶端,無法定位非關聯客戶端。
定位服務器與AP進行報文交互的過程中,向AP的某個端口號發送報文,AP需要監聽該端口號,才能進行響應。
如果AP上同時配置了接入功能和CUPID定位功能,則該AP需要開啟上報客戶端列表功能,其上關聯的客戶端才能被定位。開啟AP向定位服務器上報客戶端列表功能後,AP會按照配置的時間間隔向定位服務器定時發送該AP上關聯的客戶端列表。定位服務器將依據所有AP上報的客戶端列表來為列表中的每個客戶端選擇一組合適的測量AP。
非關聯客戶端,即沒有關聯到本AP的無線客戶端。開啟非關聯客戶端信息上報功能後,AP才會將非關聯客戶端的信息上報給定位服務器。非關聯客戶端的信息包括兩部分:一部分為從客戶端報文中獲取的客戶端MAC地址和RSSI信息;另一部分為非關聯客戶端定位測量報告,用於定位服務器定位客戶端。
AP上報定位報文的模式分為本地轉發模式和集中轉發模式:
· 本地轉發模式:AP將定位信息封裝為定位報文後直接發送給定位服務器。
· 集中轉發模式:AP將定位信息封裝為定位報文後先發送給AC,AC會將來自多個AP的定位信息封裝為一個定位報文,再發送給定位服務器。
CUPID定位的報文格式包括以下兩種:
· 常規報文格式:適用於大部分場景,大部分第三方定位服務器僅支持該報文格式。
· 輕量級報文格式:在對流量敏感的場景,可以選用輕量級報文格式。為了減少帶寬占用,輕量級報文不僅壓縮了報文內容,而且還減少了報文數量,AP會等待一段時間將緩存的多個客戶端信息放在同一個輕量級報文中進行上報。
配置指紋定位服務器的IPv4地址和端口號用於AP主動探知指紋定位服務器,進行信息交互。
定位服務器與AP進行報文交互的過程中,向AP的某個端口號發送報文,AP需要監聽該端口號,才能進行響應。
如果定位服務器需要自行從客戶端的無線報文中獲取定位信息,則需要開啟原始報文上報功能,AP會將接收到的無線報文和從報文中獲取到的定位信息一同封裝為定位報文發送給定位服務器。否則,AP僅將獲取到的定位信息發送給定位服務器。
如果定位服務器需要獲取更多的客戶端信息,則需要開啟MU上報功能,AP會將MU信息,包括MU的IP地址,發送速率等信息封裝在定位報文中發送給定位服務器。
AP上報定位報文的模式分為本地轉發模式和集中轉發模式:
· 本地轉發模式:AP將定位信息封裝為定位報文後直接發送給定位服務器。
· 集中轉發模式:AP將定位信息封裝為定位報文後先發送給AC,AC會將來自多個AP的定位信息封裝為一個定位報文,再發送給定位服務器。
指紋定位的報文格式包括以下三種:
· CUPID混合格式:使用CUPID非關聯終端報告的報文格式,僅上報客戶端的MAC地址和RSSI,在定位服務器僅需要獲取客戶端的MAC地址和RSSI時使用。
· 常規報文格式:適用於大部分場景,大部分第三方定位服務器僅支持該報文格式。
· 輕量級報文格式:在對流量敏感的場景,可以選用輕量級報文格式。為了減少帶寬占用,輕量級報文不僅壓縮了報文內容,而且還減少了報文數量,AP會緩存一段時間後再將多個客戶端信息放在同一個輕量級報文中進行上報。
物聯網定位用於定位手環、電子標簽。
配置物聯網定位服務器的IPv4地址和端口號用於AP主動探知定位服務器,進行信息交互。
Bonjour協議是蘋果公司開發的基於mDNS(Multicast DNS,組播域名)服務的零配置網絡協議。Bonjour協議致力於讓網絡配置更簡單,支持Bonjour協議的服務端設備能夠以組播方式發送服務信息,使局域網內的客戶端在無需獲取服務端設備信息的情況下,自動發現可提供服務的設備。
Bonjour協議僅定義了如何在VLAN內使用mDNS協議報文傳播服務信息,如果需要跨VLAN轉發mDNS協議報文,則必須在網絡中部署一台轉發設備,稱作Bonjour網關。除轉發mDNS報文外,Bonjour網關還能夠通過管理員設定的規則來管理客戶端和服務端設備,實現Bonjour協議在大規模網絡中的應用。
在網絡中部署Bonjour網關的優勢如下:
· 控製網絡中mDNS協議報文數量。
· 提供跨VLAN轉發mDNS協議報文的功能。
Bonjour網關的作用是查詢代理和響應代答。
當Bonjour網關發現客戶端查詢的服務資源表項中已經存在關於此服務的信息時,將直接向客戶端發送響應報文,稱為響應代答。
結合如圖1-9所示組網,Bonjour網關進行響應代答的過程如下:
(1) Apple TV和Printer發送Bonjour響應報文,在網絡中通告其支持的服務。
(2) Bonjour網關收到Apple TV和Printer發送的Bonjour響應報文後,就會建立Apple TV、Printer的Bonjour服務資源表項。
(3) Bonjour網關收到客戶端關於Apple TV或打印機服務的查詢報文。
(4) Bonjour網關直接回複響應報文給客戶端,客戶端收到響應後即可獲取提供Apple TV或打印機服務的設備信息。
圖1-9 Bonjour網關代答過程圖
在某些情況下,Bonjour網關上收到客戶端的組播查詢報文,在檢查Bonjour服務資源表項後發現Bonjour網關沒有獲取到客戶端請求的服務,此時,Bonjour網關需要對指定服務進行查詢代理和響應轉發。
結合如圖1-10所示組網,Bonjour網關進行查詢代理的過程如下:
(1) iPad客戶端發出一個對Printer的查詢報文,AP收到該報文後,經由CAPWAP隧道發送到Bonjour網關。
(2) Bonjour網關查找Bonjour服務資源表項,發現表項內沒有關於Printer的內容。Bonjour網關就會向配置的VLAN列表(在圖1-10中為VLAN 3和VLAN 4)轉發查詢請求。
(3) Printer收到Bonjour網關轉發的查詢報文後,回複響應報文。
(4) Bonjour網關將響應報文中的服務記錄到Bonjour服務資源表項。
(5) 記錄Bonjour服務資源表項之後,Bonjour網關會轉發響應報文給客戶端。
圖1-10 Bonjour網關查詢代理過程圖
Bonjour服務類型用於在Bonjour策略下實現對Bonjour服務的控製。設備上存在一些默認服務類型,用戶也可以創建新的Bonjour服務類型。在創建新的Bonjour服務類型時,需指定該服務類型所使用的協議及描述信息。
在Bonjour網關功能全局開啟並且主動查詢功能打開的情況下,激活Bonjour服務類型時,設備會執行一次對該服務類型的主動查詢操作。
在激活Bonjour服務類型時,可以指定該服務類型最多可學習到的SRV類型資源條目數,如不指定,則表示不對此進行限製。當服務類型未激活時,設備將會刪除該類型已學習到的所有服務資源。
表1-28 默認服務類型列表
|
服務類型 |
描述 |
|
afpovertcp |
AppleTalkFiling Protocol |
|
airplay |
Airplay |
|
airport |
Airport Base Station |
|
apple-sasl |
Apple Password Server |
|
daap |
Digital Audio Access Protocol |
|
dacp |
Digital Audio Control Protocol |
|
distcc |
Distributed Compiler |
|
dpap |
Digital Photo Access Protocol |
|
eppc |
Remote AppleEvents |
|
ftp |
File Transfer Protocol |
|
http |
Hypertext Transfer Protocol |
|
ica-networking |
Image Capture Sharing |
|
ichat |
iChat Instant Messaging Protocol |
|
ipp |
Internet Printing Protocol over HTTP |
|
ipps |
Internet Printing Protocol over HTTPS |
|
nfs |
Network File System |
|
pdl-stream |
PDL Data Stream |
|
printer |
Line Printer Daemon |
|
raop |
Remote Audio Output Protocol |
|
riousbprint |
Remote I/O USB Printer Protocol |
|
servermgr |
Server Admin |
|
ssh |
Secure Shell |
|
telnet |
Remote Login |
|
webdav |
WebDav File System |
|
workstation |
Workgroup Manager |
|
xserveraid |
Xerver RAID |
Bonjour策略用於實現對Bonjour服務和VLAN訪問權限的控製。在Bonjour策略中配置服務類型和服務VLAN後,將Bonjour策略應用到指定的位置(User Profile視圖、AP視圖、AP組視圖、接口視圖與無線服務模板視圖),便可以實現控製功能。
Bonjour網關會檢查客戶端請求的服務類型與Bonjour策略中配置的服務類型是否匹配,如不匹配就直接丟棄查詢報文。對於收到的響應報文,Bonjour網關會檢查服務類型、IP地址和實例名,Bonjour網關隻會轉發符合全部Bonjour策略配置的響應報文。
服務VLAN用來限製Bonjour服務所覆蓋的範圍,隻有當客戶端請求的Bonjour服務的VLAN在設備的服務VLAN列表中時,設備才會轉發查詢和響應報文。
可選參數access-vlan表示客戶端接入的VLAN,配置此參數表示Bonjour網關可以在客戶端接入的VLAN內轉發查詢和響應報文。
包過濾是指采用ACL規則對接口入方向或出方向的報文進行過濾,即對匹配上ACL規則的報文按照其中定義的匹配動作允許或拒絕通過,對未匹配上任何ACL規則的報文則按照指定的缺省動作進行處理。
QoS即服務質量。對於網絡業務,影響服務質量的因素包括傳輸的帶寬、傳送的時延、數據的丟包率等。在網絡中可以通過保證傳輸的帶寬、降低傳送的時延、降低數據的丟包率以及時延抖動等措施來提高服務質量。
QoS策略包含了三個要素:類、流行為、策略。用戶可以通過QoS策略將指定的類和流行為綁定起來,靈活地進行QoS配置。
類用來定義一係列的規則來對報文進行分類。
流行為用來定義針對報文所做的QoS動作。
策略用來將指定的類和流行為綁定起來,對符合分類條件的報文執行流行為中定義的動作。
設備支持基於接口應用QoS策略,對通過接口接收或發送的流量生效。接口的每個方向(出和入兩個方向)隻能應用一個策略。如果QoS策略應用在接口的出方向,則QoS策略對本地協議報文不起作用。一些常見的本地協議報文如下:鏈路維護報文等。
報文在進入設備以後,設備會根據映射規則分配或修改報文的各種優先級的值,為隊列調度和擁塞控製服務。
優先級映射功能通過報文所攜帶的優先級字段來映射其他優先級字段值,就可以獲得決定報文調度能力的各種優先級字段,從而為全麵有效的控製報文的轉發調度等級提供依據。
如果配置了優先級信任模式,即表示設備信任所接收報文的優先級,會自動解析報文的優先級或者標誌位,然後按照映射表映射到報文的優先級參數。
如果沒有配置優先級信任模式,並且配置了端口優先級值,則表明設備不信任所接收報文的優先級,而是使用端口優先級,按照映射表映射到報文的優先級參數。
按照接收端口的端口優先級,設備通過一一映射為報文分配優先級。
根據報文自身的優先級,查找優先級映射表,為報文分配優先級參數,可以通過配置優先級信任模式的方式來實現。
在配置接口上的優先級模式時,用戶可以選擇下列信任模式:
· Untrust:不信任任何優先級。
· Dot1p:信任報文自帶的802.1p優先級,以此優先級進行優先級映射。
· DSCP:信任IP報文自帶的DSCP優先級,以此優先級進行優先級映射。
報文在進入設備以後,設備會根據映射規則分配或修改報文的各種優先級的值,為隊列調度和擁塞控製服務。
優先級映射功能通過報文所攜帶的優先級字段來映射其他優先級字段值,就可以獲得決定報文調度能力的各種優先級字段,從而為全麵有效的控製報文的轉發調度等級提供依據。
設備中提供了多張優先級映射表,如果缺省優先級映射表無法滿足用戶需求,可以根據實際情況對映射表進行修改。
802.1X協議是一種基於端口的網絡接入控製協議,即在局域網接入設備的端口上對所接入的用戶和設備進行認證,以便控製用戶設備對網絡資源的訪問。
802.1X係統中包括三個實體:
· 客戶端:請求接入局域網的用戶終端,由局域網中的設備端對其進行認證。客戶端上必須安裝支持802.1X認證的客戶端軟件。
· 設備端:局域網中控製客戶端接入的網絡設備,位於客戶端和認證服務器之間,為客戶端提供接入局域網的端口,並通過與認證服務器的交互來對所連接的客戶端進行認證。
· 認證服務器端:用於對客戶端進行認證、授權和計費,通常為RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器。認證服務器根據設備端發送來的客戶端認證信息來驗證客戶端的合法性,並將驗證結果通知給設備端,由設備端決定是否允許客戶端接入。
在接入設備上,802.1X認證方法有兩種方式:
· CHAP或PAP認證方法。在這種方式下,設備對EAP認證過程進行終結,將收到的EAP報文中的客戶端認證信息封裝在標準的RADIUS報文中,與服務器之間采用PAP或CHAP方法進行認證。CHAP以密文的方式傳送密碼,而PAP是以明文的方式傳送密碼。
· EAP認證方法。在這種方式下,設備端對收到的EAP報文進行中繼,使用EAPOR(EAP over RADIUS)封裝格式將其承載於RADIUS報文中發送給RADIUS服務器。
端口支持以下兩種接入控製方式:
· 基於端口認證:隻要該端口下的第一個用戶認證成功後,其它接入用戶無須認證就可使用網絡資源,但是當第一個用戶下線後,其它用戶也會被拒絕使用網絡。
· 基於MAC認證:該端口下的所有接入用戶均需要單獨認證,當某個用戶下線後,也隻有該用戶無法使用網絡。
端口支持以下三種授權狀態:
· 強製授權:表示端口始終處於授權狀態,允許用戶不經認證即可訪問網絡資源。
· 強製非授權:表示端口始終處於非授權狀態。設備端不為通過該端口接入的客戶端提供認證服務。
· 自動識別:表示端口初始狀態為非授權狀態,僅允許EAPOL報文收發,不允許用戶訪問網絡資源;如果用戶通過認證,則端口切換到授權狀態,允許用戶訪問網絡資源。
該功能開啟後,設備會根據周期性重認證時間間隔定期向該端口在線802.1X用戶發起重認證,以檢測用戶連接狀態的變化、確保用戶的正常在線,並及時更新服務器下發的授權屬性(例如ACL、VLAN、User Profile)。
該功能開啟後,設備會根據周期發送握手請求報文時間間隔定期向通過802.1X認證的在線用戶發送握手報文,以定期檢測用戶的在線情況。如果設備連續多次沒有收到客戶端的響應報文,則會將用戶置為下線狀態。
在線用戶握手功能處於開啟狀態的前提下,還可以通過開啟在線用戶握手安全功能,來防止在線的802.1X認證用戶使用非法的客戶端與設備進行握手報文的交互,而逃過代理檢測、雙網卡檢測等iNode客戶端的安全檢查功能。
設備端主動觸發方式用於支持不能主動發送EAPOL-Start報文的客戶端,例如Windows XP自帶的802.1X客戶端。設備主動觸發認證的方式分為以下兩種:
· 單播觸發:當設備收到源MAC地址未知的報文時,主動向該MAC地址單播發送Identity類型的EAP-Request幀來觸發認證。若設備端在設置的時長內沒有收到客戶端的響應,則重發該報文。
· 組播觸發:設備每隔一定時間(缺省為30秒)主動向客戶端組播發送Identity類型的EAP-Request幀來觸發認證。
EAD(Endpoint Admission Defense,端點準入防禦)作為一個網絡端點接入控製方案,它通過安全客戶端、安全策略服務器、接入設備以及第三方服務器的聯動,加強了對用戶的集中管理,提升了網絡的整體防禦能力。但是在實際的應用過程中EAD客戶端的部署工作量很大,例如,需要網絡管理員手動為每一個EAD客戶端下載、升級客戶端軟件,這在EAD客戶端數目較多的情況下給管理員帶來了操作上的不便。
802.1X認證支持的EAD快速部署功能就可以解決以上問題,它允許未通過認證的802.1X用戶訪問一個指定的IP地址段(稱為Free IP),並可以將用戶發起的HTTP訪問請求重定向到該IP地址段中的一個指定的URL,實現用戶自動下載並安裝EAD客戶端的目的。
開啟了SmartOn功能的端口上收到802.1X客戶端發送的EAPOL-Start報文後,將向其回複單播的EAP-Request/Notification報文,並開啟SmartOn通知請求超時定時器定時器等待客戶端響應的EAP-Response/Notification報文。若SmartOn通知請求超時定時器超時後客戶端仍未回複,則設備會重發EAP-Request/Notification報文,並重新啟動該定時器。當重發次數達到規定的最大次數後,會停止對該客戶端的802.1X認證;若在重發次數達到最大次數之前收到了該Notification報文的回複報文,則獲取該報文中攜帶的Switch ID和SmartOn密碼的MD5摘要,並與設備本地配置的SmartOn的Switch ID以及SmartOn密碼的MD5摘要值比較,若相同,則繼續客戶端的802.1X認證,否則中止客戶端的802.1X認證。
802.1X SmartOn功能與在線用戶握手功能互斥,建議兩個功能不要同時開啟。
設備對用戶的管理是基於ISP(Internet Service Provider,互聯網服務提供者)域的,一個ISP域對應著一套實現AAA(Authentication、Authorization、Accounting,認證、授權、計費)的配置策略,它們是管理員針對該域用戶製定的一套認證、授權、計費方法,可根據用戶的接入特征以及不同的安全需求組合使用。
設備支持的認證方法包括:
· 不認證:對用戶非常信任,不對其進行合法性檢查,一般情況下不采用這種方法。
· 本地認證:認證過程在接入設備上完成,用戶信息(包括用戶名、密碼和各種屬性)配置在接入設備上。優點是速度快,可以降低運營成本;缺點是存儲信息量受設備硬件條件限製。
· 遠端認證(RADIUS):認證過程在接入設備和遠端的服務器之間完成,接入設備和遠端服務器之間通過RADIUS協議通信。優點是用戶信息集中在服務器上統一管理,可實現大容量、高可靠性、支持多設備的集中式統一認證。當遠端服務器無效時,可配置備選認證方式完成認證。
設備支持的授權方法包括:
· 不授權:接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的login用戶隻有係統所給予的缺省用戶角色,其中FTP/SFTP/SCP用戶的工作目錄是設備的根目錄,但並無訪問權限;認證通過的非login用戶,可直接訪問網絡。
· 本地授權:授權過程在接入設備上進行,根據接入設備上為本地用戶配置的相關屬性進行授權。
· 遠端授權(RADIUS):授權過程在接入設備和遠端服務器之間完成。RADIUS協議的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。RADIUS認證成功後,才能進行授權,RADIUS授權信息攜帶在認證回應報文中下發給用戶。當遠端服務器無效時,可配置備選授權方式完成授權。
設備支持的計費方法包括:
· 不計費:不對用戶計費。
· 本地計費:計費過程在接入設備上完成,實現了本地用戶連接數的統計和限製,並沒有實際的費用統計功能。
· 遠端計費(RADIUS):計費過程在接入設備和遠端的服務器之間完成。當遠端服務器無效時,可配置備選計費方式完成計費。
每個用戶都屬於一個ISP域。為便於對不同接入方式的用戶進行區分管理,提供更為精細且有差異化的認證、授權、計費服務,設備將用戶劃分為以下幾個類型:
· LAN接入用戶:例如802.1X認證用戶。
· 登錄用戶:例如Telnet、FTP、終端接入用戶(即從Console、AUX等接口登錄的用戶)。
· Portal用戶。
在多ISP的應用環境中,不同ISP域的用戶有可能接入同一台設備,因此係統中可以存在多個ISP域,其中包括一個缺省存在的名稱為system的ISP域。如果某個用戶在登錄時沒有提供ISP域名,係統將把它歸於缺省的ISP域。係統缺省的ISP域可以手工修改為一個指定的ISP域。
用戶認證時,設備將按照如下先後順序為其選擇認證域:接入模塊指定的認證域->用戶名中指定的ISP域->係統缺省的ISP域。其中,僅部分接入模塊支持指定認證域,例如802.1X認證。
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種分布式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的幹擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。
· RADIUS客戶端:一般位於接入設備上,可以遍布整個網絡,負責將用戶信息傳輸到指定的RADIUS服務器,然後根據服務器返回的信息進行相應處理(如接受/拒絕用戶接入)。
· RADIUS服務器:一般運行在中心計算機或工作站上,維護用戶的身份信息和與其相關的網絡服務信息,負責接收接入設備發送的認證、授權、計費請求並進行相應的處理,然後給接入設備返回處理結果(如接受/拒絕認證請求)。
RADIUS協議使用UDP作為封裝RADIUS報文的傳輸層協議,通過使用共享密鑰機製來保證客戶端和RADIUS服務器之間消息交互的安全性。
當接入設備對用戶提供AAA(Authentication、Authorization、Accounting,認證、授權、計費)服務時,若要對用戶采用RADIUS服務器進行認證、授權、計費,則作為RADIUS客戶端的接入設備上需要配置相應的RADIUS服務器參數。
設備重啟後,重啟前的原在線用戶可能會被RADIUS服務器認為仍然在線而短時間內無法再次登錄。為了解決這個問題,需要開啟Accounting-on功能。
開啟了Accounting-on功能後,設備會在重啟後主動向RADIUS服務器發送Accounting-on報文來告知自己已經重啟,並要求RADIUS服務器停止計費且強製通過本設備上線的用戶下線。若設備發送Accounting-on報文後RADIUS服務器無響應,則會在按照一定的時間間隔嚐試重發幾次。分布式設備單板重啟時,Accounting-on功能的實現需要和H3C IMC網管係統配合使用。
H3C的IMC RADIUS服務器使用session control報文向設備發送授權信息的動態修改請求以及斷開連接請求。設備上開啟接收session control報文的開關後,會打開知名UDP端口1812來監聽並接收RADIUS服務器發送的session control報文。
需要注意的是,該功能僅能和H3C的IMC RADIUS服務器配合使用。
BYOD(Bring Your Own Device)指攜帶自己的設備辦公,這些設備主要是指個人電腦、手機、平板電腦等終端設備。BYOD解決方案可以為企業和用戶提供基於用戶身份信息、終端信息、接入場景的認證、授權服務。
BYOD規則是用戶終端特征與用戶終端類型的一種映射關係。在用戶認證的過程中,接入設備獲取到用戶終端的相關特征(例如DHCP Option 55指紋信息)後,可根據BYOD規則識別出用戶所使用的終端類型。
目前BYOD支持的用戶終端特征包括:DHCP Option 55、HTTP User Agent和MAC地址。
· DHCP Option55:DHCP請求參數列表選項,終端利用該選項指明需要從服務器獲取哪些網絡配置參數。
· HTTP UserAgent:屬於HTTP請求報文頭域的一部分,用於攜帶終端訪問Web頁麵時所使用的操作係統(包括版本號)、瀏覽器(包括版本號)等信息。
· MAC地址:終端的MAC OUI信息或終端所屬的MAC地址範圍。
同一個特征隻能對應一種終端類型,但一種終端類型可以對應多個特征。不同終端特征的識別優先級由高到低為:DHCP Option 55指紋->HTTP User Agent指紋->MAC地址指紋。
係統中已經預定義了一係列常用的BYOD規則,用戶也可以根據實際組網需求通過命令行添加規則。
BYOD授權是指,用戶通過本地認證之後,設備通過匹配該用戶的終端特征來給用戶授予相關的網絡訪問權限。BYOD授權是通過用戶組實現的。每一個用戶都屬於一個用戶組,用戶組中定義了基於終端類型的授權屬性。用戶在認證過程中,接入設備通過BYOD規則來識別用戶的終端類型,並根據識別出的終端類型為其授權相應的授權屬性。
本地認證泛指由接入設備對用戶進行認證、授權和計費,進行本地認證的用戶的信息(包括用戶名、密碼和各種屬性)配置在接入設備上。
為使某個請求網絡服務的用戶可以通過本地認證,需要在設備上添加相應的用戶條目。所謂用戶,是指在設備上設置的一組用戶屬性的集合,該集合以用戶名唯一標識。
為了簡化用戶的配置,增強用戶的可管理性,引入了用戶組的概念。用戶組是一係列公共用戶屬性的集合,某些需要集中管理的公共屬性可在用戶組中統一配置和管理,屬於該用戶組的所有用戶都可以繼承這些屬性。
隨著無線智能終端的快速發展,對於來公司參觀的訪客,公司需要提供一些網絡服務。這些訪客成員通常為供應商、貴賓、聽眾或者是其他合作夥伴等。當訪客用自己的手機、筆記本、IPAD等終端接入公司網絡時,涉及到用戶賬號注冊,以及訪問權限控製的問題。為了簡化訪客的注冊和審批流程,以及對訪客權限的管理控製,提供了來賓用戶管理功能,具體包括:
· 手工添加來賓用戶:手工創建來賓用戶,並配置相應的來賓用戶屬性。
· 導入來賓用戶:將指定路徑CSV文件的來賓帳戶信息導入到設備上,並生成相應的來賓用戶。
· 批量創建來賓用戶:批量生成一係列來賓用戶,相應的用戶名和密碼按照指定規律生成。
· 導出來賓用戶:將設備上的來賓帳戶信息導出到指定路徑CSV文件中供其它設備使用。
· 來賓用戶的注冊與審批,具體過程如下:
(1) 來賓用戶通過設備推出的Portal Web頁麵填寫注冊信息,主要包括用戶名、密碼和電子郵箱地址,並提交該信息。
(2) 設備收到來賓用戶的注冊信息後,記錄該注冊信息,並向來賓管理員發送一個注冊申請通知郵件。
(3) 來賓管理員收到注冊申請通知郵件之後,在Web頁麵上對注冊用戶進行編輯和審批。
(4) 如果該注冊用戶在等待審批時間超時前被來賓管理員審批通過,則設備將自動創建一個來賓用戶,並生成該用戶的相關屬性。若該注冊用戶在等待審批時間超時後還未被審批通過,則設備將會刪除本地記錄的該用戶注冊信息。
(5) 來賓用戶創建之後,設備將自動發送郵件通知來賓用戶或來賓接待人用戶注冊成功,向他們告知來賓用戶的密碼及有效期信息。
(6) 來賓用戶收到注冊成功通知後,將可以使用注冊的帳戶訪問網絡。
· 來賓用戶過期自動刪除功能:設備定時檢查本地來賓用戶是否過期並自動刪除過期的用戶。
· 郵件通知功能:向來賓、來賓接待人、來賓管理員發送帳戶審批、密碼信息的郵件。
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法,它不需要用戶安裝任何客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後,即啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或者密碼。若該用戶認證成功,則允許其通過端口訪問網絡資源,否則該用戶的MAC地址就被設置為靜默MAC。在靜默時間內(可通過靜默定時器配置),來自此MAC地址的用戶報文到達時,設備直接做丟棄處理,以防止非法MAC短時間內的重複認證。
端口安全是一種基於MAC地址對網絡接入進行控製的安全機製,是對已有的802.1X認證和MAC地址認證的擴充。這種機製通過檢測端口收到的數據幀中的源MAC地址來控製非授權設備或主機對網絡的訪問,通過檢測從端口發出的數據幀中的目的MAC地址來控製對非授權設備的訪問。
端口安全的主要功能是通過定義各種端口安全模式,讓設備學習到合法的源MAC地址,以達到相應的網絡管理效果。啟動了端口安全功能之後,當發現非法報文時,係統將觸發相應特性,並按照預先指定的方式進行處理,既方便用戶的管理又提高了係統的安全性。這裏的非法報文是指:
· MAC地址未被端口學習到的用戶報文;
· 未通過認證的用戶報文。
Portal在英語中是入口的意思。Portal認證通常也稱為Web認證,即通過Web頁麵接受用戶輸入的用戶名和密碼,對用戶進行身份認證,以達到對用戶訪問進行控製的目的。在采用了Portal認證的組網環境中,未認證用戶上網時,接入設備強製用戶登錄到特定站點,用戶可以免費訪問其中的服務;當用戶需要使用互聯網中的其它信息時,必須在Portal Web服務器提供的網站上進行Portal認證,隻有認證通過後才可以使用這些互聯網中的設備或資源。
根據是否為用戶主動發起認證,可以將Portal認證分為主動認證和強製認證兩種類型:用戶可以主動訪問已知的Portal Web服務器網站,輸入用戶名和密碼進行認證,這種開始Portal認證的方式稱作主動認證;用戶訪問任意非Portal Web服務器網站時,被強製訪問Portal Web服務器網站,繼而開始Portal認證的過程稱作強製認證。
Portal認證是一種靈活的訪問控製技術,可以在接入層以及需要保護的關鍵數據入口處實施訪問控製,具有如下優勢:
· 可以不安裝客戶端軟件,直接使用Web頁麵認證,使用方便。
· 可以為運營商提供方便的管理功能和業務拓展功能,例如運營商可以在認證頁麵上開展廣告、社區服務、信息發布等個性化的業務。
· 支持多種組網型態,例如二次地址分配認證方式可以實現靈活的地址分配策略且能節省公網IP地址,可跨三層認證方式可以跨網段對用戶作認證。
ACL(Access Control List,訪問控製列表)是一或多條規則的集合,用於識別報文流。這裏的規則是指描述報文匹配條件的判斷語句,匹配條件可以是報文的源地址、目的地址、端口號等。設備依照這些規則識別出特定的報文,並根據預先設定的策略對其進行處理。
ACL包括表3-1所列的幾種類型,它們的主要區別在於規則製訂依據不同:
表3-1 ACL分類
|
ACL分類 |
規則製定依據 |
|
|
IPv4 ACL |
基本ACL |
依據報文的源IPv4地址製訂規則 |
|
高級ACL |
依據報文的源/目的IPv4地址、源/目的端口號、優先級、承載的IPv4協議類型等三、四層信息製訂規則 |
|
|
IPv6 ACL |
基本ACL |
依據報文的源IPv6地址製訂規則 |
|
高級ACL |
依據報文的源/目的IPv6地址、源/目的端口號、優先級、承載的IPv6協議類型等三、四層信息製訂規則 |
|
|
二層ACL |
依據報文的源/目的MAC地址、802.1p優先級、鏈路層協議類型等二層信息 |
|
一個ACL中可以包含多條規則,設備將報文按照一定順序與這些規則進行匹配,一旦匹配上某條規則便結束匹配過程。規則匹配順序有兩種:
· 配置順序:按照規則編號由小到大進行匹配。
· 自動排序:按照“深度優先”原則由深到淺進行匹配,見表3-2(自定義ACL不支持自動排序):
表3-2 各類型ACL的“深度優先”排序法則
|
ACL分類 |
規則製定依據 |
|
|
IPv4 ACL |
基本ACL |
(1) 先比較源IPv4地址的範圍,較小者(即通配符掩碼中“0”位較多者)優先 (2) 如果源IPv4地址範圍相同,再比較配置的先後次序,先配置者優先 |
|
高級ACL |
(3) 先比較協議範圍,指定有IPv4承載的協議類型者優先 (4) 如果協議範圍相同,再比較源IPv4地址範圍,較小者優先 (5) 如果源IPv4地址範圍也相同,再比較目的IPv4地址範圍,較小者優先 (6) 如果目的IPv4地址範圍也相同,再比較TCP/UDP端口號的覆蓋範圍,較小者優先 (7) 如果TCP/UDP端口號的覆蓋範圍無法比較,則比較配置的先後次序,先配置者優先 |
|
|
IPv6 ACL |
基本ACL |
(8) 先比較源IPv6地址的範圍,較小者(即前綴較長者)優先 (9) 如果源IPv6地址範圍相同,再比較配置的先後次序,先配置者優先 |
|
高級ACL |
(10) 先比較協議範圍,指定有IPv6承載的協議類型者優先 (11) 如果協議範圍相同,再比較源IPv6地址範圍,較小者優先 (12) 如果源IPv6地址範圍也相同,再比較目的IPv6地址範圍,較小者優先 (13) 如果目的IPv6地址範圍也相同,再比較TCP/UDP端口號的覆蓋範圍,較小者優先 (14) 如果TCP/UDP端口號的覆蓋範圍無法比較,則比較配置的先後次序,先配置者優先 |
|
|
二層ACL |
(15) 先比較源MAC地址範圍,較小者(即掩碼中“1”位較多者)優先 (16) 如果源MAC地址範圍相同,再比較目的MAC地址範圍,較小者優先 (17) 如果目的MAC地址範圍也相同,再比較配置的先後次序,先配置者優先 |
|
比較IPv4地址範圍的大小,就是比較IPv4地址通配符掩碼中“0”位的多少。
比較IPv6地址範圍的大小,就是比較IPv6地址前綴的長短:前綴越長,範圍越小。
比較MAC地址範圍的大小,就是比較MAC地址掩碼中“1”位的多少:“1”位越多,範圍越小。
每條規則都有自己的編號,這個編號可由手工指定或由係統自動分配。由於規則編號可能影響規則的匹配順序,因此當係統自動分配編號時,為方便後續在已有規則之間插入新規則,通常在相鄰編號之間留有一定空間,這就是規則編號的步長。係統自動分配編號的方式為:從0開始,按照步長分配一個大於現有最大編號的最小編號。比如原有編號為0、5、9、10和12的五條規則,步長為5,則係統將自動為下一條規則分配編號15。如果步長發生了改變,則原有全部規則的編號都將自動從0開始按新步長重新排列。比如原有編號為0、5、9、10和15的五條規則,當步長變為2後,這些規則的編號將依次變為0、2、4、6和8。
時間段(Time Range)定義了一個時間範圍。用戶通過創建一個時間段並在某業務中將其引用,就可使該業務在此時間段定義的時間範圍內生效。但如果一個業務所引用的時間段尚未配置或已被刪除,該業務將不會生效。
譬如,當一個ACL規則隻需在某個特定時間範圍內生效時,就可以先配置好這個時間段,然後在配置該ACL規則時引用此時間段,這樣該ACL規則就隻能在該時間段定義的時間範圍內生效。
時間段可分為以下兩種類型:
· 周期時間段:表示以一周為周期(如每周一的8至12點)循環生效的時間段。
· 絕對時間段:表示在指定時間範圍內(如2011年1月1日8點至2011年1月3日18點)生效時間段。
每個時間段都以一個名稱來標識,一個時間段內可包含一或多個周期時間段和絕對時間段。當一個時間段內包含有多個周期時間段和絕對時間段時,係統將先分別取各周期時間段的並集和各絕對時間段的並集,再取這兩個並集的交集作為該時間段最終生效的時間範圍。
VLAN組是一組VLAN的集合。VLAN組內可以添加多個VLAN列表,一個VLAN列表表示一組VLAN ID連續的VLAN。
無線報文捕獲是一種報文捕獲及分析特性,該特性能夠捕獲設備接口的入方向報文並對報文進行解析處理,便於用戶分析接口接收到的報文;還可以將報文數據存儲為pcap格式的文件,方便用戶後續查看。
目前支持以下兩種報文捕獲的方式:
· 本地報文捕獲
本地報文捕獲方式下,設備將捕獲的報文自動上傳到FTP服務器。
· 遠程報文捕獲
遠程報文捕獲方式下,設備與第三方報文捕獲軟件Wireshark客戶端建立連接,並將捕獲的報文發送給Wireshark客戶端,供用戶在Wireshark客戶端上查看。Wireshark客戶端連接到AP的RPCAP服務端口,就可以獲取到指定的Radio口捕獲的從客戶端發往AP的報文。
無線報文捕獲可以使用捕獲過濾表達式指定捕獲過濾規則,對進入指定物理接口的報文進行過濾,滿足捕獲過濾規則的報文則被捕獲。捕獲過濾規則由關鍵字、邏輯操作符、運算操作符和比較操作符等組合而成。有關無線報文捕獲更多規則的詳細介紹,請參見網址:http://wiki.wireshark.org/CaptureFilters。
捕獲過濾規則使用的關鍵字分為常量關鍵字和變量關鍵字。
常量關鍵字是固定的字符串,可以分為以下幾類:協議類型、傳輸方向和傳輸方向的類型等。
表4-1 常量關鍵字
|
常量關鍵字類型 |
描述 |
關鍵字 |
|
協議 |
捕獲指定的協議報文。如果沒有指明協議類型,默認捕獲所有Packet Capture支持的協議 |
支持的協議有:ip,ip6,arp,tcp,udp,icmp等 |
|
報文傳輸方向 |
捕獲指定傳輸方向的報文。如果沒有指定本關鍵字,默認報文傳輸方向為源或目的方向 |
· src:表示源方向 · dst:表示目的方向 · src or dst:表示源或目的方向 |
|
報文傳輸方向類型 |
捕獲指定的報文傳輸方向類型的報文。如果沒有指定本類關鍵字,默認報文傳輸方向類型為主機 |
· host:表示主機 · net:表示網段 · port:表示端口號 · portrange:表示端口號範圍 |
|
特殊關鍵字 |
- |
· broadcast:表示捕獲廣播報文 · multicast:表示捕獲組播報文、廣播報文 · less:表示小於等於 · greater:表示大於等於 · len:表示報文長度 · vlan:表示捕獲VLAN報文 |
變量關鍵字形式固定,但內容可變。捕獲過濾規則的變量關鍵字不可以單獨使用,其前需要使用常量關鍵字對其進行修飾。
需要注意的是,所有的協議類型常量關鍵字、broadcast和multicast關鍵字不能對變量關鍵字進行修飾。其它的常量關鍵字不可單獨使用,其後需要使用變量關鍵字。
表4-2 變量關鍵字
|
變量關鍵字類型 |
舉例 |
|
整型 |
將整型用二進製、八進製、十進製或十六進製形式表示。例如:port 23,表示端口號為23 |
|
整型範圍 |
將整型範圍用二進製、八進製、十進製、十六進製形式和“-”表示。例如:portrange 100-200,表示端口號範圍為100到200 |
|
IPv4地址 |
使用點分十進製格式表示。例如:src 1.1.1.1,表示源主機IPv4地址是1.1.1.1(在沒有指定報文傳輸方向類型時,報文傳輸方向類型默認為host) |
|
IPv6地址 |
使用冒號分十六進製格式表示。例如:dst host 1::1,表示報文的目的主機IPv6地址是1::1 |
|
IPv4網段 |
使用IPv4地址和掩碼或者IPv4網絡號表示。以下兩種表達式等價: · src 1.1.1,表示源主機的IPv4網段為1.1.1 · src net 1.1.1.0/24,表示源主機的IPv4網段為1.1.1.0/24 |
|
IPv6網段 |
使用IPv6地址和網絡前綴表示。例如:dst net 1::/64,表示目的IPv6網段為1::/64 · 需要注意的是,指定IPv6網段變量關鍵字時,必須指定net常量關鍵字 |
邏輯操作符的邏輯運算順序為從左到右,下表為邏輯操作符的分類舉例。
表4-3 邏輯操作符
|
邏輯操作符 |
描述 |
|
!或者not |
非操作符。表示對捕獲過濾規則取反操作 |
|
&&或者and |
與操作符。表示連接多個捕獲過濾規則。當此操作符連接多個過濾規則時,報文若符合此操作符連接的全部過濾規則,才會過濾成功,否則,過濾失敗。 |
|
||或者or |
或操作符。表示對多個捕獲過濾規則進行選擇。當此操作符連接多個過濾規則時,報文若不符合此操作符連接的全部過濾規則,才會過濾失敗,否則,過濾成功。 |
其中非操作符優先級最高,與操作符和或操作符的優先級相同。
表4-4 運算操作符
|
運算操作符 |
描述 |
|
+ |
加法運算符,用來將其兩側的值加到一起 |
|
- |
減法運算符,用來將它前麵的數值中減去它後麵的數值 |
|
* |
乘法運算符,用來將其兩側的值相乘 |
|
/ |
除法運算符,用來將其左邊的值被右邊的值除 |
|
& |
按位與,用來將其兩側的數值逐位進行比較產生一個新值。對於每一位,隻有兩個操作數的對應位都為1時結果才為1 |
|
| |
按位或,用來將其兩側的操作數逐位進行比較產生一個新值。對於每一位,如果其中任意操作數中對應的位為1,那麼結果位就為1 |
|
<< |
按位左移,用來將其左側操作數的每位向左移動,移動的位數由其右側操作數指定 |
|
>> |
按位右移,用來將其左側操作數的每位向右移動,移動的位數由其右側操作數指定 |
|
[ ] |
取位運算符,與協議類型關鍵字結合使用。例如:ip[6],表示IP報文偏移6個字節後,取得的一個字節的值 |
下表為比較操作符的分類舉例。
表4-5 比較操作符分類
|
比較操作符 |
描述 |
|
= |
相等,判斷兩側操作數是否相等。例如:ip[6]=0x1c,表示捕獲IPv4報文數據域偏移6字節,取得的一個字節值為0x1c的報文 |
|
!= |
不等,判斷兩側操作數是否不等。例如:len!=60,表示捕獲報文長度不等於60字節的報文 |
|
> |
大於,判斷左側操作數大於右側操作數。例如:len>100,表示捕獲報文長度大於100字節的報文 |
|
< |
小於,判斷左側操作數小於右側操作數。例如:len<100,表示捕獲報文長度小於100字節的報文 |
|
>= |
大於等於,判斷左側操作數大於等於右側操作數;與常量關鍵字greater等價。例如:len>=100,表示捕獲報文長度大於等於100字節的報文 |
|
<= |
小於等於,判斷左側操作數小於等於右側操作數;與常量關鍵字less等價。例如:len<=100,表示捕獲報文長度小於等於100字節的報文 |
捕獲過濾表達式由關鍵字、邏輯操作符、運算操作符和比較操作符之間的多種組合而成。以下為典型捕獲過濾表達式:
由關鍵字和邏輯運算符組合的捕獲過濾表達式。例如:not port 23 and not port 22,表示捕獲端口號既不是23,又不是22的報文;port 23 or icmp,表示捕獲端口號是23或icmp協議的報文。
由邏輯操作符連接的多個變量關鍵字,可以使用同一個常量關鍵字進行修飾(就近原則),例如:src 192.168.56.1 or 192.168.27,表示捕獲的源IPv4地址為192.168.56.1或者源IPv4網段為192.168.27的報文。上述表達式與“src 192.168.56.1 or src 192.168.27”等價。
由關鍵字、運算操作符和比較操作符組合的捕獲過濾表達式。其中,expr是算術表達式;relop為比較操作符。例如:len+100>=200,表示捕獲長度大於等於100字節的報文。
由協議類型關鍵字和運算操作符“[ ]”組合的捕獲過濾表達式。其中,proto表示協議類型,expr為算術表達式,表示偏移量,size為整數,表示字節個數,缺省值為1。proto [ expr:size ]的返回值為從proto協議報文數據區域起始位置,偏移expr個字節開始,取size個字節的數據。例如: ip[0]&0xf != 5,表示捕獲第一個字節與0x0f按位相與得到的值不是5的IP報文。
expr:size也可以使用名字表示。例如:icmptype表示ICMP報文的類型域,則表達式:icmp[icmptype]=0x08,表示捕獲icmp的type字段的值為0x08的報文。
由關鍵字vlan,邏輯操作符等組合的捕獲過濾表達式。其中,vlan_id為整型,表示VLAN編號。例如,vlan 1 and ip6,表示捕獲VLAN編號為1的IPv6報文。
需要注意的是:
· 如果用戶需要對帶VLAN的報文進行捕獲過濾,必須使用此類捕獲過濾表達式且關鍵字vlan要在其它捕獲過濾條件之前指定,否則不能正常過濾。例如:icmp,表示捕獲不帶vlan的icmp報文。
· 如果捕獲過濾規則之前沒有指定vlan,則認為這些捕獲過濾規則隻對不帶vlan的報文進行捕獲過濾,即對帶vlan的報文不捕獲。例如:
¡ !tcp and vlan 1:表示捕獲不帶vlan標記的tcp報文以外的且屬於vlan 1的報文。
¡ icmp and vlan 1:icmp表示捕獲不帶vlan標記的icmp協議報文,而vlan 1表示捕獲vlan標記為1的報文,所以該捕獲過濾表達式前後矛盾,因此不會收到任何報文,對於此類捕獲過濾規則,隻要沒有語法錯誤,命令行均會下發成功,用戶需要自己保證邏輯的正確性。
RF Ping即無線鏈路質量檢測,AP根據客戶端上線時協商的速率集,以每個速率發送5個空數據報文進行鏈路質量檢測。AP根據客戶端的響應報文可以獲取AP客戶端之間的無線鏈路質量信息,如信號強度、報文重傳次數、RTT(Round-Trip Time,往返時間)等。
無線鏈路質量檢測的超時時間為10秒,如果AP在超時時間內沒有完成鏈路質量檢測,將無法得到鏈路質量檢測結果。
係統提供了診斷信息收集功能,便於用戶對錯誤進行診斷和定位。.
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
