智慧园区WLAN改造工程技术建议书

1、PAGE 智慧园区WLAN改造工程技术建议书目 录 TOC o 1-3 h z u HYPERLINK l _Toc6516779 一、无线局域网概述 PAGEREF _Toc6516779 h 1 HYPERLINK l _Toc6516780 二、园区WLAN网络建设需求分析 PAGEREF _Toc6516780 h 2 HYPERLINK l _Toc6516781 三、园区WLAN网络建设方案 PAGEREF _Toc6516781 h 2 HYPERLINK l _Toc6516782 2.1园区WLAN建设方案设计原则 PAGEREF _Toc6516782 h 2 HYPERL

2、INK l _Toc6516783 2.2园区WLAN建设方案总体拓扑 PAGEREF _Toc6516783 h 3 HYPERLINK l _Toc6516784 2.3园区WLAN建设方案具体方案 PAGEREF _Toc6516784 h 4 HYPERLINK l _Toc6516785 2.4 设备数量 PAGEREF _Toc6516785 h 6 HYPERLINK l _Toc6516786 2.5供电问题 PAGEREF _Toc6516786 h 6 HYPERLINK l _Toc6516787 2.6认证问题 PAGEREF _Toc6516787 h 6 HYPER

3、LINK l _Toc6516788 2.7 园区无线网络规划 PAGEREF _Toc6516788 h 7 HYPERLINK l _Toc6516789 2.7.1 采用802.11n技术进行建设 PAGEREF _Toc6516789 h 7 HYPERLINK l _Toc6516790 2.7.2 频率规划 PAGEREF _Toc6516790 h 8 HYPERLINK l _Toc6516791 2.7.3 频率复用 PAGEREF _Toc6516791 h 9 HYPERLINK l _Toc6516792 2.7.4 AP容量规划 PAGEREF _Toc6516792

4、 h 10 HYPERLINK l _Toc6516793 三H3C 本次WLAN网络建设的优点 PAGEREF _Toc6516793 h 11 HYPERLINK l _Toc6516794 3.1 接入速率的增高 PAGEREF _Toc6516794 h 11 HYPERLINK l _Toc6516795 3.2 覆盖能力增加 PAGEREF _Toc6516795 h 11 HYPERLINK l _Toc6516796 3.3 安全能力强 PAGEREF _Toc6516796 h 17 HYPERLINK l _Toc6516797 3.3.1 多业务的安全性 PAGEREF

5、_Toc6516797 h 17 HYPERLINK l _Toc6516798 3. 4 多业务QOS支持 PAGEREF _Toc6516798 h 23 HYPERLINK l _Toc6516799 3. 5 管理维护的便捷 PAGEREF _Toc6516799 h 25 HYPERLINK l _Toc6516800 3.5.1 AP零配置与IPV6支持 PAGEREF _Toc6516800 h 25 HYPERLINK l _Toc6516801 3.6 实现 AP间无线漫游 PAGEREF _Toc6516801 h 31 HYPERLINK l _Toc6516802 3.

6、7 冗余备份的实现 PAGEREF _Toc6516802 h 33 HYPERLINK l _Toc6516803 四、 H3C公司总体描述 PAGEREF _Toc6516803 h 34一、无线局域网概述无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案，使用WLAN网络实现数据传输具有以下显著特点：简易性：WLAN网络传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；综合成

7、本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和企业内部Intranet相连，从体系结构上节省了协议转换器等相关设备；扩展能力强：WLAN网络系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；随着WLAN技术的快速发展和不断成熟，目前在国内外已经具有较多的政府机构使用WLAN技术布置无线城域网，进行承载部分政府业务，诸如：电子政备、消防、公安信息等等，如：美国费城、荷兰阿姆斯特丹等。无线局

8、域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP（即“胖”AP），每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和 HYPERLINK /security t _blank 安全性以及对有线 HYPERLINK /elink t _blank 网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取

9、读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于X86架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP（即“瘦”AP）的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。FA

10、T AP与FIT AP两种组网方案对比二、园区WLAN网络建设需求分析园区按照国家电网要求，业务网络必须和互联网络进行隔离，断开业务网络与互联网的物理与逻辑连接，业务网形成安全的信息内网，信息外网与互联网络进行连接，满足日常外部邮件收发、WEB信息发布及部分公开网上业务。三、园区WLAN网络建设方案2.1园区WLAN建设方案设计原则1）综合考虑各种因素的情况下，选择802.11n技术进行无线网络建设，达到300M传输性能；2）充分考虑WLAN系统的信号强度和覆盖范围。WLAN系统在弱信号情况下表现为速率明显下降，直至无法连接。同时，由于本次WLAN项目基本为室内覆盖，信号强度亦不能太大，否则也

11、会造成AP间的信号干扰。3）WLAN系统由于采用多用户共享带宽和冲突避免机制，在用户太多的情况下会导致冲突概率明显增加，速率下降，延迟增加。因此，在系统设计中要充分考虑用户容量需求；4）充分尊重无委会规定（信部无2002353号），室内天线增益10dBi时，最大功率20 dBm（100mw），外部的调整或控制装置仅用于在型号核准的技术指标范围内进行调整或控制。2.2园区WLAN建设方案总体拓扑园区是集团的办公所在地，办公人数较多、位置重要。本次网络设计充分考虑工程全面覆盖、管理便捷以及办公人员的安全接入。组网拓扑如下：图1 园区WLAN建设方案总体拓扑本次方案采用的是Fit AP的方案进行组网

12、，布设的范围为园区办公楼，当前主要考虑下图标注的两栋办公楼：本次采用AP部署在吊顶，通过PoE交换机进行供电的方案 。AP通过MIMO天线提供高达300M的接入速率，采用千兆PoE交换机提供远程供电以及数据信号的接入。2.3园区WLAN建设方案具体方案本次园区办公楼建设时 采用连廊的方式建设，中空，内部一圈为办公室，外部一圈为测试室或会议室。考虑到测试室人员较多，对于无线接入负荷较大，因此在测试室主要以有线部署外网为主，无线信号通过走廊上信号泄露进行薄覆盖。无线信号主要对内部一圈的办公室进行覆盖。考虑到办公室人员较少（），每个办公室内光纤点位为一个，办公人员12人，AP如果部署在办公室内部，一

13、来信号覆盖不均匀，二来成本有较大增加，因此综合各种原因，本次方案选择在走廊中进行AP的部署，每个AP覆盖3间房间，并且信号可泄露至测试室以及办公室，办公室办公人员也可以在使用有线办公的同时，采用无线接入。各个楼层WLAN系统配置图如下，红色部分为本次WLAN部署大概位置。以三层为例：因为本次WLAN的建设采用的是802.11n技术进行，802.11n拥有2.4G和5G两个频段，比802.11g 2.4G的互不干扰频段更多，因此在本次方案中，建议使用两个频段同时开启的方案：1）使用有两个射频卡的802.11n AP设备；2）其中一个射频卡启用2.4G频段，向下兼容802.11b/g模式，使原有8

14、02.11b/g网卡用户能够接入WLAN网络；3）考虑到从2007年起，以Intel为首的芯片商已经逐渐推出802.11n无线网卡芯片，包含Intel WiFi Link 4965AGN、Intel WiFi Link 5100、Intel WiFi Link 5300、Intel Centrino Advanced-N 6200、Intel Centrino Ultimate-N 6300等网卡，到2009年初，基本发货的Intel 笔记本电脑已经基本标配802.11n网卡，电脑城的11n网卡和11g网卡价差已经不到10% ，因此11n当前普及率非常高，针对11n AP，考虑开启另一个射频卡

15、为only 11n模式，采用5G频段，互不干扰频段更多，干扰更少，信号质量更好，仅允许11n 模式接入，保障更高的接入速率。2.4 设备数量各楼层AP分布数量如下（以3层为例）：楼层AP型号接入方式数量（个）3FWA2620i-AGN（100MW）放装12无线控制器（以3层为例）：AC型号管理AP数量（个）台数S7500E 插卡10242（考虑冗余备份）2.5供电问题由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整,考虑到实际维护的便利，考虑基于标准的802.3at实现对AP的供电。通过采用POE交换机通过以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的

16、要求。2.6认证问题用户使用portal认证的过程如图所示：PORTAL认证流程示意图接入AP的无线终端采用portal模式，首先接入AP的客户端通过portal认证输入用户名、密码后客户端发起EAP报文至无线控制器，在无线控制器上终结EAP报文，然后从无线控制器经以太网交换机发起Raduis报文至EAD服务器，由EAD服务器来验证用户名、密码是否匹配，在认证通过以后由EAD服务器下发Raduis报文至无线控制器通知该用户认证通过，无线控制器中再将相对应的逻辑端口打开，允许用户上网。2.7 园区无线网络规划2.7.1 采用802.11n技术进行建设IEEE 802.11n技术主要依靠物理层和M

17、AC层的技术改进来实现速率的提升。主要应用到的技术包含如下：1、MIMO，多入多出，在链路的发送端和接收端都采用多副天线，是将多径传播变为有利因素，从而在不增加带宽的情况下，成倍地提高通信系统的容量和频谱利用率，以达到WLAN系统速率的提升。2、双频带 (支持20/40M带宽)，通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽，在实际工作时可以作为两个20MHz的带宽使用，收发数据时既可以以40MHz的带宽工作，也可以以单个20MHz带宽工作，从而将速率提高一倍。3、Short Guard Interval(GI)，短保护间隔，射频芯片在使用OFDM调制方式发送数据时，整个帧是被

18、划分成不同的数据块进行发送的，为了数据传输的可靠性，数据块之间会有GI，用以保证接收侧能够正确的解析出各个数据块。无线信号在空间传输会因多径等因素在接收侧形成时延，如果后面的数据块发送的过快的话，会和前一个数据块的形成干扰，而GI就是用来规避这个干扰的。11a/g的GI时长为800us，而Short GI时长为400us，在使用Short GI的情况下，可提高10%的速率。4、Frame Aggregation，帧聚合，通过把多个待发送的载荷聚合到一起，一次性发送，减小了多次报文发送所需的额外协议负荷，从而提高吞吐。2.7.2 频率规划目前针对WLAN来讲，2.4G具有3具不重叠的信道，针对5

19、.8G具有5个不重叠信道，网络覆盖时所需要的WLAN网络空间都进行2.4G与5.8G的频率覆盖，从网络规划的角度出发，主要考虑2.4G与5.8G二个频率的覆盖设计，针对2.4G的频率的信号衰减模型主要采用如下：PathLoss(dB) = 46 +10* n*Log D（m），而对于5.8G的信号衰减模型：PathLoss(dB) = 32.4+20*lg fMHz+ 20*lgdKM +a * dKM，以上二信号衰减模型进行网络的设计，到具体网络实施时要进行工勘与优化，而对于信道主要采用1、6、11三个信道交错使用，具体的面覆盖逻辑示意图如下：WLAN2.4G信道规划示意图2.7.3 频率复

20、用无线覆盖示意图针对频率复用的设计与实现主要侧重于重叠区域，考虑到802.11技术中目前业界主要采用DCF的仲裁，这样会导致从网络实施的角度出发，没有办法做到像GSM、3G网络的控制力度，从技术原理的角度出发，没有办法实现很好的频率复用，只能被动做些负载均衡的功能。每个AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围，对于54Mbps的覆盖范围不重叠，对于54Mbps与18Mbps就可能进行重叠，可以根据网络侧的负载功能进行实现一定程度的频率复用功能，从网络规划的角度出发，WLAN基本上、下行无线链路复用的处理问题，因为目前都是DCF方式，而从只能结合业务目标实现网络

21、覆盖效果，具体网络使用效果使用负载均衡功能进行实现。负载均衡的功能实现具体原理如下：根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标识、用户数或流量的阀值等进行一定的初始化；确定本AP的2个射频模块连接的STA用户数量和流量；通过UDP协议以私有方式定时进行AP间通讯。先进行握手，成功后才进行数据的交换，获取参与负载均衡的AP的负载信息。当有STA要接入时，根据其工作频率，比较本AP上该射频下的负载和其他AP的指定SSID下的用户数或流量，以及负载均衡的SSID绑定接口的速率集，决定STA能否接入。同时要注意到若用户数已达到AP某个SSID的最大用户数，则该AP的SS

22、ID不允许再接入STA；2.7.4 AP容量规划从业界实现的DCF方式来看，没有一个最大用户数的限制，但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制，H3C目前每个AP最大的用户默认限制为64个用户，并可以根据实际情况更改每个AP限制接入的用户数。根据多年的WLAN部署经验，H3C建议，从网络规划的角度出发，按照每个AP覆盖2030用户进行部署，可以保证用户的接入质量和正常需求下的网络吞吐量。三H3C 本次WLAN网络建设的优点3.1 接入速率的增高本次WLAN网络升级改造采用的AP设备为H3C WA2620i-AGN，能够支持IEEE 802.11a/b/g/n四频模式，物理层速

23、率可以达到300Mbps，已经接近有线网络的传输速率。3.2 覆盖能力增加3.2.1 Fit AP方案通过智能无线资源管理实现覆盖能力和容量的提升无线网络由于是开放的，任何空中干扰都可能造成网络的不稳定和不安全；同时，无线信号的传播深受环境影响，多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象，实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以WLAN网络的实施往往需要周密的网络规划，详细的工勘，网络部署后的调优等一系列活动。即使完成这些活动后，网络应用阶段的射频参数调整仍然是必不可少。这是因为无线环境是不断地变化的，障碍物的移动，微波炉等工作带来的干扰等都可能对无线信号的传播造

24、成影响，所以无线接入点的信道、发射功率等射频资源必须能够动态地调整以适应用户环境的变化。这样的调整过程是复杂的，需要丰富的射频技术经验和定期的工勘，无疑需要非常高的操作成本。此外，为了提高WLAN网络的容量，常用方法是增加接入点。然而，接入点的数量增长带来了新的问题。无线频谱的分配就是一个典型问题。WLAN无线频谱是一种固定资源802.11b/g标准只支持三个非重叠信道，为了避免相邻接入点出现同频干扰，需要让相邻AP尽量使用不同的信道，随着AP数量的增多，避免相邻接入点使用相同的信道变得十分困难。H3C公司无线资源管理特性提供了一套系统化的，实时智能射频管理方案，使无线网络能够自动适应无线射频

25、环境的变化，同时保持最优的射频资源状态。它采用了分布式方法学习周围环境，进行集中式评估，可以有效地控制和分配无线资源，降低用户的操作成本。系统模型如下实时无线资源管理系统模型系统提供了实时闭环的无线资源管理，包括了如下步骤：扫描每个接入点启动后，通过CAPWAP协议与无线控制器建立隧道，并从无线控制器获取基本的配置。无线控制器负责协调网络中的无线接入点执行扫描过程。通过定期的信道扫描，系统能够分析和了解信道的质量、干扰情况、邻居接入点的分布等。为了不影响用户的接入业务和产生不必要的干扰，系统将采用优化的算法来调度扫描过程，比如避免相邻AP同时进行扫描，动态地控制每个扫描的时隙。无线控制器调度被

26、管理的接入点收集射频环境数据分析无线控制器将对无线接入点定期上报的数据进行聚合分析。这些数据包括：干扰：其他工作在802.11频段的无线网络对无线介质的影响。噪音：非802.11信号，如雷达、蓝牙、无绳电话、微波等等对信号的影响。丢包率：包差错率（由于隐藏的节点或信号变形）信道负载：用来衡量媒介的繁忙程度。有效信号强度：在一定时间内观察到的每个邻居的信号强度和整个信道的平均信号强度。这些数据将帮助无线控制器构建无线网络的完整视图，为管理控制提供决策数据。决策 利用前期分析的数据，无线控制器将采用智能的算法对射频资源进行优化和调整，以适应无线环境的变化。 系统使用了优化的信道和功率选择算法、加权

27、判断以及抑制限度，自动评估资源调整的影响，能够确保系统的控制是可靠的。无线控制器进行控制决策执行无线控制器将新的发射功率，信道分配等决策发送到接入点，接入点负责使能这些配置。系统提供了两种控制模式：参考模式和立即模式，增加了系统使用的灵活性。参考模式下，系统不进行实际的控制策略执行，只是给出建议的功率、信道的设定值，管理员可以决定是否执行这些配置，确保了用户控制的灵活性。立即模式下，将根据系统计算出的信道等参数进行立即的设置。上述过程是闭环过程，一旦配置下发以后，控制器将持续监视网络环境。任何无线环境的变化与波动都会被定期记录下来，为下一轮的优化作准备。3.2.3 H3C 智能负载均衡技术H3

28、C公司基于对802.11标准和客户需求的深入理解，创新地提出了智能负载均衡专利技术，系统化地综合了如上介绍的关键技术，可以准确有效地在WLAN网络中平衡用户的负载，充分地保证每个无线用户的性能和带宽。主要的技术特点如下：实时跟踪无线客户端位置，智能地发现负载均衡组用户不需要手工配置负载均衡组。通过实时分析无线客户端发送的报文，系统能够实时地跟踪每个客户端的位置信息，智能地确定某个客户端在当前时刻和当前位置下，哪些AP可以提供服务，即实时的负载均衡组成员列表。基于集中式无线架构每个AP通过CAPWAP协议建立和AC的控制和数据隧道，智能负载均衡算法在AC侧进行集中控制。集中控制的方法，可以让AC

29、实时完整地了解每个AP当前的负荷，从而对网络中的负载进行有效均衡。支持基于用户会话数或流量的负载均衡算法一般地，许多厂商只支持基于用户会话数的负载均衡 。H3C的智能负载均衡技术可以让用户灵活地选择基于用户会话数或流量的负载均衡，满足用户不同的WLAN应用需求。用户还可以灵活地选择是否使能负载均衡。智能地隐藏高负载AP 当一些AP的负载过高时，通过该技术可以维持已存在的无线用户会话，而把这些AP对新的接入用户进行隐藏，从而让新的接入用户只能够发现和接入到负载较小的AP上。这样可以平滑地进行负载均衡控制，而又可以保证用户快速地接入到网络中。下面介绍负载均衡技术的主要过程：）AP通过CAPWAP协

30、议建立和AC的控制和数据隧道在AP提供用户接入服务前，按照CAPWAP协议过程，AP首先要通过DHCP协议获得网络配置，然后发现AC，建立和AC间的三层隧道，从AC上获得配置，最后进入运行状态并等待用户接入。）实时跟踪无线客户端位置WLAN网络就绪后，无线客户端将会频繁定期地扫描信道，以发现无线网络。当一个AP听到来自某个无线用户的扫描信号，将向AC通告自己发现了某个无线用户。AC将以该无线用户的MAC地址为索引，纪录哪些AP听到了该用户的信号。为了保证这些信息的实时准确，通过老化机制，系统可以将过期的纪录老化掉。有了这样的信息，根据某个无线用户的MAC地址查询到的AP列表，就对应了在特定时刻

31、和特定位置下，能够为该用户提供WLAN接入服务的AP。由于无线客户端的扫描过程是非常频繁的，所以很自然地确保系统可以实时地跟踪无线用户的位置变化，根据特定用户MAC地址查询到的AP列表就是实时动态的负载均衡组。整个过程完全是自动的，不需要用户手工配置负载均衡组。为了保证系统的性能，减少AP和AC间的通讯负荷，AP还可以只在自己听到的无线用户信息发生变化时，才通知AC刷新信息。）负载均衡条件判断本步骤将判断系统是否需要对某个接入用户进行负载均衡控制。当无线用户确定了自己要关联到某个AP后，将向该AP发起关联请求，该请求将被AP发送到AC上进行集中处理。运行在AC上的负载均衡算法首先要判断是否需要

32、进行负载均衡控制。负载均衡要求：当前AP的负载超出用户预设置的阈值并且负载均衡组的负载不均衡。用户可以选择设置是按照用户流量还是用户数进行负载均衡控制，只有负载超出了一定阈值，系统才启动负载均衡控制。此外，只有负载均衡组成员的负载不均衡时，系统才进行负载均衡。这时系统会根据预先实时学习的用户信息，动态地计算出当前的负载均衡组成员，即当前哪些AP可以为该用户提供接入服务。然后比较这些AP当前的负载，如果当前AP的负载超出均衡组中负载最轻的AP，并且满足了指定值，那么就意味着当前AP的负载过高，需要设法把新的接入用户平衡到其他AP中，而不是在本AP上提供接入服务。从如下的例子中，我们可以更容易地理

33、解这个过程。如：对于无线用户MAC1，系统实时发现的负载均衡组包括了AP1, AP2和AP3, AP1是无线用户MAC1准备接入的AP。AP1当前用户数是10, AP2当前用户数是8, AP3当前用户数是5。AP1比负载最轻的AP3要多出5个用户，即AP1负载超出AP3的负载50%，鉴于负载均衡组的负载很不均衡，系统将执行负载均衡控制，设法把该用户平衡到其他AP上。）执行负载均衡在这个过程中，AC将控制当前AP拒绝新接入的用户，如本例中的无线用户MAC1，从而让该用户可以接入到负载较轻的其他AP上。为了防止该用户不断连接AP1（虽然该用户已经被AP1多次拒绝），基于H3C公司的专利技术，系统将

34、对高负载AP进行自动隐藏。在本例中，AP1将被系统自动隐藏：AP1将对已连接的无线用户继续可见，而对新接入的客户隐藏，如对本例中的无线用户MAC1隐藏。这样，准备被系统分配到其他AP的无线用户MAC1只好选择接入到其他AP上。这样，无线接入用户可以很容易地接入到网络中，既有效地进行了负载分担，又不会由于负载均衡控制而影响了用户的快速接入。智能负载示意图3.3 安全能力强3.3.1 多业务的安全性H3C FIT AP解决方案提供多种业务不同网络层面的安全保障，体现在：层次体系主要技术解决的问题物理接入WEP64/128、TKIP、CCMP加密支持国家安全标准WAPI加密方式防止无线报文被监听和篡

35、改SSID隐藏解决不明用户访问网络逻辑链路802.1x/PSK/MAC/Portal多种认证方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多种模式可升级支持WAPI认证用户身份鉴别和安全准入动态下发用户的权限业务隔离Hotspot用户隔离限制用户互访黑名单限制恶意用户网络无线入侵检测系统非法设备的检测、无线攻击的告警和规避安全策略在无线控制器统一部署避免在大量的无线接入点部署策略AC和AP间的CAPWAP隧道下行流量限速防范外界对AP的数据流量攻击IPSEC VPN端到端的安全加密资源绑写（MAC、ESS、VLAN、Port）尽可能防止假冒设备AP本地不再保存配置信息避免设备

36、丢失造成配置泄漏AP身份认证只有合法的AP才能和无线控制器建立关联AP支持多无线控制器的冗余备份无线控制器down机不会造成无线网络的瘫痪网管无线安全策略配置无线安全策略的统一部署非法设备监控和告警非法设备的检测、无线攻击的告警和规避设备信道调整告警了解设备遭受干扰后的信道调整情况3.3.1 支持无线入侵检测系统(WIDS)随着无线网络的普遍应用，无线局域网技术也面临着各种各样的新的挑战，如无线应用的网络安全问题。无线局域网摆脱了有线的束缚，数据在一个广泛的空间内进行发送，任何恶意的或者非恶意的设备都能够自由的接收无线数据，当然也能够任意的发送无线数据。由于无线局域网技术无法屏蔽数据的接收和发

37、送，只能从数据的安全性和攻击检测的层面上对网络的安全进行维护。例如802.11i协议提出了比802.11协议中的WEP加密机制更加安全的数据加密机制（CCMP）以及采用了更高级的加密算法（AES）。但是802.11协议没有对无线局域网的攻击防护进行相应的分析和定义，各个厂商通过各自的理解对于WLAN链路的入侵实现了各自的检测机制。H3C的WIDS技术主要关注WLAN链路层的安全问题，解决WLAN网络的入侵检测而实现的对WLAN服务网络的保护。技术优点H3C的WIDS目前主要包括下面三个特性：非法设备检测；入侵检测；无线用户接入控制（黑名单和白名单）；非法设备检测比较适合于大型的WLAN网络。通

38、过在已有的WLAN网络中部署非法设备检测功能，可以对整个WLAN网络中的异常设备进行监视，并且可以根据需要对非法的设备进行防攻击处理（在实际的网络应用中，可以启动防攻击功能，即WIDS会尽量阻止非法的设备提供服务或者接入到无线网络）。非法设备检测可以检测并且分类WLAN网络中的多种设备，例如非法AP，非法无线终端，非法无线网桥等等。入侵检测主要为了及时发现WLAN网络中的有意或者无意的攻击，通过记录信息或者日志方式通知网络管理者。根据入侵检测的结果，网络管理者可以及时调整网络的配置，去除WLAN网络的不安全因素，保证WLAN网络不再受到攻击。目前H3C的入侵检测主要包括802.11报文Floo

39、d攻击检测、AP Spoof检测以及Weak IV检测，而且其中Flood攻击检测可以根据不同类型的报文进行攻击检测。接入控制根据特定的属性实现了对无线客户端接入WLAN网络的权限控制。目前WIDS接入控制主要根据MAC地址进行规则控制，并且支持两种控制规则：黑名单和白名单。其中白名单只能通过手动进行配置；而黑名单同时支持手动配置方式和动态添加方式，入侵检测系统和非法设备检测模块检测到非法攻击，可以动态地将该非法设备添加到黑名单中，后续所有从该设备接收到的报文会被直接丢弃，从而保护了WLAN网络不再受到该非法设备的攻击。非法设备检测技术实现方案非法设备检测主要通过在WLAN网络中部署检测设备，

40、对网络中的各种WLAN设备进行检测，确定WLAN网络是否存在安全隐患。通过非法检测，可以发现WLAN网络中检测到的设备是否非法：Ignore List：WLAN网络中可以允许存在的设备（通过设备的MAC地址标示）。如果被检测到的设备已经在Ignore List中定义，则该设备不会被标示为非法设备；Permitted Vendor List： WLAN可以允许存在的厂商（通过厂商的OUI标示）。如果被检测的设备为隶属于配置的Permitted Vendor List中的一个厂商，则该设备不会被标志为非法设备；Permitted SSID List： WLAN可以允许存在的SSID。如果被检测设备

41、提供的WLAN接入服务为指定的SSID，则该设备不会被标志为非法设备；Static Attack List：指定了WLAN网络中不被允许存在的设备的MAC地址。如果一个被检测到的设备的地址为Static Attack List中的一个地址，则该设备将被标示为非法设备。对非法设备的攻击是非法设备检测的一个扩展功能，可以更有效的保护WLAN网络的安全。当非法设备检测启动了攻击功能，则非法设备检测模块会最终确定出一组AP设备对非法设备进行反攻击。非法设备主要包含两种：一种非法设备为AP设备，即不属于合法WLAN网络的AP设备；另外一种非法设备为无线客户端，即链接到非法AP的无线客户端，或者非法客户端

42、。基本运行机制WLAN网络的非法设备检测主要包括四个主要的部分：设备检测，策略管理，非法设备识别以及非法设备的反攻击。设备检测是非法设备检测的输入和前提。非法设备检测首先通过设备检测来监听周围的无线信号和报文，通过对信号和报文的分析最终创建被检测到的设备信息。非法设备检测只会在这些根据信号和报文的分析所创建的设备信息中，检测和判断非法设备。策略管理定义了确定非法设备的相关策略，根据这些策略非法设备检测可以从设备信息中判断出非法设备。非法设备识别是整个非法设备检测的核心，它根据设备检测的信息一一匹配设置的非法设备策略，最终确定哪些设备为非法设备。为了保护WLAN网络的安全，需要尽量的防止非法设备

43、的工作。所以非法设备检测除了通过日志或者Trap信息将非法设备报告给管理外，还可以启动对非法设备的攻击，以达到抑制非法设备的正常工作。对于非法AP设备主要的抑制方式为模仿该AP设备发送De-authentication报文，以抑制无线用户和非法AP建立链接；而对于非法无线用户，则可以模拟向该无线用户发送De-authentication报文。 下面描述了非法设备检测的过程：设备检测通过对接收到的信号和802.11报文的分析，创建被检测到的设备信息；非法设备识别模块根据配置的非法设备规则，判断被检测到的设备是否为非法设备；如果设备为非法设备时，系统会产生相应的日志信息和Trap信息；如果启动了非

44、法设备抑制功能，则系统将启动对被检测到的非法设备的抑制处理。入侵检测技术实现方案在实际的网络应用中，网络的攻击无处不在，WLAN提供的无线网络同样存在安全问题。无线网络中的大部分攻击和有线网络相同，有线的IDS已经解决了大部分的攻击检测功能。除了有线网络的攻击以外，WLAN也存在着无线网络独特的攻击。所以，本节主要描述了WLAN无线链路攻击的入侵检测。WLAN的无线网络的入侵检测主要包括：无线报文的Flood攻击：WLAN设备从一个设备指定的时间内收到了大量的报文（例如1秒中接收到超过100个报文），则可以认为WLAN设备收到了Flood攻击。WLAN可以支持下列类型报文的Flood攻击检测：

45、探测请求报文（Probe request）；认证报文（Authentication）；连接请求（Association）；去认证报文（De-authentication）;去连接报文（Disassociation）;NULL data报文；无线报文的Spoofing攻击：设备在提供WLAN接入服务的时候，如果周围的非法设备模仿WLAN设备发送De-authentication或者Disassociation，就造成了对于WLAN设备的Spoofing攻击。Weak IV攻击：WLAN在使用WEP链路加密的时候，对于每一个报文使用初始化向量（IV）。由于WEP加密的安全性不高，提高IV的安全性可

46、以提高WLAN网络的安全性。Weak IV的攻击就是指无线用户使用不安全的方法产生报文使用的IV，例如始终使用固定的IV。WIDS入侵检测机制WIDS入侵检测主要包括四个部分：策略定义和维护，信息收集，入侵检测判断和攻击防范实施。入侵检测判断是整个入侵检测的核心，主要根据收集到的信息以及定义的判断策略确定当前的系统是否收到了攻击。当WLAN系统检测到入侵攻击时，为了保护WLAN系统可以启动攻击防范实施，例如发送日志信息，发送Trap信息，等等。特别当WLAN系统检测到来自某个非法设备的Flood攻击，可以动态将该非法设备加入到黑名单中，控制不允许该设备接入到WLAN系统中，所有来自于黑名单中的

47、设备的报文可以被AP设备尽早丢弃，保证WLAN设备免受冲击。下面描述了整个入侵检测的过程：WLAN系统接收到802.11报文，可以根据报文类型以及报文的源地址（即无线客户端）更新统计信息；如果报文为De-authentication报文或者Disassociation报文，则需要进行spoofing检测，如果报文的源地址为WLAN系统的地址则标志WLAN系统受到了De-authentication或者Disassociation Spoofing攻击；对于数据报文，如果该报文使用了WEP加密算法，则启动IV检测，根据IV的安全性策略判断是否存在Weak IV攻击。对WIDS的统计信息需要进行定

48、期的检测。如果检测发现满足入侵策略，则可以确定WLAN系统收到了Flood攻击。如果系统启动了动态黑名单，WIDS可以将检测的Flood攻击设备加入黑名单，实现WLAN系统的入侵防范。无线入侵检测示意图3. 4 多业务QOS支持H3C无线产品支持多种服务质量Qos，支持802.11e中的EDCF优先级，支持以太网口支持802.1p识别和标记。支持优先级队列及映射、流量限制、流分类。并且能够对QOS策略映射不同SSID/VLAN。多媒体业务QOS示意3.4.1 智能带宽管理由于无线共享竞争机制，实际部署使用中，个别用户的P2P软件的应用往往占用大量无线带宽，从而导致其他用户无法接入。H3C AP

49、 智能带宽管理功能根据接入用户数进行自动带宽调整，可以有效防止P2P业务占用过多的带宽，导致其他正常用户无法使用网络。可以支持基于用户的带宽分配技术可灵活满足根据用户级别进行带宽分配的需求，有效保障VIP用户的链路带宽。3.4.2 混合用户接入管理同一SSID多种认证混合接入用户带宽智能管理用户位置快速定位不同SSID不同Web页面3.4.3 实现基于用户的授权对于无线控制器，当要把一个port配置到多个vlan时，需要把这个port打上多个vlan的tag （类似有线网络switch的trunk port功能），给用户下发的vlan属性，需要在Radius Server上针对每个用户分别配置

50、，当一个wireless client通过AAA认证后，将获取其vlan属性并会被分配到相应vlan中3. 5 管理维护的便捷3.5.1 AP零配置与IPV6支持传统的WLAN网络都是为企业或家庭内少量移动用户的接入而组建的，这类网络典型的组网方式是采用FAT AP有线交换机的分布式WLAN组网模式，由AP来完成用户的无线接入、用户权限认证、用户安全策略实施，对WLAN网络设备的管理也是分布式的。随着WLAN技术的成熟和应用的普及，越来越多的企业开始大规模部署WLAN网络，接入的用户数和无线设备的规模都在成倍增长，网络维护人员在建设和维护WLAN网络时发现采用传统的WLAN组网和管理模式已经很

51、难适应现有的WLAN网络规模。目前在中大型WLAN网络的建设和维护中遇到的主要问题有：WLAN建网时需要对成百上千的AP进行逐一配置：网管IP地址、SSID和加密认证方式等无线业务参数、信道和发射功率等射频参数、ACL和QOS等服务策略，很容易因误配置而造成配置不一致。为了管理AP，需要维护大量AP的IP地址和设备的映射关系，每新增加一批AP设备都需要进行地址关系维护。接入AP的边缘网络需要更改VLAN、ACL等配置以适应无线用户的接入，为了能够支持用户的无缝漫游，需要在边缘网络上配置所有无线用户可能使用的VLAN和ACL。察看网络运行状况和用户统计时需要逐一登录到AP设备才能完成察看。在线更

52、改服务策略和安全策略设定时也需要逐一登录到AP设备才能完成设定。升级AP软件无法自动完成，维护人员需要手动逐一对设备进行软件升级，费时费力AP设备的丢失意味着网络配置的丢失，在发现设备丢失前，网络存在入侵隐患，在发现设备丢失后又需要全网重配置。无线控制器FIT AP控制架构对设备的功能进行了重新划分，其中无线控制器负责无线网络的接入控制，转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FIT AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。H3C公司在支持这种新的网络架构时将一些新的智能功能集成进FIT AP和无线控制

53、器中，以便于给用户呈现统一的网络管理接口：FIT AP的配置保存在无线控制器中，FIT AP启动时会自动从无线控制器下载合适的设备配置信息FIT AP需要能够自动获取IP地址，同时FIT AP需要能够自动发现可接入的无线控制器，并对无线控制器和FIT AP之间的网络拓扑不敏感无线控制器支持FIT AP的配置代理和查询代理，能够将用户对FIT AP的配置顺利传达到指定的FIT AP设备，同时可以实时察看FIT AP的状态和统计信息无线控制器保存FIT AP的最新软件，并负责FIT AP软件的自动更新H3C公司通过这一全新的网络管理接口可以很好的解决目前中大型WLAN网络组网中存在的管理问题：用户

54、只需要建立业务参数模板和设备参数模板，并设定指定的AP引用这些模板，当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配置，用户的配置工作量大大减少。用户对FIT AP的管理是通过无线控制器来代理完成，网管不再关心FIT AP的IP地址，FIT AP和无线控制器之间的关联是自动完成，不再需用户对AP进行的配置干预。无线用户的数据报文被FIT AP封装在AP和AC间的数据隧道中，接入AP的边缘网络不需要再为无线用户的接入而更改VLAN和ACL等配置无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信息，维护人员只需登录到指定的无线控制器就可以完成信息察看。用户对F

55、IT AP的管理是通过无线控制器来代理完成，因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到AP设备，而只需要登录到指定的无线控制器就可以完成设置，无线控制器会自动把新的配置下发到指定的FIT AP。用户不再需要手动逐一对AP设备进行软件升级，AP在每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新，FIT AP会自动更新本地的软件影像。AP本地不再保存配置信息，即使设备丢失也不存在因配置丢失而出现的安全隐患。在集中式WLAN管理模式中，H3C的FIT AP和无线控制器之间可以支持三种网络拓扑结构：直连模式：:FIT AP和无线控制器直接互

56、联，中间不经过其他设备节点.二层网络连接模式： FIT AP和无线控制器同属于一个二层广播域，FIT AP和AC之间通过二层交换机互联.三层网络连接模式： FIT AP和无线控制器属于不同的IP网段. FIT AP和AC之间的通信需要通过路由器或者三层交换机三层转发来完成. 无线控制器和FIT AP之间的网络拓扑获取IP地址FIT AP在和网络通信前必须能够获取自身的IP地址，为了减少维护人员的配置，FIT AP必须能够支持自动获取IP地址，目前业界标准的做法是采用DHCP client功能. AP启动以后会在其上行接口上通过DHCP client模块发起获取IP地址的过程. 通过DHCP的协

57、议交互FIT AP可以从DHCP server获取到以下信息：自身使用的IP地址、DNS server的IP地址、网关IP地址、域名、可接入的无线控制器的IP地址列表（此信息通过DHCP option43提供）等.发现相同二层网络内的无线控制器（含直连模式）FIT AP一旦获取到IP地址，就会通过广播方式发起无线控制器发现请求.和AP同属于相同二层广播域的无线控制器会根据预先配置的可接入AP列表和当前的负载情况决定是否响应AP的发现请求.通过用户的预先配置和无线控制器自身的判断可以使FIT AP均衡的接入到不同的无线控制器。FIT AP和无线控制器的交互过程详见图3AC1NetworkVLAN

58、1AC发现请求AC发现响应AC2VLAN1AP2AP1VLAN1VLAN11221相同广播域内的无线控制器发现过程发现跨三层网络的无线控制器H3C的FIT AP还能够支持被跨三层网络的无线控制器管理.在这种情况下由于FIT AP和无线控制器之间跨越了三层网络，因此FIT AP已经无法通过二层广播方式来发现无线控制器而只能通过单播形式来发现远端的无线控制器，但FIT AP如何能够获取到无线控制器的IP地址呢？ H3C的FIT AP支持两种方法来实现这一功能：方法一：FIT AP从DHCP server获取IP地址时同时会获取到自身的domain名字和DNS server地址，FIT AP将获取到

59、的domain名字和固定的H3C串拼接成H3C.xxxx.xxx的DNS域名，同时FIT AP会向DNS server请求解析获取H3C.xxxx.xxx的IP地址，用户只需在DNS server上配置H3C.xxxx.xxx对应的无线控制器的IP地址，AP就能获取到无线控制器的IP地址并向该IP地址发送无线控制器发现请求方法二：用户在DHCP server上通过option43属性来配置无线控制器的IP地址，当FIT AP在从DHCP server获取IP地址时，通过解析DHCP回应报文中携带的option43属性就可以获取无线控制器的IP地址并向该IP地址发送无线控制器发现请求部署于IPv

60、6双栈网络为了适应下一代IP网络的部署要求，H3C公司的FIT AP能够同时满足IPv4和IPv6两种不同网络的组网要求（图4所示），为了简化用户配置这种适应能力不需要用户配置干预而是自适应调整.作为FIT AP的缺省发现方式FIT AP会首先作为IPv4节点发起无线控制器发现过程，当发现过程失败以后，FIT AP会切换到IPv6节点方式继续无线控制器发现过程. FIT AP会在以下两种情况下切换到IPv6模式：FIT AP无法从DHCP server获取到IPv4网络地址FIT AP在IPv4网络没有无线控制器响应FIT AP的发现请求FIT AP在IPv4网络中和所有的无线控制器建立连接失