nbhkdz.com冰点文库

WLAN从入门到精通

时间:2016-11-15


WLAN 从入门到精通 基础篇
第 1 期 WLAN 定义和基本架构
关于 WLAN,相信大家对它早已不陌生了。几乎每天我们都能体验到 WLAN 给我们的生活带来 的高效和便捷。在家里,通过无线路由器,我们不必再端端正正的坐在电脑旁,可以坐在沙 发上,躺在床上,甚至可以坐在马桶上收发邮件,在线欣赏欧美***,尽情享受摆脱有线束 缚带来的自由。在候车室,手捧笔记本和 Pad 的人们正逐渐代替手捧报纸和杂志的人们。走 进咖啡厅,越来越多的人第一件事不是点餐,而是询问咖啡厅无线网络的密码??。

随着 WLAN 的来势汹汹,越来越多的人想了解 WLAN 技术,WLAN 也成为当前热门话题之一。 小编不才,愿意和大家一起学习探讨 WLAN 技术,解决一些 WLAN 方面的问题。下面请大家泡 杯茶,耐心的读完下面这段文字,开始我们知道而又不知道的 WLAN 之旅吧。 为什么说是知道而又不知道的 WLAN 呢?其中一个原因是很多人对 WLAN 已经很熟悉了, 都知 道 WLAN, 但是让大家完整的说出 WLAN 的定义, 却很少人能说的出。 WLAN 的全称是 Wireless Local Area Network,中文含义是无线局域网,WLAN 的定义有广义和狭义两种:广义上讲 WLAN 是以各种无线电波(如激光、红外线等)的无线信道来代替有线局域网中的部分或全 部传输介质所构成的网络。WLAN 的狭义定义是基于 IEEE 802.11 系列标准,利用高频无线 射频(如 2.4GHz 或 5GHz 频段的无线电磁波)作为传输介质的无线局域网。 说到这里, 大家不妨和我们日常生活中的 WLAN 联系一下, 我们经常听到的 “802.11n、 2.4G、 5G” 是不是感觉和 WLAN 的狭义定义有种千丝万缕的关系呀?其实, 我们日常生活中的 WLAN, 就是指的 WLAN 的狭义定义。 在 WLAN 的演进和发展过程中, 其实现技术标准有很多, 如蓝牙、 802.11 系列、HyperLAN2 等。而 802.11 系列标准由于其实现技术相对简单、通信可靠、灵 活性高和实现成本相对较低等特点, 成为了 WLAN 的主流技术标准, 且 802.11 系列标准也成 为了 WLAN 技术标准的代名词。 关于 802.11 系列标准我们后面会有详细介绍,这里大家先了解下 WLAN 的定义。 了解了 WLAN 的定义之后,小编再问大家一个不太能想的到的问题,大家都有在家使用 WLAN 和在候车厅等大型场所使用 WLAN 的经历吧。 大家有没有发现这两个地方的 WLAN 有什么不同 呀?有没有想过这样一个问题:家庭房屋的面积相对较小,而候车厅面积很大,如果像家庭 一样,候车厅也使用家庭使用的无线路由器,怎么覆盖候车厅那么大的面积。家庭接入的用 户较少一般不会超过几十个,而在候车厅里可能是成百上千的用户在使用 WLAN,候车厅怎 么满足那么多的用户接入呢。 有人会说是不是在候车厅里布放了很多无线路由器, 以实现候车厅的大范围覆盖和多用户接 入呢?但是, 如果在候车厅布放很多无线路由器, 当我们在硕大的候车厅来回移动时是不是

要出现信号中断提醒你接入新的无线路由器的情况, 就像从自己家移动到了邻居家一样, 即 使邻居家的无线网络名字和密码跟自己家的一样,也会出现网络中断重新获取 IP 地址的现 象。有兴趣的童鞋可以回家和邻居试一试 ^_^。

那么, 是什么造成有的 WLAN 仅可以满足家庭等小场所的使用, 而有的 WLAN 却可以满足候车 厅等中大型场所使用呢。下面小编就给大家介绍一下 WLAN 的基本架构,在大家了解了 WLAN 基本架构后,上面的问题就迎刃而解了。 WLAN 有两种基本架构,一种是 FAT AP 架构,又叫自治式网络架构。一种是 AC+FIT AP 架构, 又叫集中式网络架构。我们先从最熟悉的家庭无线路由器入手,家庭无线路由器采用的是 FAT AP 架构,即自治式网络架构。FAT AP 英文全称是 FAT Access Point,中文称为胖接入 点,也有很多人直接称为胖 AP。FAT AP 不仅可以发射射频提供无线信号供无线终端接入, 还能独立完成安全加密、用户认证和用户管理等管控功能。想一下我们家里的无线路由器, 我们可以为 WLAN 设置密码,可以配置黑名单或白名单控制用户接入,还可以管理接入的用 户(如设置用户的接入速率)等,这些都符合 FAT AP 的特征。所以,家庭使用的无线路由 器就是一种 FAT AP。下面的组网图是一个简单的基于 FAT AP 架构的组网应用。

FAT AP 功能强大,独立性强,具备自治能力,因此 FAT AP 架构人们又称为自治式网络架构。 不需要介入专门的管控设备, 独自就可以完成无线用户的接入, 业务数据的加密和业务数据 报文的转发等功能。 独立自治是 FAT AP 的特点,也是 FAT AP 的缺点。当单个部署时,由于 FAT AP 具备较好的 独立性,不需要另外部署管控设备,部署起来很方便,成本也较低廉,在类如家庭 WLAN 或 者小企业 WLAN 的使用场景中,FAT AP 往往是最适合的选择。给我们感受最深刻的就是我们 在家里使用一个无线路由器就能享受 WLAN 带给我们的便捷。但是,在大的使用场景中,如 我们上面提到的候车厅, FAT AP 的独立自治就变成了自身的缺点。 由于 WLAN 覆盖面积较大, 接入用户较多,需要部署许多 FAT AP 设备,而每个 FAT AP 又是独立自治的,缺少统一的管 控设备,管理这些设备就变得十分麻烦。不说别的,光为这些 FAT AP 升一次级就是一场灾 难。所以,在大量部署的情况下,FAT AP 会带来巨大的管理维护成本。而且由于独自控制 用户的接入,FAT AP 无法解决用户的漫游问题。一般在中大型使用场景中人们往往不会选 择 FAT AP 架构,而是使用我们下面要讲的 AC+FIT AP 架构。 如果大家不了解漫游, 可以想象下我们日常使用的手机, 当坐在高铁上从一个城市移动到另 一个城市,手机信号要在沿途不停的断开旧网络,接入新网络。或者想象下,我们拿着 Pad

等无线终端,从自己家移动到邻居家并接入邻居家的 WLAN,这个过程也可以理解为漫游。 后面在介绍 WLAN 各种特性的时候会讲到什么是漫游,大家先了解下漫游大概的概念。 既然有胖 AP,那对应的就应该有瘦 AP。FIT AP 英文全称是 FIT Access Point,中文称为瘦 接入点,也有很多人直接称为瘦 AP。和胖 AP 不同,瘦 AP 除了提供无线射频信号外,基本 不具备管控功能。也正是因为这一点,它被称为瘦 AP,而上面具备管控功能的 AP 被称为了 胖 AP。为了实现 WLAN 的功能,除了 FIT AP 外,还需要具备管理控制功能的设备——AC。 AC 英文全称是 Access Controller,中文称为无线接入控制器。AC 的主要功能是对 WLAN 中 的所有 FIT AP 进行管理和控制,AC 不具备射频(AC 只是管理控制设备,不能发射无线射频 信号),它和 FIT AP 配合共同完成 WLAN 功能。这种架构就被称为了 AC+FIT AP 架构。下图 为某大型企业基于 AC+FIT AP 架构部署的 WLAN 组网示意图。

由上图我们可以看到,根据 AC 所管控的区域和吞吐量的不同,AC 可以出现在汇聚层,也可 以出现在核心层。而 FIT AP 一般部署在接入层和企业分支。这种层级分明的协同分工,更 能体现出 AC+FIT AP 架构的集中控制的特点,这种架构又被大家称为集中式网络架构。 使用 AC+FIT AP 架构为像候车厅这种大型场所部署 WLAN 时,比使用 FAT AP 架构更经济、高 效。在 AC+FIT AP 架构下,可以统一为 FIT AP 下发配置,统一为 FIT AP 进行软件升级,还 可以按照时段控制 FIT AP 的工作数量等等,这些大大降低了 WLAN 的管控和维护的成本。而 且,由于用户的接入认证可以由 AC 统一管理,解决用户漫游的问题就变得很容易。综上所 述,AC+FIT AP 架构适用于中大型使用场景,而 FAT AP 架构适用于小型使用场景。 普通家庭使用的无线路由器是 FAT AP 架构

大型场所一般使用 AC+FIT AP 架构

第 2 期 WLAN 射频和信道
有这样一个段子“嫁到俺村吧,俺村条件不赖,穿衣基本靠纺,吃饭基本靠党,致富基本靠抢,娶妻基本靠想, 交通基本靠走,通信基本靠吼,治安基本靠狗,取暖基本靠抖??”。拿这个段子作为本期的开篇,是想让大家开 心一笑,然后借用里面的“通信基本靠吼”进入本期的主题。 通信靠吼看着很落后,但仔细想想它会很先进,它哪里先进呢?想出来了吗??????? 它可是“无线通信”啊!有没有被小编欺骗的感觉。没想到大声喊话是无线通信,高科技啊。如果不留心的话 我们不会想到人类历史上最早的通信手段和现在一样可以是“无线”的,而且还不止这些,古代的击鼓鸣金和烽火 连天也可以称为某种“无线通信”吧。 学过物理的都知道,击鼓鸣金,是物体振动在介质中产生声波,传递信息到人耳,信息载体是传递声波的介质。 烽火连天,或者更先进的旗语,是通过物体反射的可见光线传入人眼从而传递信息,载体是可见光。WLAN 同样是无 线通信的范畴,虽跟原始的“无线通信”有本质区别,但却有着共同点——都需要载体。 WLAN 跟日常生活中的无线广播、无线电视、手机通信一样,都是用射频作为载体。射频是频率介于 3 赫兹(Hz) 和约 300G 赫兹(Hz)之间的电磁波,也可以称为射频电波或射电。人们为这段电磁波又定义了无线频谱,按照频 率范围划分为极低频、 超低频、 中频、 高频、 超高频等, WLAN 使用的射频频率范围是 2.4GHz 频段 (2.4GHz~2.4835GHz)

和 5GHz 频段(频率范围是 5.150GHz~5.350GHz 和 5.725GHz~5.850GHz),分别属于特高频(300MHz~3GHz)和超高 频(3GHz~30GHz),用一张图来看下我们 WLAN 射频所在频谱的位置。 5GHz 频段的 5.150GHz~5.350GHz 和 5.725GHz~5.850GHz 为中国使用,各个国家使用的频宽范围不一样,贴子下 方附有国家信道顺从表的参考链接,感兴趣的同学可以查看各个国家使用的 5GHz 频段。

WLAN 使用的 2.4GHz 频段和 5GHz 频段属于 ISM 频段。ISM,即工业(Industrial)、科学(Scientific)与医 疗(Medical)。ISM 频段主要开放给工业、科学、医疗三个机构使用,只要设备的功率符合限制,不需要申请许可 证(Free License)即可使用这些频段,大大方便了 WLAN 的应用和推广。

了解了什么是射频后,射频是怎么作为载体传递信息的呢?我们高中物理都有学过射频传输信息的基本调制方 式:调频、调相和调幅,发送端将信息调制到载波上,通过改变载波的频率、相位和振幅传递信息,接收端收到信 息后,再解调还原信息。通过这样一个调制解调的过程,就实现了信息的传递。我们日常生活中遇到的调频广播, 调幅广播等就是这样传递信息的。WLAN 射频传输信息的基础也是调频、调相或调幅。只不过调频、调相和调幅通常 用在模拟信号的传输,在数字通信领域射频的调制方式较为复杂,主要有:振幅键控、频率键控、相位键控和正交 幅度调制(一种幅度、相位联合调制的技术,它同时利用了载波的幅度和相位来传递信息)。通过下图大家可以看 下载波在调制后的样子。

这样看来使用射频通信和有线通信是不是没有多大区别?我们更为熟悉的有线通信其实也是将信号调制成电 脉冲或光脉冲,然后放到电缆或光缆上传输。只不过射频需要解决更多的问题,如射频的反射、衍射等问题。无论 是使用射频通信还是使用有线媒介的通信,其过程都可以简单的看成是信源->信道->信宿,信源是信息的发送者, 信宿是信息的接收者。 那么信道是什么呢?有线的信道我可以简单的理解为线缆, WLAN 的信道是不是可以简单的理 解为射频呢?根据“信源->信道->信宿”的描述,信道就是发送者和接收者的中间部分,那可不就是射频了。 WLAN 的信道是具有一定频宽的射频, 就像公路要有一定的宽度一样, 以便可以承载要传输的信息。 对于 2.4GHz 频段来说,2.4GHz 频段的频宽是 2.4835GHz-2.4GHz=0.0835GHz=83.5MHz,WLAN 是不是就使用全部的 83.5MHz 的频 宽作为一个信道呢?这里我们使用一个比喻,有助于大家对 WLAN 信道的理解。我们看广播电视的时候,都知道频 道吧:1 频道、2 频道、中央 1 台、中央 5 台。我们要看中央 1 台,就不能看中央 5 台,每次只能选定 1 个频道。 如果中央 5 台使用中央 1 台的频率发射信号会怎样?那两个频道大家都收不到,或满屏幕的雪花。高中物理告诉我 们一条波如果遇到频率相同的波会产生干扰,会根据相位差进行叠加或衰减(如:频率相同,相位相差 180°的波 彼此会抵消)。所以,中央 1 台有个固定的频率,中央 5 台也有它的固定的频率,互不干扰。

我们可以把 WLAN 信道理解为电视机的频道,如果 WLAN 使用整个 2.4GHz 频段作为一个信道,当同一覆盖范围 内有两个及两个以上的 AP, 大家都用相同的信道, 会造成严重的干扰 (如同中央 5 台使用了中央 1 台的频道一样) , 两个 AP 都无法有效提供 WLAN 服务。所以,在 WLAN 标准协议里将 2.4GHz 频段划分出 13 个相互交叠的信道,每个 信道的频宽是 20MHz(802.11g、802.11n 每个信道占用 20MHz,802.11b 每个信道占用 22MHz),每个信道都有自己 的中心频率(如同 CCTV-1 的 200MHz)。 14 信道是特别针对日本定义的,各个国家 2.4GHz 频段开放的信道不一样,北美地区(美国,加拿大)开放 1~ 11 信道,欧洲开放 1~13 信道,中国同样开放 1~13 信道。一般,我们更多的讲述是 2.4GHz 频段分 13 个相互交叠 的信道。 这 13 个信道可以找出 3 个独立信道,即没有相互交叠的信道。独立信道由于没有频率的交叠区,相邻 AP 使用 这 3 个独立信道不会彼此产生干扰。如下图中的 1、6、11 就是三个互不交叠的独立信道。

在部署 WLAN 时,为避免相邻 AP 产生同频干扰,多采用蜂窝式信道布局。蜂窝式布局中相邻 AP 间使用不交叠 的独立信道,可以有效避免同频干扰。

华为 AP 产品 2.4G 射频默认使用 1 信道,如果用户在部署 WLAN 时忘了配置信道,可能会造成某些 AP 覆盖重合 的区域产生同频干扰,使用户无法上线。但是,为众多 AP 配置信道也是件很累人的事情,华为产品支持射频信道 的自动模式。AP 上线后,AC 会根据 AP 周围的无线环境,自动为 AP 射频设置信道,避免了用户为多个 AP 配置信道 的繁杂工作。 华为产品还支持射频调优功能,可以根据射频周围的无线环境自动调整信道和发射功率,保持整个无线网络处 于一个最佳的状态。在 WLAN 初次部署完成后,建议执行一次射频调优。比如周围的卖场也有 WLAN,很可能会和我 们自己部署的 WLAN 有部分区域的射频冲突,射频调优可以让 WLAN 自己根据无线环境调整信道部署和发射功率,减 少射频的冲突。而且无线环境可能是变化的,在低峰时段执行定期的射频调优也是有必要的。 2.4GHz 频段射频在各个国家已经放开使用,越来越多的无线设备都工作在 2.4GHz 频段(如蓝牙设备),使得 2.4GHz 频段日益拥挤,信道干扰严重,有时会影响 WLAN 用户的正常业务。 华为产品在 V2R3C00 版本开始支持频谱分析功能,频谱分析可以分析出 AP 周围存在的干扰设备,如婴儿监视 器、微波炉、蓝牙设备等。 WLAN 可以使用的另一个频段——5GHz 频段,有更高的频率和频宽,可以提供更高的速率和更小的信道干扰。 WLAN 标准协议将 5GHz 频段分为 24 个 20MHz 宽的信道,且每个信道都为独立信道。这为 WLAN 提供了丰富的信道资 源,更多的独立信道也使得信道绑定更有价值,信道绑定是将两个信道绑定成一个信道使用,能提供更大的带宽。 如两个 20MHz 的独立信道绑定在一起可以获得 20MHz 两倍的吞吐量,这好比将两条道路合并成一条使用,自然就提 高了道路的通过能力。 802.11n 支持通过将相邻的两个 20MHz 信道绑定成 40MHz, 使传输速率成倍提高。 802.11n 也同时定义了 2.4GHz 频段的信道绑定,但由于 2.4GHz 频段较拥挤的信道资源,降低了 2.4GHz 频段信道绑定的实用性,一般不推荐使用 2.4GHz 频段的信道绑定。 下图为 5GHz 频段的信道划分情况。

图中,黑色的半圆表示独立信道,红色的半圆表示标准协议推荐的信道绑定,UNII-2e 为 5GHz 新增频段,该频 段中国尚未放开使用。目前中国已放开使用的信道有 36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161, 165。 各个国家开放的信道不一样,可以参照国家信道顺从表,参考地址:国家信道顺从表。 5GHz 频段并非只有 WLAN 设备在使用, 很多国家的军用雷达也在使用 5GHz 频段, 使用该频段的民用无线设备很 可能对雷达等重要设施产生干扰。为了解决这一安全顾虑,在一些国家出售的 WLAN 产品必须具备 TPS 和 DFS 这两 个功能,即发射功率控制和动态频率选择。TPS 是为了防止无线产品发放过大的功率来干扰军方雷达。DFS 是为了 使无线产品能主动探测军方使用的频率,如频率冲突并主动选择另一个频率,以避开军方频率。在这些国家这两个 功能是属于强制性的,不符合标准的产品将不会获得这些国家的上市许可。 大概了解了 WLAN 射频和信道之后,我们以 WLAN 里经常出现的 dBm 和 dB 是什么来结束本期内容。 dBm 的含义是分贝毫瓦,通俗的说就是每 1 毫瓦产生多少分贝能量。dB 是个相对值是增益的意思,X (dBm) - Y (dBm) = Z (dB),如 10dB=20dBm-10dBm。 dBm 和毫瓦的换算关系是:P(dBm)=10logP(mW),也就是 100mW=10Log102=20dBm。大家可以牢记一个规律,就 是功率减少 10 倍, 换算出来的 dBm 降低 10dB。 功率减少一半, 换算出来的 dBm 降低 3dB。 如: 50mW=17dBm, 25mW=14dBm, 5mW=7dBm。

第 3 期 WLAN 标准协议
在 WLAN 的发展历程中,一度涌现了很多技术和协议,如 IrDA、Blue Tooth 和 HyperLAN2 等。但发展至今,在 WLAN 领域被大规模推广和商用的是 IEEE 802.11 系列标准协议,WLAN 也被定义成基于 IEEE 802.11 标准协议的无 线局域网。 我们对 802.11 已不陌生, 在购买支持 WLAN 功能的产品时都能看到 802.11 的影子。 本期我们讲下 802.11 主要的具有里程碑意义的标准协议:802.11a、802.11b、802.11g、802.11n 和 802.11ac。虽然协议比较枯燥乏味, 但了解了这些协议,有助于我们部署 WLAN,下面就跟随小编一起看下这几个主要协议吧 WLAN 和有线局域网最大的 区别就是“无线”,通过上期的学习我们知道 WLAN 通信媒介是射频,射频和有线局域网的媒介(电缆或光纤)相 比具有完全不一样的物理特性,这就导致 WLAN 的物理层(PHY)和媒介访问控制层(MAC)不同于有线局域网。所 以,802.11 协议主要定义的就是 WLAN 的物理层和 MAC 层。 在 20 世纪 90 年代初为了满足人们对 WLAN 日益增长的需求, IEEE 成立了专门的 802.11 工作组, 专门研究和定 制 WLAN 的标准协议,并在 1997 年 6 月推出了第一代 WLAN 协议——IEEE 802.11-1997,协议定义了物理层工作在 ISM 的 2.4G 频段,数据传输速率设计为 2Mbps。该协议由于在速率和传输距离上的设计不能满足人们的需求,并未 被大规模使用。 随后,IEEE 在 1999 年推出了 802.11a 和 802.11b。802.11a 工作在 5GHz 的 ISM 频段上,并且选择了正交频分 复用 OFDM(Orthogonal Frequency Division Multiplexing)技术,能有效降低多路径衰减的影响和提高频谱的利 用率,使 802.11a 的物理层速率可达 54Mbps。802.11b 则依然工作在 2.4GHz 的 ISM 频段,但在 802.11 的基础上进 行了技术改进,使 802.11b 的通信速率达到 11Mbps。 OFMD 是一种多载波调制技术,主要是将指定信道分成若干子信道,在每个子信道上使用一个子载波进行调制, 并且各子载波是并行传输,可以有效提高信道的频谱利用率。 虽然 802.11b 提供的接入速率比 802.11a 低,但当时 5GHz 芯片研制过慢,待芯片推出时 802.11b 已被广泛应 用。由于 802.11a 不能兼容 802.11b,再加上 5GHz 芯片价格较高和地方规定的限制等原因,使得 802.11a 没有被广 泛采用。 在 2000 年初,IEEE 802.11g 工作组开始开发一项既能提供 54Mbps 速率,又能向下兼容 802.11b 的协议标准。 并在 2001 年 11 月提出了第一个 IEEE 802.11g 草案,该草案在 2003 年正式成为标准。802.11g 兼容了 802.11b, 继续使用 2.4GHz 频段。为了达到 54Mbps 的速率,802.11g 借用了 802.11a 的成果,在 2.4GHz 频段采用了正交频分 复用(OFDM)技术。IEEE 802.11g 的推出,满足了当时人们对带宽的需求,对 WLAN 的发展起到了极大的推动作用。 大家可能会有疑问:为什么不在 1999 年制定 802.11b 标准时就直接采用和 802.11a 相同的 OFDM 技术,这样就 可以更早的在 2.4GHz 频段上取得 54Mbps 的速率了, 而不必等到 2001 年底的 802.11g 的出现。 事实上在 1999 年讨 论 802.11b 的时候,OFDM 技术确实被提出应用到 802.11b 标准中,但当时美国联邦通信协会(FCC)禁止在 2.4GHz 频段使用 OFDM,这条禁令直到 2001 年 5 月才被撤销,6 个月后,采用 OFDM 技术的 802.11g 草案才得以顺利出台。 在急速发展的网络世界 54Mbps 的速率不会永远满用户需求。在 2002 年一个新的 IEEE 工作组——IEEE 802.11 任务组 N 即 TGn(Task Group n)成立,开始研究一种更快的 WLAN 技术,目标是达到 100Mbps 的速率。该目标的实 现一波三折,由于小组内两个阵营对协议标准的争论不休,新的协议直到 2009 年 9 月才被敲定并批准,这个协议 就是 802.11n。在长达 7 年的制定过程中,802.11n 的速率也从最初设计的 100Mbps,完善到了最高可达 600Mbps, 802.11n 采用了双频工作模式,支持 2.4GHz 和 5GHz,且兼容 802.11a/b/g。 802.11n 标准刚刚尘埃落定后, IEEE 就开始了下一代的 WLAN 标准协议——802.11ac 的制定工作。并在 2013 年正式推出了 802.11ac 标准协议,802.11ac 工作在 5GHz 频段,向后兼容 802.11n 和 802.11a,80.211ac 沿用了 802.11n 的诸多技术并做了技术改进,使速率达到 1.3Gbps。 通过下表有助于我们了解 802.11 各协议的主要参数。

华为产品在 V200R003C00 及之前版本支持 802.11n、802.11g、802.11b 和 802.11a,从 V200R005C00 版本开始 支持 802.11ac,并推出了支持 802.11ac 的 AP:AP5030DN 和 AP5130DN。 华为产品在 V200R003C00 版本及之前版,需要使用配置命令配置射频的类型:
[6605_v2r3_111-wlan-radio-prof-test] radio-type 80211an 80211bgn 80211gn 80211n 80211b 80211a 80211bg 80211g 802.11an 802.11bgn 802.11gn 802.11n 802.11b 802.11a 802.11bg 802.11g ?

当前在 802.11 各协议中由于 802.11ac 刚推出, 大众终端产品支持 802.11ac 的还不多, 802.11n 产品仍旧是主 流产品。 802.11n 较之前的标准协议主要有如下优势: 更多的子载波、 更高的编码率、 更短的 GI (Guard Interval) 、 更宽的信道、更多的空间流和 MAC 层的报文聚合功能等,而获取这些优势的技术 802.11ac 也有沿用。下面我们看 下华为产品如何配置才能更好的发挥 802.11n 的优势。 更多的子载波:802.11n 比 802.11a/g 多了 4 个有效子载波(802.11b 没有使用 OFMD 技术不做对比),用户无 需配置只要使用 802.11n 通信即可获得 802.11n 的此项优势。下图中 58.5Mbps 是 802.11n 较之前的标准更多的子 载波可以带来的理论速率。

更高的编码率:WLAN 使用射频传输数据时,除了用户的有效传输数据外,还需附有更错码 FEC(Forward Error
Correction),当有效数据在传递过程中因衰减、干扰等因素而导致数据错误时,通过更错码可将数据更正、还原 成正确数据。802.11n 将之前 3/4 的有效编码率提高到 5/6,此项改进点使得 802.11n 的速率提升了 11%。用户无需 配置只要使用 802.11n 通信也可以直接获得 802.11n 的此项优势。

更短的 GI(Short Guard Interval):使用 802.11a/b/g 发送数据时,必须要保证在数据之间存在 800 ns
的时间间隔以避免数据帧间的干扰,这个间隔被称为 Guard Interval (GI)。802.11n 缺省仍然使用 800ns 的 GI, 但在空间环境较好时,可以将该间隔配置为 400ns,此项改进可以将吞吐提高近 10%(约 72.2Mbps)。用户在射频 模板视图下可以执行命令 80211n guard-interval-mode short 配置 802.11n 的 short GI 功能:
<AC6605> system-view

[AC6605] wlan [AC6605-wlan-view] radio-profile name 80211n [AC6605-wlan-radio-prof-80211n] 80211n guard-interval-mode short

而 802.11ac 可以执行命令 80211ac guard-interval-mode short 配置 802.11ac 的 short GI 功能,如:
<AC6605> system-view [AC6605] wlan [AC6605-wlan-view] radio-profile name 80211ac [AC6605-wlan-radio-prof-80211ac] 80211ac guard-interval-mode short

这里需要注意,并不是所有的环境都适合配置 short GI。在复杂的空间环境里,射频遇到障碍物可能会产生反 射等现象,会造成 AP 和 STA 之间的多路径传输(多径效应)。在多径环境中,前一个数据块还没有发送完成,后 一个数据块可能通过不同的路径先到达了,合理的 GI 长度能够避免相互干扰。如果 GI 时长不合理,会降低链路的 使用效率。

所以,在复杂的环境中建议关闭 short GI 功能(对应命令 80211n guard-interval-mode normal,802.11ac 为 80211ac guard-interval-mode normal)。 更宽的信道:我们在讲射频的时候已经提及,802.11n 支持将相邻两个 20MHz 的信道绑定成 40MHz 的信道,信 道更宽传输能力就更大,可以带来 2 倍以上的提升。在射频视图下执行命令 channel 命令可以配置 40MHz 信道,并 指定一个主信道:
<AC6605> system-view [AC6605] wlan [AC6605-wlan-view] ap 0 radio 0 [AC6605-wlan-radio-0/0] channel 40Mhz-plus 1 在 802.11ac 信道带宽可以支持 80Mhz,如: <AC6605> system-view [AC6605] wlan [AC6605-wlan-view] ap 0 radio 1 [AC6605-wlan-radio-0/1] channel 80Mhz 149 //表示配置 40MHz 宽的信道,主信道是 1.

更多的空间流:802.11a/b/g 技术的无线接入点和客户端是通过单个天线单个空间流以单入单出 SISO(Single
Input Single Output) 的方式来实现数据传送的。 在 802.11n 支持最大 4 个空间流的多入多出 MIMO (Multiple Input and Multiple Output)方式传输数据(802.11ac 最大支持 8*8 的 MIMO)。华为多天线 AP 都支持 MIMO,如 AP5130、 AP7110、AP5030 支持 3*3 MIMO,AP3010、AP6510、AP6610 支持 2*2 MIMO。

MAC 层的报文聚合:在 802.11 的 MAC 层协议中,有很多固定的开销,尤其在两个帧之间的确认信息。在最高数
据率的传输下,这些多余的开销甚至比需要传输的整个数据帧还要长。例如:802.11g 理论传输速率为 54Mbps,实 际上却只有 22Mbps,将近有一半多的速率浪费了。802.11n 的 MAC 协议数据单元 MPDU(MAC Protocol Data Unit) 帧汇聚功能,可以将多个 MPDU 聚合为一个物理层报文,只需要进行一次信道竞争或退避,就可完成 N 个 MPDU 的同 时发送, 从而减少了发送 N-1 个 MPDU 报文所带来的信道资源消耗。 执行命令 80211n a-mpdu enable 可以使能 802.11n 的 MPDU 帧汇聚功能,然后执行 80211n a-mpdu max-length-exponent 命令可以配置汇聚帧的最大长度,802.11n 的汇聚帧最大长度为 65535 字节。如:
<AC6605> system-view [AC6605] wlan [AC6605-wlan-view] radio-profile id 0 name rp01 [AC6605-wlan-view] 80211n a-mpdu enable [AC6605-wlan-radio-prof-rp01] 80211n a-mpdu max-length-exponent 3 //3 表示汇聚帧最大长度是 65535 字节

802.11ac 默认支持 MPDU 功能,且支持最大长度为 1048575 字节的汇聚帧。所以无需使用命令使能,直接配置汇聚 帧长度即可:
[AC6605-wlan-radio-prof-rp01]80211ac a-mpdu max-length-exponent 7 //7 表示汇聚帧最大长度是 1048575 字节

另外,802.11ac 还支持 MAC 服务数据单元 MSDU(Mac Service Data Units)汇聚,大大提高了数据的传输效 率,具体配置如:
<AC6605> system-view [AC6605] wlan [AC6605-wlan-view] radio-profile name rp01 [AC6605-wlan-radio-prof-rp01] a-msdu send enable

[AC6605-wlan-radio-prof-rp01] a-msdu send max-subframes 2

//2 表示汇聚的帧数。

除了 802.11 标准协议外,在 WLAN 领域还有一个更常见更常用的名词——Wi-Fi。我们技术贴连载已经进行到 第 3 期,一直没有提及什么是 Wi-Fi。在了解了 802.11 各协议后,正好也是解释什么是 Wi-Fi 的时机了。 WiFi 是无线保真(Wireless Fidelity)的英文缩写。在 802.11b 时代,虽然所有的 802.11b 产品都使用相同 的 802.11b 标准,但为了保证不同厂商的产品能够具有良好的兼容性,1999 年一些 WLAN 设备生产厂商一起成立了 一个工业联盟——无线以太网兼容性联盟 WECA(Wireless Ethernet Compatibility Alliance),后更名为 Wi-Fi 联盟。Wi-Fi 联盟建立了一套验证 802.11b 产品兼容性的测试程序,称为 Wi-Fi 认证,通过该程序认证的产品可以 使用 Wi-Fi 认证标签。 后来, Wi-Fi 认证的范围逐步扩展到 802.11a, 802.11g 和 802.11n。 另外, 由于忍受不了 802.11n 漫长的标准化进程和市场需求的推动,Wi-Fi 联盟以 802.11n 2.0 版草案作为产品认证的依据,在 802.11n 标准推 出之前已经认证批准了数百个 802.11n 产品。这也是为什么当时 802.11n 标准还未正式发布,而我们在市场上早已 可以购买到各类兼容性良好的 802.11n 产品的原因。

第 4 期华为 WLAN 产品介绍
经过前面几期的 WLAN 技术专题,想必大家已经对 WLAN 的定义、架构和协议等有了一定的了解,这期主要来对 WLAN 的各类硬件做下介绍。 通过第一期我们知道了 WLAN 的硬件有 AC 和 AP 两种,下面我们分别对这两种硬件做下介绍。 AC 现有 AC6005、AC6605 和 ACU2 这三种型号。 AC6005:

AC6005 提供丰富的接口类型,满足各种应用场景。 ? 拥有 8 个 GE 口,提供 20Gbit/s 的交换容量和 4Gbit/s 的转发能力。 ? 8 口 PoE 满供能力,可以满足 AC 下直挂 AP 或其他需要供电终端的网络部署要求。 具有多重可靠性设计,确保设备长时间正常使用。 ? 支持基于 LACP(Link Aggregation Control Protocol)、MSTP(Multiple Spanning Tree Protocol)的 端口冗余备份。 ? 支持组网 1+1 冗余热备。 安装简单,维护方便,满足客户的部署要求。 ? AC6005 尺寸为 320mm×233.6mm×43.6mm,适合在桌面、标准 IEC 机柜(19 英寸)里安装。 ? 内置 Web 网管,可以提供本地的图形化管理。 ? 网管 eSight 具有丰富的北向接口,符合企业用户使用习惯。 ? 支持板内温度探测器,实时监控 AC 运行环境。 AC 采用多种节能措施,包括: ? 采用静音风扇,风扇转速自动调整,降低系统的噪音,节省风扇功耗。 ? 当检测不到业务端口对端连接设备,即端口空闲时,则设备进入省电模式,以减小功耗。 ? 采用先进工艺、高集成度、低功耗芯片,并配合智能设备管理系统充分利用芯片的低功耗特性,在提升系 统性能的同时还降低了整机功耗。 AC6605:

提供高容量、高性能的一体化设计方案,具有广泛的网络部署灵活性。 ? 一体化设计:AC 既可以作为有线的接入或汇聚设备,也可以作为无线接入的管理设备。 ? 拥有 24 个 GE 口和 2 个 10GE 口,提供 128Gbit/s 的交换容量和 10Gbit/s 的转发能力。 ? 24 口 PoE 满供能力,可以满足 AC 下直挂 AP 或其他需要供电终端的网络部署要求。 具有多重可靠性设计,确保设备长时间正常使用。 ? 支持基于 LACP(Link Aggregation Control Protocol)、MSTP(Multiple Spanning Tree Protocol)的 端口冗余备份。 ? 支持交流、直流均双电源备份。 ? 支持电源模块热插拔时单电源供电。 ? 支持组网 1+1 冗余热备。 安装简单,维护方便,满足客户的部署要求。 ? AC6605 尺寸为 442mm×420mm×44.4mm,适合在标准 IEC 机柜(19 英寸)里安装。 ? 电源支持热插拔,维护方便。 ? 内置 Web 网管,可以提供本地的图形化管理。 ? 网管 eSight 具有丰富的北向接口,符合企业用户使用习惯。 ? 支持板内温度探测器,实时监控 AC 运行环境。 ACU2:

ACU2 可插在 S7700&S9700&S12700 中,组建无线局域网,主要应用于行业网。 产品特点: ? 强大的接入容量和处理能力。 ? ACU2 单板具有 2048 个 AP 接入控制能力(2048 个隧道转发),最大支持接入 32K 无线终端; ? 具备接近 40G 线速集中转发处理能力。 ? 独立的业务单板,便于集成部署和大容量扩展。 ? 企业已经部署了有线网络的情况下,通过交换机单板的方式,提供无线接入能力,丰富了汇聚交换机上的 业务功能,多业务集成,有效减少占地面积和外部布线,并降低综合成本。 ? 用户可以根据需要插多块 ACU2 板,实现 N*2048 个 AP 的接入控制能力。N 为插入的 ACU2 板数目。 AP 根据应用场景可分为室内 AP、室分 AP 和室外 AP。 室内 AP: 室内放装型 AP 设备。对于建筑结构较简单、面积相对较小、用户相对集中的场合及对容量需求较大 的区域,如小型会议室、酒吧、休闲中心等场景宜选用室内放装型 AP 设备,该类型设备可根据不同环境灵活实施 分布,也可同时工作在 AP 和桥接等混合模式下。 室内 AP 都有一个共同的特点, 就是美观大方, 因为它们要做到布放在室内不影响室内装潢的美观。 如 AP2010DN, 绰号“面板 AP”顾名思义,这种 AP 装在室内就像个小面板,和墙面融为一体。 AP2010DN:

AP3010DN/AP5010DN/ AP5010SN:

AP5030DN:

AP5130DN:

AP6010DN:

室分 AP: 这里我们需要解释下什么叫室分 AP,室分 AP 即室内分布型 AP 设备。对于建筑面积较大、用户分布较广且已建 有多系统合用的室内分布系统的场合,如大型办公楼、商住楼、酒店、宾馆、机场、车站等场景宜选用室内分布型 AP 设备,该类型设备接入室内分布系统作为 WLAN 系统的信号源,以实现对室内 WLAN 信号的覆盖。 举例说明:一个快捷酒店里,每一层都有很多房间。当然,如果一个房间或者两个房间共用一个 AP 也是可以 的。这里因为是快捷酒店,怎么样可以降低成本又不失服务呢?我们的室分 AP 就可以隆重出场了,酒店等建筑物 内,一般都有运营商部署的室分系统,以保证 2G、3G 手机信号的覆盖,我们可以好好的利用室分系统。我们在一 个或几个房间共用一个射频天线,然后通过室分系统和室分 AP 相连,这样就可以做到,一层酒店只需要一个室分 AP 就够了。再通俗的讲,室分 AP 就是把天线伸到各个房间,而不需要每个房间都部署一个 AP。下面一幅图可以帮 助大家理解室分 AP 的工作场景:

室内 AP 的型号为 AP6310SN:

室外 AP:室外分布型 AP 设备。对于接入点多,用户量大,且用户分布较为集中的场合下,如学校、大型会展 中心等大型场所,宜选用室外 AP 设备组网。 室外 AP 都具有卓越的室外覆盖性能及超强的防护,以适应风吹雨淋的室外环境,具有 IP67 的防护等级。 型号如下: AP6510DN:

AP6610DN:

第 5 期华为 WLAN 产品命名规范
通过上一期的介绍大家对 WLAN 的硬件形态有了一定的了解,这期我们来说下 WLAN 产品的命名规则。

说明:以上命名规范适用于 2013 年之前的 AP,包括 AP3010DN-AGN、AP5010DN-AGN、AP5010SN-GN、AP6010DN-AGN、 AP6010SN-GN、AP6310SN-GN、AP7110DN-AGN、AP7110SN-GN、AP6510DN-AGN 和 AP6610DN-AGN 等。

说明:以上命名规范适用于 2013 年之后的 AP,包括 AP5030DN 和 AP5130DN 等。

这里要特别介绍下 AT815SN,这是一款在 V200R003C10 版本新引入的硬件。 AT815SN 是标准室外型接入终端 AT(Access Terminal),具有卓越的室外远程接入性能及超强的防护,支持 2 ×2MIMO,支持 5GHz 频率,支持无线网桥,遵循 IEEE 802.11a/n 标准。具有完善的业务支持能力,高可靠性,高 安全性,网络部署简单,远程实时管理和维护等特点,满足室外远距离无线接入部署要求。 典型组网方式如下:

其命名规范如下:

第 6 期 WLAN 常用概念
最近小编在微博上看到一个笑话,说是:楼主一时心血来潮,把家里的 WIFI 名设置成了 who will love me, 密码是 nobody。结果第二天,整栋楼都连上了楼主的 WIFI。 这个笑话是略夸张了,不过里面出现的 WIFI 名正好引出本期的主题——本期小编将为大家介绍一下 WLAN 的基 础概念。

首先为大家隆重介绍的就是微博中提到的“who will love me”,WLAN 术语称之为 SSID。SSID 是大家日常生 活中接触的最多的,比如我们去星巴克,一边喝咖啡一边上网,当我们用手机搜索无线网络,弹出的 “CMCC-STARBUCKS”就是 SSID。SSID 的全称是 Service Set Identifier,也就是服务集标识符,用于标识一个服 务集,按照大部分人的理解,也就是用来标识一个可用的网路。而所谓服务集,就是一组互相有联系的无线设备, 这样理解起来有点抽象,举个例子,在星巴克咖啡馆提供的无线网络中,我们的手机、平板电脑,带无线网卡的笔 记本这一系列无线终端(在 WLAN 中称之为工作站 STA,Station),只要连上 AP,实际上就构成了一个服务集。在 这个服务集内,只要终端和 AP 关联,终端就能够相互通信(当然是需要通过 AP),也可以通过 AP 访问外部网络。

如果这个咖啡店很小,只要一个 AP 就能 hold 住全场,也就是说这个服务集中只有一个 AP,那么这个服务集就 可以被认为一个基本服务集 BSS。BSS 是无线网络的基本服务单元。所有的终端关联到一个 AP 上,该 AP 连接其他 有线设备,并且控制和主导整个 BSS 中的全部数据的传输过程。 如果咖啡店非常大,又或者这不是一个咖啡馆,而是一个大型商场,那么势必会存在多个 AP,要知道一个 BSS 所覆盖的地理范围有限,直径不超过 100 米,这个时候就会有一个扩展服务集 ESS(Extend Service Set)的概念。

ESS 简单理解,就是多个使用相同 SSID 的 BSS 组成,但是这中间隐含 2 个条件: 1、 这些 BSS 是要比邻安置。 2、 这些 BSS 通过各种分布系统互联,有线无线都可以,不过一般都是以太网。 只有满足上述条件后,我们才认为这些 BSS 可以被统一为一个 ESS。 当然了,如果是两家星巴克里提供的网络,虽然提供的网络号一样,都叫“CMCC-STARBUCKS”,但这显然不是 一个 ESS。

由于使用的是相同的 SSID,我们根本感不到我们是接在多个 BSS 上,而是如同接在同一个 AP 上一样。终端在 ESS 内的通信和在 BSS 中类似,不过如果 BSS 中终端 A 想和另一个 BSS 中的终端 B 通信,则是需要经过 2 个接入点 AP1 和 AP2,即 A->AP1->AP2->B。 特别的, 在同一个 ESS 中的不同 BSS 之间切换的过程称为漫游。 上图也画出了终端 A 从 BSS1 域漫游到 BSS2 (图 上的 A’的位置),此时 A 仍然可以保持和 B 的通信,不过 A 在漫游前后的接入点 AP 改变了。 小编刚刚在前文讲了,我们用 SSID 来标识一个网络,还记得吗。我们讲的 SSID 通常是一个不超过 32 个字符 的字符串,这个 SSID 又叫 ESSID,是对 ESS 的标识。小编说过,只要在一个 ESS 中,我们是感觉不到接在哪个 BSS 上的对吧,你不知道没事,但终端设备得知道吧,于是就有了 BSSID 这个概念。这个 BSSID 就是用来标识 BSS 的。 这个标识符是一个长度为 48 位的二进制标识符,通常是这个 BSS 里面 AP 的 MAC 地址。 前面讲过,我们在咖啡店想用无线网上网,可是有的会搜到网络名很类似好几个 SSID。为什么会这么做呢,其 实内有乾坤。会提供两个 SSID,是因为其中一个是提供给大众的,密码是公开的,不过上网质量就一般般,而另一 个是提供给内部员工的,上网质量会更好,不过密码就不公开啦,这样一般都是为了保证内部员工的上网质量。按 照前面的说法,一个 AP 构建一个服务集,那么要组建这么一个网络是不是势必需要 2 个 AP 呢?

当然不是。华为的设备还可以配置 VAP,为用户提供差异化的 WLAN 业务。所谓 VAP 就是在一个物理实体 AP 上 虚拟出多个虚拟的 AP,每一个被虚拟出的 AP 就是一个 VAP,每个 VAP 提供和物理实体 AP 一样的功能。VAP 的优势 显而易见, 多个虚拟的 AP 工作在同一个硬件平台, 提高了硬件的利用率; 网络管理员可以为不同 VAP 设置不同 SSID, 安全设置,QoS 设置等策略和功能,也增加了网络的灵活性。

看到这里,有人要问小编了,你刚才讲了在一个 ESS 中怎么区分 BSS,可是这是在一一个 AP 上啊,我咋知道我 接的是哪个 VAP 啊?其实 VAP 也是用 BSSID 来区分的, 但是这是 BSSID 不是用的物理 AP 的 MAC 地址, 而是用的 VAP 的 MAC 地址。而这个 VAP 的 MAC 地址实际上和物理 AP 的 MAC 地址是有影射关系的,见图。

一般第一个 VAP 的 MAC 是跟 AP 的 MAC 地址一样的,后面的 VAP 的 MAC 地址是在 AP 的 MAC 的最后一位顺序加一。当 然,BSSID 没有 ESSID 来的好记,毕竟是一串无序数据,所以也会为 VAP 添加一个 SSID 来方便记忆。 顺便说一句,在一个 AP 上可以创建 16 个 VAP。 好了,总结一下,本期为大家介绍的基本概念有: 概念 BSS ESS SSID 全称 描述 基本服务集 BSS(Basic 无线网络的基本服务单元,通常由一个 AP 和若干无线终端组成。 Service Set) 扩展服务集 ESS(Extend 由多个使用相同 SSID 的 BSS 组成,解决 BSS 覆盖范围有限的问题。 Service Set) 服务集标识符 SSID (Service Set Identifier) 用来区分不同的无线网络。

ESSID

扩展服务集标识符 ESSID 一个或一组无线网络的标识,和 SSID 是相同的。

(Extended Service Set Identifier) BSSID 基本服务集标识符 BSSID 在链路层上用来区分同一个 AP 上的不同 VAP,也可以用来区分同一个 ESS 中的 (Basic Service Set BSS。 Identifier) 虚拟接入点 VAP (Virtual AP 设备上虚拟出来的业务功能实体。用户可以在一个 AP 上创建不同的 VAP 来为 Access Point) 不同的用户群体提供无线接入服务。

VAP

第 7 期 AP 上线过程
话说 AP 家有兄弟俩,哥哥胖 AP(FAT AP)身强体健,单打独斗,无人能出其右,弟弟瘦 AP(FIT AP)天生体 质薄弱,独自一人无法支撑大梁。有天弟弟对哥哥说: “大哥,我真是羡慕你,一个人就能轻松承担无线用户接入、 用户数据加密和转发等功能,而我自己一人,却什么都干不了啊。”哥哥说到:“弟弟莫要灰心,俗话说,天生我 材必有用,虽说单打独斗你不是我对手,可是我的能力也仅限于小型企业、商店、SOHO 办公、家庭等这类的小型 WLAN 网络应用场景,对于更大的 WLAN 网络场景,却是心有余而力不足了。反观弟弟你,若是能找到一个好的师傅 (AC),在师傅的带领下,和众多师兄弟(其它的 FIT AP)一起,应对各类大中小型企业总部、分支机构、高校、 机场、体育场等等大中型 WLAN 网络应用场景,还不是手到擒来。”听完此话,弟弟恍然大悟:“大哥言之有理, 小弟这就准备准备,寻找名师拜入门下。” 于是 FIT AP 就开始了他的拜师之旅-这就是我们本次分享的内容:AP 上线过程。 从前面的 WLAN 技术贴中,我们了解到了 AP 分胖瘦,FAT AP 能够独自承担无线用户接入、用户数据加密和转发 等功能,而 FIT AP 必须依赖于 AC 才能共同完成这些功能。AC 在协同 FIT AP 共同工作之前,必先要实现 FIT AP 在 AC 中上线的过程。 拜师之前,FIT AP 心想,出门在外,得先有个联系方式(IP 地址)才行,不然要是有师傅愿意接收自己,却 没有联系方式找到自己,岂不是错过了机会。于是 FIT AP 来到了 DHCP Server 营业厅办理 IP 地址业务。 AP 获取 IP 地址 一进营业厅,FIT AP 就大喊一声(广播方式):“我要办理一个 IP 地址。”这时有多位 DHCP Server 的工作 人员热情回复,“您好,来看看我这的 IP 地址,是否满意。”FIT AP 毫不犹豫,直接走向第一个回复的工作人员, “好,就要你给的 IP 地址了。”工作人员打包好 IP 地址、租期日期、网关地址、DNS Server 的 IP 地址等等信息, 一起交给 FIT AP,道:“请拿好,这就是您要的货物了。”收好自己的 IP 地址,FIT AP 满意的走出了营业厅大门。

AP 的 IP 地址可以是静态配置的,也可以是通过 DHCP 动态获取的。 如果是静态配置的,AP 的 IP 地址立即就确定了,这一步也就结束了。 如果是通过 DHCP 动态获取, AP 不知道谁是 DHCP Server, 会以广播 discovery 报文的方式去发现 DHCP Server, 所有收到这个广播信息的 DHCP Server 都会单播 offer 回应 AP。AP 只接收第一个到达的 offer,并广播 request 告诉所有人,我已经选择好了一个 DHCP Server 了,其他人不需要再准备为我提供 DHCP Server 服务了。AP 选择的 DHCP Server 会把 AP 的 IP 地址、租期日期、网关地址、DNS Server 的 IP 地址等信息用 ACK 报文反馈给 AP。值得

注意的是这个 ACK 报文里面有个 option43 字段,里面可以用来填充 AC 的 IP 地址。作用就是直接告诉 AP 有 AC 的 IP 地址可用。具体在后面的 AP 发现 AC 阶段中描述其作用。 有的时候 AP 与 DHCP Server 不在同一个 VLAN 中,AP 通过广播 discovery 报文不能直接发现 DHCP Server,这 个时候,可以通过 DHCP Relay 来发现 DHCP Server。AP 获取 IP 地址的流程就变成了下面的样子:

AP 原来只需要直接和 DHCP Server 交流,现在变成了和 DHCP Relay 直接交流,由 DHCP Relay 将 AP 的请求单 播给 DHCP Server,DHCP Server 回复给 AP 的消息也要通过 DHCP Relay 来转达。 Ps:具体的 DHCP 客户端和服务器的交互过程本帖不做过多的介绍,本帖仅关注 AP 上线的关键过程。可以参考 DHCP 特性的原理描述来了解详细过程。 联系方式既然已经获取到,下一步就是要寻找师傅了。 AP 发现 AC 这个时候 AP 突然想起,DHCP Server 营业厅的工作人员给过自己一份广告传单。上书“你想升职加薪,当上总 经理,出任 CEO,赢取白富美,走上人生巅峰吗!赶紧拨打我们的电话,成为我们大企业 WLAN 的一份子吧,圆你美 梦。机不可失,时不再来,名师在向您招手”。原来是一份招聘广告,上面还有一位 AC 师傅的号码(Option43)。 AP 深吸一口气,平复一下略微紧张的心情,拨通了传单上的师傅电话。

想象中的场景没有出现,而是对方的电话一直没有人接听,AP 感到一阵失望,但并未气馁。既然此路不通,只 好找其它方法了。

有了,AP 脑中灵光一闪,迅速坐到电脑前,打开 AC 师傅招收学徒的网页,注册了个账号,填写一份简历,然 后群发了出去。很快 AP 就收到了来自多个 AC 的回复,AP 根据各个 AC 师傅的特点,仔细对比,选择出了一个最适 合自己的 AC,准备拜师。 静态方式 AP 上是支持静态配置 AC 的 IP 地址的,如果静态配置了 AC 的 IP 地址,AP 就会向所有配置的 AC 单播发送发现 请求报文,然后根据 AC 的回复,根据优先级,选择一个 AC,准备进行下一个阶段的建立 CAPWAP 隧道。 动态方式 如果 AP 上没有配置 AC 的 IP 地址,AP 会根据当前的情况来决定是使用单播方式还是广播方式来发现 AC。 首先,AP 会查看 AP 获取 IP 地址阶段中 DHCP Server 回复的 ACK 报文中的 option43 字段是否存在 AC 的 IP 地 址,这个字段是可选择配置的,如果有 AC 的 IP 地址,AP 就会向这个地址单播发送发现请求报文。在 AC 和网络都

正常的情况下,AC 会回应 AP 的请求,至此,AP 就完成了发现 AC 的过程。我们可以把这种发现 AC 的方式称为 DHCP 方式。 与 DHCP 方式类似的还有 DNS 方式,与 DHCP 方式不同的是,DNS 方式中,DHCP Server 回复的 ACK 报文中存放 的不是 AC 的 IP 地址,而是 AC 的域名和 DNS 服务器的 IP 地址,并且报文中携带的 option15 字段用来存放 AC 的域 名,AP 先通过获取的域名和 DNS 服务器进行域名解析,获取 AC IP 地址,然后向 AC 单播发送发现请求。之后的过 程就和 DHCP 方式一致了。 无论是 DHCP 方式还是 DNS 方式,都是属于单播方式,AP 都是发送的单播报文给 AC。 如果 AP 上没有配置静态的 AC IP 地址、DHCP Server 回复的 ACK 报文中没有 AC 的信息、或者 AP 单播发送的发 现请求报文都没有响应, 此时 AP 就会通过广播报文来发现 AC。 和 AP 处于同一个网段的所有 AC 都会响应 AP 的请求, AP 会选择优先级最高的 AC 来作为待关联的 AC,如果优先级相同,则继续比较 AC 的负载,负载轻的作为待关联 AC, 如果负载也相同,则选择 IP 地址小的作为待关联 AC。然后准备进行下一阶段的 CAPWAP 隧道建立。

Ps:Option 43 在 AC 和 AP 间的网络是二层的场景下,存在的作用不明显,因为通过单播发现不了 AC,可以再 次通过广播来发现,但是如果 AC 和 AP 间的网络是三层的,广播报文是无法直接传递到 AC 的,所以必须要通过 Option43 来告知 AP 要找的 AC 是哪个。 CAPWAP 隧道建链 虽然有点小困难,但最终还是找到了师傅,AC 师傅看到 AP 后,直言道:“当今的社会,大家都非常注意信息 安全,你我之间的谈话内容和下发的工作信息,我不希望被其他有心人听取到,所以今后我们之间的交流方式要加 一套保险措施。”AP 略一思索,觉得也有道理,便问道:“什么保险措施能够起到有效的保障呢?”。师傅捋了捋 自己的长须,得意的道:“CAPWAP 隧道” CAPWAP 全称是 Control And Provisioning of Wireless Access Points,中文名叫无线接入点控制与规范, CAPWAP 是由 RFC5415 协议定义的实现 AP 和 AC 之间的互通的通用封装和传输机制。CAPWAP 隧道又细分为控制隧道 和数据隧道。控制隧道是用来传输 AC 管理控制 AP 的报文、业务配置以及 AC 与 AP 间的状态维护报文;数据隧道则 只有在隧道转发(又称集中转发)方式下才用来传输业务数据。 AP 发现了 AC 后,就可以开始 CAPWAP 隧道的建立了。 AP 接入控制 接下来,到了考验 AP 入门资格的时候了,不是每一个 AP 都是符合入门要求的 AP。在 AP 提出要拜师的想法后, 为了保证入门 AP 的合法性,防止有外人或间谍(非法 AP)混入,AC 师傅设置了一系列的考核要求进行检验,AP 必须过五关斩六将,才能最终通过考验,拜入 AC 门下。鉴于 AP 是带艺投师,AC 还要验证 AP 的内功(AP 版本)是 否与本门是一个路数,是否和本门武功相冲。

AP 在找到 AC 后,会向 AC 发送加入请求,(如果配置了 CAPWAP 隧道的 DTLS 加密功能,会先建立 DTLS 链路, 此后 CAPWAP 控制报文都要进行 DTLS 加解密。)请求的内容中会包含 AP 的版本和胖瘦模式信息。AC 收到 AP 的加入 请求后,会判断是否允许 AP 接入,然后 AC 进行回应。如果 AC 上有对应的升级配置,则 AC 还会在回应的报文中携 带 AP 的版本升级信息(升级版本、升级方式等)。 AC 判断 AP 是否能够接入的流程:

第一关,首先查看 AP 是否被列入了黑名单,如果在黑名单中能匹配上 AP,则不允许 AP 接入,然后就没有然后 了。如果很幸运,没有匹配上黑名单,那么将进入第二关。 第二关,判断 AP 的认证模式,如果 AC 上对 AP 上线要求不严格,认证方式为不认证,则到这一关的 AP 都将闯 关成功,允许接入。实际使用场景还是建议使用 MAC 或 SN 认证,严格控制 AP 的接入。如果是 MAC 或 SN 认证,还 需要继续闯关。 第三关,本关 MAC 或 SN 认证分别要验证 MAC 或 SN 对应的 AP 是否离线添加,如果已添加,则允许 AP 接入,否 则进入下一关。 第四关,查看 AP 的 MAC 或 SN 是否能在白名单中匹配上,如果匹配上,则允许接入,否则 AP 被放入到未认证 列表中。 第五关,未认证列表中的 AP 可以通过手动配置的方式,允许其接入,如果不对其进行手动确认,AP 也无法接 入。

AP 版本升级 AC 收下 AP 为徒后,递给 AP 一本本门的内功心法要求,AP 打开一看,发现自己所学的内功心法(AP 版本)竟 然与师傅所要求的相冲,AP 一咬牙,不破不立,毅然散去所学内功,重修本门的心法。 AP 收到前一阶段 AC 回应的报文后,如果发现里面有指定了 AP 的版本,并且指定的版本与 AP 当前的版本不一 致,会进行 AP 版本升级。升级完成后,AP 自动重新启动,并且重复之前的所有上线过程。如果 AP 发现 AC 回应的 报文里面指定的 AP 版本和自身的版本一致,或者没有指定 AP 的版本,则 AP 不需要进行版本升级。直接进入下一 个阶段。 CAPWAP 隧道维持 “为了便于关注你的工作状态,对你进行管理和任务分发,你和为师之间要通过 CAPWAP 隧道来维持联系。平 时会通过定时收发 echo 报文来确认控制隧道、keepalive 报文来确认数据隧道的连通性,你要记住了,平时别偷懒 忘记收发这些报文了。”“徒儿记住了。” 根据 CAPWAP 协议的要求,AP 和 AC 间还需要进行一些其它报文的交互,然后 AP 和 AC 间开始通过 keepalive 和 echo 报文来检测数据隧道和控制隧道的连通性。Keepalive 报文的出现,标志着数据隧道已经建立起来,echo 报文的出现,则标志着控制隧道的已经建立。 配置下发 “师傅,一切都已准备就绪,请下发工作任务给我吧”,AP 急不可耐的道。“好,我这就下发。从现在起你就 和其他师兄弟一起,共同承担我分发的任务,一起保障 WLAN 业务的正常运行吧。” CAPWAP 隧道建立完成后,AC 就可以把配置下发给 AP 了。AP 收到 AC 的配置信息后,就能以 AC 上配置的业务来 展开 WLAN 业务了。 后记 FIT AP 拜师入门已经过去一段时日,这日,FIT AP 遇到了哥哥 FAT AP,哥哥道:“如何,现在已经拜得名师, 大展身手了吧。”弟弟喜笑颜开:“多亏大哥当时指点,前些日子我已经顺利拜入师傅名下,习得高深的内功,现 在被师傅委以重任,与诸位师兄弟一起,支撑起来***的 WLAN 网络场景。”“好,你我兄弟各有短长,今后我们可 以携手并进,轻松应对各类无线组网场景。在 WLAN 江湖中闯出自己的一片天地。”

第 8 期 STA 接入过程
上期和大家分享了 FIT AP 在 AC 上的上线过程,其实无论是 FAT AP 还是上线的 FIT AP,最终目的都是要用来 提供无线网络覆盖环境,以供无线终端 STA 接入。这样我们才能在日常的生活和工作中,在无线网络覆盖范围内, 通过便捷的无线方式,经 AP 连接到网络中,进行娱乐或办公。本期将要为大家介绍的是在无线网络环境中,STA 是如何接入到 AP 上的——STA 接入过程。 上一回我们说到 FIT AP 经过一段不轻松的过程,成功拜入 AC 师傅的门下,获得师傅的认可后,修习了高深的 内功,此后,和诸位师兄弟一起,被师傅委以重任。在玉树临风风流倜傥才高八斗学富五车的师傅的英明领导下, 众师兄弟齐心协力建立起了名噪一时的龙门镖局,师傅 AC 任总镖头,AP 作为镖师专为各类主顾押镖。龙门镖局以 响应主顾速度快,托镖安全有保障而为众人熟知。故坊间有传言“挖掘技术哪家强,中国山东找蓝翔;托运镖物谁 最能,首屈一指是龙门”。经过一段时间的打拼,龙门镖局现已名声在外,能够走到这一步,镖局处理托镖事务的 标准规范流程起了重要的作用。那么我们就来看看要想找龙门镖局托镖,具体需要怎么做吧。 主顾 STA 找镖局托镖,具体过程有三: 其一、寻找到满意的镖师 AP(扫描:用于 STA 发现无线网络); 其二、向镖师出示自己的托镖资格(链路认证:STA 和 AP 间无线链路的认证过程,通过了这个认证,才表示 STA 有资格和 AP 建立无线链路); 其三、签订托镖协议(关联:确定 STA 有资格和 AP 建立无线链路后,STA 还需要与 AP 协商无线链路的服务参 数,才能完成无线链路的建立)。 本文以 STA 找镖局托镖的流程来喻指 STA 接入过程,托镖则指数据传输。这里我们说的 STA 接入过程,包括三 个阶段:扫描、链路认证和关联。

完成了这三个阶段后,STA 就连接上了 AP。后续 STA 还要根据实际情况,来决定 STA 是获取 IP 地址后就可以 接入网络,还是需要再进行各种接入认证和密钥协商后才能接入网络(图中是以 Portal 认证的流程为例,获取 IP 是在接入认证之前, 不同的认证方式获取 IP 的顺序可能不一样, 例如 MAC 认证, 获取 IP 是在接入认证之后进行的) 。 Ps:接入认证和密钥协商不是一定要进行的,在 STA 关联阶段,STA 会根据收到的关联回应报文来决定是否需 要进行接入认证和密钥协商。具体会在后面的关联阶段描述。但在实际的应用中,考虑到无线网络的安全性,通常 都会选择进行接入认证和密钥协商的。 第一阶段:扫描 主顾 STA 在托镖之前,首先要找到自己满意的镖师。因为镖局为适应市场需求,在不同区域安排有不同的镖师 负责业务,而主顾可能会在不同的区域中移动,因此主顾就需要及时的了解到当前有哪些镖师可以雇佣。主顾找到 可雇佣镖师的过程,用行话来说就是扫描。主顾可以主动的去寻找镖师,也可以被动的等待镖师推送给你的服务信 息。 联系到平时我们使用手机连接 Wi-Fi 之前,通常都是要先看看当前手机上能搜索到哪些无线信号,然后再选中 一个网络接入。图中是手机搜索到的无线网络,里面的那一串串字母是啥?对了,就是我们之前介绍过的 SSID,也 就是每个无线网络的标志。而我们就是通过点击其中的一个想要连接的 SSID 来进行联网的。

其实在这里就体现了一个信息,要想连接无线网络,就需要先搜索到无线网络。STA 搜索无线网络的过程就叫 做扫描。当然现在很多手机在开启 Wi-Fi 连接功能的时候,如果以前连接的网络能够连上,会自动就连接以前的网 络,这是手机软件为简化用户的操作而设计的功能,并不是说手机就不用再进行扫描过程了。实际上扫描过程是手 机等这类 STA 自动进行的过程,我们在使用的时候,看到的已经是扫描到的结果了。 扫描分为两类:主动扫描和被动扫描。正如字面的含义,主动扫描是指 STA 主动去探测搜索无线网络,而被动 扫描则是指 STA 只会被动的接收 AP 发送的无线信号。具体过程请看下文描述。 主动扫描 主动寻找镖师的过程中, 主顾 STA 会在其力所能及的范围内, 主动去寻找都有哪些镖师可以帮忙押镖。 现在 STA 已经前往镖局,寻找所有能提供服务的镖师。进入镖局后,STA 找了个稍高的位置站好,喊了一嗓子,“有镖师可 以帮忙托镖没,这有一宗大买卖”,也许是大买卖三个字引起了众镖师的关注,几乎是最短的时间内,所有的镖师 的回应了 STA 的请求。一般按照龙门镖局的规范要求,所有在位的镖师都要回应主顾的需求,为的就是能够让主顾 能够完整的获取到镖师的信息,为主顾提供更多的选择。而 STA 现在需要做的就是从中选择一个最中意的镖师。

主动扫描情况下,STA 会主动在其所支持的信道上依次发送探测信号,用于探测周围存在的无线网络,STA 发 送的探测信号称为探测请求帧(Probe Request)。探测请求帧又可以分为两类,一类是未指定任何 SSID,一类是 指定了 SSID 的。 1、探测请求帧里面如果没有指定 SSID,就是意味着这个探测请求想要获取到周围所有能够获取到的无线网络 信号。所有收到这个广播探测请求帧的 AP 都会回应 STA,并表明自己的 SSID 是什么,这样 STA 就能够搜索到周围 的所有无线网络了。(注意如果 AP 的无线网络中配置了 Beacon 帧中隐藏 SSID 的功能,此时 AP 是不会回应 STA 的 广播型探测请求帧的,STA 也就无法通过这种方式获取到 SSID 信息。) 有时候 STA 发现热情的镖师实在是太多了,为了能够迅速找到想要雇佣的镖师,STA 会直接喊出镖师的名字, 这样其他的镖师自然不会再来打扰,而只有被点名的镖师才会找上前来,与主顾沟通交流。

2、探测请求帧中指定了 SSID,这就表示 STA 只想找到特定的 SSID,不需要除指定 SSID 之外的其它无线网络。 AP 收到了请求帧后,只有发现请求帧中的 SSID 和自己的 SSID 是相同的情况下,才会回应 STA。 被动扫描 除了通过主动去镖局的方式寻找镖师外,镖师也会定期发送信息或传单来告诉主顾们这里有镖师可以提供押镖 服务。通过这些主动送上门的信息或传单上的联系方式,STA 也能找到可以雇佣的镖师。这样做的好处当然就是让 主顾更加的省力省事了。 被动扫描情况下,STA 是不会主动发送探测请求报文的,它要做的就只是被动的接收 AP 定期发送的信标帧 (Beacon 帧)。

AP 的 Beacon 帧中,会包含有 AP 的 SSID 和支持速率等等信息,AP 会定期的向外广播发送 Beacon 帧。例如 AP 发送 Beacon 帧的默认周期为 100ms,即 AP 每 100ms 都会广播发送一次 Beacon 帧。STA 就是通过在其支持的每个信 道上侦听 Beacon 帧,来获知周围存在的无线网络。(注意如果无线网络中配置了 Beacon 帧中隐藏 SSID 的功能, 此时 AP 发送的 Beacon 帧中携带的 SSID 是空字符串,这样 STA 是无法从 Beacon 帧中获取到 SSID 信息的。) STA 是通过主动扫描还是被动扫描来搜索无线信号呢?这完全是由 STA 的支持情况来决定的。手机或电脑的无 线网卡,一般来说这两种扫描方式都会支持。无论是主动扫描还是被动扫描探测到的无线网络都会显示在手机或电 脑的网络连接中,供使用者选择接入。而一般 VoIP 语音终端通常会使用被动扫描方式,其目的是可以节省电量。 当手机扫描到无线网络信号后,我们就可以选择接入哪个网络了,这时 STA 就需要进入链路认证阶段了。 第二阶段:链路认证 当 STA 找到满意的镖师后,并不能够直接就让镖师押送货物,而是需要先通过镖师的认证,验证 STA 的合法资 格后才能签订押镖协议,避免不合法或恶意的 STA 进行不可告人的活动。 龙门镖局为主顾们提供了好几种服务套餐(安全策略),每种服务套餐都会包含有不同的方式来验证 STA 的合 法资格。但总的来说验证 STA 资格的方式分有两种:开放系统认证和共享密钥认证。 STA 和 AP 之间是通过无线链路进行连接的,在建立这个链路的过程中,需要要求 STA 通过无线链路的认证,只 有通过认证后才能进行 STA 和 AP 之间的无线关联。但此时尚不能判断,STA 是否有接入无线网络的权限,需要根据 后续 STA 是否要进行接入认证、是否通过接入认证才能判断。 一说到认证,可能大家就会想到 802.1X 认证、PSK 认证、Open 认证等等一堆的认证方式。那这些认证方式和 链路认证有什么关系呢?在解决这个问题前,我们先来简单的了解下安全策略。 安全策略体现的是一整套的安全机制,它包括无线链路建立时的链路认证方式,无线用户上线时的用户接入认 证方式和无线用户传输数据业务时的数据加密方式。如同下表中,列举出来几种安全策略所对应的链路认证、接入 认证和数据加密的方式。 安全策略 WEP 链路认证方式 Open Shared-key Authentication WPA/WPA2-802.1X Open WPA/WPA2-PSK WAPI-CERT WAPI-PSK Open Open Open 接入认证方 数据加密方式 说明 式 不涉及 不涉及 不加密或 WEP 加密 WEP 加密 不安全的安全策略 仍然是不安全的安全策略 安全性高的安全策略,适用于大型企业。 安全性高的安全策略,适用于中小型企业或 家庭用户。 国产货,应用的少,适用于大型企业和运营 商。 国产货,应用的少,适用于小型企业和家庭 用户

802.1X (EAP) TKIP 或 CCMP PSK TKIP 或 CCMP

预共享密钥 SMS4 鉴别 WAPI 证书鉴 SMS4 别

这里再配合下面这张图一起理解下。链路认证和接入认证是先后两个不同阶段的认证。

从表中可以看出, 安全策略可分为 WEP、 WPA、 WPA2 和 WAPI 几种, 这几种安全策略对应的链路认证其实只有 Open 和 Shared-key Authentication 两种,而 802.1X 和 PSK 则是属于接入认证方式。另外用户接入认证方式其实还包 括表中未列出的 MAC 认证和 Portal 认证。 (Ps:更多的安全策略、MAC 认证和 Portal 认证的内容,可以参考 WLAN 安全特性和安全特性的特性描述。) 现在回到我们的主题上来,链路认证包括 Open 和 Shared-key Authentication,具体认证过程是怎么样的呢? 开放系统认证(Open System Authentication) 为加快镖师处理业务的速度能力,龙门镖局使用了一种叫做开放系统认证的方式来检查主顾的合法资格,只要 主顾有托镖请求,镖师都会直接同意。当然这样做会存在安全隐患,让不合法的主顾有机可趁,所以为了提高镖局 的安全保障,通常配合这套认证方式,会在后面的托镖流程中再进行一次严格的方式来专门检查主顾的合法资格。

开放系统认证简称就是 Open 认证,又叫不认证。但是要注意,不认证也是一种认证方式,只不过这种链路认 证方式下,只要有 STA 发送认证请求,AP 都会允许其认证成功,是一种不安全的认证方式,所以实际使用中这种链 路认证方式通常会和其它的接入认证方式结合使用,以提高安全性。

共享密钥认证(Shared-key Authentication) 另一种方式叫共享密钥认证,需要主顾和镖师间先确定好一个暗语,主顾发出托镖请求后,镖师会用暗语的方 式验证主顾的身份合法性。通过了认证会给主顾办理托镖业务。

看到共享密钥认证,从名称上很容易就让人联想到预共享密钥认证 PSK(Pre-shared key Authentication), 其实共享密钥认证是一种链路认证方式,而预共享密钥认证是一种用户接入认证方式,两种认证方式的过程实际上 是类似的。 共享密钥认证的过程只有四个步骤,在认证前,需要在 STA 和 AP 上都配置相同的密钥,否则是不能认证成功 的。

认证的第一步,是由 STA 向 AP 发送一个认证请求。 接着,AP 在收到请求后会生成一个挑战短语,再将这个挑战短语发送给 STA,假设这个挑战短语是 A。 然后,STA 会用自己的密钥 Key 将挑战短语进行加密,加密后再发给 AP,假设加密后变为了 B。 最后,AP 收到 STA 的加密后信息 B,用自己的密钥 Key 进行解密。只要 STA 和 AP 上的密钥配置的一致,解密 出来的结果就会是 A,AP 会将这个结果与最开始发给 STA 的挑战短语进行对比,发现结果一致,则告知 STA 认证成 功,结果不一致则就会认证失败。 链路认证成功后,STA 就可以进行下一步的关联阶段了。 第三阶段:关联

验证完了主顾的合法资格后,镖师将主顾请到会客室,准备签订托镖协议。STA 将准备好的各类协议材料提交 给镖师,然后镖师会把这些材料递交给镖头,由现任的镖头 AC 来审核签订协议。审核签订完成后,镖师再把镖头 的审核签订结果递交给主顾。至此,STA 完成了托镖的流程。

关联总是由 STA 发起的,实际上关联就是 STA 和 AP 间无线链路服务协商的过程。 关联阶段也是一个只有关联请求和回应的两步的过程。

STA 在发送的关联请求帧中,会包含一些信息,包括 STA 自身的各种参数,以及根据服务配置选择的各种参数。 (主要包括 STA 支持的速率、信道、QoS 的能力,以及选择的接入认证和加密算法等等。)如果是 FAT AP 收到了 STA 的关联请求,那么 FAT AP 会直接判断 STA 后续是否要进行接入认证并回应 STA;如果是 FIT AP 接收到了 STA 的关联请求,FIT AP 要负责将请求报文进行 CAPWAP 封装后发送给 AC,由 AC 进行判断处理,并且 FIT AP 还要负责 将 AC 的处理结果解 CAPWAP 封装后再发送给 STA。(在这个过程中 FIT AP 起到一个传话筒的作用,且 AP 和 AP 间的 这类关联报文需要通过 CAPWAP 隧道传输。) 托镖协议签订完成后,根据主顾选择的服务套餐,后续会有不同的托镖流程。例如,主顾选择的是 WEP 安全策 略的服务套餐(例如 Open+不加密),这种情况下,协议签订完成后,STA 获取一个临时联系方式(获取 IP 地址), 就可以通过镖局发镖了。 如果主顾选择的是 WPA 安全策略的服务套餐 (例如 Open+802.1X+CCMP) , 协议签订完成后, 用户获取联系方式后,还需要进行一轮新的身份权限认证(802.1X 认证)和密钥协商,成功后才能通过镖局发镖。 关联完成后,表明 STA 和 AP 间已经建立好了无线链路,如果没有配置接入认证,STA 在获取到 IP 地址后就可 以进行无线网络的访问了。如果配置了接入认证的,STA 还需要完成接入认证、密钥协商等阶段才能进行网络访问。 (如果接入认证失败,仅可以访问 Guest VLAN 中的网络资源或 Portal 认证界面。) 其它阶段 如前面链路认证阶段所述,接入认证包括 802.1X 认证、PSK 认证、MAC 认证以及 Portal 认证。通过这些认证 方式可以实现了对用户身份的认证,提高了网络的安全性,而密钥协商是对用户数据安全提供保障。完成接入认证 和密钥协商后,就可以进行网络访问了。限于本期的重点,详细的内容不加以描述,有兴趣了解这方面内容,可以 参考 WLAN 安全和安全的特性描述。 最后给大家分享个内涵故事,并用本期介绍的知识简单分析下。一对新婚***,老婆为了向某单身闺蜜秀优越, 带着新婚的老公去看望该单身闺蜜,席间老婆拿出老公的 IPhone6,习惯性的开启了 Wi-Fi,没有输入密码,直接 就连上了网络。。。。。瞬间,她貌似明白了什么,默默的拿出了自己的手机,选择连接闺蜜家的 Wi-Fi,显示这

是一个安全的网络,需要输入密码才能连接。她醒了,她彻底觉悟了——她的手机能关联闺蜜家的 WLAN,但她要输 入密码才能使用闺蜜家的 Wi-Fi。 手机上能看到这个 Wi-Fi 网络, 表示手机成功的通过扫描过程找到了 Wi-Fi 网络。 老公的手机直接能连 Wi-Fi, 老婆的手机要输密码才能连,并且手机有显示这是一个安全的网络,表示闺蜜家的 Wi-Fi 是存在密码认证的。手机 连接过的 Wi-Fi,通常可以存储上次连接时的一些信息,比如密码,那么下次再连接的时候是不需要用户重新输入 密码,手机软件直接帮忙输入了。所以老公的手机一定是之前有连过闺蜜家的 Wi-Fi,这次才会不用输密码就直接 连上。那这个密码是链路认证还是接入认证阶段提示的呢,仅通过上面的信息是无法判断的。因为链路认证可以采 用共享密钥加密方式,接入认证可以采用更多的(比如 802.1X、PSK、Portal 等)认证方式,两者都需要输入密码, 所以不能认为需要输密码就是接入认证,也有可能是链路认证。不过在实际使用中,链路认证通常使用 Open 认证, 较少使用共享密钥认证,所以一般情况下是接入认证提示密码的可能性大。

第 9 期直接转发和隧道转发
AC+FIT AP 架构的网络中存在两种报文,一类是 AC 管理控制 AP 的报文,称为管理报文(也叫控制报文),另 一类是 STA 的用户数据报文,称为业务报文。

如上图所示,图中的虚线表示报文的转发路径。管理报文只在 AC 和 AP 之间的网络中传输,需要经过 CAPWAP 隧道转发。业务报文在 STA 和 STA 要访问的网络之间传输。业务报文存在两种转发方式,直接转发(本地转发)和 隧道转发(集中转发),隧道转发方式下业务报文需要经过 CAPWAP 隧道转发,直接转发方式下不经过 CAPWAP 隧道 转发。 本期分享的内容是直接转发和隧道转发两种方式下业务报文的转发处理流程,为便于理解,我们先来了解管理 报文的转发处理流程。 管理报文的转发处理流程 结合下面的图来分析管理报文的转发处理流程。组网较为简单,旨在便于描述原理。

从上往下看图,右侧报文结构简图从右往左看。图上的 Payload 看做是 AC 想要发送给 AP 的实际有效信息,即 管理报文的实际内容。(直接转发和隧道转发是针对业务报文而言的,管理报文和直接转发、隧道转发没有半毛钱 关系,管理报文只有一种转发处理流程。) 一、封装 AC 在发送 Payload 前, 需要先把 Payload 封装在 CAPWAP 隧道中。 所谓封装在 CAPWAP 隧道中, 实际就是在 Payload 报文外面增加一节 CAPWAP 字段,这样“看起来”只要是有 CAPWAP 字段的报文就认为是封装在了 CAPWAP 隧道中。 增加 CAPWAP 字段后,再增加 UDP/IP 字段和 802.3 字段,这里的 802.3 字段表示这个报文将要通过有线的以太 网进行传输。 最后,AC 还要给这个报文加上管理 VLAN。所谓管理 VLAN,是指报文在 CAPWAP 封装后添加的外层 VLAN。在 AC 与 AP 间的网络中,管理报文会一直带着管理 VLAN 进行转发处理。 二、传输 结合实际的配置来看,AC 到 AP 间的网络都需要允许携带管理 VLAN 的报文通过,以保证管理报文能够在 AC 和 AP 间正常传输。 1、如果 AC 与 AP 间的网络是三层组网,管理 VLAN 会在报文转发过程中随之改变,图中的 VLAN m’≠VLAN m。 (这里是以在交换机 Switch 上进行三层转发为例,为便于记忆,m 取 management 的第一个字母。) 2、如果 AC 与 AP 间的网络是二层组网,管理 VLAN 会保持不变,则图中的 VLAN m’=VLAN m。 三、解除封装 当报文从上游到下游转发到直连 AP 的接口, 即图中 Switch 连接 AP 的接口时, 需要去掉报文外层的管理 VLAN, 再将剩下的报文内容发送给 AP。默认情况下,AP 只能识别处理不带有管理 VLAN 的管理报文并解除 CAPWAP 封装, 识别出管理报文的具体内容 Payload。 结合实际的配置,直连 AP 的设备接口通常都要求配置 PVID 为管理 VLAN,目的就是在此接口发送报文给 AP 的 时候,去掉报文外层的管理 VLAN。 当然,如果接口上没有配置 PVID,或者说 AP 接收到的报文就是带有管理 VLAN,也是有应对方法的,这时候需 要针对 AP 配置 management-vlan 为管理 VLAN m,这样 AP 在接收到带有管理 VLAN 的报文后,还是能够识别并去掉 管理 VLAN,解除 CAPWAP 封装,解析出 Payload。 以上分析的是 AC 发送管理报文给 AP 的过程,AP 发送管理报文给 AC 的过程,只要把上面的流程倒过来理解就 可以了。AP 发送经过 CAPWAP 封装后的报文到直连 AP 的接口时,Switch 会给报文加上管理 VLAN,再转发给 AC。到 达 AC 后,由 AC 去掉管理 VLAN,解封 CAPWAP 封装,获取报文信息内容。 业务报文的直接转发处理流程 结合下图来分析直接转发方式下业务报文的转发处理流程。

同样上面往下,右边往左看图。图上的 Payload 是 STA 访问的网络设备发送给 STA 的实际有效信息,即业务报 文的实际内容。图中有两个 AC,如果 AC 处在中转站处,表示是 AC 直连式组网;如果 AC 处在酱油党处,表示是 AC 旁挂式组网; 不是指有两个 AC 同时存在于网络中。 无论 AC 处于哪里, 业务报文都是按照同样的转发路径, 从 Internet 一直转发到 STA。 一、封装 发送给 STA 的 Payload 在进入网络的时候就会进行一次封装,这个封装不是指 CAPWAP 封装,而是在 Payload 报文外面增加一段 802.3 字段和添加业务 VLAN (在图中未体现 UDP/IP 字段, 可以理解为已经包含在了 Payload 中) 。 业务 VLAN 即是指业务报文外层的 VLAN。 直接转发方式下,业务报文不会进行 CAPWAP 封装。 二、传输 结合实际的配置来看,直接转发方式下,从上层网络 Internet 到 AP 之间都是要允许携带业务 VLAN 的报文通 过,以保证业务报文能够在 Internet 和 STA 间正常传输。 1、AC 直连组网场景下,AC 处在如图中的中转站处,在收到上层网络发送来的 Payload 信息后,会和其它的交 换机一样只进行报文转发,不进行 CAPWAP 封装,图中的中转站 AC 收到的报文和交换机收到的报文格式是一致的, 且 AC 的任务也是和交换机一样转发业务报文给下一个网络设备, 2、AC 旁挂组网场景下,AC 处在如图中的酱油党处,是不会收到业务报文的,在这种场景下,业务报文根本不 需要经过 AC,直接经过交换机和 AP 就转发给 STA 了。 同样业务 VLAN 在转发过程中也可能存在 VLAN 变化的情况: 1、如果上层网络 Internet 到 AP 之间是三层组网,业务 VLAN 会在报文转发过程中随之改变,图中的 VLAN s’ ≠VLAN s。(这里是以在交换机 Switch 上进行三层转发为例,为便于记忆,s 取 service 的第一个字母。) 2、如果上层网络 Internet 到 AP 之间是二层组网,业务 VLAN 会保持不变,则图中的 VLAN s’=VLAN s。 结合实际的配置来看,直接转发方式下,从上层网络到 AP 之间都是要允许携带业务 VLAN 的报文通过。 三、去除业务 VLAN

当业务报文从上游到下游转发到 AP 时,AP 也要对接收到的报文进行两项处理,先是将外层的业务 VLAN 去掉, 然后将原有的 802.3 字段改为 802.11 字段,802.11 字段表示这个报文将采用无线传输的方式转发出去。处理完成 后,AP 将业务报文无线传输给 STA。 四、解析业务报文 STA 接收到业务报文后, 去除掉外层的 802.11 字段, 剩余的 Payload 字段被 STA 解析处理后就可以识别出具体 内容了。由于 STA 无法识别带有 VLAN 的报文,所以 AP 在发送报文给 STA 前,必须要先去掉业务报文中的 VLAN。 以上分析的是上层网络发送业务报文给 STA 的过程,STA 发送报文到上层网络的过程,也是把上面的流程倒过 来理解就可以了。STA 要在报文外层加上 802.11 字段,将报文以无线传输的方式发送给 AP,AP 将收到的报文先转 换为 802.3 格式,再添加业务 VLAN,通过上层的各级网络设备,将报文转发传输到目的地。 业务报文的隧道转发处理流程 同样看下图来分析隧道转发方式下业务报文的转发处理流程。

图上的 Payload 是 STA 访问的网络设备发送给 STA 的实际有效信息,即业务报文的实际内容,以 AC 直连式组 网为例说明。 一、封装 和直接转发一样,发给 STA 的 Payload 在进入网络的时候就会进行封装,不是 CAPWAP 封装,而是在 Payload 报文外面增加 802.3 字段和添加业务 VLAN(在图中未体现 UDP/IP 字段,可以理解为已经包含在了 Payload 中)。 完成后业务报文将径直发给 AC。隧道转发方式下,所有的业务报文都必须转发到 AC。 AC 接收到业务报文后, 会进行 CAPWAP 封装, 将收到的整个业务报文看做一个新的 Payload, 在外层添加 CAPWAP 字段,增加 UDP/IP 字段和 802.3 字段。最后再为业务报文加上管理 VLAN。可以看出 AC 上处理业务报文的过程和处 理管理报文的过程是相同的。 在 AC 与 AP 间的网络中,业务报文会一直带着管理 VLAN 进行转发处理。 二、传输

结合实际的配置来看,隧道转发方式下,从上层网络 Internet 到 AC 之间的网络设备上要允许携带业务 VLAN 的报文通过, 在 AC 和 AP 间的网络设备上要允许携带管理 VLAN 的报文通过。 以保证业务报文能够在 Internet 和 STA 间正常传输。 因为 AC 和 AP 间的网络上业务报文是 CAPWAP 封装的对象,业务 VLAN 可以看做是新的 Payload 的一部分,不会 被网络设备感知到, 所以这段网络上只要求允许携带管理 VLAN 的报文通过即可。 只要管理 VLAN 能够通过, 业务 VLAN 同样也就打包在管理 VLAN 中通过了。 同样管理 VLAN 在转发过程中也可能存在 VLAN 变化的情况: 1、如果 AC 与 AP 间的网络是三层组网,管理 VLAN 会在报文转发过程中随之改变,图中的 VLAN m’≠VLAN m。 2、如果 AC 与 AP 间的网络是二层组网,管理 VLAN 会保持不变,则图中的 VLAN m’=VLAN m。 三、去除业务 VLAN 当报文从上游到下游转发到直连 AP 的接口, 即图中 Switch 连接 AP 的接口时, 需要去掉报文外层的管理 VLAN, 然后把剩下的报文内容发送给 AP。如果不去掉,则需要在 AP 上配置 management-vlan,这块原理和管理 VLAN 的处 理流程一致。不同点在于下面 AP 的处理方式。 AP 除了需要解除 CAPWAP 封装外,还需要把业务 VLAN 去掉,再将 VLAN 后的 802.3 字段替换为 802.11 报文,因 为业务报文是发送给 STA 的,需要把不带 VLAN 的业务报文通过无线方式传送到 STA 处,这样 STA 才能最终接收到 能够识别的数据。 四、解析业务报文 最终 STA 解析业务报文内容的流程和直接转发方式下的一样,STA 接收到业务报文后,去除掉外层的 802.11 字段,剩余的 Payload 字段被 STA 解析处理即可。同样由于 STA 无法识别带有 VLAN 的报文,所以 AP 在发送报文给 STA 前,必须要先去掉业务报文中的 VLAN。 以上分析的是隧道转发方式下上层网络发送业务报文给 AP 的过程,AP 发送报文到上层网络的过程,同样也是 把上面的流程倒过来理解就可以了。 隧道转发方式与直接转发方式的优缺点比较 由于直接转发方式和隧道转发方式下对业务报文存在有不同的处理流程,两种方式之间互相对比,各自存在着 一些优缺点。隧道转发方式中,由于所有的业务数据都需要转发到 AC,所以在 AC 上容易集中管理和控制业务报文, 并且由于业务报文都封装在了 CAPWAP 隧道中, 提高了业务报文的安全性。 但是同样由于所有业务报文都转发给 AC, 对 AC 的报文处理能力要求较高。直接转发方式的特点则刚好与隧道转发相反。优缺点对比表如下: 数据转发方式 隧道转发 优点 缺点

AC 集中转发数据报文,安全性更高,方便 业务数据必须经过 AC 封装转发,报文转发效率比 集中管理和控制, 新增设备部署配置方便, 直接转发方式低,AC 所受压力大。 对现网改动小。 业务数据不需要经过 AC 封装转发, 报文转 业务数据不便于集中管理和控制, 新增设备部署对 发效率高,AC 所受压力小。 现网改动大。

直接转发

组网选用隧道转发还是直接转发,需要结合实际的需求和现网状况才能选择出更适合自己的方式。

第 10 期 WLAN 安全策略
无线网络几乎已经无处不在,但是,大部分情况下,即使可以扫描到无线信号,不通过认证也是访问不了的。 我们的手机无线网络列表中有的 SSID 下方会显示“通过 WPA2 进行保护”、“通过 802.1X 进行保护”等类似信息, 正是因为这些无线网络使用了本期我们要分享的 WLAN 安全策略。 一、为什么需要 WLAN 安全策略? 如同小区入口需要门禁卡、保险柜需要密码??我们的生活中有太多需要安全保护的地方。WLAN 因其灵活性、 移动性等优势受到越来越多的青睐,但是由于其自身的特性,极易受到攻击,且用户信息很容易泄漏,因此提高安 全性成了 WLAN 的重要课题。于是 WLAN 安全策略应运而生。

我们拿起手机打开 WLAN,选择待接入网络的 SSID,输入密码(有的认证方式下可能还需要输入用户名等), 连接成功,上网。在此期间,系统成功应用了 WLAN 安全策略,包含一整套的安全机制,涉及链路认证、接入认证、 密钥协商和数据加密。 进行链路认证的是终端硬件设备,只有通过了链路认证,终端才能连接 AP。如果采用开放系统认证,用户不必 做任何操作,所以感知不到这种认证。如果采用共享密钥认证,需要事先在 STA 上设置用于链路认证的密钥。 而接入认证通常需要用户输入密码等用于认证的凭证,可以理解为需要认证的是使用通过了链路认证的设备的 人。如果设备通过了链路认证,但人没有被授权(没有密码),也是上不了网的。接入认证确保了只有知道正确密 码的人才能访问无线网络。 我们的上网操作会产生大量的数据交互和传输,对数据加密后再进行传输,才能使数据在传输过程中不易被窃 取或篡改, 保障信息安全和个人隐私。 用于加密的密钥通常是终端和接入设备预先通过动态的交互过程协商出来的。 对于密码协商和数据加密,都是系统自动完成,用户不需要做任何操作。 有了这一整套的安全机制,WLAN 就有了基本的安全保障。 二、WLAN 有哪些安全策略? WLAN 提供的安全策略包括 WEP、WPA、WPA2 和 WAPI,下面来看看 WLAN 的安全策略经历了怎么样的演进过程。 1、WEP WEP(Wired Equivalent Privacy),即有线等效加密协议,是 WLAN 的第一个安全协议,由 802.11 标准定义, 采用 RC4 加密算法。RC4 是一种密钥长度可变的流加密算法,系统生成 24 位的初始向量,WLAN 服务端和客户端上 配置 40 位、104 位或 128 位密钥,将两者进行校验和得到最终用于加密的密钥为 64 位、128 位或 152 位。 WEP 安全策略涉及链路认证和数据加密,不涉及接入认证和密钥协商。 链路认证 WEP 支持两种链路认证方式:开放系统认证和共享密钥认证。 开放系统认证方式,可以理解为实际上不进行认证。任何 STA 对 AP 说“请求验证”,AP 均答复“验证通过”。 举个例子,如果你想连接上搜索到的某个无线网络,如果该无线网络采用开放系统认证,你不需要输入任何认 证凭证,系统就会提示你已经关联上了该无线网络。 ? 对于共享密钥认证方式,STA 和 AP 需预先配置相同的密钥,AP 在链路认证过程验证两边的密钥是否相同。 如果一致,则认证成功;否则,认证失败。

需要注意的是,这里 STA 上配置好的密钥只用于链路认证,和接入认证无关。任何用户使用这个配置了正确共 享密钥的 STA 都能关联上无线网络。但是,如果该无线网络配置了接入认证,那么,用户还需要输入 SSID 的接入 密码(假设 STA 不会自动记录 SSID 的接入密码)才能上网。

(如果想了解更多的关于链路认证的信息,请参见【WLAN 从入门到精通-基础篇】第 8 期——STA 接入过程。) 数据加密
?

如果选择开放系统认证,用户上线后,可以通过配置选择是否对业务数据进行加密。选择加密,则需要配置 加密密钥。
?

例如,对于 WLAN V200R005 版本: 执行命令 wep authentication-method open-system,配置开放系统认证方式,不对数据包加密; 执行命令 wep authentication-method open-system data-encrypt,配置开放系统认证方式,并 对数据包加密。
?

如果选择共享密钥认证,用户上线后,使用共享密钥对业务数据进行加密。
?

WEP 安全策略的数据加密,所有用户使用的是同一个加密密钥。 目前在实际应用中,如果使用 WEP 安全策略时选择开放系统认证方式,通常会配合使用 MAC 认证或 Portal 认 证,对用户进行接入控制,提高网络的安全性。 (本期我们简单了解一下 MAC 认证和 Portal 认证,更详细的关于 NAC 的介绍请参见【交换机在江湖】第二十八章 一个门卫的故事(一)。) 对于无法安装 802.1X 客户端的用户终端以及无需安装 802.1X 客户端即可进行 802.1X 拨号的移动电话,通常 使用 MAC 认证功能。MAC 认证是一种基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方法,用户只需在 认证服务端加入 STA 的 MAC 地址,无需输入任何认证信息即可自动完成认证。 MAC 地址认证可以由接入设备完成,也可以由专门的认证服务器完成。而为了安全性考虑,通常采用后者。 下面,我们来看一下 MAC 认证流程。(说明:本文所有图示均以 AC+FIT AP 架构为例。)

如上图所示,AC 将用户名和密码(通常是 MAC 地址)发给认证服务器,如果认证成功,AC 将对端口授权,STA 即可通过该端口访问网络。 如果只希望让用户通过 Web 界面进行接入认证,则可以使用 Portal 认证功能。Portal 认证通常也称为 Web 认 证,用户上网时需要在门户网站输入认证信息,然后由认证服务器完成对用户的认证。Portal 认证不需要安装认证 客户端,只需要有浏览器,无论是电脑还是手机都可以方面地使用。 不知道大家注意到没有,在公共场合有很多的无线网络本身不加密,但是当你访问网络的时候会弹出页面要求 你输入用户名和密码,如果不认证,则只能访问指定的页面。这表明了这些无线网络都使用了 Portal 认证。 例如,以下是某校园网对用户进行身份认证的 Portal 认证页面。

在 WLAN 发展初期 WEP 一定程度上保障了无线网络的安全性,但是它存在诸多隐患,例如: ? 采用静态密钥,即接入同一 SSID 下的所有 STA 使用相同的密钥访问无线网络。一个 STA 的密钥泄漏将导致 其他用户的密钥泄漏。 ? 24 位的初始向量很容易重复使用,并且明文传输,如果通过无线***收集到包含特定初始向量的分组信息并 对其进行解析,很可能破解出完整密钥。 ? WEP 采用的 RC4 加密算法被证明本身是存在安全漏洞的。 WEP 无论从加密机制还是加密算法本身, 都很容易受到安全威胁, 它的诸多缺点使得 802.11 组织开始定制新的 安全标准。 2、WPA/WPA2 为了解决 WEP 安全策略的问题, 在没有正式推出安全性更高的安全策略之前, Wi-Fi 联盟推出了 WPA 安全策略。 WPA 采用了临时密钥完整性协议 TKIP(Temporal Key Integrity Protocol)加密算法,提供密钥重置机制,并且 增强了密钥的有效长度,很大程度上弥补了 WEP 的不足。 随后 802.11i 安全标准组织又推出加强版的 WPA2。WPA2 采用区块密码锁链-信息真实性检查码协议 CCMP (Counter Mode with CBC-MAC Protocol)加密机制,该加密机制使用的 AES(Advanced Encryption Standard) 加密算法是一种对称的块加密技术,比 TKIP 更难被破解。 目前,WPA 和 WPA2 都可以使用 TKIP 或 AES 加密算法,以达到更好的兼容性,它们在安全性上几乎没有差别。 WPA/WPA2 安全策略涉及链路认证、接入认证、密钥协商和数据加密。 链路认证 WPA/WPA2 仅支持开放系统认证(同上面 WEP 安全策略中讲的开放系统认证)。 接入认证 WPA/WPA2 提供两种接入认证方式: ? WPA/WPA2 企业版:在大型企业网络中,通常采用 802.1X 的接入认证方式。802.1X 认证是一种基于接口的 网络接入控制,用户提供认证所需的凭证,如用户名和密码,通过特定的用户认证服务器(一般是 RADIUS 服务器)和可扩展认证协议 EAP(Extensible Authentication Protocol)实现对用户的认证。 WPA/WPA2 支持基于 EAP-TLS(Transport Layer Security)和 EAP-PEAP(Protected EAP)的 802.1X 认证方 式。

EAP-TLS 基于 PKI 证书体系,而 EAP-PEAP 不需要部署 PKI 系统,在保证安全性的同时降低了成本、减小了复杂 度。实际应用中,我们并不需要了解上述认证流程的细节,只需要在 802.1X 客户端选择认证方式,其它的由认证 服务器处理。

WPA/WPA2 个人版:对一些中小型企业网络或者家庭用户,部署一台专用的认证服务器代价过于昂贵,维护 也很复杂,通常采用 WPA/WPA2 预共享密钥模式,事先在 STA 和 WLAN 设备端配置相同的预共享密钥,然后通 过是否能够对协商的消息成功解密,来确定 STA 配置的预共享密钥是否和 WLAN 设备配置的预共享密钥相同, 从而完成 STA 的接入认证。 密钥协商 根据接入认证阶段生成的成对主钥 PMK(Pairwise Master Key)产生成对临时密钥 PTK(Pairwise Transient Key)和群组临时密钥 GTK(Group Temporal Key)。其中,PTK 用来加密单播报文,GTK 用来加密组播和广播报文。 ? 单播密钥协商过程是一个四次握手过程。

?

?

组播密钥协商过程是一个二次握手过程,是在单播密钥协商过程之后进行的。

数据加密 经过了上述重要过程后,通信双方就开始了经过加密处理后的数据传输。加密算法使用 TKIP 或 AES,加密密钥 使用密钥协商阶段协商出的密钥。 WPA/WPA2 解决了 WEP 的诸多问题, 但是只能实现 WLAN 设备对 STA 的单向鉴别, 不能对 WLAN 设备的身份进行认 证。 3、WAPI WAPI(WLAN Authentication and Privacy Infrastructure),即无线局域网鉴别与保密基础结构,是由中国 提出的无线安全标准。WAPI 采用了基于公钥密码体制的椭圆曲线签名算法 ECDSA 和对称密码体制的分组加密算法 SMS4,分别用于无线设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。通过双向身份鉴别、数字证书身 份凭证和完善的鉴别协议,提供比 WPA/WPA2 更强的安全性。 WAPI 安全策略涉及链路认证、接入认证、密钥协商和数据加密。 链路认证 WAPI 仅支持开放系统认证。 接入认证 WAPI 提供两种接入认证方式: ? 基于证书的方式:在大型企业网络中,通常采用基于证书的方式。鉴别前 STA 与 AC 必须预先拥有各自的证 书,然后通过鉴别服务器对双方的身份进行鉴别。

从上图中可以看出,WAPI 提供了双向身份鉴别,鉴别服务器不仅对 STA 进行身份鉴别,还对 AC 进行身份鉴 别。AC 根据 STA 证书鉴别结果对 STA 进行接入控制,STA 根据 AC 证书鉴别结果决定是否接入该 WLAN 服务。 采用这种方式,既能防止非法 STA 接入 WLAN 网络,STA 也不必担心接入非法的 WLAN 设备了。 ? 基于预共享密钥的方式:对一些中小型企业网络或者家庭用户,部署证书系统过于昂贵,通常采用基于预 共享密钥的认证方式(同上面 WPA/WPA2 个人版中讲的预共享密钥认证) 密钥协商阶段 身份鉴别成功后,WLAN 设备会发起与 STA 的密钥协商过程,先协商出用于加密单播报文的单播密钥,再协商出 用于加密组播报文的组播密钥。

除了密钥动态协商, WAPI 还提供了基于时间和基于报文数的密钥更新机制, 避免 STA 长时间使用同一密钥带来 的安全隐患。 数据加密阶段 经过了上述重要过程后,通信双方就开始了经过加密处理后的数据传输。加密算法使用 SMS4,加密密钥使用密 钥协商阶段协商出的密钥。 三、选择哪种 WLAN 安全策略? WLAN 提供了这么多安全策略,到底该选择哪种呢?下表总结了各种安全策略的使用场景和安全性等信息。 安全策略 WEP-open 链路认证 开放系统认 证 接入认证 本身无接入 认证,配套 Portal 认证 或 MAC 认证 加密算法 不加密或 RC4 建议使用场景 说明

用户流动性大 单独使用时不安全, 任何无线终端 的机场、车站、 均 可 接 入 网 络 , 建 议 同 时 配 置 商业中心、会 Portal 认证或 MAC 认证。 议场馆等公共 场所。 安全性要求较 低的网络。 家庭用户或中 小型企业网 络。 安全要求高的 大型企业网 络。 WEP 安全性低,不建议使用。

WEP-share-key

共享密钥认 证 开放系统认 证

不涉及

RC4

WPA/WPA2-PSK

PSK 认证

TKIP 或 AES

安全性高于 WEP-共享密钥认证, 无需第三方服务器,成本低。

WPA/WPA2-802.1X

开放系统认 证

802.1X 认证

TKIP 或 AES

安全性高,但需要第三方服务器, 成本高。

安全策略 WAPI-PSK

链路认证 开放系统认 证

接入认证 PSK 认证

加密算法 SMS4

建议使用场景 家庭用户或中 小型企业网 络。 安全要求高的 大型企业网 络。

说明 安全性高于 WEP-共享密钥认证, 无需第三方服务器,成本低。仅部 分终端支持该协议,应用较少。 安全性高,需要第三方服务器,成 本高。仅部分终端支持该协议,应 用较少。

WAPI-证书

开放系统认 证

证书认证

SMS4

从上表可以看出,选用安全策略时需要对场景、安全性要求、成本等多方面进行综合考虑。 除了安全策略,WLAN 还提供了其他安全机制,在后续的连载中将继续与您分享,敬请期待!

第 11 期 WLAN 接入认证-Portal
1.1 无处不在的 Portal 认证 场景一:北京国际机场,岩松打开 iPhone 搜索 Wi-Fi 信号,看到机场 Wi-Fi 登录页面,输入手 机号获取密码,输入密码后连接 Internet 刷微博。 场景二:某餐馆,顾客小 e 拿出手机扫了餐桌上的二维码,弹出“连接网络”页面,单击“连接 网络”后以匿名方式连接 Internet,在朋友圈和大家分享美食。 场景三:某酒店,出差人员张经理在酒店办理入住手续时获得以房间号为帐号和一个随机密码。 通过手机连接酒店提供的 Wi-Fi,输入帐号和密码后下载出差地的离线地图。 这几种连接 Internet 的认证方式有一个共同点,就是都会弹出登录页面,术语称之为 Portal 认 证页面。 Portal 认证有如下优点: l 不需要安装客户端。使用 Web 页面认证,使用方便,减少客户端的维护工作量。 l 便于运营。可以在 Portal 页面上开展业务拓展,如广告展示、责任公告、企业宣传等。 l 提供计费功能,通过计费功能来限制终端接入网络的时长。 Portal 认证优势明显,故此无处不在。 1.2 什么是 Portal 认证 根据国家接入互联网的相关规定,在接入互联网之前必须通过身份认证。考虑到移动终端的复杂 性,在终端上安装认证客户端进行身份认证是不现实的。而几乎全部的智能终端都装有 Web 浏览 器。身份认证最好是能够通过 Web 页面的方式进行。 Portal 认证(也称为 Web 认证)能够基于网页的形式向用户提供身份认证和个性化的信息服务。 Portal 认证系统的典型组网方式由四个基本要素组成:认证客户端、接入设备、Portal 服务器 与 AAA 服务器。

l l

l

l

认证客户端:运行 HTTP 协议的浏览器或运行 Portal 客户端软件的主机。 接入设备:交换机、路由器或 AC(Access Controller)等宽带接入设备的统称。如果 把网络看成一栋高楼,那接入设备就是门卫,要进屋必须由门卫放行。接入设备主要有三方 面的作用: ? 在认证之前,将认证网段内用户的所有 HTTP 请求都重定向到 Portal 服务 器。 ? 在认证过程中,与 Portal 服务器、AAA 服务器交互,完成身份认证/授权的 功能。 ? 在认证通过后,允许用户访问被管理员授权的互联网资源。 Portal 服务器:接收 Portal 客户端认证请求的服务器端系统,提供免费门户服务和基 于 Web 认证的界面,与接入设备交互认证客户端的认证信息。 Portal 服务器可分为内置 Portal 服务器和外置 Portal 服务器两种。 通常交换机/AC 会内置 Portal 服务器,帐号和密码保存在交换机/AC。受限于接入设备存储空间、功能和性能,内 置 Portal 服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接 Internet 服务。 如果需要实现微信接入、短信接入等复杂的功能,考虑到接入设备性能和认证体验,内置 Portal 服务器恐怕难以胜任,需要具有独立于接入设备之外的硬件服务器来承载 Portal 认 证业务。 受益于独立的硬件服务器提供充足的存储空间和性能保证,外置 Portal 服务器在功能上可 获得充分的扩展。 例如华为 Agile Controller 服务器中的 Portal 服务器组件, 可在体育馆、 机场、地铁、大型商场等用户密集场馆提供可靠的认证和接入服务。 AAA 服务器:与接入设备进行交互,完成对用户的认证、计费和授权。 不同的用户接入网络的权限可能会不一样。例如访客认证后只允许访问 Internet,而员工 认证能够访问内部的业务系统。终端认证后访问网络的权限大小,是由 AAA 服务器说了算。

Portal 认证可同时应用于有线终端认证和无线终端认证,在网络中可打造有线无线一体化接入 方案。有线终端的 Portal 认证可由交换机负责接入,而无线终端 Portal 认证可由无线接入设备 来完成。Portal 认证技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络。 1.3 常见部署方案 1.3.1 资源划分 网络中的各种资源对企业的重要程度是不一样的。为了对不同级别的网络资源进行区别对待,可 以把整个网络划分成 2 个区域: l 认证前域 终端在认证前允许访问的网络资源。认证过程需要依赖的网络资源都需要在认证前域开放。例如 认证服务器(Portal 服务器、AAA 服务器)、DHCP 服务器、DNS 服务器。 认证前域是整个网络唯一的,所有的终端用户共享一个认证前域。 l 认证后域 需要由 Portal 网关保护的网络资源。在终端用户通过认证的情况下才允许访问的网络资源。例 如 ERP 系统、财务系统。 与认证前域的唯一性不同,不同的终端用户的认证后域可能会不一样。例如访客认证通过后只能 访问 Internet,而员工认证通过后除了能够访问 Internet,还能访问内部网络资源。 1.3.2 组网方式 如下图所示,为减轻单点设备压力、减少出错几率,有线终端与无线终端的认证点分开部署: l 汇聚层交换机作为有线终端 Portal 认证的接入设备。 l AC 以旁路方式部署在核心层设备的旁边,作为无线终端 Portal 认证的接入设备。

此种方案下,要求 AC 与 AP 之间采用隧道转发模式,同时汇聚层交换机需放行 CAPWAP。

AC 之所以选择以旁路方式部署在核心层而不是汇聚层,是基于如下考虑: l 如果 AC 部署在汇聚层,部署位置过低,难以实现对整个网络的 AP 进行统一的管理。 l 如果 AC 采取直连方式部署,AC 容易成为网络性能瓶颈,并且容易造成单点故障。 对于有线终端,选择将认证点部署在汇聚层交换机,是由于以下几点原因: l 在汇聚层部署接入设备,数量比在接入层部署接入设备要少,减轻管理员维护设备的压 力。

l

接入设备的部署位置比在核心层部署要低,能够在网络的更低的位置对非授权终端进行 隔离,安全性比核心层 Portal 认证要高。 Portal 认证的汇聚层部署方式较为普遍,适用于大、中、小各种园区组网。如果园区组网较小 或者网络改造场景,为减少管理员维护量或者为减少企业**、避免大规模更换设备时,也可以选 择把认证点部署在核心层。 1.4 认证原理 1.4.1 认证方式 根据用户需求和网络现状, Portal 认证可以部署在网络的各个层次,例如,上例中无线终端 Portal 认证部署在核心层、有线终端 Portal 认证部署在汇聚层。由于位于不同网络层次的设备 能够获取到的终端信息不同,所以 Portal 认证是采用的认证方式也不一样: l 当终端与接入设备之间为二层网络时,接入设备可以获取到终端的 MAC 地址,则接入设备 可以利用 IP 和 MAC 地址来识别终端,此时可配置 Portal 认证为二层认证方式。 l 当终端与接入设备之间包含三层网络时,即终端与接入设备之间存在三层转发设备时,接 入设备不一定能获取到终端的 MAC 地址,只能以 IP 地址唯一标识用户,此时需要将 Portal 认证配置为三层认证方式。 其中, 二层认证方式认证流程简单, 安全性较高,但是组网不灵活; 三层认证方式组网较为灵活, 容易实现远程控制,但是由于只能通过 IP 地址来标识用户,导致安全性相对不高。 1.4.2 认证上线 有线、无线 Portal 无论在哪种组网场景下,基本流程都类似。下面以机场候机旅客接入互联网, RADIUS 服务器和 Portal 服务器使用华为 Agile Controller 为例, 说明 Portal 认证的上线流程。 l 客户端与 Portal 服务器之间交互使用 HTTP 协议。 l Portal 服务器与接入设备之间交互使用 Portal V2 协议,Portal 协议用了 CHAP 或 PAP 认证。 l 接入设备与 RADIUS 服务器之间交互使用 RADIUS 协议。

旅客打开手机 Wi-Fi,选择机场提供的免费网络热点,获取由机场分配的 IP 地址。 旅客访问互联网,HTTP 报文经过接入设备。接入设备发现该终端处于未上线状态,于是通过 Web 重定向技术向终端发送 Portal 认证链接。

手机的 IP 地址是 10.20.238.199,使用 TCP 端口号 47502(随机端口)。 Portal 服务器的 IP 地址是 10.20.5.51,使用 TCP 端口号 8080(固定端口)。 链接 http://10.20.5.51:8080/PortalServer/portal.jsp?url=http://comm.inner.bbk.com , “ http://10.20.5.51:8080/PortalServer/portal.jsp ” 是 Portal 认 证 页 面 的 地 址 。 “http://comm.inner.bbk.com”是终端在认证前访问的原始地址,记录这个地址是为了在认证 后自动跳转到客户在认证前在 Web 浏览器地址栏输入的原始网址。 虽说旅客访问的是 http://comm.inner.bbk.com,但实际显示的是 Portal 认证的页面。 1. 旅客输入手机号,单击“获取密码”。旅客手机收到验证码短信,在认证 页面输入手机号和密码,单击“认证”,对应上面流程图的(1),下面的步骤以此类推。

2. 3. 4.

Portal 服务器根据终端的 IP 地址查找负责接入控制的设备。 在 Portal 服务器与接入设备建立可靠连接之前,Portal 服务器会与接入 设备核对 Portal 密钥,对应于“REQ_CHALLENGE”消息。 如果 两 边 的 Portal 密 钥配 置 一 致 ,则 校 验通 过, 接 入 设 备会 回 复 “ACK_CHALLENGE”消息。

Portal 服务器的 IP 地址是 10.20.5.51,使用 UDP 端口号 50200(固定端口)。 AC 的 IP 地址是 10.20.5.254,使用 UDP 端口号 2000(固定端口)。 从报文分析结果可看出来,本次 Portal 服务器与接入设备之间交互使用 CHAP。

5.

Portal 密钥校验通过后,Portal 服务器向接入设备发送终端上线请求消 息“REQ_AUTH”,消息中包含用户信息。

6.

接入设备收到上线请求消息后把用户信息和加密后的密码封装在 RADIUS 报文,通过“Access_Request”发给 RADIUS 服务器。 AC 的 IP 地址是 10.20.5.254,使用 UDP 端口号 1812(固定端口)。 RADIUS 的 IP 地址是 10.20.5.51(与 Portal 服务器安装在同一台 PC 服务器),使用 UDP 端口号 1812(固定端口)。 7. 如果帐号和密码,与 RADIUS 服务器上保存的帐号和密码一致,则 RADIUS 服务器回复 Access_Accept(以下发 ACL 为例)。

由 Access_Accept 消息可以看到,ACL ID 是在 RADIUS 第 11 号属性 Filter-Id,认证通过后下发 给接入设备的 ACL ID 是 3001。 8. RADIUS 服务器需要通过 Accounting_Request 消息通知接入设备开始计费 请求,表示手机在 RADIUS 服务器开始上线。 9. 接入设备向 RADIUS 服务器回复 Accounting_Response 消息,手机已经开 始计费,在 RADIUS 服务器上线成功。

计费使用 UDP 端口,AC 与 RADIUS 服务器分别使用 1812 和 1813 端口。

华为 Agile Controller 的计费不是真实意义上的计费,只是通过计费报文记录旅客的上下线时 间,维护旅客的在线状态。 机场接待旅客的人数和 Internet 连接服务都是有限制的。为了避免 RADIUS 服务器和 Portal 服 务器资源耗尽,管理员会限制旅客的在线时长。例如旅客只能上网冲浪 4 小时,超时后自动断开 连接。 10. AC 给 Portal 服务器回复 ACK_AUTH,表示终端认证成功。 11. Portal 服 务 器 通 知 手 机 认 证 成 功 , 在 一 个 新 的 浏 览 器 窗 口 推 出 http://comm.inner.bbk.com 页面(旅客在认证前访问的页面),旅客可以上网冲浪。 1.4.3 离线检测 Portal 用户离线检测是为确保接入设备上或服务器上的用户在线信息正确有效。检测方式常用 的有 ARP 探测方式和心跳报文方式。 ARP 探测 ARP 探测就是利用接入设备定期向已经通过认证的客户端发送单播 ARP 请求报文。由于接入设备 和客户端之间是一个二层网络,因此在网络正常的情况下,客户端一旦收到来自接入设备的 ARP 请求报文则必定会响应一个 ARP 应答报文。如果接入设备连续若干次没有收到来自客户端的 ARP 应答报文,则接入设备会主动切断用户并通知 Portal 服务器。

1.4.3.1

仅二层 Portal 认证方式支持 ARP 探测。 1.4.3.2 心跳报文 心跳报文的方法就是在用户认证通过后,推送给用户一个连接保持页面,表示该用户处于认证状 态。用户与 Portal 服务器之间通过心跳报文进行检测,当 Portal 服务器连续若干次都没有收到 用户发出的心跳报文,则可以认为该用户异常离线并通知接入设备切断用户。 以上即是 Portal 认证的基本原理,实现 Portal 认证的完整配置请参见 AC 产品文档包。接下来我们看一下 Portal 认证中常见的配置和故障。 1.5 常见配置和故障 1.5.1 如何配置 MAC 优先的 Portal 认证? MAC 优先的 Portal 认证是指终端用户第一次通过 Portal 认证接入网络后, RADIUS 服务器记录终 端设备的 MAC 地址。此后,在 MAC 地址有效期内,终端用户在认证已断开的情况下再次访问网络 时,能够直接上线,无需输入帐号和密码重新进行认证。 例如,手机用户 Portal 认证成功,锁屏一段时间,再次上网时需要重新输入帐号和密码进行认 证。启用 MAC 帐号优先后,再次上网时无需重新认证。 在正常 Portal 认证的基础上,启用 MAC 帐号优先,需要进行如下设置: 1. AC 上的配置(以 V200R005C10 版本为例) [AC] interface wlan-ess X [AC-Wlan-EssX] web-authentication first-mac 2. 服务器上的配置(以 Agile Controller 为例) 选择“系统 > 终端参数配置 > 全局参数”,启用 MAC 优先的 Portal 认证,然后输入 MAC 帐号的有限期。

1.5.2 如何配置主备 Portal 服务器?

配置主备 Portal 服务器能够提高 Portal 认证的可靠性,避免因 Portal 服务器故障导致用户无 法上网的问题。 1. AC 上的配置需要注意: 1) 配置两个 Portal 服务器模板,并且: l Portal 服务器模板中的 server-ip 和 url 分别为主备 Portal 服务器的 IP 地址和 URL。 l Portal 服务器模板下必须开启 Portal 服务器探测功能,探测主备 Portal 服务器 的状态。 当探测到主用 Portal 服务器的状态由 Up 变为 Down 时, 将会启用备用 Portal 服务器。 2) 在 VLANIF 接口下绑定 Portal 服务器模板,主在前、备在后。 配置文件如下(以 V200R005C10 版本为例): # web-auth-server test1 server-ip 10.10.1.128 //主用 Portal 服务器的 IP 地 址 port 50200 shared-key cipher %@%@VYNv5Pr$:8l5A/9JSY@VCeNJ%@%@ url http://192.168.1.1:8080/portal server-detect //开启 Portal 服 务器探测功能 # web-auth-server test2 //备用 Portal 服务器的 IP 地址 server-ip 10.10.1.129 port 50200 shared-key cipher %@%@VYNv5Pr$:8l5A/9JSY@VCeNJ%@%@ url http://192.168.1.2:8080/portal server-detect //开启 Portal 服务器 探测功能 # interface Vlanif10 web-auth-server test1 test2 direct //绑定 Portal 服务器模板,主在前、备在后 # 2. 服务器上的配置(以 Agile Controller 为例) 选择“资源 > 设备 > 设备管理”,点击“增加”添加接入设备。勾选“启用接入设备 与 Portal 服务器的心跳”,在“Portal 服务器 IP 地址列表”中添加主备 Portal 服务器的 IP 地址。

1.5.3 为什么能够直接打开 Portal 认证页面,但无法重定向到 Portal 认证页面? 故障原因 处理步骤 客户端上安装多个网卡,访问重定向前的网 客户端配置路由,使 HTTP 报文能够发往接入设备上认证的端口。 址的 HTTP 报文不能充配置认证的网卡发送。 客户端 DNS 服务器不可达,无法实现域名解 析,只能使用 IP 地址做重定向。 接入设备上已有用户在线信息,不能再做重 定向。

接入设备配置免认证规则,放行到 DNS 服务器的 IP 地址,使到 DNS 服务器可 接入设备上执行 cut acess-user 命令,强制用户下线。

1.5.4 为什么免认证规则不能生效? AC 上能够配置的免认证规则 rule-id 的取值范围是 0-127,但仅编号为 0-63 的免认证规则能够 下发到 AP,并使其在 AP 上生效。 1.5.5 为什么配置了 MAC 优先的 Portal 认证,但终端再次访问网络时仍会推送 Portal 认证页面? AC 为了保证用户的密码安全,默认开启了帐号锁定功能。在 30 分钟内连续认证失败的次数超过 30 次时,AC 将帐号锁定一段时间,锁定时间内禁止该帐号的用户进行认证。 一些终端关联上 SSID 后,没有及时进行 Portal 认证,而是发起了多次 MAC 认证(例如手机后台 应用程序在瞬间发起多条 TCP 请求)。由于终端 MAC 地址并没有录入到 AAA 服务器中,在 30 分 钟内认证失败的次数超过 30 次,AC 就会将以终端 MAC 地址为用户名的帐号锁定,因此 MAC 认证 失败,弹出 Portal 认证页面。 可以在 AAA 视图下,执行命令 undo remote-aaa-user authen-fail,关闭帐号锁定功能。

故障诊断/案例篇
第 1 期有线用户可以连接打印机,无线用户无法连接打印机
无线给人们带来了便利,然而有时候却也让人有种无“迹”可循的感觉。我们来一起看看这样一则案例: 有线连接的 PC 机可以连接打印机,而无线连接的便携机却连接不上打印机,用户的第一反应就是:肯定是 WLAN 有 问题! 事实真的是这样吗? 问题现象描述及组网 首先来看一下组网图。

在上图中,PC 机(有线用户)和打印机在同一个二层网络中,便携机(无线用户)和打印机之间则是三层组网,在 实际使用中发现有线用户可以连接打印机,而无线用户无法连接打印机。 问题判断方法 这个问题虽然简单,但却具有普遍性,在这里描述一下此类问题的普遍处理思路,供参考: 1.首先检查是否能 Ping 通,此处有线用户可以 Ping 通打印机,而无线用户无法 Ping 通,说明无 线用户与打印机之间网络不通。 2.其次简单排查网络设备的基本表项是否正确,比如 MAC 表,ARP 表,路由表等。 3.再排查是否做了相关业务(如 ACL/CAR 等)导致报文被丢弃。 4.最后分段排查,逐段抓包,确认报文丢失的节点。 问题根因说明 打印机未配置网关,导致网络不通。 解决方案 在打印机上配置网关,使无线用户与打印机之间能够三层互通。 经验总结 有线用户能够正常使用,而无线用户无法使用,从现象看,很容易误推断是无线的问题。事实上,有线是无线的最 终载体,很多时候都不是无线的问题。 “有线用户没问题,无线用户有问题,所以是 WLAN 的问题”,是最不合逻辑的推断。出问题后,不要首先怀疑 WLAN 的质量问题,应该严格按照步骤一步步检查,逐步排除。上面所述的问题,通过基本的网络知识就能够找出问题的 原因了。

第 2 期 Portal 认证故障定位思路
Portal 认证故障现象千奇百怪,是否经常让您抓耳挠腮?别怕,最强大脑帮您打通任督二脉,Portal 认证故 障再也不是难题了!

专题篇
第 1 期原来忘记了设备密码还可以这样??
设备的缺省密码是什么?密码遗忘了怎么办?莫担心,看菜菜鸟教你如何玩转 WLAN 密码~~~

第 2 期教育行业专题资料
随着技术的进步,教育需求和资源的变化、发展,教育 WLAN 网络的建设正逐渐成为不少高校信息化的重要组 成部分,成为高校信息化建设热点。无线校园已经成为提升教学环境品质,提高教育资源利用率,增加教育灵活性 和交流性的重要方式。 今天小编将为大家带来最新的 WLAN 教育专题资料,从网络规划到设备安装,从组网设计到软件配置,全流程 覆盖。一册在手,后顾无忧。


赞助商链接

更多相关标签