01-WLAN 配置
本章节下载: 01-WLAN 配置 (1.78 MB)
l 不同型号产品的特性功能支持情况略有不同,详细请参见“用户手册”中的“特性差异化列表”部分的介绍。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
l 本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备。
WLAN(Wireless Local Area Network,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,成本相对低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在固定网络,只是用户可以通过无线方式接入网络。
使用WLAN解决方案,网络运营商和企业能够为用户提供方便的无线接入服务,主要包括:
l 通过无线网络,用户可以方便的接入到无线网络,并访问已有网络或因特网;
l 安全问题是无线网络最大的挑战,当前无线网络可以使用不同认证和加密方式,提供安全的无线网络接入服务;
l 在无线网络内,无线用户可以在网络覆盖区域内自由移动,彻底摆脱有线束缚。
(1) 客户端
带有无线网卡的PC、便携式笔记本电脑以及支持WiFi功能的各种终端。
(2) AP(Access Point,接入点)
AP提供无线客户端到局域网的桥接功能,在无线客户端同无线局域网之间进行无线到有线和有线到无线的帧转换。
(3) FAT AP
一种控制和管理无线客户端的无线设备。帧在客户端和LAN之间传输需要经过无线到有线以及有线到无线的转化,而FAT AP在这个过程中起到了桥梁的作用。
(4) SSID
SSID(Service Set Identifier,服务组合识别码),客户端可以先扫描所有网络,然后选择特定的SSID接入某个指定无线网络。
(5) 无线介质
无线介质是用于在AP和客户端间传输帧的介质。WLAN系统使用无线射频作为传输介质。
无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入无线局域网。
图1-1 建立无线连接过程
无线客户端有两种方式可以获取到周围的无线网络信息:一种是被动扫描,无线客户端只是通过监听周围AP发送的信标帧(Beacon帧)获取无线网络信息;另外一种为主动扫描,无线客户端在扫描的时候,同时主动发送一个探测请求帧(Probe Request帧),通过收到探测响应帧(Probe Response)获取网络信号。
无线客户端在实际工作过程中,通常同时使用被动扫描和主动扫描获取周围的无线网络信息。
(1) 主动扫描
无线客户端工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据探测请求帧(Probe Request帧)是否携带指定SSID,可以将主动扫描可以分为两种:
l 客户端发送广播Probe Request帧(SSID为空,也就是SSID IE的长度为0):客户端会定期地在网卡支持的信道列表中,发送广播探测请求帧(Probe Request帧)扫描无线网络。当AP收到探测请求帧后,会回应探测响应帧(Probe Response帧)通告可以提供的无线网络信息。无线客户端会选择信号最强的AP进行关联。无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入。
图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)
l 客户端发送单播帧(Probe Request携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送单播探测请求帧(Probe Request帧)(该报文携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探测响应。通过这种方法,无线客户端可以主动扫描指定的无线网络。
图1-3 主动扫描过程(Probe Request携带指定的SSID为“AP 1”)
(2) 被动扫描
被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络。提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听信标帧获取周围的无线网络信息。当用户需要节省电量时,可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。
图1-4 被动扫描过程
为了保证无线链路的安全,无线用户接入过程中AP需要完成对无线终端的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
l 开放系统认证
l 共享密钥认证
关于两种认证的详细介绍请参见“WLAN安全”。
如果用户想接入无线网络,必须同特定的AP关联。当用户通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送关联请求。AP会对关联请求帧携带的能力信息进行检测,最终确定该无线终端支持的能力,并回复关联响应通知链路是否关联成功。通常,无线终端同时只可以和一个AP建立链路,而且关联总是由无线终端发起。
(1) 解除认证
解除认证用于中断已经建立的链路或者认证,无论AP还是无线终端都可以发送解除认证帧断开当前的链接过程关系。无线系统中,有多种原因可以导致解除认证,如:
l 接收到非认证用户的关联或解除关联帧。
l 接收到非认证用户的数据帧。
l 接收到非认证用户的PS-Poll帧。
(2) 解除关联
无论AP还是无线终端都可以通过发送解除关联帧以断开当前的无线链路。系统中,有多种原因可以导致解除关联,如:
l 接收到已认证但未关联用户的数据帧。
l 接收到已认证但未关联用户的PS-Poll帧。
解除关联帧可以是广播帧或单播帧。
WMAC(Wireless Media Access Control,无线介质接入控制)功能包括:
l 信标生成
l 处理探查请求
l 处理开放系统认证
l 处理关联、解除关联、重新关联
l 处理解除认证
l 电源管理
l 分片和分片重组
l 802.11协议帧到以太网帧转换
l 以太网帧到802.11协议帧转换
l 保活机制
l 空闲超时机制
l 干净信道查找
FAT AP组网有以下几种拓扑:
l 单一BSS
l 多ESS
l 单一ESS多BSS
一个AP所覆盖的范围被称为BSS(Basic Service Set,基本服务集)。每一个BSS由BSSID来标识。最简单的WLAN可以由一个BSS建立,所有的无线客户端都在同一个BSS内。如果这些客户端都得到了同样的授权,那么他们就可以互相通信。图1-5为单一BSS网络组网示意图。
这些客户端可以互相访问,也可以访问网络中的主机。属于同一BSS的客户端之间的通信由FAT AP实现。
在相同逻辑管理域下的所有客户端组成一个ESS(Extended Service Set,扩展服务集)。多ESS拓扑结构用于网络中存在多个逻辑管理域的情况。当一个移动用户加入到某个FAT AP,它可以加入一个可用的ESS。图1-6为多ESS网络组网示意图。
通常,FAT AP可以同时提供多个逻辑ESS。FAT AP中的ESS的配置主要通过发送信标或探查响应帧,在网络中广播这些ESS的当前信息,客户端可以根据情况选择加入的ESS。
在FAT AP上,可以配置不同的ESS域,并可以配置当这些域中的用户通过身份认证后,允许FAT AP通告并接受这些用户。
图1-7所示组网描述了FAT AP在单一逻辑管理时有超过一个频段的应用。所有的频段支持相同的服务集(在同一个ESS内),但由于属于不同的BSS所以逻辑上的覆盖范围是不同的。
图1-7 单一ESS多BEE组网
这种组网也应用于需要共同支持802.11a和802.11b/g的情形。图1-7所示为两个客户端连接到不同的频段,但属于相同ESS和不同BSS的情形。
l ANSI/IEEE Std 802.11, 1999 Edition
l IEEE Std 802.11a
l IEEE Std 802.11b
l IEEE Std 802.11g
l IEEE Std 802.11i
l IEEE Std 802.11-2004
WLAN服务配置包括WLAN全局配置、国家码、服务模板和射频策略的配置。
表1-1 WLAN服务配置任务
配置任务 |
说明 |
详细配置 |
配置WLAN全局参数 |
包括空闲超时时间、生存时间、广播探针配置 |
|
配置国家码 |
包括要进行射频操作的国家的代码。缺省值是CN |
|
配置服务模板 |
缺省没有配置服务模板 |
|
配置AP射频 |
包括配置射频类型、信道和最大功率 |
|
配置射频接口 |
包括射频接口下可以配置的一系列射频参数 |
表1-2 配置全局WLAN参数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置设备空闲超时时间间隔 |
wlan client idle-timeout interval |
缺省情况下,空闲超时时间间隔是3600秒 |
配置设备生存超时时间间隔 |
wlan client keep-alive interval |
缺省情况下,禁用生存超时 |
配置设备发现策略 |
wlan broadcast-probe reply |
可选 缺省情况下,设备接收广播Probe报文 |
国家码用来标识使用射频所在的国家,它规定了射频特性,如功率和可用于帧传输的信道总数。在配置AP之前,必须配置有效的国家码或区域码。
表1-3 配置国家码
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置国家码 |
wlan country-code code |
必选 缺省情况下,国家码为CN |
关于国家码和国家的对应关系表请参见“WLAN命令”模块。
WLAN服务模板包括一些属性,如SSID和认证算法(开放系统认证或共享密钥认证)。服务模板有两种类型:明文模板(clear)和密文模板(crypto)。明文类型的服务模板不可以改为密文类型,如果想将明文类型的模板改为密文类型,必须首先删除原有的服务模板,然后重新配置一个密文类型的服务模板。反之亦然。
表1-4 配置服务模板
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto } |
必选 |
配置SSID |
ssid ssid-name |
必选 |
配置信标帧不通告SSID |
beacon ssid-hide |
可选 缺省情况下,信标帧通告SSID |
指定BSS中关联客户端的最大个数 |
client max-count max-number |
可选 |
选择认证方式 |
authentication-method { open-system | shared-key } |
必选 共享密钥认证模式请参考WLAN安全配置 |
使能服务模板 |
service-template enable |
必选 |
该配置任务用来配置AP射频,包括配置射频类型、信道和最大功率。如果某个射频策略被映射到一个射频,则该射频继承在射频策略里配置的所有参数。
表1-5 配置AP射频
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入射频接口视图 |
interface wlan-radio interface-number |
- |
配置射频类型 |
radio-type { dot11b | dot11g | dot11a } |
必选 |
配置当前射频的服务模板和使用的接口 |
service-template service-template-number interface wlan-bss interface-number |
必选 |
配置射频的信道号 |
channel { channel-number | auto } |
可选 缺省情况下,使能自动模式 |
配置最大射频功率 |
max-power max-power |
可选 缺省情况下,射频的最大传输功率与国家码和射频模式有关 |
配置前导码类型 |
preamble { long | short } |
可选 缺省情况下,支持短前导码 |
射频接口下可以配置一系列的射频参数。如果将某个射频接口映射到某个射频(比如dot11b/g或dot11a),则该射频就继承在射频接口里配置的所有参数。
表1-6 配置射频接口
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN射频接口视图 |
interface wlan-radio interface-number |
必选 |
设置发送信标帧的时间间隔 |
beacon-interval interval |
可选 缺省情况下,发送信标帧的时间间隔为100TU(Time Unit,时间单位) |
设置信标帧的DTIM周期(Delivery Traffic Indication Message,数据待传指示信息) |
dtim counter |
可选 缺省情况下,counter值为1。DTIM周期是信标周期的counter倍 |
设置数据包无分片传输的最大包长 |
fragment-threshold size |
可选 缺省情况下,无分片传输的最大包长为2346字节 |
设置RTS(Request to Send,发送请求)的门限值 |
rts-threshold size |
可选 缺省情况下,RTS门限值为2346字节 |
设置帧长超过RTS门限值的帧的最大重传次数 |
long-retry threshold count |
可选 缺省情况下,帧长超过RTS门限值的帧的最大重传次数为4 |
设置帧长不大于RTS门限值的帧的最大重传次数 |
short-retry threshold count |
可选 缺省情况下,帧长不大于RTS门限值的帧的最大重传次数为7 |
设置AP保存接收到的数据包的时间间隔 |
max-rx-duration interval |
可选 缺省情况下,AP保存接收的数据包的时间间隔为2000毫秒 |
802.11n作为802.11协议族的一个新协议,支持2.4GHz和5GHz两个频段,致力于为WLAN接入用户提供更高的“接入速率”,802.11n提高通讯速率的手段主要在于增加带宽和提高信道利用率两个方面。
802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用(一个为主带宽,一个为次带宽,收发数据时既可以以40MHz的带宽工作,也可以以单个20MHz带宽工作),这样可将速率提高一倍,提高无线网络的吞吐量。
对信道利用率的提高举措主要体现在三个方面。
l A-MPDU聚合帧:即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,减少了传输每个MPDU的PHY头,同时还减少了ACK帧的数目,从而降低了协议的负荷,有效的提高信道利用率。
l A-MSDU特性:该特性实现了将多个MSDU组合成一个MSDU发送,与A-MPDU类似,通过聚合,A-MSDU特性有效减少了传输多个MSDU的MAC头的信息,提高了MAC层的传输效率,最终提高了信道利用率。
l 物理层提供短间隔功能:已有的802.11a和802.11g的GI(Guard Interval)时长800us,而802.11n可以支持短间隔Short GI,其时长为400us,可以有效减少信道空闲时间,提高信道利用率。使用Short GI时,可以提高大约10%的性能。
表1-7 配置802.11n
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入射频接口视图 |
interface wlan-radio interface-number |
- |
进入射频模板视图 |
radio-type { dot11an | dot11gn } |
- |
指定当前Radio接口的带宽模式 |
channel band-width { 20 | 40 } |
可选 缺省情况下,11an类型的Radio接口的带宽工作在40MHz,11gn类型的Radio接口的带宽工作在20MHz |
使能只允许802.11n用户可以接入功能 |
client dot11n-only |
可选 缺省情况下,802.11an类型的接口可以允许802.11a用户接入;802.11gn类型的接口可以允许802.11g的用户接入 |
配置短间隔功能 |
short-gi enable |
可选 缺省情况下,Short GI功能处于使能状态 |
使能指定接口的A-MSDU功能 |
a-msdu enable |
可选 缺省情况下,802.11n模式下A-MSDU功能处于使能状态 |
使能指定接口的A-MPDU功能 |
a-mpdu enable |
可选 缺省情况下,在802.11n模式下A-MPDU功能处于使能状态 |
l 802.11n的配置与设备实际情况相关,使用中请以设备实际情况为准。
l 关于802.11n的基本MCS集和支持MCS集请参见“WLAN RRM配置”。
FAT AP通常需要通过以太网接口或Radio口(桥接链路)接入上行网络,如图1-18和图1-19所示。如果AP的上行以太网口或Radio口出现故障,将导致AP及关联到AP的无线客户端无法继续访问上行网络。开启上行链路检测后,一旦出现AP的上行接口故障,AP将停止提供无线接入服务,无线客户端将无法搜索到该AP的SSID,直至故障AP上行口恢复正常工作后,无线客户端将可以重新接入该AP。
上行链接检测功能,保证了在无线客户端所关联的AP出现上行口故障后,在同一区域还有其他正常工作AP覆盖的情况下,无线客户端可以通过关联到其他正常工作AP接入上行网络。
图1-8 上行链路检测组网图(上行接口为以太网口)
图1-9 上行链路检测组网图(上行接口为Radio口)
表1-8 配置上行接口
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
|
配置上行接口(上行接口为以太网口) |
wlan uplink-interface interface-type interface-number |
可选 缺省情况下,没有配置上行接口 |
配置上行接口(上行接口为Radio口) |
wlan uplink-interface mesh-link interface-type interface-number |
可选 缺省情况下,没有配置上行接口 |
有关wlan uplink-interface mesh-link命令的详细介绍,请参见“WLAN分册”中的“WLAN Mesh Link命令”。
完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN服务的运行情况,通过查看显示信息验证配置的效果。在用户视图下,执行reset命令清除WLAN服务的相关信息。
表1-9 WLAN服务的显示和维护
操作 |
命令 |
显示AP配置信息 |
display wlan client { interface wlan-radio [ wlan-radio-number ] | mac-address mac-address | service-template service-template-number } [ verbose ] |
显示指定的服务模板的信息 |
display wlan service-template [ service-template-number ] |
显示指定客户端的统计信息 |
display wlan statistics client { all | mac-address mac-address } |
切断WLAN客户端同AP连接 |
reset wlan client { all | mac-address mac-address } |
清除指定客户端或全部客户端的统计信息 |
reset wlan statistics client { all | mac-address mac-address } |
l FAT AP与二层交换机L2 switch相连。
l 要求客户端Client通过FAT AP接入无线网络。
图1-10 WLAN服务组网图
(1) 配置FAT AP
# 配置前请保证图1-10中的任意两台设备可以相互通信
# 配置WLAN BSS接口。
<AP> system-view
[AP] interface WLAN-BSS 1
[AP-WLAN-BSS1] quit
# 配置WLAN服务模板并将WLAN-BSS接口与该服务模板绑定。
[AP] wlan service-template 1 clear
[AP-wlan-st-1] ssid abc
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
[AP-wlan-st-1]quit
# 在WLAN-Radio 1/0/1上绑定无线服务模板1和WLAN-BSS 1(注:如果当前射频接口正在使用,请使用命令shutdown关闭射频接口后才可进行射频参数配置)。
[AP] interface WLAN-Radio 1/0/1
[AP-WLAN-Radio1/0/1] radio-type dot11a
[AP-WLAN-Radio1/0/1] channel 149
[AP-WLAN-Radio1/0/1] service-template 1 interface WLAN-BSS 1
(2) 验证结果
l 客户端可以成功关联AP,上线后可以访问网络。
l 可以使用display wlan client、display connection命令查看上线的客户端。
无线局域网(WLAN)可以被用来扩展或替代某个现存的有线局域网,为无线用户提供入网连接和漫游服务。
WLAN Mesh网络是一种新的无线局域网类型。与传统的WLAN不同的是,WLAN Mesh网络中的AP是无线连接的,而且AP间可以建立多跳的无线链路。然而,对于终端用户来讲,传统的WLAN和WLAN Mesh网络没有任何区别,因为只是骨干网进行了变动。
WLAN Mesh技术主要应用于地铁隧道等区域,并遵循802.11s草案的规程。
如图2-1所示,WLAN Mesh主要包含如下概念:
概念 |
描述 |
Access Controller (AC) |
一个接入控制器可以控制和管理WLAN内所有的AP。AC与一个认证服务器联系,从而完成对无线客户端的认证 |
Mesh Point (MP) |
一个IEEE 802.11实体,它包含一个802.11 MAC和物理层的接口,用来连接支持Mesh服务的无线介质 |
认证MP |
在两个MP之间建立链路时充当认证者的角色 |
候选邻居MP |
候选邻居MP,具备成为邻居的所有条件,只是本端还没有与其建立Mesh链路 |
链路开销 |
链路开销用来表示Mesh链路的性能和质量,从而决定链路的可用性 |
Mesh |
一个包含两个以上MP的无线网络 |
Mesh Access Point (MAP) |
装备了一个或多个AP的MP |
Mesh Action Frame |
一种802.11的管理帧 |
Mesh链路 |
MP之间的无线链路 |
Mesh Portal Point (MPP) |
装备了一个或多个AP的MP,提供入口服务 |
邻居MP |
本端已经与其建立了Mesh链路 |
Selector MP |
负责在两个MP之间选择安全参数 |
Station (STA) |
无线终端,例如装有无线网卡的笔记本,PC |
传统的WLAN中,AP之间需要用电缆、交换机、电源等设备建立连接,成本较高,并且需要大量的时间完成部署。
WLAN Mesh技术使得管理员可以轻松的部署质优价廉的无线局域网。
WLAN Mesh网络的优点包括:
l 低成本,高性能
l 扩展性好,并且无需铺设新的有线连接和部署更多的AP
l 容易部署
l 适用于地铁,公司,大型仓储,制造,码头等领域
l 提供多条备份链路,避免单点故障
图2-2 FAT AP组成Mesh link场景
如图2-2所示,两个Mesh网络分别由各自的MPP管理。一个MP启动后,它首先扫描附近的网络,然后与所有检测到的MP建立准安全连接。这种连接是暂时的,只拥有缺省的或最少的配置。通过这种连接,MP可以与MPP联系,并下载自己的配置。只有配置消息可以在这种链路上传递。完成配置文件的下载后,MP会与邻居建立安全的连接。
当一个区域部署了多个Mesh网络时,一个MP启动后不知道要加入哪一个Mesh网络,所以它会与所有检测到的MP建立准安全连接。
图2-3 拥有两个radio的MP的组网
如图2-3所示,一个MP拥有两个radio,每个radio都在不同的Mesh网络里。在这种组网里,两个Mesh网络必须由各自的MPP管理。
图2-4 两个Mesh网络由两个FAT AP分别管理的场景
如图2-4所示,在同一地区的两个Mesh网络由两个MPP分别进行管理。这两个MPP可以在同一个有线网络,或在不同的有线网络里。
WLAN Mesh网络的通信介质是空气,所以很容易受到攻击。安全已经成为WLAN Mesh网络的重要组成部分,它主要包括用于加密的算法,密钥的管理和分发等内容。
l Draft P802.11s_D1.06
l ANSI/IEEE Std 802.11, 1999 Edition
l IEEE Std 802.11a
l IEEE Std 802.11b
l IEEE Std 802.11g
l IEEE Std 802.11i
l IEEE Std 802.11s
l IEEE Std 802.11-2004
l draft-ohara-capwap-lwapp-03
WDS(WLAN Distribution System,无线分布式系统):通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,组建一个互通的网络实现数据访问。
802.11的无线技术已经广泛地在家庭、SOHO、企业等得到应用,用户已经能通过这些无线局域网方便地访问Internet网络。但是在这种网络应用中,AP必须连接到已有的有线网络,才可能提供无线用户的网络访问服务对于目前的无线网络技术,为了扩大无线覆盖面积,需要用电缆、交换机、电源等设备将AP互相连接。采用传统的方式,AP需要和有线网络连接,会导致最终部署成本较高,并且在大面积无线覆盖时需要大量的时间,而使用WDS技术可以在一些复杂的环境中方便快捷的建设无线局域网。WDS网络的优点包括:
l 通过无线网桥连接两个独立的局域网段,并且在他们之间提供数据传输。
l 低成本,高性能
l 扩展性好,并且无需铺设新的有线连接和部署更多的AP
l 适用于地铁、公司、大型仓储、制造、码头等领域
根据的实际的应用需求,WDS网络可以提供以下三种拓扑。
该网络中,WDS通过两台设备实现了两个网络无线桥接,最终实现两个网络的互通。实际应用中,每一台设备可以通过配置的对端设备的MAC地址,确定需要建立的桥接链路。如图2-5所示,AP 1和AP 2之间建立WDS桥接链路,可以将LAN Segment 1和LAN Segment 2连接成一个统一的局域网。LAN Segment 1中的用户需要访问LAN Segment 2中的资源的时候,所有的报文都会被AP1转换成无线报文通过无线桥接链路发送到AP2,最终在由AP2将报文还原发送到目的地;反之亦然。。
在点到多点的组网环境中,一台设备作为中心设备,其他所有的设备都只和中心设备建立无线桥接,实现多个网络的互联。该组网可以方便地解决多个网络孤岛需要连接到已有网络的要求,但是多个分支网络的互通都要通过中心桥接设备进行数据转发,如图2-6所示。
多台桥接设备可以采用手动配置或者自动检测方式,互相建立网状无线桥接,将多个局域网连接成一个网络。网状桥接网络,在一条WDS链路故障时可以提供备链路备份的功能,但是应用中需要结合STP解决网络的环路问题。
图2-7 网状桥接
配置任务 |
说明 |
详细配置 |
配置Mesh端口安全 |
必选 |
|
配置Mesh Profile |
必选 |
|
配置MP策略 |
可选 |
|
绑定 Mesh Profile |
必选 |
|
绑定MP策略 |
必选 |
|
配置Mesh邻居MAC地址 |
必选 |
如果一个Radio上,雷达信道配置为工作信道,则该Radio不能提供Mesh服务。
表2-2 配置Mesh端口安全
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN Mesh接口视图 |
interface wlan-mesh interface-number |
- |
使能11key类型的密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,11key类型的密钥协商功能处于关闭状态 |
配置预共享密钥 |
port-security preshared-key { pass-phrase | raw-key } key |
必选 缺省情况下,无预共享密钥 |
配置接口安全模式为PSK |
port-security port-mode psk |
必选 缺省情况下,接口工作在noRestrictions模式 |
port-security tx-key-type、port-security preshared-key和port-security port-mode命令的详细介绍,请参见“安全分册”里的“端口安全配置”。
配置Mesh Profile,并将其绑定到多个MP上。这样,这些MP能够互相提供Mesh服务。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建Mesh Profile,进入mesh profile视图 |
wlan mesh-profile mesh-profile-number |
- |
配置Mesh ID |
mesh-id mesh-id-name |
必选 缺省情况下, 没有配置Mesh ID |
绑定WLANMesh接口 |
bind wlan-mesh interface-index |
必选 缺省情况下,没有绑定Mesh接口 |
配置链路保活报文发送时间间隔 |
link-keep-alive keep-alive-interval |
可选 缺省情况下,保活报文发送时间间隔为2秒 |
配置链路回程速率 |
link-backhaul-rate rate-value |
可选 缺省情况下,链路回程速率为18 Mbps |
使能Mesh Profile |
mesh-profile enable |
必选 缺省情况下,Mesh Profile处于关闭状态 |
返回系统视图 |
quit |
- |
MP策略的具体内容决定了链路的建立和维护。
表2-4 配置MP策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建一个MP策略,进入MP策略视图 |
wlan mp-policy mp-policy-name |
必选 缺省情况下,default_mp_plcy MP策略和radio绑定 |
使能链路发起 |
link-initiation enable |
可选 缺省情况下,链路发起处于使能状态 |
配置最大链路数目 |
link-maximum-number max-link-number |
可选 缺省情况下,最大链路数为2 |
配置链路保持RSSI |
link-hold-rssi value |
可选 缺省情况下,维持Mesh Link链路的最小信号强度值为15 |
配置链路饱和RSSI |
link-saturation-rssi value |
可选 缺省情况下,链路饱和RSSI为100 |
配置探寻请求报文的发送间隔 |
probe-request-interval interval-value |
可选 缺省情况下,探寻请求报文的发送间隔为1000毫秒 |
配置选择计算COST值的方式 |
link rate-mode { fixed | real-time } |
可选 缺省情况下,链路速率模式mesh链路的速率模式为fixed |
如果想让一个MP发布Mesh能力,必须将它的radio和相应Mesh Profile绑定。
表2-5 绑定Mesh Profile
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入射频接口视图 |
interface wlan-radio interface-number |
- |
绑定Mesh Profile |
mesh-profile mesh-profile-number |
必选 缺省情况下,接口下没有绑定Mesh Profile |
l 当绑定的Mesh Profile使能后,此MP会建立对应的WLAN-Mesh接口。
l 建立Mesh link链路的两个AP上需要手工指定射频的工作信道(channel channel-number),并且工作信道必须保持一致。
将一个MP策略和一个MP的radio绑定后,此MP策略里的属性将会驱动此radio上链路的建立和维护。
表2-6 绑定MP策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入射频接口视图 |
interface wlan-radio interface-number |
- |
绑定MP策略 |
mp-policy my-policy-name |
必选 缺省情况下,“default_mp_plcy” MP 策略和radio绑定 |
通过在每个AP的射频模式下配置邻居AP的MAC地址来实现WDS。
表2-7 Mesh邻居MAC地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入射频接口视图 |
interface wlan-radio interface-number |
- |
配置Mesh邻居MAC地址 |
mesh peer-mac-address mac-address |
必选 缺省情况下,没有配置Mesh邻居MAC地址,即允许连接所有邻居 |
表2-8 WLAN Mesh显示和维护
命令 |
|
显示Mesh链路信息 |
display wlan mesh-link { mesh-profile mesh-profile-number | radio radio-number | peer-mac-address mac-address | all } |
显示Mesh策略信息 |
display wlan mesh-profile { mesh-profile-number | all } |
显示MP策略信息 |
display wlan mp-policy { mp-policy-name | all } |
l AP 1和AP 2分别连接在不同的局域网。
l 通过802.11g射频模式使AP 1和AP 2之间形成WDS链路。
图2-8 点到点WDS连接配置组网图
AP 1和AP 2上的配置完全相同,这里以AP 1为例。
# 使能端口安全。
<AP1> system-view
[AP1] port-security enable
# 创建WLAN-Mesh 1接口,配置预共享密钥方式(密钥为12345678),并使能11key类型的密钥协商功能。。
[AP1] interface WLAN-MESH 1
[AP1-WLAN-MESH1] port-security port-mode psk
[AP1-WLAN-MESH1] port-security preshared-key pass-phrase 12345678
[AP1-WLAN-MESH1] port-security tx-key-type 11key
[AP1-WLAN-MESH1] quit
# 配置Mesh Profile并指定当前Mesh Profile的Mesh ID为meshID,将WLAN-Mesh 1接口绑定到服务模板,使能当前Mesh Profile。
[AP1] wlan mesh-profile 1
[AP1-wlan-mshp-1] mesh-id meshID
[AP1-wlan-mshp-1] bind WLAN-MESH 1
[AP1-wlan-mshp-1] mesh-profile enable
[AP1-wlan-mshp-1] quit
# 配置射频接口,指定工作信道为11。
[AP1] interface WLAN-Radio 1/0/2
[AP1-WLAN-Radio1/0/2] radio-type dot11a
[AP1-WLAN-Radio1/0/2] channel 11
AP 1和AP 2上配置的信道要保持一致,即在AP 1上选择使用信道11作为WDS链路信道,在AP 2上也要使用信道11。
# 配置Mesh邻居MAC地址,即AP 2射频接口的MAC地址。
[AP1-WLAN-Radio1/0/2] mesh peer-mac-address 0ebb-01bb-bb00
# 绑定MP策略。
[AP1-WLAN-Radio1/0/2] mesh-profile 1
MP2的配置与上述配置类似,只需要将Mesh邻居MAC地址设置为AP1的MAC地址。
当WDS两端设备配置完成后,可以通过命令查看WDS链路是否已经成功建立。
# 在AP 1上查看WDS链路信息。
<AP1> display wlan mesh-link all
Peer Link Information
-------------------------------------------------------------------------------
Nbr-Mac BSSID Interface Link-state Uptime (hh:mm:ss)
000f-e272-1030 000f-e212-1200 WLAN-MESHLINK62 Active 0:17:59
-------------------------------------------------------------------------------
通过显示信息可以看到AP 1和AP 2之间的WDS链路已经成功建立。
要求AP 1分别和AP 2,AP 3,AP 4建立WDS链路。
图2-9 点到多点的WDS连接配置组网图
WDS配置和点到多点WDS配置基本相同,但需要注意以下几点:
l 在每个AP的射频模式下配置邻居AP的MAC地址(否则AP2、AP3、AP4之间也可能建立WDS链路)。
l 设置允许建立的最大WDS链路数(缺省值为2,需要根据实际链路数进行设置,此例中在AP 1上该值应设为3)。
l 在AP 1上通过display wlan mesh-link all可以看到AP 1与AP 2、AP 3、AP 4建立的三条WDS链路。
l 在AP 2、AP 3和AP 4上通过display wlan mesh-link all可以看到它们各自与AP 1建立的一条WDS链路。
802.11协议提供的无线安全性能可以很好地抵御一般性网络攻击,但是仍有少数黑客能够入侵无线网络,从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络,需要实施一种性能高于802.11的高级安全机制。
(1) 开放系统认证(Open system authentication)
开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。当FATAP可能拒绝认证客户端的时候,开放系统认证不会认证成功。开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步AP确定无线客户端是否通过无线链路认证并回应认证结果。如果认证结果为“成功”,那么客户端成功通过了AP的链路认证。
图3-1 开放系统认证过程
(2) 共享密钥认证(Shared key authentication)
共享密钥认证是除开放系统认证以外的另外一种链路认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。
共享密钥认证的认证过程为:客户端先向设备发送认证请求,无线设备端会随机产生一个Challenge包(即一个字符串)发送给客户端;客户端会将接收到Challenge加密后再发送给无线设备端;无线设备端接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较。如果相同,则说明客户端通过了Shared Key链路认证;否则Shared Key链路认证失败。
图3-2 共享密钥认证过程
相对于有线网络,WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。
802.11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。目前支持四种安全服务。
(1) 明文数据
该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理。
(2) WEP加密
WEP(Wired Equivalent Privacy,有线等效加密)用来保护无线局域网中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。WEP使用RC4加密算法来保证实现数据报文的加密保护,通过共享密钥来加密密钥管理,理论上增加了网络侦听,会话截获等的攻击难度。根据使用的密钥长度,WEP包括WEP40、WEP104和WEP128。密钥长度的增加在一定程度上提高了WEP加密的安全性,但是受到RC4加密算法以及静态配置密钥的限制,WEP加密还是存在比较大的安全隐患。
(3) TKIP加密
TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)是一种加密方法,用于增强pre-RSN硬件上的WEP协议的加密的安全性,其加密的安全性远远高于WEP。WEP主要的缺点在于,尽管IV(Initial Vector,初始向量)改变但在所有的帧中使用相同的密钥,而且缺少密钥管理系统,不可靠。虽然TKIP和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN提供更加安全的保护。
首先,TKIP通过增长了算法的IV(Initial Vector,初始化向量)长度提高了WEP加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量IV的长度由24位加长到48位;
其次,TKIP加密机制实现了密钥的动态协商,解决了WEP加密需要静态配置密钥的限制。TKIP使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破;
另外,TKIP还支持了MIC认证(Message Integrity Check,信息完整性校验)和Countermeasure功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个出现MIC错误的报文,AP将会启动Countermeasure功能,此时,AP将通过静默一段时间不提供服务,实现对无线网络的攻击防御。
(4) CCMP加密
CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(Advanced Encryption Standard,高级加密标准)加密机制的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,仅用于RSNA客户端。CCM结合CTR(Counter mode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验。CCM可以保护了MPDU数据段和IEEE 802.11首部中被选字段的完整性。CCMP中的AES块加密算法使用128位的密钥和128位的块大小。同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会是用不同的PN,在一定程度上提高安全性。
当无线终端成功和AP建立无线链路,可以认为无线终端成功接入到无线网络,但是为了无线网络的安全和管理,无线接入用户只有通过后面的接入认证后才可能真正访问网络资源。其中PSK(Preshared Key,预共享密钥)认证和802.1x认证伴随着无线链路的动态密钥协商和管理,所以和无线链路协商关系比较密切,而且它的认证和无线链路本身没有直接关系。
(1) PSK认证
WPA和WPA2无线接入都支持PSK认证,无线客户端接入无线网络前,需要配置和AP设备相同的预共享密钥,如果密钥相同,PSK接入认证成功;如果密钥不同,PSK接入认证失败。
(2) 802.1x认证
802.1x协议是一种基于端口的网络接入控制协议(Port Based Network Access Control Protocol)。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源。
(3) MAC接入认证
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。在WLAN网络应用中,MAC认证需要预先获知可以访问无线网络的终端设备MAC地址,所以一般适用于用户比较固定的、小型的无线网络,例如家庭、小型办公室等环境
l IEEE Standard for Information technology— Telecommunications and information exchange between systems— Local and metropolitan area networks— Specific requirements -2004
l WI-FI Protected Access – Enhanced Security Implementation Based On IEEE P802.11i Standard-Aug 2004
l Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements—802.11, 1999
l IEEE Standard for Local and metropolitan area networks ”Port-Based Network Access Control” 802.1X™- 2004
在服务模板上配置WLAN安全属性,将服务模板映射到WLAN射频,并在服务模板中配置SSID名、通告设置(信标发送)和加密设置。可以配置SSID支持WPA、RSN和非WPA客户端的组合。
表3-1 WLAN安全属性配置任务
配置任务 |
说明 |
详细配置 |
使能认证方式 |
必选 |
|
配置PTK生存时间 |
必选 |
|
配置GTK密钥更新方法 |
必选 |
|
配置安全信息元素 |
必选 |
|
配置加密套件 |
必选 |
|
配置端口安全 |
必选 |
开放系统方式和共享密钥方式可以单独使用,也可以同时使用。
表3-2 使能认证方式
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
必选 |
使能认证方式 |
authentication-method { open-system | shared-key } |
可选 缺省情况下,使用open-system认证方式 需要注意的是: l 只有在使用WEP加密时才可选用shared-key认证机制,此时必须配置命令authentication-method shared-key l 对于RSN和WPA,开放系统认证方式要求必须配置,共享密钥认证方式不作要求 |
PTK密钥通过四次握手方式生成,需要用到如下属性:PMK(Pairwise Master Key,成对主密钥),AP随机值(ANonce),站点随机值(SNonce),AP的MAC地址和客户端的MAC地址。
用户可以通过下面的操作来设置PTK的生存时间。
表3-3 配置PTK生存时间
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
设置PTK生存时间 |
ptk-lifetime time |
可选 缺省情况下,PTK生存时间为43200秒 |
GTK由FAT AP生成,在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端。客户端使用GTK来解密组播和广播报文。RSN可以通过四次握手或者组密钥握手方式来协商GTK,而WPA只使用组密钥握手方式来协商GTK。
用户可以使能基于时间或基于数据包的GTK密钥更新方法。前者在指定时间间隔后更新GTK,后者在发送了指定数目的广播数据包后更新GTK。用户也可以配置当客户端离线时更新GTK,只有执行了gtk-rekey enable命令,此功能才有效。
表3-4 配置基于时间的更新方法
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
使能GTK更新功能 |
gtk-rekey enable |
必选 缺省情况下,启动GTK更新功能 |
配置基于时间的GTK密钥更新方法 |
gtk-rekey method time-based time |
必选 缺省情况下,密钥更新时间间隔为86400秒 |
配置当有客户端离线时更新GTK |
gtk-rekey client-offline enable |
必选 缺省情况下,当有客户端离线时,不更新GTK |
表3-5 配置基于数据包的密钥更新方法
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
使能GTK更新功能 |
gtk-rekey enable |
必选 缺省情况下,启动GTK更新功能 |
配置基于数据包的GTK更新方法 |
gtk-rekey method packet-based [ packet ] |
必选 缺省情况下,在发送了10000000个数据包后更新GTK密钥 |
配置当有客户端离线时更新GTK密钥 |
gtk-rekey client-offline enable |
可选 缺省情况下,当有客户端离线时,不更新GTK |
l 缺省情况下,GTK更新采用基于时间的更新方法,时间间隔为86400秒。
l 新配置的更新方法会覆盖前一次的配置。例如,如果先配置了基于数据包的更新然后又配置了基于时间的配置方法,则基于时间的配置将会生效。
安全信息元素的配置包括WPA和RSN的配置,这两种方式都必须启用开放系统认证。
在进行PTK(Pairwise Transient Key,成对临时密钥)和GTK(Group Temporal Key,群组临时密钥)协商时请关闭802.1x在线用户握手功能。
WPA(Wi-Fi Protected Access,Wi-Fi保护访问)是一种比WEP性能更强的无线安全方案。WPA工作在WPA-PSK模式(又称Personal模式)或者WPA-802.1x模式(又称WPA-Enterprise模式)下。PSK(Preshared Key,预共享密钥)模式下使用预共享密钥或者口令进行认证,而企业模式使用802.1x RADIUS服务器和EAP(Extensible Authentication Protocol,可扩展认证协议)进行认证。
表3-6 配置WPA信息元素
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
必选 |
使能安全信息元素 |
security-ie wpa |
必选 |
RSN是一种仅允许建立RSNA(Robust Security Network Association,健壮安全网络连接)的安全网络,提供比WEP和WPA更强的安全性。RSN通过信标帧的RSN IE(Information Element,信息元素)中的指示来标识。
表3-7 配置安全信息元素
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
必选 |
使能安全信息元素 |
security-ie rsn |
必选 |
加密套件通常用于数据封装和解封装。加密套件使用如下加密方法:
l WEP40/WEP104/WEP128
l TKIP
l CCMP
使用crypto类型的服务模板配置WEP、TKIP和CCMP。
WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥。WEP加密机制采用RC4算法(一种流加密算法),支持WEP40、WEP104和WEP128两种密钥长度。
WEP加密方式可以分别和open-system、shared-key认证方式使用。
l 采用open-system:此时WEP密钥只做加密,即使密钥配的不一致,用户也是可以上线,但上线后传输的数据会因为密钥不一致被接收端丢弃。
l 采用shared-key:此时WEP密钥做认证和加密,如果密钥不一致,客户端无法上线。
表3-8 配置WEP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
使能加密套件 |
cipher-suite { wep40 | wep104 | wep128 } |
必选 |
配置WEP缺省密钥 |
wep default-key { 1 | 2 | 3 | 4 } { wep40 | wep104 | wep128 } { pass-phrase | raw-key } key |
必选 缺省情况下,没有配置WEP缺省密钥 |
配置密钥索引号 |
wep key-id { 1 | 2 | 3 | 4 } |
必选 缺省情况下,密钥索引号为1 |
表3-9 配置TKIP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
必选 |
使能加密套件 |
cipher-suite tkip |
必选 |
配置TKIP反制策略时间 |
tkip-cm-time time |
可选 缺省情况下,TKIP反制策略时间为0秒 |
MIC(Message Integrity Check,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,TKIP会启动反制策略时间,来阻止黑客的攻击。
CCMP加密机制采用了更安全的对称加密算法AES。
表3-10 配置CCMP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
必选 |
使能加密套件 |
cipher-suite ccmp |
必选 |
端口安全配置包括认证类型配置和AAA服务器的配置。认证类型可以配置的方式举例如下:
l PSK
l 802.1x
l MAC
l PSK和MAC
l PSK或802.1x
在配置端口安全之前,完成以下任务:
(1) 创建无线端口
(2) 全局使能端口安全
(1) PSK认证
表3-11 配置PSK认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口视图 |
interface wlan-bss interface-number |
必选 |
使能密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,没有使能11key协商功能 |
配置密钥 |
port-security preshared-key { pass-phrase | raw-key } key |
必选 缺省情况下,没有配置密钥 |
配置PSK端口安全模式 |
port-security port-mode psk |
必选 |
(2) 802.1x认证
表3-12 配置802.1X认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口视图 |
interface wlan-bss interface-number |
必选 |
使能密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,没有使能11key协商功能 |
配置802.1X端口安全模式 |
port-security port-mode userlogin-secure-ext |
必选 |
(3) MAC认证
表3-13 配置MAC认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口 |
interface wlan-bss interface-number |
- |
配置MAC端口安全模式 |
port-security port-mode mac-authentication |
必选 |
802.11i的相关配置不支持MAC认证模式。
(4) PSK和MAC认证
表3-14 配置PSK和MAC认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口视图 |
interface wlan-bss interface-number |
- |
使能密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,没有使能11key协商功能 |
配置PSK和MAC端口安全模式 |
port-security port-mode mac-and-psk |
必选 |
配置PSK的预共享密钥 |
port-security preshared-key { pass-phrase | raw-key } key |
必选 如果密钥类型为字符串,长度应为8~63个字符;如果密钥类型为十六进制数,密钥应为64位(由数字0~9,字母a~f组成)十六进制数 |
(5) PSK或802.1X认证
表3-15 配置基于PSK或802.1X认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN接口视图 |
interface wlan-bss interface-number |
必选 |
使能密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,没有使能11key协商功能 |
使能PSK或802.1X端口安全模式 |
port-security port-mode userlogin-secure-ext-or-psk |
必选 |
端口安全相关命令请参考“安全分册”中的“端口安全配置”。
WAPI是一种仅允许建立RSNA(Robust Security Network Association,健壮安全网络连接)的安全网络,提供比WEP和WPA更强的安全性。WAPI可通过信标帧的WAPI IE(Information Element,信息元素)中的指示来标识。WAPI工作在WAPI-PSK模式或者WAPI-CERT模式。PSK模式使用预共享密钥或者口令进行认证,而企业模式则使用AS服务器进行认证。WAPI默认支持WPISMS4加密机制。
表3-16 配置WAPI
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number wapi |
- |
WAPI相关配置请参考“安全分册”中的“WAPI配置”。
完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN安全的运行情况,通过查看显示信息验证配置的效果。
表3-17 配置WLAN安全显示和维护
操作 |
命令 |
查看指定的服务模板的信息 |
display wlan service-template [ service-template-number ] |
显示全局或指定端口的MAC地址认证信息 |
display mac-authentication [ interface interface-list ] |
显示安全MAC地址信息 |
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] |
显示端口安全的PSK用户信息 |
display port-security preshared-key user [ interface interface-type interface-number ] |
显示端口安全的配置信息、运行情况和统计信息 |
display port-security [ interface interface-list ] |
显示802.1x的会话连接信息、相关统计信息或配置信息 |
display dot1x [ sessions | statistics ] [ interface interface-list ] |
在配置WLAN安全时可以根据具体选择的认证方式,使用相关的显示信息查看运行后的WLAN安全状态,具体命令请参考“安全分册”中的“端口安全命令”、“802.1x命令”和“MAC地址认证”。
FAT AP与二层交换机L2 switch建立连接。客户端Client的PSK密钥是12345678。FAT AP配置的密钥与客户端相同。
图3-3 PSK配置组网图
(1) 配置FAT AP
# 使能端口安全并选择PSK认证方式。
<AP> system-view
[AP] port-security enable
[AP] interface wlan-bss 1
[AP-WLAN-BSS1] port-security port-mode psk
[AP-WLAN-BSS1] port-security preshared-key pass-phrase 12345678
[AP-WLAN-BSS1] port-security tx-key-type 11key
[AP-WLAN-BSS1] quit
# 配置服务模板。
[AP] wlan service-template 1 crypto
[AP-wlan-st-1] ssid psktest
[AP-wlan-st-1] security-ie rsn
[AP-wlan-st-1] cipher-suite ccmp
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
# 将WLAN-BSS接口与服务模板绑定。
[AP] interface wlan-radio1/0/2
[AP-WLAN-Radio1/0/2] service-template 1 interface wlan-bss 1
(2) 验证结果
客户端Client配置相同的PSK预共享密钥。Client可以成功关联AP,并且可以访问无线网络。
可以使用display wlan client、display connection和display port-security preshared-key user命令查看上线的客户端。
l FAT AP和RADIUS服务器通过二层交换机L2 switch建立连接。FAT AP的IP地址为10.18.1.1,RADIUS服务器的IP地址为10.18.1.88。
l 要求使用MAC认证方式对客户端进行身份认证。
图3-4 MAC认证配置组网图
(1) 配置FAT AP
# 使能密文MAC认证。
<AP> system-view
[AP] port-security enable
[AP] interface wlan-bss 1
[AP-WLAN-BSS1] port-security port-mode mac-and-psk
[AP-WLAN-BSS1] port-security preshared-key pass-phrase 12345678
[AP-WLAN-BSS1] port-security tx-key-type 11key
[AP-WLAN-BSS1] quit
# 配置服务模板。
[AP] wlan service-template 1 crypto
[AP-wlan-st-1] ssid mactest
[AP-wlan-st-1] security-ie rsn
[AP-wlan-st-1] cipher-suite ccmp
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
# 配置RADIUS方案。
[AP] radius scheme rad
[AP-radius-rad] primary authentication 10.1.1.88
[AP-radius-rad] primary accounting 10.1.1.88
[AP-radius-rad] key authentication 12345678
[AP-radius-rad] key accounting 12345678
[AP-radius-rad] server-type extended
[AP-radius-rad] user-name-format without-domain
[AP-radius-rad] quit
# 在添加认证域CAMS,并为该域指定对应的Radius认证方案为rad。
[AP] domain cams
[AP-isp-cams] authentication lan-access radius-scheme rad
[AP-isp-cams] authorization lan-access radius-scheme rad
[AP-isp-cams] accounting lan-access radius-scheme rad
[AP-isp-cams] quit
# 指定MAC认证域。
[AP] mac-authentication domain cams
# 配置MAC地址认证用户名格式。使用不带连字符的MAC地址作为用户名与密码。(注意要和服务器上使用的形式保持一致)
[AP] mac-authentication user-name-format mac-address without-hyphen
# 将WLAN-BSS接口与服务模板绑定。
[AP] interface wlan-radio1/0/2
[AP-WLAN-Radio1/0/2] service-template 1 interface wlan-bss 1
(2) 配置RADIUS server(CAMS)
# 增加接入设备。
登录进入CAMS管理平台,点击左侧菜单树中[系统管理]->[系统配置]的“接入设备配置”->“修改”->“增加”后,进入接入设备配置页面。
l 添加AP的IP地址10.18.1.1;
l 设置共享密钥为12345678;
l 选择协议类型为LAN接入业务;
l 设置验证及计费的端口号分别为1812和1813;
l 选择RADIUS协议类型为扩展协议;
l 选择RADIUS报文类型为标准报文。
图3-5 接入设备配置页面
# 增加服务配置。
点击左侧菜单树中[服务管理]->[服务配置],在服务配置列表中,选择“增加”,添加服务名,在计费策略中选中配置好的计费策略(计费策略配置方法,此处略),这里选择不计费。
图3-6 服务配置页面
# 增加用户配置。
点击左侧菜单树中[用户管理]->[帐号用户]的“增加”后输入用户名和密码。此处需要注意将刚才配置的服务选上。
在添加帐号用户时,用户名为用户网卡的MAC地址,采用不带“-”的形式,如图3-7所示。
(3) 配置RADIUS server (iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置认证、计费共享密钥为12345678;
l 设置认证及计费的端口号分别为1812和1813;
l 选择协议类型为LAN接入业务;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图3-8 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
设置服务名为mac,其他保持缺省配置。
图3-9 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
l 添加用户名;
l 添加帐号名和密码为00146c8a43ff;
l 勾选刚才配置的服务mac。
图3-10 增加接入用户
(4) 验证结果
客户端可以成功关联AP,并且可以访问无线网络。
可以使用display wlan client、display connection和display mac-authentication命令查看上线的客户端。
l FAT AP和RADIUS服务器通过二层交换机L2 switch建立连接。FAT AP的IP地址为10.18.1.1,RADIUS服务器的IP地址为10.18.1.88。
l 要求使用802.1x认证方式对客户端进行身份认证。
图3-11 802.1x典型配置组网图
(1) 配置FAT AP
<AP> system-view
[AP] port-security enable
[AP] dot1x authentication-method eap
# 配置RADIUS方案。
[AP] radius scheme rad
[AP-radius-rad] primary authentication 10.18.1.88
[AP-radius-rad] primary accounting 10.18.1.88
[AP-radius-rad] key authentication 12345678
[AP-radius-rad] key accounting 12345678
[AP-radius-rad] user-name-format without-domain
[AP-radius-rad] quit
# 添加认证域CAMS,并为该域指定对应的Radius认证方案为rad。
[AP] domain cams
[AP-isp-cams] authentication lan-access radius-scheme rad
[AP-isp-cams] authorization lan-access radius-scheme rad
[AP-isp-cams] accounting lan-access radius-scheme rad
[AP-isp-cams] quit
[AP] domain default enable cams
# 配置WLAN-BSS接口。
[AP] interface wlan-bss 1
[AP-WLAN-BSS1] port-security port-mode userlogin-secure-ext
[AP-WLAN-BSS1] port-security tx-key-type 11key
[AP-WLAN-BSS1] quit
# 配置RSN服务模板。
[AP] wlan service-template 1 crypto
[AP-wlan-st-1] ssid dot1xtest
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] cipher-suite ccmp
[AP-wlan-st-1] security-ie rsn
[AP-wlan-st-1] service-template enable
[AP-wlan-st-1] quit
# 将WLAN-BSS接口与服务模板绑定。
[AP] interface wlan-radio1/0/2
[AP-WLAN-Radio1/0/2] service-template 1 interface wlan-bss 1
(2) 配置RADIUS server(CAMS)
# 增加接入设备。
登录进入CAMS管理平台,点击左侧菜单树中[系统管理]->[系统配置]的“接入设备配置”->“修改”->“增加”后,进入接入设备配置页面。
l 添加AP的IP地址10.18.1.1;
l 设置共享密钥为12345678;
l 选择协议类型为LAN接入业务;
l 设置验证及计费的端口号分别为1812和1813;
l 选择RADIUS协议类型为扩展协议;
l 选择RADIUS报文类型为标准报文。
图3-12 接入设备配置页面
# 服务配置。
点击左侧菜单树中[服务管理]->[服务配置],在服务配置列表中,选择“增加”。添加服务名,这里选择不计费。选中“启动证书认证”,选择“EAP-PEAP认证类型”和认证子类型中“MS-CHAPV2”。
图3-13 服务配置页面
# 用户配置。
左侧菜单下,进入用户管理,帐号用户,选择“增加”输入用户名和密码。此处需要注意将刚才配置的服务选上。
图3-14 用户配置页面
(3) 配置RADIUS server (iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置认证、计费共享密钥为12345678;
l 设置认证及计费的端口号分别为1812和1813;
l 选择协议类型为LAN接入业务;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图3-15 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
设置服务名为mac,其他保持缺省配置。
图3-16 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
l 添加用户名;
l 添加帐号名和密码为00146c8a43ff;
l 勾选刚才配置的服务mac。
图3-17 增加接入用户
(4) 配置无线网卡
选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用windows登录名和密码选项。然后“确定”。整个过程如下图所示。
图3-18 无线网卡配置过程
图3-19 无线网卡配置过程
图3-20 无线网卡配置过程
(5) 验证结果
客户端通过802.1x认证成功关联AP,并且可以访问无线网络。
可以使用display wlan client、display connection和display dot1x命令查看上线的客户端。
本节包括了加密套件配置中使用到的所有组合方式。
对于RSN,无线安全支持CCMP和TKIP作为成对密钥,而WEP只用作组加密套件。下面是无线安全支持的RSN的加密套件组合方式(WEP40、WEP104和WEP128不能同时存在)。
表3-18 WLAN-WSEC支持的RSN的加密套件组合方式
单播密码 |
广播密码 |
认证方式 |
安全类型 |
CCMP |
WEP40 |
PSK |
RSN |
CCMP |
WEP104 |
PSK |
RSN |
CCMP |
WEP128 |
PSK |
RSN |
CCMP |
TKIP |
PSK |
RSN |
CCMP |
CCMP |
PSK |
RSN |
TKIP |
WEP40 |
PSK |
RSN |
TKIP |
WEP104 |
PSK |
RSN |
TKIP |
WEP128 |
PSK |
RSN |
TKIP |
TKIP |
PSK |
RSN |
CCMP |
WEP40 |
802.1x |
RSN |
CCMP |
WEP104 |
802.1x |
RSN |
CCMP |
WEP128 |
802.1x |
RSN |
CCMP |
TKIP |
802.1x |
RSN |
CCMP |
CCMP |
802.1x |
RSN |
TKIP |
WEP40 |
802.1x |
RSN |
TKIP |
WEP104 |
802.1x |
RSN |
TKIP |
WEP128 |
802.1x |
RSN |
TKIP |
TKIP |
802.1x |
RSN |
对于WPA,无线安全仅支持TKIP做为成对密钥,而WEP只用作组加密套件。下面是无线安全支持的WPA的加密套件组合方式(WEP40、WEP104和WEP128不能同时存在)。
表3-19 WLAN-WSEC支持的WPA的加密套件组合方式
单播密码 |
广播密码 |
认证方式 |
安全类型 |
CCMP |
WEP40 |
PSK |
WPA |
CCMP |
WEP104 |
PSK |
WPA |
CCMP |
WEP128 |
PSK |
WPA |
CCMP |
TKIP |
PSK |
WPA |
CCMP |
CCMP |
PSK |
WPA |
TKIP |
WEP40 |
PSK |
WPA |
TKIP |
WEP104 |
PSK |
WPA |
TKIP |
WEP128 |
PSK |
WPA |
TKIP |
TKIP |
PSK |
WPA |
CCMP |
WEP40 |
802.1x |
WPA |
CCMP |
WEP104 |
802.1x |
WPA |
CCMP |
WEP128 |
802.1x |
WPA |
CCMP |
TKIP |
802.1x |
WPA |
CCMP |
CCMP |
802.1x |
WPA |
TKIP |
WEP40 |
802.1x |
WPA |
TKIP |
WEP104 |
802.1x |
WPA |
TKIP |
WEP128 |
802.1x |
WPA |
TKIP |
TKIP |
802.1x |
WPA |
对于Pre RSN无线客户端,无线安全仅支持WEP加密套件(WEP40、WEP104和WEP128不能同时存在)。
表3-20 WLAN-WSEC支持的Pre RSN的加密套件组合方式
单播密码 |
广播密码 |
认证方式 |
安全类型 |
WEP40 |
WEP40 |
Open system |
no Sec Type |
WEP104 |
WEP104 |
Open system |
no Sec Type |
WEP128 |
WEP128 |
Open system |
no Sec Type |
WEP40 |
WEP40 |
Shared key |
no Sec Type |
WEP104 |
WEP104 |
Shared key |
no Sec Type |
WEP128 |
WEP128 |
Shared key |
no Sec Type |
无线信号的传播受周围环境影响,多径等问题会导致无线信号在不同方向上存在非常复杂的衰减现象,所以WLAN网络的实施往往需要周密的网络规划。即使在成功部署无线网络后,应用阶段的参数调整仍然必不可少,这是因为无线环境是在不断变化的,移动的障碍物、正在工作的微波炉等带来的干扰等都可能对无线信号的传播造成影响,所以信道、发射功率等射频资源必须能够动态地调整以适应用户环境的变化。这样的调整过程是复杂的,需要丰富的技术经验和定期的人工检测,无疑造成非常高的管理成本。
无线资源管理(WLAN RRM,WLAN Radio Resource Management)是一种可升级的射频管理解决方案,通过“采集(AP实时收集射频环境信息)->分析(对AP收集的数据进行分析评估)->决策(根据分析结果,统筹分配信道和发送功率)->执行(AP执行配置,进行射频资源调优)”的方法,提供一套系统化的实时智能射频管理方案,使无线网络能够快速适应无线环境变化,保持最优的射频资源状态同时WLAN RRM特性为射频管理解决方案提供了快速适应射频环境变化的智能控制功能。它提供了一种分布式的方法,用于学习周围的环境以及一种统一的方法用于资源分配和控制。
表4-1 WLAN RRM配置任务简介
配置任务 |
说明 |
详细配置 |
配置射频速率 |
可选 |
|
配置射频的功率限制 |
可选 |
|
配置扫描非dot11h信道 |
可选 |
|
使能dot11g保护 |
可选 |
使能射频且至少配置了一个服务模板。
表4-2 配置802.11a/802.11b/802.11g射频速率
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入RRM视图 |
wlan rrm |
- |
设置“802.11a”模式下的射频速率 |
dot11a { disabled-rate | mandatory-rate | supported-rate } rate-value |
可选 缺省情况下, l 强制速率:6,12,24; l 支持速率:9,18,36,48,54; l 禁用速率:无 |
设置“802.11b”模式下的射频速率 |
dot11b { disabled-rate | mandatory-rate | supported-rate } rate-value |
可选 缺省情况下, l 强制速率:1,2; l 支持速率:5.5,11; l 禁用速率:无 |
设置“802.11g”模式下的射频速率 |
dot11g { disabled-rate | mandatory-rate | supported-rate } rate-value |
可选 缺省情况下, l 强制速率:1,2,5.5,11; l 支持速率:6,9,12,18,24,36,48,54; l 禁用速率:无 |
802.11n射频速率的配置通过MCS(Modulation and Coding Scheme,调制与编码策略)索引值实现。MCS调制编码表是802.11n为表征WLAN的通讯速率而提出的一种表示形式。MCS将所关注的影响通讯速率的因素作为表的列,将MCS索引作为行,形成一张速率表。所以,每一个MCS索引其实对应了一组参数下的物理传输速率,表4-3列举了带宽为20MHz的MCS速率表(全部速率的描述可参见“IEEE P802.11n D2.00”)。
表4-3 MCS对应速率表(20MHz)
MCS 索引 |
调制方式 |
Data rate (Mb/s) |
|
800ns GI |
400ns GI |
||
0 |
BPSK |
6.5 |
7.2 |
1 |
QPSK |
13.0 |
14.4 |
2 |
QPSK |
19.5 |
21.7 |
3 |
16-QAM |
26.0 |
28.9 |
用户对MCS的配置分为两类,配置基本MCS和支持MCS。配置输入的MCS索引是一个范围,即指0~配置值,如输入5,即指定了所要输入的MCS范围为0~5。
l 基本MCS:基本MCS是指AP正常工作所必须的MCS速率集,客户端必须满足AP所配置的基本MCS速率才能够与AP进行连接。
l 支持MCS:支持MCS速率集是在AP的基本MCS速率集基础上AP所能够支持的更高的速率集合,用户可以配置支持MCS速率集让客户端在满足基本MCS的前提下选择更高的速率与AP进行连接。
表4-4 配置802.11n射频速率
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入RRM视图 |
wlan rrm |
- |
配置802.11n的基本MCS集的最大MCS索引号 |
dot11n mandatory maximum-mcs index |
可选 缺省情况下,没有配置任何基本MCS集 |
配置802.11n的支持MCS集的最大MCS索引号 |
dot11n support maximum-mcs index |
可选 缺省情况下,支持MCS集的索引号为76 |
如果用户在指定radio接口下配置使能了client dot11n-only命令,则必须配置基本MCS。
使能射频,且至少配置了一个服务模板。
表4-5 配置射频的功率限制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入RRM视图 |
wlan rrm |
- |
使能802.11a频段的频谱管理 |
spectrum-management enable |
必选 缺省情况下,频谱管理处于关闭状态 |
配置所有的802.11a射频的功率限制 |
power-constraint power-constraint |
可选 缺省情况下,功率限制为0dBm |
使能射频,且至少配置了一个服务模板。
表4-6 配置扫描非dot11h信道
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入RRM视图 |
wlan rrm |
- |
配置扫描非dot11h信道 |
autochannel-set avoid-dot11h |
可选 缺省情况下,选择信道没有限制,即扫描所有信道 |
dot11g保护是Wi-Fi里必须支持的一个特性。以下两种情况会是运行dot11g的AP执行dot11g保护功能。
l dot11b的客户端和运行dot11g的AP相关联。
l 运行dot11g的AP探测到802.11b和802.11g同时工作的BSS区域或探测到目的地址不是指向其的802.11b报文。
在第一种情况下,dot11g保护功能一直处于使能状态。在第二种情况下,可以使用本节所介绍的命令开启或关闭dot11g保护功能。
因为运行dot11b的设备不能识别dot11g的报文,而dot11g保护功能提供了使运行dot11g的设备发送RTS/CTS和CTS-to-self报文来避免和dot11b设备发生冲突的机制。
使能dot11g射频,且至少配置了一个服务模板。
表4-7 使能dot11g保护
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入RRM视图 |
wlan rrm |
- |
使能dot11g保护 |
dot11g protection enable |
可选 缺省情况下,dot11g保护功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后RRM的运行情况,通过查看显示信息验证配置的效果。
表4-8 WLAN RRM显示与维护
操作 |
命令 |
查看WLAN RRM配置 |
display wlan rrm |
802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rouge设备对于企业网络安全来说是一个很严重的威胁。WIDS(Wireless Intrusion Detection System)用于放置到已有的无线网络中,它可以对网络外恶意的攻击和入侵无线网络进行早期检测。WIPS(Wireless Intrusion Prevention System)可以保护企业网络和用户不被无线网络上未经授权的设备访问。
主要为了及时发现WLAN网络的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者。目前设备支持的IDS攻击检测主要包括802.11报文泛洪攻击检测、AP Spoof检测以及Weak IV检测。
泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。
IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。
IDS支持下列报文的泛洪攻击检测。
l 认证请求/解除认证请求(Authentication / De-authentication);
l 关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation);
l 探查请求(Probe request);
l 空数据帧;
l Action帧;
当一个AP支持超过一个BSSID时,无线终端会发送探查请求报文到每个单独的BSSID。所以在报文为探查请求报文的情况下,需要考虑源端和目的地的共同流量,而对于其它类型的报文,只需要考虑源端的流量即可。
WLAN在使用WEP链路加密的时候,对于每一个报文都会使用初始化向量(IV,Initialization Vector),它是基于共享密钥和一个伪随机生成的3比特序列。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。
但是在验证发送的某些类型的IV的时候,可能对于潜在的攻击者会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。
WIDS IPS通过识别每个WEP报文的IV来预防这种攻击,当一个有弱初始化向量的报文被检测到时,这个检测将立刻被记录到日志中。
这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。例如:一个欺骗的解除认证的报文会导致无线客户端下线。
WIDS IPS对于广播解除认证和广播解除关联报文检测是否有欺骗攻击。当接受到这种报文时将立刻被定义为欺骗攻击并被记录到日志中。
表5-1 配置IDS攻击检测
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入IDS视图 |
wlan ids |
- |
配置IDS攻击检测 |
attack-detection enable { all | flood | weak-iv | spoof } |
必选 缺省情况下,攻击检测功能处于关闭状态 |
在任意视图下执行display命令可以显示WLAN IDS的运行情况。
在用户视图下执行reset命令可以清除WLAN IDS统计信息。
表5-2 WLAN IDS的显示和维护
配置 |
命令 |
显示WLAN系统的攻击检测历史信息 |
display wlan ids history |
显示检测到的攻击数 |
display wlan ids statistics |
清除WLAN系统攻击检测的历史信息 |
reset wlan ids history |
清除WLAN系统攻击检测的统计信息 |
reset wlan ids statistics |
帧过滤是802.11MAC和WIDS(Wireless Intrusion Detection System,无线入侵检测系统)子特性的一个小特性。
FAT AP包括白名单列表(列表中的当前表项是被许可,并可以通过命令行配置的),静态黑名单列表(列表中的当前表项是不被许可,但可以通过命令行配置的)和动态黑名单列表(列表中的当前表项是不被许可,并只有在无线入侵检测系统检测到泛洪攻击时才被添加)。
过滤行为实体维持了AP上的MAC地址,并且过滤行为只有在输入的MAC地址匹配的情况下才执行。
帧过滤用于在设备上过滤帧,这些过滤掉地帧是不需要处理的,帧过滤维护三种类型的列表。
l Whitelist(白名单列表):该列表包含终端设备的MAC地址。处于该列表中的帧可以做进一步的处理,该列表由用户配置。
l Static Blacklist(静态黑名单列表):该列表包含将被丢弃的帧的终端设备的MAC的地址,该列表由用户配置。
l Dynamic Blacklist(动态黑名单列表):该列表包含将被丢弃的帧的终端设备的MAC的地址。当检测到某个终端设备发送泛洪报文从而引起网络拥塞时,该列表通过WIDS动态添加黑名单列表。
入侵过滤将按照以下步骤执行:
l 当无线接入点接收到一个帧时,不论该帧是否存在于帧过滤列表中,其输入MAC地址都将被检查。
l 如果输入的MAC地址不在白名单列表内,该帧将被丢弃。
l 如果没有设置白名单列表则将搜索静态和动态的黑名单列表。
l 如果输入的MAC的地址不能匹配任何的列表,该帧将被保留做进一步的处理。
l 当帧过滤列表中不存在任何表项时,所有的帧都将被允许通过。
图5-1 Frame-Filtering组网
在FAT AP组网图中,假设Client 1不能与之关联并且其MAC地址存在于黑名单列表中,则Client 1不能与任何的无线接入点发生关联。当Client 1仅存在于FAT AP的白名单列表中时,它可以接入无线网络。
WIDS-Frame Filtering配置包括白名单列表、静态黑名单列表和动态黑名单列表。
各种名单列表的特性如下:
l 切换到IDS视图下可以配置静态黑名单列表、白名单列表、使能动态黑名单列表功能以及动态黑名单中的对应列表的生存时间。
l 只有当表项存在于白名单列表中时,对应的客户端才能通过帧过滤。用户可以通过命令行添加或删除表项。
l 当输入表项存在于黑名单列表中时将被拒绝通过,当WIDS检测到泛洪攻击时,该表项将被动态添加到动态黑名单列表中。对于存在于动态黑名单中的表项,用户可以通过命令行设置生存时间。在该时间超时后,该设备接口将被从动态列表中删除。
表5-3 配置静态列表
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入ids视图 |
wlan ids |
- |
配置白名单列表 |
whitelist mac-address mac-address |
可选 |
配置静态黑名单列表 |
static-blacklist mac-address mac-address |
可选 |
表5-4 配置动态黑名单
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入ids视图 |
wlan ids |
- |
使能动态黑名单列表功能 |
dynamic-blacklist enable |
可选 缺省情况下,不使能动态黑名单列表功能 |
设置动态黑名单中的对应列表的生存时间 |
dyamic-blacklist lifetime lifetime |
可选 缺省情况下,生存时间为300秒 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后WIDS-Frame Filtering的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令清除WIDS-Frame Filtering的相关信息。
表5-5 WIDS-Frame Filtering显示和维护
操作 |
命令 |
显示黑名单列表 |
display wlan blacklist { static | dynamic } |
显示白名单列表 |
display wlan whitelist |
清除动态黑名单列表选项 |
reset wlan dynamic-blacklist { mac-address mac-address | all } |
客户端通过FAT AP接入无线网络。具体要求为:
l Client 1(0000-000f-1211)配置为黑名单列表表项,这个信息被发送到所有与之相连的AP上。任何来源于这个客户端的管理帧将被过滤并丢弃。
l Client 2(0000-000f-34a3) 配置为白名单列表表项,这个信息被发送到所有与之相连的AP上。所有来源于这个客户端的帧将被保留做进一步处理。
图5-2 帧过虑配置组网图
# 将Client 2(0000-000f-34a3)的MAC地址添加到白名单列表。
<AP> system-view
[AP] wlan ids
[AP-wlan-ids] whitelist mac-address 0000-000f-34a3
# 将Client 1(0000-000f-1211)的MAC地址添加到静态黑名单列表。
[AP-wlan-ids] static-blacklist mac-address 0000-000f-1211
配置后,Client 2可以接入无线网络,Client 1的数据被过滤并丢弃。
802.11网络提供了基于竞争的无线接入服务,但是不同的应用需求对于网络的要求是不同的,而原始的网络不能为不同的应用提供不同质量的接入服务,所以已经不能满足实际应用的需要。
IEEE 802.11e为基于802.11协议的WLAN体系添加了QoS特性,这个协议的标准化时间很长,在这个过程中,Wi-Fi组织为了保证不同WLAN厂商提供QoS的设备之间可以互通,定义了WMM(Wi-Fi Multimedia,Wi-Fi多媒体)标准。WMM标准使WLAN网络具备了提供QoS服务的能力。
(1) WMM
WMM是一种无线QoS协议,用于保证高优先级的报文有优先的发送权利,从而保证语音、视频等应用在无线网络中有更好的质量。
(2) EDCA
EDCA(Enhanced Distributed Channel Access,增强的分布式信道访问)是WMM定义的一套信道竞争机制,有利于高优先级的报文享有优先发送的权利和更多的带宽。
(3) AC
AC(Access Category,接入类),WMM按照优先级从高到低的顺序分为AC-VO(语音流)、AC-VI(视频流)、AC-BE(尽力而为流)、AC-BK(背景流)四个优先级队列,保证越高优先级队列中的报文,抢占信道的能力越高。
(4) CAC
CAC(Connect Admission Control,连接准入控制),限制能使用高优先级队列(AC-VO和AC-VI队列)的客户端个数,从而保证已经使用高优先级队列的客户端能够有足够的带宽保证。
(5) U-APSD
U-APSD(Unscheduled automatic power-save delivery,非调度自动节能发送),是WMM定义的一种新的节能处理方式,可以进一步提升客户端的节能能力。
(6) SVP
SVP(SpectraLink Voice Priority,Spectralink语音优先级)是Spectralink公司为向语音通话提供QoS保障而设计的语音优先协议。
在802.11协议中DCF(Distributed Coordination Function,分布式协调功能)规定了AP和客户端使用CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance,载波监听/冲突避免)的接入方式。在占用信道发送数据前,AP或客户端会监听信道。当信道空闲时间大于或等于规定的空闲等待时间,AP或客户端在竞争窗口范围内随机选择退避时间进行退避。最先结束退避的设备竞争到信道。在802.11协议中,由于所有设备的空闲等待时间、竞争窗口都相同,所以整个网络设备的信道竞争机会相同。
WMM协议通过对802.11协议的增强,改变了整个网络完全公平的竞争方式,将BSS(Basic Service Set,基本服务集)内的数据报文分为4个AC,高优先级的AC占用信道的机会大于低优先级的AC,从而使不同的AC能获得不同级别的服务。
WMM协议对每个AC定义了一套信道竞争EDCA参数,EDCA参数的含义如下所示。
l AIFSN(Arbitration Inter Frame Spacing Number,仲裁帧间隙数),在802.11协议中,空闲等待时长(DIFS)为固定值,而WMM针对不同AC可以配置不同的空闲等待时长,AIFSN数值越大,用户的空闲等待时间越长,为图6-1中AIFS时间段;
l ECWmin(Exponent form of CWmin,最小竞争窗口指数形式)和ECWmax(Exponent form of CWmax,最大竞争窗口指数形式),决定了平均退避时间值,这两个数值越大,用户的平均退避时间越长,为图6-1中Backoff slots时间段;
l TXOPLimit(Transmission Opportunity Limit,传输机会限制),用户一次竞争成功后,可占用信道的最大时长。这个数值越大,用户一次能占用信道的时长越大,如果是0,则每次占用信道后只能发送一个报文。
图6-1 WMM对每个AC赋予不同的信道竞争参数
CAC的基本原理是客户端只有获得AP的批准,才能以高优先级的AC发送数据,否则只能使用低优先级的AC,保证了已经获得批准的客户端能够获得需要的带宽。这里将各种传输报文分为两类:实时业务流(需要CAC控制的流,包括AC-VO和AC-VI)和普通数据流(不需要CAC控制的流,包括AC-BE和AC-BK)。
如果客户端需要使用高优先级的AC,则需要进行请求,AP按照如下介绍的算法,计算是否允许客户端使用,并将结果回应给客户端。
l 基于信道利用率的准入策略:计算1秒内所有已接入的高优先级AC占用信道的时间,以及请求以高优先级接入的AC占用信道的时间,二者相加,如果小于或等于用户配置的最大信道占用时间,则允许该流以请求的优先级接入。否则,拒绝请求。
l 基于用户数量的准入策略:如果高优先级AC中客户端数量加上请求接入的客户端,小于或等于用户配置的该高优先级AC的最大用户数,则允许用户的请求。否则,拒绝请求。如果一个客户端同时接入AC-VO和AC-VI优先级业务流,接入客户端的个数按1计算。
U-APSD是对原有节能模式的改进。客户端在关联时可以指定某些AC具有触发属性,某些AC具有发送属性,以及触发后最多允许发送的数据报文数量。触发和发送属性还可以在通过连接准入控制创建流的时候进行更改。客户端休眠后,发往客户端的属于具有发送属性AC的数据报文将被缓存在发送缓存队列中,客户端需要发送属于具有触发属性AC的报文以获取发送缓存队列中的报文。AP收到触发报文后,按照接入时确定的发送报文数量,发送属于发送队列的报文。没有发送属性的AC仍然使用802.11定义的传统方式存储和传送。
SVP服务是实现对IP头中Protocol ID为119的SVP报文的处理功能,将其放入指定的AC队列中。由于SVP规定SVP报文不需要进行随机退避,所以当对应AC队列中只有SVP报文时,可以将ECWmin和ECWmax均设置为0。
协议规定ACK策略有两种:Normal ACK和No ACK。
l No ACK(No Acknowledgment)策略,是针对通信质量较好,干扰较小的情况下,在无线报文交互过程中,不使用ACK报文进行接收确认的一种策略。No ACK策略能有效提高传输效率,但在不使用ACK确认的情况下,如果通信质量较差,即使接收端没有收到发送包,发送端也不会重发,所以会造成丢包率增大的问题。
l Normal ACK策略是指对于每个发送的单播报文,接收者在成功接收到发送报文后,都要发送ACK进行确认。
l 802.11e-2005, Amendment 8: Medium Access Control (MAC) Quality of Service Enhancements, IEEE Computer Society, 2005
l Wi-Fi, WMM Specification version 1.1, Wi-Fi Alliance, 2005
启用WLAN服务,具体请参见“WLAN配置”。
表6-1 配置WMM服务
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入射频接口视图 |
interface wlan-radio radio-number |
- |
使能WMM功能 |
wmm enable |
必选 缺省情况下,使能WMM服务 需要注意的是,协议要求802.11n的客户端必须支持WLAN QoS,所以当Radio工作在802.11an或802.11gn 式的情况下,WMM功能必须开启,否则可能会导致关联后的802.11n的客户端无法通信 |
设置AC-VO、AC-VI客户端的EDCA参数 |
wmm edca client { ac-vo | ac-vi } { aifsn aifsn-value | ecw ecwmin ecwmin-value ecwmax ecwmax -value | txoplimit txoplimit-value | cac } * |
可选 缺省情况下,客户端使用的EDCA参数为缺省值。具体参见表6-2 |
设置AC-BE、AC-BK客户端的EDCA参数 |
wmm edca client { ac-be | ac-bk } { aifsn aifsn-value | ecw ecwmin ecwmin-value ecwmax ecwmax -value | txoplimit txoplimit -value } * |
可选 缺省情况下,客户端使用的EDCA参数为缺省值。具体参见表6-2 |
设置AP的EDCA参数和ACK策略 |
wmm edca radio { ac-vo | ac-vi | ac-be | ac-bk } { aifsn aifsn-value | ecw ecwmin ecwmin-value ecwmax ecwmax -value | txoplimit txoplimit -value | noack } * |
可选 缺省情况下,AP使用的EDCA参数为缺省值,具体参见表6-3,ACK策略使用Normal ACK |
设置CAC准入控制策略 |
wmm cac policy { channelutilization [ channelutilization-value ] | users [ users-number ] } |
可选 缺省情况下,使用基于用户数的准入策略,允许接入用户数为20 |
设置SVP映射队列 |
wmm svp map-ac { ac-vi | ac-vo | ac-be | ac-bk } |
可选 缺省情况下,不启用SVP报文优先级映射功能 需要注意的是,SVP映射只针对非WMM客户端接入,对WMM客户端不起作用 |
l 如果某优先级队列的CAC功能被启动,则高于此优先级队列的CAC功能会同时被启用。例如,使用wmm edca client命令启动AC-VI优先级CAC功能,则AC-VO优先级也同时启动CAC功能,但是,启动AC-VO优先级的CAC功能,AC-VI优先级的CAC功能不会被启用。
l 用户如非必须,请使用AP和客户端 EDCA参数的缺省值(对于应用802.11b射频卡的设备的TXOP Limit参数除外)。
l 设备应用802.11b射频卡时,建议将AC-BK、AC-BE、AC-VI、AC-VO的TXOP-Limit参数的值分别配置为0、0、188、102。
l 用户只有启用WMM后,SVP才能起作用。
表6-2 客户端EDCA参数的缺省值
AC |
AIFSN |
ECWmin |
ECWmax |
TXOP Limit |
AC-BK |
7 |
4 |
10 |
0 |
AC-BE |
3 |
4 |
10 |
0 |
AC-VI |
2 |
3 |
4 |
94 |
AC-VO |
2 |
2 |
3 |
47 |
表6-3 AP使用的EDCA参数的缺省值
AC |
AIFSN |
ECWmin |
ECWmax |
|
AC-BK |
7 |
4 |
10 |
0 |
AC-BE |
3 |
4 |
6 |
0 |
AC-VI |
1 |
3 |
4 |
94 |
AC-VO |
1 |
2 |
3 |
47 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后WMM服务的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除WMM服务的统计信息。
表6-4 WMM服务显示和维护
操作 |
命令 |
查看指定客户端的统计信息 |
display wlan statistics client { all | mac-address mac-address } |
显示射频或客户端的WMM相关信息 |
display wlan wmm { radio [ interface wlan-radio wlan-radio-number ] | client { all | interface wlan-radio wlan-radio-number | mac-address mac-address } } |
清除射频或客户端的WMM相关信息 |
reset wlan wmm { radio [ interface wlan-radio wlan-radio-number ] | client { all | interface wlan-radio wlan-radio-number | mac-address mac-address } } |
无线接入点FAT AP通过二层交换机L2 switch连接以太网,并启用WMM功能。
图6-2 WMM基本服务组网图
# 配置WLAN BSS接口。
<AP> system-view
[AP] interface wlan-bss 1
[AP-WLAN-BSS1] qos trust dot11e
[AP-WLAN-BSS1] quit
# 配置Ethernet接口。
[AP] interface Ethernet 1/0/1
[AP-Ethernet1/0/1] qos trust dot1p
[AP-Ethernet1/0/1] quit
# 配置WLAN服务模板。
[AP] wlan service-template 1 clear
[AP-wlan-st-1] ssid market
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
# 配置射频策略。
[AP] interface wlan-radio1/0/2
[AP-WLAN-Radio1/0/2] service-template 1 interface wlan-bss 1
[AP-WLAN-Radio1/0/2] wmm enable
[AP-WLAN-Radio1/0/2] quit
使能WMM后,通过display wlan wmm radio可以查看到关于WMM的显示信息。
无线接入点FAT AP通过二层交换机L2 switch连接以太网,并启用WMM功能。对无线接入点FAT AP的客户端AC-VO和AC-VI启用CAC功能,使用用户数判断策略,允许接入用户数为10。
图6-3 CAC服务组网图
# 配置WLAN BSS接口。
<AP> system-view
[AP] interface WLAN-BSS 1
[AP-WLAN-BSS1] qos trust dot11e
[AP-WLAN-BSS1] quit
# 配置Ethernet接口。
[AP] interface ethernet 1/0/1
[AP-Ethernet1/0/1] qos trust dot1p
[AP-Ethernet1/0/1] quit
# 配置WLAN服务模板。
[AP] wlan service-template 1 clear
[AP-wlan-st-1] ssid market
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
# 配置射频策略。
[AP] interface WLAN-Radio1/0/2
[AP-WLAN-Radio1/0/2] service-template 1 interface wlan-bss 1
[AP-WLAN-Radio1/0/2] wmm edca client ac-vo cac
[AP-WLAN-Radio1/0/2] wmm edca client ac-vi cac
[AP-WLAN-Radio1/0/2] wmm cac policy users 10
[AP-WLAN-Radio1/0/2] wmm enable
[AP-WLAN-Radio1/0/2] quit
如果AP上高优先级AC中客户端数量加上请求接入的客户端,小于或等于用户配置的该高优先级AC的最大用户数(本例中为10),则允许用户的请求。否则,拒绝请求。
无线接入点FAT AP通过二层交换机L2 switch连接以太网,并启用WMM功能。无线接入点FAT AP将SVP报文放到AC-VO队列,并将接入点AC-VO队列的ECWmin和ECWmax参数设置为0。
图6-4 SVP服务组网图
# 配置WLAN BSS接口。
<AP> system-view
[AP] interface wlan-bss 1
[AP-WLAN-BSS1] qos trust dot11e
[AP-WLAN-BSS1] quit
# 配置Ethernet接口。
[AP] interface ethernet 1/0/1
[AP-Ethernet1/0/1] qos trust dot1p
[AP-Ethernet1/0/1] quit
# 配置WLAN服务模板。
[AP] wlan service-template 1 clear
[AP-wlan-st-1] ssid market
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
# 配置射频策略。
[AP] interface wlan-radio1/0/2
[AP-WLAN-Radio1/0/2] service-template 1 interface wlan-bss 1
[AP-WLAN-Radio1/0/2] wmm enable
[AP-WLAN-Radio1/0/2] wmm svp map-ac ac-vo
[AP-WLAN-Radio1/0/2] wmm edca radio ac-vo ecw ecwmin 0 ecwmax 0
[AP-WLAN-Radio1/0/2] quit
一个非WMM客户端上线,打入SVP报文,SVP报文会从所配置的AC-VO队列转发。
配置EDCA参数,提示失败。
配置AP的EDCA参数,受到AP上射频芯片的制约。
(1) 使用display wlan wmm radio ap ap-name命令查看AP上射频芯片对EDCA参数的支持范围,保证配置的EDCA参数在此外围之内。
(2) 检查配置的EDCA参数是否为合法值。
已经应用wmm svp map-ac命令配置了SVP报文优先级映射功能,但是配置没有生效。
已经应用wmm edca client命令配置了CAC,但是配置没有生效。
只有在启用了WMM功能后,SVP、CAC功能才能生效。
(1) 应用wmm enable命令使能WMM功能。
(2) 检查配置的SVP或CAC功能是否生效。
在各类公共场合以及网络运营商、大中型企业、金融机构等环境中,有些用户需要在热点公共地区(如机场、咖啡店等)通过无线接入Internet,因此用户认证问题就显得至关重要。如果不能准确可靠地进行用户认证,非法用户就可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量,并给无线接入服务提供商带来不可接受的损失。无线用户二层隔离功能结合IEEE802.1i、RADIUS的用户认证以及计费方式可以给用户提供专业级的安全保障。
无线用户二层隔离是指关联到同一个AP上的所有无线Client之间的二层报文(单播/广播)相互不能转发,从而使各个Client间不能直接进行通信。
如图7-1所示,在AP上开启无线用户二层隔离功能后,Cleint1~Client4之间不能相互Ping通,也无法学习到对方的MAC地址和IP地址,不能进行二层报文的交互。
表7-1 启动二层无线用户隔离功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启用无线用户二层隔离功能 |
l2fw wlan-client-isolation enable |
必选 缺省情况下,无线用户二层隔离功能处于启用状态 |
Client 1~Clinet 4分都通过AP接入有线网络,开启无线用户二层隔离功能后,Cleint1~Client4之间不能相互Ping通,也无法学习到对方的MAC地址和IP地址。
参见图7-1。
# 在系统试图下开启无线用户二层隔离功能
<AP>system-view
[AP]l2fw wlan-client-isolation enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!