• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C WA系列无线接入点 Web网管配置指导(R2414)-6W100

05-网络功能介绍

本章节下载 05-网络功能介绍  (529.55 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/H3C_WA5500/Configure/FAT_AP_User/H3C_WA_WCG(R2414)-6W100/201809/1113906_30005_0.htm

05-网络功能介绍


1 无线配置

1.1  无线网络

1.1.1  无线接入

无线网络为用户提供WLAN接入服务。无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络,接入点设备安置在需要覆盖无线网络的区域,用户在该区域内就可以通过无线接入的方式接入无线网络。

1. 无线服务

无线服务即一类无线服务属性的集合,如无线网络的SSID、认证方式(开放系统认证或者共享密钥认证)等。

2. SSID

SSID(Service Set Identifier,服务集标识符),就是无线网络的名称。

3. 隐藏SSID

AP将SSID置于Beacon帧中向外广播发送。若BSS(Basic Service Set,基本服务集)的客户端数量已达到上限或BSS一段时间内不可用即客户端不能上线,不希望其它客户端上线,则可以配置隐藏SSID。若配置了隐藏SSID,AP不将SSID置于Beacon帧中,还可以借此保护网络免遭攻击。为了进一步保护无线网络,AP对于广播Probe Request帧也不会回复。此时客户端若想连接此BSS,则需要手工指定该SSID,这时客户端会直接向该AP发送认证及关联报文连接该BSS。

4. 绑定无线服务

无线服务跟AP的Radio存在多对多的映射关系,将无线服务绑定在AP的射频上,AP会根据射频上绑定的无线服务的属性创建BSS。BSS是无线服务提供服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端可以通过相同的SSID访问网络。

1.1.2  链路层认证

最初802.11的安全机制被称为Pre-RSNA安全机制,它的认证机制不完善,容易被攻破,存在安全隐患,且在WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,所以IEEE制订了802.11i协议来加强无线网络的安全性。

但802.11i仅对无线网络的数据报文进行加密保护,而不对管理帧进行保护,所以管理帧的机密性、真实性、完整性无法保证,容易受到仿冒或监听,例如:恶意攻击者通过获取设备的MAC地址并仿冒设备恶意拒绝客户端认证或恶意结束设备与客户端的关联。802.11w无线加密标准建立在802.11i框架上,通过保护无线网络的管理帧来解决上述问题,进一步增强无线网络的安全性。

1. Pre-RSNA安全机制

Pre-RSNA安全机制采用开放式系统认证(Open system authentication)和共享密钥认证(Shared key authentication)两种认证方式来进行客户端认证,并且采用WEP加密方式对数据进行加密来保护数据机密性,以对抗窃听。WEP加密使用RC4加密算法(一种流加密算法)实现数据报文的加密,WEP加密支持WEP40、WEP104和WEP128三种密钥长度。

2. RSNA安全机制

802.11i安全机制又被称为RSNA(Robust Security Network Association,健壮安全网络连接)安全机制,包括WPA(Wi-Fi Protected Access,Wi-Fi保护访问)和RSN(Robust Security Network,健壮安全网络)两种安全模式,采用AKM(Authentication and Key Management,身份认证与密钥管理)对用户身份的合法性进行认证,对密钥的生成、更新进行动态管理,并且采用TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)和CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制对报文进行加密。

AKM分为802.1X、Private-PSK和PSK和三种模式:

·     802.1X:采用802.1X认证对用户进行身份认证,并在认证过程中生成PMK(Pairwise Master Key,成对主密钥),客户端和AP使用该PMK生成PTK(Pairwise Transient Key,成对临时密钥)。

·     Private-PSK:采用PSK(Pre-Shared Key,预共享密钥)认证进行身份认证,使用客户端的MAC地址作为PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。

·     PSK:采用PSK认证进行身份认证,并通过PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。

(1)     密钥种类

802.11i协议中密钥主要包括PTK和GTK(Group Temporal Key,群组临时密钥)两种:

·     PTK用于保护单播数据。

·     GTK用于保护组播和广播数据。

(2)     WPA安全模式密钥协商

WPA是一种比WEP加密性能更强的安全机制。在802.11i协议完善前,采用WPA为用户提供一个临时性的WLAN安全增强解决方案。在WPA安全网络中,客户端和AP通过使用EAPOL-Key报文进行四次握手协商出PTK,通过使用EAPOL-Key报文进行二次组播握手协商出GTK。

(3)     RSN安全模式密钥协商

RSN是按照802.11i协议为用户提供的一种WLAN安全解决方案。在RSN网络中,客户端和AP通过使用EAPOL-Key类型报文进行四次握手协商出PTK和GTK。

(4)     密钥更新

如果客户端长时间使用一个密钥,或携带当前网络正在使用的组播密钥离线,此时网络被破坏的可能性很大,安全性就会大大降低。WLAN网络通过身份认证与密钥管理中的密钥更新机制来提高WLAN网络安全性。密钥更新包括PTK更新和GTK更新。

·     PTK更新:PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制,来提高安全性。

·     GTK更新:GTK更新是对组播数据报文的加密密钥进行更新的一种安全手段,采用重新进行两次组播握手协商出新的GTK密钥的更新机制,来提高安全性。

(5)     忽略授权信息

授权信息包括VLAN、ACL和User Profile,分为RADIUS服务器下发的授权信息和设备本地下发的授权信息。若用户不想使用授权信息,则可以配置忽略授权信息。

(6)     入侵检测

当设备检测到一个未通过认证的用户试图访问网络时,如果开启入侵检测功能,设备将对其所在的BSS采取相应的安全策略。

入侵检测所采取的安全模式,包括以下几种:

·     将用户MAC地址加入到阻止MAC地址列表:缺省模式。如果设备检测到未通过认证用户的关联请求报文,临时将该报文的源MAC地址加入阻塞MAC地址列表中,在一段时间内,源MAC地址为此非法MAC地址的无线客户端将不能和AP建立连接,在这段时间过后恢复正常。该MAC地址的阻塞时间由阻塞非法入侵用户时长决定。

·     暂时关闭收到非法报文的无线服务:关闭收到未通过认证用户的关联请求报文的BSS一段时间,该时间由临时关闭服务时长决定。

·     永久关闭收到非法报文的无线服务:直接关闭收到未通过认证用户的关联请求报文的BSS所提供的服务,直到用户在Radio口上重新生成该BSS。

(7)     加密套件

由于WEP加密易破解,一旦攻击者收集到足够多的有效数据帧进行统计分析,那么将会造成数据泄露,无线网络将不再安全。802.11i增加了TKIP和CCMP两种加密套件来保护用户数据安全,以下分别介绍。

·     TKIP

TKIP加密机制依然使用RC4算法,所以不需要升级原来无线设备的硬件,只需通过软件升级的方式就可以提高无线网络的安全性。相比WEP加密机制,TKIP有如下改进:

¡     通过增长了算法的IV(Initialization Vector,初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;

¡     采用和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;

¡     支持TKIP反制功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个MIC错误的报文,AP将会启动TKIP反制功能,此时,AP将通过关闭一段时间无线服务的方式,实现对无线网络攻击的防御。

·     CCMP

CCMP加密机制使用AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,CCMP使得无线网络安全有了极大的提高。CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会使用不同的PN,在一定程度上提高安全性。

1.1.3  认证模式

1. 静态PSK密钥

PSK认证方式需要在AP侧预先输入预共享密钥,在客户端关联过程中,手动输入该密钥,AP和客户端通过四次握手密钥协商来验证客户端的预共享密钥的合法性,若PTK协商成功,则证明该用户合法,以此来达到认证的目的。

2. 802.1X认证

设备端支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。

·     握手功能:使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。

·     安全握手功能:802.1X安全握手是指在握手报文中加入验证信息,以防止非法用户仿冒正常用户的在线的802.1X的客户端与设备进行握手报文的交互。使能802.1X安全握手功能后,支持安全握手的客户端需要在每次向设备发送的握手应答报文中携带验证信息,设备将其与认证服务器下发的验证信息进行对比,如果不一致,则强制用户下线。

·     在无线服务下启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔定期向在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。

3. 静态WEP密钥

在Pre-RSNA安全机制的WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,因此802.11提供了动态WEP加密机制。在动态WEP加密机制中,加密单播数据帧的WEP密钥是由客户端和认证服务器通过802.1X认证协商产生,保证了每个客户端使用不同的WEP单播密钥,从而提高了单播数据帧传输的安全性。组播密钥是WEP密钥,若未配置WEP密钥,则AP使用随机算法产生组播密钥。

当客户端通过802.1X认证后,AP通过发送RC4 EAPOL-Key报文将组播密钥及密钥ID以及单播密钥的密钥ID(固定为4)分发给客户端。

1.2  AP管理

1.2.1  SSID配置

无线服务跟AP的Radio存在多对多的映射关系,将无线服务绑定在AP的射频上,AP会根据射频上绑定的无线服务的属性创建BSS。BSS是无线服务提供服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端可以通过相同的SSID访问网络。

1.2.2  区域码

区域码决定了射频可以使用的工作频段、信道、发射功率级别等。在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定。为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能。

1.3  客户端限速

每个AP提供的带宽由接入的所有客户端共享,如果部分客户端占用过多带宽,将导致其它客户端受到影响。通过配置客户端限速功能,可以限制单个客户端对带宽的过多消耗,保证所有接入客户端均能正常使用网络业务。

1.3.1  客户端限速模式

客户端限速功能有两种工作模式:

·     动态模式:配置所有客户端使用的速率总值,每个客户端的限制速率是速率总值/客户端数量。例如,配置所有客户端可用速率的总和为10Mbps,当有5个用户上线时,每个客户端的可用带宽限制为2Mbps。

·     静态模式:为所有客户端配置相同的限速速率,该配置对所有客户端生效。当接入客户端增加至一定数量时,如果所有接入客户端限制速率的总和超出AP可提供的有效带宽,那么每个客户端将不能保证获得配置的带宽。

动态模式与静态模式仅用于配置基于无线服务的客户端限速功能。

1.3.2  客户端限速方式

客户端限速功能有两种配置方式:

·     基于客户端类型:该方式配置的客户端限速对所有客户端生效,每种类型的客户端的速率都不能超过配置的限速值。

·     基于无线服务:该方式配置的客户端限速对使用同一个无线服务接入的所有客户端生效。

如果同时配置多种方式或不同模式的客户端限速,则多个配置将同时生效,每个客户端的限速值为多种方式及不同模式中的限速速率最小值。

1.4  智能带宽保障

在实际应用中,网络中的流量不会一直处于某个稳定的状态。当某个BSS的流量非常大时,会挤占其它BSS的可用带宽。如果直接对单个BSS的报文进行限速,在总体流量较小时,又会导致闲置带宽被浪费。

智能带宽保障功能提供了更灵活的流量控制机制,当网络未拥塞时,所有BSS的报文都可以通过;在网络发生拥塞时,每个BSS都可以获取最低的保障带宽。通过这种方式,既确保了网络带宽的充分利用,又兼顾了不同无线服务之间带宽占用的公平原则。例如,配置SSID 1、SSID 2及SSID 3的保障带宽占总带宽的比例分别为25%、25%及50%。当网络空闲时,SSID 1可以超过保障带宽,任意占用网络剩余带宽;当网络繁忙、没有剩余带宽时,SSID 1至少可以占有自己的保障带宽部分(25%)。

智能带宽保障功能只能对由AP发送至客户端的流量进行控制。

1.5  无线多媒体

802.11网络提供了基于竞争的无线接入服务,但是不同的应用对于网络的要求是不同的,而无线网络不能为不同的应用提供不同质量的接入服务,所以已经不能满足实际应用的需要。

IEEE 802.11e为基于802.11协议的WLAN体系添加了QoS功能,Wi-Fi组织为了满足不同WLAN厂商对QoS的需求,定义了WMM(Wi-Fi Multimedia,Wi-Fi多媒体)协议。WMM协议用于保证优先发送高优先级的报文,从而保证语音、视频等应用在无线网络中有更好的服务质量。

在“网络 > 无线配置 > 无线QoS”页面的“无线多媒体”页签下,点击任一功能栏右上角的<更多>按钮,进入“无线多媒体详细信息”页面,该页面包含无线多媒体所有功能配置。

1.5.1  无线QoS状态

在“无线多媒体详细信息”页面的“无线QoS状态”页签下,可以配置WMM功能开关以及SVP映射功能开关。

AP的SVP映射、连接准入控制策略以及允许接入的客户端最大数等信息。

SVP映射是指将IP头中Protocol ID为119的SVP报文放入指定的AC-VI或AC-VO队列中,保证SVP报文比其他数据报文具有更高的优先级。没有进行SVP映射时,SVP报文将进入AC-BE队列。

1.5.2  射频的EDCA参数

在“无线多媒体详细信息”页面的“EDCA参数”页签下,可以查看和修改射频的EDCA参数和ACK策略。

EDCA(Enhanced Distributed Channel Access,增强的分布式信道访问)是WMM定义的一套信道竞争机制,有利于高优先级的报文享有优先发送的权利和更多的带宽。

WMM协议为AC定义了以下EDCA参数:

·     AIFSN(Arbitration Inter Frame Spacing Number,仲裁帧间隙数):在802.11协议中,空闲等待时长(DIFS)为固定值,而WMM针对不同AC配置退避前需要等待的时隙,AIFSN数值越小,用户的空闲等待时间越短。

·     ECWmin(Exponent form of CWmin,最小竞争窗口指数形式)和ECWmax(Exponent form of CWmax,最大竞争窗口指数形式):决定了平均退避时间值。这两个数值越大,该AC中报文的平均退避时间越长。

·     TXOP Limit(Transmission Opportunity Limit,传输机会限制):AC中的报文每次竞争成功后,可占用信道的最大时长。这个数值越大,用户一次能占用信道的时长越大。如果是0,则每次占用信道后只能发送一个报文。

ACK策略有两种:Normal ACK和No ACK。

·     Normal ACK策略:接收者在接收到每个单播报文后,都要回复ACK进行确认。

·     No ACK(No Acknowledgment)策略:在无线报文交互过程中,不使用ACK报文进行接收确认。在通信质量较好、干扰较小的情况下,No ACK策略能有效提高报文传输效率。但是,在通信质量较差的情况下,如果使用No ACK策略,则会造成丢包率增大的问题。

1.5.3  射频与客户端协商参数

在“无线多媒体详细信息”页面的“射频与客户端协商参数”页签下,用户除了可以查看和修改射频与客户端协商的EDCA参数、允许接入的客户端最大数,还可以配置连接准入控制策略。

CAC(Connect Admission Control,连接准入控制)用来限制能使用高优先级队列(AC-VO和AC-VI队列)的客户端个数,从而保证已经使用高优先级队列的客户端能够有足够的带宽。如果客户端需要使用高优先级的AC,则需要进行请求,AP按照基于信道利用率的准入策略或基于用户数量的准入策略算法,计算是否允许客户端使用高优先级AC,并将结果回应给客户端。当单独或同时开启AC-VO、AC-VI队列的CAC功能时,如果客户端申请AC失败,设备会对其进行降级至AC-BE处理。

1.5.4  客户端的WMM统计信息

在“无线多媒体详细信息”页面的“客户端的WMM统计信息”页签下,用户除了可以查看SSID等设备的基本信息和数据流量统计信息,还可以查看到客户端接入时指定的AC的APSD属性。

U-APSD是对传统节能模式的改进。在这种机制下,客户端不再定期监听Beacon帧,而是由客户端决定何时到AP上获取缓存报文。对于客户端的一次请求,AP可以发送多个缓存报文给客户端,该机制显著改善了客户端的节能效果。开启WMM功能的同时将自动开启U-APSD节能模式。

1.5.5  传输流信息

在“无线多媒体详细信息”页面的“传输流信息”页签下,用户可以查看包括来自有线网络报文的用户优先级、传输流标识、流方向、允许富余带宽等传输流信息。

1.6  WIPS

WIPS(Wireless Intrusion Prevention System,无线入侵防御系统)是针对802.11协议开发的二层协议检测和防护功能。WIPS通过Sensor(开启WIPS功能的AP)对信道进行监听及分析处理,从中检测出威胁网络安全、干扰网络服务、影响网络性能的无线行为或设备,并提供对入侵的无线设备的反制,为无线网络提供一套完整的安全解决方案。

WIPS由Sensor以及网管软件组成。Sensor收集无线信道上的原始数据后,将收集的信息进行综合分析,AP会分析攻击源并对其实施反制,同时向网管软件输出日志信息。网管软件提供丰富的图形界面,提供系统控制、报表输出、告警日志管理功能。

WIPS支持以下功能:

·     攻击检测:提供多种攻击方式的攻击检测功能。

·     Signature检测:通过配置Signature规则实现自定义攻击行为的检测

·     设备分类:通过侦听无线信道的802.11报文来识别无线设备,并对其进行分类。

·     反制:对非法设备进行攻击,使其它设备无法关联到非法设备,从而保护用户网络的安全。

1.6.1  开启WIPS

开启WIPS功能前,需要将AP加入到指定VSD(Virtual Security Domain,虚拟安全域)中。该AP也称为Sensor。

1.6.2  配置虚拟安全域

通过在虚拟安全域上应用分类策略、攻击检测策略、Signature策略或反制策略,使已配置的分类策略、攻击检测策略、Signature策略或反制策略在虚拟安全域内的Radio上生效。

1.6.3  配置分类策略

1. 分类策略

可以通过两种配置方式实现设备分类,其中手工分类的优先级高于自动分类。

·     自动分类:通过信任设备列表、信任OUI列表和静态禁用设备列表对所有设备进行分类;或通过自定义的AP分类规则对AP设备进行分类。

·     手工分类:通过手动指定AP的类型对设备进行分类。

2. AP的分类类别

WIPS将检测到的AP分为以下几类:

·     授权AP(Authorized AP):允许在无线网络中使用的AP。

·     非法AP(Rouge AP):不允许在无线网络中使用的AP。包括禁用设备列表中的AP、不在OUI配置文件中的AP和手动指定的非法AP。

·     配置错误的AP(Misconfigured AP):无线服务配置错误,但是允许在无线网络中使用的AP。例如,在信任设备列表中,但使用了非法SSID的AP;在OUI配置文件中,但不在禁用设备列表的AP;在信任OUI或是信任设备列表中,但是未与AC关联的AP。

·     外部AP(External AP):其他无线网络中的AP。WIPS可能会检测到邻近网络中的AP,例如邻近公司或个人住宅中的AP,目前仅支持手工指定的外部AP和通过自定义规则分类的外部AP。

·     Ad hoc:运行在Ad hoc模式的AP。WIPS通过检测Beacon帧将其分类为Ad hoc。

·     潜在授权的AP(Potential-authorized AP):无法确定但可能是授权的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,那么该AP很可能是授权的AP,如Remote AP。

·     潜在非法的AP(Potential-rogue AP):无法确定但可能是非法的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,那么,如果检测到它的有线端口可能连接到网络中,则认为其为潜在非法的AP;如果能确定其有线端口连接到网络中,则认为其为非法AP,如恶意入侵者私自接入网络的AP。

·     潜在外部的AP(Potential-external AP):无法确定但可能是外部的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,同时也没有检测到它的有线端口连接到网络中,则该AP很可能是外部的AP。

·     未分类AP(Uncategorized AP):无法确定归属类别的AP。

·     WIPS对检测到的AP的分类处理流程如图1-1所示:

图1-1 WIPS对检测到的AP设备的分类处理流程示意图

 

3. 客户端的分类类别

WIPS将检测到的客户端分为以下几类:

·     授权客户端(Authorized Client):允许使用的客户端,如关联到授权AP上的受信任的客户端或通过加密认证方式关联到授权AP上的客户端都是授权的客户端。

·     未授权客户端(Unauthorized Client):不允许使用的客户端。如在禁用设备列表中的客户端、连接到Rogue AP上的客户端以及不在OUI配置文件中的客户端都是未授权客户端。

·     错误关联客户端(Misassociation Client):信任设备列表中的客户端关联到非授权AP上。错误关联的客户端可能会对网络信息安全带来隐患。

·     未分类客户端(Uncategorized Client):无法确定归属类别的客户端。

WIPS对检测到的客户端的分类处理流程如图1-2所示:

图1-2 WIPS对检测到的客户端的分类处理流程示意图

 

1.6.4  配置攻击检测策略

WIPS通过分析侦听到的802.11报文,来检测针对WLAN网络的无意或者恶意的攻击,并以告警的方式通知网络管理员。

1. 表项学习速率和表项时间参数

如果攻击者通过发送大量报文来增加WIPS的处理开销等。通过检测周期内学习到设备的表项来判断是否需要对表项学习进行限速处理。设备在统计周期内学习到的AP或客户端表项达到触发告警阈值,设备会发送告警信息,并停止学习AP表项和客户端表项。

2. 泛洪攻击检测

泛洪攻击是指通过向无线设备发送大量同类型的报文,使无线设备会被泛洪攻击报文淹没而无法处理合法报文。WIPS通过持续地监控AP或客户端的流量来检测泛洪攻击。当大量同类型的报文超出上限时,认为无线网络正受到泛洪攻击。

目前WIPS能够防范的泛洪攻击包括:

·     Probe-request/Association-request/Reassociation-request帧泛洪攻击

·     攻击者通过模拟大量的客户端向AP发送Probe-request/Association-request/Reassociation-request帧,AP收到大量攻击报文后无法处理合法客户端的Probe-request /Association-request/Reassociation-request帧。

·     Authentication帧泛洪攻击

攻击者通过模拟大量的客户端向AP发送Authentication帧,AP收到大量攻击报文后无法处理合法客户端的Authentication帧。

·     Beacon帧泛洪攻击

该攻击是通过发送大量的Beacon帧使客户端检测到多个虚假AP,导致客户端选择正常的AP进行连接时受阻。

·     Block ACK泛洪攻击

该攻击通过仿冒客户端发送伪造的Block ACK帧来影响Block ACK机制的正常运行,导致通信双方丢包。

·     RTS/CTS泛洪攻击

在无线网络中,通信双方需要遵循虚拟载波侦听机制,通过RTS(Request to Send,发送请求)/CTS(Clear to Send,清除发送请求)交互过程来预留无线媒介,通信范围内的其它无线设备在收到RTS和(或)CTS后,将根据其中携带的信息来延迟发送数据帧。RTS/CTS泛洪攻击利用了虚拟载波侦听机制的漏洞,攻击者能通过泛洪发送RTS和(或)CTS来阻塞WLAN网络中合法无线设备的通信。

·     Deauthentication帧泛洪攻击

攻击者通过仿冒AP向与其关联的客户端发送Deauthentication帧,使得被攻击的客户端与AP的关联断开。这种攻击非常突然且难以防范。单播Deauthentication帧攻击是针对某一个客户端,而广播Deauthentication帧攻击是针对与该AP关联的所有客户端。

·     Disassociation帧泛洪攻击

攻击原理同Disassociation帧泛洪攻击。攻击者是通过仿冒AP向与其关联的客户端发送Disassociation帧,使得被攻击的客户端与AP的关联断开。这种攻击同样非常突然且难以防范。

·     EAPOL-Start泛洪攻击

IEEE 802.1X标准定义了一种基于EAPOL(EAP over LAN,局域网上的可扩展认证协议)的认证协议,该协议通过客户端发送EAPOL-Start帧开始一次认证流程。AP接收到EAPOL-Start后会回复一个EAP-Identity-Request,并为该客户端分配一些内部资源来记录认证状态。攻击者可以通过模拟大量的客户端向AP发送EAPOL-Start来耗尽该AP的资源,使AP无法处理合法客户端的认证请求。

·     Null-data泛洪攻击

该攻击通过仿冒合法客户端向与其关联的AP发送Null-data帧,使得AP误认为合法的客户端进入省电模式,将发往该客户端的数据帧进行暂存。如果攻击者持续发送Null-data帧,当暂存帧的存储时间超过AP暂存帧老化时间后,AP会将暂存帧丢弃,妨害了合法客户端的正常通信。

·     EAPOL-Logoff泛洪攻击

在EAPOL认证环境中,当通过认证的客户端需要断开连接时,会发送一个EAPOL-Logoff帧来关闭与AP间的会话。但AP对接收到的EAPOL-Logoff帧不会进行认证,因此攻击者通过仿冒合法客户端向AP发送EAPOL-Logoff帧,可以使AP关闭与该客户端的连接。如果攻击者持续发送仿冒的EAPOL-Logoff帧,将使被攻击的客户端无法保持同AP间的连接。

·     EAPOL-Success/Failure泛洪攻击

在使用802.1X认证的WLAN环境中,当客户端认证成功时,AP会向客户端发送一个EAP-Success帧(code字段为success的EAP帧);当客户端认证失败时,AP会向客户端发送一个EAP-Failure帧(code字段为failure的EAP帧)。攻击者通过仿冒AP向请求认证的客户端发送EAP-Failure帧或EAP-Success帧来破坏该客户端的认证过程,通过持续发送仿冒的EAP-Failure帧或EAP-Success帧,可以阻止被攻击的客户端与AP间的认证。

3. 畸形报文检测

畸形报文攻击是指攻击者向受害客户端发送有缺陷的报文,使得客户端在处理这样的报文时会出现崩溃。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析检测出具有某些畸形类型特征的畸形报文,并发送告警。

目前支持的畸形报文检测包括:

·     IE重复的畸形报文

该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不检测厂商自定义IE。

·     Fata-Jack畸形报文

该检测是针对Authentication帧的检测。Fata-jack畸形类型规定,当身份认证算法编号即Authentication algorithm number的值等于2时,则判定该帧为Fata-jack畸形报文。

·     IBSS和ESS置位异常的畸形报文

该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以该报文被判定为IBSS和ESS置位异常的畸形报文。

·     源地址为广播或者组播的认证和关联畸形报文

该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时,表明该帧为客户端发给AP的,如果同时又检测到该帧的源MAC地址为广播或组播,则该帧被判定为Invalid-source-address畸形报文。

·     畸形Association-request报文

该检测是针对认证请求帧的检测。当收到认证请求帧中的SSID的长度等于0时,判定该报文为畸形关联请求报文。

·     畸形Authentication报文

该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败,会被判断为认证畸形报文。

¡     当对认证帧的身份认证算法编号(Authentication algorithm number)的值不符合协议规定,并且其值大于3时;

¡     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number 的值等于1,且状态代码status code不为0时;

¡     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值大于4时。

·     含有无效原因值的解除认证畸形报文

该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除认证畸形报文。

·     含有无效原因值的解除关联畸形报文

该检测是针对解除关联帧的检测。当解除关联帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除关联畸形报文。

·     畸形HT IE报文

该检测是针对Beacon、探查响应帧、关联响应帧、重关联请求帧的检测。当检测到以下情况时,判定为HT IE的畸形报文,发出告警,在静默时间内不再告警。

¡     解析出HT Capabilities IE的SM Power Save值为2时;

¡     解析出HT Operation IE的Secondary Channel Offset值等于2时。

·     IE长度非法的畸形报文

该检测是针对所有管理帧的检测。信息元素(Information Element,简称IE)是管理帧的组成元件,每种类型的管理帧包含特定的几种IE。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。

·     报文长度非法的畸形报文

该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于0时,则该报文被判定为报文长度非法的畸形报文。

·     无效探查响应报文

该检测是针对探查响应报文。当检测到该帧为非Mesh帧,但同时该帧的SSID Length等于0,这种情况不符合协议(协议规定SSID Length等于0的情况是Mesh帧),则判定为无效探查响应报文。

·     Key长度超长的EAPOL报文

该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于0时,则判定该帧为Key长度超长的EAPOL报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。

·     SSID长度超长的畸形报文

该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSID length大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。

·     多余IE畸形报文

该检测是针对所有管理帧的检测。报文解析过程中,当检测到既不属于报文应包含的IE,也不属于reserved IE时,判断该IE为多余IE,则该报文被判定为多余IE的畸形报文。

·     Duration字段超大的畸形报文

该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值,则为Duration超大的畸形报文。

4. 攻击检测

·     Spoofing

Spoofing攻击是指攻击者仿冒其他设备,从而威胁无线网络的安全。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证/解除关联报文就可能导致客户端下线,从而达到破坏无线网络正常工作的目的;又或者攻击者仿冒成合法的AP来诱使合法的客户端关联,攻击者仿冒成合法的客户端与AP关联等,从而可能导致用户账户信息泄露。

目前支持的Spoofing检测包括:AP地址仿冒和客户端地址仿冒

·     Weak IV

WEP安全协议使用的RC4加密算法存在一定程度的缺陷,当其所用的IV值不安全时会大大增加其密钥被破解的可能性,该类IV值即被称为Weak IV。WIPS特性通过检测每个WEP报文的IV值来预防这种攻击。

·     Windows网桥

当一个连接到有线网络的无线客户端使用有线网卡建立了Windows网桥时,该无线客户端就可以通过连接外部AP将外部AP与内部有线网络进行桥接。此组网方式会使外部AP对内部的有线网络造成威胁。WIPS会对已关联的无线客户端发出的数据帧进行分析,来判断其是否存在于Windows网桥中。

·     设备禁用802.11n 40MHz

支持802.11n标准无线设备可以支持20MHz和40MHz两种带宽模式。在无线环境中,如果与AP关联的某个无线客户端禁用了40MHz带宽模式,会导致AP与该AP关联的其它无线客户端也降低无线通信带宽到20MHz,从而影响到整个网络的通信能力。WIPS通过检测无线客户端发送的探测请求帧来发现禁用40MHz带宽模式的无线客户端。

·     Omerta

Omerta是一个基于802.11协议的DoS攻击工具,它通过向信道上所有发送数据帧的客户端回应解除关联帧,使客户端中断与AP的关联。Omerta发送的解除关联帧中的原因代码字段为0x01,表示未指定。由于正常情况下不会出现此类解除关联帧,因此WIPS可以通过检测每个解除关联帧的原因代码字段来检测这种攻击。

·     未加密授权AP/未加密信任客户端

在无线网络中,如果有授权AP或信任的无线客户端使用的配置是未加密的,网络攻击者很容易通过监听来获取无线网络中的数据,从而导致网络信息泄露。WIPS会对信任的无线客户端或授权AP发出的管理帧或数据帧进行分析,来判断其是否使用了加密配置。

·     热点攻击

热点攻击指恶意AP使用热点SSID来吸引周围的无线客户端来关联自己。攻击者通过伪装成公共热点来引诱这些无线客户端关联自己。一旦无线客户端与恶意AP关联上,攻击者就会发起一系列的安全攻击,获取用户的信息。用户通过在WIPS中配置热点文件,来指定WIPS对使用这些热点的AP和信任的无线客户端进行热点攻击检测。

·     绿野模式

当无线设备使用802.11n 绿野模式时,不可以和其他802.11a/b/g 设备共享同一个信道。通常当一台设备侦听到有其他设备占用信道发送和接收报文的时候,会延迟报文的发送直到信道空闲时再发送。但是802.11a/b/g设备不能和绿野模式的AP进行通信,无法被告知绿野模式的AP当前信道是否空闲,会立刻发送自己的报文。这可能会导致报文发送冲突、差错和重传。

·     关联/重关联DoS攻击

关联/重关联DoS攻击通过模拟大量的客户端向AP发送关联请求/重关联请求帧,使AP的关联列表中存在大量虚假的客户端,达到拒绝合法客户端接入的目的。

·     中间人

在中间人攻击中,攻击者在合法AP和合法客户端的数据通路中间架设自己的设备,并引诱合法客户端下线并关联到攻击者的设备上,此时攻击者就可以劫持合法客户端和合法AP之间的会话。在这种情况下,攻击者可以删除,添加或者修改数据包内的信息,获取验证密钥、用户密码等机密信息。中间人攻击是一种组合攻击,客户端在关联到蜜罐AP后攻击者才会发起中间人攻击,所以在配置中间人攻击检测之前需要开启蜜罐AP检测。

·     无线网桥

攻击者可以通过接入无线网桥侵入公司网络的内部,对网络安全造成隐患。WIPS通过检测无线网络环境中是否存在无线网桥数据以确定周围环境中是否存在无线网桥。当检测到无线网桥时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。如果该无线网桥是Mesh网络时,则记录该Mesh链路。

·     AP信道变化

AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境的中AP设备的信道是否发生变化。

·     广播解除关联帧/解除认证帧

当攻击者仿冒成合法的AP,发送目的MAC地址为广播地址的解除关联帧或者解除认证帧时,会使合法AP下关联的客户端下线,对无线网络造成攻击。

·     AP扮演者攻击

在AP扮演者攻击中,攻击者会安装一台恶意AP设备,该AP设备的BSSID和ESSID与真实AP一样。当该恶意AP设备在无线环境中成功扮演了真实AP的身份后,就可以发起热点攻击,或欺骗检测系统。WIPS通过检测收到Beacon帧的间隔小于Beacon帧中携带的间隔值次数达到阈值来判断其是否为攻击者扮演的恶意AP。

·     AP泛洪

AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境的中AP设备的数目达到稳定后不会大量增加。当检测到AP的数目超出预期的数量时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。

·     蜜罐AP

攻击者在合法AP附近搭建一个蜜罐 AP,通过该AP发送与合法AP SSID相似的Beacon帧或Probe Response帧,蜜罐AP的发送信号可能被调得很大以诱使某些授权客户端与之关联。当有客户端连接到蜜罐AP,蜜罐AP便可以向客户端发起某些安全攻击,如端口扫描或推送虚假的认证页面来骗取客户端的用户名及密码信息等。因此,需要检测无线环境中对合法设备构成威胁的蜜罐AP。WIPS系统通过对外部AP使用的SSID进行分析,若与合法SSID的相似度值达到一定阈值就发送蜜罐AP告警。

·     节电攻击

对于处于非节电模式下的无线客户端,攻击者可以通过发送节电模式开启报文(Null帧),诱使AP相信与其关联的无线客户端始终处于睡眠状态,并为该无线客户端暂存帧。被攻击的无线客户端因为处于非节电模式而无法获取这些暂存帧,在一定的时间之后暂存帧会被自动丢弃。WIPS通过检测节电模式开启/关闭报文的比例判断是否存在节电攻击。

·     软AP

软AP是指客户端上的无线网卡在应用软件的控制下对外提供AP的功能。攻击者可以利用这些软AP所在的客户端接入公司网络,并发起网络攻击。WIPS通过检测某个MAC地址在无线客户端和AP这两个角色上的持续活跃时长来判断其是否是软AP,不对游离的客户端进行软AP检测。

·     非法信道

用户可以设置合法信道集合,并开启非法信道检测,如果WIPS在合法信道集合之外的其它信道上监听到无线通信,则认为在监听到无线通信的信道上存在入侵行为。

1.6.5  Signature检测

Signature检测是指用户可以根据实际的网络状况来配置Signature规则,并通过该规则来实现自定义攻击行为的检测。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析,检测出具有某些自定义类型特征的报文,并将分析检测的结果进行归类处理。

每个Signature检测规则中最多支持配置6条子规则,分别对报文的6种特征进行定义和匹配。当AP解析报文时,如果发现报文的特征能够与已配置的子规则全部匹配,则认为该报文匹配该自定义检测规则,AP将发送告警信息或记录日志。

可以通过子规则定义的6种报文特征包括:

·     帧类型

·     MAC地址

·     序列号

·     SSID

·     SSID长度

·     自定义报文位置

1.6.6  反制

在无线网络中设备分为两种类型:非法设备和合法设备。非法设备可能存在安全漏洞或被攻击者操纵,因此会对用户网络的安全造成严重威胁或危害。反制功能可以对这些设备进行攻击使其他无线终端无法关联到非法设备。

1.6.7  配置忽略告警信息的MAC地址列表

对于可以忽略WIPS告警信息的设备列表中的无线设备,WIPS仍然会对其做正常的监测,但是不会产生与该设备相关的任何WIPS告警信息。

1.7  黑白名单

1.7.1  黑白名单简介

无线网络很容易受到各种网络威胁的影响,非法设备对于无线网络来说是一个很严重的威胁,因此需要对客户端的接入进行控制。通过黑名单和白名单功能来过滤客户端,对客户端进行控制,防止非法客户端接入无线网络,可以有效的保护企业网络不被非法设备访问,从而保证无线网络的安全。

1. 白名单

白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入。白名单表项只能手工添加和删除。

2. 黑名单

黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入。黑名单分为静态黑名单和动态黑名单,以下分别介绍。

(1)     静态黑名单

用户手工添加、删除的黑名单称为静态黑名单,当无线网络明确拒绝某些客户端接入时,可以将这些客户端加入静态黑名单。

(2)     动态黑名单

设备通过检测而自动生成和删除的黑名单称为动态黑名单,当AP检测到来自某一客户端的攻击报文时,会将该客户端的MAC地址动态加入到动态黑名单中,在动态黑名单表项老化时间内拒绝该客户端接入无线网络。

1.7.2  黑白名单过滤机制

当收到客户端关联请求报文时,AP将使用白名单和黑名单对客户端的MAC地址进行过滤。具体的过滤机制如下:

·     当存在白名单时,将判断客户端的MAC地址是否在白名单中,如果在白名单中,则允许客户端接入无线网络,否则将拒绝该客户端接入。

·     当不存在白名单时,则首先判断客户端的MAC地址是否在静态黑名单中,如果客户端在静态黑名单中,则拒绝该客户端接入无线网络。如果该客户端不在静态黑名单中,则继续判断其是否在动态黑名单中。如果在动态黑名单中,则不允许该客户端接入无线网络;如果不在动态黑名单中,则允许客户端接入。

1.8  射频管理

射频是一种高频交流变化电磁波,表示具有远距离传输能力、可以辐射到空间的电磁频率。WLAN是利用射频作为传输媒介,进行数据传输无线通信技术之一。

射频的频率介于300KHz和约300GHz之间,WLAN使用的射频频率范围为2.4GHz频段(2.4GHz~2.4835GHz)和5GHz频段(5.150GHz~5.350GHz和5.725GHz~5.850GHz)。

1.8.1  射频模式

按IEEE定义的802.11无线网络通信标准划分,射频模式主要有802.11a、802.11b、802.11g、802.11n和802.11ac:

·     802.11a:工作频率为5GHz,由于选择了OFDM(Orthogonal Frequency Division Multiplexing,正交频分复用)技术,能有效降低多路径衰减的影响和提高频谱的利用率,使802.11a的物理层速率可达54Mbps。但是在传输距离上存在劣势。

·     802.11b:工作频率为2.4GHz,相比5GHz能够提供更大的传输距离,数据传输速率最高达11Mbps。由于早期的无线通信更加追求传输距离,所以802.11b比802.11a更早被投入使用。

·     802.11g:工作频率为2.4GHz,可以兼容802.11b。802.11g借用了802.11a的成果,在2.4GHz频段采用了OFDM技术,最高速率可以达到54Mbps。

·     802.11n:工作于双频模式(2.4GHz和5GHz两个工作频段),能够与802.11a/g标准兼容。802.11n的数据传输速率达100Mbps以上,理论最高可达600Mbps,使无线局域网平滑地和有线网络结合,全面提升了网络吞吐量。

·     802.11ac:是802.11n的继承者,理论最高速率可达6900Mbps,全面提升了网络吞吐量。

·     802.11gac:是H3C支持将802.11ac应用到2.4GHz频段,理论最高速率可达1600Mbps。

说明

如无特意区分,本文中的802.11ac包括802.11gac。

 

表1-1 WLAN的几种主要射频模式比较

协议

频段

最大速度

范围(室内)

范围(室外)

802.11a

5GHz

54Mbps

约50米

约100米

802.11b

2.4GHz

11Mbps

约300米

约600米

802.11g

2.4GHz

54Mbps

约300米

约600米

802.11n

2.4GHz/5GHz

600Mbps

约300米

约600米

802.11ac

5GHz

6900Mbps

约30米

约60米

802.11gac

2.4GHz

1600Mbps

约100米

约200米

 

不同的射频模式所支持的信道、功率有所不同,所以射频模式修改时,如果新的射频模式不支持原来配置的的信道、功率,则AP会根据新射频模式自动调整这些参数。

注意

修改射频模式时,会导致当前在线客户端下线。

 

在指定了射频模式以后,可以进行射频功能配置,具体情况如下:

·     如果指定的射频模式为802.11a802.11b802.11g,则可以配置射频基础功能,有关射频基础功能配置的详细介绍,请参见“射频基础功能

·     如果指定的射频模式为802.11n,则可以配置射频基础功能和802.11n功能,有关802.11n功能配置的详细介绍,请参见“802.11n功能”。

·     如果指定的射频模式为802.11ac,则可以配置射频基础功能、802.11n功能和802.11ac功能,有关802.11ac功能配置的详细介绍,请参见“802.11ac功能”。

1.8.2  信道

信道是具有一定频宽的射频。在WLAN标准协议里,2.4GHz频段被划分为13个相互交叠的信道,每个信道的频宽是20MHz,信道间隔为5MHz。这13个信道里有3个独立信道,即没有相互交叠的信道,目前普遍使用的三个互不交叠的独立信道号为1、6、11。

5GHz频段拥有更高的频率和频宽,可以提供更高的速率和更小的信道干扰。WLAN标准协议将5GHz频段分为24个频宽为20MHz的信道,且每个信道都为独立信道。各个国家开放的信道不一样,目前中国5GHz频段开放使用的信道号是36、40、44、48、52、56、60、64、149、153、157、161和165。

1.8.3  功率

射频功率是指天线在无线介质中所辐射的功率,反映的是WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。

1.8.4  速率

射频速率是客户端与WLAN设备之间的数据传输速度。不同的射频模式,根据所使用扩频、编码和调制技术,对应不同的传输速率。802.11a、802.11b、802.11g、802.11n和802.11ac的速率支持情况如下:

·     802.11a:6Mbps、9Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。

·     802.11b:1Mbps、2Mbps、5.5Mbps、11Mbps。

·     802.11g:1Mbps、2Mbps、5.5Mbps、6Mbps、9Mbps、11Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。

·     802.11n:根据不同信道带宽可支持不同的速率组合,具体请参见“MCS

·     802.11ac:根据不同信道带宽和空间流数量可支持不同的速率组合,具体请参见“VHT-MCS”。

1.8.5  MCS

IEEE 802.11n除了向前兼容IEEE 802.11a/b/g的速率外,还定义了新的速率调制与编码策略,即MCS(Modulation and Coding Scheme,调制与编码策略)。

无线数据传输的物理速率受到编码方式、调制方式、载波比特率、空间流数量、数据子信道数等多种因素的影响,不同的因素组合将产生不同的物理速率。MCS使用索引的方式将每种组合以及由该组合产生的物理速率进行排列,形成索引值与速率的对应表,称为MCS表。802.11n的MCS表共有两个子表,分别用于保存信道带宽为20MHz和40MHz时的物理速率。索引值的取值范围为0~76,能够描述77种物理速率,两个MCS子表中的索引值相互独立。

802.11n规定,当带宽为20MHz时,MCS0~15为AP必须支持的MCS索引,MCS0~7是客户端必须支持的MCS索引,其余MCS索引均为可选速率。表1-2表1-3分别列举了带宽为20MHz和带宽为40MHz的MCS速率表。

说明

完整的MCS对应速率表可参见IEEE 802.11n-2009标准协议。

 

表1-2 MCS对应速率表(20MHz)

MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

6.5

7.2

1

1

QPSK

13.0

14.4

2

1

QPSK

19.5

21.7

3

1

16-QAM

26.0

28.9

4

1

16-QAM

39.0

43.3

5

1

64-QAM

52.0

57.8

6

1

64-QAM

58.5

65.0

7

1

64-QAM

65.0

72.2

8

2

BPSK

13.0

14.4

9

2

QPSK

26.0

28.9

10

2

QPSK

39.0

43.3

11

2

16-QAM

52.0

57.8

12

2

16-QAM

78.0

86.7

13

2

64-QAM

104.0

115.6

14

2

64-QAM

117.0

130.0

15

2

64-QAM

130.0

144.4

 

表1-3 MCS对应速率表(40MHz)

MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

13.5

15.0

1

1

QPSK

27.0

30.0

2

1

QPSK

40.5

45.0

3

1

16-QAM

54.0

60.0

4

1

16-QAM

81.0

90.0

5

1

64-QAM

108.0

120.0

6

1

64-QAM

121.5

135.0

7

1

64-QAM

135.0

150.0

8

2

BPSK

27.0

30.0

9

2

QPSK

54.0

60.0

10

2

QPSK

81.0

90.0

11

2

16-QAM

108.0

120.0

12

2

16-QAM

162.0

180.0

13

2

64-QAM

216.0

240.0

14

2

64-QAM

243.0

270.0

15

2

64-QAM

270.0

300.0

 

从表中可以得到结论:

·     当MSC索引取值为0~7时,空间流数量为1,且当MCS=7时,速率值最大;

·     当MSC索引取值为8~15时,空间流数量为2,且当MCS=15时,速率值最大。

MCS分为三类:

·     基本MCS集:客户端必须支持的基本MCS集,才能够与AP以802.11n模式进行连接。

·     支持MCS集:AP所能够支持的更高的MCS集合,用户可以配置支持MCS集让客户端在支持基本MCS的前提下选择更高的速率与AP进行数据传输。

·     组播MCS集:AP以组播方式对其BSS内的客户端发送消息所使用的速率。

1.8.6  VHT-MCS

802.11ac中定义的VHT-MCS表在表项内容上与802.11n的MCS表完全相同,只是在子表划分方式上存在区别,VHT-MCS根据信道带宽和空间流数量的组合来划分子表。802.11ac支持20MHz、40MHz、80MHz和160MHz(80+80MHz)四种带宽,最多支持8条空间流,因此VHT-MCS表共划分为32个子表。每个子表中的MCS索引独立编号,目前编号范围为0~9。AP支持的VHT-MCS表仅有12套,具体如表1-4表1-15所示。

说明

完整的VHT-MCS对应速率表可参见IEEE 802.11ac-2013标准协议。

 

表1-4 VHT-MCS对应速率表(20MHz,1NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

6.5

7.2

1

1

QPSK

13.0

14.4

2

1

QPSK

19.5

21.7

3

1

16-QAM

26.0

28.9

4

1

16-QAM

39.0

43.3

5

1

64-QAM

52.0

57.8

6

1

64-QAM

58.5

65.0

7

1

64-QAM

65.0

72.2

8

1

256-QAM

78.0

86.7

9

Not valid

 

表1-5 VHT-MCS对应速率表(20MHz,2NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

2

BPSK

13.0

14.4

1

2

QPSK

26.0

28.9

2

2

QPSK

39.0

43.3

3

2

16-QAM

52.0

57.8

4

2

16-QAM

78.0

86.7

5

2

64-QAM

104.0

115.6

6

2

64-QAM

117.0

130.0

7

2

64-QAM

130.0

144.4

8

2

256-QAM

156.0

173.3

9

Not valid

 

表1-6 VHT-MCS对应速率表(20MHz,3NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

3

BPSK

19.5

21.7

1

3

QPSK

39.0

43.3

2

3

QPSK

58.5

65.0

3

3

16-QAM

78.0

86.7

4

3

16-QAM

117.0

130.0

5

3

64-QAM

156.0

173.3

6

3

64-QAM

175.5

195.0

7

3

64-QAM

195.0

216.7

8

3

256-QAM

234.0

260.0

9

3

256-QAM

260.0

288.9

 

表1-7 VHT-MCS对应速率表(20MHz,4NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

4

BPSK

26.0

28.9

1

4

QPSK

52.0

57.8

2

4

QPSK

78.0

86.7

3

4

16-QAM

104.0

115.6

4

4

16-QAM

156.0

173.3

5

4

64-QAM

208.0

231.1

6

4

64-QAM

234.0

260.0

7

4

64-QAM

260.0

288.9

8

4

256-QAM

312.0

346.7

9

Not valid

 

表1-8 VHT-MCS对应速率表(40MHz,1NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

13.5

15.0

1

1

QPSK

27.0

30.0

2

1

QPSK

40.5

45.0

3

1

16-QAM

54.0

60.0

4

1

16-QAM

81.0

90.0

5

1

64-QAM

108.0

120.0

6

1

64-QAM

121.5

135.0

7

1

64-QAM

135.0

150.0

8

1

256-QAM

162.0

180.0

9

1

256-QAM

180.0

200.0

 

表1-9 VHT-MCS对应速率表(40MHz,2NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

2

BPSK

27.0

30.0

1

2

QPSK

54.0

60.0

2

2

QPSK

81.0

90.0

3

2

16-QAM

108.0

120.0

4

2

16-QAM

162.0

180.0

5

2

64-QAM

216.0

240.0

6

2

64-QAM

243.0

270.0

7

2

64-QAM

270.0

300.0

8

2

256-QAM

324.0

360.0

9

2

256-QAM

360.0

400.0

 

表1-10 VHT-MCS对应速率表(40MHz,3NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

3

BPSK

40.5

45.0

1

3

QPSK

81.0

90.0

2

3

QPSK

121.5

135.0

3

3

16-QAM

162.0

180.0

4

3

16-QAM

243.0

270.0

5

3

64-QAM

324.0

360.0

6

3

64-QAM

364.5

405.0

7

3

64-QAM

405.0

450.0

8

3

256-QAM

486.0

540.0

9

3

256-QAM

540.0

600.0

 

表1-11 VHT-MCS对应速率表(40MHz,4NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

4

BPSK

54.0

60.0

1

4

QPSK

108.0

120.0

2

4

QPSK

162.0

180.0

3

4

16-QAM

216.0

240.0

4

4

16-QAM

324.0

360.0

5

4

64-QAM

432.0

480.0

6

4

64-QAM

486.0

540.0

7

4

64-QAM

540.0

600.0

8

4

256-QAM

648.0

720.0

9

4

256-QAM

720.0

800.0

 

表1-12 VHT-MCS对应速率表(80MHz,1NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

29.3

32.5

1

1

QPSK

58.5

65.0

2

1

QPSK

87.8

97.5

3

1

16-QAM

117.0

130.0

4

1

16-QAM

175.5

195.0

5

1

64-QAM

234.0

260.0

6

1

64-QAM

263.0

292.5

7

1

64-QAM

292.5

325.0

8

1

256-QAM

351.0

390.0

9

1

256-QAM

390.0

433.3

 

表1-13 VHT-MCS对应速率表(80MHz,2NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

2

BPSK

58.5

65.0

1

2

QPSK

117.0

130.0

2

2

QPSK

175.5

195.0

3

2

16-QAM

234.0

260.0

4

2

16-QAM

351.0

390.0

5

2

64-QAM

468.0

520.0

6

2

64-QAM

526.5

585.0

7

2

64-QAM

585.0

650.0

8

2

256-QAM

702.0

780.0

9

2

256-QAM

780.0

866.7

 

表1-14 VHT-MCS对应速率表(80MHz,3NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

3

BPSK

87.8

97.5

1

3

QPSK

175.5

195.0

2

3

QPSK

263.3

292.5

3

3

16-QAM

351.0

390.0

4

3

16-QAM

526.5

585.0

5

3

64-QAM

702.0

780.0

6

Not valid

7

3

64-QAM

877.5

975.0

8

3

256-QAM

1053.0

1170.0

9

3

256-QAM

1170.0

1300.0

 

表1-15 VHT-MCS对应速率表(80MHz,4NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

4

BPSK

117.0

130.0

1

4

QPSK

234.0

260.0

2

4

QPSK

351.0

390.0

3

4

16-QAM

468.0

520.0

4

4

16-QAM

702.0

780.0

5

4

64-QAM

936.0

1040.0

6

4

64-QAM

1053.0

1170.0

7

4

64-QAM

1170.0

1300.0

8

4

256-QAM

1404.0

1560.0

9

4

256-QAM

1560.0

1733.3

 

和MCS一样,VHT-MCS也分为三类:基本VHT-MCS集、支持VHT-MCS集和组播VHT-MCS集,每类的意义也和MCS相同。

1.8.7  射频基础功能

1. 射频工作信道

配置射频工作信道的目的是尽量减少和避免射频的干扰。干扰主要来自两方面:一种是WLAN设备间的干扰,比如相邻WLAN设备使用相同信道,会造成相互干扰;另一种是WLAN设备和其他无线射频之间的干扰,比如WLAN设备使用的信道上有雷达信号则必须立即让出该信道。

射频工作的信道可以手工配置或者由系统自动选择。

·     如果用户配置了手工信道,所配置的信道将一直被使用而不能自动更改,除非发现雷达信号。如果因为发现雷达信号而进行信道切换,AP会在30分钟后将信道切换回手工指定的信道,并静默一段时间,如果在静默时间内没有发现雷达信号,则开始使用该信道;如果发现雷达信号,则再次切换信道。

·     AP默认采用自动信道模式,随机选择工作信道。

2. 射频最大传输功率

射频的最大传输功率只能在射频支持的功率范围内进行选取,即保证射频的最大传输功率在合法范围内。射频支持的功率范围由国家码、信道、AP型号、射频模式、天线类型、带宽等属性决定,修改上述属性,射频支持的功率范围和最大传输功率将自动调整为合法值。

3. 射频速率

射频速率可以分为以下四种:

·     禁用速率:AP禁用的速率。

·     强制速率:客户端关联AP时,AP要求客户端必须支持的速率。

·     支持速率:AP所支持的速率。客户端关联AP后,可以在AP支持的“支持速率集”中选用更高的速率发送报文。当受干扰、重传、丢包等影响较大时,AP会自动降低对客户端的发送速率;当受影响较小时,AP会自动升高对客户端的发送速率。

·     组播速率:AP向客户端发送组播和广播报文的速率。组播速率必须在强制速率中选取,且只能配置一个速率值或由AP自动选择合适的速率。

4. 前导码类型

说明

只有2.4GHz射频,才支持配置前导码类型。

 

前导码是数据报文头部的一组Bit位,用于同步发送端与接收端的传输信号。前导码的类型有两种,长前导码和短前导码。短前导码能使网络性能更好,默认使用短前导码。如果需要兼容网络中一些较老的客户端时可以使用长前导码保持兼容。

5. 射频覆盖范围

天线发出的电磁波在介质中传播的时候,随着距离的增加以及周围环境因素的影响,信号强度逐渐降低。电磁波的覆盖范围主要与环境的开放程度、障碍物的材质类型有关。设备在不加外接天线的情况下,传输距离约300米,若空间中有隔离物,传输大约在35~50米左右。

如果借助于外接天线,覆盖范围则可以达到30~50公里甚至更远,这要视天线本身的增益而定。

6. 发送Beacon帧的时间间隔

在WLAN环境中,AP通过不断广播Beacon帧来让客户端发现自己。AP发送Becaon帧时间间隔越小,AP越容易被客户端发现,但AP的功耗越大。

7. 禁止802.11b客户端接入

当射频模式为802.11g或802.11gn时,为了提高传输速率,可以通过开启禁止802.11b客户端接入功能来隔离低速率的802.11b客户端的影响;当开启禁止802.11b客户端接入功能后,不允许客户端以802.11b模式接入。

8. RTS门限

在无线环境中,为了避免冲突的产生,无线设备在发送数据前会执行冲突避免,即使用RTS/CTS(Request to Send/Clear to Send,请求发送/允许发送)帧或CTS-to-self(反身CTS)帧来清空传送区域,取得信道使用权。但是如果每次发送数据前都执行冲突避免,则会降低过多的传输量,浪费了无线资源。因此,802.11协议规定仅当发送帧长超过RTS门限的帧时,需要执行冲突避免;帧长小于RTS门限的帧,则可以直接发送。

当网络中设备较少时,产生干扰的概率较低,可以适当增大RTS门限以减少冲突避免的执行次数,提高吞吐量。当网络中设备较多时,可以通过降低RTS门限,增加冲突避免的执行次数来减少干扰。

9. 802.11g保护功能

说明

只有当射频模式为802.11g或802.11n(2.4GHz)时,才支持配置802.11g保护功能。

 

当网络中同时存在802.11b和802.11g的客户端,由于调制方式不同,802.11b客户端无法解析802.11g信号,会导致802.11b与802.11g网络之间彼此造成干扰。802.11g保护功能用于避免干扰情况的发生,通过使802.11g和802.11n设备发送RTS/CTS报文或CTS-to-self报文来取得信道使用权,确保802.11b客户端能够检测到802.11g和802.11n客户端正在进行数据传输,实现冲突避免。

开启802.11g保护功能后,当AP在其工作信道上扫描到802.11b信号,则会在传输数据前通过发送RTS/CTS报文或CTS-to-self报文进行冲突避免,并通知客户端开始执行802.11g保护功能;如果未检测到802.11b信号,则不会采取上述动作。

当802.11b客户端在开启了802.11g或802.11n(2.4GHz)的AP上接入时,AP上的802.11g保护功能将自动开启并生效。

10. 帧的分片门限

帧的分片是将一个较大的帧分成更小的分片,每个分片独立进行传输和确认。当帧的实际大小超过指定的分片门限值时,该帧将被分片传输。

在干扰较大的无线环境,建议适当降低帧的分片门限值,增加帧的分片数量,则当传输受到干扰时,仅需要重传未成功发送的分片,从而提高吞吐量。

11. 帧的最大重传次数

在无线网络中传输的单播数据,必须得到接收端的应答,否则便认为传送失败。设备会对传送失败的帧进行重传,如果在达到最大重传次数时,仍然没有传送成功,则丢弃该帧,并将此状况告知上层协议。

每个帧或帧片段都分别对应一个重传计数器。无线设备上具有两个重传计数器:短帧重传计数器与长帧重传计数器。长度小于RTS门限值的帧视为短帧;长度超过RTS门限值的帧则为长帧。当帧传送失败,对应的重传计数器累加,然后重新传送帧,直至达到最大重传次数。

区分短帧和长帧的主要目的是为了让网络管理人员利用不同长度的帧来调整重传策略。由于发送长帧前需要执行冲突避免,因此长帧比短帧占用了更多的缓存空间和传输时间。在配置帧的最大重传次数时,适当减少长帧的最大重传次数,可以减少所需要的缓存空间和传输时间。

1.8.8  802.11n功能

IEEE 802.11n协议的制定,旨在提供高带宽、高质量的WLAN服务,使无线局域网达到以太网的性能水平。802.11n通过物理层和MAC(Media Access Control,媒体访问控制)层的优化来提高WLAN的吞吐能力,从而提高传输速率。

802.11n的物理层建立在OFDM系统之上,采用MIMO(Multiple Input,Multiple Output,多输入多输出)、40MHz传输带宽、Short GI(Short Guard Interval,短保护间隔)、STBC(Space-Time Block Coding,空时块编码)、LDPC(Low-Density Parity Check,低密度奇偶校验)等技术使物理层达到高吞吐(High Throughput)的效果,并采用A-MPDU(Aggregate MAC Protocol Data Unit,聚合MAC协议数据单元)、A-MSDU(Aggregate MAC Service Data Unit,聚合MAC服务数据单元)、BA(Block Acknowledgment,块确认)等技术,提高MAC层的传输效率。

1. A-MPDU功能

802.11n标准中采用A-MPDU聚合帧格式,减少了每个传输帧中的附加信息,同时也减少了所需要的ACK帧的数目,从而降低了协议的负荷,有效的提高了网络吞吐量。A-MPDU是将多个MPDU(MAC Protocol Data Unit,MAC协议数据单元)聚合为一个A-MPDU,这里的MPDU为经过802.11封装的数据报文。A-MPDU抢占一次信道并使用一个PLCP(Physical Layer Convergence Procedure,物理层汇聚协议)头来提升信道利用率。一个A-MPDU中的所有MPDU必须拥有相同的QoS优先级,由同一设备发送,并被唯一的一个设备接收。

图1-3 A-MPDU报文格式图

 

2. A-MSDU功能

A-MSDU技术是指把多个MSDU(MAC Service Data Unit,MAC服务数据单元)聚合成一个较大的载荷。目前,MSDU仅指Ethernet报文。通常,当AP或客户端从协议栈收到MSDU报文时,会封装Ethernet报文头,封装之后称之为A-MSDU Subframe;而在通过射频发送出去前,需要一一将其转换成802.11报文格式。而A-MSDU技术旨在将若干个A-MSDU Subframe聚合到一起,并封装为一个802.11报文进行发送。从而减少了发送每一个802.11报文所需的PLCP Preamble、PLCP Header和802.11MAC Header的开销,提高了报文发送的效率。

图1-4 A-MSDU报文格式图

 

A-MSDU是将多个MSDU组合在一起发送,这些MSDU必须拥有相同的QoS优先级,而且必须由同一设备发送,并被唯一的一个设备接收。当一个设备接收到一个A-MSDU时,需要将这个A-MSDU分解成多个MSDU后分别处理。

3. Short-GI功能

Short GI是802.11n针对802.11a/g所做的改进。射频在使用OFDM调制方式发送数据时,整个帧是被划分成不同的数据块进行发送的,为了数据传输的可靠性,数据块之间会有GI(Guard Interval,保护间隔),用以保证接收侧能够正确的解析出各个数据块。无线信号的空间传输会因多径等因素在接收侧形成时延,如果后面的数据块发送的过快,会和前一个数据块形成干扰,GI就是用来规避这个干扰的。802.11a/g的GI时长为800ns,在多径效应不严重时,可以使用Short GI,Short GI时长为400ns,在使用Short GI的情况下,可提高10%的传输速率。另外,Short GI与带宽无关,支持20MHz、40MHz带宽。

4. LDPC功能

802.11n引入了LDPC(Low-Density Parity Check,低密度奇偶校验)机制,该机制通过校验矩阵定义了一类线性码,并在码长较长时需要校验矩阵满足“稀疏性”,即校验矩阵中1的个数远小于0。在802.11n出现以前,所有以OFDM为调制方式的设备都使用卷积作为前向纠错码。802.11n引入了LDPC校验码,将传输的信噪比增加到了1.5到3dB之间,使传输质量得到提升。对LDPC的支持需要设备间的协商,以保证设备双方都支持LDPC校验。

5. STBC功能

802.11n引入了STBC(Space-Time Block Coding,空时块编码)机制,该机制可以将空间流编码成时空流,是802.11n中使用的一个简单的可选的发送分集机制。该机制的优点是不要求客户端具有高的数据传输速率,就可以得到强健的链路性能。STBC是完全开环的,不要求任何反馈或额外的系统复杂度,但是会降低效率。

6. MCS索引

当802.11a/b/g客户端上线时,将使用基础速率传输单播数据。当802.11n客户端上线时,将使用MCS索引所代表的调制与编码策略传输单播数据。

当未配置组播MCS索引时,802.11n客户端和AP之间将使用组播速率发送组播数据;当配置了组播MCS索引且客户端都是802.11n客户端时,AP和客户端将使用组播MCS索引所代表的调制与编码策略传输组播数据。当配置了组播索引且存在802.11a/b/g客户端时,AP和客户端将使用基础模式的组播速率传输组播数据,即802.11a/b/g的组播速率。

需要注意的是:

·     配置的802.11n基本MCS最大索引值index表示射频的802.11n基本MCS的最大索引值,即该射频的802.11n基本MCS集是0~index。

·     配置的802.11n支持MCS最大索引值index表示射频的802.11n支持MCS的最大索引值,即该射频的802.11n支持MCS集是0~index。

·     配置的802.11n组播MCS索引值index表示射频发送802.11n组播报文使用的MCS索引。

·     组播MCS索引需要小于或等于最大基本MCS索引,最大基本MCS需要小于或等于最大支持MCS索引。

·     802.11n支持MCS最大索引值不能小于802.11n基本MCS最大索引值。

·     802.11n组播MCS索引值不能大于802.11n基本MCS最大索引值。

7. 仅允许802.11n及802.11ac客户端接入功能

开启仅允许802.11n及802.11ac客户端接入功能后,仅允许802.11n及802.11ac客户端接入,不允许802.11a/b/g客户端接入,可以隔离低速率的客户端的影响,提高802.11n设备的传输速率。

8. 802.11n信道带宽

802.11n沿用了802.11a/b/g的信道结构。20MHz信道划分为64个子信道,为了防止相邻信道干扰,在802.11a/g中,需预留12个子信道,同时,需用4个子信道充当导频(pilot carrier)以监控路径偏移,因此20MHz带宽的信道在802.11a/g中用于传输数据的子信道数为48个;而在802.11n中,只需预留8个子信道,加上充当导频的4个子信道,20MHz带宽的信道在802.11n中用于传输数据的子信道数为52个,提高了传输速率。

802.11n将两个相邻的20MHz带宽绑定在一起,组成一个40MHz通讯带宽(其中一个为主信道,另一个为辅信道)来提高传输速率。

射频的带宽配置及芯片的支持能力决定了射频工作在20MHz的带宽还是工作在20/40MHz的带宽。

9. MIMO模式

MIMO是指一个天线采用多条流进行无线信号的发送和接收。MIMO能够在不增加带宽的情况下成倍的提高信息吞吐量和频谱利用率。MIMO模式包括以下四种:

·     1x1:采用一条流进行无线信号的发送和接收。

·     2x2:采用两条流进行无线信号的发送和接收。

·     3x3:采用三条流进行无线信号的发送和接收。

·     4x4:采用四条流进行无线信号的发送和接收。

支持流的数量与AP型号有关,请以设备的实际情况为准。

10. AP绿色节能功能

开启绿色节能功能后,在没有用户与Radio关联时,Radio将工作在1x1模式(仅采用一条流进行无线信号的发送和接收),节省用电量。

11. 802.11n保护功能

说明

本功能所指的802.11n包括802.11n和802.11ac。

 

当网络中同时存在802.11n和非802.11n的客户端,由于调制方式不同,非802.11n客户端无法解析802.11n信号,会导致非802.11n与802.11n网络之间彼此造成干扰。802.11n保护功能用于避免干扰情况的发生,通过使802.11n设备发送RTS/CTS报文或CTS-to-self报文来取得信道使用权,确保非802.11n客户端能够检测到802.11n客户端正在进行数据传输,实现冲突避免。

开启802.11n保护功能后,当AP在其工作信道上扫描到非802.11n信号,则会在传输数据前通过发送RTS/CTS报文或CTS-to-self报文进行冲突避免,并通知客户端开始执行802.11n保护功能;如果未检测到非802.11n信号,则不会采取上述动作。

当非802.11n客户端在开启了802.11n或802.11ac的AP上接入时,AP上的802.11n保护功能将自动开启并生效。

1.8.9  802.11ac功能

802.11ac是802.11n的继承者,它采用并扩展了源自802.11n的众多概念,包括更宽的射频带宽(提升至160MHz)、更多的MIMO空间流(增加到8)、多用户的MIMO、以及更高阶的调制方式(达到256QAM),从而进一步提高了WLAN的传输速率。

1. NSS

当802.11ac客户端上线时,将使用NSS(Number of Spatial Streams,空间流数)所对应的VHT-MCS索引所代表的调制与编码策略传输单播数据。

当非802.11ac客户端上线时,将使用基础速率或MCS所代表的调制与编码策略传输单播数据。

当未配置组播NSS时,802.11ac客户端和AP之间将使用组播速率或组播MCS所代表的调制与编码策略发送组播数据。

当配置了组播NSS且客户端都是802.11ac客户端时,AP和客户端将使用VHT-MCS索引所代表的调制与编码策略传输组播数据。

当配置了组播NSS且存在非802.11ac客户端时,AP和客户端将使用基础模式的组播速率或MCS所代表的调制与编码策略传输组播数据,即802.11a/b/g/n的组播速率。

需要注意的是:

·     组播NSS需要小于或等于最大基本NSS,最大基本NSS需要小于或等于最大支持NSS。

·     配置的802.11ac基本NSS最大数值number表示射频的802.11ac最大基本NSS,即该射频的802.11ac基本NSS是1~number。

·     配置的802.11ac支持NSS最大数值number表示射频的802.11ac最大支持NSS,即该射频的802.11ac支持NSS是1~number。

·     配置的802.11ac组播NSS数值number表示射频发送802.11ac组播报文使用的NSS。配置的VHT-MCS索引值index表示射频发送802.11ac组播报文使用的对应NSS的VHT-MCS索引。

2. 仅允许802.11ac客户端接入功能

开启仅允许802.11ac客户端接入功能后,仅允许802.11ac客户端接入,不允许802.11a/b/g/n客户端接入,可以隔离低速率的客户端的影响,提高802.11ac设备的传输速率。

3. 802.11ac信道带宽

802.11ac将信道带宽从802.11n的20MHz/40MHz提升到了80MHz/160MHz/(80+80)MHz。带宽的提升带来了可用数据子载波的增加。

802.11ac沿用了802.11n的信道带宽划定方式,通过将相邻的信道合并得到更大带宽的信道。在802.11ac中,可以将相邻的两个20Mhz信道合并得到带宽为40Mhz的信道,也可以将两个40Mhz带宽的信道合并,得到带宽为80Mhz的信道,也可以将两个80Mhz带宽的信道合并,得到带宽为160Mhz的信道。

图1-5 802.11ac信道带宽划定方式示意图

 

1.9  频谱导航

在实际无线网络环境中,有些客户端只能工作在2.4GHz频段上,有些客户端可以工作在2.4GHz频段或者5GHz频段,这有可能导致2.4GHz射频过载,5GHz射频相对空余。在这种情况下,可以使用频谱导航功能,将支持双频工作的客户端优先接入5GHz射频,使得两个频段上的客户端数量相对均衡,从而提高整网性能。

图1-6所示,无线网络中存在三个客户端,AP上开启5GHz射频和2.4GHz射频,Client1关联到AP的5GHz射频,Client2关联到AP的2.4GHz射频。AP上开启频谱导航功能后,当Client3准备接入无线网络时,如果对5GHz射频进行关联,将直接关联成功,如果对2.4GHz射频进行关联,将被AC拒绝。

图1-6 启动频谱导航的WLAN环境

 

1.10  组播优化

1.10.1  组播优化简介

组播传输的特点无法满足某些对组播流有较高要求的应用,如高清视频点播,这类应用对传送时延不敏感,但要求报文流有较高完整性。为了满足这些应用需求,可开启组播优化功能,使AP向客户端发送组播报文时,将组播数据报文转换为单播数据报文,转换后的无线单播数据报文不但具有重传确认机制及更高速率,还具有Video的优先级,可以优先被发送。

组播优化功能通过组播优化表项来管理组播报文的转发。组播优化表项以客户端MAC地址为索引,记录了客户端加入的组播组、每个组播组下可接收的组播源、加入组的版本、加入组的模式等信息。

在组播优化表中,每个客户端加入一个组播组即生成一条表项。如果客户端以指定源的方式加入组播组,则加入的组播组以及每个指定的源均会生成一条表项。客户端退出组播组或取消某个指定源时,组播优化表中会删除对应的表项。

1.10.2  组播优化策略

组播优化策略定义了需要进行组播优化的无线客户端的数量阈值以及超过阈值之后设备对发往无线客户端的组播报文采取的处理方式。需要进行组播优化的客户端数量超过阈值前,设备将组播报文转换为单播报文转发;客户端数量超过阈值之后,设备支持以下几种处理方式:

·     单播转发:设备随机选取N个(N为设置的阈值)客户端进行单播转发,而超出阈值的客户端不会收到任何报文。

·     组播转发:设备为所有客户端进行组播转发。

·     丢弃报文:设备直接将组播报文丢弃,不为任何一个客户端发送报文。

如果不指定处理方式,设备默认的处理方式为单播转发。

1.10.3  组播优化表项限制

1. 限制组播优化表项的数量

大量的组播优化表项会消耗系统资源,可通过设置组播优化表项的数量上限,来控制组播优化表的大小。

当组播优化表项的数量达到上限时,AP不再创建新的组播优化表项;当上限值被修改或者当前存在的表项因老化而被删除时,AP会再次创建新的组播优化表项。

2. 限制组播优化表中为单个客户端维护的表项数量

组播优化表中的表项数量会占用系统资源,用户可以通过限制组播优化表中为单个客户端维护的表项数量,来实现系统资源的合理划分,避免一个客户端创建过多的表项占用其它客户端的资源。

1.10.4  IGMP/MLD报文速率限制

IGMP/MLD报文的速率是指在一定时间内允许设备接收无线客户端IGMP/MLD报文的最大数量。通过限制速率避免了设备在某一时间段处理大量来自无线客户端的IGMP/MLD报文。对于超出限制数的报文,设备将会丢弃。

1.11  探针

在AP的Radio接口上开启探针功能后,AP通过对信道进行扫描,收集客户端信息并生成客户端表项,实现对客户端的监测。开启探针功能后,可以在“网络 > 监控 > 探针”页面中查看监测到的信息。

AP的Radio接口不能同时开启WIPS功能和探针功能。

1.12  Bonjour网关

Bonjour协议是苹果公司开发的基于mDNS(Multicast DNS,组播域名)服务的零配置网络协议。Bonjour协议致力于让网络配置更简单,支持Bonjour协议的服务端设备能够以组播方式发送服务信息,使局域网内的客户端在无需获取服务端设备信息的情况下,自动发现可提供服务的设备。

Bonjour协议仅定义了如何在VLAN内使用mDNS协议报文传播服务信息,如果需要跨VLAN转发mDNS协议报文,则必须在网络中部署一台转发设备,称作Bonjour网关。除转发mDNS报文外,Bonjour网关还能够通过管理员设定的规则来管理客户端和服务端设备,实现Bonjour协议在大规模网络中的应用。

在网络中部署Bonjour网关的优势如下:

·     控制网络中mDNS协议报文数量。

·     提供跨VLAN转发mDNS协议报文的功能。

Bonjour网关的作用是查询代理和响应代答。

1.12.1  响应代答

当Bonjour网关发现客户端查询的服务资源表项中已经存在关于此服务的信息时,将直接向客户端发送响应报文,称为响应代答。

结合如图1-7所示组网,Bonjour网关进行响应代答的过程如下:

(1)     Apple TV和Printer发送Bonjour响应报文,在网络中通告其支持的服务。

(2)     Bonjour网关收到Apple TV和Printer发送的Bonjour响应报文后,就会建立Apple TV、Printer的Bonjour服务资源表项。

(3)     Bonjour网关收到客户端关于Apple TV或打印机服务的查询报文。

(4)     Bonjour网关直接回复响应报文给客户端,客户端收到响应后即可获取提供Apple TV或打印机服务的设备信息。

图1-7 Bonjour网关代答过程图

 

1.12.2  查询代理

在某些情况下,Bonjour网关上收到客户端的组播查询报文,在检查Bonjour服务资源表项后发现Bonjour网关没有获取到客户端请求的服务,此时,Bonjour网关需要对指定服务进行查询代理和响应转发。

结合如图1-8所示组网,Bonjour网关进行查询代理的过程如下:

(1)     iPad客户端发出一个对Printer的查询报文,AP收到该报文后,发送到Bonjour网关。

(2)     Bonjour网关查找Bonjour服务资源表项,发现表项内没有关于Printer的内容。Bonjour网关就会向配置的VLAN列表(在图1-8中为VLAN 3和VLAN 4)转发查询请求。

(3)     Printer收到Bonjour网关转发的查询报文后,回复响应报文。

(4)     Bonjour网关将响应报文中的服务记录到Bonjour服务资源表项。

(5)     记录Bonjour服务资源表项之后,Bonjour网关会转发响应报文给客户端。

图1-8 Bonjour网关查询代理过程图

 

1.12.3  Bonjour服务类型

Bonjour服务类型用于在Bonjour策略下实现对Bonjour服务的控制。设备上存在一些默认服务类型,用户也可以创建新的Bonjour服务类型。在创建新的Bonjour服务类型时,需指定该服务类型所使用的协议及描述信息。

在Bonjour网关功能全局开启并且主动查询功能打开的情况下,激活Bonjour服务类型时,设备会执行一次对该服务类型的主动查询操作。

在激活Bonjour服务类型时,可以指定该服务类型最多可学习到的SRV类型资源条目数,如不指定,则表示不对此进行限制。当服务类型未激活时,设备将会删除该类型已学习到的所有服务资源。

表1-16 默认服务类型列表

服务类型

描述

afpovertcp

AppleTalkFiling Protocol

airplay

Airplay

airport

Airport Base Station

apple-sasl

Apple Password Server

daap

Digital Audio Access Protocol

dacp

Digital Audio Control Protocol

distcc

Distributed Compiler

dpap

Digital Photo Access Protocol

eppc

Remote AppleEvents

ftp

File Transfer Protocol

http

Hypertext Transfer Protocol

ica-networking

Image Capture Sharing

ichat

iChat Instant Messaging Protocol

ipp

Internet Printing Protocol over HTTP

ipps

Internet Printing Protocol over HTTPS

nfs

Network File System

pdl-stream

PDL Data Stream

printer

Line Printer Daemon

raop

Remote Audio Output Protocol

riousbprint

Remote I/O USB Printer Protocol

servermgr

Server Admin

ssh

Secure Shell

telnet

Remote Login

webdav

WebDav File System

workstation

Workgroup Manager

xserveraid

Xerver RAID

 

1.12.4  Bonjour策略

Bonjour策略用于实现对Bonjour服务和VLAN访问权限的控制。在Bonjour策略中配置服务类型和服务VLAN后,将Bonjour策略应用到指定的位置(User Profile视图、AP视图、AP组视图、接口视图与无线服务模板视图),便可以实现控制功能。

1. 配置服务类型

Bonjour网关会检查客户端请求的服务类型与Bonjour策略中配置的服务类型是否匹配,如不匹配就直接丢弃查询报文。对于收到的响应报文,Bonjour网关会检查服务类型、IP地址和实例名,Bonjour网关只会转发符合全部Bonjour策略配置的响应报文。

2. 配置服务VLAN

服务VLAN用来限制Bonjour服务所覆盖的范围,只有当客户端请求的Bonjour服务的VLAN在设备的服务VLAN列表中时,设备才会转发查询和响应报文。

可选参数access-vlan表示客户端接入的VLAN,配置此参数表示Bonjour网关可以在客户端接入的VLAN内转发查询和响应报文。

 


2 网络安全

2.1  QoS策略

QoS即服务质量。对于网络业务,影响服务质量的因素包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。

QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,灵活地进行QoS配置。

2.1.1  类

类用来定义一系列的规则来对报文进行分类。

2.1.2  流行为

流行为用来定义针对报文所做的QoS动作。

2.1.3  策略

策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。

2.1.4  应用策略

基于接口应用QoS策略,QoS策略对通过接口接收或发送的流量生效。一个QoS策略可以应用于多个接口,但在接口的每个方向(出和入两个方向)只能应用一个策略。如果QoS策略应用在接口的出方向,则QoS策略对本地协议报文不起作用。一些常见的本地协议报文如下:链路维护报文等。

2.2  优先级映射

报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值。

优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。

2.2.1  端口优先级

如果配置了优先级信任模式,即表示设备信任所接收报文的优先级,会自动解析报文的优先级或者标志位,然后按照映射表映射到报文的优先级参数。

如果没有配置优先级信任模式,并且配置了端口优先级值,则表明设备不信任所接收报文的优先级,而是使用端口优先级,按照映射表映射到报文的优先级参数。

1. 配置端口优先级

按照接收端口的端口优先级,设备通过一一映射为报文分配优先级。

2. 配置优先级信任模式

根据报文自身的优先级,查找优先级映射表,为报文分配优先级参数,可以通过配置优先级信任模式的方式来实现。

在配置接口上的优先级模式时,用户可以选择下列信任模式:

·     Untrust:不信任任何优先级。

·     Dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射。

·     DSCP:信任IP报文自带的DSCP优先级,以此优先级进行优先级映射。

2.2.2  优先级映射表

报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值。

优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。

设备中提供了六张先级映射表,分别是802.11e优先级到本地优先级映射表、802.1p优先级到本地优先级映射表、DSCP到本地优先级映射表、本地优先级到802.11e优先级映射表、本地优先级到802.1p优先级映射表和本地优先级到DSCP映射表。如果缺省优先级映射表无法满足用户需求,可以根据实际情况对映射表进行修改。

2.3  802.1X

请参见“系统功能介绍”中的“802.1X”

2.4  ISP

请参见“系统功能介绍”中的“ISP域”。

2.5  RADIUS

请参见“系统功能介绍”中的“RADIUS”。

2.6  接入管理

2.6.1  MAC地址认证

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,无需安装客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被设置为静默MAC。在静默时间内,来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。

2.6.2  端口安全

端口安全通过对已有的802.1X认证和MAC地址认证进行融合和扩充,在端口上为使用不同认证方式的用户提供基于MAC地址的网络接入控制。

端口安全的主要功能:

·     通过检测端口收到的数据帧中的源MAC地址来控制非授权设备或主机对网络的访问。

·     通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。

·     通过定义各种端口安全模式,控制端口上的MAC地址学习或定义端口上的组合认证方式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。

2.6.3  Portal

Portal认证通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。Portal认证通常部署在接入层以及需要保护的关键数据入口处实施访问控制。在采用了Portal认证的组网环境中,用户可以主动访问已知的Portal Web服务器网站进行Portal认证,也可以访问任意非Portal Web服务器网站时,被强制访问Portal Web服务器网站,继而开始Portal认证。目前,设备支持的Portal版本为Portal 1.0、Portal 2.0和Portal 3.0。

 


3 工具

RF Ping即无线链路质量检测。该检测过程中,AP根据客户端上线时协商的速率集,以每个速率发送5个空数据报文进行链路质量检测。AP根据客户端的响应报文可以获取AP与客户端之间的无线链路质量信息,如信号强度、报文重传次数、RTT(Round-trip Time,往返时间)等。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们