- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载: 01-正文 (790.12 KB)
· 本文档不严格与具体硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
· 设备支持Fit工作模式和云AP工作模式,仅当设备工作在云AP工作模式时,才支持通过本地Web登录设备。
· 设备默认通过无线方式进行本地管理。
· 无线终端需要设置为动态获取IP地址方式。
· 设备连接云平台后请在云平台上对设备进行配置。
· 若设备与云平台断开连接后管理员通过本地Web配置过设备,请将设备恢复出厂配置后连接云平台,使设备自动从云平台侧同步配置。
· 建议使用以下浏览器访问Web:Chrome 35.0.1916.114及以上版本、Internet Explorer 10及以上版本、Firefox 30.0.0.5269及以上版本、Safari 6.0及以上版本。使用其它浏览器访问可能会出现不支持或显示效果不佳。
· 使用的浏览器必须要设置能接受第一方Cookie(即来自站点的Cookie),并启用活动脚本(或JavaScript),才能正常访问Web。以上功能在不同浏览器中的名称及设置方法可能不同,请以实际情况为准。
· 使用Internet Explorer浏览器时,还必须启用以下两个功能,才能正常访问Web:对标记为可安全执行脚本的ActiveX控件执行脚本、运行ActiveX控件和插件。
· 更改设备的软件版本后,建议在登录Web页面之前先清除浏览器的缓存,以便正确地显示Web页面。
· 请使用分辨率在1024×768以上的台式机、笔记本或平板电脑访问。
设备支持HTTP(Hypertext Transfer Protocol,超文本传输协议)和HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)两种Web访问方式。
设备出厂时已经缺省启用了HTTP和HTTPS服务,并且设置有缺省的Web登录信息,用户可以直接使用缺省登录信息通过HTTP或HTTPS服务登录设备的Web界面。缺省的Web登录信息包括:
· 用户名:admin
· 密码:h3capadmin
采用缺省登录信息Web登录设备的步骤如下:
(1) 开启无线终端的Wi-Fi功能,搜索并接入SSID为“H3C_xxxxxx”(xxxxxx为设备MAC地址的后六位)的无线网络。
(2) 在无线终端Web浏览器地址栏中输入http://myap.h3c.com,按<Enter>键进入“设备登录”页面。
(3) 在“设备登录”页面输入缺省用户名和密码,单击<登录>按钮,然后在弹出的“修改密码”页面根据提示信息修改登录密码,单击<确定>按钮即可登录Web管理页面。
为保证设备的安全性,用户在Web上完成操作后应及时退出登录。
在Web页面上单击右上角的<admin>按钮,然后单击“退出登录”,即可退出Web。
需要注意的是:
· 退出Web时,系统不会自动保存当前配置。因此,建议用户在退出Web前先点击页面右上方的<admin>按钮,然后单击“保存”或单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“系统 > 管理”,然后单击页面上方的“配置文件”,再单击<保存当前配置>按钮来保存当前配置。
· 直接关闭浏览器可以使用户退出Web。
图2-1 Web页面布局
|
②导航栏 |
|
|
③执行区 |
④状态栏 |
如图2-1所示,Web页面有以下几个功能区域:
·
标识和辅助区:该区域用来显示公司Logo和设备型号,并提供语言切换、更改登录用户密码、保存当前配置、退出登录等功能。点击“
”后,可以使用切换语言、更改登录用户密码、保存当前配置、退出登录等功能。
· 导航栏:以树的形式组织设备的Web功能菜单。用户在导航栏中可以方便的选择功能菜单,选择结果显示在执行区中。
· 执行区:进行配置操作、信息查看、操作结果显示的区域。
· 状态栏:显示设备当前的状态和统计信息。
Web页面上常用的按钮、图标及其功能,如表2-1所示。
表2-1 Web常用按钮和图标
|
按钮和图标 |
功能说明 |
|
|
查看某个功能或参数的在线帮助信息 |
|
|
进入下一级页面进行配置或查看当前配置信息 |
|
|
表项的统计计数 |
|
|
显示功能当前的开启/关闭状态,点击该按钮可以修改开启/关闭状态 |
|
|
刷新表项内容 |
|
|
刷新统计或显示信息 |
|
|
显示更多内容 |
|
|
筛选按钮,用于按条件进行筛选 |
|
|
· 表项显示页面上,用于添加一条表项 · 配置页面上,具有如下功能: ¡ 用于对当前表项的添加进行确认,并新增一条表项 ¡ 添加一个策略等,以避免配置过程中在页面之间进行跳转 |
|
|
在文本框中输入查询关键字,点击该按钮对表项进行简单查询 |
|
|
高级查询按钮,点击该按钮后可以输入多个条件对表项进行组合条件查询 |
|
|
表项导出按钮 |
|
|
表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示该图标 该图标用于显示当前表项的详情。 |
|
|
表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示 该图标用于删除当前表项 |
|
|
表项显示页面上,将在页面的左上方显示该图标 该图标用于删除所有表项 |
|
|
用于选择显示表项中的哪些标题项 |
|
|
用于进入高级设置页面 |
|
|
表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示 该图标用于修改和编辑当前表项 |
|
|
快速配置按钮,用于对某项服务进行快速配置 |
|
|
提示按钮,点击该按钮后将对相关功能和服务进行解释 |
|
|
添加按钮,用于添加新的配置表项 |
Web页面上常用的操作包括保存当前配置、显示表项详情、重启设备等。
对设备执行配置操作后,建议及时保存当前配置,以免配置丢失。保存当前配置的方法有以下两种:
· 点击页面右上方标识和辅助区内的“admin”按钮,然后单击“保存”,保存配置。
· 单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“系统 > 管理”,然后单击页面上方的“配置文件”,再单击<保存当前配置>按钮来保存当前配置。
在表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示详情图标“
”。点击该图标进入详情页面后,可以显示表项的详细信息。
执行某些操作后,需要重启设备才能使配置生效。重启设备的方法为:单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“系统 > 管理”,然后单击页面上方的“重启”,再单击<重启设备>按钮。
在重启设备前,建议先保存当前配置,以免配置丢失。
用户登录Web后,能够看到的页面导航内容、能够执行的操作与该用户的用户角色有关。所有配置操作的缺省用户角色要求为network-admin。查看操作的缺省用户角色为所有角色。
用户角色为network-admin的用户登录后,Web页面导航栏分为系统和网络两部分。系统上的一级菜单包括概览、网络配置、网络安全、系统、工具;网络上的一级菜单包括概览、快速配置、监控、无线配置、网络安全、系统、工具、报告。点击一级菜单,会展开子菜单,子菜单由分类和特性名称组成。依次点击“一级菜单->特性名称”可以进入相应的Web页面对该特性进行配置。
系统主要是对设备的基本功能及有线网络的特性和功能进行查看和配置。
显示日志信息、信道利用率、系统利用率、无线服务、客户端等系统信息。
网络配置菜单包含的特性及其支持的功能如表3-1所示。
|
分类 |
特性名称 |
功能 |
|
接口 |
接口 |
· 查看设备支持的接口列表以及接口的主要属性(状态、IP地址、速率、双工模式、描述) · 删除逻辑接口、编辑接口等 |
|
VLAN |
VLAN |
· 基于端口划分VLAN · 创建VLAN接口 |
|
MAC |
· 创建和删除静态MAC地址表项、动态MAC地址表项和黑洞MAC地址表项 · 显示已有的MAC地址表项 |
|
|
路由 |
路由表 |
查看IPv4路由表项,包括路由表的概要信息和统计信息 |
|
静态路由 |
· 查看IPv4静态路由表项 · 创建、修改和删除IPv4静态路由表项 |
|
|
服务-IP服务 |
IP |
· 配置接口IP地址获取方式(DHCP或者手工配置) · 修改接口的IP地址和MTU值 · 创建LoopBack接口 |
|
服务-DHCP/DNS |
DHCP |
· DHCP服务器功能 ¡ 配置DHCP服务 ¡ 配置接口工作在DHCP服务器模式 ¡ 配置DHCP地址池 ¡ 配置IP地址冲突检测功能 · DHCP中继功能 ¡ 配置DHCP服务 ¡ 配置接口工作在DHCP中继模式,指定对应的DHCP服务器地址 · 配置是否记录DHCP中继表项,中继表项定时刷新功能和刷新时间间隔 |
|
IPv4 DNS |
· 配置静态、动态域名解析 · 配置DNS代理 · 配置域名后缀 |
|
|
服务-ARP |
ARP |
· 添加静态ARP表项 · 清除静态、动态ARP表项 · 配置ARP代理 · 配置免费ARP · 配置ARP攻击防御 |
|
服务-管理协议 |
HTTP/HTTPS |
· 启用/禁用设备HTTP/HTTPS登录功能 · 配置登录用户连接的超时时间 · 配置HTTP/HTTPS的服务端口号 · 使用ACL过滤登录用户 |
|
LLDP |
· 开启/关闭LLDP功能 · 开启/关闭CDP兼容模式 · 配置协议相关参数 · 查看、配置接口状态 · 查看LLDP邻居 · 配置LLDP发送的TLV类型 |
|
|
设置 |
· 开启或关闭日志输出到日志缓冲区的功能,并配置日志缓冲区可存储的信息条数 · 配置日志主机的地址及端口号 |
系统菜单包含的特性及其支持的功能如表3-2所示。
|
分类 |
特性名称 |
功能 |
|
事件日志 |
事件日志 |
查询、统计、删除日志信息 |
|
资源 |
IPv4 ACL |
· 创建基本或高级IPv4 ACL和二层ACL · 修改、删除在本页面和其他业务模块页面创建的ACL |
|
二层ACL |
||
|
时间段 |
创建、修改和删除时间段 |
|
|
管理 |
日期和时间 |
配置系统时间 |
|
配置文件 |
· 保存、导出当前配置 · 导入配置 · 查看当前配置 · 将设备恢复到出厂配置 |
|
|
软件更新 |
· 升级系统软件 · 查看系统软件列表,包括设备本次启动使用的软件列表、下次启动的主用软件列表 |
|
|
重启 |
重启设备 |
工具菜单包含的特性及其支持的功能如表3-3所示。
|
分类 |
特性名称 |
功能 |
|
调试 |
诊断 |
收集诊断信息,用于定位问题 |
网络主要是对无线网络的特性和功能进行查看和配置。
显示日志信息、信道利用率、系统利用率、无线服务、客户端、流量监控等系统信息。
快速配置菜单包含的特性及其支持的功能如表3-4所示。
|
分类 |
特性名称 |
功能 |
|
新增无线服务 |
新增无线服务 |
· 配置无线服务 · 配置链路层认证 · 配置密钥管理 · 绑定射频 |
监控菜单包含的特性及其支持的功能如表3-5所示。
|
分类 |
特性名称 |
功能 |
|
无线网络 |
无线服务 |
查看无线服务列表 |
|
客户端 |
客户端 |
查看客户端的统计信息 |
无线配置菜单包含的特性及其支持的功能如表3-6所示。
|
分类 |
特性名称 |
功能 |
|
无线网络 |
无线网络 |
· 查看、增加、删除、修改无线服务 · 配置链路层认证 · 配置密钥管理 · 绑定射频 |
|
AP管理 |
无线服务配置 |
绑定无线服务模板到不同射频 |
|
基础配置 |
· 配置AP区域码 · 开启/关闭区域码锁定 · 修改LED闪烁模式 |
|
|
无线安全 |
黑白名单 |
· 配置白名单 · 配置静态和动态黑名单 |
|
射频管理 |
射频配置 |
查看所有射频的详细信息 |
|
频谱导航 |
查看、修改全局配置 |
系统菜单包含的特性及其支持的功能如表3-7所示。
|
分类 |
特性名称 |
功能 |
|
资源 |
IPv4 ACL |
· 创建基本或高级IPv4 ACL和二层ACL · 修改、删除在本页面和其他业务模块页面创建的ACL |
|
二层ACL |
||
|
时间段 |
创建、修改和删除时间段 |
|
|
云平台 |
云平台 |
配置云平台服务器域名 |
|
设备解绑定 |
解除设备与云平台服务器的绑定 |
工具菜单包含的特性及其支持的功能如表3-8所示。
|
分类 |
特性名称 |
功能 |
|
调试 |
诊断 |
收集诊断信息,用于定位问题 |
报告菜单包含的特性及其支持的功能如表3-9所示。
|
分类 |
特性名称 |
功能 |
|
客户端统计 |
帧统计 |
按帧和字节数查看客户端报文统计信息 |
|
字节数统计 |
||
|
帧总计 |
||
|
字节总计 |
||
|
无线服务统计 |
无线服务统计 |
查看无线服务统计信息列表 |
VLAN(Virtual Local Area Network,虚拟局域网)技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通,而处于不同VLAN的主机不能够直接互通,从而增强了局域网的安全性。划分VLAN后,广播报文被限制在同一个VLAN内,即每个VLAN是一个广播域,有效地限制了广播域的范围。通过VLAN可以将不同的主机划分到不同的工作组,同一工作组的主机可以位于不同的物理位置,网络构建和维护更方便灵活。
VLAN可以基于端口进行划分。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发该VLAN的报文。
在某VLAN内,可根据需要配置端口加入Untagged端口列表或Tagged端口列表(即配置端口为Untagged端口或Tagged端口),从Untagged端口发出的该VLAN报文不带VLAN Tag,从Tagged端口发出的该VLAN报文带VLAN Tag。
端口的链路类型分为三种。在端口加入某VLAN时,对不同链路类型的端口加入的端口列表要求不同:
· Access:端口只能发送一个VLAN的报文,发出去的报文不带VLAN Tag。该端口只能加入一个VLAN的Untagged端口列表。
· Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLAN Tag,其他VLAN的报文都必须带VLAN Tag。在端口缺省VLAN中,该端口只能加入Untagged端口列表;在其他VLAN中,该端口只能加入Tagged端口列表。
· Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag,某些VLAN的报文不带VLAN Tag。在不同VLAN中,该端口可以根据需要加入Untagged端口列表或Tagged端口列表。
不同VLAN间的主机不能直接通信,通过设备上的VLAN接口,可以实现VLAN间的三层互通。VLAN接口是一种三层的虚拟接口,它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口,VLAN接口的IP地址可作为本VLAN内网络设备的网关地址,对需要跨网段的报文进行基于IP地址的三层转发。
MAC(Media Access Control,媒体访问控制)地址表记录了MAC地址与接口的对应关系,以及接口所属的VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播的方式通过对应VLAN内除接收接口外的所有接口转发该报文。
MAC地址表项分为以下几种:
· 动态MAC地址表项:可以由用户手工配置,也可以由设备通过源MAC地址学习自动生成,用于目的是某个MAC地址的报文从对应接口转发出去,表项有老化时间。手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项。
· 静态MAC地址表项:由用户手工配置,用于目的是某个MAC地址的报文从对应接口转发出去,表项不老化。静态MAC地址表项优先级高于自动生成的MAC地址表项。
· 黑洞MAC地址表项:由用户手工配置,用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。黑洞MAC地址表项优先级高于自动生成的MAC地址表项。
MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,这个生存周期被称作老化时间。配置动态MAC地址表项的老化时间后,超过老化时间的动态MAC地址表项会被自动删除,设备将重新进行MAC地址学习,构建新的动态MAC地址表项。如果在到达生存周期前某表项被刷新,则重新计算该表项的老化时间。
用户配置的老化时间过长或者过短,都可能影响设备的运行性能:
· 如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表。
· 如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,导致设备广播大量的数据报文,增加网络的负担。
用户需要根据实际情况,配置合适的老化时间。如果网络比较稳定,可以将老化时间配置得长一些或者配置为不老化;否则,可以将老化时间配置得短一些。比如在一个比较稳定的网络,如果长时间没有流量,动态MAC地址表项会被全部删除,可能导致设备突然广播大量的数据报文,造成安全隐患,此时可将动态MAC地址表项的老化时间设得长一些或不老化,以减少广播,增加网络稳定性和安全性。动态MAC地址表项的老化时间作用于全部接口上。
缺省情况下,MAC地址学习功能处于开启状态。有时为了保证设备的安全,需要关闭MAC地址学习功能。常见的危及设备安全的情况是:非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。在开启全局的MAC地址学习功能的前提下,用户可以关闭单个接口的MAC地址的学习功能。
如果MAC地址表过于庞大,可能导致设备的转发性能下降。通过配置接口的MAC地址数学习上限,用户可以控制设备维护的MAC地址表的表项数量。当接口学习到的MAC地址数达到上限时,该接口将不再对MAC地址进行学习,同时,用户还可以根据需要选择是否允许系统转发源MAC不在MAC地址表里的报文。
IP地址是每个连接到IPv4网络上的设备的唯一标识。IP地址长度为32比特,通常采用点分十进制方式表示,即每个IP地址被表示为以小数点隔开的4个十进制整数,每个整数对应一个字节,如10.1.1.1。
IP地址由两部分组成:
· 网络号码字段(Net-id):用于区分不同的网络。网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型。
· 主机号码字段(Host-id):用于区分一个网络内的不同主机。
IP地址分为5类,每一类地址范围如表4-1所示。目前大量使用的IP地址属于A、B、C三类。
表4-1 IP地址分类
|
地址类型 |
地址范围 |
说明 |
|
A |
0.0.0.0~127.255.255.255 |
IP地址0.0.0.0仅用于主机在系统启动时进行临时通信,并且永远不是有效目的地址 127.0.0.0网段的地址都保留作环回测试,发送到这个地址的分组不会输出到链路上,它们被当作输入分组在内部进行处理 |
|
B |
128.0.0.0~191.255.255.255 |
- |
|
C |
192.0.0.0~223.255.255.255 |
- |
|
D |
224.0.0.0~239.255.255.255 |
组播地址 |
|
E |
240.0.0.0~255.255.255.255 |
255.255.255.255用于广播地址,其它地址保留今后使用 |
随着Internet的快速发展,IP地址已近枯竭。为了充分利用已有的IP地址,可以使用子网掩码将网络划分为更小的部分(即子网)。通过从主机号码字段部分划出一些比特位作为子网号码字段,能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。
子网掩码是一个长度为32比特的数字,由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码字段和子网号码字段,而“0”对应于主机号码字段。
多划分出一个子网号码字段会浪费一些IP地址。例如,一个B类地址可以容纳65534(216-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。但划分出9比特长的子网字段后,最多可有512(29)个子网,每个子网有7比特的主机号码,即每个子网最多可有126(27-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。因此主机号码的总数是512*126=64512个,比不划分子网时要少1022个。
若不进行子网划分,则子网掩码为默认值,此时子网掩码中“1”的长度就是网络号码的长度,即A、B、C类IP地址对应的子网掩码默认值分别为255.0.0.0、255.255.0.0和255.255.255.0。
接口获取IP地址有以下几种方式:
· 通过手动指定IP地址
· 通过DHCP分配得到IP地址
当设备收到一个报文后,如果发现报文长度比转发接口的MTU值大,则进行下列处理:
· 如果报文不允许分片,则将报文丢弃;
· 如果报文允许分片,则将报文进行分片转发。
为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口MTU值,以减少分片的发生。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。
DHCP采用客户端/服务器通信模式,由客户端向服务器提出请求分配网络配置参数的申请,服务器返回为客户端分配的IP地址等配置信息,以实现IP地址等信息的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机)。如果DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。
在以下场合通常利用DHCP服务器来完成IP地址分配:
· 网络规模较大,手工配置需要很大的工作量,并难以对整个网络进行集中管理。
· 网络中主机数目大于该网络支持的IP地址数量,无法给每个主机分配一个固定的IP地址。例如,Internet接入服务提供商限制同时接入网络的用户数目,用户必须动态获得自己的IP地址。
· 网络中只有少数主机需要固定的IP地址,大多数主机没有固定的IP地址需求。
DHCP服务器通过地址池来保存为客户端分配的IP地址、租约时长、网关信息、域名后缀、DNS服务器地址、WINS服务器地址、NetBIOS节点类型和DHCP选项信息。服务器接收到客户端发送的请求后,选择合适的地址池,并将该地址池中的信息分配给客户端。
DHCP服务器在将IP地址分配给客户端之前,还需要进行IP地址冲突检测。
(1) DHCP地址池
地址池的地址管理方式有以下几种:
¡ 静态绑定IP地址,即通过将客户端的硬件地址或客户端ID与IP地址绑定的方式,实现为特定的客户端分配特定的IP地址。
¡ 动态选择IP地址,即在地址池中指定可供分配的IP地址范围,当收到客户端的IP地址申请时,从该地址范围中动态选择IP地址,分配给该客户端。
在DHCP地址池中还可以指定这两种类型地址的租约时长。
DHCP服务器为客户端分配IP地址时,地址池的选择原则如下:
a. 如果存在将客户端MAC地址或客户端ID与IP地址静态绑定的地址池,则选择该地址池,并将静态绑定的IP地址和其他网络参数分配给客户端。
b. 如果不存在静态绑定的地址池,则按照以下方法选择地址池:
¡ 如果客户端与服务器在同一网段,则将DHCP请求报文接收接口的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。
¡ 如果客户端与服务器不在同一网段,即客户端通过DHCP中继获取IP地址,则将DHCP请求报文中giaddr字段指定的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。
(2) DHCP服务器分配IP地址的次序
DHCP服务器为客户端分配IP地址的优先次序如下:
a. 与客户端MAC地址或客户端ID静态绑定的IP地址。
b. DHCP服务器记录的曾经分配给客户端的IP地址。
c. 客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。Option 50为客户端请求的IP地址选项(Requested IP Address),客户端通过在DHCP-DISCOVER报文中添加该选项来指明客户端希望获取的IP地址。该选项的内容由客户端决定。
d. 按照动态分配地址选择原则,顺序查找可供分配的IP地址,选择最先找到的IP地址。
e. 如果未找到可用的IP地址,则从当前匹配地址池中依次查询租约过期、曾经发生过冲突的IP地址,如果找到则进行分配,否则将不予处理。
(3) DHCP选项
DHCP利用选项字段传递控制信息和网络配置参数,实现地址动态分配的同时,为客户端提供更加丰富的网络配置信息。
Web页面为DHCP服务器提供了灵活的选项配置方式,在以下情况下,可以使用Web页面DHCP选项功能:
¡ 随着DHCP的不断发展,新的DHCP选项会陆续出现。通过该功能,可以方便地添加新的DHCP选项。
¡ 有些选项的内容,RFC中没有统一规定。厂商可以根据需要定义选项的内容,如Option 43。通过DHCP选项功能,可以为DHCP客户端提供厂商指定的信息。
¡ Web页面只提供了有限的配置功能,其他功能可以通过DHCP选项来配置。例如,可以通过Option 4,IP地址1.1.1.1来指定为DHCP客户端分配的时间服务器地址为1.1.1.1。
¡ 扩展已有的DHCP选项。当前已提供的方式无法满足用户需求时(比如通过Web页面最多只能配置8个DNS服务器地址,如果用户需要配置的DNS服务器地址数目大于8,则Web页面无法满足需求),可以通过DHCP选项功能进行扩展。
常用的DHCP选项配置如表4-2所示。
表4-2 常用DHCP选项配置
|
选项编号 |
选项名称 |
推荐的选项填充类型 |
|
3 |
Router Option |
IP地址 |
|
6 |
Domain Name Server Option |
IP地址 |
|
15 |
Domain Name |
ASCII字符串 |
|
44 |
NetBIOS over TCP/IP Name Server Option |
IP地址 |
|
46 |
NetBIOS over TCP/IP Node Type Option |
十六进制数串 |
|
66 |
TFTP server name |
ASCII字符串 |
|
67 |
Bootfile name |
ASCII字符串 |
|
43 |
Vendor Specific Information |
十六进制数串 |
(4) DHCP服务器的IP地址冲突检测功能
为防止IP地址重复分配导致地址冲突,DHCP服务器为客户端分配地址前,需要先对该地址进行探测。
DHCP服务器的地址探测是通过ping功能实现的,通过检测是否能在指定时间内得到ping响应来判断是否存在地址冲突。DHCP服务器发送目的地址为待分配地址的ICMP回显请求报文。如果在指定时间内收到回显响应报文,则认为存在地址冲突。DHCP服务器从地址池中选择新的IP地址,并重复上述操作。如果在指定时间内没有收到回显响应报文,则继续发送ICMP回显请求报文,直到发送的回显显示报文数目达到最大值。如果仍然没有收到回显响应报文,则将地址分配给客户端,从而确保客户端获得的IP地址唯一。
由于在IP地址动态获取过程中采用广播方式发送请求报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。
DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。
(1) DHCP中继用户地址表项记录功能
为了防止非法主机静态配置一个IP地址并访问外部网络,设备支持DHCP中继用户地址表项记录功能。
启用该功能后,当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与硬件地址的绑定关系,生成DHCP中继的用户地址表项。
本功能与其他IP地址安全功能(如ARP地址检查和授权ARP)配合,可以实现只允许匹配用户地址表项中绑定关系的报文通过DHCP中继。从而,保证非法主机不能通过DHCP中继与外部网络通信。
(2) DHCP中继动态用户地址表项定时刷新功能
DHCP客户端释放动态获取的IP地址时,会向DHCP服务器单播发送DHCP-RELEASE报文,DHCP中继不会处理该报文的内容。如果此时DHCP中继上记录了该IP地址与MAC地址的绑定关系,则会造成DHCP中继的用户地址表项无法实时刷新。为了解决这个问题,DHCP中继支持动态用户地址表项的定时刷新功能。
DHCP中继动态用户地址表项定时刷新功能开启时,DHCP中继每隔指定时间采用客户端获取到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文:
¡ 如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会删除动态用户地址表中对应的表项。为了避免地址浪费,DHCP中继收到DHCP-ACK报文后,会发送DHCP-RELEASE报文释放申请到的IP地址。
¡ 如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会删除该IP地址对应的表项。
DNS(Domain Name System,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与地址之间的转换。IPv4 DNS提供域名和IPv4地址之间的转换。
设备作为DNS客户端,当用户在设备上进行某些应用时,可以直接使用便于记忆的、有意义的域名,通过域名系统将域名解析为正确的地址。
域名解析分为动态域名解析和静态域名解析两种。动态域名解析和静态域名解析可以配合使用。在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析。由于动态域名解析需要域名服务器的配合,会花费一定的时间,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。
使用动态域名解析时,需要手工指定域名服务器的地址。
动态域名解析通过向域名服务器查询域名和地址之间的对应关系来实现将域名解析为地址。
动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。例如,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。
使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:
· 如果用户输入的域名中没有“.”,比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询。
· 如果用户输入的域名中间有“.”,比如www.aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。
· 如果用户输入的域名最后有“.”,比如aabbcc.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查找终止符。带有查询终止符的域名,称为FQDN(Fully Qualified Domain Name,完全合格域名)。
手工建立域名和地址之间的对应关系。当用户使用域名进行某些应用时,系统查找静态域名解析表,从中获取指定域名对应的地址。
DNS代理(DNS proxy)用来在DNS client和DNS server之间转发DNS请求和应答报文。局域网内的DNS client把DNS proxy当作DNS server,将DNS请求报文发送给DNS proxy。DNS proxy将该请求报文转发到真正的DNS server,并将DNS server的应答报文返回给DNS client,从而实现域名解析。
使用DNS proxy功能后,当DNS server的地址发生变化时,只需改变DNS proxy上的配置,无需改变局域网内每个DNS client的配置,从而简化了网络管理。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
设备通过ARP协议解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发。
ARP表项分为两种:动态ARP表项、静态ARP表项。
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项。
动态ARP表项可以固化为静态ARP表项,但被固化后无法再恢复为动态ARP表项。
为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大个数来进行限制。
静态ARP表项通过手工创建或由动态ARP表项固化而来,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
在配置静态ARP表项时,如果管理员希望用户使用某个固定的IP地址和MAC地址通信,可以将该IP地址与MAC地址绑定;如果进一步希望限定用户只在指定VLAN的特定接口上连接,则需要进一步指定报文转发的VLAN和出接口。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
当静态ARP表项中的IP地址与VLAN虚接口的IP地址属于同一网段时,该静态ARP表项才能正常指导转发。
如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP。
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:
· 普通代理ARP:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。
· 本地代理ARP:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。
在配置本地代理ARP时,用户也可以指定进行ARP代理的IP地址范围。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。
(1) IP地址冲突检测
设备接口获取到IP地址时可以在接口所在局域网内广播发送免费ARP报文。如果设备收到ARP应答报文,表示局域网中存在与该设备IP地址相同的设备,则设备不会使用此IP地址,并打印日志提示管理员修改该IP地址。如果设备未收到ARP应答报文,表示局域网中不存在与该设备IP地址相同的设备,则设备可以正常使用IP地址。
(2) 学习免费ARP报文功能
启用了学习免费ARP报文功能后,设备会根据收到的免费ARP报文中携带的信息(发送端IP地址、发送端MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文中的发送端IP地址对应的ARP表项:
¡ 如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项。
¡ 如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭学习免费ARP报文功能,以节省ARP表项资源。
(3) 接口定时发送免费ARP报文功能
用户可以配置某些接口定时发送免费ARP报文,以便及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:
¡ 防止仿冒网关的ARP攻击
如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。
为了降低这种仿冒网关的ARP攻击所带来的影响,可以在网关的接口上启用定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
¡ 防止主机ARP表项老化
在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。
为了解决上述问题,可以在网关的接口上启用定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。
目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决。
根据实际功能需求,配置的ARP攻击防御功能如下:
· 防止泛洪攻击
· 防止仿冒用户、仿冒网关攻击
¡ 授权ARP功能
(1) ARP防止IP报文攻击功能
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
¡ 设备向目的网段发送大量ARP请求报文,加重目的网段的负载。
¡ 设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。
为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:
¡ ARP黑洞路由功能:开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。
¡ ARP源抑制功能:如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
(2) ARP报文源MAC地址一致性检查功能
ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
(3) ARP主动确认功能
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。
配置ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。
配置严格模式后,新建ARP表项前,ARP主动确认功能会执行更严格的检查:
¡ 收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但不建立ARP表项;
¡ 收到ARP应答报文时,需要确认本设备是否对该报文中的源IP地址发起过ARP解析:若发起过解析,解析成功后则设备启动主动确认功能,主动确认流程成功完成后,设备可以建立该表项;若未发起过解析,则设备丢弃该报文。
(4) 源MAC地址固定的ARP攻击检测功能
本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。
对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测、过滤。
所谓授权ARP,就是动态学习ARP的过程中,只有和DHCP服务器生成的租约或DHCP中继生成的安全表项一致的ARP报文才能够被学习。
配置接口的授权ARP功能后,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。
(6) ARP扫描功能、固化功能
建议在网吧这种环境稳定的小型网络中使用ARP自动扫描、固化功能。ARP自动扫描功能一般与ARP固化功能配合使用:
¡ 配置ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。
¡ ARP固化用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效防止攻击者修改ARP表项。
固化后的静态ARP表项与配置产生的静态ARP表项相同。
(7) ARP报文限速功能
ARP报文限速功能是指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。例如,在配置了ARP Detection功能后,设备会将收到的ARP报文重定向到CPU进行检查,这样引入了新的问题:如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。
建议用户在配置了ARP Detection或者发现有ARP泛洪攻击的情况下,使用ARP报文限速功能。
配置ARP报文限速功能后,如果用户开启了ARP限速日志功能,则当接口上单位时间收到的ARP报文数量超过用户设定的限速值,设备将这个时间间隔内的超速峰值作为日志的速率值发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)。为防止过多的日志信息干扰用户工作,用户可以设定日志信息的发送时间间隔。当用户设定的时间间隔超时时,设备执行发送日志的操作。
(8) ARP网关保护功能
在设备上不与网关相连的接口上配置此功能,可以防止伪造网关攻击。
在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。
(9) ARP过滤保护功能
ARP过滤保护功能用来限制接口下允许通过的ARP报文,可以防止仿冒网关和仿冒用户的攻击。
在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址和源MAC地址是否和允许通过的IP地址和MAC地址相同:
¡ 如果相同,则认为此报文合法,继续进行后续处理;
¡ 如果不相同,则认为此报文非法,将其丢弃。
ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
ARP Detection包含三个功能:用户合法性检查、ARP报文有效性检查、ARP报文强制转发。
¡ 用户合法性检查
如果仅在VLAN上开启ARP Detection功能,则仅进行用户合法性检查。
对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于IP Source Guard静态绑定表项的检查。只要符合合法性检查就认为该ARP报文合法,进行转发。如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
¡ ARP报文有效性检查
对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
- 源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文。
- 目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,需要被丢弃。
- IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全1、或者组播IP地址都是不合法的,需要被丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
¡ ARP报文强制转发
对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:
- 对于ARP请求报文,通过信任接口进行转发。
- 对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发。
为了方便用户对网络设备进行配置和维护,设备提供了Web登录功能。用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。
设备支持的Web登录方式有以下两种:
· HTTP登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。目前,设备支持的HTTP协议版本为HTTP/1.0。
· HTTPS登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法客户端访问设备,从而实现了对设备的安全管理。
采用HTTPS登录时,设备上只需使能HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。(自签名证书指的是服务器自己生成的证书,无需从CA获取)
通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户使用Web页面登录设备。
LLDP(Link Layer Discovery Protocol,链路层发现协议)提供了一种标准的链路层发现方式,可以将本端设备的信息(包括主要能力、管理地址、设备标识、接口标识等)组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(Link Layer Discovery Protocol Data Unit,链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB(Management Information Base,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
LLDP代理是LLDP协议运行实体的一个抽象映射。一个接口下,可以运行多个LLDP代理。目前LLDP定义的代理类型包括:最近桥代理、最近非TPMR桥代理和最近客户桥代理。LLDP在相邻的代理之间进行协议报文交互,并基于代理创建及维护邻居信息。
在指定类型LLDP代理下,当端口工作在TxRx或Tx模式时,设备会以报文发送时间间隔为周期,向邻居设备发送LLDP报文。如果设备的本地配置发生变化则立即发送LLDP报文,以将本地信息的变化情况尽快通知给邻居设备。但为了防止本地信息的频繁变化而引起LLDP报文的大量发送,可以配置限制发送报文速率的令牌桶大小来作限速处理。
当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期设置为快速发送周期,并连续发送指定数量(快速发送LLDP报文的个数)的LLDP报文后再恢复为正常的发送周期。
当端口工作在TxRx或Rx模式时,设备会对收到的LLDP报文及其携带的TLV进行有效性检查,通过检查后再将邻居信息保存到本地,并根据Time To Live TLV中TTL(Time To Live,生存时间)的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息。
由于TTL=Min(65535,(TTL乘数×LLDP报文的发送间隔+1)),即取65535与(TTL乘数×LLDP报文的发送间隔+1)中的最小值,因此通过调整TTL乘数可以控制本设备信息在邻居设备上的老化时间。
当端口的LLDP工作模式发生变化时,端口将对协议状态机进行初始化操作。为了避免端口工作模式频繁改变而导致端口不断执行初始化操作,可配置端口初始化延迟时间,当端口工作模式改变时延迟一段时间再执行初始化操作。
如果开启了发送LLDP Trap功能,设备可以通过向网管系统发送Trap信息以通告如发现新的LLDP邻居、与原来邻居的通信链路发生故障等重要事件。
TLV是组成LLDP报文的单元,每个TLV都代表一个信息。LLDP可以封装的TLV包括基本TLV、802.1 TLV、802.3 TLV和LLDP-MED(Link Layer Discovery Protocol Media Endpoint Discovery,链路层发现协议媒体终端发现)TLV。
基本TLV是网络设备管理基础的一组TLV,802.1 TLV、802.3 TLV和LLDP-MED TLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送。
设备产生的日志信息按严重性可划分为如表4-3所示的八个等级,各等级的严重性依照数值从0~7依次降低。
|
数值 |
信息等级 |
描述 |
|
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
|
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
|
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
|
3 |
error |
表示错误信息,如接口链路状态变化等 |
|
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
|
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
|
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等 |
|
7 |
debugging |
表示调试过程产生的信息 |
系统可以向日志缓冲区(logbuffer)、日志主机(loghost)方向发送日志信息。日志信息的各个输出方向相互独立,可在页面中分别设置。
系统产生的日志信息共分为:
· 普通日志:用于记录日常信息。除特殊说明外,下文中的日志均指普通日志。
· 诊断日志:用于记录调试信息。
· 安全日志:用于记录与认证、授权等安全相关的信息。
· 隐藏日志:用于记录需要以日志的方式记录下来但不需要在终端上显示的信息(如用户通过命令行输入命令的记录信息等)。
· 调试跟踪日志:用于记录系统跟踪调试信息,调试跟踪日志信息,必须加载devkit包后才可以查看,普通用户无需关注,主要提供给服务工程师定位问题。
日志信息按严重性可划分为如表4-3所示的八个等级,各等级的严重性依照数值从0~7依次降低。在系统输出信息时,所有信息等级高于或等于配置等级的信息都会被输出。例如,输出规则中指定允许等级为6(informational)的信息输出,则等级0~6的信息均会被输出。
ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依照这些ACL规则识别出特定的报文,并根据预先设定的策略对其进行处理。
ACL包括表4-4所列的几种类型,它们的主要区别在于规则制订依据不同:
表4-4 ACL分类
|
ACL分类 |
规则制定依据 |
|
|
IPv4 ACL |
基本ACL |
依据报文的源IPv4地址制订规则 |
|
高级ACL |
依据报文的源/目的IPv4地址、源/目的端口号、优先级、承载的IPv4协议类型等三、四层信息制订规则 |
|
|
二层ACL |
依据报文的源/目的MAC地址、802.1p优先级、链路层协议类型等二层信息 |
|
一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:
· 配置顺序:按照规则编号由小到大进行匹配。
· 自动排序:按照“深度优先”原则由深到浅进行匹配,见表4-5:
表4-5 各类型ACL的“深度优先”排序法则
|
ACL分类 |
规则制定依据 |
|
|
IPv4 ACL |
基本ACL |
1. 先比较源IPv4地址的范围,较小者(即通配符掩码中“0”位较多者)优先 2. 如果源IPv4地址范围相同,再比较配置的先后次序,先配置者优先 |
|
高级ACL |
3. 先比较协议范围,指定有IPv4承载的协议类型者优先 4. 如果协议范围相同,再比较源IPv4地址范围,较小者优先 5. 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先 6. 如果目的IPv4地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先 7. 如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先 |
|
|
二层ACL |
8. 先比较源MAC地址范围,较小者(即掩码中“1”位较多者)优先 9. 如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先 10. 如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先 |
|
· 比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。通配符掩码(又称反向掩码)以点分十进制表示,并以二进制的“0”表示“匹配”,“1”表示“不关心”,这与子网掩码恰好相反,譬如子网掩码255.255.255.0对应的通配符掩码就是0.0.0.255。此外,通配符掩码中的“0”或“1”可以是不连续的,这样可以更加灵活地进行匹配,譬如0.255.0.255就是一个合法的通配符掩码。
· 比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
ACL中的每条规则都有自己的编号,这个编号在该ACL中是唯一的。在创建规则时,可以手工为其指定一个编号,如未手工指定编号,则由系统为其自动分配一个编号。由于规则的编号可能影响规则匹配的顺序,因此当由系统自动分配编号时,为了方便后续在已有规则之前插入新的规则,系统通常会在相邻编号之间留下一定的空间,这个空间的大小(即相邻编号之间的差值)就称为ACL的步长。譬如,当步长为5时,系统会将编号0、5、10、15……依次分配给新创建的规则。
系统为规则自动分配编号的方式如下:系统从规则编号的起始值开始,自动分配一个大于现有最大编号的步长最小倍数。譬如原有编号为0、5、9、10和12的五条规则,步长为5,此时如果创建一条规则且不指定编号,那么系统将自动为其分配编号15。
如果步长或规则编号的起始值发生了改变,ACL内原有全部规则的编号都将自动从规则编号的起始值开始按步长重新排列。譬如,某ACL内原有编号为0、5、9、10和15的五条规则,当修改步长为2之后,这些规则的编号将依次变为0、2、4、6和8。
时间段(Time Range)定义了一个时间范围。用户通过创建一个时间段并在某业务中将其引用,就可使该业务在此时间段定义的时间范围内生效。但如果一个业务所引用的时间段尚未配置或已被删除,该业务将不会生效。
譬如,当一个ACL规则只需在某个特定时间范围内生效时,就可以先配置好这个时间段,然后在配置该ACL规则时引用此时间段,这样该ACL规则就只能在该时间段定义的时间范围内生效。
时间段可分为以下两种类型:
· 周期时间段:表示以一周为周期(如每周一的8至12点)循环生效的时间段。
· 绝对时间段:表示在指定时间范围内(如2011年1月1日8点至2011年1月3日18点)生效时间段。
每个时间段都以一个名称来标识,一个时间段内可包含一或多个周期时间段和绝对时间段。当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。
为了便于管理,并保证与其它设备协调工作,设备需要准确的系统时间。系统时间由GMT时间、本地时区和夏令时运算之后联合决定。
配置文件是用来保存配置的文件。设备重启后,这些配置继续生效。当网络中多台设备需要批量配置时,可以将相同的配置保存到配置文件,再上传/下载到所有设备,在所有设备上执行该配置文件来实现设备的批量配置。
(1) 空配置
软件版本中所有的软件功能都被赋予一个缺省值,这些缺省值的集合被称为“空配置”。
(2) 出厂配置
设备在出厂时,通常会带有一些基本的配置,称为出厂配置。它用来保证设备在没有配置文件或者配置文件损坏的情况下,能够正常启动、运行。
(3) 启动配置
设备启动时运行的配置即为启动配置。如果没有指定启动配置文件或者启动配置文件损坏,则系统会使用出厂配置作为启动配置。
(4) 当前配置
系统当前正在运行的配置称为当前配置。它包括启动配置和设备运行过程中用户进行的配置。当前配置存放在设备的临时缓存中,如果不保存,设备运行过程中用户进行的配置在设备重启后会丢失。
设备上可以同时存在多个配置文件。设备本次启动使用的配置文件称为当前启动配置文件;设备下次启动使用的配置文件称为下次启动配置文件。
设备支持配置两个下次启动配置文件,一个为主用配置文件,一个为备用配置文件。
设备启动时,配置文件的选择规则如下:
(2) 如果主用下次启动配置文件不存在或损坏,使用备用下次启动配置文件。
(3) 如果主用和备用下次启动配置文件都不存在或损坏,则使用出厂配置启动。
软件升级用于对软件包进行版本升级、增加特定软件特性或是对软件缺陷进行修复。本章简要介绍了软件升级涉及的主要软件包类型、软件升级方式。
软件升级涉及的软件包有:BootWare程序和Comware软件包。
(1) BootWare程序
也称为Boot ROM程序,包括基本段和扩展段。基本段用于引导系统启动。扩展段用于硬件初始化并提供系统管理菜单。在设备无法正常启动时,用户可通过这些菜单加载软件和下次启动配置文件,并管理文件。为避免软件适配错误,BootWare程序通常集成到Comware软件的Boot包中。
(2) Comware软件包
¡ Boot包:包含Linux内核程序,提供进程管理、内存管理、文件系统管理、应急Shell等功能的.bin文件。
¡ System包:包含Comware内核和基本功能模块的.bin文件,比如设备管理、接口管理、配置管理和路由模块等。
¡ Feature包:包含高级或定制业务的.bin文件。用户可根据需要购买Feature包。
¡ 补丁(Patch)包:用来修复设备软件缺陷的.bin程序文件。补丁包只能修复启动软件包的缺陷,不涉及功能的添加和删除。补丁包分为叠加补丁包和非叠加补丁包,具体定义如下:
- 叠加补丁包:不同版本的叠加补丁包能够同时安装多个,并且最新版本的补丁包可以包含、不包含或不完全包含旧版本的补丁包所解决的问题。
- 非叠加补丁包:设备只能安装一个非叠加补丁包,安装新版本补丁包的同时,设备会卸载旧版本的补丁包,新版本的补丁包包含旧版本的补丁包所解决的所有问题。
叠加补丁包和非叠加补丁包可以同时安装到设备上。
设备必须具有Boot包和System包才能正常运行。
软件包有如下两种发布形式:
· 以.bin文件的形式独立发布。这种发布形式需要用户关注软件包之间的适配关系。
· 打包为.ipe的IPE(Image Package Envelope,复合软件包套件)文件发布,减少软件包之间的版本适配错误。设备在加载IPE文件时,会自动将它解压缩成多个.bin文件,并使用这些.bin文件来升级设备。
系统提供了诊断信息收集功能,便于用户对错误进行诊断和定位。.
无线网络为用户提供WLAN接入服务。无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络,接入点设备安置在需要覆盖无线网络的区域,用户在该区域内就可以通过无线接入的方式接入无线网络。
(1) 无线服务
无线服务即一类无线服务属性的集合,如无线网络的SSID、认证方式(开放系统认证或者共享密钥认证)等。
(2) SSID
SSID(Service Set Identifier,服务集标识符),就是无线网络的名称。
(3) 隐藏SSID
AP将SSID置于Beacon帧中向外广播发送。若BSS(Basic Service Set,基本服务集)的客户端数量已达到上限或BSS一段时间内不可用即客户端不能上线,不希望其它客户端上线,则可以配置隐藏SSID。若配置了隐藏SSID,AP不将SSID置于Beacon帧中,还可以借此保护网络免遭攻击。为了进一步保护无线网络,AP对于广播Probe Request帧也不会回复。此时客户端若想连接此BSS,则需要手工指定该SSID,这时客户端会直接向该AP发送认证及关联报文连接该BSS。
(4) 绑定无线服务
无线服务跟AP的Radio存在多对多的映射关系,将无线服务绑定在AP的射频上,AP会根据射频上绑定的无线服务的属性创建BSS。BSS是无线服务提供服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端可以通过相同的SSID访问网络。
最初802.11的安全机制被称为Pre-RSNA安全机制,它的认证机制不完善,容易被攻破,存在安全隐患,且在WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,所以IEEE制订了802.11i协议来加强无线网络的安全性。
但802.11i仅对无线网络的数据报文进行加密保护,而不对管理帧进行保护,所以管理帧的机密性、真实性、完整性无法保证,容易受到仿冒或监听,例如:恶意攻击者通过获取设备的MAC地址并仿冒设备恶意拒绝客户端认证或恶意结束设备与客户端的关联。802.11w无线加密标准建立在802.11i框架上,通过保护无线网络的管理帧来解决上述问题,进一步增强无线网络的安全性。
(1) Pre-RSNA安全机制
Pre-RSNA安全机制采用开放式系统认证(Open system authentication)和共享密钥认证(Shared key authentication)两种认证方式来进行客户端认证,并且采用WEP加密方式对数据进行加密来保护数据机密性,以对抗窃听。WEP加密使用RC4加密算法(一种流加密算法)实现数据报文的加密,WEP加密支持WEP40、WEP104和WEP128三种密钥长度。
(2) RSNA安全机制
802.11i安全机制又被称为RSNA(Robust Security Network Association,健壮安全网络连接)安全机制,包括WPA(Wi-Fi Protected Access,Wi-Fi保护访问)和RSN(Robust Security Network,健壮安全网络)两种安全模式,采用AKM(Authentication and Key Management,身份认证与密钥管理)对用户身份的合法性进行认证,对密钥的生成、更新进行动态管理,并且采用TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)和CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制对报文进行加密。
AKM分为Private-PSK和PSK两种模式:
¡ Private-PSK:采用PSK(Pre-Shared Key,预共享密钥)认证进行身份认证,使用客户端的MAC地址作为PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。
¡ PSK:采用PSK认证进行身份认证,并通过PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。
802.11i协议中密钥主要包括PTK和GTK(Group Temporal Key,群组临时密钥)两种:
¡ PTK用于保护单播数据。
¡ GTK用于保护组播和广播数据。
(4) WPA安全模式密钥协商
WPA是一种比WEP加密性能更强的安全机制。在802.11i协议完善前,采用WPA为用户提供一个临时性的WLAN安全增强解决方案。在WPA安全网络中,客户端和AP通过使用EAPOL-Key报文进行四次握手协商出PTK,通过使用EAPOL-Key报文进行二次组播握手协商出GTK。
(5) RSN安全模式密钥协商
RSN是按照802.11i协议为用户提供的一种WLAN安全解决方案。在RSN网络中,客户端和AP通过使用EAPOL-Key类型报文进行四次握手协商出PTK和GTK。
如果客户端长时间使用一个密钥,或携带当前网络正在使用的组播密钥离线,此时网络被破坏的可能性很大,安全性就会大大降低。WLAN网络通过身份认证与密钥管理中的密钥更新机制来提高WLAN网络安全性。密钥更新包括PTK更新和GTK更新。
¡ PTK更新:PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制,来提高安全性。
¡ GTK更新:GTK更新是对组播数据报文的加密密钥进行更新的一种安全手段,采用重新进行两次组播握手协商出新的GTK密钥的更新机制,来提高安全性。
(7) 忽略授权信息
授权信息包括VLAN、ACL和User Profile,分为RADIUS服务器下发的授权信息和设备本地下发的授权信息。若用户不想使用授权信息,则可以配置忽略授权信息。
(8) 入侵检测
当设备检测到一个未通过认证的用户试图访问网络时,如果开启入侵检测功能,设备将对其所在的BSS采取相应的安全策略。
¡ 将用户MAC地址加入到阻止MAC地址列表:缺省模式。如果设备检测到未通过认证用户的关联请求报文,临时将该报文的源MAC地址加入阻塞MAC地址列表中,在一段时间内,源MAC地址为此非法MAC地址的无线客户端将不能和AP建立连接,在这段时间过后恢复正常。该MAC地址的阻塞时间由阻塞非法入侵用户时长决定。
¡ 暂时关闭收到非法报文的无线服务:关闭收到未通过认证用户的关联请求报文的BSS一段时间,该时间由临时关闭服务时长决定。
¡ 永久关闭收到非法报文的无线服务:直接关闭收到未通过认证用户的关联请求报文的BSS所提供的服务,直到用户在Radio口上重新生成该BSS。
(9) 加密套件
由于WEP加密易破解,一旦攻击者收集到足够多的有效数据帧进行统计分析,那么将会造成数据泄露,无线网络将不再安全。802.11i增加了TKIP和CCMP两种加密套件来保护用户数据安全,以下分别介绍。
TKIP加密机制依然使用RC4算法,所以不需要升级原来无线设备的硬件,只需通过软件升级的方式就可以提高无线网络的安全性。相比WEP加密机制,TKIP有如下改进:
- 通过增长了算法的IV(Initialization Vector,初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;
- 采用和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;
- 支持TKIP反制功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个MIC错误的报文,AP将会启动TKIP反制功能,此时,AP将通过关闭一段时间无线服务的方式,实现对无线网络攻击的防御。
CCMP加密机制使用AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,CCMP使得无线网络安全有了极大的提高。CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会使用不同的PN,在一定程度上提高安全性。
(1) 静态PSK密钥
PSK认证方式需要在AP侧预先输入预共享密钥,在客户端关联过程中,手动输入该密钥,AP和客户端通过四次握手密钥协商来验证客户端的预共享密钥的合法性,若PTK协商成功,则证明该用户合法,以此来达到认证的目的。
(2) 静态WEP密钥
在Pre-RSNA安全机制的WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改。
无线服务跟AP的Radio存在多对多的映射关系,将无线服务绑定在AP的射频上,AP会根据射频上绑定的无线服务的属性创建BSS。BSS是无线服务提供服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端可以通过相同的SSID访问网络。
区域码决定了射频可以使用的工作频段、信道、发射功率级别等。在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定。为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能。
(1) 白名单
白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入。白名单表项只能手工添加和删除。
(2) 黑名单
黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入。黑名单分为静态黑名单和动态黑名单,以下分别介绍。
¡ 静态黑名单
用户手工添加、删除的黑名单称为静态黑名单,当无线网络明确拒绝某些客户端接入时,可以将这些客户端加入静态黑名单。
¡ 动态黑名单
设备通过检测而自动生成和删除的黑名单称为动态黑名单,当AP检测到来自某一客户端的攻击报文时,会将该客户端的MAC地址动态加入到动态黑名单中,在动态黑名单表项老化时间内拒绝该客户端接入无线网络。
当收到客户端关联请求报文时,AP将使用白名单和黑名单对客户端的MAC地址进行过滤。具体的过滤机制如下:
· 当存在白名单时,将判断客户端的MAC地址是否在白名单中,如果在白名单中,则允许客户端接入无线网络,否则将拒绝该客户端接入。
· 当不存在白名单时,则首先判断客户端的MAC地址是否在静态黑名单中,如果客户端在静态黑名单中,则拒绝该客户端接入无线网络。如果该客户端不在静态黑名单中,则继续判断其是否在动态黑名单中。如果在动态黑名单中,则不允许该客户端接入无线网络;如果不在动态黑名单中,则允许客户端接入。
射频是一种高频交流变化电磁波,表示具有远距离传输能力、可以辐射到空间的电磁频率。WLAN是利用射频作为传输媒介,进行数据传输无线通信技术之一。
射频的频率介于300KHz和约300GHz之间,WLAN使用的射频频率范围为2.4GHz频段(2.4GHz~2.4835GHz)和5GHz频段(5.150GHz~5.350GHz和5.725GHz~5.850GHz)。
按IEEE定义的802.11无线网络通信标准划分,射频模式主要有802.11a、802.11b、802.11g、802.11n和802.11ac:
· 802.11a:工作频率为5GHz,由于选择了OFDM(Orthogonal Frequency Division Multiplexing,正交频分复用)技术,能有效降低多路径衰减的影响和提高频谱的利用率,使802.11a的物理层速率可达54Mbps。但是在传输距离上存在劣势。
· 802.11b:工作频率为2.4GHz,相比5GHz能够提供更大的传输距离,数据传输速率最高达11Mbps。由于早期的无线通信更加追求传输距离,所以802.11b比802.11a更早被投入使用。
· 802.11g:工作频率为2.4GHz,可以兼容802.11b。802.11g借用了802.11a的成果,在2.4GHz频段采用了OFDM技术,最高速率可以达到54Mbps。
· 802.11n:工作于双频模式(2.4GHz和5GHz两个工作频段),能够与802.11a/g标准兼容。802.11n的数据传输速率达100Mbps以上,理论最高可达600Mbps,使无线局域网平滑地和有线网络结合,全面提升了网络吞吐量。
· 802.11ac:是802.11n的继承者,理论最高速率可达6900Mbps,全面提升了网络吞吐量。
· 802.11gac:是H3C支持将802.11ac应用到2.4GHz频段,理论最高速率可达1600Mbps。
如无特意区分,本文中的802.11ac包括802.11gac。
表5-1 WLAN的几种主要射频模式比较
|
协议 |
频段 |
最高速率 |
|
802.11a |
5GHz |
54Mbps |
|
802.11b |
2.4GHz |
11Mbps |
|
802.11g |
2.4GHz |
54Mbps |
|
802.11n |
2.4GHz/5GHz |
600Mbps |
|
802.11ac |
5GHz |
6900Mbps |
|
802.11gac |
2.4GHz |
1600Mbps |
不同的射频模式所支持的信道、功率有所不同,所以射频模式修改时,如果新的射频模式不支持原来配置的的信道、功率,则AP会根据新射频模式自动调整这些参数。
修改射频模式时,会导致当前在线客户端下线。
在指定了射频模式以后,可以进行射频功能配置,具体情况如下:
· 如果指定的射频模式为802.11a、802.11b或802.11g,则可以配置射频基础功能,有关射频基础功能配置的详细介绍,请参见“射频基础功能”
· 如果指定的射频模式为802.11n,则可以配置射频基础功能和802.11n功能,有关802.11n功能配置的详细介绍,请参见“802.11n功能”。
· 如果指定的射频模式为802.11ac,则可以配置射频基础功能、802.11n功能和802.11ac功能,有关802.11ac功能配置的详细介绍,请参见“802.11ac功能”。
信道是具有一定频宽的射频。在WLAN标准协议里,2.4GHz频段被划分为13个相互交叠的信道,每个信道的频宽是20MHz,信道间隔为5MHz。这13个信道里有3个独立信道,即没有相互交叠的信道,目前普遍使用的三个互不交叠的独立信道号为1、6、11。
5GHz频段拥有更高的频率和频宽,可以提供更高的速率和更小的信道干扰。WLAN标准协议将5GHz频段分为24个频宽为20MHz的信道,且每个信道都为独立信道。各个国家开放的信道不一样,目前中国5GHz频段开放使用的信道号是36、40、44、48、52、56、60、64、149、153、157、161和165。
射频功率是指天线在无线介质中所辐射的功率,反映的是WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。
射频速率是客户端与WLAN设备之间的数据传输速度。不同的射频模式,根据所使用扩频、编码和调制技术,对应不同的传输速率。802.11a、802.11b、802.11g、802.11n和802.11ac的速率支持情况如下:
· 802.11a:6Mbps、9Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。
· 802.11b:1Mbps、2Mbps、5.5Mbps、11Mbps。
· 802.11g:1Mbps、2Mbps、5.5Mbps、6Mbps、9Mbps、11Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。
· 802.11n:根据不同信道带宽可支持不同的速率组合,具体请参见“MCS”
· 802.11ac:根据不同信道带宽和空间流数量可支持不同的速率组合,具体请参见“VHT-MCS”。
IEEE 802.11n除了向前兼容IEEE 802.11a/b/g的速率外,还定义了新的速率调制与编码策略,即MCS(Modulation and Coding Scheme,调制与编码策略)。
无线数据传输的物理速率受到编码方式、调制方式、载波比特率、空间流数量、数据子信道数等多种因素的影响,不同的因素组合将产生不同的物理速率。MCS使用索引的方式将每种组合以及由该组合产生的物理速率进行排列,形成索引值与速率的对应表,称为MCS表。802.11n的MCS表共有两个子表,分别用于保存信道带宽为20MHz和40MHz时的物理速率。索引值的取值范围为0~76,能够描述77种物理速率,两个MCS子表中的索引值相互独立。
802.11n规定,当带宽为20MHz时,MCS0~15为AP必须支持的MCS索引,MCS0~7是客户端必须支持的MCS索引,其余MCS索引均为可选速率。表5-2和表5-3分别列举了带宽为20MHz和带宽为40MHz的MCS速率表。
· 完整的MCS对应速率表可参见IEEE 802.11n-2009标准协议。
· 不同型号的AP对MCS索引所表示速率的支持情况不同,请以设备的实际情况为准。
表5-2 MCS对应速率表(20MHz)
|
MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
6.5 |
7.2 |
|
1 |
1 |
QPSK |
13.0 |
14.4 |
|
2 |
1 |
QPSK |
19.5 |
21.7 |
|
3 |
1 |
16-QAM |
26.0 |
28.9 |
|
4 |
1 |
16-QAM |
39.0 |
43.3 |
|
5 |
1 |
64-QAM |
52.0 |
57.8 |
|
6 |
1 |
64-QAM |
58.5 |
65.0 |
|
7 |
1 |
64-QAM |
65.0 |
72.2 |
|
8 |
2 |
BPSK |
13.0 |
14.4 |
|
9 |
2 |
QPSK |
26.0 |
28.9 |
|
10 |
2 |
QPSK |
39.0 |
43.3 |
|
11 |
2 |
16-QAM |
52.0 |
57.8 |
|
12 |
2 |
16-QAM |
78.0 |
86.7 |
|
13 |
2 |
64-QAM |
104.0 |
115.6 |
|
14 |
2 |
64-QAM |
117.0 |
130.0 |
|
15 |
2 |
64-QAM |
130.0 |
144.4 |
|
16 |
3 |
BPSK |
19.5 |
21.7 |
|
17 |
3 |
QPSK |
39.0 |
43.3 |
|
18 |
3 |
QPSK |
58.5 |
65.0 |
|
19 |
3 |
16-QAM |
78.0 |
86.7 |
|
20 |
3 |
16-QAM |
117.0 |
130.0 |
|
21 |
3 |
64-QAM |
156.0 |
173.3 |
|
22 |
3 |
64-QAM |
175.5 |
195.0 |
|
23 |
3 |
64-QAM |
195.0 |
216.7 |
|
24 |
4 |
BPSK |
26.0 |
28.9 |
|
25 |
4 |
QPSK |
52.0 |
57.8 |
|
26 |
4 |
QPSK |
78.0 |
86.7 |
|
27 |
4 |
16-QAM |
104.0 |
115.6 |
|
28 |
4 |
16-QAM |
156.0 |
173.3 |
|
29 |
4 |
64-QAM |
208.0 |
231.1 |
|
30 |
4 |
64-QAM |
234.0 |
260.0 |
|
31 |
4 |
64-QAM |
260.0 |
288.9 |
表5-3 MCS对应速率表(40MHz)
|
MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
13.5 |
15.0 |
|
1 |
1 |
QPSK |
27.0 |
30.0 |
|
2 |
1 |
QPSK |
40.5 |
45.0 |
|
3 |
1 |
16-QAM |
54.0 |
60.0 |
|
4 |
1 |
16-QAM |
81.0 |
90.0 |
|
5 |
1 |
64-QAM |
108.0 |
120.0 |
|
6 |
1 |
64-QAM |
121.5 |
135.0 |
|
7 |
1 |
64-QAM |
135.0 |
150.0 |
|
8 |
2 |
BPSK |
27.0 |
30.0 |
|
9 |
2 |
QPSK |
54.0 |
60.0 |
|
10 |
2 |
QPSK |
81.0 |
90.0 |
|
11 |
2 |
16-QAM |
108.0 |
120.0 |
|
12 |
2 |
16-QAM |
162.0 |
180.0 |
|
13 |
2 |
64-QAM |
216.0 |
240.0 |
|
14 |
2 |
64-QAM |
243.0 |
270.0 |
|
15 |
2 |
64-QAM |
270.0 |
300.0 |
|
16 |
3 |
BPSK |
40.5 |
45.0 |
|
17 |
3 |
QPSK |
81.0 |
90.0 |
|
18 |
3 |
QPSK |
121.5 |
135.0 |
|
19 |
3 |
16-QAM |
162.0 |
180.0 |
|
20 |
3 |
16-QAM |
243.0 |
270.0 |
|
21 |
3 |
64-QAM |
324.0 |
360.0 |
|
22 |
3 |
64-QAM |
364.5 |
405.0 |
|
23 |
3 |
64-QAM |
405.0 |
450.0 |
|
24 |
4 |
BPSK |
54.0 |
60.0 |
|
25 |
4 |
QPSK |
108.0 |
120.0 |
|
26 |
4 |
QPSK |
162.0 |
180.0 |
|
27 |
4 |
16-QAM |
216.0 |
240.0 |
|
28 |
4 |
16-QAM |
324.0 |
360.0 |
|
29 |
4 |
64-QAM |
432.0 |
480.0 |
|
30 |
4 |
64-QAM |
486.0 |
540.0 |
|
31 |
4 |
64-QAM |
540.0 |
600.0 |
从表中可以得到结论:
· 当MSC索引取值为0~7时,空间流数量为1,且当MCS=7时,速率值最大;
· 当MSC索引取值为8~15时,空间流数量为2,且当MCS=15时,速率值最大。
· 当MSC索引取值为16~23时,空间流数量为3,且当MCS=23时,速率值最大。
· 当MSC索引取值为24~31时,空间流数量为4,且当MCS=31时,速率值最大。
MCS分为三类:
· 基本MCS集:客户端必须支持的基本MCS集,才能够与AP以802.11n模式进行连接。
· 支持MCS集:AP所能够支持的更高的MCS集合,用户可以配置支持MCS集让客户端在支持基本MCS的前提下选择更高的速率与AP进行数据传输。
· 组播MCS集:AP以组播方式对其BSS内的客户端发送消息所使用的速率。
802.11ac中定义的VHT-MCS表在表项内容上与802.11n的MCS表完全相同,只是在子表划分方式上存在区别,VHT-MCS根据信道带宽和空间流数量的组合来划分子表。802.11ac支持20MHz、40MHz、80MHz和160MHz(80+80MHz)四种带宽,最多支持8条空间流,因此VHT-MCS表共划分为32个子表。每个子表中的MCS索引独立编号,目前编号范围为0~9。AP支持的VHT-MCS表仅有12套,具体如表5-4~表5-15所示。
完整的VHT-MCS对应速率表可参见IEEE 802.11ac-2013标准协议。
表5-4 VHT-MCS对应速率表(20MHz,1NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
6.5 |
7.2 |
|
1 |
1 |
QPSK |
13.0 |
14.4 |
|
2 |
1 |
QPSK |
19.5 |
21.7 |
|
3 |
1 |
16-QAM |
26.0 |
28.9 |
|
4 |
1 |
16-QAM |
39.0 |
43.3 |
|
5 |
1 |
64-QAM |
52.0 |
57.8 |
|
6 |
1 |
64-QAM |
58.5 |
65.0 |
|
7 |
1 |
64-QAM |
65.0 |
72.2 |
|
8 |
1 |
256-QAM |
78.0 |
86.7 |
|
9 |
Not valid |
|||
表5-5 VHT-MCS对应速率表(20MHz,2NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
2 |
BPSK |
13.0 |
14.4 |
|
1 |
2 |
QPSK |
26.0 |
28.9 |
|
2 |
2 |
QPSK |
39.0 |
43.3 |
|
3 |
2 |
16-QAM |
52.0 |
57.8 |
|
4 |
2 |
16-QAM |
78.0 |
86.7 |
|
5 |
2 |
64-QAM |
104.0 |
115.6 |
|
6 |
2 |
64-QAM |
117.0 |
130.0 |
|
7 |
2 |
64-QAM |
130.0 |
144.4 |
|
8 |
2 |
256-QAM |
156.0 |
173.3 |
|
9 |
Not valid |
|||
表5-6 VHT-MCS对应速率表(20MHz,3NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
3 |
BPSK |
19.5 |
21.7 |
|
1 |
3 |
QPSK |
39.0 |
43.3 |
|
2 |
3 |
QPSK |
58.5 |
65.0 |
|
3 |
3 |
16-QAM |
78.0 |
86.7 |
|
4 |
3 |
16-QAM |
117.0 |
130.0 |
|
5 |
3 |
64-QAM |
156.0 |
173.3 |
|
6 |
3 |
64-QAM |
175.5 |
195.0 |
|
7 |
3 |
64-QAM |
195.0 |
216.7 |
|
8 |
3 |
256-QAM |
234.0 |
260.0 |
|
9 |
3 |
256-QAM |
260.0 |
288.9 |
表5-7 VHT-MCS对应速率表(20MHz,4NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
4 |
BPSK |
26.0 |
28.9 |
|
1 |
4 |
QPSK |
52.0 |
57.8 |
|
2 |
4 |
QPSK |
78.0 |
86.7 |
|
3 |
4 |
16-QAM |
104.0 |
115.6 |
|
4 |
4 |
16-QAM |
156.0 |
173.3 |
|
5 |
4 |
64-QAM |
208.0 |
231.1 |
|
6 |
4 |
64-QAM |
234.0 |
260.0 |
|
7 |
4 |
64-QAM |
260.0 |
288.9 |
|
8 |
4 |
256-QAM |
312.0 |
346.7 |
|
9 |
Not valid |
|||
表5-8 VHT-MCS对应速率表(40MHz,1NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
13.5 |
15.0 |
|
1 |
1 |
QPSK |
27.0 |
30.0 |
|
2 |
1 |
QPSK |
40.5 |
45.0 |
|
3 |
1 |
16-QAM |
54.0 |
60.0 |
|
4 |
1 |
16-QAM |
81.0 |
90.0 |
|
5 |
1 |
64-QAM |
108.0 |
120.0 |
|
6 |
1 |
64-QAM |
121.5 |
135.0 |
|
7 |
1 |
64-QAM |
135.0 |
150.0 |
|
8 |
1 |
256-QAM |
162.0 |
180.0 |
|
9 |
1 |
256-QAM |
180.0 |
200.0 |
表5-9 VHT-MCS对应速率表(40MHz,2NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
2 |
BPSK |
27.0 |
30.0 |
|
1 |
2 |
QPSK |
54.0 |
60.0 |
|
2 |
2 |
QPSK |
81.0 |
90.0 |
|
3 |
2 |
16-QAM |
108.0 |
120.0 |
|
4 |
2 |
16-QAM |
162.0 |
180.0 |
|
5 |
2 |
64-QAM |
216.0 |
240.0 |
|
6 |
2 |
64-QAM |
243.0 |
270.0 |
|
7 |
2 |
64-QAM |
270.0 |
300.0 |
|
8 |
2 |
256-QAM |
324.0 |
360.0 |
|
9 |
2 |
256-QAM |
360.0 |
400.0 |
表5-10 VHT-MCS对应速率表(40MHz,3NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
3 |
BPSK |
40.5 |
45.0 |
|
1 |
3 |
QPSK |
81.0 |
90.0 |
|
2 |
3 |
QPSK |
121.5 |
135.0 |
|
3 |
3 |
16-QAM |
162.0 |
180.0 |
|
4 |
3 |
16-QAM |
243.0 |
270.0 |
|
5 |
3 |
64-QAM |
324.0 |
360.0 |
|
6 |
3 |
64-QAM |
364.5 |
405.0 |
|
7 |
3 |
64-QAM |
405.0 |
450.0 |
|
8 |
3 |
256-QAM |
486.0 |
540.0 |
|
9 |
3 |
256-QAM |
540.0 |
600.0 |
表5-11 VHT-MCS对应速率表(40MHz,4NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
4 |
BPSK |
54.0 |
60.0 |
|
1 |
4 |
QPSK |
108.0 |
120.0 |
|
2 |
4 |
QPSK |
162.0 |
180.0 |
|
3 |
4 |
16-QAM |
216.0 |
240.0 |
|
4 |
4 |
16-QAM |
324.0 |
360.0 |
|
5 |
4 |
64-QAM |
432.0 |
480.0 |
|
6 |
4 |
64-QAM |
486.0 |
540.0 |
|
7 |
4 |
64-QAM |
540.0 |
600.0 |
|
8 |
4 |
256-QAM |
648.0 |
720.0 |
|
9 |
4 |
256-QAM |
720.0 |
800.0 |
表5-12 VHT-MCS对应速率表(80MHz,1NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
29.3 |
32.5 |
|
1 |
1 |
QPSK |
58.5 |
65.0 |
|
2 |
1 |
QPSK |
87.8 |
97.5 |
|
3 |
1 |
16-QAM |
117.0 |
130.0 |
|
4 |
1 |
16-QAM |
175.5 |
195.0 |
|
5 |
1 |
64-QAM |
234.0 |
260.0 |
|
6 |
1 |
64-QAM |
263.0 |
292.5 |
|
7 |
1 |
64-QAM |
292.5 |
325.0 |
|
8 |
1 |
256-QAM |
351.0 |
390.0 |
|
9 |
1 |
256-QAM |
390.0 |
433.3 |
表5-13 VHT-MCS对应速率表(80MHz,2NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
2 |
BPSK |
58.5 |
65.0 |
|
1 |
2 |
QPSK |
117.0 |
130.0 |
|
2 |
2 |
QPSK |
175.5 |
195.0 |
|
3 |
2 |
16-QAM |
234.0 |
260.0 |
|
4 |
2 |
16-QAM |
351.0 |
390.0 |
|
5 |
2 |
64-QAM |
468.0 |
520.0 |
|
6 |
2 |
64-QAM |
526.5 |
585.0 |
|
7 |
2 |
64-QAM |
585.0 |
650.0 |
|
8 |
2 |
256-QAM |
702.0 |
780.0 |
|
9 |
2 |
256-QAM |
780.0 |
866.7 |
表5-14 VHT-MCS对应速率表(80MHz,3NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
3 |
BPSK |
87.8 |
97.5 |
|
1 |
3 |
QPSK |
175.5 |
195.0 |
|
2 |
3 |
QPSK |
263.3 |
292.5 |
|
3 |
3 |
16-QAM |
351.0 |
390.0 |
|
4 |
3 |
16-QAM |
526.5 |
585.0 |
|
5 |
3 |
64-QAM |
702.0 |
780.0 |
|
6 |
Not valid |
|||
|
7 |
3 |
64-QAM |
877.5 |
975.0 |
|
8 |
3 |
256-QAM |
1053.0 |
1170.0 |
|
9 |
3 |
256-QAM |
1170.0 |
1300.0 |
表5-15 VHT-MCS对应速率表(80MHz,4NSS)
|
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
4 |
BPSK |
117.0 |
130.0 |
|
1 |
4 |
QPSK |
234.0 |
260.0 |
|
2 |
4 |
QPSK |
351.0 |
390.0 |
|
3 |
4 |
16-QAM |
468.0 |
520.0 |
|
4 |
4 |
16-QAM |
702.0 |
780.0 |
|
5 |
4 |
64-QAM |
936.0 |
1040.0 |
|
6 |
4 |
64-QAM |
1053.0 |
1170.0 |
|
7 |
4 |
64-QAM |
1170.0 |
1300.0 |
|
8 |
4 |
256-QAM |
1404.0 |
1560.0 |
|
9 |
4 |
256-QAM |
1560.0 |
1733.3 |
和MCS一样,VHT-MCS也分为三类:基本VHT-MCS集、支持VHT-MCS集和组播VHT-MCS集,每类的意义也和MCS相同。
配置射频工作信道的目的是尽量减少和避免射频的干扰。干扰主要来自两方面:一种是WLAN设备间的干扰,比如相邻WLAN设备使用相同信道,会造成相互干扰;另一种是WLAN设备和其他无线射频之间的干扰,比如WLAN设备使用的信道上有雷达信号则必须立即让出该信道。
射频工作的信道可以手工配置或者由系统自动选择。
¡ 如果用户配置了手工信道,所配置的信道将一直被使用而不能自动更改,除非发现雷达信号。如果因为发现雷达信号而进行信道切换,AP会在30分钟后将信道切换回手工指定的信道,并静默一段时间,如果在静默时间内没有发现雷达信号,则开始使用该信道;如果发现雷达信号,则再次切换信道。
¡ AP默认采用自动信道模式,随机选择工作信道。
射频的最大传输功率只能在射频支持的功率范围内进行选取,即保证射频的最大传输功率在合法范围内。射频支持的功率范围由国家码、信道、AP型号、射频模式、天线类型、带宽等属性决定,修改上述属性,射频支持的功率范围和最大传输功率将自动调整为合法值。
¡ 禁用速率:AP禁用的速率。
¡ 强制速率:客户端关联AP时,AP要求客户端必须支持的速率。
¡ 支持速率:AP所支持的速率。客户端关联AP后,可以在AP支持的“支持速率集”中选用更高的速率发送报文。当受干扰、重传、丢包等影响较大时,AP会自动降低对客户端的发送速率;当受影响较小时,AP会自动升高对客户端的发送速率。
¡ 组播速率:AP向客户端发送组播和广播报文的速率。组播速率必须在强制速率中选取,且只能配置一个速率值或由AP自动选择合适的速率。
只有2.4GHz射频,才支持配置前导码类型。
前导码是数据报文头部的一组Bit位,用于同步发送端与接收端的传输信号。前导码的类型有两种,长前导码和短前导码。短前导码能使网络性能更好,默认使用短前导码。如果需要兼容网络中一些较老的客户端时可以使用长前导码保持兼容。
天线发出的电磁波在介质中传播的时候,随着距离的增加以及周围环境因素的影响,信号强度逐渐降低。电磁波的覆盖范围主要与环境的开放程度、障碍物的材质类型有关。设备在不加外接天线的情况下,传输距离约300米,若空间中有隔离物,传输大约在35~50米左右。
如果借助于外接天线,覆盖范围则可以达到30~50公里甚至更远,这要视天线本身的增益而定。
在WLAN环境中,AP通过不断广播Beacon帧来让客户端发现自己。AP发送Becaon帧时间间隔越小,AP越容易被客户端发现,但AP的功耗越大。
当射频模式为802.11g或802.11gn时,为了提高传输速率,可以通过开启禁止802.11b客户端接入功能来隔离低速率的802.11b客户端的影响;当开启禁止802.11b客户端接入功能后,不允许客户端以802.11b模式接入。
在无线环境中,为了避免冲突的产生,无线设备在发送数据前会执行冲突避免,即使用RTS/CTS(Request to Send/Clear to Send,请求发送/允许发送)帧或CTS-to-self(反身CTS)帧来清空传送区域,取得信道使用权。但是如果每次发送数据前都执行冲突避免,则会降低过多的传输量,浪费了无线资源。因此,802.11协议规定仅当发送帧长超过RTS门限的帧时,需要执行冲突避免;帧长小于RTS门限的帧,则可以直接发送。
当网络中设备较少时,产生干扰的概率较低,可以适当增大RTS门限以减少冲突避免的执行次数,提高吞吐量。当网络中设备较多时,可以通过降低RTS门限,增加冲突避免的执行次数来减少干扰。
(9) 802.11g保护功能
只有当射频模式为802.11g或802.11n(2.4GHz)时,才支持配置802.11g保护功能。
当网络中同时存在802.11b和802.11g的客户端,由于调制方式不同,802.11b客户端无法解析802.11g信号,会导致802.11b与802.11g网络之间彼此造成干扰。802.11g保护功能用于避免干扰情况的发生,通过使802.11g和802.11n设备发送RTS/CTS报文或CTS-to-self报文来取得信道使用权,确保802.11b客户端能够检测到802.11g和802.11n客户端正在进行数据传输,实现冲突避免。
开启802.11g保护功能后,当AP在其工作信道上扫描到802.11b信号,则会在传输数据前通过发送RTS/CTS报文或CTS-to-self报文进行冲突避免,并通知客户端开始执行802.11g保护功能;如果未检测到802.11b信号,则不会采取上述动作。
当802.11b客户端在开启了802.11g或802.11n(2.4GHz)的AP上接入时,AP上的802.11g保护功能将自动开启并生效。
帧的分片是将一个较大的帧分成更小的分片,每个分片独立进行传输和确认。当帧的实际大小超过指定的分片门限值时,该帧将被分片传输。
在干扰较大的无线环境,建议适当降低帧的分片门限值,增加帧的分片数量,则当传输受到干扰时,仅需要重传未成功发送的分片,从而提高吞吐量。
在无线网络中传输的单播数据,必须得到接收端的应答,否则便认为传送失败。设备会对传送失败的帧进行重传,如果在达到最大重传次数时,仍然没有传送成功,则丢弃该帧,并将此状况告知上层协议。
每个帧或帧片段都分别对应一个重传计数器。无线设备上具有两个重传计数器:短帧重传计数器与长帧重传计数器。长度小于RTS门限值的帧视为短帧;长度超过RTS门限值的帧则为长帧。当帧传送失败,对应的重传计数器累加,然后重新传送帧,直至达到最大重传次数。
区分短帧和长帧的主要目的是为了让网络管理人员利用不同长度的帧来调整重传策略。由于发送长帧前需要执行冲突避免,因此长帧比短帧占用了更多的缓存空间和传输时间。在配置帧的最大重传次数时,适当减少长帧的最大重传次数,可以减少所需要的缓存空间和传输时间。
IEEE 802.11n协议的制定,旨在提供高带宽、高质量的WLAN服务,使无线局域网达到以太网的性能水平。802.11n通过物理层和MAC(Media Access Control,媒体访问控制)层的优化来提高WLAN的吞吐能力,从而提高传输速率。
802.11n的物理层建立在OFDM系统之上,采用MIMO(Multiple Input,Multiple Output,多输入多输出)、40MHz传输带宽、Short GI(Short Guard Interval,短保护间隔)、STBC(Space-Time Block Coding,空时块编码)、LDPC(Low-Density Parity Check,低密度奇偶校验)等技术使物理层达到高吞吐(High Throughput)的效果,并采用A-MPDU(Aggregate MAC Protocol Data Unit,聚合MAC协议数据单元)、A-MSDU(Aggregate MAC Service Data Unit,聚合MAC服务数据单元)、BA(Block Acknowledgment,块确认)等技术,提高MAC层的传输效率。
802.11n标准中采用A-MPDU聚合帧格式,减少了每个传输帧中的附加信息,同时也减少了所需要的ACK帧的数目,从而降低了协议的负荷,有效的提高了网络吞吐量。A-MPDU是将多个MPDU(MAC Protocol Data Unit,MAC协议数据单元)聚合为一个A-MPDU,这里的MPDU为经过802.11封装的数据报文。A-MPDU抢占一次信道并使用一个PLCP(Physical Layer Convergence Procedure,物理层汇聚协议)头来提升信道利用率。一个A-MPDU中的所有MPDU必须拥有相同的QoS优先级,由同一设备发送,并被唯一的一个设备接收。
图5-1 A-MPDU报文格式图
A-MSDU技术是指把多个MSDU(MAC Service Data Unit,MAC服务数据单元)聚合成一个较大的载荷。目前,MSDU仅指Ethernet报文。通常,当AP或客户端从协议栈收到MSDU报文时,会封装Ethernet报文头,封装之后称之为A-MSDU Subframe;而在通过射频发送出去前,需要一一将其转换成802.11报文格式。而A-MSDU技术旨在将若干个A-MSDU Subframe聚合到一起,并封装为一个802.11报文进行发送。从而减少了发送每一个802.11报文所需的PLCP Preamble、PLCP Header和802.11MAC Header的开销,提高了报文发送的效率。
图5-2 A-MSDU报文格式图
A-MSDU是将多个MSDU组合在一起发送,这些MSDU必须拥有相同的QoS优先级,而且必须由同一设备发送,并被唯一的一个设备接收。当一个设备接收到一个A-MSDU时,需要将这个A-MSDU分解成多个MSDU后分别处理。
Short GI是802.11n针对802.11a/g所做的改进。射频在使用OFDM调制方式发送数据时,整个帧是被划分成不同的数据块进行发送的,为了数据传输的可靠性,数据块之间会有GI(Guard Interval,保护间隔),用以保证接收侧能够正确的解析出各个数据块。无线信号的空间传输会因多径等因素在接收侧形成时延,如果后面的数据块发送的过快,会和前一个数据块形成干扰,GI就是用来规避这个干扰的。802.11a/g的GI时长为800ns,在多径效应不严重时,可以使用Short GI,Short GI时长为400ns,在使用Short GI的情况下,可提高10%的传输速率。另外,Short GI与带宽无关,支持20MHz、40MHz带宽。
802.11n引入了LDPC(Low-Density Parity Check,低密度奇偶校验)机制,该机制通过校验矩阵定义了一类线性码,并在码长较长时需要校验矩阵满足“稀疏性”,即校验矩阵中1的个数远小于0。在802.11n出现以前,所有以OFDM为调制方式的设备都使用卷积作为前向纠错码。802.11n引入了LDPC校验码,将传输的信噪比增加到了1.5到3dB之间,使传输质量得到提升。对LDPC的支持需要设备间的协商,以保证设备双方都支持LDPC校验。
802.11n引入了STBC(Space-Time Block Coding,空时块编码)机制,该机制可以将空间流编码成时空流,是802.11n中使用的一个简单的可选的发送分集机制。该机制的优点是不要求客户端具有高的数据传输速率,就可以得到强健的链路性能。STBC是完全开环的,不要求任何反馈或额外的系统复杂度,但是会降低效率。
当802.11a/b/g客户端上线时,将使用基础速率传输单播数据。当802.11n客户端上线时,将使用MCS索引所代表的调制与编码策略传输单播数据。
当未配置组播MCS索引时,802.11n客户端和AP之间将使用组播速率发送组播数据;当配置了组播MCS索引且客户端都是802.11n客户端时,AP和客户端将使用组播MCS索引所代表的调制与编码策略传输组播数据。当配置了组播索引且存在802.11a/b/g客户端时,AP和客户端将使用基础模式的组播速率传输组播数据,即802.11a/b/g的组播速率。
需要注意的是:
¡ 配置的802.11n基本MCS最大索引值index表示射频的802.11n基本MCS的最大索引值,即该射频的802.11n基本MCS集是0~index。
¡ 配置的802.11n支持MCS最大索引值index表示射频的802.11n支持MCS的最大索引值,即该射频的802.11n支持MCS集是0~index。
¡ 配置的802.11n组播MCS索引值index表示射频发送802.11n组播报文使用的MCS索引。
¡ 组播MCS索引需要小于或等于最大基本MCS索引,最大基本MCS需要小于或等于最大支持MCS索引。
¡ 802.11n支持MCS最大索引值不能小于802.11n基本MCS最大索引值。
¡ 802.11n组播MCS索引值不能大于802.11n基本MCS最大索引值。
(7) 仅允许802.11n及802.11ac客户端接入功能
开启仅允许802.11n及802.11ac客户端接入功能后,仅允许802.11n及802.11ac客户端接入,不允许802.11a/b/g客户端接入,可以隔离低速率的客户端的影响,提高802.11n设备的传输速率。
802.11n沿用了802.11a/b/g的信道结构。20MHz信道划分为64个子信道,为了防止相邻信道干扰,在802.11a/g中,需预留12个子信道,同时,需用4个子信道充当导频(pilot carrier)以监控路径偏移,因此20MHz带宽的信道在802.11a/g中用于传输数据的子信道数为48个;而在802.11n中,只需预留8个子信道,加上充当导频的4个子信道,20MHz带宽的信道在802.11n中用于传输数据的子信道数为52个,提高了传输速率。
802.11n将两个相邻的20MHz带宽绑定在一起,组成一个40MHz通讯带宽(其中一个为主信道,另一个为辅信道)来提高传输速率。
射频的带宽配置及芯片的支持能力决定了射频工作在20MHz的带宽还是工作在20/40MHz的带宽。
MIMO是指一个天线采用多条流进行无线信号的发送和接收。MIMO能够在不增加带宽的情况下成倍的提高信息吞吐量和频谱利用率。MIMO模式包括以下四种:
¡ 1x1:采用一条流进行无线信号的发送和接收。
¡ 2x2:采用两条流进行无线信号的发送和接收。
¡ 3x3:采用三条流进行无线信号的发送和接收。
¡ 4x4:采用四条流进行无线信号的发送和接收。
支持流的数量与AP型号有关,请以设备的实际情况为准。
本功能所指的802.11n包括802.11n和802.11ac。
当网络中同时存在802.11n和非802.11n的客户端,由于调制方式不同,非802.11n客户端无法解析802.11n信号,会导致非802.11n与802.11n网络之间彼此造成干扰。802.11n保护功能用于避免干扰情况的发生,通过使802.11n设备发送RTS/CTS报文或CTS-to-self报文来取得信道使用权,确保非802.11n客户端能够检测到802.11n客户端正在进行数据传输,实现冲突避免。
开启802.11n保护功能后,当AP在其工作信道上扫描到非802.11n信号,则会在传输数据前通过发送RTS/CTS报文或CTS-to-self报文进行冲突避免,并通知客户端开始执行802.11n保护功能;如果未检测到非802.11n信号,则不会采取上述动作。
当非802.11n客户端在开启了802.11n或802.11ac的AP上接入时,AP上的802.11n保护功能将自动开启并生效。
802.11ac是802.11n的继承者,它采用并扩展了源自802.11n的众多概念,包括更宽的射频带宽(提升至160MHz)、更多的MIMO空间流(增加到8)、多用户的MIMO、以及更高阶的调制方式(达到256QAM),从而进一步提高了WLAN的传输速率。
当802.11ac客户端上线时,将使用NSS(Number of Spatial Streams,空间流数)所对应的VHT-MCS索引所代表的调制与编码策略传输单播数据。
当非802.11ac客户端上线时,将使用基础速率或MCS所代表的调制与编码策略传输单播数据。
当未配置组播NSS时,802.11ac客户端和AP之间将使用组播速率或组播MCS所代表的调制与编码策略发送组播数据。
当配置了组播NSS且客户端都是802.11ac客户端时,AP和客户端将使用VHT-MCS索引所代表的调制与编码策略传输组播数据。
当配置了组播NSS且存在非802.11ac客户端时,AP和客户端将使用基础模式的组播速率或MCS所代表的调制与编码策略传输组播数据,即802.11a/b/g/n的组播速率。
需要注意的是:
¡ 组播NSS需要小于或等于最大基本NSS,最大基本NSS需要小于或等于最大支持NSS。
¡ 配置的802.11ac基本NSS最大数值number表示射频的802.11ac最大基本NSS,即该射频的802.11ac基本NSS是1~number。
¡ 配置的802.11ac支持NSS最大数值number表示射频的802.11ac最大支持NSS,即该射频的802.11ac支持NSS是1~number。
¡ 配置的802.11ac组播NSS数值number表示射频发送802.11ac组播报文使用的NSS。配置的VHT-MCS索引值index表示射频发送802.11ac组播报文使用的对应NSS的VHT-MCS索引。
(2) 仅允许802.11ac客户端接入功能
开启仅允许802.11ac客户端接入功能后,仅允许802.11ac客户端接入,不允许802.11a/b/g/n客户端接入,可以隔离低速率的客户端的影响,提高802.11ac设备的传输速率。
802.11ac将信道带宽从802.11n的20MHz/40MHz提升到了80MHz/160MHz/(80+80)MHz。带宽的提升带来了可用数据子载波的增加。
802.11ac沿用了802.11n的信道带宽划定方式,通过将相邻的信道合并得到更大带宽的信道。在802.11ac中,可以将相邻的两个20Mhz信道合并得到带宽为40Mhz的信道,也可以将两个40Mhz带宽的信道合并,得到带宽为80Mhz的信道,也可以将两个80Mhz带宽的信道合并,得到带宽为160Mhz的信道。
图5-3 802.11ac信道带宽划定方式示意图
在实际无线网络环境中,有些客户端只能工作在2.4GHz频段上,有些客户端可以工作在2.4GHz频段或者5GHz频段,这有可能导致2.4GHz射频过载,5GHz射频相对空余。在这种情况下,可以使用频谱导航功能,将支持双频工作的客户端优先接入5GHz射频,使得两个频段上的客户端数量相对均衡,从而提高整网性能。
如图5-4所示,无线网络中存在三个客户端,AP上开启5GHz射频和2.4GHz射频,Client1关联到AP的5GHz射频,Client2关联到AP的2.4GHz射频。AP上开启频谱导航功能后,当Client3准备接入无线网络时,如果对5GHz射频进行关联,将直接关联成功,如果对2.4GHz射频进行关联,将被AC拒绝。
关于本节特性的介绍请参见4.2.2 ACL和4.2.3 时间段。
用户可以配置云平台服务器域名,用于设备连接到云平台,并对设备进行远程管理。
用户还可以通过输入解绑码,解除设备与云平台服务器的绑定。
系统提供了诊断信息收集功能,便于用户对错误进行诊断和定位。.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
或
售前咨询
售后咨询
人工在线咨询
