2万字精品!新能源风电厂WLAN方案 | 必收藏
2万字精品!新能源风电厂WLAN方案 | 必收藏
1 WLAN方案概述
1.1 方案背景
1.1.1 技术背景
WLAN(Wireless Local Area Network)是指利用高频射频信号(例如2.4GHz或5GHz)作为传输信道的无线局域网。
802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。此后这一标准又不断得到补充和完善,形成802.11的标准系列。例如比较重要的802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n等。其中基于802.11b标准的有时也被称为Wi-Fi标准。
而802.11n标准兼容802.11a/b/g,带宽优势明显,已经成为当前的主流技术。而随着802.11ac技术的出现,必将引领无线业务进入千兆时代,为用户带来千兆级别的接入速度。
表1-1 802.11标准简介:
标准名称 | 发布时间 | 工作频率 | 理论速率 | 实际速率 | 备注 |
|---|---|---|---|---|---|
802.11b | 1999 | 2.4GHz | 11Mbps | 6Mbps | 早期标准 |
802.11a | 1999 | 5.0GHz | 54Mbps | 22Mbps | 应用很少 |
802.11g | 2003 | 2.4GHz | 54Mbps | 22Mbps | 早期标准 |
802.11n | 2009 | 2.4/5.0GHz | 150Mbps | 75Mbps | 结合MIMO技术,理论速率600Mbps |
802.11ac | 2012 | 5.0GHz | 1Gbps | 400~500Mbps | 802.11n下一代标准 |
802.11ad | 发展中 | 60GHz | 7Gbps | 发展中 | 面向家庭高清娱乐设备 |
1.2 WLAN基本概念
1.2.1 网络架构模型
WLAN网络在部署过程中,根据其需求,可以把网络架构设为:
- 集中式架构(即FIT AP或瘦AP) 表1-2 集中式架构特性表:
项目 | 集中式架构 |
|---|---|
适用场景 | 新生方式,增强管理 |
安全性 | 基于用户位置的安全策略,高安全性 |
网络管理 | AC上统一配置,AP本身零配置,维护简单 |
用户管理 | 虚拟专用组方式,根据用户名区分权限,使用灵活 |
WLAN组网规模 | L2、L3漫游,拓扑无关性,适合大规模组网 |
增值业务能力 | 可扩展丰富业务 |
集中式架构
该架构通过无线控制器(AC)集中管理、控制多个AP,如图1-1所示。所有无线接入功能由AP和AC共同完成:
- AC完成网络具有重要意义的功能,例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS(Intrusion Detection Systems)和数据包转发等。
- AP完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。
图1-1 WLAN集中式架构图:
AP和AC间采用CAPWAP隧道协议进行通讯,AC与AP间可以是直连或者穿越Layer 2、Layer 3网络。
CAPWAP协议是基于UDP传输层的应用层协议,协议传递的信息分为两类:控制信息和数据信息。
- 控制信息负责AC与AP之间的管理的交互操作,包括AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。
- 数据信息是封装后转发的无线数据。
两类信息分别使用不同的UDP端口号。CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制,保证通信的安全性。
所有无线接入功能由AP和AC间共同完成。集中式架构是企业网、运营商等WLAN方案的主要架构,便于集中管理、集中认证和实施安全策略。此种方案为目前企业网通用方案。
在FIT AP网络架构下,又有如下划分:
- 根据AC部署方式,分为集中式和分布式
- 根据AC部署位置,分为旁挂和直路
- 根据AC硬件体现形式,分为集成AC和独立AC
- 根据业务转发形式,分为本地转发和集中转发
1.2.2 AC直路设计
直路
直路方式是指将AC部署在AP与用户网关设备(汇聚或核心交换机)之间,实现对下辖所有AP的管理。
直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。
图1-2 AC直路示意图:
1.2.3 独立AC
独立AC
独立AC方案是指采用单独的AC硬件设备,通过直路或者旁挂方式实现对于所有AP的管理。
在独立AC方案中,采用集中式架构(FIT AP架构),使用FIT AP来负责无线终端的接入。使用独立的AC设备完成对AP设备的管理。
1.2.4 本地转发与集中转发
转发模式主要是AP针对用户数据可以有不同的转发处理方式。
本地转发
又称直接转发,是指AP上对用户数据由本地转发到网络上层,不经过AC处理,AC只对AP进行管理。而AP管理流封装在CAPWAP隧道中,到达AC终止。
图1-3 本地转发示意图:
集中转发
也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发,AC不但进行对AP管理,还作为AP流量的转发中枢。即AP管理流与数据流都封装在CAPWAP隧道中到达AC。
图1-4 隧道转发示意图:
本地转发与集中转发优缺点对比如表1-3所示。
表1-3 本地转发与集中转发优缺点对比表:
转发方式 | 优点 | 缺点 |
|---|---|---|
本地转发 | 设备署简单,数据流量不经过AC,AC负担小。 | |
集中转发 | 数据流量和管理流量全部经过AC,可以按用户需求规划安全监管策略。 | AC设备数据压力较大,对AC设备本身处理能力要求较高。 |
2 WLAN基础网络规划
2.1 IP地址规划
AC的IP地址
AC用于管理AP,IP地址一般通过静态手工配置。
AP的IP地址
AP的IP地址分配如果采用静态分配,由于一般AP数量较多,配置工作量大,且容易冲突、不易于控制,所以不建议使用,建议使用DHCP动态分配。
DHCP动态分配AP的IP地址时,可以有以下几种方式:
指定地址池分配
- 根据DHCP Option 60表明AP身份而分配指定地址池的IP:AP的DHCP Discover报文携带Option 60,例如内容为“Huawei AP”,表示请求分配IP地址的设备是华为AP,而不是WLAN用户。DHCP Server可以通过匹配或部分匹配Option 60字符串,来为AP从指定地址池中分配地址。如果网络中部署多个DHCP Server且只有部分支持Option 60,交换机等设备充当DHCP Relay时需要支持识别DHCP option 60并将DHCP报文转发到相应的DHCP Server上。
- 根据VLAN分配指定地址池的IP:AP相连交换机端口以Trunk方式加入VLAN,允许通过的VLAN对应的地址池即为AP分配IP地址。
- 根据AP的MAC地址指定分配:在DHCP Server上配置AP的MAC以及对应的IP地址。
统一分配
AP的IP地址分配同WLAN用户一样,由DHCP Server统一分配,不再区别。
DHCP动态分配AP的IP地址各种方式优劣势对比如表2-1所示。
表2-1 DHCP动态分配AP的IP地址各种方式优劣势表
IP地址分配方式 | 优势 | 劣势 | 适用场景 | |
|---|---|---|---|---|
指定地址池分配 | DHCP Option 60 | AP设备与无线用户的IP地址分离 | 需要交换机配套支持 | 对设备IP地址管理与用户IP地址管理要求隔离的 |
根据VLAN | AP设备与无线用户的IP地址分离 | 网络配置工作量较大,不利于AP即插即用 | 对设备IP地址管理与用户IP地址管理要求隔离的 | |
根据MAC | AP设备与无线用户的IP地址分离 | 配置工作量较大,IP地址管理难度加大 | 对少量AP设备管理有特殊要求的 | |
统一分配 | 网络配置简单 | - | 对AP IP管理没有要求 | |
无线终端/用户的IP地址
移动用户通过DHCP动态分配IP地址,不建议静态配置;对于基本不移动的无线终端(比如:无线打印机)可以静态配置。
2.2 SSID规划
企业园区无线网络一般按照业务类型划分不同的SSID(Service Set Identification)。
SSID映射以太网中的VLAN
通常,以太网中管理VLAN和业务VLAN分离。业务VLAN主要用于区分不同的业务类型或用户群体。
在WLAN网络中SSID也同样可以承担相应的工作。因此,在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根据实际业务需要与SSID匹配映射关系,映射关系有1:1、1:N、N:1、N:N四种,AC设备终结VLAN部署。
VAP构建
AP可以配置多个SSID,华为单频AP可支持16个SSID,双频AP可支持32个SSID。通过配置多个SSID,可以将一个AP划分为多个VAP(Virtual Access Point),每一个SSID对应一个VAP,AC针对VAP进行策略下发,VAP根据策略进行终端与业务管理。
2.3 漫游规划
漫游是指用户在部署了WLAN网络的场所移动时,用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围,用户无需重新登录和认证。图2-1 用户漫游切换示意图
如上图所示,假设终端与AP1已经建立关联信息,随着用户位置的移动,终端切换到AP2,具体切换流程如下:
- 客户端在各种信道中发送802.11请求帧。AP2在信道6(AP2使用的信道)中收到请求后,通过在信道6中发送应答来进行响应。客户端收到应答后,对其进行评估,确定同哪个AP关联最合适。
- 如图中的标号1所示,删除用户与AP1现有的关联。客户端通过信道1(AP1使用的信道)向AP1发送802.11解除关联信息,解除用户与AP1间的关联。
- 如图中的标号2所示,客户端通过信道6向AP2发送关联请求,AP2使用关联响应做出应答,建立用户与AP2间的关联。
WLAN网络漫游中需注意以下两点:
- 漫游切换需要保证SSID相同,即两台AP切换区域需要配置相同的SSID。
- 漫游切换AP必须是同一个AC管理。
华为WLAN解决方案通过支持下述两种快速漫游技术,实现业务的平滑过渡。
- PMK caching:PMK caching技术是对于802.1X用户而言的,是指802.1X用户与旧AP进行802.1X认证时,STA和AC都会缓存PMK和PMK-ID;当漫游到新AP时, STA会把这些PMK-ID携带过去,无线控制器根据STA携带的PMK-ID查找自己缓存的PMK信息,如果查到,就认为STA已经经过802.1X认证,直接跳过802.1X认证过程,利用缓存的PMK进行四次握手协商出加密KEY, 从而縮短了802.1X用户的漫游延时。如果没有查到,则需要重新进行802.1X认证过程。
- 密钥协商下移技术:密钥协商下移主要是针对数据加密用户包括WPA/WPA2 PSK和802.1X用户。在没有启用这个功能之前,STA主要与AC进行单播和组播密钥的协商;启用这个功能后,STA直接与关联上的AP进行单播和组播密钥的协商,这样在漫游到新AP时,减少了密钥协商所用的时间,从而縮短用户漫游延时。
2.4 AP发现并选择AC方式规划
FIT AP架构下的WLAN网络中,FIT AP为零配置,当FIT AP部署到网络的时候,AP需要去找到相应的AC,并从AC上下载其配置。
AP发现AC的机制有如下几种:
二层广播发现AC
当AC和AP同在一个二层的网络中时,可以通过二层广播方式直接发现AC。
通过DHCP Option 43发现AC
Option 43是DHCP协议的一个属性,在华为WLAN网络里,AP用它识别AC的IP地址。当DHCP Server配置了Option 43后,它给AP分配IP时,在DHCP Offer报文中同时会将此属性告知AP。
图2-2 通过DHCP Option 43发现AC的报文交互图
通过DNS发现AC
当网络中部署了DNS Server时,还可以通过DNS方式让AP来发现AC。需要在DHCP Server上配置DNS Server IP地址以及AC的域名。当AP通过DHCP服务器获取IP地址时,DHCP Server会在DHCP Offer报文中将DNS服务器IP地址(Option 6)和AC域名(Option 15)告知AP,在AP获取到IP地址后,则通过DNS服务器解析到AC的IP,从而实现对AC的发现和关联。
图2-3 通过DNS发现AC的报文交互图
AP上预配置AC列表
AP可以预配置AC的IP地址列表。当预配置好AC列表时,AP将不再启动正常的L2或L3的发现过程,故AC列表里的地址不可达时,AP将永远连接不上AC。
上述几种方式优劣势对比如下表所示。
表2-2 AP发现并选择AC方式优劣势对比表
方式 | 部署要求 | 优势 | 劣势 | 适用网络 |
|---|---|---|---|---|
DHCP Option 43 | DHCP Server启动Option 43属性 | 适用于AP/AC任何组网中 | 对网络有部署要求 | 大中型WLAN网络,AP/AC二层或三层组网 |
DNS | 部署DNS Server;DHCP Server支持Option 15属性 | |||
二层广播发现 | 无 | 对已有网络没有额外要求 | 仅能用于AP/AC二层组网中 | 小型WLAN网络,AP/AC二层组网 |
AP上预配置静态AC列表 | AP预配置 | 对已有网络没有额外要求 | 需要对AP逐一进行配置,工作量大;若AC的IP地址发生变化,则需要重新修改AP的配置 | 小型WLAN网络 |
若无线网络部署了多个无线控制器,AP通过上述某种方式发现了多个AC时,AP根据根据AC负载动态选择接入到负载轻的AC。
2.5 射频管理规划
与IP地址规划一样,WLAN信道是WLAN网络设计中的重要一环,大型无线园区网网络必须对WLAN信道进行统一规划。
WLAN信道规划的好坏,影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力,也必将直接影响到无线网络的用户体验。
射频信道划分
WLAN信道规划是WLAN网络设计中的重要一环,为保证信道之间不相互干扰,大型无线园区网网络必须对WLAN信道进行统一规划并实施。WLAN系统主要应用于两个频段:2.4GHz和5.0GHz。
2.4GHz频段信道划分:
- 2.4G频段具体频率范围为2.4~2.4835GHz的连续频谱,信道编号1~14。
- HT20信道划分:信道带宽为20M,在该模式下,一般选取1、6、11三个不重叠信道,频率规划可用频点只有3个。
- HT40信道划分:信道带宽为40M,受频率限制,只支持一个不重叠信道。
5.0GHz频段信道划分:
- 5.0G频段分配的频谱并不连续,主要有两段:5.15~5.35GHz、5.725GHz~5.85GHz。
- HT20信道划分:不重叠信道在5.15~5.35GHz频段有8个,分别为36、40、44、48、52、56、60、64;在5.725GHz~5.85GHz频段有4个,分别为149、153、157、161。
- HT40信道划分:在该模式下,这两段频谱的可用信道分别为4个和2个。AP支持手动和自动两种方式设置工作信道。设置为自动方式后,一旦检测到信道冲突AP具有信道自动调整功能,建议AP采用自动设置工作信道方式,避免手动设置后一旦信道冲突将导致无法切换信道的问题。
信道自动扫描功能:采用信道自动扫描功能,自动探测周边的AP、使用的信道及干扰,结果上报AC,触发信道调整。
射频信道覆盖
WLAN信道规划需遵循两个原则:蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道,避免信号相互干扰;一般情况单独使用2.4G或5.0G的频段,对于会议室等高密度用户接入的场所,可以启用双频进行覆盖,以便提供更好的接入能力。
图2-4 单频信道规划示意图
图2-5 双频信道规划示意图
2.6 无线网络安全规划
无线设备安全
- AP防盗
安装AP时安装防盗锁即可。
- AP零配置
传统的FAT AP组网模式要求在AP上配置大量的业务参数,同时需要在AP本地保存这些业务配置信息,一旦设备丢失,AP的业务配置信息就可能被泄漏,形成网络的安全漏洞。FIT AP在设备上不保存业务配置,而是每次启动的时候从无线控制器动态加载业务配置,这样可以有效避免设备丢失造成配置泄漏。
当前FIT AP均能做到零配置。
无线IDS/IPS
- IDS——非法AP检测 非法AP主要指未经网络许可而非法部署的AP设备或者是对网络发起无线攻击的AP设备。
对于非法部署的AP设备,可以通过控制AP接入(基于MAC地址;基于设备名称SN等)来防止非法AP接入网络。
对于对网络发起无线攻击的AP设备,网络中合法部署的AP监听设备负责把监听到有攻击行为的无线设备上报给无线控制器,继而上报给网管。
部署建议:
- 对于非法部署的AP设备,由网络设备AC检测,启动相应功能即可。
- 这里主要给出对发起无线攻击的AP的监听部署方案以及对比情况,如表2-3所示。可以根据实际网络要求进行取舍。
表2-3 对发起无线攻击的AP的监听部署方案优劣势对比表
部署方式 | 优点 | 劣势 |
|---|---|---|
部署专职监听AP | 实时监听网络,及时检测出非法AP | 网络部署成本高 |
业务AP兼职监听AP | 网络部署成本相对小 | 不能实时监听网络,无法及时检测到非法AP |
- IPS----黑白名单 用户白名单功能:无线控制器支持静态配置白名单功能,该功能一旦启用,只有白名单上的无线用户才被认为是合法用户,其他非法用户的报文全部在AC上被丢弃,从而减少非法报文对无线网络的冲击。
用户黑名单功能:无线控制器通过配置方式或者实时检测侦听的方式来确定设备是否被加入黑名单,被加入到黑名单中的设备发过来的报文全部在AC上丢弃,从而减少攻击报文对无线网络的冲击。
部署建议:大中型园区网不建议部署,通过认证进行用户的合法检测即可。
2.7 QoS规划
WLAN QoS保证不同质量的无线接入服务之间的互通,满足实际应用的需求。
图2-6 WLAN QoS规划
如图2-6所示,在企业园区中,常采用无线空口做WMM调度,有线侧进行优先级映射,园区网做DiffServ调度的方式,最大程度优化网络发生拥塞时的核心业务和VIP用户服务质量。在这里仅介绍WMM协议技术、优先级映射和流量管理技术。
流量管理
- 基于用户的流量管理
防止P2P业务占用带宽导致其他用户无法正常使用无线网络,比如校园网。
- 基于SSID的流量管理
防止某些SSID用户流量过大影响其他SSID用户的正常业务,比如访客SSID的流量控制。
无线空口做WMM调度
Wi-Fi多媒体标准WMM(Wi-Fi Multimedia)是一种无线QoS协议,无线空口上,WMM将数据报文通过4个优先级队列发送,每个优先级队列占用信道的机会不一样,从而保证语音、视频等应用在无线网络中有更好的质量。
WMM按照优先级从高到低的顺序分为AC(Access Category)-VO(语音流)、AC-VI(视频流)、AC-BE(尽力而为流)、AC-BK(背景流)四个优先级队列,保证越高优先级队列中的报文,抢占信道的能力越高。
表2-4 WMM队列优先级:
WMM队列 | 用户优先级(UP) |
|---|---|
Voice | 6或7 |
Video | 4或5 |
Best Effort | 2或3 |
Background | 0或1 |
优先级的映射
优先级映射包括:
- 无线优先级到有线优先级的映射
- 无线优先级到CAPWAP隧道优先级的映射。
上行无线到有线报文优先级映射
AP接收到无线客户端发送的802.11(无线)数据报文后,将其转换为802.3(以太网)报文,然后向网络侧继续转发。对于本地转发,完成用户优先级UP到802.1P优先级映射;对于集中转发,再实现隧道优先级Tunnel-802.1P、Tunnle-TOS的映射。
下行有线报文到无线报文优先级映射
AP接收到802.3以太报文后,将其转换为802.11报文,并在空口上依据报文中的UP优先级选择不同的WMM队列发送给用户终端。对于本地转发,需要完成802.1P到UP优先级映射;对于集中转发,在AC上可实现TOS优先级到Tunnel-TOS映射,802.1P优先级到Tunnle-802.1P优先级映射。
2.8 可靠性规划
WLAN网络可靠性主要是网络的负载分担,分为AP负载分担和AC的负载分担。
AP负载分担
无线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介,导致每个客户端的网络吞吐将大量减少。AP负载分担可动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。
评估负载的方式有两种:
- 按照用户在线会话数
- 按照用户流量
当前AP负载分担策略是通过控制STA的接入实现负载均衡。当AP的负载情况超过阈值后,该AP就会拒绝新的终端的接入,此时终端将寻找负载较轻的AP进行连接,从而实现负载的均衡。
AC负载分担
AC负载分担即AP根据AC负载动态选择接入到负载轻的AC上去。
AC在响应报文(Discovery Response)中携带该AC负载信息(比如AC允许接入的最大AP数、当前接入的AP数、允许接入的最大STA数、当前接入的STA数),AP通过比较各AC的负载情况选择一个负载轻的AC接入。
通过CAPWAP隧道的心跳机制,AP可及时发现控制器Down,同时根据该方法重新选择一个负载轻的AC接入。
3 WLAN接入认证方案
3.1 无线安全协议标准
如表3-1所示,WLAN无线安全协议标准主要有:OPEN-SYSTEM(Open system authentication)、WEP(Wired Equivalent Privacy)、WPA/WPA2(Wi-Fi Protected Access)、WAPI(WLAN Authentication and Privacy Infrastructure)。
表3-1 WLAN无线安全协议标准介绍
标准 | 简介 | 适用场景 |
|---|---|---|
OPEN-SYSTEM | 开放系统认证是802.11的缺省设置,不进行认证。 | 一般用于有众多用户的运营网络 |
WEP | 有线等效加密,即对于数据的加密和解密都使用同样的密钥和算法,主要用来保护WLAN空口信号的信息安全。 | 应用于小规模/低安全需求的WLAN网络(SOHO/家庭热点等)。 |
WPA/WPA2 | l 基于802.1x架构进行身份认证l 基于PSK(Pre-Shared Key)、EAP等协议进行身份认证l 基于TKIP实现数据加密l 基于4次握手实现用户会话密钥的动态协商l WPA2增加了预认证和CCMP加密,同时兼容WPA | 广泛应用于各种大、中型WLAN网络和公共场合,为目前主推加密方案。 |
WAPI | WAPI系统包含WAI鉴别及密钥管理和WPI数据传输保护:l 基于证书机制和自行设计的WAI(WLAN Authentication Infrastructure)认证协议完成身份鉴别和密钥管理,而没有重用802.1x,Radius等现有安全标准;l 基于自行设计的WPI(WLAN privacy infrastructure)协议实现数据的加密保护; | 中国标准,一般作为准入门槛测试。 |
华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证和加密、WAPI认证加密等无线接入安全特性。
3.2 WLAN终端认证技术
IEEE 802.11标准要求WLAN终端在准备连接到网络时,必须进行“身份验证”。
WLAN终端身份认证主要有两种方式:
- 开放系统认证(Open-system Authentication)
- 共享密钥认证(Shared-Key Authentication)。
开放系统认证是IEEE 802.11标准要求必备的一种方法,是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。在这种方式下,接入点并未验证工作站的真实身份,工作站以MAC地址作为身份证明,这种验证方式可以让所有符合802.11标准的终端都可以接入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN网络。
共享密钥式认证必需使用加密方式,要求每个WLAN终端都配置和AP完全一致的密钥(key)。由于配置工作量较大,一般适用于企业网、校园网及家庭网络等。
二者对比如下:表3-2 WLAN终端认证方式对比
认证方式 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
开放式系统认证 | 部署简单,终端接入速度快,有效带宽高。 | 安全性差,无法检验客户端是否合法,任何知道无线局域网SSID的用户都可以访问网络。 | 电信运营网络 |
共享密钥式认证 | 安全性较高,采用加密方式对密钥进行保护,空口密钥数据不再明文传输。 | 配置复杂,可扩展性不佳;每台终端和AP上都需要静态配置一个很长的密钥字符串。有效带宽较低,加密降低了传输效率。 | 企业网、校园网及家庭网络等。 |
3.3 无线用户身份认证技术
相对于简单的STA身份验证过滤机制,链路层用户身份验证的安全性大大提高。通过提供有限的访问权限来验证用户身份,只有确定用户身份后才给予完整的网络访问权限,可有效判别用户的合法性。链路层身份验证是透明的,能配合任何网络层协议使用。
常用的WLAN的链路层身份验证主要有MAC认证、802.1x、Portal(DHCP+Web)、PPPoE等几种认证方式。
对于新能源风电厂而言,无线哑终端一般通过MAC认证接入,办公区域通过802.1x或Portal认证接入,访客区域一般通过Portal认证接入。
多种认证技术保证WiFi终端安全接入,合法用户访问合规资源,从源头上消除安全威胁。
MAC认证
MAC认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何的客户端。由于无线终端的网卡都具备唯一的MAC地址,因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。地址过滤控制方式要求预先在AP服务器中写入合法的MAC地址列表,只有当客户机的MAC地址和合法MAC地址表中的地址匹配,AP才允许客户机与之通信。
在企业园区中MAC认证主要用于IP电话、打印机等哑终端设备的接入。
802.1x认证
802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证。如果认证失败,则禁止该设备访问LAN资源。
尽管802.1x标准最初是为有线以太网设计制定的,但它也适用于符合802.11标准的无线局域网,且被视为是WLAN的一种增强性网络安全解决方案。802.1x体系结构包括三个主要的组件:
- 请求方(Supplicant):提出认证申请的用户接入设备,在无线网络中,通常指待接入网络的无线客户机STA。
- 认证方(Authenticator):允许客户机进行网络访问的实体,在无线网络中,通常指访问接入点AP或控制器AC设备。
- 认证服务器(Authentication Sever):为认证方提供认证服务的实体。认证服务器对请求方进行验证,然后告知认证方该请求者是否为授权用户。认证服务器可以是某个单独的服务器实体,也可以不是,后一种情况通常是将认证功能集成在认证方Authenticator中。
802.1x技术是一种增强型的网络安全解决方案。在采用802.1x的无线LAN中,无线用户端安装802.1x客户端软件作为请求方,无线设备AP/AC内嵌802.1x认证代理作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。
802.1x体系本身不是一个完整的认证机制,而是一个通用架构。用来传输实际的认证协议。802.1x体系的好处就是当一个新的认证协议发展出来的时候,基础的802.1x体系机制不需要随着改变。802.1x体系使用EAP(Extensible Authentication Protocol)认证协议,目前有超过20种不同的EAP协议。
802.1x认证常用的包括以下几种EAP认证模式:
- EAP-MD5
- EAP-TLS(Transport Layer Security)
- EAP-TTLS(Tunnelled Transport Layer Security)
- EAP-PEAP(Protected EAP)
- EAP-LEAP(Lightweight EAP)
- EAP-SIM
Portal认证
Portal认证也称Web认证或DHCP+Web认证。客户端使用标准Web浏览器(例如IE),填入用户名、密码信息,页面提交后,由Web服务器和设备配合完成用户的认证。
接入设备将来自客户的HTTP请求重定向到Portal服务器,在Portal页面上输入用户名、密码进行认证。用户在Web认证之前,必须先通过DHCP、静态配置等获得IP地址。用户如果被配置成强制Web认证,则用户只需要输入自己喜欢的网页即可,系统自动下载认证网页。
主要认证过程为:
- 动态用户通过DHCP协议获取地址;
- 用户访问Web认证服务器的认证页面,并在其中输入用户名、密码,Web认证服务器将用户的信息通过内部协议,通知接入设备;
- 接入服务器到相应的AAA服务器对该用户进行认证,将认证结果通知Web认证服务器;
- Web认证服务器通过HTTP页面将认证结果通知用户,如果认证成功用户即可正常访问网络资源。
Portal认证通常需要多个服务器支持,DHCP服务器、AAA服务器等。
无线接入认证和安全协议对应关系表3-3 无线接入认证和安全协议对应关系表 认证方法 安全协议 安全性 封装开销 地址分配 客户端软件 应用场景 MAC认证 Open System 低 小 认证后分配 不需要 PDA、IP电话等哑终端设备接入。WEP/WPA/WPA2+PSK 低 小 认证后分配 不需要 场景同上,需要维护PSK密码。Portal认证 Open System 中 小 认证前分配 不需要 中小型园区网络。WEP/WPA/WPA2+PSK 中 小 认证前分配 不需要 场景同上,需要维护PSK密码。802.1x认证 WEP/WPA/WPA2 高 小 认证后分配 需要 大中型园区网络。
从安全性和易部署性等多方面考虑,推荐802.1x+WPA2的机制。
无线用户AC集中认证方案
无线用户在AC上集中认证,可以保证无线用户集中管理,授权通过AC控制隧道下发到AP设备,精细化控制用户访问权限,并在用户漫游、安全控制等方面由AC做到灵活控制。
无线用户集中认证,需要保证相关认证协议能够上送AC处理。集中转发场景下,EAP、Portal报文作为数据报文通过CAPWAP数据隧道上送AC;在本地转发场景下,可通过配置让EAP、Portal报文进入CAPWAP控制隧道,从而上送到AC设备完成认证过程。
图3-1 无线用户AC集中认证示意图
AC集中认证组网如图3-1所示,认证方式包括MAC、802.1x、Portal、PPPoE等方式。园区网中,从安全性、易部署等角度考虑,一般推荐802.1x+WPA2接入认证。
3.3.2 认证、安全集成方案
认证+安全方案:
根据新能源的要求,对认证和安全要求较早,可通过准入控制+安全检查,提升内网安全。并且服务器组件支持定制化选择,若用户只作准入认证,则可不选择安全组件。
图3-2 认证+安全方案组网图
如上图,认证组件、安全组件、客户端为必选组件。其中服务器组件采用华为TSM系统,认证服务器和安全服务器之间为内部通道,一般部署在同一台服务器上。
功能实现流程:
- 无线用户认证报文到AC后,通过Radius协议(Portal认证先到Portal服务器交互)到认证服务器完成认证过程。
- 安全服务器和客户端配合,完成终端病毒库、补丁等健康检查功能,并可和软件服务器联动,进行终端修复操作。
4 新能源WDS网桥无线数据回传与覆盖方案
WDS(Wireless Distribution System),通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,组建一个互通的网络,实现数据访问。
WDS技术适用于在大型仓库、港口码头、山川河流等不适合部署线缆的恶劣环境以及乡村、郊区或者野外等人员稀疏环境,通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,并为他们之间提供数据交换功能。方便网络部署、安装,实现灵活组网。
图4-1 WLAN无线回传示意图
如图4-1所示,在不适合部署线缆的恶劣环境下,无线网桥通过P2P/P2MP桥接功能,实现热点区域覆盖和数据回传;其中桥接使用5.0G频段,无线覆盖使用2.4G频段。
4.1 WDS组网模式
在实际组网中,WDS网桥组网模式可以分为点对点模式和点对多点模式。
图4-2 点对点组网模式示意图
如图4-2所示,WDS通过两台设备实现了两个网络无线桥接,最终实现两个网络的互通。实际应用中,每一台设备可以通过配置对端设备的MAC地址,确定需要建立的桥接链路。
图4-3 点对多点组网模式示意图
如图4-3所示,在点到多点的组网环境中,一台设备作为中心设备,其他所有的设备都只和中心设备建立无线桥接,实现多个网络的互联。但是多个分支网络的互通都要通过中心桥接设备进行数据转发。
在点对多点组网场景下,AP网桥链路之间、以及有线链路可能出现网络环路。为防止网络风暴、保证正确的二层转发,需要启用STP功能打开环路检测。STP功能对AP有线接口、和开启了WDS的网桥接口有效。网桥端口的每个无线虚链路作为一个独立逻辑端口参与STP协议交互和控制。
4.2 WDS组网性能指标
由于无线技术较容易受到应用环境、传输距离、天线增益、频宽等因素影响,因此在进行无线回传规划时需要关注现场环境带来的影响,传输性能如下表所示:
表4-1 无线网桥(WDS)P2P传输性能指标
工作频段 | 环境 | 天线增益 | 典型距离下802.11n HT20/HT40吞吐量(Mbps) | |||||
|---|---|---|---|---|---|---|---|---|
500m | 1km | 2km | 5km | 10km | 频宽 | |||
2.4G覆盖/维护 | 市区 | 11dBi | 80 | 80 | 45 | 15 | / | HT20 |
14dBi | 80 | 80 | 80 | 36 | 15 | HT20 | ||
17 dBi | 80 | 80 | 80 | 60 | 36 | HT20 | ||
郊区/农村 | 11dBi | 80 | 80 | 70 | 32 | 12 | HT20 | |
14dBi | 80 | 80 | 80 | 55 | 32 | HT20 | ||
17 dBi | 80 | 80 | 80 | 80 | 55 | HT20 | ||
5.8G无线回传 | 市区 | 11dBi | 55/90 | 30/45 | 6/? | / | / | HT20/HT40 |
15dBi | 80/160 | 60/95 | 30/45 | / | / | HT20/HT40 | ||
18dBi | 80/160 | 80/160 | 50/80 | 12/15 | / | HT20/HT40 | ||
21dBi | 80/160 | 80/160 | 80/135 | 32/50 | 10/? | HT20/HT40 | ||
郊区/农村 | 11dBi | 80/160 | 80/135 | 45/65 | 8/? | / | HT20/HT40 | |
15dBi | 80/160 | 80/160 | 48/70 | 10/? | / | HT20/HT40 | ||
18dBi | 80/160 | 80/160 | 80/120 | 30/45 | 8/? | HT20/HT40 | ||
21dBi | 80/160 | 80/160 | 80/160 | 50/80 | 27/40 | HT20/HT40 | ||
2.4G一般用于用户接入覆盖及设备维护,不建议回传使用,无线回传推荐5.8G频段,传输距离控制在5KM。
表4-2 无线网桥(WDS)P2MP传输性能指标
P2MP | 影响因素 | 吞吐量影响因子 | ||
|---|---|---|---|---|
隐藏终端 | 多用户竞争 | P | MP | |
1 | 无 | 无 | 1 | 1 |
2 | 0.6 | 0.95 | 0.57 | 0.285 |
3 | 0.6 | 0.9 | 0.54 | 0.18 |
4 | 0.6 | 0.9 | 0.54 | 0.135 |
5 | 0.6 | 0.8 | 0.48 | 0.096 |
6 | 0.6 | 0.8 | 0.48 | 0.08 |
使用点对多点(P2MP)网桥时受隐藏终端和多用户竞争等因素影响,吞吐量将急剧下降;因此点对多点(P2MP)网桥吞吐量性能评估需在点对点(P2P)网桥数据基础上考虑吞吐量系数。
网络规划中,P2MP网桥推荐不超过4个,无线回传距离控制在5km内。
5 WLAN网络管理方案
5.1 网管方案概述
华为公司eSight管理平台根据企业网网络管理特点,采用B/S架构,瘦客户端,远程登录。eSight平台的WLAN功能模块组件化解耦,按需拆卸,便于在企业网不同场景下灵活组合,并能够提供二次开发和定制能力。
图5-1 eSight WLAN网络管理
5.2 eSight WLAN网络管理流程
WLAN网络管理帮助用户快速完成无线网络部署,提供网络设备、非法AP等物理资源监控,实现故障的快速感知、定位及解决,同时通过无线相关报表及多形式分类资源统计,为用户日常运维及网络调整提供了依据,极大提升网络管理效率。
Sight WLAN网络管理流程如图5-2所示。
图5-2 eSight WLAN网络管理流程
网络部署
网络安装完毕后,用户通过简洁向导式部署页面,首先指定AC参数配置,其次创建网元级配置模板,通过规化表单批量导入FIT AP列表,最终批量完成FIT AP部署,快速完成WLAN网络的部署。
网络监控
用户可以通过网管物理拓扑,查看监控AC设备及链路状态;可以通过WLAN业务拓扑直观查看STA、FIT AP、AC接入关系;可以通过位置拓扑查看当前热点位置及射频信号覆盖范围并在视图上标识当前非法AP位置。用户通过性能管理、告警管理及WLAN物理资源管理监控网络运行状况,并通过报表系统周期性给出WLAN相关报表,帮助用户实现轻松运维。
网络故障恢复
当网络中的AP出现异常或在WLAN网络的调试过程中,用户可以通过网管远程批量恢复AP的出厂设置;在WLAN网络中AP升级完成后或在WLAN网络的调试过程中,用户可以通过网管远程批量重启AP;当网络中的AP出现硬件故障需要替换时,用户可以通过网管快速完成AP替换,AC复制故障AP上原有的配置至替换新替换的AP,快速保证AP替换后业务不变。
用户可以可通过AP PING上行设备IP(包括网关或服务器IP),根据测试结果,判断AP上行业务线路的通断情况;或通过AP下行PING用户IP地址,从而确认用户报障原因是用户关联问题还是上行业务不通。AP Ping受AP状态正常约束,所以提供AC的诊断,AC下行Ping,可诊断AC至AP链路通断。
5.3 企业WLAN网络管理规划
大中型园区无线网络管理
对于大中型园区WLAN网络,推荐使用专门的网管平台(例如eSight)实现对WLAN网络的管理。它不仅可以实现对于WLAN业务的AC、AP、STA等节点和资源的监控,还可以实现对于AC、AP等节点和业务的配置,节省维护成本。
小型、微型园区无线网络管理
小型园区网络中可能不会部署专门的网管,此时可以通过AC上的本地管理对无线网络进行管理维护,包括相关配置、告警、软件版本管理等等。登录到AC的方式有Telnet,可以满足普通或安全的登录要求。
基于用户的帐号管理可以确保只有相关资格的人才能登录网络进行网络运维管理,保护网络的安全与可靠性。
6 主要应用产品介绍
WLAN系列产品主要包括AC6605盒式AP6510DN或AP6610DN等多款AP。
6.1 AP6510DN-AGN标准室外双频AP
图6-1 AP6510DN-AGN产品实物图
产品规格
表6-1 AP6510DN-AGN产品规格
项目 | 规格 |
|---|---|
IEEE标准 | 802.11a/b/g/n标准,支持2.4GHz和5GHz频率 |
尺寸 | 265×265×83m |
重量 | 3.0kg |
功耗 | 24W |
供电 | 标准802.3af |
发射功率 | 2.4GHz-500mW;5GHz-125mW |
主要性能
- 2x2多入多出(MIMO),2条空间流
- 支持最大比合并(MRC)
- 支持802.11n和 802.11a/g波束赋形
- 支持20- 和40-MHz 信道,PHY数据速率高达300Mbps
- 数据包聚合:A-MPDU(Tx/Rx);A-MSDU(Rx only)
- 802.11动态频率选择(DFS)
6.2 AP6610DN-AGN全规格室外双频AP
图6-2 AP6610DN-AGN产品实物图
产品规格
表6-2 AP6610DN-AGN产品规格
项目 | 规格 |
|---|---|
IEEE标准 | 802.11a/b/g/n标准,支持2.4GHz和5GHz频率 |
尺寸 | 265×265×83mm |
重量 | 3.5kg |
功耗 | 28W |
供电 | 非标准802.3at |
发射功率 | 2.4GHz-500mW;5GHz-125mW |
接口 | 支持SFP接口,支持交流本地供电 |
主要性能
- 2x2 多入多出(MIMO),2条空间流
- 支持最大比合并(MRC)
- 支持802.11n和 802.11a/g波束赋形
- 支持20- 和40-MHz 信道,PHY数据速率高达300Mbps
- 数据包聚合:A-MPDU(Tx/Rx);A-MSDU(Rx only)
- 802.11动态频率选择(DFS)
6.3 AC6605-26-PWR
图6-3 AC6605-26-PWR产品实物图
AC6605-26-PWR特点产品有如下:高性能
- 支持快速漫游(缓存PMK)
- 高达512 APs管理能力
高可靠
- AC设备间1+1双链路备份
- 上行链路LACP、MSTP 50ms保护
- 双电源接口,备份保护
- 风扇、电源热插拔,高温告警保护
强大的组网和业务能力
- 丰富接口:2个10GE光接口,4个GE Combo接口,24个GE电口。
- 业务强大:精细化QoS、丰富L2/L3功能、标准MIB接口。
保护投资
- 无缝适应WLAN 11b/g和11n
- 华为标准软件平台,和宽带城域设备无缝融合