• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C WX系列无线控制器 Web配置指导(E1406P01)-5W100

04-功能介绍

本章节下载 04-功能介绍  (1.66 MB)

04-功能介绍

  录

1 无线配置

1.1 无线服务

1.1.1 无线接入

1.1.2 链路层认证与密钥管理

1.1.3 授权

1.1.4 基于ACL的接入控制

1.2 Hotspot2.0

1.2.1 工作流程

1.2.2 Hotspot2.0配置

1.3 AP管理

1.3.1 CAPWAP隧道

1.3.2 区域码

1.3.3 LED mode

1.3.4 Map文件

1.3.5 AC备份

1.3.6 AP组

1.3.7 AP全局配置

1.3.8 自动AP

1.4 无线QoS

1.4.1 客户端限速

1.4.2 智能带宽保障

1.4.3 无线多媒体

1.5 射频管理

1.5.1 射频模式

1.5.2 信道

1.5.3 功率

1.5.4 速率

1.5.5 MCS

1.5.6 VHT-MCS

1.5.7 HE-MCS

1.5.8 射频基础功能

1.5.9 802.11n功能

1.5.10 802.11ac功能

1.5.11 802.11ax功能

1.5.12 射频优化

1.5.13 频谱分析

1.5.14 负载均衡

1.5.15 频谱导航

1.6 无线安全

1.6.1 WIPS

1.6.2 黑白名单

1.7 漫游

1.7.1 漫游组

1.7.2 Portal漫游中心

1.8 应用

1.8.1 Mesh服务

1.8.2 组播优化

1.8.3 Bonjour网关

1.8.4 探针

2 网络配置

2.1 接口

2.1.1 接口

2.1.2 链路聚合

2.2 链路

2.2.1 VLAN

2.2.2 MAC

2.2.3 STP

2.2.4 DHCP Snooping

2.3 路由

2.3.1 路由表

2.3.2 静态路由

2.3.3 OSPF

2.4 IP

2.4.1 NAT

2.4.2 IP

2.4.3 ARP

2.4.4 IPv4 DNS

2.5 IPv6

2.5.1 IPv6

2.5.2 ND

2.5.3 IPv6 DNS

2.6 组播

2.6.1 IGMP Snooping

2.6.2 MLD Snooping

2.7 管理协议

2.7.1 DHCP

2.7.2 HTTP/HTTPS

2.7.3 FTP

2.7.4 Telnet

2.7.5 SSH

2.7.6 NTP

2.7.7 SNMP

2.7.8 LLDP

3 网络安全

3.1 流策略

3.1.1 包过滤

3.1.2 QoS流策略

3.1.3 优先级映射

3.2 访问控制

3.2.1 ACL分类

3.2.2 ACL规则匹配顺序

3.2.3 ACL规则编号

3.3 接入认证

3.3.1 Portal

3.4 AAA

3.4.1 ISP域

3.4.2 RADIUS

3.4.3 本地认证

3.5 用户管理

3.6 来宾管理

3.7 BYOD

3.7.1 BYOD规则

3.7.2 BYOD授权

4 系统

4.1 日志

4.1.1 事件日志

4.1.2 设置

4.2 资源

4.2.1 时间段

4.3 文件管理

4.3.1 文件管理

4.4 License管理

4.4.2 License配置

4.4.3 获取DID

4.4.4 License和特性

4.4.5 压缩

4.5 设备管理

4.5.1 管理员

4.5.2 系统设置

4.5.3 配置文件

4.5.4 软件更新

4.5.5 云服务

4.5.6 重启

4.5.7 关于

5 工具

5.1 调试

5.2 Ping

5.2.1 IPv4\IPv6 Ping

5.2.2 RF Ping

5.3 Tracert

5.3.1 IPv4\IPv6 Tracert

 


1 无线配置

1.1  无线服务

1.1.1  无线接入

无线网络为用户提供WLAN接入服务。无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络,接入点设备安置在需要覆盖无线网络的区域,用户在该区域内就可以通过无线接入的方式接入无线网络。

1. 无线服务

无线服务即一类无线服务属性的集合,如无线网络的SSID、认证方式(开放系统认证或者共享密钥认证)等。

2. SSID

SSID(Service Set Identifier,服务集标识符),就是无线网络的名称。

3. 缺省VLAN

终端接入无线服务后被分配的VLAN。

4. 隐藏SSID

AP将SSID置于Beacon帧中向外广播发送。若BSS(Basic Service Set,基本服务集)的客户端数量已达到上限或BSS一段时间内不可用即客户端不能上线,不希望其它客户端上线,则可以配置隐藏SSID。若配置了隐藏SSID,AP不将SSID置于Beacon帧中,还可以借此保护网络免遭攻击。为了进一步保护无线网络,AP对于广播Probe Request帧也不会回复。此时客户端若想连接此BSS,则需要手工指定该SSID,这时客户端会直接向该AP发送认证及关联报文连接该BSS。

5. 二层隔离

基于SSID的用户隔离功能适用于集中式转发和本地转发场景下,设备开启基于SSID的用户隔离功能后,通过该SSID接入无线服务且处于同一VLAN内的无线用户之间将不能够互相访问。

6. 转发类型

可以在AC上将客户端数据报文转发位置配置在AC或者AP上。

·     将数据报文转发位置配置在AC上时,为集中式转发,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文;

·     将数据报文转发位置配置在AP上时,为本地转发,客户端的数据流量直接由AP进行转发。将转发位置配置在AP上缓解了AC的数据转发压力。

客户端数据报文的转发位置可以基于VLAN灵活分配:

·     将转发位置配置在AC上时,可以指定VLAN,即只有处于指定VLAN的客户端,在AC上转发其数据流量,其余VLAN的客户端数据报文的转发位置在AP上;

·     将转发位置配置在AP上时,可以指定VLAN,即只有处于指定VLAN的客户端,在AP上转发其数据流量,其余VLAN的客户端数据报文的转发位置在AC上。

7. 认证模式

说明

有关MAC地址认证、Portal认证的详细介绍,请参见3.3  接入认证

 

·     静态PSK认证

PSK认证方式需要在AP侧预先输入预共享密钥,在客户端关联过程中,手动输入该密钥,AP和客户端通过四次握手密钥协商来验证客户端的预共享密钥的合法性,若PTK协商成功,则证明该用户合法,以此来达到认证的目的。

·     802.1X认证

设备端支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。若用户认证位置在AP上,则AP为认证设备,由AP处理认证过程,若用户认证位置在AC上,则AC为认证设备,由AC处理认证过程。

¡     握手功能:使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。

¡     安全握手功能:802.1X安全握手是指在握手报文中加入验证信息,以防止非法用户仿冒正常用户的在线的802.1X的客户端与设备进行握手报文的交互。使能802.1X安全握手功能后,支持安全握手的客户端需要在每次向设备发送的握手应答报文中携带验证信息,设备将其与认证服务器下发的验证信息进行对比,如果不一致,则强制用户下线。

¡     在无线服务下启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔定期向在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。

·     静态WEP密钥

在Pre-RSNA安全机制的WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,因此802.11提供了动态WEP加密机制。在动态WEP加密机制中,加密单播数据帧的WEP密钥是由客户端和认证服务器通过802.1X认证协商产生,保证了每个客户端使用不同的WEP单播密钥,从而提高了单播数据帧传输的安全性。组播密钥是WEP密钥,若未配置WEP密钥,则AP使用随机算法产生组播密钥。

当客户端通过802.1X认证后,AP通过发送RC4 EAPOL-Key报文将组播密钥及密钥ID以及单播密钥的密钥ID(固定为4)分发给客户端。

8. 认证位置

AC、AP均可以处理用户的认证请求,即对用户进行本地认证或将用户的认证信息上送给RADIUS服务器进行集中式认证。当配置的用户接入认证位置为AC时,表示认证位置在AC上。

9. 快速切换

802.11r协议中定义的FT(Fast BSS Transition,快速BSS切换)功能用来减少客户端在漫游过程中的时间延迟,从而降低连接中断概率、提高漫游服务质量。

开启本功能后,FT采用Over-the-Air方式,即客户端直接与目标AP通信,进行漫游前的认证。

10. 绑定无线服务

无线服务跟AP的Radio存在多对多的映射关系,将无线服务绑定在某个AP的射频上,AP会根据射频上绑定的无线服务的属性创建BSS。BSS是无线服务提供服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端可以通过同一个SSID访问网络。

绑定无线服务时,可以进行如下配置:

·     可以为该BSS指定一个VLAN组,该BSS下连接的客户端会被均衡地分配在VLAN组的所有VLAN中,既能将客户端划分在不同广播域中,又能充分利用不连续的地址段为客户端分配IP地址。

·     可以绑定NAS-Port-ID和NAS-ID,用于网络服务提供者标识客户端的接入位置,区分流量来源。按照网络服务提供者的标准,不同的NAS-Port-ID对应不同的位置信息。

·     可以配置SSID隐藏。

1.1.2  链路层认证与密钥管理

最初802.11的安全机制被称为Pre-RSNA安全机制,它的认证机制不完善,容易被攻破,存在安全隐患,且在WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,所以IEEE制订了802.11i协议来加强无线网络的安全性。

但802.11i仅对无线网络的数据报文进行加密保护,而不对管理帧进行保护,所以管理帧的机密性、真实性、完整性无法保证,容易受到仿冒或监听,例如:恶意攻击者通过获取设备的MAC地址并仿冒设备恶意拒绝客户端认证或恶意结束设备与客户端的关联。802.11w无线加密标准建立在802.11i框架上,通过保护无线网络的管理帧来解决上述问题,进一步增强无线网络的安全性。

1. Pre-RSNA安全机制

Pre-RSNA安全机制采用开放式系统认证(Open system authentication)和共享密钥认证(Shared key authentication)两种认证方式来进行客户端认证,并且采用WEP加密方式对数据进行加密来保护数据机密性,以对抗窃听。WEP加密使用RC4加密算法(一种流加密算法)实现数据报文的加密,WEP加密支持WEP40、WEP104和WEP128三种密钥长度。

2. RSNA安全机制

802.11i安全机制又被称为RSNA(Robust Security Network Association,健壮安全网络连接)安全机制,包括WPA(Wi-Fi Protected Access,Wi-Fi保护访问)和RSN(Robust Security Network,健壮安全网络)两种安全模式,采用AKM(Authentication and Key Management,身份认证与密钥管理)对用户身份的合法性进行认证,对密钥的生成、更新进行动态管理,并且采用TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)和CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制对报文进行加密。

AKM分为802.1X、Private-PSK和PSK和三种模式:

·     802.1X:采用802.1X认证对用户进行身份认证,并在认证过程中生成PMK(Pairwise Master Key,成对主密钥),客户端和AP使用该PMK生成PTK(Pairwise Transient Key,成对临时密钥)。

·     Private-PSK:采用PSK(Pre-Shared Key,预共享密钥)认证进行身份认证,使用客户端的MAC地址作为PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。

·     PSK:采用PSK认证进行身份认证,并通过PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。

(1)     密钥种类

802.11i协议中密钥主要包括PTK和GTK(Group Temporal Key,群组临时密钥)两种:

¡     PTK用于保护单播数据。

¡     GTK用于保护组播和广播数据。

(2)     WPA安全模式密钥协商

WPA是一种比WEP加密性能更强的安全机制。在802.11i协议完善前,采用WPA为用户提供一个临时性的WLAN安全增强解决方案。在WPA安全网络中,客户端和AP通过使用EAPOL-Key报文进行四次握手协商出PTK,通过使用EAPOL-Key报文进行二次组播握手协商出GTK。

(3)     RSN安全模式密钥协商

RSN是按照802.11i协议为用户提供的一种WLAN安全解决方案。在RSN网络中,客户端和AP通过使用EAPOL-Key类型报文进行四次握手协商出PTK和GTK。

(4)     密钥更新

如果客户端长时间使用一个密钥,或携带当前网络正在使用的组播密钥离线,此时网络被破坏的可能性很大,安全性就会大大降低。WLAN网络通过身份认证与密钥管理中的密钥更新机制来提高WLAN网络安全性。密钥更新包括PTK更新和GTK更新。

¡     PTK更新:PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制,来提高安全性。

¡     GTK更新:GTK更新是对组播数据报文的加密密钥进行更新的一种安全手段,采用重新进行两次组播握手协商出新的GTK密钥的更新机制,来提高安全性。

(5)     加密套件

由于WEP加密易破解,一旦攻击者收集到足够多的有效数据帧进行统计分析,那么将会造成数据泄露,无线网络将不再安全。802.11i增加了TKIP和CCMP两种加密套件来保护用户数据安全,以下分别介绍。

¡     TKIP

TKIP加密机制依然使用RC4算法,所以不需要升级原来无线设备的硬件,只需通过软件升级的方式就可以提高无线网络的安全性。相比WEP加密机制,TKIP有如下改进:

-     通过增长了算法的IV(Initialization Vector,初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;

-     采用和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;

-     支持TKIP反制功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个MIC错误的报文,AP将会启动TKIP反制功能,此时,AP将通过关闭一段时间无线服务的方式,实现对无线网络攻击的防御。

¡     CCMP

CCMP加密机制使用AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,CCMP使得无线网络安全有了极大的提高。CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会使用不同的PN,在一定程度上提高安全性。

1.1.3  授权

授权信息包括VLAN、ACL和User Profile,分为RADIUS服务器下发的授权信息和设备本地下发的授权信息。若用户不想使用授权信息,则可以配置忽略授权信息。

1.1.4  基于ACL的接入控制

基于ACL的接入控制是指,设备根据指定ACL中配置的规则对新接入的无线客户端进行接入控制。

当无线客户端接入无线网络时,设备通过判断无线客户端MAC地址与指定的ACL规则的匹配情况对客户端进行过滤,具体的过滤机制如下:

·     如果匹配上某permit规则,则允许无线客户端接入无线网络;

·     如果匹配上某deny规则,则拒绝无线客户端接入无线网络;

·     如果未匹配上任何规则,则拒绝其接入。

1.2  Hotspot2.0

Hotspot2.0协议是由Wi-Fi联盟推出的,可以使客户端自动发现、注册并关联和自己移动网络服务提供商有漫游协议的无线Wi-Fi网络,实现移动数据网络和无线Wi-Fi网络的自动切换,或者无线Wi-Fi网络的不同无线服务的自动切换的一种协议。Hotspot2.0协议分为Version 1和Version 2两个版本,目前本地Web支持Version 1版本。

本功能的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

产品代码

说明

WX3500X系列

·     WX3510X

·     WX3520X

·     WX3540X

·     EWP-WX3510X

·     EWP-WX3520X

·     EWP-WX3540X

不支持

WX3500X-E系列

WX3508X-E

EWP-WX3508X-E

不支持

 

产品系列

产品型号

产品代码

说明

WX3800X系列

·     WX3820X

·     WX3840X

·     EWP-WX3820X

·     EWP-WX3840X

支持

 

1.2.1  工作流程

Hotspot 2.0网络的接入过程分为两个步骤:

(1)     无线扫描

客户端在实际工作过程中,通过主动扫描或被动扫描发现周围的Hotspot 2.0网络,具体过程如下:

¡     主动扫描:客户端周期性广播Probe Request帧(探测请求帧),通过收到包含网络类型、场地信息和漫游联盟支持情况等信息的Probe Response帧(探测响应帧)获取Hotspot 2.0网络信息,具体过程如图1-1所示。

图1-1 主动扫描过程

 

¡     被动扫描:客户端通过侦听AP周期发送的包含网络类型、场地信息和漫游联盟支持情况等信息的Beacon帧(信标帧)发现周围的Hotspot 2.0网络。具体过程如图1-2所示。被动扫描可以节省客户端用电量。

图1-2 被动扫描过程

 

(2)     GAS交换

客户端通过主动扫描或被动扫描发现Hotspot 2.0网络后,通过GAS报文的交互获取Hotspot 2.0网络参数,并根据获取到的信息及客户端本地配置信息,选择合适的BSS(Basic Service Set,基本服务集)网络,具体交互过程如图1-3所示。

a.     客户端向AP发送GAS initial request来获取Hotspot 2.0网络参数。

b.     AP接收到GAS initial request后进行报文解析,如果需要携带的GAS initial response报文中的信息大小超过限制,则发送GAS initial response报文通知客户端在Comeback delay时间间隔后使用GAS comeback request请求获取Hotspot 2.0参数信息,否则直接将Hotspot 2.0网络参数携带在GAS initial response报文中发送给客户端。

c.     客户端在Comeback delay时间间隔后使用GAS comeback request请求获取Hotspot 2.0参数信息。

d.     AP收到GAS comeback request请求后,将使用GAS comeback response报文携带Hotspot 2.0参数信息。

图1-3 GAS报文交互过程

 

1.2.2  Hotspot2.0配置

1. 配置流程

创建Hotspot 2.0策略时,可以完成如下配置:

·     Hotspot2.0策略号:Hotspot 2.0策略的索引号,取值范围为1~32。

·     网络类型:客户端通过AP访问的网络类型。

·     网络连接能力:通告客户端该设备的IP协议的端口状态,端口状态包括关闭、开启和未知三种状态。

·     运营商信息:运营商名称以及语言标识码。

·     NAI(Network Access Identifier,网络接入标识)域:提供了可以通过AP访问的网络的域名信息、与域名信息对应的EAP认证信息以及与EAP对应的认证方法。

·     3GPP:3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)信息即3G网络信息,其中包含国家码和网络码,国家码用来标识国家,网络码用来标识运营商。

·     域名:客户端所在的域的名称。

完成Hotspot2.0策略创建后,需要将Hotspot 2.0策略绑定到无线服务模板上,该无线服务模板才会使用Hotspot 2.0策略中的配置生成Hotspot 2.0网络。

2. 使用指导

·     只有当Hotspot 2.0策略已存在且无线服务模板处于关闭状态时,才能将Hotspot 2.0策略绑定到无线服务模板上。

·     当无线服务模板上绑定了Hotspot 2.0策略时,认证模式必须为802.1X 认证,安全模式为WPA2,加密套件为CCMP,才能开启无线服务模板。

·     接入的客户端需要预先设置相关的网络信息,如NAI域、域名等信息,并保存在其配置文件里。

1.3  AP管理

随着无线网络的大规模发展,当大量部署AP(Access Point,接入点)时,AP升级软件、射频参数的配置和调整等管理工作将给用户带来高昂的管理成本。为解决这一问题,WLAN采用AC+Fit AP架构,即通过AC(Access Controller,接入控制器)对下属的AP进行集中控制和管理,AP不需要任何配置,所有的配置都保存在AC上并由AC下发,同时由AC对AP进行统一的管理和维护,AP和AC间采用CAPWAP(Controlling and Provisioning of Wireless Access Point,无线接入点控制与供应)隧道进行通讯,用于传递数据报文和控制报文。

1.3.1  CAPWAP隧道

CAPWAP隧道为AP和AC之间的通信提供了通用的封装和传输机制,CAPWAP隧道使用UDP协议作为传输协议,并支持IPv4和IPv6协议。

图1-4所示,AC通过CAPWAP协议与AP建立控制隧道和数据隧道,AC通过控制隧道对AP进行管理和监控,通过数据隧道转发客户端的数据报文。

图1-4 CAPWAP隧道典型组网图

 

2. 配置准备

CAPWAP隧道的建立需要DHCP和DNS的配合。因此,首先需要完成以下配置任务:

·     AP需要获取到自身的IP地址,因此需要在DHCP server上配置地址池为AP分配IP地址。

·     若获取AC地址的方式为DHCP选项方式,则需要在DHCP server上将对应地址池的Option 138或Option 43配置为AC的IPv4地址,或使用Option 52配置AC的IPv6地址。

·     若获取AC地址的方式为DNS方式,则需要在DHCP server对应的地址池上配置DNS server的IP地址和AC的域名后缀。并在DNS server上创建区域,添加AC的IP地址和域名的映射。

·     保证AC和AP之间的路由可达。

3. 获取AC地址

AP零配置启动后,AP会自动创建VLAN-interface 1,并在该接口上默认开启DHCP客户端、DHCPv6客户端和DNS客户端功能,完成上述操作后,AP将使用获取的AC地址发现AC并建立CAPWAP隧道。AP获取AC地址的方式如下:

·     静态配置:通过预配置为AP手工指定AC的IP地址。

·     DHCP选项:通过DHCP服务器返回的Option 138或Option 43选项获取AC地址。若通过两个选项都获取了AC地址,则AP选择从Option 138获取的地址作为AC地址,并向AC地址发送单播Discovery request报文来发现、选择AC并建立CAPWAP隧道。

·     DNS:AP通过DHCP服务器获取AC的域名后缀及DNS server的IP地址,再将从自身获取的主机名与域名后缀形成AC的完整域名进行DNS解析,获取AC地址,AP向获取的所有AC地址发送单播Discovery request报文来发现、选择AC并建立CAPWAP隧道。

·     广播:AP通过向IPv4广播地址255.255.255.255发送Discovery request广播报文来发现、选择AC并建立隧道。

·     IPv4组播:AP通过向IPv4组播地址224.0.1.140发送Discovery request组播报文来发现、选择AC并建立隧道。

·     IPv6组播:AP通过向IPv6组播地址FF0E::18C发送Discovery request组播报文来发现、选择AC并建立隧道。

4. CAPWAP建立隧道过程

图1-5 CAPWAP隧道建立过程

 

AP发现AC并建立CAPWAP隧道过程如下:

(1)     AP向AC地址发送Discovery request报文。

(2)     AC收到Discovery request报文后,根据本地策略和报文内容决定是否对AP进行回复Discovery response报文,Discovery response报文中会携带优先级值、AC上是否存在该AP的信息和AC上的负载信息等,以此实现AC选择AP。

(3)     AP收到各个AC的Discovery response报文后,根据报文中携带的内容,选择最优AC。

(4)     AP向选择的最优AC发送Join request报文。

(5)     AC根据报文内容,检查是否为该AP提供服务,并回复Join response报文。

(6)     AP若收到Result Code为失败的Join response报文,则不建立隧道;若AP收到Result Code为成功的Join response报文,则AP和AC成功建立隧道。

AP依次使用静态配置、DHCP选项、DNS、广播、IPv4组播和IPv6组播获取的AC地址进行发现AC并建立隧道过程,若某一种方式成功建立CAPWAP隧道,则停止发现AC的过程。

1.3.2  区域码

区域码决定了射频可以使用的工作频段、信道、发射功率级别等。在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定。为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能。

1.3.3  LED mode

配置LED mode功能可以改变AP指示灯的闪烁模式。LED mode包括五种模式:

·     Quiet模式:表示LED常灭。

·     Awake模式:表示LED每分钟闪烁一次。Awake模式的支持情况与AP设备的型号有关,请以设备的实际情况为准。

·     Always-on模式:表示LED常亮。Always-on模式的支持情况与AP设备的型号有关,请以设备的实际情况为准。

·     Normal模式:表示LED灯的显示状态可以标识AP的运行状态。该模式LED闪烁情况与AP设备的型号有关,请以设备实际情况为准。

·     继承:用于继承当前AP所在AP组的配置。缺省情况下,继承AP组配置。

1.3.4  Map文件

在需要更新AP配置文件的情况下,可以在AC上指定AP配置文件的文件名(在AC的存储介质中必须已经存在该配置文件),当隧道处于Run状态时,AC会将配置文件中的命令下发到AP上,AP会使用配置文件中的命令,但AP不会保存这些配置。

例如:本地转发模式下配置用户方案时,将用户方案、相关的QoS策略和ACL等命令写入配置文件,然后通过指定AP的配置文件的方式将命令下发到AP。

一旦为AP指定了配置文件,该配置文件会永久生效,即只要AP在线,AC就会将配置文件中的命令下发给AP。

在本地转发模式下配置用户方案时,通过配置文件配置的AP只用通过主IP地址与AC建立CAWPAP隧道。

1.3.5  AC备份

在集中式转发模式下,AC在汇聚层上承担了大量AP的状态维护和数据转发工作。AC设备的故障将导致无线网络的服务中断。

通过AC备份功能,可以将两台AC相连,构建一个备份组,备份组中的两台AC分别为主AC和备AC,主备AC通过WHA(WLAN High Availability,无线局域网高可靠性)数据备份通道进行AP数据的同步,当主AC发生故障时,备AC能够立即接管当前所有在线AP,使业务流量不中断。

1.3.6  AP组

AP组用来实现对批量AP的配置管理,通过使AP继承其所属组的配置来达到对大量AP的配置的目的。AP组配置,全局配置及AP配置共同构成了分级继承的AP运行配置。在大规模无线网络中,同一AC管理的AP数量可达几万台,对每一台AP逐一配置将导致网络管理难度极大提高。AP组用来降低逐个配置AP的操作成本,用户可以创建多个组,对不同的组用户可以根据需要配置不同的AP配置。

所有AP缺省情况下均属于默认组,默认组组名为default-group,默认组不需创建、不可删除。

AP组可以指定多个AP名称、AP序列号、AP MAC地址和AP IP地址四种入组规则,AP的入组匹配顺序为:优先根据AP名字入组规则匹配入组,其次是AP序列号入组规则,然后是AP MAC 地址入组规则,最后是AP IP地址入组规则,若未匹配到任何入组规则,则AP将被加入到默认组。

需要注意的是:

·     AP必须属于一个AP组,且只能属于一个AP组。

·     同一入组规则不能重复出现在不同的AP组中,若将同一入组规则配置在新AP组中,将导致原AP组中对应的入组规则自动删除(相当于迁移组)。

·     默认组不能配置AP名字、AP序列号、AP MAC和AP IP地址四种入组规则。

·     删除AP入组规则,AP会根据AP的入组规则匹配顺序重新匹配AP组。比如,删除某一AP组下的一个AP名字入组规则,该AP会优先进入指定了该AP序列号的AP组,如果匹配不到AP序列号,则该AP会优先进入指定了该AP MAC地址入组规则的AP组,如果匹配不到AP MAC地址,则该AP会优先进入指定了该AP IP地址入组规则的AP组,如果仍然匹配不到,则该AP会进入默认组。

·     AP组下有AP已经入组(手工AP或自动AP),则该AP组不允许删除;配置了入组规则,但是没有AP入组的AP组可以被删除。

·     AP的生效配置取决于AP、AP组及AP全局配置中优先级最高的配置,优先级从高到低为AP配置、AP组配置、全局配置。若优先级高的配置不存在,则AP使用优先级低的配置。若都不存在AP的配置,则使用缺省值。

1.3.7  AP全局配置

全局配置作用于所有AP组下的AP,由于全局配置的优先级最低,所以仅当AP和AP组下无配置时,才会继承全局配置。AP、AP组及全局配置的优先级从高到低为AP视图配置、AP组视图配置、全局视图配置。若优先级高的配置不存在,则AP使用优先级低的配置;若都不存在AP的配置,则使用优先级最低的视图下的缺省配置。

1.3.8  自动AP

在无线网络中部署的AP数量较多时,开启自动AP功能可以简化配置。开启自动AP功能后,无需配置手工AP配置,AP和AC就可以建立CAPWAP连接,AC将以AP的MAC地址来命名上线的自动AP。在AP发现AC过程中,AP优先选择存在手工AP的AC建立CAPWAP隧道连接,若不存在手工AP配置,则AP会从开启自动AP功能的AC中,选择最优AC进行CAPWAP隧道连接。自动AP功能生成的AP,没有提供AP视图进行相关参数配置,自动AP需要固化为手工AP或者通过AP组进行配置。

出于网络安全因素考虑,自动AP应配合固化功能使用。若配置固化功能时,用户应在自动AP第一次接入后,将所有自动AP固化为手工AP并关闭自动AP功能

1.4  无线QoS

1.4.1  客户端限速

每个AP提供的带宽由接入的所有客户端共享,如果部分客户端占用过多带宽,将导致其它客户端受到影响。通过配置客户端限速功能,可以限制单个客户端对带宽的过多消耗,保证所有接入客户端均能正常使用网络业务。

1. 客户端限速模式

客户端限速功能有两种工作模式:

·     动态模式:配置所有客户端使用的速率总值,每个客户端的限制速率是速率总值/客户端数量。例如,配置所有客户端可用速率的总和为10Mbps,当有5个用户上线时,每个客户端的可用带宽限制为2Mbps。

·     静态模式:为所有客户端配置相同的限速速率,该配置对所有客户端生效。当接入客户端增加至一定数量时,如果所有接入客户端限制速率的总和超出AP可提供的有效带宽,那么每个客户端将不能保证获得配置的带宽。

动态模式与静态模式仅用于配置基于无线服务或基于射频方式的客户端限速功能。

2. 客户端限速方式

客户端限速功能有三种配置方式:

·     基于客户端类型:该方式配置的客户端限速对所有客户端生效,每种类型的客户端的速率都不能超过配置的限速值。

·     基于无线服务:该方式配置的客户端限速对使用同一个无线服务接入的所有客户端生效。

·     基于AP和AP组的射频:该方式配置的客户端限速对使用同一个/同一组射频接入的所有客户端生效。

如果同时配置多种方式或不同模式的客户端限速,则多个配置将同时生效,每个客户端的限速值为多种方式及不同模式中的限速速率最小值。

1.4.2  智能带宽保障

在实际应用中,网络中的流量不会一直处于某个稳定的状态。当某个BSS的流量非常大时,会挤占其它BSS的可用带宽。如果直接对单个BSS的报文进行限速,在总体流量较小时,又会导致闲置带宽被浪费。

智能带宽保障功能提供了更灵活的流量控制机制,当网络未拥塞时,所有BSS的报文都可以通过;在网络发生拥塞时,每个BSS都可以获取最低的保障带宽。通过这种方式,既确保了网络带宽的充分利用,又兼顾了不同无线服务之间带宽占用的公平原则。例如,配置SSID 1、SSID 2及SSID 3的保障带宽占总带宽的比例分别为25%、25%及50%。当网络空闲时,SSID 1可以超过保障带宽,任意占用网络剩余带宽;当网络繁忙、没有剩余带宽时,SSID 1至少可以占有自己的保障带宽部分(25%)。

智能带宽保障功能只能对由AP发送至客户端的流量(即出方向流量)进行控制。

1.4.3  无线多媒体

802.11网络提供了基于竞争的无线接入服务,但是不同的应用对于网络的要求是不同的,而无线网络不能为不同的应用提供不同质量的接入服务,所以已经不能满足实际应用的需要。

IEEE 802.11e为基于802.11协议的WLAN体系添加了QoS功能,Wi-Fi组织为了满足不同WLAN厂商对QoS的需求,定义了WMM(Wi-Fi Multimedia,Wi-Fi多媒体)协议。WMM协议用于保证优先发送高优先级的报文,从而保证语音、视频等应用在无线网络中有更好的服务质量。

1. WMM状态

在WMM状态页面中可以查看AC连接的各AP是否开启WMM功能。

2. WMM配置

在WMM配置页面中,可以配置每个AP的SVP映射、连接准入控制策略以及允许接入的客户端最大数等信息。

SVP映射是指将IP头中Protocol ID为119的SVP报文放入指定的AC-VI或AC-VO队列中,保证SVP报文比其他数据报文具有更高的优先级。没有进行SVP映射时,SVP报文将进入AC-BE队列。

CAC(Connect Admission Control,连接准入控制)用来限制能使用高优先级队列(AC-VO和AC-VI队列)的客户端个数,从而保证已经使用高优先级队列的客户端能够有足够的带宽。如果客户端需要使用高优先级的AC,则需要进行请求,AP按照基于信道利用率的准入策略或基于用户数量的准入策略算法,计算是否允许客户端使用高优先级AC,并将结果回应给客户端。当单独或同时开启AC-VO、AC-VI队列的CAC功能时,如果客户端申请AC失败,设备会对其进行降级至AC-BE处理。

3. EDCA参数

在EDCA参数页面中,可以查看和修改EDCA参数和ACK策略。

EDCA(Enhanced Distributed Channel Access,增强的分布式信道访问)是WMM定义的一套信道竞争机制,有利于高优先级的报文享有优先发送的权利和更多的带宽。

WMM协议为AC定义了以下EDCA参数:

·     AIFSN(Arbitration Inter Frame Spacing Number,仲裁帧间隙数):在802.11协议中,空闲等待时长(DIFS)为固定值,而WMM针对不同AC配置退避前需要等待的时隙,AIFSN数值越小,用户的空闲等待时间越短。

·     ECWmin(Exponent form of CWmin,最小竞争窗口指数形式)和ECWmax(Exponent form of CWmax,最大竞争窗口指数形式):决定了平均退避时间值。这两个数值越大,该AC中报文的平均退避时间越长。

·     TXOP Limit(Transmission Opportunity Limit,传输机会限制):AC中的报文每次竞争成功后,可占用信道的最大时长。这个数值越大,用户一次能占用信道的时长越大。如果是0,则每次占用信道后只能发送一个报文。

ACK策略有两种:Normal ACK和No ACK。

·     Normal ACK策略:接收者在接收到每个单播报文后,都要回复ACK进行确认。

·     No ACK(No Acknowledgment)策略:在无线报文交互过程中,不使用ACK报文进行接收确认。在通信质量较好、干扰较小的情况下,No ACK策略能有效提高报文传输效率。但是,在通信质量较差的情况下,如果使用No ACK策略,则会造成丢包率增大的问题。

4. 射频与客户端协商参数

在射频与客户端协商参数页面中,用户除了可以查看和修改EDCA参数,还可以开启或关闭连接准入控制策略功能。

5. 客户端的WMM统计信息

在客户端的WMM统计信息页面中,用户除了可以查看SSID等设备的基本信息和数据流量统计信息,还可以查看到客户端接入时指定的AC的APSD属性。

U-APSD是对传统节能模式的改进。在这种机制下,客户端不再定期监听Beacon帧,而是由客户端决定何时到AP上获取缓存报文。对于客户端的一次请求,AP可以发送多个缓存报文给客户端,该机制显著改善了客户端的节能效果。开启WMM功能的同时将自动开启U-APSD节能模式。

6. 传输流信息

在传输流信息页面中,用户可以查看包括来自有线网络报文的用户优先级、传输流标识、流方向、允许富余带宽等传输流信息。

1.5  射频管理

射频是一种高频交流变化电磁波,表示具有远距离传输能力、可以辐射到空间的电磁频率。WLAN是利用射频作为传输媒介,进行数据传输无线通信技术之一。

射频的频率介于300KHz和约300GHz之间,WLAN使用的射频频率范围为2.4GHz频段(2.4GHz~2.4835GHz)和5GHz频段(5.150GHz~5.350GHz和5.725GHz~5.850GHz)。

1.5.1  射频模式

按IEEE定义的802.11无线网络通信标准划分,射频模式主要有802.11a、802.11b、802.11g、802.11n、802.11ac和802.11ax:

·     802.11a:工作频率为5GHz,由于选择了OFDM(Orthogonal Frequency Division Multiplexing,正交频分复用)技术,能有效降低多路径衰减的影响和提高频谱的利用率,使802.11a的物理层速率可达54Mbps。但是在传输距离上存在劣势。

·     802.11b:工作频率为2.4GHz,相比5GHz能够提供更大的传输距离,数据传输速率最高达11Mbps。由于早期的无线通信更加追求传输距离,所以802.11b比802.11a更早被投入使用。

·     802.11g:工作频率为2.4GHz,可以兼容802.11b。802.11g借用了802.11a的成果,在2.4GHz频段采用了OFDM技术,最高速率可以达到54Mbps。

·     802.11n:工作于双频模式(2.4GHz和5GHz两个工作频段),能够与802.11a/g标准兼容。802.11n的数据传输速率达100Mbps以上,理论最高可达600Mbps,使无线局域网平滑地和有线网络结合,全面提升了网络吞吐量。

·     802.11ac:是802.11n的继承者,理论最高速率可达6900Mbps,全面提升了网络吞吐量。

·     802.11ax:是802.11ac的改进者,理论最高速率可达9600Mbps,全面提升了多用户并发情景下的网络效率。

表1-1 WLAN的几种主要射频模式比较

协议

频段

最高速率

802.11a

5GHz

54Mbps

802.11b

2.4GHz

11Mbps

802.11g

2.4GHz

54Mbps

802.11n

2.4GHz/5GHz

600Mbps

802.11ac

5GHz

6900Mbps

802.11gac

2.4GHz

1600Mbps

802.11ax

5GHz

9600Mbps

802.11gax

2.4GHz

6900Mbps

 

说明

·     IEEE定义802.11ac和802.1ax为5GHz频段上的技术,H3C支持将802.11ac、802.11ax应用到2.4GHz频段,称之为802.11gac、802.11gax射频模式。

·     如无特意区分,本文中的802.11ac包括802.11gac,802.11ax包括802.11gax。

 

不同的射频模式所支持的信道、功率有所不同,所以射频模式修改时,如果新的射频模式不支持原来配置的的信道、功率,则AP会根据新射频模式自动调整这些参数。

注意

修改射频模式时,会导致当前在线客户端下线。

 

在指定了射频模式以后,可以进行射频功能配置,具体情况如下:

·     如果指定的射频模式为802.11a、802.11b或802.11g,则可以配置射频基础功能,有关射频基础功能配置的详细介绍,请参见“射频基础功能”。

·     如果指定的射频模式为802.11n,则可以配置射频基础功能和802.11n功能,有关802.11n功能配置的详细介绍,请参见“802.11n功能”。

·     如果指定的射频模式为802.11ac,则可以配置射频基础功能、802.11n功能和802.11ac功能,有关802.11ac功能配置的详细介绍,请参见“802.11ac功能”。

·     如果指定的射频模式为802.11ax,则可以配置射频基础功能、802.11n功能、802.11ac功能和802.11ax功能,有关802.11ax功能配置的详细介绍,请参见“802.11ax功能”。

1.5.2  信道

信道是具有一定频宽的射频。在WLAN标准协议里,2.4GHz频段被划分为13个相互交叠的信道,每个信道的频宽是20MHz,信道间隔为5MHz。这13个信道里有3个独立信道,即没有相互交叠的信道,目前普遍使用的三个互不交叠的独立信道号为1、6、11。

5GHz频段拥有更高的频率和频宽,可以提供更高的速率和更小的信道干扰。WLAN标准协议将5GHz频段分为24个频宽为20MHz的信道,且每个信道都为独立信道。各个国家开放的信道不一样,目前中国5GHz频段开放使用的信道号是36、40、44、48、52、56、60、64、149、153、157、161和165。

1.5.3  功率

射频功率是指天线在无线介质中所辐射的功率,反映的是WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。

1.5.4  速率

射频速率是客户端与WLAN设备之间的数据传输速度。不同的射频模式,根据所使用扩频、编码和调制技术,对应不同的传输速率。802.11a、802.11b、802.11g、802.11n、802.11ac和802.11ax的速率支持情况如下:

·     802.11a:6Mbps、9Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。

·     802.11b:1Mbps、2Mbps、5.5Mbps、11Mbps。

·     802.11g:1Mbps、2Mbps、5.5Mbps、6Mbps、9Mbps、11Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。

·     802.11n:根据不同信道带宽可支持不同的速率组合,具体请参见“MCS”。

·     802.11ac:根据不同信道带宽和空间流数量可支持不同的速率组合,具体请参见“VHT-MCS”。

·     802.11ax:根据不同信道带宽和空间流数量可支持不同的速率组合,具体请参见“HE-MCS”。

1.5.5  MCS

IEEE 802.11n除了向前兼容IEEE 802.11a/b/g的速率外,还定义了新的速率调制与编码策略,即MCS(Modulation and Coding Scheme,调制与编码策略)。

无线数据传输的物理速率受到编码方式、调制方式、载波比特率、空间流数量、数据子信道数等多种因素的影响,不同的因素组合将产生不同的物理速率。MCS使用索引的方式将每种组合以及由该组合产生的物理速率进行排列,形成索引值与速率的对应表,称为MCS表。802.11n的MCS表共有两个子表,分别用于保存信道带宽为20MHz和40MHz时的物理速率。索引值的取值范围为0~76,能够描述77种物理速率,两个MCS子表中的索引值相互独立。

802.11n规定,当带宽为20MHz时,MCS0~15为AP必须支持的MCS索引,MCS0~7是客户端必须支持的MCS索引,其余MCS索引均为可选速率。表1-2表1-3分别列举了带宽为20MHz和带宽为40MHz的MCS速率表。

说明

完整的MCS对应速率表可参见IEEE 802.11n-2009标准协议。

 

表1-2 MCS对应速率表(20MHz)

MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

6.5

7.2

1

1

QPSK

13.0

14.4

2

1

QPSK

19.5

21.7

3

1

16-QAM

26.0

28.9

4

1

16-QAM

39.0

43.3

5

1

64-QAM

52.0

57.8

6

1

64-QAM

58.5

65.0

7

1

64-QAM

65.0

72.2

8

2

BPSK

13.0

14.4

9

2

QPSK

26.0

28.9

10

2

QPSK

39.0

43.3

11

2

16-QAM

52.0

57.8

12

2

16-QAM

78.0

86.7

13

2

64-QAM

104.0

115.6

14

2

64-QAM

117.0

130.0

15

2

64-QAM

130.0

144.4

 

表1-3 MCS对应速率表(40MHz)

MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

13.5

15.0

1

1

QPSK

27.0

30.0

2

1

QPSK

40.5

45.0

3

1

16-QAM

54.0

60.0

4

1

16-QAM

81.0

90.0

5

1

64-QAM

108.0

120.0

6

1

64-QAM

121.5

135.0

7

1

64-QAM

135.0

150.0

8

2

BPSK

27.0

30.0

9

2

QPSK

54.0

60.0

10

2

QPSK

81.0

90.0

11

2

16-QAM

108.0

120.0

12

2

16-QAM

162.0

180.0

13

2

64-QAM

216.0

240.0

14

2

64-QAM

243.0

270.0

15

2

64-QAM

270.0

300.0

 

从表中可以得到结论:

·     当MSC索引取值为0~7时,空间流数量为1,且当MCS=7时,速率值最大;

·     当MSC索引取值为8~15时,空间流数量为2,且当MCS=15时,速率值最大。

MCS分为三类:

·     基本MCS集:客户端必须支持的基本MCS集,才能够与AP以802.11n模式进行连接。

·     支持MCS集:AP所能够支持的更高的MCS集合,用户可以配置支持MCS集让客户端在支持基本MCS的前提下选择更高的速率与AP进行数据传输。

·     组播MCS集:AP以组播方式对其BSS内的客户端发送消息所使用的速率。

1.5.6  VHT-MCS

802.11ac中定义的VHT-MCS表在表项内容上与802.11n的MCS表完全相同,只是在子表划分方式上存在区别,VHT-MCS根据信道带宽和空间流数量的组合来划分子表。802.11ac支持20MHz、40MHz、80MHz和160MHz(80+80MHz)四种带宽,最多支持8条空间流,因此VHT-MCS表共划分为32个子表。每个子表中的MCS索引独立编号,目前编号范围为0~9。AP支持的VHT-MCS表仅有12套,具体如表1-4表1-15所示。

说明

完整的VHT-MCS对应速率表可参见IEEE 802.11ac-2013标准协议。

 

表1-4 VHT-MCS对应速率表(20MHz,1NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

6.5

7.2

1

1

QPSK

13.0

14.4

2

1

QPSK

19.5

21.7

3

1

16-QAM

26.0

28.9

4

1

16-QAM

39.0

43.3

5

1

64-QAM

52.0

57.8

6

1

64-QAM

58.5

65.0

7

1

64-QAM

65.0

72.2

8

1

256-QAM

78.0

86.7

9

Not valid

 

表1-5 VHT-MCS对应速率表(20MHz,2NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

2

BPSK

13.0

14.4

1

2

QPSK

26.0

28.9

2

2

QPSK

39.0

43.3

3

2

16-QAM

52.0

57.8

4

2

16-QAM

78.0

86.7

5

2

64-QAM

104.0

115.6

6

2

64-QAM

117.0

130.0

7

2

64-QAM

130.0

144.4

8

2

256-QAM

156.0

173.3

9

Not valid

 

表1-6 VHT-MCS对应速率表(20MHz,3NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

3

BPSK

19.5

21.7

1

3

QPSK

39.0

43.3

2

3

QPSK

58.5

65.0

3

3

16-QAM

78.0

86.7

4

3

16-QAM

117.0

130.0

5

3

64-QAM

156.0

173.3

6

3

64-QAM

175.5

195.0

7

3

64-QAM

195.0

216.7

8

3

256-QAM

234.0

260.0

9

3

256-QAM

260.0

288.9

 

表1-7 VHT-MCS对应速率表(20MHz,4NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

4

BPSK

26.0

28.9

1

4

QPSK

52.0

57.8

2

4

QPSK

78.0

86.7

3

4

16-QAM

104.0

115.6

4

4

16-QAM

156.0

173.3

5

4

64-QAM

208.0

231.1

6

4

64-QAM

234.0

260.0

7

4

64-QAM

260.0

288.9

8

4

256-QAM

312.0

346.7

9

Not valid

 

表1-8 VHT-MCS对应速率表(40MHz,1NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

13.5

15.0

1

1

QPSK

27.0

30.0

2

1

QPSK

40.5

45.0

3

1

16-QAM

54.0

60.0

4

1

16-QAM

81.0

90.0

5

1

64-QAM

108.0

120.0

6

1

64-QAM

121.5

135.0

7

1

64-QAM

135.0

150.0

8

1

256-QAM

162.0

180.0

9

1

256-QAM

180.0

200.0

 

表1-9 VHT-MCS对应速率表(40MHz,2NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

2

BPSK

27.0

30.0

1

2

QPSK

54.0

60.0

2

2

QPSK

81.0

90.0

3

2

16-QAM

108.0

120.0

4

2

16-QAM

162.0

180.0

5

2

64-QAM

216.0

240.0

6

2

64-QAM

243.0

270.0

7

2

64-QAM

270.0

300.0

8

2

256-QAM

324.0

360.0

9

2

256-QAM

360.0

400.0

 

表1-10 VHT-MCS对应速率表(40MHz,3NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

3

BPSK

40.5

45.0

1

3

QPSK

81.0

90.0

2

3

QPSK

121.5

135.0

3

3

16-QAM

162.0

180.0

4

3

16-QAM

243.0

270.0

5

3

64-QAM

324.0

360.0

6

3

64-QAM

364.5

405.0

7

3

64-QAM

405.0

450.0

8

3

256-QAM

486.0

540.0

9

3

256-QAM

540.0

600.0

 

表1-11 VHT-MCS对应速率表(40MHz,4NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

4

BPSK

54.0

60.0

1

4

QPSK

108.0

120.0

2

4

QPSK

162.0

180.0

3

4

16-QAM

216.0

240.0

4

4

16-QAM

324.0

360.0

5

4

64-QAM

432.0

480.0

6

4

64-QAM

486.0

540.0

7

4

64-QAM

540.0

600.0

8

4

256-QAM

648.0

720.0

9

4

256-QAM

720.0

800.0

 

表1-12 VHT-MCS对应速率表(80MHz,1NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

29.3

32.5

1

1

QPSK

58.5

65.0

2

1

QPSK

87.8

97.5

3

1

16-QAM

117.0

130.0

4

1

16-QAM

175.5

195.0

5

1

64-QAM

234.0

260.0

6

1

64-QAM

263.0

292.5

7

1

64-QAM

292.5

325.0

8

1

256-QAM

351.0

390.0

9

1

256-QAM

390.0

433.3

 

表1-13 VHT-MCS对应速率表(80MHz,2NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

2

BPSK

58.5

65.0

1

2

QPSK

117.0

130.0

2

2

QPSK

175.5

195.0

3

2

16-QAM

234.0

260.0

4

2

16-QAM

351.0

390.0

5

2

64-QAM

468.0

520.0

6

2

64-QAM

526.5

585.0

7

2

64-QAM

585.0

650.0

8

2

256-QAM

702.0

780.0

9

2

256-QAM

780.0

866.7

 

表1-14 VHT-MCS对应速率表(80MHz,3NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

3

BPSK

87.8

97.5

1

3

QPSK

175.5

195.0

2

3

QPSK

263.3

292.5

3

3

16-QAM

351.0

390.0

4

3

16-QAM

526.5

585.0

5

3

64-QAM

702.0

780.0

6

Not valid

7

3

64-QAM

877.5

975.0

8

3

256-QAM

1053.0

1170.0

9

3

256-QAM

1170.0

1300.0

 

表1-15 VHT-MCS对应速率表(80MHz,4NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

4

BPSK

117.0

130.0

1

4

QPSK

234.0

260.0

2

4

QPSK

351.0

390.0

3

4

16-QAM

468.0

520.0

4

4

16-QAM

702.0

780.0

5

4

64-QAM

936.0

1040.0

6

4

64-QAM

1053.0

1170.0

7

4

64-QAM

1170.0

1300.0

8

4

256-QAM

1404.0

1560.0

9

4

256-QAM

1560.0

1733.3

 

和MCS一样,VHT-MCS也分为三类:基本VHT-MCS集、支持VHT-MCS集和组播VHT-MCS集,每类的意义也和MCS相同。

1.5.7  HE-MCS

1. HE-MCS分类

和MCS一样,HE-MCS也分为三类:基本HET-MCS集、支持HE-MCS集和组播HE-MCS集,每类的意义也和MCS相同。

2. HE-MCS表

802.11ax中定义的HE-MCS表在表项内容上与802.11n的MCS表完全相同,只是在子表划分方式上存在区别,HE-MCS根据信道带宽和空间流数量的组合来划分子表。802.11ax支持20MHz、40MHz、80MHz和160MHz(80+80MHz)四种带宽,最多支持8条空间流,因此HE-MCS表共划分为32个子表。每个子表中的MCS索引独立编号,目前编号范围为0~11。AP支持的VHT-MCS表仅有16套,具体如表1-16表1-27所示。

表1-16 HE-MCS对应速率表(20MHz,1NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

1

BPSK

8

8.6

1

1

QPSK

16

17.2

2

1

QPSK

24

25.8

3

1

16-QAM

33

34.4

4

1

16-QAM

49

51.6

5

1

64-QAM

65

68.8

6

1

64-QAM

73

77.4

7

1

64-QAM

81

86

8

1

256-QAM

98

103.2

9

1

256-QAM

108

114.7

10

1

1024-QAM

122

129

11

1

1024-QAM

135

143.4

 

表1-17 HE-MCS对应速率表(20MHz,2NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

2

BPSK

16

17.2

1

2

QPSK

32

34.4

2

2

QPSK

48

51.6

3

2

16-QAM

66

68.8

4

2

16-QAM

98

103.2

5

2

64-QAM

130

137.6

6

2

64-QAM

146

154.8

7

2

64-QAM

162

172

8

2

256-QAM

196

206.4

9

2

256-QAM

216

229.4

10

2

1024-QAM

244

258

11

2

1024-QAM

270

286.8

 

表1-18 HE-MCS对应速率表(20MHz,3NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

3

BPSK

24

25.8

1

3

QPSK

48

51.6

2

3

QPSK

72

77.4

3

3

16-QAM

99

103.2

4

3

16-QAM

147

154.8

5

3

64-QAM

195

206.4

6

3

64-QAM

219

232.2

7

3

64-QAM

243

258

8

3

256-QAM

294

309.6

9

3

256-QAM

324

344.1

10

3

1024-QAM

366

387

11

3

1024-QAM

405

430.2

 

表1-19 HE-MCS对应速率表(20MHz,4NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

4

BPSK

32

34.4

1

4

QPSK

64

68.8

2

4

QPSK

96

103.2

3

4

16-QAM

132

137.6

4

4

16-QAM

196

206.4

5

4

64-QAM

260

275.2

6

4

64-QAM

292

309.6

7

4

64-QAM

324

344

8

4

256-QAM

392

412.8

9

4

256-QAM

432

458.8

10

4

1024-QAM

488

516

11

4

1024-QAM

540

573.6

 

表1-20 HE-MCS对应速率表(40MHz,1NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

1

BPSK

16

17.2

1

1

QPSK

33

34.4

2

1

QPSK

49

51.6

3

1

16-QAM

65

68.8

4

1

16-QAM

98

103.2

5

1

64-QAM

130

137.6

6

1

64-QAM

146

154.9

7

1

64-QAM

163

172.1

8

1

256-QAM

195

206.5

9

1

256-QAM

217

229.4

10

1

1024-QAM

244

258.1

11

1

1024-QAM

271

286.8

 

表1-21 HE-MCS对应速率表(40MHz,2NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

2

BPSK

32

34.4

1

2

QPSK

66

68.8

2

2

QPSK

98

103.2

3

2

16-QAM

130

137.6

4

2

16-QAM

196

206.4

5

2

64-QAM

260

275.2

6

2

64-QAM

292

309.8

7

2

64-QAM

326

344.2

8

2

256-QAM

390

413

9

2

256-QAM

434

458.8

10

2

1024-QAM

488

516.2

11

2

1024-QAM

542

573.6

 

表1-22 HE-MCS对应速率表(40MHz,3NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

3

BPSK

48

51.6

1

3

QPSK

99

103.2

2

3

QPSK

147

154.8

3

3

16-QAM

195

206.4

4

3

16-QAM

294

309.6

5

3

64-QAM

390

412.8

6

3

64-QAM

438

464.7

7

3

64-QAM

489

516.3

8

3

256-QAM

585

619.5

9

3

256-QAM

651

688.2

10

3

1024-QAM

732

774.3

11

3

1024-QAM

813

860.4

 

表1-23 HE-MCS对应速率表(40MHz,4NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

4

BPSK

64

68.8

1

4

QPSK

132

137.6

2

4

QPSK

196

206.4

3

4

16-QAM

260

275.2

4

4

16-QAM

392

412.8

5

4

64-QAM

520

550.4

6

4

64-QAM

584

619.6

7

4

64-QAM

652

688.4

8

4

256-QAM

780

826

9

4

256-QAM

868

917.6

10

4

1024-QAM

976

1032.4

11

4

1024-QAM

1084

1147.2

 

表1-24 HE-MCS对应速率表(80MHz,1NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

1

BPSK

34

36

1

1

QPSK

68

72.1

2

1

QPSK

102

108.1

3

1

16-QAM

136

144.1

4

1

16-QAM

204

216.2

5

1

64-QAM

272

288.2

6

1

64-QAM

306

324.4

7

1

64-QAM

340

360.3

8

1

256-QAM

408

432.4

9

1

256-QAM

453

480.4

10

1

1024-QAM

510

540.4

11

1

1024-QAM

567

600.5

 

表1-25 HE-MCS对应速率表(80MHz,2NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

2

BPSK

68

72

1

2

QPSK

136

144.2

2

2

QPSK

204

216.2

3

2

16-QAM

272

288.2

4

2

16-QAM

408

432.4

5

2

64-QAM

544

576.4

6

2

64-QAM

612

648.8

7

2

64-QAM

680

720.6

8

2

256-QAM

816

864.8

9

2

256-QAM

906

960.8

10

2

1024-QAM

1020

1080.8

11

2

1024-QAM

1134

1201

 

表1-26 HE-MCS对应速率表(80MHz,3NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

3

BPSK

102

108

1

3

QPSK

204

216.3

2

3

QPSK

306

324.3

3

3

16-QAM

408

432.3

4

3

16-QAM

612

648.6

5

3

64-QAM

816

864.6

6

3

64-QAM

918

973.2

7

3

64-QAM

1020

1080.9

8

3

256-QAM

1224

1297.2

9

3

256-QAM

1359

1441.2

10

3

1024-QAM

1530

1621.2

11

3

1024-QAM

1701

1801.5

 

表1-27 HE-MCS对应速率表(80MHz,4NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

4

BPSK

136

144

1

4

QPSK

272

288.4

2

4

QPSK

408

432.4

3

4

16-QAM

544

576.4

4

4

16-QAM

816

864.8

5

4

64-QAM

1088

1152.8

6

4

64-QAM

1224

1297.6

7

4

64-QAM

1360

1441.2

8

4

256-QAM

1632

1729.6

9

4

256-QAM

1812

1921.6

10

4

1024-QAM

2040

2161.6

11

4

1024-QAM

2268

2402

 

表1-28 HE-MCS对应速率表(160MHz/80MHz+80MHz,1NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

1

BPSK

68

72.1

1

1

QPSK

136

144.1

2

1

QPSK

204

216.2

3

1

16-QAM

272

288.2

4

1

16-QAM

408

432.4

5

1

64-QAM

544

576.5

6

1

64-QAM

612

648.5

7

1

64-QAM

681

720.6

8

1

256-QAM

817

864.7

9

1

256-QAM

907

960.7

10

1

1024-QAM

1021

1080.9

11

1

1024-QAM

1134

1201

 

表1-29 HE-MCS对应速率表(160MHz/80MHz+80MHz,2NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

2

BPSK

136

144.1

1

2

QPSK

272

288.2

2

2

QPSK

408

432.4

3

2

16-QAM

544

576.5

4

2

16-QAM

817

864.7

5

2

64-QAM

1089

1152.9

6

2

64-QAM

1225

1297.1

7

2

64-QAM

1361

1441.2

8

2

256-QAM

1633

1729.4

9

2

256-QAM

1815

1921.5

10

2

1024-QAM

2042

2161.8

11

2

1024-QAM

2269

2401.9

 

表1-30 HE-MCS对应速率表(160MHz/80MHz+80MHz,3NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

3

BPSK

204

216.2

1

3

QPSK

408

432.4

2

3

QPSK

613

648.5

3

3

16-QAM

817

864.7

4

3

16-QAM

1225

1297.1

5

3

64-QAM

1633

1729.4

6

3

64-QAM

1838

1945.6

7

3

64-QAM

2042

2161.8

8

3

256-QAM

2450

2594.1

9

3

256-QAM

2722

2882.4

10

3

1024-QAM

3062

3242.6

11

3

1024-QAM

3403

3602.9

 

表1-31 HE-MCS对应速率表(160MHz/80MHz+80MHz,4NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

4

BPSK

272

288.2

1

4

QPSK

544

576.5

2

4

QPSK

817

864.7

3

4

16-QAM

1089

1152.9

4

4

16-QAM

1633

1729.4

5

4

64-QAM

2178

2305.9

6

4

64-QAM

2450

2594.1

7

4

64-QAM

2722

2882.4

8

4

256-QAM

3267

3458.8

9

4

256-QAM

3630

3843.1

10

4

1024-QAM

4083

4323.5

11

4

1024-QAM

4537

4803.9

 

说明

·     完整的HE-MCS对应速率表可参见IEEE 802.11ax标准协议。

·     不同型号的AP对HE-MCS索引所表示速率的支持情况不同,请以设备的实际情况为准。

·     802.11gax仅支持20MHz和40MHz两种带宽,对应的HE-MCS表为表1-16表1-23

 

1.5.8  射频基础功能

1. 射频工作信道

配置射频工作信道的目的是尽量减少和避免射频的干扰。干扰主要来自两方面:一种是WLAN设备间的干扰,比如相邻WLAN设备使用相同信道,会造成相互干扰;另一种是WLAN设备和其他无线射频之间的干扰,比如WLAN设备使用的信道上有雷达信号则必须立即让出该信道。

射频工作的信道可以手工配置或者由系统自动选择。

·     如果用户配置了手工信道,所配置的信道将一直被使用而不能自动更改,除非发现雷达信号。如果因为发现雷达信号而进行信道切换,AP会在30分钟后将信道切换回手工指定的信道,并静默一段时间,如果在静默时间内没有发现雷达信号,则开始使用该信道;如果发现雷达信号,则再次切换信道。

·     AP默认采用自动信道模式,随机选择工作信道。

2. 射频最大传输功率

射频的最大传输功率只能在射频支持的功率范围内进行选取,即保证射频的最大传输功率在合法范围内。射频支持的功率范围由国家码、信道、AP型号、射频模式、天线类型、带宽等属性决定,修改上述属性,射频支持的功率范围和最大传输功率将自动调整为合法值。

3. 功率锁定

如果先开启功率调整,再配置功率锁定,AC会自动将当前传输功率设置并锁定为自动功率调整后的功率值,在AC重启后,AP能继续使用锁定的功率调整值。

如果先配置功率锁定命令,后开启功率调整功能,由于功率已经被锁定,功率调整功能不会运行,所以在开启功率调整功能前,请确保功率没有被锁定。

功率锁定后,如果信道发生调整,并且锁定的功率值大于调整后使用信道支持的最大功率,设备会将功率值调整为信道支持的最大功率。

有关自动功率调整相关配置的详细介绍请参见“无线配置 > 射频管理 > 射频优化”页面。

4. 射频速率

射频速率可以分为以下四种:

·     禁用速率:AP禁用的速率。

·     强制速率:客户端关联AP时,AP要求客户端必须支持的速率。

·     支持速率:AP所支持的速率。客户端关联AP后,可以在AP支持的“支持速率集”中选用更高的速率发送报文。当受干扰、重传、丢包等影响较大时,AP会自动降低对客户端的发送速率;当受影响较小时,AP会自动升高对客户端的发送速率。

·     组播速率:AP向客户端发送组播和广播报文的速率。组播速率必须在强制速率中选取,且只能配置一个速率值或由AP自动选择合适的速率。

5. 前导码类型

说明

只有2.4GHz射频,才支持配置前导码类型。

 

前导码是数据报文头部的一组Bit位,用于同步发送端与接收端的传输信号。前导码的类型有两种,长前导码和短前导码。短前导码能使网络性能更好,默认使用短前导码。如果需要兼容网络中一些较老的客户端时可以使用长前导码保持兼容。

6. 射频覆盖范围

天线发出的电磁波在介质中传播的时候,随着距离的增加以及周围环境因素的影响,信号强度逐渐降低。电磁波的覆盖范围主要与环境的开放程度、障碍物的材质类型有关。设备在不加外接天线的情况下,传输距离约300米,若空间中有隔离物,传输大约在35~50米左右。

如果借助于外接天线,覆盖范围则可以达到30~50公里甚至更远,这要视天线本身的增益而定。

7. 发送Beacon帧的时间间隔

在WLAN环境中,AP通过不断广播Beacon帧来让客户端发现自己。AP发送Becaon帧时间间隔越小,AP越容易被客户端发现,但AP的功耗越大。

8. 禁止802.11b客户端接入

当射频模式为802.11g或802.11gn时,为了提高传输速率,可以通过开启禁止802.11b客户端接入功能来隔离低速率的802.11b客户端的影响;当开启禁止802.11b客户端接入功能后,不允许客户端以802.11b模式接入。

9. RTS门限

在无线环境中,为了避免冲突的产生,无线设备在发送数据前会执行冲突避免,即使用RTS/CTS(Request to Send/Clear to Send,请求发送/允许发送)帧或CTS-to-self(反身CTS)帧来清空传送区域,取得信道使用权。但是如果每次发送数据前都执行冲突避免,则会降低过多的传输量,浪费了无线资源。因此,802.11协议规定仅当发送帧长超过RTS门限的帧时,需要执行冲突避免;帧长小于RTS门限的帧,则可以直接发送。

当网络中设备较少时,产生干扰的概率较低,可以适当增大RTS门限以减少冲突避免的执行次数,提高吞吐量。当网络中设备较多时,可以通过降低RTS门限,增加冲突避免的执行次数来减少干扰。

10. 802.11g保护功能

说明

只有当射频模式为802.11g或802.11n(2.4GHz)时,才支持配置802.11g保护功能。

 

当网络中同时存在802.11b和802.11g的客户端,由于调制方式不同,802.11b客户端无法解析802.11g信号,会导致802.11b与802.11g网络之间彼此造成干扰。802.11g保护功能用于避免干扰情况的发生,通过使802.11g和802.11n设备发送RTS/CTS报文或CTS-to-self报文来取得信道使用权,确保802.11b客户端能够检测到802.11g和802.11n客户端正在进行数据传输,实现冲突避免。

开启802.11g保护功能后,当AP在其工作信道上扫描到802.11b信号,则会在传输数据前通过发送RTS/CTS报文或CTS-to-self报文进行冲突避免,并通知客户端开始执行802.11g保护功能;如果未检测到802.11b信号,则不会采取上述动作。

当802.11b客户端在开启了802.11g或802.11n(2.4GHz)的AP上接入时,AP上的802.11g保护功能将自动开启并生效。

11. 帧的分片门限

帧的分片是将一个较大的帧分成更小的分片,每个分片独立进行传输和确认。当帧的实际大小超过指定的分片门限值时,该帧将被分片传输。

在干扰较大的无线环境,建议适当降低帧的分片门限值,增加帧的分片数量,则当传输受到干扰时,仅需要重传未成功发送的分片,从而提高吞吐量。

12. 帧的最大重传次数

在无线网络中传输的单播数据,必须得到接收端的应答,否则便认为传送失败。设备会对传送失败的帧进行重传,如果在达到最大重传次数时,仍然没有传送成功,则丢弃该帧,并将此状况告知上层协议。

每个帧或帧片段都分别对应一个重传计数器。无线设备上具有两个重传计数器:短帧重传计数器与长帧重传计数器。长度小于RTS门限值的帧视为短帧;长度超过RTS门限值的帧则为长帧。当帧传送失败,对应的重传计数器累加,然后重新传送帧,直至达到最大重传次数。

区分短帧和长帧的主要目的是为了让网络管理人员利用不同长度的帧来调整重传策略。由于发送长帧前需要执行冲突避免,因此长帧比短帧占用了更多的缓存空间和传输时间。在配置帧的最大重传次数时,适当减少长帧的最大重传次数,可以减少所需要的缓存空间和传输时间。

1.5.9  802.11n功能

说明

如果多个用户登录到AC设备上对某台AP配置802.11n功能,同一时间只有一个用户可以配置成功。

 

IEEE 802.11n协议的制定,旨在提供高带宽、高质量的WLAN服务,使无线局域网达到以太网的性能水平。802.11n通过物理层和MAC(Media Access Control,媒体访问控制)层的优化来提高WLAN的吞吐能力,从而提高传输速率。

802.11n的物理层建立在OFDM系统之上,采用MIMO(Multiple Input,Multiple Output,多输入多输出)、40MHz传输带宽、Short GI(Short Guard Interval,短保护间隔)、STBC(Space-Time Block Coding,空时块编码)、LDPC(Low-Density Parity Check,低密度奇偶校验)等技术使物理层达到高吞吐(High Throughput)的效果,并采用A-MPDU(Aggregate MAC Protocol Data Unit,聚合MAC协议数据单元)、A-MSDU(Aggregate MAC Service Data Unit,聚合MAC服务数据单元)、BA(Block Acknowledgment,块确认)等技术,提高MAC层的传输效率。

1. A-MSDU功能

A-MSDU技术是指把多个MSDU(MAC Service Data Unit,MAC服务数据单元)聚合成一个较大的载荷。目前,MSDU仅指Ethernet报文。通常,当AP或客户端从协议栈收到MSDU报文时,会封装Ethernet报文头,封装之后称之为A-MSDU Subframe;而在通过射频发送出去前,需要一一将其转换成802.11报文格式。而A-MSDU技术旨在将若干个A-MSDU Subframe聚合到一起,并封装为一个802.11报文进行发送。从而减少了发送每一个802.11报文所需的PLCP Preamble、PLCP Header和802.11MAC Header的开销,提高了报文发送的效率。

图1-6 A-MSDU报文格式图

 

A-MSDU是将多个MSDU组合在一起发送,这些MSDU必须拥有相同的QoS优先级,而且必须由同一设备发送,并被唯一的一个设备接收。当一个设备接收到一个A-MSDU时,需要将这个A-MSDU分解成多个MSDU后分别处理。

2. A-MPDU功能

802.11n标准中采用A-MPDU聚合帧格式,减少了每个传输帧中的附加信息,同时也减少了所需要的ACK帧的数目,从而降低了协议的负荷,有效的提高了网络吞吐量。A-MPDU是将多个MPDU(MAC Protocol Data Unit,MAC协议数据单元)聚合为一个A-MPDU,这里的MPDU为经过802.11封装的数据报文。A-MPDU抢占一次信道并使用一个PLCP(Physical Layer Convergence Procedure,物理层汇聚协议)头来提升信道利用率。一个A-MPDU中的所有MPDU必须拥有相同的QoS优先级,由同一设备发送,并被唯一的一个设备接收。

图1-7 A-MPDU报文格式图

 

3. Short-GI功能

Short GI是802.11n针对802.11a/g所做的改进。射频在使用OFDM调制方式发送数据时,整个帧是被划分成不同的数据块进行发送的,为了数据传输的可靠性,数据块之间会有GI(Guard Interval,保护间隔),用以保证接收侧能够正确的解析出各个数据块。无线信号的空间传输会因多径等因素在接收侧形成时延,如果后面的数据块发送的过快,会和前一个数据块形成干扰,GI就是用来规避这个干扰的。802.11a/g的GI时长为800ns,在多径效应不严重时,可以使用Short GI,Short GI时长为400ns,在使用Short GI的情况下,可提高10%的传输速率。另外,Short GI与带宽无关,支持20MHz、40MHz带宽。

4. LDPC功能

802.11n引入了LDPC(Low-Density Parity Check,低密度奇偶校验)机制,该机制通过校验矩阵定义了一类线性码,并在码长较长时需要校验矩阵满足“稀疏性”,即校验矩阵中1的个数远小于0。在802.11n出现以前,所有以OFDM为调制方式的设备都使用卷积作为前向纠错码。802.11n引入了LDPC校验码,将传输的信噪比增加到了1.5到3dB之间,使传输质量得到提升。对LDPC的支持需要设备间的协商,以保证设备双方都支持LDPC校验。

5. STBC功能

802.11n引入了STBC(Space-Time Block Coding,空时块编码)机制,该机制可以将空间流编码成时空流,是802.11n中使用的一个简单的可选的发送分集机制。该机制的优点是不要求客户端具有高的数据传输速率,就可以得到强健的链路性能。STBC是完全开环的,不要求任何反馈或额外的系统复杂度,但是会降低效率。

6. MCS索引

当非802.11n客户端上线时,将使用基础速率传输单播数据。当802.11n客户端上线时,将使用MCS索引所代表的调制与编码策略传输单播数据。

当未配置组播MCS索引时,802.11n客户端和AP之间将使用组播速率发送组播数据;当配置了组播MCS索引且客户端都是802.11n客户端时,AP和客户端将使用组播MCS索引所代表的调制与编码策略传输组播数据。当配置了组播索引且存在非802.11n客户端时,AP和客户端将使用基础模式的组播速率传输组播数据,即802.11a/b/g的组播速率。

需要注意的是:

·     组播MCS索引需要小于或等于最大基本MCS索引,最大基本MCS需要小于或等于最大支持MCS索引。

·     配置的802.11n基本MCS最大索引值index表示射频的802.11n基本MCS的最大索引值,即该射频的802.11n基本MCS集是0~index。

·     配置的802.11n支持MCS最大索引值index表示射频的802.11n支持MCS的最大索引值,即该射频的802.11n支持MCS集是0~index。

·     配置的802.11n组播MCS索引值index表示射频发送802.11n组播报文使用的MCS索引。

7. 仅允许802.11n及802.11ac客户端接入功能

开启仅允许802.11n及802.11ac客户端接入功能后,仅允许802.11n及802.11ac客户端接入,不允许802.11a/b/g客户端接入,可以隔离低速率的客户端的影响,提高802.11n设备的传输速率。

8. 802.11n信道带宽

802.11n沿用了802.11a/b/g的信道结构。20MHz信道划分为64个子信道,为了防止相邻信道干扰,在802.11a/g中,需预留12个子信道,同时,需用4个子信道充当导频(pilot carrier)以监控路径偏移,因此20MHz带宽的信道在802.11a/g中用于传输数据的子信道数为48个;而在802.11n中,只需预留8个子信道,加上充当导频的4个子信道,20MHz带宽的信道在802.11n中用于传输数据的子信道数为52个,提高了传输速率。

802.11n将两个相邻的20MHz带宽绑定在一起,组成一个40MHz通讯带宽(其中一个为主信道,另一个为辅信道)来提高传输速率。

射频的带宽配置及芯片的支持能力决定了射频工作在20MHz的带宽还是工作在20/40MHz的带宽。

9. MIMO模式

MIMO是指一个天线采用多条流进行无线信号的发送和接收。MIMO能够在不增加带宽的情况下成倍的提高信息吞吐量和频谱利用率。设备支持的MIMO模式包括以下八种:

·     1x1:采用一条流进行无线信号的发送和接收。

·     2x2:采用两条流进行无线信号的发送和接收。

·     3x3:采用三条流进行无线信号的发送和接收。

·     4x4:采用四条流进行无线信号的发送和接收。

·     5x5:采用五条流进行无线信号的发送和接收。

·     6x6:采用六条流进行无线信号的发送和接收。

·     7x7:采用七条流进行无线信号的发送和接收。

·     8x8:采用八条流进行无线信号的发送和接收。

支持流的数量与AP型号有关,请以设备的实际情况为准。

10. AP绿色节能功能

开启绿色节能功能后,在没有用户与Radio关联时,Radio将工作在1x1模式(仅采用一条流进行无线信号的发送和接收),节省用电量。

11. 802.11n保护功能

说明

本功能所指的802.11n包括802.11n、802.11ac和802.11ax。

 

当网络中同时存在802.11n和非802.11n的客户端,由于调制方式不同,非802.11n客户端无法解析802.11n信号,会导致非802.11n与802.11n网络之间彼此造成干扰。802.11n保护功能用于避免干扰情况的发生,通过使802.11n设备发送RTS/CTS报文或CTS-to-self报文来取得信道使用权,确保非802.11n客户端能够检测到802.11n客户端正在进行数据传输,实现冲突避免。

开启802.11n保护功能后,当AP在其工作信道上扫描到非802.11n信号,则会在传输数据前通过发送RTS/CTS报文或CTS-to-self报文进行冲突避免,并通知客户端开始执行802.11n保护功能;如果未检测到非802.11n信号,则不会采取上述动作。

当非802.11n客户端在开启了802.11n、802.11ac或802.11ax的AP上接入时,AP上的802.11n保护功能将自动开启并生效。

12. 智能天线功能

说明

·     本特性的支持情况与用户选择的AP型号有关,请以设备的实际情况为准。

·     本特性仅对802.11n及802.11ac模式的射频生效。

 

开启智能天线功能之后,AP能够根据客户端的当前位置和信道信息,自动调整信号的发送参数,使射频能够集中发送至接收方所处的位置,从而提高客户端的信号质量和稳定性。

针对不同使用环境,本设备提供以下几种智能天线策略:

·     自适应策略:对语音视频等报文使用高可靠性策略,对其它报文使用高吞吐量策略。

·     高可靠性策略:优化噪声影响,抵抗局部干扰源,保证客户端带宽,降低客户端下线几率。本策略适用于对于带宽稳定要求较高的环境。

·     高吞吐量策略:提高收发信号强度,增加吞吐量。本策略适用于对于性能要求较高的环境。

1.5.10  802.11ac功能

说明

如果多个用户登录到AC设备上对某台AP配置802.11ac功能,同一时间只有一个用户可以配置成功。

 

802.11ac是802.11n的继承者,它采用并扩展了源自802.11n的众多概念,包括更宽的射频带宽(提升至160MHz)、更多的MIMO空间流(增加到8)、多用户的MIMO、以及更高阶的调制方式(达到256QAM),从而进一步提高了WLAN的传输速率。

1. NSS

当802.11ac客户端上线时,将使用NSS(Number of Spatial Streams,空间流数)所对应的VHT-MCS索引所代表的调制与编码策略传输单播数据。

当非802.11ac客户端上线时,将使用基础速率或MCS所代表的调制与编码策略传输单播数据。

当未配置组播NSS时,802.11ac客户端和AP之间将使用组播速率或组播MCS所代表的调制与编码策略发送组播数据。

当配置了组播NSS且客户端都是802.11ac客户端时,AP和客户端将使用VHT-MCS索引所代表的调制与编码策略传输组播数据。

当配置了组播NSS且存在非802.11ac客户端时,AP和客户端将使用基础模式的组播速率或MCS所代表的调制与编码策略传输组播数据,即802.11a/b/g/n的组播速率。

需要注意的是:

·     组播NSS需要小于或等于最大基本NSS,最大基本NSS需要小于或等于最大支持NSS。

·     配置的802.11ac基本NSS最大数值number表示射频的802.11ac最大基本NSS,即该射频的802.11ac基本NSS是1~number。

·     配置的802.11ac支持NSS最大数值number表示射频的802.11ac最大支持NSS,即该射频的802.11ac支持NSS是1~number。

·     配置的802.11ac组播NSS数值number表示射频发送802.11ac组播报文使用的NSS。配置的VHT-MCS索引值index表示射频发送802.11ac组播报文使用的对应NSS的VHT-MCS索引。

2. 仅允许802.11ac客户端接入功能

开启仅允许802.11ac客户端接入功能后,仅允许802.11ac客户端接入,不允许802.11a/b/g/n客户端接入,可以隔离低速率的客户端的影响,提高802.11ac设备的传输速率。

3. 802.11ac信道带宽

802.11ac将信道带宽从802.11n的20MHz/40MHz提升到了80MHz/160MHz。带宽的提升带来了可用数据子载波的增加。802.11gac仅支持20MHz和40MHz两种带宽。

802.11ac沿用了802.11n的信道带宽划定方式,通过将相邻的信道合并得到更大带宽的信道。在802.11ac中,可以将相邻的两个20Mhz信道合并得到带宽为40Mhz的信道,也可以将两个40Mhz带宽的信道合并,得到带宽为80Mhz的信道,也可以将两个80Mhz带宽的信道合并,得到带宽为160Mhz的信道。

图1-8 802.11ac信道带宽划定方式示意图

 

1.5.11  802.11ax功能

说明

·     如果多个用户登录到AC设备上对某台AP配置802.11ax功能,同一时间只有一个用户可以配置成功。

·     部分英特尔无线网卡若无法扫描到802.11ax类型射频发射的无线信号,请尝试更新网卡驱动。

 

1. NSS

当非802.11ax客户端上线时,将使用基础速率、MCS或VHT-MCS所代表的调制与编码策略传输单播数据。

当802.11ax客户端上线时,将使用NSS所对应的HE-MCS索引所代表的调制与编码策略传输单播数据。

当未配置组播NSS时,802.11ax客户端和AP之间将使用组播速率或组播MCS所代表的调制与编码策略发送组播数据。

当配置了组播NSS且客户端都是802.11ax客户端时,AP和客户端将使用HE-MCS索引所代表的调制与编码策略传输组播数据。

当配置了组播NSS且存在非802.11ax客户端时,AP和客户端将使用基础模式的组播速率或MCS所代表的调制与编码策略传输组播数据,即802.11a/b/g/n/ac的组播速率。

需要注意的是:

·     组播NSS需要小于或等于最大基本NSS,最大基本NSS需要小于或等于最大支持NSS。

·     配置的802.11ax基本NSS(Number of Spatial Streams,空间流数)最大数值number表示射频的802.11ax最大基本NSS,即该射频的802.11ax基本NSS是1~number。

·     配置的802.11ax支持NSS最大数值number表示射频的802.11ax最大支持NSS,即该射频的802.11ax支持NSS是1~number。

·     配置的802.11ax组播NSS数值number表示射频发送802.11ax组播报文使用的NSS。配置的HE-MCS索引值index表示射频发送802.11ax组播报文使用的对应NSS的HE-MCS索引。

2. 802.11ax信道带宽

802.11ax将信道带宽从802.11n的20MHz/40MHz提升到了80MHz/160MHz/(80+80)MHz。带宽的提升带来了可用数据子载波的增加。802.11gax仅支持20MHz和40MHz两种带宽。

802.11ax沿用了802.11n的信道带宽划定方式,通过将相邻的信道合并得到更大带宽的信道。在802.11ax中,可以将相邻的两个20Mhz信道合并得到带宽为40Mhz的信道,也可以将两个40Mhz带宽的信道合并,得到带宽为80Mhz的信道,也可以将两个80Mhz带宽的信道合并,得到带宽为160Mhz的信道。

图1-9 802.11ax信道带宽划定方式示意图

 

1.5.12  射频优化

WLAN RRM(Radio Resource Management,射频资源管理)是一种可升级的射频管理解决方案,通过“采集(AP实时收集射频环境信息)->分析(AC对AP收集的数据进行分析评估)->决策(根据分析结果,AC统筹分配信道和发送功率)->执行(AP执行AC设置的配置,进行射频资源调优)”的方法,提供一套系统化的实时智能射频管理方案,使无线网络能够快速适应无线环境变化,保持最优的射频资源状态。WLAN RRM主要通过信道调整和功率调整的方式来优化射频的服务质量。

1. 信道调整

信道调整是指AC在调整周期到达时,通过计算信道质量,挑选出质量最优的信道应用到Radio上。影响信道质量的因素包括:

·     误码率:包括无线报文传输过程中物理层的误码率和CRC错误。

·     干扰:802.11信号或非802.11信号对无线接入服务产生的影响。

·     信道使用率:射频芯片处理大量无线报文的承载能力。

·     重传:由于AP没有收到ACK报文造成的数据重传。

·     雷达信号:在工作信道上检测到雷达信号。在这种情况下,AC会立即通知AP切换工作信道。

2. 功率调整

功率调整就是在整个无线网络的运行过程中,AC能够根据实时的无线环境情况,动态地调整Radio的发送功率,使Radio的发送功率在能够覆盖足够范围的情况下减少对其他Radio的干扰。Radio的发送功率增加或减少取决于邻居Radio数量等因素(邻居Radio指的是一个Radio能探测到的、由同一AC管理的其他Radio)。

3. 频宽调整

自动频宽调整是指设备周期性地进行信道质量检测,如果某射频的邻居Radio数量满足一定的条件,将会自动增大或降低该射频的频宽。

1.5.13  频谱分析

说明

本特性的支持情况与AP设备的型号有关,请以设备的实际情况为准。

 

由于WLAN工作在共享频段,微波炉、无绳电话等设备都可能成为无线网络潜在的干扰源。为了解决上述问题,可以通过WSA(Wireless Spectrum Analysis,无线频谱分析)功能,实现对网络频谱环境的实时分析,及时发现干扰。频谱分析具有以下作用:

·     识别干扰设备类型:可识别出无线环境中的干扰设备类型,并提供关于干扰设备的详细信息。

·     检测信道质量:提供信道质量信息报表,计算出每个信道上干扰设备的数量以及信道质量的平均值和最差值。

·     干扰设备特征库管理:用户可以向AP下发不同的特征库,便于AP识别干扰设备。

·     规避干扰源:在开启RRM(Radio Resource Management,射频资源管理)联动功能后,当AC检测到当前工作信道的质量低于要求的级别时,会评估所有可用信道的质量,如果发现有质量更好的信道,就会将工作信道切换到新的信道上。

网络管理人员可以通过在AC上查看当前干扰信息,或是在网管系统上查看实时频谱数据图,充分了解无线网络运行情况,为快速诊断并制定排除干扰源的行动策略提供了有力的支持。

1. 识别干扰设备

AP可识别的干扰设备类型取决于所加载的干扰设备特征库。AP接收到无线环境中的信号后,通过分析信号的跳频间隔、脉冲周期等参数,在与干扰设备特征库中保存的设备信号信息进行匹配后,能够识别出无线环境中可能存在的干扰设备。请进入“监控 > 射频 > 频谱分析”页面,查看AP检测到的干扰设备信息。

2. 检测信道质量

频谱分析会对当前工作信道及可用信道的质量进行检测,计算出每个信道上的干扰设备数量及信道质量的平均值和最差值。请进入“监控 > 射频 > 频谱分析”页面,查看AP检测到的信道质量信息。

3. RRM联动

开启RRM(Radio Resource Management,射频资源管理)联动功能后,当频谱分析检测到当前工作信道的质量低于要求的级别时,会主动通知RRM当前信道质量不佳,由RRM执行信道调整。

4. 告警功能

频谱分析可以向网管系统发送两种告警:

·     干扰设备告警:检测到干扰设备时,AC会向网管系统发送设备发现告警;发现干扰设备消失时,AC会向网管系统发送设备消失告警。

·     信道质量告警:检测到信道质量低于指定门限值时,AC会向网管系统发送信道质量差的告警;信道质量恢复至门限值以上时,AC会向网管系统发送信道质量恢复的告警。

1.5.14  负载均衡

1. 负载均衡简介

WLAN负载均衡用于在高密度无线网络环境中平衡Radio的负载,充分地保证每个AP的性能和无线客户端的带宽。

启动负载均衡的WLAN环境要求为:相互进行负载均衡的AP必须要连到同一AC上,并且客户端能扫描到相互进行负载均衡的Radio。

2. 负载均衡类型

目前,AC支持两种类型的负载均衡:基于Radio的负载均衡和基于负载均衡组的负载均衡。

·     基于Radio的负载均衡:根据AP上报的邻居报告判断需要进行负载均衡的Radio,邻居报告记录着每个Radio检测到的客户端的MAC地址和RSSI值。当客户端发起关联请求时,设备仅对客户端发起关联请求的Radio和检测到该客户端RSSI值达到负载均衡门限的Radio进行负载均衡计算。

·     基于负载均衡组的负载均衡可以限制负载均衡的范围,在跨AP的多个Radio之间进行负载均衡。创建负载均衡组后,AC将以负载均衡组为单位,在各个组内的Radio间进行会话模式、流量模式或带宽模式的负载均衡,没有加入到任何负载均衡组的Radio不会参与负载均衡。

3. 负载均衡模式

·     会话模式:当Radio上的在线客户端数量达到或超过会话门限值并且与同一AC内其他Radio上的在线客户端数量最小者的差值达到或超过会话差值门限值,Radio才会开始运行负载均衡。

·     流量模式:当Radio上的流量达到或超过流量门限值并且与同一AC内其他Radio上的流量最小者的差值达到或超过流量差值门限值,Radio才会开始运行负载均衡。

·     带宽模式:当Radio上的带宽达到或超过带宽门限值并且与同一AC内其他Radio上的带宽最小者的差值达到或超过带宽差值门限值,Radio才会开始运行负载均衡。

4. 负载均衡参数

·     负载均衡RSSI门限:在进行负载均衡计算时,一个客户端可能会被多个Radio检测到,如果某个Radio检测到该客户端的RSSI值低于设定值,则该Radio将判定该客户端没有被检测到。如果只有过载的Radio可以检测到某客户端,其他Radio由于检测到该客户端的RSSI值低于设定值,将判定该客户端没有被检测到,则AC会通过让过载的Radio减少拒绝该客户端关联请求的最大次数,增大该客户端接入的概率。

·     设备拒绝客户端关联请求的最大次数:如果客户端反复向某个Radio发起关联请求,且Radio拒绝客户端关联请求次数达到设定的最大拒绝关联请求次数,那么该Radio会认为此时该客户端不能连接到其它任何的Radio,在这种情况下,Radio会接受该客户端的关联请求。

1.5.15  频谱导航

在实际无线网络环境中,有些客户端只能工作在2.4GHz频段上,有些客户端可以工作在2.4GHz频段或者5GHz频段,这有可能导致2.4GHz射频过载,5GHz射频相对空余。在这种情况下,可以使用频谱导航功能,将支持双频工作的客户端优先接入5GHz射频,使得两个频段上的客户端数量相对均衡,从而提高整网性能。

图1-10所示,无线网络中存在三个客户端,AP上开启5GHz射频和2.4GHz射频,Client1关联到AP的5GHz射频,Client2关联到AP的2.4GHz射频。AC上开启频谱导航功能后,当Client3准备接入无线网络时,如果对5GHz射频进行关联,将直接关联成功,如果对2.4GHz射频进行关联,将被AC拒绝。

图1-10 启动频谱导航的WLAN环境

 

1.6  无线安全

1.6.1  WIPS

WIPS(Wireless Intrusion Prevention System,无线入侵防御系统)是针对802.11协议开发的二层协议检测和防护功能。WIPS通过AC与Sensor(开启WIPS功能的AP)对信道进行监听及分析处理,从中检测出威胁网络安全、干扰网络服务、影响网络性能的无线行为或设备,并提供对入侵的无线设备的反制,为无线网络提供一套完整的安全解决方案。

WIPS由Sensor、AC以及网管软件组成。Sensor负责收集无线信道上的原始数据,经过简单加工后,上传至AC进行综合分析。AC会分析攻击源并对其实施反制,同时向网管软件输出日志信息。网管软件提供丰富的图形界面,提供系统控制、报表输出、告警日志管理功能。

WIPS支持以下功能:

·     攻击检测:提供多种攻击方式的攻击检测功能。

·     设备分类:通过侦听无线信道的802.11报文来识别无线设备,并对其进行分类。

·     反制:对非法设备进行攻击,使其它设备无法关联到非法设备,从而保护用户网络的安全。

1. 开启WIPS

开启WIPS功能前,需要将AP加入到指定VSD(Virtual Security Domain,虚拟安全域)中。该AP也称为Sensor。

2. 虚拟安全域

通过在虚拟安全域上应用分类策略、攻击检测策略、Signature策略或反制策略,使已配置的分类策略、攻击检测策略、Signature策略或反制策略在虚拟安全域内的Radio上生效。

3. 分类策略

·     分类策略

可以通过两种配置方式实现设备分类,其中手工分类的优先级高于自动分类。

¡     自动分类:通过信任设备列表、信任OUI列表和静态禁用设备列表对所有设备进行分类;或通过自定义的AP分类规则对AP设备进行分类。

¡     手工分类:通过手动指定AP的类型对设备进行分类。

·     AP的分类类别

WIPS将检测到的AP分为以下几类:

¡     授权AP(Authorized AP):允许在无线网络中使用的AP。包括已经关联到AC上且不在禁用列表中的AP和手动指定的授权AP。

¡     非法AP(Rouge AP):不允许在无线网络中使用的AP。包括禁用设备列表中的AP、不在OUI配置文件中的AP和手动指定的非法AP。

¡     配置错误的AP(Misconfigured AP):无线服务配置错误,但是允许在无线网络中使用的AP。例如,在信任设备列表中,但使用了非法SSID的AP;在OUI配置文件中,但不在禁用设备列表的AP;在信任OUI或是信任设备列表中,但是未与AC关联的AP。

¡     外部AP(External AP):其他无线网络中的AP。WIPS可能会检测到邻近网络中的AP,例如邻近公司或个人住宅中的AP。

¡     Ad hoc:运行在Ad hoc模式的AP。WIPS通过检测Beacon帧将其分类为Ad hoc。

¡     潜在授权的AP(Potential-authorized AP):无法确定但可能是授权的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,那么该AP很可能是授权的AP,如Remote AP。

¡     潜在非法的AP(Potential-rogue AP):无法确定但可能是非法的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,那么,如果检测到它的有线端口可能连接到网络中,则认为其为潜在非法的AP;如果能确定其有线端口连接到网络中,则认为其为非法AP,如恶意入侵者私自接入网络的AP。

¡     潜在外部的AP(Potential-external AP):无法确定但可能是外部的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,同时也没有检测到它的有线端口连接到网络中,则该AP很可能是外部的AP。

¡     未分类AP(Uncategorized AP):无法确定归属类别的AP。

WIPS对检测到的AP的分类处理流程如图1-11所示:

图1-11 WIPS对检测到的AP设备的分类处理流程示意图

 

·     客户端的分类类别

WIPS将检测到的客户端分为以下几类:

¡     授权客户端(Authorized Client):允许使用的客户端,如关联到授权AP上的受信任的客户端或通过加密认证方式关联到授权AP上的客户端都是授权的客户端。

¡     未授权客户端(Unauthorized Client):不允许使用的客户端。如在禁用设备列表中的客户端、连接到Rogue AP上的客户端以及不在OUI配置文件中的客户端都是未授权客户端。

¡     错误关联客户端(Misassociation Client):信任设备列表中的客户端关联到非授权AP上。错误关联的客户端可能会对网络信息安全带来隐患。

¡     未分类客户端(Uncategorized Client):无法确定归属类别的客户端。

WIPS对检测到的客户端的分类处理流程如图1-12所示:

图1-12 WIPS对检测到的客户端的分类处理流程示意图

 

4. 攻击检测策略

WIPS通过分析侦听到的802.11报文,来检测针对WLAN网络的无意或者恶意的攻击,并以告警的方式通知网络管理员。

·     表项学习速率和表项时间参数

如果攻击者通过发送大量报文来增加WIPS的处理开销等。通过检测周期内学习到设备的表项来判断是否需要对表项学习进行限速处理。设备在统计周期内学习到的AP或客户端表项达到触发告警阈值,设备会发送告警信息,并停止学习AP表项和客户端表项。

·     泛洪攻击检测

泛洪攻击是指通过向无线设备发送大量同类型的报文,使无线设备会被泛洪攻击报文淹没而无法处理合法报文。WIPS通过持续地监控AP或客户端的流量来检测泛洪攻击。当大量同类型的报文超出上限时,认为无线网络正受到泛洪攻击。

目前WIPS能够防范的泛洪攻击包括:

¡     Probe-request/Association-request/Reassociation-request帧泛洪攻击

攻击者通过模拟大量的客户端向AP发送Probe-request/Association-request/Reassociation-request帧,AP收到大量攻击报文后无法处理合法客户端的Probe-request/Association-request/Reassociation-request帧。

¡     Authentication帧泛洪攻击

攻击者通过模拟大量的客户端向AP发送Authentication帧,AP收到大量攻击报文后无法处理合法客户端的Authentication帧。

¡     Beacon帧泛洪攻击

该攻击是通过发送大量的Beacon帧使客户端检测到多个虚假AP,导致客户端选择正常的AP进行连接时受阻。

¡     Block ACK泛洪攻击

该攻击通过仿冒客户端发送伪造的Block ACK帧来影响Block ACK机制的正常运行,导致通信双方丢包。

¡     RTS/CTS泛洪攻击

在无线网络中,通信双方需要遵循虚拟载波侦听机制,通过RTS(Request to Send,发送请求)/CTS(Clear to Send,清除发送请求)交互过程来预留无线媒介,通信范围内的其它无线设备在收到RTS和(或)CTS后,将根据其中携带的信息来延迟发送数据帧。RTS/CTS泛洪攻击利用了虚拟载波侦听机制的漏洞,攻击者能通过泛洪发送RTS和(或)CTS来阻塞WLAN网络中合法无线设备的通信。

¡     Deauthentication帧泛洪攻击

攻击者通过仿冒AP向与其关联的客户端发送Deauthentication帧,使得被攻击的客户端与AP的关联断开。这种攻击非常突然且难以防范。单播Deauthentication帧攻击是针对某一个客户端,而广播Deauthentication帧攻击是针对与该AP关联的所有客户端。

¡     Disassociation帧泛洪攻击

攻击原理同Disassociation帧泛洪攻击。攻击者是通过仿冒AP向与其关联的客户端发送Disassociation帧,使得被攻击的客户端与AP的关联断开。这种攻击同样非常突然且难以防范。

¡     EAPOL-Start泛洪攻击

IEEE 802.1X标准定义了一种基于EAPOL(EAP over LAN,局域网上的可扩展认证协议)的认证协议,该协议通过客户端发送EAPOL-Start帧开始一次认证流程。AP接收到EAPOL-Start后会回复一个EAP-Identity-Request,并为该客户端分配一些内部资源来记录认证状态。攻击者可以通过模拟大量的客户端向AP发送EAPOL-Start来耗尽该AP的资源,使AP无法处理合法客户端的认证请求。

¡     Null-data泛洪攻击

该攻击通过仿冒合法客户端向与其关联的AP发送Null-data帧,使得AP误认为合法的客户端进入省电模式,将发往该客户端的数据帧进行暂存。如果攻击者持续发送Null-data帧,当暂存帧的存储时间超过AP暂存帧老化时间后,AP会将暂存帧丢弃,妨害了合法客户端的正常通信。

¡     EAPOL-Logoff泛洪攻击

在EAPOL认证环境中,当通过认证的客户端需要断开连接时,会发送一个EAPOL-Logoff帧来关闭与AP间的会话。但AP对接收到的EAPOL-Logoff帧不会进行认证,因此攻击者通过仿冒合法客户端向AP发送EAPOL-Logoff帧,可以使AP关闭与该客户端的连接。如果攻击者持续发送仿冒的EAPOL-Logoff帧,将使被攻击的客户端无法保持同AP间的连接。

¡     EAP-Success/Failure泛洪攻击

在使用802.1X认证的WLAN环境中,当客户端认证成功时,AP会向客户端发送一个EAP-Success帧(code字段为success的EAP帧);当客户端认证失败时,AP会向客户端发送一个EAP-Failure帧(code字段为failure的EAP帧)。攻击者通过仿冒AP向请求认证的客户端发送EAP-Failure帧或EAP-Success帧来破坏该客户端的认证过程,通过持续发送仿冒的EAP-Failure帧或EAP-Success帧,可以阻止被攻击的客户端与AP间的认证。

·     畸形报文检测

畸形报文攻击是指攻击者向受害客户端发送有缺陷的报文,使得客户端在处理这样的报文时会出现崩溃。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析检测出具有某些畸形类型特征的畸形报文,并发送告警。

目前支持的畸形报文检测包括:

¡     IE重复的畸形报文

该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不检测厂商自定义IE。

¡     Fata-Jack畸形报文

该检测是针对Authentication帧的检测。Fata-jack畸形类型规定,当身份认证算法编号即Authentication algorithm number的值等于2时,则判定该帧为Fata-jack畸形报文。

¡     IBSS和ESS置位异常的畸形报文

该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以该报文被判定为IBSS和ESS置位异常的畸形报文。

¡     源地址为广播或者组播的认证和关联畸形报文

该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时,表明该帧为客户端发给AP的,如果同时又检测到该帧的源MAC地址为广播或组播,则该帧被判定为Invalid-source-address畸形报文。

¡     畸形Association-request报文

该检测是针对认证请求帧的检测。当收到认证请求帧中的SSID的长度等于0时,判定该报文为畸形关联请求报文。

¡     畸形Authentication报文

该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败,会被判断为认证畸形报文。

-     当对认证帧的身份认证算法编号(Authentication algorithm number)的值不符合协议规定,并且其值大于3时;

-     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值等于1,且状态代码status code不为0时;

-     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值大于4时。

¡     含有无效原因值的解除认证畸形报文

该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除认证畸形报文。

¡     含有无效原因值的解除关联畸形报文

该检测是针对解除关联帧的检测。当解除关联帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除关联畸形报文。

¡     畸形HT IE报文

该检测是针对Beacon、探查响应帧、关联响应帧、重关联请求帧的检测。当检测到以下情况时,判定为HT IE的畸形报文,发出告警,在静默时间内不再告警。

-     解析出HT Capabilities IE的SM Power Save值为2时;

-     解析出HT Operation IE的Secondary Channel Offset值等于2时。

¡     IE长度非法的畸形报文

该检测是针对所有管理帧的检测。信息元素(Information Element,简称IE)是管理帧的组成元件,每种类型的管理帧包含特定的几种IE。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。

¡     报文长度非法的畸形报文

该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于0时,则该报文被判定为报文长度非法的畸形报文。

¡     无效探查响应报文

该检测是针对探查响应报文。当检测到该帧为非Mesh帧,但同时该帧的SSID Length等于0,这种情况不符合协议(协议规定SSID Length等于0的情况是Mesh帧),则判定为无效探查响应报文。

¡     Key长度超长的EAPOL报文

该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于0时,则判定该帧为Key长度超长的EAPOL报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。

¡     SSID长度超长的畸形报文

该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSID length大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。

¡     多余IE畸形报文

该检测是针对所有管理帧的检测。报文解析过程中,当检测到既不属于报文应包含的IE,也不属于reserved IE时,判断该IE为多余IE,则该报文被判定为多余IE的畸形报文。

¡     Duration字段超大的畸形报文

该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值,则为Duration超大的畸形报文。

·     攻击检测

¡     Spoofing

Spoofing攻击是指攻击者仿冒其他设备,从而威胁无线网络的安全。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证/解除关联报文就可能导致客户端下线,从而达到破坏无线网络正常工作的目的;又或者攻击者仿冒成合法的AP来诱使合法的客户端关联,攻击者仿冒成合法的客户端与AP关联等,从而可能导致用户账户信息泄露。

目前支持的Spoofing检测包括:AP地址仿冒和客户端地址仿冒

¡     Weak IV

WEP安全协议使用的RC4加密算法存在一定程度的缺陷,当其所用的IV值不安全时会大大增加其密钥被破解的可能性,该类IV值即被称为Weak IV。WIPS特性通过检测每个WEP报文的IV值来预防这种攻击。

¡     Windows网桥

当一个连接到有线网络的无线客户端使用有线网卡建立了Windows网桥时,该无线客户端就可以通过连接外部AP将外部AP与内部有线网络进行桥接。此组网方式会使外部AP对内部的有线网络造成威胁。WIPS会对已关联的无线客户端发出的数据帧进行分析,来判断其是否存在于Windows网桥中。

¡     设备禁用802.11n 40MHz

支持802.11n标准无线设备可以支持20MHz和40MHz两种带宽模式。在无线环境中,如果与AP关联的某个无线客户端禁用了40MHz带宽模式,会导致AP与该AP关联的其它无线客户端也降低无线通信带宽到20MHz,从而影响到整个网络的通信能力。WIPS通过检测无线客户端发送的探测请求帧来发现禁用40MHz带宽模式的无线客户端。

¡     Omerta

Omerta是一个基于802.11协议的DoS攻击工具,它通过向信道上所有发送数据帧的客户端回应解除关联帧,使客户端中断与AP的关联。Omerta发送的解除关联帧中的原因代码字段为0x01,表示未指定。由于正常情况下不会出现此类解除关联帧,因此WIPS可以通过检测每个解除关联帧的原因代码字段来检测这种攻击。

¡     未加密授权AP/未加密信任客户端

在无线网络中,如果有授权AP或信任的无线客户端使用的配置是未加密的,网络攻击者很容易通过监听来获取无线网络中的数据,从而导致网络信息泄露。WIPS会对信任的无线客户端或授权AP发出的管理帧或数据帧进行分析,来判断其是否使用了加密配置。

¡     热点攻击

热点攻击指恶意AP使用热点SSID来吸引周围的无线客户端来关联自己。攻击者通过伪装成公共热点来引诱这些无线客户端关联自己。一旦无线客户端与恶意AP关联上,攻击者就会发起一系列的安全攻击,获取用户的信息。用户通过在WIPS中配置热点文件,来指定WIPS对使用这些热点的AP和信任的无线客户端进行热点攻击检测。

¡     绿野模式

当无线设备使用802.11n 绿野模式时,不可以和其他802.11a/b/g 设备共享同一个信道。通常当一台设备侦听到有其他设备占用信道发送和接收报文的时候,会延迟报文的发送直到信道空闲时再发送。但是802.11a/b/g设备不能和绿野模式的AP进行通信,无法被告知绿野模式的AP当前信道是否空闲,会立刻发送自己的报文。这可能会导致报文发送冲突、差错和重传。

¡     关联/重关联DoS攻击

关联/重关联DoS攻击通过模拟大量的客户端向AP发送关联请求/重关联请求帧,使AP的关联列表中存在大量虚假的客户端,达到拒绝合法客户端接入的目的。

¡     中间人

在中间人攻击中,攻击者在合法AP和合法客户端的数据通路中间架设自己的设备,并引诱合法客户端下线并关联到攻击者的设备上,此时攻击者就可以劫持合法客户端和合法AP之间的会话。在这种情况下,攻击者可以删除,添加或者修改数据包内的信息,获取验证密钥、用户密码等机密信息。中间人攻击是一种组合攻击,客户端在关联到蜜罐AP后攻击者才会发起中间人攻击,所以在配置中间人攻击检测之前需要开启蜜罐AP检测。

¡     无线网桥

攻击者可以通过接入无线网桥侵入公司网络的内部,对网络安全造成隐患。WIPS通过检测无线网络环境中是否存在无线网桥数据以确定周围环境中是否存在无线网桥。当检测到无线网桥时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。如果该无线网桥是Mesh网络时,则记录该Mesh链路。

¡     AP信道变化

AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境的中AP设备的信道是否发生变化。

¡     广播解除关联帧/解除认证帧

当攻击者仿冒成合法的AP,发送目的MAC地址为广播地址的解除关联帧或者解除认证帧时,会使合法AP下关联的客户端下线,对无线网络造成攻击。

¡     AP扮演者攻击

在AP扮演者攻击中,攻击者会安装一台恶意AP设备,该AP设备的BSSID和ESSID与真实AP一样。当该恶意AP设备在无线环境中成功扮演了真实AP的身份后,就可以发起热点攻击,或欺骗检测系统。WIPS通过检测收到Beacon帧的间隔小于Beacon帧中携带的间隔值次数达到阈值来判断其是否为攻击者扮演的恶意AP。

¡     AP泛洪

AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境的中AP设备的数目达到稳定后不会大量增加。当检测到AP的数目超出预期的数量时, WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。

¡     蜜罐AP

攻击者在合法AP附近搭建一个蜜罐 AP,通过该AP发送与合法AP SSID相似的Beacon帧或Probe Response帧,蜜罐AP的发送信号可能被调得很大以诱使某些授权客户端与之关联。当有客户端连接到蜜罐AP,蜜罐AP便可以向客户端发起某些安全攻击,如端口扫描或推送虚假的认证页面来骗取客户端的用户名及密码信息等。因此,需要检测无线环境中对合法设备构成威胁的蜜罐AP。WIPS系统通过对外部AP使用的SSID进行分析,若与合法SSID的相似度值达到一定阈值就发送蜜罐AP告警。

¡     节电攻击

对于处于非节电模式下的无线客户端,攻击者可以通过发送节电模式开启报文(Null帧),诱使AP相信与其关联的无线客户端始终处于睡眠状态,并为该无线客户端暂存帧。被攻击的无线客户端因为处于非节电模式而无法获取这些暂存帧,在一定的时间之后暂存帧会被自动丢弃。WIPS通过检测节电模式开启/关闭报文的比例判断是否存在节电攻击。

¡     软AP

软AP是指客户端上的无线网卡在应用软件的控制下对外提供AP的功能。攻击者可以利用这些软AP所在的客户端接入公司网络,并发起网络攻击。WIPS通过检测某个MAC地址在无线客户端和AP这两个角色上的持续活跃时长来判断其是否是软AP,不对游离的客户端进行软AP检测。

¡     非法信道

用户可以设置合法信道集合,并开启非法信道检测,如果WIPS在合法信道集合之外的其它信道上监听到无线通信,则认为在监听到无线通信的信道上存在入侵行为。

5. Signature检测

Signature检测是指用户可以根据实际的网络状况来配置Signature规则,并通过该规则来实现自定义攻击行为的检测。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析,检测出具有某些自定义类型特征的报文,并将分析检测的结果进行归类处理。

每个Signature检测规则中最多支持配置6条子规则,分别对报文的6种特征进行定义和匹配。当AC解析报文时,如果发现报文的特征能够与已配置的子规则全部匹配,则认为该报文匹配该自定义检测规则,AC将发送告警信息或记录日志。

可以通过子规则定义的6种报文特征包括:

·     帧类型

·     MAC地址

·     序列号

·     SSID

·     SSID长度

·     自定义报文位置

6. 反制策略

在无线网络中设备分为两种类型:非法设备和合法设备。非法设备可能存在安全漏洞或被攻击者操纵,因此会对用户网络的安全造成严重威胁或危害。反制功能可以对这些设备进行攻击使其他无线终端无法关联到非法设备。

7. 忽略告警信息的MAC地址列表

对于可以忽略WIPS告警信息的设备列表中的无线设备,WIPS仍然会对其做正常的监测,但是不会产生与该设备相关的任何WIPS告警信息。

1.6.2  黑白名单

无线网络很容易受到各种网络威胁的影响,非法设备对于无线网络来说是一个很严重的威胁,因此需要对客户端的接入进行控制。通过黑名单和白名单功能来过滤客户端,对客户端进行控制,防止非法客户端接入无线网络,可以有效的保护企业网络不被非法设备访问,从而保证无线网络的安全。组播或广播MAC地址不能设置为黑名单或白名单。

1. 白名单

白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入。白名单表项只能手工添加和删除。

2. 黑名单

黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入。黑名单分为静态黑名单和动态黑名单,以下分别介绍。

(1)     静态黑名单

用户手工添加、删除的黑名单称为静态黑名单,当无线网络明确拒绝某些客户端接入时,可以将这些客户端加入静态黑名单。

(2)     动态黑名单

设备通过检测而自动生成和删除的黑名单称为动态黑名单,当AP检测到来自某一客户端的攻击报文时,会将该客户端的MAC地址动态加入到动态黑名单中,在动态黑名单表项老化时间内拒绝该客户端接入无线网络。

1.7  漫游

在ESS(Extended Service Set,拓展服务集)区域中,WLAN客户端从一个AP上接入转移到另一个AP上接入的过程称为漫游。在漫游期间,客户端的IP地址、授权信息等维持不变。

1.7.1  漫游组

多个AC设备可以加入一个相同的组,客户端可以在组内漫游,该组即为漫游组。客户端从一个AC内的AP漫游到另一个AC内的AP上接入,称为AC间漫游(Inter-AC roaming)。该组网方式下,通过创建漫游组,统一管理参与漫游的AC,没有加入漫游组的AC将不参与漫游。

IADTP(Inter Access Device Tunneling Protocol,接入设备间隧道协议):该协议提供了设备间报文的通用封装和传输机制。提供漫游服务的设备之间会建立IADTP隧道,用于保证设备间控制报文以及客户端漫游信息的安全传输。

·     隧道IP地址类型

创建漫游组之后,必须指定漫游组隧道IP地址类型。只有设备加入漫游组时建立IADTP隧道的源IP地址与隧道IP地址类型相同,设备加入漫游组时才会生效并建立隧道。

·     建立IADTP隧道的源IP地址

设备在加入漫游组后需要使用IADTP隧道源IP地址和同一漫游组内成员设备建立IADTP隧道。

·     漫游组成员

漫游组内的成员设备通过IP地址标识,该IP地址为成员设备建立IADTP隧道的源IP地址。漫游组内可以同时添加IPv4和IPv6类型的漫游组成员,但是只有与隧道类型相同的成员可以生效。

1.7.2  Portal漫游中心

Portal漫游中心是指Portal用户在AC设备上进行Portal认证成功后,再漫游到其它AC设备时,不需要再次进行Portal认证,可以继续访问网络资源。本功能需要与WLAN漫游中心配合使用,WLAN漫游中心负责管理无线Portal用户的认证、授权和漫游等信息,同时还可以存储、更新用户信息并发送和响应报文以及提供信息查询服务。

1. WLAN漫游中心地址

WLAN漫游中心IP地址用于Portal漫游中心与WLAN漫游中心进行报文交互,可以为WLAN漫游中心上配置的与Portal漫游中心通信的任意IP地址。

2. WLAN漫游中心的UDP端口号

WLAN漫游中心的端口号用于Portal漫游中心与WLAN漫游中心进行报文交互。此端口号需要和WLAN漫游中心视图下配置的端口号保持一致。

3. Portal漫游中心等待WLAN漫游中心响应报文的超时时间

Portal漫游中心会向WLAN漫游中心发送用户信息查询、用户信息删除、用户信息更新及DHCP信息等报文,WLAN漫游中心收到报文后会发送响应报文,如果Portal漫游中心未在配置的超时时间内收到响应报文,会重新发送相关报文。

4. Portal漫游中心向WLAN漫游中心发送报文的最大尝试次数

Portal漫游中心会向WLAN漫游中心发送用户信息查询、用户信息删除、用户信息更新及DHCP信息等报文,WLAN漫游中心收到报文后会发送响应报文,如果Portal漫游中心未在超时时间内收到响应报文,会按照配置的最大尝试次数重新发送用户信息报文。如果达到最大尝试次数后,Portal漫游中心仍未收到响应报文,则按照以下原则处理:

·     如果Portal漫游中心未收到对用户信息查询报文的响应,则Portal用户需要进行正常的Portal认证流程上线。

·     如果Portal漫游中心未收到对用户信息删除报文的响应,则表示WLAN漫游中心并未删除用户信息。

·     如果Portal漫游中心未收到对用户信息更新报文的响应,则表示WLAN漫游中心并未更新用户信息。

1.8  应用

1.8.1  Mesh服务

1. WLAN Mesh简介

在传统无线网络中,AP之间需要借助电缆,交换机等设备建立连接,成本较高,并且需要大量的时间完成部署。而在无线Mesh网络中,AP之间可以直接建立无线连接,并且距离较远的AP间还可以建立多跳的无线链路。无线Mesh网络的优点包括:

·     低成本,高性能,部署简单。

·     提供多条备份链路,避免单点故障。

·     扩展性好,增加AP时无需铺设新的有线连接。

·     用户体验好,对用户来说无线Mesh网络和传统WLAN在应用上没有区别。

2. Mesh网络设备角色

WLAN Mesh网络中的设备角色如下:

·     MP(Mesh Point):提供Mesh服务的AP。

·     对端MP:已经与本端建立了Mesh链路的MP。

·     邻居MP:具备成为对端MP的条件,只是本端未与其建立Mesh链路。

·     MAP(Mesh Access Point):同时提供Mesh服务和接入服务的MP。

·     MPP(Mesh Portal Point):连接无线Mesh网络和非Mesh网络的MP。

3. Mesh Profile

Mesh Profile是指MP设备上Mesh协议处理能力的集合,Mesh Profile中主要包括Mesh ID、AKM(Authentication and Key Management,身份认证与密钥管理)模式与链路保活报文的发送间隔。

两个MP之间需要先发现邻居并建立邻居关系,而后才会发起建立Mesh链路。在邻居发现阶段,每个MP需要对比收到的Probe Request帧或Probe Response帧中携带的Mesh Profile信息与自身的配置是否吻合。

4. Mesh策略

Mesh策略包含一系列影响链路建立与维护的属性。例如,Mesh连接发起功能、探测请求发送间隔、链路速率模式、最大Mesh连接数等。将一个Mesh策略和一个MP的射频绑定后,此Mesh策略里的属性将会影响此射频上链路的建立和维护。

射频上缺省绑定Mesh策略default_mesh_policy,该Mesh策略不允许进行删除和修改。可以新建Mesh策略替换射频上绑定的缺省策略。

5. 邻居探测请求发送功能

MPP作为连接无线Mesh网络和非Mesh网络的MP,可能需要与大量MP建立Mesh链路,为减轻MPP设备负担,可以通过配置MPP停止发送邻居探测请求,使MPP不再发送邻居探测请求来发现邻居,而只回复其它MP发送的邻居探测请求。

6. 绑定信息

配置了Mesh Profile之后,AP才具有加入Mesh网络的能力。如果不同的射频上绑定了不同的Mesh Profile,则该AP可以加入到不同的Mesh网络中。

7. 邻居白名单

配置邻居白名单后,只有某MP的MAC地址与邻居白名单里的MAC地址匹配,本端才会与该MP建立邻居关系。如果没有配置邻居白名单,即允许和所有符合邻居建立条件的MP建立邻居关系。

1.8.2  组播优化

1. 组播优化简介

组播传输的特点无法满足某些对组播流有较高要求的应用,如高清视频点播,这类应用对传送时延不敏感,但要求报文流有较高完整性。为了满足这些应用需求,可开启组播优化功能,使AP向客户端发送组播报文时,将组播数据报文转换为单播数据报文,转换后的无线单播数据报文不但具有重传确认机制及更高速率,还具有Video的优先级,可以优先被发送。

组播优化功能通过组播优化表项来管理组播报文的转发。组播优化表项以客户端MAC地址为索引,记录了客户端加入的组播组、每个组播组下可接收的组播源、加入组的版本、加入组的模式等信息。

在组播优化表中,每个客户端加入一个组播组即生成一条表项。如果客户端以指定源的方式加入组播组,则加入的组播组以及每个指定的源均会生成一条表项。客户端退出组播组或取消某个指定源时,组播优化表中会删除对应的表项。

2. 组播优化表项老化时间

组播优化表项老化时间可控制组播优化表项的存活期,过长的老化时间占用系统资源时间过长,影响客户端创建新的表项,过短的老化时间会造成表项的频繁生成和老化。

3. 组播优化策略

组播优化策略定义了需要进行组播优化的无线客户端的数量阈值以及超过阈值之后设备对发往无线客户端的组播报文采取的处理方式。需要进行组播优化的客户端数量超过阈值前,设备将组播报文转换为单播报文转发;客户端数量超过阈值之后,设备支持以下几种处理方式:

·     单播转发:设备随机选取N个(N为设置的阈值)客户端进行单播转发,而超出阈值的客户端不会收到任何报文。

·     组播转发:设备为所有客户端进行组播转发。

·     丢弃报文:设备直接将组播报文丢弃,不为任何一个客户端发送报文。

如果不指定处理方式,设备默认的处理方式为单播转发。

4. 组播优化表项限制

·     限制组播优化表项的数量

大量的组播优化表项会消耗系统资源,可通过设置组播优化表项的数量上限,来控制组播优化表的大小。

当组播优化表项的数量达到上限时,AP不再创建新的组播优化表项;当上限值被修改或者当前存在的表项因老化而被删除时,AP会再次创建新的组播优化表项。

·     限制组播优化表中为单个客户端维护的表项数量

组播优化表中的表项数量会占用系统资源,用户可以通过限制组播优化表中为单个客户端维护的表项数量,来实现系统资源的合理划分,避免一个客户端创建过多的表项占用其它客户端的资源。

5. IGMP报文速率限制

IGMP报文的速率是指在一定时间内允许设备接收无线客户端IGMP报文的最大数量。通过限制速率避免了设备在某一时间段处理大量来自无线客户端的IGMP报文。对于超出限制数的报文,设备将会丢弃。

1.8.3  Bonjour网关

Bonjour协议是苹果公司开发的基于mDNS(Multicast DNS,组播域名)服务的零配置网络协议。Bonjour协议致力于让网络配置更简单,支持Bonjour协议的服务端设备能够以组播方式发送服务信息,使局域网内的客户端在无需获取服务端设备信息的情况下,自动发现可提供服务的设备。

Bonjour协议仅定义了如何在VLAN内使用mDNS协议报文传播服务信息,如果需要跨VLAN转发mDNS协议报文,则必须在网络中部署一台转发设备,称作Bonjour网关。除转发mDNS报文外,Bonjour网关还能够通过管理员设定的规则来管理客户端和服务端设备,实现Bonjour协议在大规模网络中的应用。

在网络中部署Bonjour网关的优势如下:

·     控制网络中mDNS协议报文数量。

·     提供跨VLAN转发mDNS协议报文的功能。

Bonjour网关的作用是查询代理和响应代答。

1. 响应代答

当Bonjour网关发现客户端查询的服务资源表项中已经存在关于此服务的信息时,将直接向客户端发送响应报文,称为响应代答。

结合如图1-13所示组网,Bonjour网关进行响应代答的过程如下:

(1)     Apple TV和Printer发送Bonjour响应报文,在网络中通告其支持的服务。

(2)     Bonjour网关收到Apple TV和Printer发送的Bonjour响应报文后,就会建立Apple TV、Printer的Bonjour服务资源表项。

(3)     Bonjour网关收到客户端关于Apple TV或打印机服务的查询报文。

(4)     Bonjour网关直接回复响应报文给客户端,客户端收到响应后即可获取提供Apple TV或打印机服务的设备信息。

图1-13 Bonjour网关代答过程图

 

2. 查询代理

在某些情况下,Bonjour网关上收到客户端的组播查询报文,在检查Bonjour服务资源表项后发现Bonjour网关没有获取到客户端请求的服务,此时,Bonjour网关需要对指定服务进行查询代理和响应转发。

结合如图1-14所示组网,Bonjour网关进行查询代理的过程如下:

(1)     iPad客户端发出一个对Printer的查询报文,AP收到该报文后,经由CAPWAP隧道发送到Bonjour网关。

(2)     Bonjour网关查找Bonjour服务资源表项,发现表项内没有关于Printer的内容。Bonjour网关就会向配置的VLAN列表(在图1-14中为VLAN 3和VLAN 4)转发查询请求。

(3)     Printer收到Bonjour网关转发的查询报文后,回复响应报文。

(4)     Bonjour网关将响应报文中的服务记录到Bonjour服务资源表项。

(5)     记录Bonjour服务资源表项之后,Bonjour网关会转发响应报文给客户端。

图1-14 Bonjour网关查询代理过程图

 

3. Bonjour服务类型

Bonjour服务类型用于在Bonjour策略下实现对Bonjour服务的控制。设备上存在一些默认服务类型,用户也可以创建新的Bonjour服务类型。在创建新的Bonjour服务类型时,需指定该服务类型所使用的协议及描述信息。

在Bonjour网关功能全局开启并且主动查询功能打开的情况下,激活Bonjour服务类型时,设备会执行一次对该服务类型的主动查询操作。

在激活Bonjour服务类型时,可以指定该服务类型最多可学习到的SRV类型资源条目数,如不指定,则表示不对此进行限制。当服务类型未激活时,设备将会删除该类型已学习到的所有服务资源。

表1-32 默认服务类型列表

服务类型

描述

afpovertcp

AppleTalkFiling Protocol

airplay

Airplay

airport

Airport Base Station

apple-sasl

Apple Password Server

daap

Digital Audio Access Protocol

dacp

Digital Audio Control Protocol

distcc

Distributed Compiler

dpap

Digital Photo Access Protocol

eppc

Remote AppleEvents

ftp

File Transfer Protocol

http

Hypertext Transfer Protocol

ica-networking

Image Capture Sharing

ichat

iChat Instant Messaging Protocol

ipp

Internet Printing Protocol over HTTP

ipps

Internet Printing Protocol over HTTPS

nfs

Network File System

pdl-stream

PDL Data Stream

printer

Line Printer Daemon

raop

Remote Audio Output Protocol

riousbprint

Remote I/O USB Printer Protocol

servermgr

Server Admin

ssh

Secure Shell

telnet

Remote Login

webdav

WebDav File System

workstation

Workgroup Manager

xserveraid

Xerver RAID

 

4. Bonjour策略

Bonjour策略用于实现对Bonjour服务和VLAN访问权限的控制。在Bonjour策略中配置服务类型和服务VLAN后,将Bonjour策略应用到指定的位置(User Profile视图、AP视图、AP组视图、接口视图与无线服务模板视图),便可以实现控制功能。

配置服务类型

Bonjour网关会检查客户端请求的服务类型与Bonjour策略中配置的服务类型是否匹配,如不匹配就直接丢弃查询报文。对于收到的响应报文,Bonjour网关会检查服务类型、IP地址和实例名,Bonjour网关只会转发符合全部Bonjour策略配置的响应报文。

配置服务VLAN

服务VLAN用来限制Bonjour服务所覆盖的范围,只有当客户端请求的Bonjour服务的VLAN在设备的服务VLAN列表中时,设备才会转发查询和响应报文。

可选参数access-vlan表示客户端接入的VLAN,配置此参数表示Bonjour网关可以在客户端接入的VLAN内转发查询和响应报文。

1.8.4  探针

在AP的Radio接口上开启探针功能后,AP通过对信道进行扫描,收集客户端信息并生成客户端表项,实现对客户端的监测。开启探针功能后,可以在“监控 > 应用 > 探针”页面中查看监测到的信息。

AP的Radio接口不能同时开启WIPS功能和探针功能。

2 网络配置

2.1  接口

2.1.1  接口

实现了对接口流量统计信息的查看和对接口的基本配置。

1. 接口双工和速率

设置以太网接口的双工模式时存在以下几种情况:

·     当希望接口在发送数据包的同时可以接收数据包,可以将接口设置为全双工属性;

·     当希望接口同一时刻只能发送数据包或接收数据包时,可以将接口设置为半双工属性;

·     当设置接口为自协商状态时,接口的双工状态由本接口和对端接口自动协商而定。

设置以太网接口的速率时,当设置接口速率为自协商状态时,接口的速率由本接口和对端接口双方自动协商而定。

2. 切换以太网接口的二三层工作模式

设备上的某些接口只能作为二层以太网接口;某些接口只能作为三层以太网接口;某些接口比较灵活,工作模式可以通过命令行设置。

·     如果将工作模式设置为二层模式,则作为一个二层以太网接口使用。

·     如果将工作模式设置为三层模式,则作为一个三层以太网接口使用。

3. 配置以太网接口允许超长帧通过

以太网接口在进行文件传输等大吞吐量数据交换的时候,接口收到的长度大于固定值的帧称为超长帧。该固定值的大小与设备的型号有关,请参见命令参考中的介绍。

系统对于超长帧的处理如下:

·     如果系统配置了禁止超长帧通过,会直接丢弃该帧不再进行处理。

·     如果系统允许超长帧通过,当接口收到长度在指定范围内的超长帧时,系统会继续处理;当接口收到长度超过指定最大长度的超长帧时,系统会直接丢弃该帧不再进行处理。

4. 配置以太网接口的流量控制功能

以太网接口流量控制功能的基本原理是:如果本端设备发生拥塞,将通知对端设备暂时停止发送报文;对端设备收到该消息后将暂时停止向本端发送报文;反之亦然。从而避免了报文丢失现象的发生。

·     开启流量控制后,设备具有发送和接收流量控制报文的能力:

¡     当本端发生拥塞时,设备会向对端发送流量控制报文。

¡     当本端收到对端的流量控制报文后,会停止报文发送。

·     配置只在接收包下开启功能后,设备具有接收流量控制报文的能力,但不具有发送流量控制报文的能力。

¡     当本端收到对端的流量控制报文,会停止向对端发送报文。

¡     当本端发生拥塞时,设备不能向对端发送流量控制报文。

因此,如果要应对单向网络拥塞的情况,可以在一端配置只在接收包下开启功能,在对端配置流量控制;如果要求本端和对端网络拥塞都能处理,则两端都必须配置流量控制。

2.1.2  链路聚合

以太网链路聚合通过将多条以太网物理链路捆绑在一起形成一条以太网逻辑链路,实现增加链路带宽的目的,同时这些捆绑在一起的链路通过相互动态备份,可以有效地提高链路的可靠性。

1. 聚合组

链路捆绑是通过接口捆绑实现的,多个以太网接口捆绑在一起后形成一个聚合组,而这些被捆绑在一起的以太网接口就称为该聚合组的成员端口。每个聚合组唯一对应着一个逻辑接口,称为聚合接口。聚合组与聚合接口的编号是相同的,例如聚合组1对应于聚合接口1。

二层聚合组/二层聚合接口:二层聚合组的成员端口全部为二层以太网接口,其对应的聚合接口称为二层聚合接口。

聚合接口的速率和双工模式取决于对应聚合组内的选中端口:聚合接口的速率等于所有选中端口的速率之和,聚合接口的双工模式则与选中端口的双工模式相同。

2. 选中/非选中状态

聚合组内的成员端口具有以下两种状态:

·     选中(Selected)状态:此状态下的成员端口可以参与数据的转发,处于此状态的成员端口称为“选中端口”。

·     非选中(Unselected)状态:此状态下的成员端口不能参与数据的转发,处于此状态的成员端口称为“非选中端口”。

3. 操作Key

操作Key是系统在进行链路聚合时用来表征成员端口聚合能力的一个数值,它是根据成员端口上的一些信息(包括该端口的速率、双工模式等)的组合自动计算生成的,这个信息组合中任何一项的变化都会引起操作Key的重新计算。在同一聚合组中,所有的选中端口都必须具有相同的操作Key。

4. 属性类配置

属性类配置:包含的配置内容如表2-1所示。在聚合组中,只有与对应聚合接口的属性类配置完全相同的成员端口才能够成为选中端口。

表2-1 属性类配置

配置项

内容

端口隔离

端口是否加入隔离组、端口所属的端口隔离组

VLAN配置

端口上允许通过的VLAN、端口缺省VLAN、端口的链路类型、VLAN报文是否带Tag配置

 

5. 聚合模式

链路聚合分为静态聚合和动态聚合两种模式,处于静态聚合模式下的聚合组称为静态聚合组,处于动态聚合模式下的聚合组称为动态聚合组。

静态聚合和动态聚合工作时首先要选取参考端口,之后再确定成员端口的状态。

·     静态聚合

a.     选择参考端口

参考端口从本端的成员端口中选出,其操作Key和属性类配置将作为同一聚合组内的其他成员端口的参照,只有操作Key和属性类配置与参考端口一致的成员端口才能被选中。

对于聚合组内处于up状态的端口,按照端口的端口优先级->全双工/高速率->全双工/低速率->半双工/高速率->半双工/低速率的优先次序,选择优先次序最高、且属性类配置与对应聚合接口相同的端口作为参考端口;如果多个端口优先次序相同,首先选择原来的选中端口作为参考端口;如果此时多个优先次序相同的端口都是原来的选中端口,则选择其中端口号最小的端口作为参考端口;如果多个端口优先次序相同,且都不是原来的选中端口,则选择其中端口号最小的端口作为参考端口。

b.     确定成员端口状态

静态聚合组内成员端口状态的确定流程如图2-1所示。

图2-1 静态聚合组内成员端口状态的确定流程

 

·     动态聚合

动态聚合模式通过LACP(Link Aggregation Control Protocol,链路聚合控制协议)协议实现,动态聚合组内的成员端口可以收发LACPDU(Link Aggregation Control Protocol Data Unit,链路聚合控制协议数据单元),本端通过向对端发送LACPDU通告本端的信息。当对端收到该LACPDU后,将其中的信息与所在端其他成员端口收到的信息进行比较,以选择能够处于选中状态的成员端口,使双方可以对各自接口的选中/非选中状态达成一致。

a.     选择参考端口

参考端口从聚合链路两端处于up状态的成员端口中选出,其操作Key和属性类配置将作为同一聚合组内的其他成员端口的参照,只有操作Key和属性类配置与参考端口一致的成员端口才能被选中。

-     首先,从聚合链路的两端选出设备ID(由系统的LACP优先级和系统的MAC地址共同构成)较小的一端:先比较两端的系统LACP优先级,优先级数值越小其设备ID越小;如果优先级相同再比较其系统MAC地址,MAC地址越小其设备ID越小。

-     其次,对于设备ID较小的一端,再比较其聚合组内各成员端口的端口ID(由端口优先级和端口的编号共同构成):先比较端口优先级,优先级数值越小其端口ID越小;如果优先级相同再比较其端口号,端口号越小其端口ID越小。端口ID最小、且属性类配置与对应聚合接口相同的端口作为参考端口。

b.     确定成员端口的状态

在设备ID较小的一端,动态聚合组内成员端口状态的确定流程如图2-2所示。

图2-2 动态聚合组内成员端口状态的确定流程

 

与此同时,设备ID较大的一端也会随着对端成员端口状态的变化,随时调整本端各成员端口的状态,以确保聚合链路两端成员端口状态的一致。

6. 静态聚合和动态聚合的优点

静态聚合和动态聚合的优点分别为:

·     静态聚合模式:一旦配置好后,端口的转发流量的状态就不会受网络环境的影响,比较稳定。

·     动态聚合模式:能够根据对端和本端的信息调整端口的转发流量的状态,比较灵活。

2.2  链路

2.2.1  VLAN

VLAN(Virtual Local Area Network,虚拟局域网)技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通,而处于不同VLAN的主机不能够直接互通。

1. 基于端口划分VLAN

VLAN可以基于端口进行划分。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发该VLAN的报文。

在某VLAN内,可根据需要配置端口加入Untagged端口列表或Tagged端口列表(即配置端口为Untagged端口或Tagged端口),从Untagged端口发出的该VLAN报文不带VLAN Tag,从Tagged端口发出的该VLAN报文带VLAN Tag。

端口的链路类型分为三种。在端口加入某VLAN时,对不同链路类型的端口加入的端口列表要求不同:

·     Access:端口只能发送一个VLAN的报文,发出去的报文不带VLAN Tag。该端口只能加入一个VLAN的Untagged端口列表。

·     Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLAN Tag,其他VLAN的报文都必须带VLAN Tag。在端口缺省VLAN中,该端口只能加入Untagged端口列表;在其他VLAN中,该端口只能加入Tagged端口列表。

·     Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag,某些VLAN的报文不带VLAN Tag。在不同VLAN中,该端口可以根据需要加入Untagged端口列表或Tagged端口列表。

2. VLAN接口

不同VLAN间的主机不能直接通信,通过设备上的VLAN接口,可以实现VLAN间的三层互通。VLAN接口是一种三层的虚拟接口,它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口,VLAN接口的IP地址可作为本VLAN内网络设备的网关地址,对需要跨网段的报文进行基于IP地址的三层转发。

2.2.2  MAC

MAC(Media Access Control,媒体访问控制)地址表记录了MAC地址与接口的对应关系,以及接口所属的VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播的方式通过对应VLAN内除接收接口外的所有接口转发该报文。

1. MAC地址表分类

MAC地址表项分为以下几种:

·     动态MAC地址表项:可以由用户手工配置,也可以由设备通过源MAC地址学习自动生成,用于目的是某个MAC地址的报文从对应接口转发出去,表项有老化时间。手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项。

·     静态MAC地址表项:由用户手工配置,用于目的是某个MAC地址的报文从对应接口转发出去,表项不老化。静态MAC地址表项优先级高于自动生成的MAC地址表项。

·     黑洞MAC地址表项:由用户手工配置,用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。

2. MAC地址表项老化时间

MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,这个生存周期被称作老化时间。配置动态MAC地址表项的老化时间后,超过老化时间的动态MAC地址表项会被自动删除,设备将重新进行MAC地址学习,构建新的动态MAC地址表项。如果在到达生存周期前某表项被刷新,则重新计算该表项的老化时间。

用户配置的老化时间过长或者过短,都可能影响设备的运行性能:

·     如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表。

·     如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,导致设备广播大量的数据报文,增加网络的负担。

用户需要根据实际情况,配置合适的老化时间。如果网络比较稳定,可以将老化时间配置得长一些或者配置为不老化;否则,可以将老化时间配置得短一些。比如在一个比较稳定的网络,如果长时间没有流量,动态MAC地址表项会被全部删除,可能导致设备突然广播大量的数据报文,造成安全隐患,此时可将动态MAC地址表项的老化时间设得长一些或不老化,以减少广播,增加网络稳定性和安全性。动态MAC地址表项的老化时间作用于全部接口上。

3. 接口MAC地址学习

缺省情况下,MAC地址学习功能处于开启状态。有时为了保证设备的安全,需要关闭MAC地址学习功能。常见的危及设备安全的情况是:非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。在开启全局的MAC地址学习功能的前提下,用户可以关闭单个接口的MAC地址的学习功能。

如果MAC地址表过于庞大,可能导致设备的转发性能下降。通过配置接口的MAC地址数学习上限,用户可以控制设备维护的MAC地址表的表项数量。当接口学习到的MAC地址数达到上限时,该接口将不再对MAC地址进行学习,同时,用户还可以根据需要选择是否允许系统转发源MAC不在MAC地址表里的报文。

2.2.3  STP

生成树协议运行于二层网络中,通过阻塞冗余链路构建出无数据环路的树型网络拓扑,并在设备或数据链路故障时,重新计算出新的树型拓扑。

生成树协议包括STP、RSTP、PVST和MSTP。

·     STP:由IEEE制定的802.1D标准定义,是狭义的生成树协议。

·     RSTP:由IEEE制定的802.1w标准定义,它在STP基础上进行了改进,实现了网络拓扑的快速收敛。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时将大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。

·     PVST:PVST为每个VLAN维护一个单独的生成树实例。每个VLAN都将运行单个生成树,允许以每个VLAN为基础开启或关闭生成树。每个VLAN内的生成树实例都有单独的网络拓扑结构,相互之间没有影响。

·     MSTP:由IEEE制定的802.1s标准定义,它可以弥补STP和RSTP的缺陷,既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。

1. 生成树工作模式

生成树的工作模式有以下几种:

·     STP模式:设备的所有端口都将向外发送STP BPDU。如果端口的对端设备只支持STP,可选择此模式。

·     RSTP模式:设备的所有端口都向外发送RSTP BPDU。当端口收到对端设备发来的STP BPDU时,会自动迁移到STP模式;如果收到的是MSTP BPDU,则不会进行迁移。

·     PVST模式:对于Access端口,PVST将根据该VLAN的状态发送RSTP格式的BPDU。对于Trunk端口和Hybrid端口,PVST将在缺省VLAN内根据该VLAN的状态发送RSTP格式的BPDU,而对于其他本端口允许通过的VLAN,则发送PVST格式的BPDU。

·     MSTP模式:设备的所有端口都向外发送MSTP BPDU。当端口收到对端设备发来的STP BPDU时,会自动迁移到STP模式;如果收到的是RSTP BPDU,则不会进行迁移。

2. MSTP基本概念

MSTP把一个交换网络划分成多个域,这些域称为MST(Multiple Spanning Tree Regions,多生成树域)域。每个域内形成多棵生成树,各生成树之间彼此独立并分别与相应的VLAN对应,每棵生成树都称为一个MSTI(Multiple Spanning Tree Instance,多生成树实例)。CST(Common Spanning Tree,公共生成树)是一棵连接交换网络中所有MST域的单生成树。IST(Internal Spanning Tree,内部生成树)是MST域内的一棵生成树,它是一个特殊的MSTI,通常也称为MSTI 0,所有VLAN缺省都映射到MSTI 0上。CIST(Common and Internal Spanning Tree,公共和内部生成树)是一棵连接交换网络内所有设备的单生成树,所有MST域的IST再加上CST就共同构成了整个交换网络的一棵完整的单生成树。

其中,对于属于同一MST域的设备具有下列特点:

·     都使能了生成树协议。

·     域名相同。

·     VLAN与MSTI间映射关系的配置相同。

·     MSTP修订级别的配置相同。

·     这些设备之间有物理链路连通。

3. 生成树端口角色

生成树可能涉及到的端口角色有以下几种:

·     根端口(Root Port):在非根桥上负责向根桥方向转发数据的端口就称为根端口,根桥上没有根端口。

·     指定端口(Designated Port):负责向下游网段或设备转发数据的端口就称为指定端口。

·     替换端口(Alternate Port):是根端口或主端口的备份端口。当根端口或主端口被阻塞后,替换端口将成为新的根端口或主端口。

·     备份端口(Backup Port):是指定端口的备份端口。当指定端口失效后,备份端口将转换为新的指定端口。当使能了生成树协议的同一台设备上的两个端口互相连接而形成环路时,设备会将其中一个端口阻塞,该端口就是备份端口。

·     主端口(Master Port):是将MST域连接到总根的端口(主端口不一定在域根上),位于整个域到总根的最短路径上。主端口是MST域中的报文去往总根的必经之路。主端口在IST/CIST上的角色是根端口,而在其他MSTI上的角色则是主端口。

STP只涉及根端口、指定端口和替换端口三种端口角色,RSTP的端口角色中新增了备份端口,MSTP涉及所有的端口角色。

4. 生成树端口状态

RSTP和MSTP中的端口状态可分为三种,如表2-2所示。

表2-2 RSTP和MSTP中的端口状态

状态

描述

Forwarding

该状态下的端口可以接收和发送BPDU,也转发用户流量

Learning

是一种过渡状态,该状态下的端口可以接收和发送BPDU,但不转发用户流量

Discarding

该状态下的端口可以接收和发送BPDU,但不转发用户流量

 

STP定义了五种端口状态:Disabled、Blocking、Listening、Learning和Forwarding。其中Disabled、Blocking和Listening状态都对应RSTP/MSTP中的Discarding状态。

2.2.4  DHCP Snooping

DHCP Snooping是DHCP的一种安全特性,具有如下功能:

1. 保证客户端从合法的服务器获取IP地址

网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:

·     信任端口正常转发接收到的DHCP报文。

·     不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。

在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

2. 记录DHCP Snooping表项

DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现ARP Detection功能,即根据DHCP Snooping表项来判断发送ARP报文的用户是否合法,从而防止非法用户的ARP攻击。

3. 备份DHCP Snooping表项

DHCP Snooping设备重启后,设备上记录的DHCP Snooping表项将丢失。如果DHCP Snooping与其他模块配合使用,则表项丢失会导致这些模块无法通过DHCP Snooping获取到相应的表项,进而导致DHCP客户端不能顺利通过安全检查、正常访问网络。

DHCP Snooping表项备份功能将DHCP Snooping表项保存到指定的文件中,DHCP Snooping设备重启后,自动根据该文件恢复DHCP Snooping表项,从而保证DHCP Snooping表项不会丢失。

4. 支持Option 82功能

Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82包含两个子选项:Circuit ID和Remote ID。

支持Option 82功能是指设备接收到DHCP请求报文后,根据报文中是否包含Option 82以及用户配置的处理策略及填充模式等对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。

具体的处理方式见表2-3

表2-3 Option 82处理方式

收到DHCP请求报文

处理策略

DHCP Snooping对报文的处理

收到的报文中带有Option 82

Drop

丢弃报文

Keep

保持报文中的Option 82不变并进行转发

Replace

根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,替换报文中原有的Option 82并进行转发

收到的报文中不带有Option 82

-

根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,添加到报文中并进行转发

 

2.3  路由

2.3.1  路由表

实现了对路由表的查看,包括路由表的概要信息和统计信息。

2.3.2  静态路由

静态路由是一种特殊的路由,由管理员手工配置。当网络结构比较简单时,只需配置静态路由就可以使网络正常工作。静态路由不能自动适应网络拓扑结构的变化,当网络发生故障或者拓扑发生变化后,必须由管理员手工修改配置。

缺省路由是在没有找到匹配的路由表项时使用的路由。配置IPv4缺省路由时,指定目的地址为0.0.0.0/0;配置IPv6缺省路由时,指定目的地址为::/0。

 

2.3.3  OSPF

OSPF(Open Shortest Path First,开放最短路径优先)是IETF(Internet Engineering Task Force,互联网工程任务组)组织开发的一个基于链路状态的内部网关协议。目前针对IPv4协议使用的是OSPF Version 2。下文中所提到的OSPF均指OSPF Version 2。

1. OSPF报文类型

OSPF协议报文直接封装为IP报文,协议号为89。

OSPF有五种类型的协议报文:

·     Hello报文:周期性发送,用来发现和维持OSPF邻居关系,以及进行DR(Designated Router,指定路由器)/BDR(Backup Designated Router,备份指定路由器)的选举。

·     DD(Database Description,数据库描述)报文:描述了本地LSDB(Link State DataBase,链路状态数据库)中每一条LSA(Link State Advertisement,链路状态通告)的摘要信息,用于两台路由器进行数据库同步。

·     LSR(Link State Request,链路状态请求)报文:向对方请求所需的LSA。两台路由器互相交换DD报文之后,得知对端的路由器有哪些LSA是本地的LSDB所缺少的,这时需要发送LSR报文向对方请求所需的LSA。

·     LSU(Link State Update,链路状态更新)报文:向对方发送其所需要的LSA。

·     LSAck(Link State Acknowledgment,链路状态确认)报文:用来对收到的LSA进行确认。

2. LSA类型

OSPF中对链路状态信息的描述都是封装在LSA中发布出去,常用的LSA有以下几种类型:

·     Router LSA(Type-1):由每个路由器产生,描述路由器的链路状态和开销,在其始发的区域内传播。

·     Network LSA(Type-2):由DR产生,描述本网段所有路由器的链路状态,在其始发的区域内传播。

·     Network Summary LSA(Type-3):由ABR(Area Border Router,区域边界路由器)产生,描述区域内某个网段的路由,并通告给其他区域。

·     ASBR Summary LSA(Type-4):由ABR产生,描述到ASBR(Autonomous System Boundary Router,自治系统边界路由器)的路由,通告给相关区域。

·     AS External LSA(Type-5):由ASBR产生,描述到AS(Autonomous System,自治系统)外部的路由,通告到所有的区域(除了Stub区域和NSSA区域)。

·     NSSA External LSA(Type-7):由NSSA(Not-So-Stubby Area)区域内的ASBR产生,描述到AS外部的路由,仅在NSSA区域内传播。

·     Opaque LSA:用于OSPF的扩展通用机制,目前有Type-9、Type-10和Type-11三种。其中,Type-9 LSA仅在本地链路范围进行泛洪,用于支持GR(Graceful Restart,平滑重启)的Grace LSA就是Type-9的一种类型;Type-11 LSA可以在一个自治系统范围进行泛洪。

3. OSPF基本功能

在设备上使能OSPF功能,必须先创建OSPF进程、指定该进程关联的区域以及区域包括的网段;对于当前设备来说,如果某个设备的接口IP地址落在某个区域的网段内,则该接口属于这个区域并使能了OSPF功能,OSPF将把这个接口的直连路由宣告出去。

OSPF支持多进程,即可以在一台设备上通过为不同的OSPF进程指定不同的进程号来启动多个OSPF进程。OSPF进程号是本地概念,不影响与其它路由器之间的报文交换。因此,不同的路由器之间,即使进程号不同也可以进行报文交换

设备支持在指定接口上使能OSPF或者在指定网段上使能OSPF。在指定接口上使能OSPF的优先级高于在指定网段上使能OSPF。

4. OSPF区域

网络管理员对整个网络划分区域完毕后,可以根据组网需要进一步将区域配置成Stub区域或NSSA区域。

·     Stub区域

Stub区域是一些特定的区域,该区域的ABR会将区域间的路由信息传递到本区域,但不会引入自治系统外部路由,区域中路由器的路由表规模以及LSA数量都会大大减少。为保证到自治系统外的路由依旧可达,该区域的ABR将生成一条缺省路由Type-3 LSA,发布给本区域中的其他非ABR路由器。

·     NSSA区域

NSSA(Not-So-Stubby Area)区域是Stub区域的变形,与Stub区域的区别在于NSSA区域允许引入自治系统外部路由,由ASBR发布Type-7 LSA通告给本区域。当Type-7 LSA到达NSSA的ABR时,由ABR将Type-7 LSA转换成Type-5 LSA,传播到其他区域。

5. 网络类型

OSPF根据链路层协议类型将网络分为下列四种类型:

·     广播(Broadcast)类型:当链路层协议是Ethernet、FDDI时,缺省情况下,OSPF认为网络类型是Broadcast。在该类型的网络中,通常以组播形式(OSPF路由器的预留IP组播地址是224.0.0.5;OSPF DR/BDR的预留IP组播地址是224.0.0.6)发送Hello报文、LSU报文和LSAck报文;以单播形式发送DD报文和LSR报文。

·     NBMA(Non-Broadcast Multi-Access,非广播多路访问)类型:在该类型的网络中,以单播形式发送协议报文。

·     P2MP(Point-to-MultiPoint,点到多点)类型:没有一种链路层协议会被缺省的认为是P2MP类型。P2MP必须是由其他的网络类型强制更改的,常用做法是将NBMA网络改为P2MP网络。在该类型的网络中,缺省情况下,以组播形式(224.0.0.5)发送协议报文。可以根据用户需要,以单播形式发送协议报文。

·     P2P(Point-to-Point,点到点)类型:在该类型的网络中,以组播形式(224.0.0.5)发送协议报文。

NBMA与P2MP网络之间的区别如下:

·     NBMA网络是全连通的;P2MP网络并不需要一定是全连通的。

·     NBMA网络中需要选举DR与BDR;P2MP网络中没有DR与BDR。

·     NBMA网络采用单播发送报文,需要手工配置邻居;P2MP网络采用组播方式发送报文,通过配置也可以采用单播发送报文。

6. 路由器标识

路由器标识——即Router ID,用来在一个自治系统中唯一地标识一台路由器,一台路由器如果要运行OSPF协议,则必须存在Router ID。Router ID的获取方式有以下三种:

·     手工指定Router ID

用户可以在创建OSPF进程的时候指定Router ID,配置时,必须保证自治系统中任意两台路由器的ID都不相同。通常的做法是将路由器的ID配置为与该路由器某个接口的IP地址一致。

·     自动获取Router ID

如果在创建OSPF进程的时候选择自动分配Router ID,则OSPF进程将根据如下规则自动获取Router ID:

¡     OSPF进程启动时,将选取第一个运行该进程的接口的主IPv4地址作为Router ID;

¡     设备重启时,OSPF进程将会选取第一个运行本进程的接口主IPv4地址作为Router ID;

¡     OSPF进程重启时,将从运行了本进程的所有接口的主IPv4地址中重新获取Router ID,具体规则如下:

-     如果存在配置IP地址的Loopback接口,则选择Loopback接口地址中最大的作为Router ID。

-     否则,从其他接口的IP地址中选择最大的作为Router ID(不考虑接口的up/down状态)。

·     使用全局Router ID

如果在创建OSPF进程的时候没有指定Router ID,则缺省使用全局Router ID。建议用户在创建OSPF进程的时候手工指定Router ID,或者选择自动获取Router ID。

7. OSPF引入外部路由

当OSPF网络中的设备需要访问运行其他协议的网络中的设备时,需要将其他协议的路由引入OSPF网络中。例如,引入IS-IS、BGP生成的路由信息,将这些路由信息通过Type5 LSA或Type7 LSA向外宣告。

OSPF是一个无环的动态路由协议,但这是针对域内路由和域间路由而言的。OSPF对于引入的外部路由引发的路由环路没有很好的防范机制,因此在配置OSPF引入外部路由时一定要慎重,防止手工配置引发的环路。

OSPF还可以对引入的路由进行过滤,只将满足过滤条件的外部路由转换为Type5 LSA或Type7 LSA发布出去。

8. OSPF报文定时器

通过改变OSPF的报文定时器,可以调整OSPF网络的收敛速度以及协议报文带来的网络负荷。在一些低速链路上,需要考虑接口传送LSA的延迟时间。

用户可以在接口上配置下列OSPF报文定时器:

·     Hello定时器:接口向邻居发送Hello报文的时间间隔,OSPF邻居之间的Hello定时器的值要保持一致。

·     邻居失效时间:在邻居失效时间内,如果接口还没有收到邻居发送的Hello报文,路由器就会宣告该邻居无效。

9. OSPF验证

从安全性角度来考虑,为了避免路由信息外泄或者OSPF路由器受到恶意攻击,OSPF提供报文验证功能。

OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居。

如果区域验证和接口验证都进行了配置,以接口验证的配置为准。

2.4  IP

2.4.1  NAT

NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。NAT最初的设计目的是实现私有网络访问公共网络的功能,后扩展为实现任意两个网络间进行访问时的地址转换应用。

1. 动态转换

动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式:

·     NO-PAT模式

NO-PAT(Not Port Address Translation)模式下,一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时,NAT会将其占用的外网地址释放并分配给其他内网用户使用。

该模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文。

·     PAT模式

PAT(Port Address Translation)模式下,一个NAT地址可以同时分配给多个内网地址共用。该模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(Internet Control Message Protocol,因特网控制消息协议)查询报文。

采用PAT方式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。

2. 高级设置

·     NAT地址组

一个NAT地址组是多个地址组成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址。

·     NAT444地址组

NAT444地址组与NAT地址组的配置基本相同,所不同的是,NAT444地址组必须配置端口块参数(端口范围、端口块大小和增量端口块数)以实现基于端口块的NAT444地址转换。

·     端口块组

配置NAT444端口块静态映射需要创建一个端口块组,并在接口的出方向上应用该端口块组。端口块组中需要配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小,系统会根据端口块组中的配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系,创建静态端口块表项,并根据表项进行NAT444地址转换。

·     服务器组

在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可根据内网服务器的权重和当前连接数,选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担。

·     PAT方式地址转换模式

¡     Endpoint-Independent Mapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。

¡     Address and Port-Dependent Mapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号,若其目的地址或目的端口号不同,通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是,NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但由于同一个内网主机地址转换后的外部地址不唯一,因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。

·     DNS映射

通过配置DNS映射,可以在DNS服务器位于外网的情况下,实现内网用户可通过域名访问位于同一内网的内部服务器的功能。DNS映射功能需要和内部服务器配合使用,由内部服务器对外提供服务的外网IP地址和端口号,由DNS映射建立“内部服务器域名<-->外网IP地址+外网端口号+协议类型”的映射关系。

NAT设备对来自外网的DNS响应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS映射的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。

·     NAT Hairpin

通过在内网侧接口上使能NAT hairpin功能,可以实现内网用户使用NAT地址访问内网服务器或内网其它用户。NAT hairpin功能需要与内部服务器、出方向动态地址转换或出方向静态地址转换配合工作,且这些配置所在的接口必须在同一个接口板,否则NAT hairpin功能无法正常工作。

该功能在不同工作方式下的具体转换过程如下:

¡     C/S方式:NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址,其中,目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成。

¡     P2P方式:内网各主机首先向外网服务器注册自己的内网地址信息,该地址信息为外网侧出方向地址转换的NAT地址,然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访。该方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并使能EIM模式。

·     开启NAT ALG功能

通过开启指定应用协议类型的ALG功能,实现对应用层报文数据载荷字段的分析和NAT处理。

·     NAT日志

a.     NAT会话日志

NAT会话日志是为了满足网络管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。

有三种情况可以触发设备生成NAT会话日志:

-     新建NAT会话。

-     删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时,都可能导致NAT会话被删除。

-     存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息就被记录并生成日志。

b.     NAT444日志

NAT444日志分为NAT444用户日志和NAT444告警信息日志。

NAT444用户日志是为了满足互联网用户溯源的需要,在NAT444地址转换中,对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系。在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址。

有两种情况可以触发设备输出NAT444用户日志:

-     端口块分配:端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时输出日志;端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时输出日志。

-     端口块回收:端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时输出日志;端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时输出日志。

在NAT444地址转换中,如果可为用户分配的公网IP地址、端口块或端口块中的端口都被占用,则该用户的后续连接由于没有可用的资源无法对其进行地址转换,相应的报文将被丢弃。为了监控公网IP地址和端口块资源的使用情况,可以对端口用满和资源用满两种情况记录告警信息日志。

-     端口用满告警:在私网IP地址对应的端口块中的所有端口都被占用的情况下,输出告警信息日志。对于端口块动态映射方式,如果配置了增量端口块分配,则当首次分配的端口块中的端口都被占用时,并不输出日志;只有当增量端口块中的端口也都被占用时,才会输出日志。

-     资源用满告警:在NAT444端口块动态映射中,如果所有资源(公网IP地址、端口块)都被占用,则输出日志。

3. 注意事项

·     各地址组成员的IP地址段不能互相重叠。

·     配置的所有地址组成员包含的地址总数不能少于安全引擎(或安全插卡)的数量。

·     在配置NAT444日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT444告警信息日志。

2.4.2  IP

1. IP地址分类和表示

IP地址是每个连接到IPv4网络上的设备的唯一标识。IP地址长度为32比特,通常采用点分十进制方式表示,即每个IP地址被表示为以小数点隔开的4个十进制整数,每个整数对应一个字节,如10.1.1.1。

IP地址由两部分组成:

·     网络号码字段(Net-id):用于区分不同的网络。网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型。

·     主机号码字段(Host-id):用于区分一个网络内的不同主机。

IP地址分为5类,每一类地址范围如表2-4所示。目前大量使用的IP地址属于A、B、C三类。

表2-4 IP地址分类

地址类型

地址范围

说明

A

0.0.0.0~127.255.255.255

IP地址0.0.0.0仅用于主机在系统启动时进行临时通信,并且永远不是有效目的地址

127.0.0.0网段的地址都保留作环回测试,发送到这个地址的分组不会输出到链路上,它们被当作输入分组在内部进行处理

B

128.0.0.0~191.255.255.255

-

C

192.0.0.0~223.255.255.255

-

D

224.0.0.0~239.255.255.255

组播地址

E

240.0.0.0~255.255.255.255

255.255.255.255用于广播地址,其它地址保留今后使用

 

2. 子网和掩码

随着Internet的快速发展,IP地址已近枯竭。为了充分利用已有的IP地址,可以使用子网掩码将网络划分为更小的部分(即子网)。通过从主机号码字段部分划出一些比特位作为子网号码字段,能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。

子网掩码是一个长度为32比特的数字,由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码字段和子网号码字段,而“0”对应于主机号码字段。

多划分出一个子网号码字段会浪费一些IP地址。例如,一个B类地址可以容纳65534(216-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。但划分出9比特长的子网字段后,最多可有512(29)个子网,每个子网有7比特的主机号码,即每个子网最多可有126(27-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。因此主机号码的总数是512*126=64512个,比不划分子网时要少1022个。

若不进行子网划分,则子网掩码为默认值,此时子网掩码中“1”的长度就是网络号码的长度,即A、B、C类IP地址对应的子网掩码默认值分别为255.0.0.0、255.255.0.0和255.255.255.0。

3. IP地址的配置方式

接口获取IP地址有以下几种方式:

·     通过手动指定IP地址

·     通过DHCP分配得到IP地址

4. 接口MTU

当设备收到一个报文后,如果发现报文长度比转发接口的MTU值大,则进行下列处理:

·     如果报文不允许分片,则将报文丢弃;

·     如果报文允许分片,则将报文进行分片转发。

为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口MTU值,以减少分片的发生。

2.4.3  ARP

ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。

设备通过ARP协议解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发。

ARP表项分为两种:动态ARP表项、静态ARP表项。

1. 动态ARP表项

动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项。

动态ARP表项可以固化为静态ARP表项,但被固化后无法再恢复为动态ARP表项。

为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大个数来进行限制。

2. 静态ARP表项

静态ARP表项通过手工创建或由动态ARP表项固化而来,不会被老化,不会被动态ARP表项覆盖。

配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。

在配置静态ARP表项时,如果管理员希望用户使用某个固定的IP地址和MAC地址通信,可以将该IP地址与MAC地址绑定;如果进一步希望限定用户只在指定VLAN的特定接口上连接,则需要进一步指定报文转发的VLAN和出接口。

一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。

说明

当静态ARP表项中的IP地址与VLAN虚接口的IP地址属于同一网段时,该静态ARP表项才能正常指导转发。

 

3. ARP代理

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP。

代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:

·     普通代理ARP:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。

·     本地代理ARP:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。

在配置本地代理ARP时,用户也可以指定进行ARP代理的IP地址范围。

4. 免费ARP

免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址。

设备通过对外发送免费ARP报文来实现以下功能:

·     确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。

·     设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。

(1)     学习免费ARP报文功能

启用了学习免费ARP报文功能后,设备会根据收到的免费ARP报文中携带的信息(发送端IP地址、发送端MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文中的发送端IP地址对应的ARP表项:

¡     如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;

¡     如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。

关闭学习免费ARP报文功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭学习免费ARP报文功能,以节省ARP表项资源。

(2)     回复免费ARP报文功能

开启回复免费ARP报文功能后,当设备收到非同一网段的ARP请求时发送免费ARP报文。关闭该功能后,设备收到非同一网段的ARP请求时不发送免费ARP报文。

(3)     接口定时发送免费ARP报文功能

用户可以配置某些接口定时发送免费ARP报文,以便及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:

a.     防止仿冒网关的ARP攻击

如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。

为了降低这种仿冒网关的ARP攻击所带来的影响,可以在网关的接口上启用定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。

b.     防止主机ARP表项老化

在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。

为了解决上述问题,可以在网关的接口上启用定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。

5. ARP攻击防御

ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决。

不同设备支持配置的ARP攻击防御功能如下:

·     网关设备支持配置的功能包括:ARP黑洞路由、ARP源抑制、源MAC地址一致性检查、ARP主动确认、MAC地址固定的ARP攻击检测、授权ARPARP扫描;

·     接入设备支持配置的功能包括:ARP Detection

(1)     ARP防止IP报文攻击功能

如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:

¡     设备向目的网段发送大量ARP请求报文,加重目的网段的负载。

¡     设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。

为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:

¡     ARP黑洞路由功能:开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。

¡     ARP源抑制功能:如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。

(2)     ARP报文源MAC地址一致性检查功能

ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。

配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

(3)     ARP主动确认功能

ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。

启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。

使能严格模式后,新建ARP表项前,ARP主动确认功能会执行更严格的检查:

¡     收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但不建立ARP表项;

¡     收到ARP应答报文时,需要确认本设备是否对该报文中的源IP地址发起过ARP解析:若发起过解析,解析成功后则设备启动主动确认功能,主动确认流程成功完成后,设备可以建立该表项;若未发起过解析,则设备丢弃该报文。

(4)     源MAC地址固定的ARP攻击检测功能

本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。

对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测、过滤。

(5)     授权ARP功能

所谓授权ARP,就是动态学习ARP的过程中,只有和DHCP服务器生成的租约或DHCP中继生成的安全表项一致的ARP报文才能够被学习。

使能接口的授权ARP功能后,系统会禁止该接口学习动态ARP表项,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。

(6)     ARP扫描功能

启用ARP扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。

ARP扫描功能一般与ARP固化功能配合使用。ARP固化功能用来将当前的ARP动态表项(包括ARP扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效防止攻击者修改ARP表项。

建议在网吧这种环境稳定的小型网络中使用这两个功能。

(7)     ARP Detection功能

ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。

ARP Detection包含三个功能:用户合法性检查、ARP报文有效性检查、ARP报文强制转发。

a.     用户合法性检查

如果仅在VLAN上开启ARP Detection功能,则仅进行用户合法性检查。

对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击。

用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping表项的检查。只要符合任何一个,就认为该ARP报文合法,进行转发。如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。

b.     ARP报文有效性检查

对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。

-     源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文。

-     目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,需要被丢弃。

-     IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全1、或者组播IP地址都是不合法的,需要被丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。

c.     ARP报文强制转发

对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:

-     对于ARP请求报文,通过信任接口进行转发。

-     对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发。

2.4.4  IPv4 DNS

DNS(Domain Name System,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与地址之间的转换。IPv4 DNS提供域名和IPv4地址之间的转换,IPv6 DNS提供域名和IPv6地址之间的转换。

设备作为DNS客户端,当用户在设备上进行某些应用(如Telnet到一台设备或主机)时,可以直接使用便于记忆的、有意义的域名,通过域名系统将域名解析为正确的地址。

域名解析分为动态域名解析和静态域名解析两种。动态域名解析和静态域名解析可以配合使用。在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析。由于动态域名解析需要域名服务器的配合,会花费一定的时间,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。

1. 动态域名解析

使用动态域名解析时,需要手工指定域名服务器的地址。

动态域名解析通过向域名服务器查询域名和地址之间的对应关系来实现将域名解析为地址。

动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。例如,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。

使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:

·     如果用户输入的域名中没有“.”,比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询。

·     如果用户输入的域名中间有“.”,比如www.aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。

·     如果用户输入的域名最后有“.”,比如aabbcc.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查询终止符。带有查询终止符的域名,称为FQDN(Fully Qualified Domain Name,完全合格域名)。

2. 静态域名解析

手工建立域名和地址之间的对应关系。当用户使用域名进行某些应用时,系统查找静态域名解析表,从中获取指定域名对应的地址。

3. DNS代理

DNS代理(DNS proxy)用来在DNS client和DNS server之间转发DNS请求和应答报文。局域网内的DNS client把DNS proxy当作DNS server,将DNS请求报文发送给DNS proxy。DNS proxy将该请求报文转发到真正的DNS server,并将DNS server的应答报文返回给DNS client,从而实现域名解析。

使用DNS proxy功能后,当DNS server的地址发生变化时,只需改变DNS proxy上的配置,无需改变局域网内每个DNS client的配置,从而简化了网络管理。

2.5  IPv6

2.5.1  IPv6

IPv6(Internet Protocol Version 6,互联网协议版本6)是网络层协议的第二代标准协议,也被称为IPng(IP Next Generation,下一代互联网协议),它是IETF(Internet Engineering Task Force,互联网工程任务组)设计的一套规范,是IPv4的升级版本。IPv6和IPv4之间最显著的区别为:地址的长度从32比特增加到128比特。

1. IPv6地址表示方式

IPv6地址被表示为以冒号(:)分隔的一连串16比特的十六进制数。每个IPv6地址被分为8组,每组的16比特用4个十六进制数来表示,组和组之间用冒号隔开,比如:2001:0000:130F:0000:0000:09C0:876A:130B。

为了简化IPv6地址的表示,对于IPv6地址中的“0”可以有下面的处理方式:

·     每组中的前导“0”可以省略,即上述地址可写为2001:0:130F:0:0:9C0:876A:130B。

·     如果地址中包含一组或连续多组均为0的组,则可以用双冒号“::”来代替,即上述地址可写为2001:0:130F::9C0:876A:130B。

IPv6地址由两部分组成:地址前缀与接口标识。其中,地址前缀相当于IPv4地址中的网络号码字段部分,接口标识相当于IPv4地址中的主机号码部分。

地址前缀的表示方式为:IPv6地址/前缀长度。其中,前缀长度是一个十进制数,表示IPv6地址最左边多少位为地址前缀。

2. IPv6地址分类

IPv6主要有三种类型的地址:单播地址、组播地址和任播地址。

·     单播地址:用来唯一标识一个接口,类似于IPv4的单播地址。发送到单播地址的数据报文将被传送给此地址所标识的接口。

·     组播地址:用来标识一组接口(通常这组接口属于不同的节点),类似于IPv4的组播地址。发送到组播地址的数据报文被传送给此地址所标识的所有接口。

·     任播地址:用来标识一组接口(通常这组接口属于不同的节点)。发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近(根据使用的路由协议进行度量)的一个接口。

IPv6中没有广播地址,广播地址的功能通过组播地址来实现。

IPv6地址类型是由地址前面几位(称为格式前缀)来指定的,主要地址类型与格式前缀的对应关系如表2-5所示。

表2-5 IPv6地址类型与格式前缀的对应关系

地址类型

格式前缀(二进制)

IPv6前缀标识

简介

单播地址

未指定地址

00...0  (128 bits)

::/128

不能分配给任何节点。在节点获得有效的IPv6地址之前,可在发送的IPv6报文的源地址字段填入该地址,但不能作为IPv6报文中的目的地址

环回地址

00...1  (128 bits)

::1/128

不能分配给任何物理接口。它的作用与在IPv4中的环回地址相同,即节点用来给自己发送IPv6报文

链路本地地址

1111111010

FE80::/10

用于邻居发现协议和无状态自动配置中链路本地上节点之间的通信。使用链路本地地址作为源或目的地址的数据报文不会被转发到其他链路上

全球单播地址

其他形式

-

等同于IPv4公网地址,提供给网络服务提供商。这种类型的地址允许路由前缀的聚合,从而限制了全球路由表项的数量

组播地址

11111111

FF00::/8

-

任播地址

从单播地址空间中进行分配,使用单播地址的格式

-

 

3. IEEE EUI-64生成接口标识

IPv6单播地址中的接口标识符用来唯一标识链路上的一个接口。目前IPv6单播地址基本上都要求接口标识符为64位。

不同接口的IEEE EUI-64格式的接口标识符的生成方法不同,分别介绍如下:

·     所有IEEE 802接口类型(例如,以太网接口、VLAN接口):IEEE EUI-64格式的接口标识符是从接口的链路层地址(MAC地址)变化而来的。IPv6地址中的接口标识符是64位,而MAC地址是48位,因此需要在MAC地址的中间位置(从高位开始的第24位后)插入十六进制数FFFE(1111111111111110)。为了使接口标识符的作用范围与原MAC地址一致,还要将Universal/Local (U/L)位(从高位开始的第7位)进行取反操作。最后得到的这组数就作为EUI-64格式的接口标识符。

·     Tunnel接口:IEEE EUI-64格式的接口标识符的低32位为Tunnel接口的源IPv4地址,ISATAP隧道的接口标识符的高32位为0000:5EFE,其他隧道的接口标识符的高32位为全0。

·     其他接口类型:IEEE EUI-64格式的接口标识符由设备随机生成。

4. 接口上全球单播地址的配置方法

IPv6全球单播地址可以通过下面几种方式配置:

·     采用EUI-64格式形成:当配置采用EUI-64格式形成IPv6地址时,接口的IPv6地址的前缀需要手工配置,而接口标识符则由接口自动生成。

·     手工配置:用户手工配置IPv6全球单播地址。

·     无状态自动配置:根据接收到的RA报文中携带的地址前缀信息及使用EUI-64功能生成的接口标识,自动为接口生成IPv6全球单播地址。

·     有状态获取地址:通过DHCPv6服务器自动获取IPv6地址。

一个接口上可以配置多个全球单播地址。

5. 接口上链路本地地址的配置方法

IPv6的链路本地地址可以通过两种方式获得:

·     自动生成:设备根据链路本地地址前缀(FE80::/10)及使用EUI-64功能生成的接口标识,自动为接口生成链路本地地址。

·     手工指定:用户手工配置IPv6链路本地地址。

每个接口只能有一个链路本地地址,为了避免链路本地地址冲突,推荐使用链路本地地址的自动生成方式。

配置链路本地地址时,手工指定方式的优先级高于自动生成方式。即如果先采用自动生成方式,之后手工指定,则手工指定的地址会覆盖自动生成的地址;如果先手工指定,之后采用自动生成的方式,则自动配置不生效,接口的链路本地地址仍是手工指定的。此时,如果删除手工指定的地址,则自动生成的链路本地地址会生效。

2.5.2  ND

IPv6邻居发现(Neighbor Discovery,ND)协议使用五种类型的ICMPv6消息(如表2-6所示),实现地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等功能。

表2-6 ND使用的ICMPv6消息

ICMPv6消息

类型号

作用

邻居请求消息NS(Neighbor Solicitation)

135

获取邻居的链路层地址

验证邻居是否可达

进行重复地址检测

邻居通告消息NA(Neighbor Advertisement)

136

对NS消息进行响应

节点在链路层变化时主动发送NA消息,向邻居节点通告本节点的变化信息

路由器请求消息RS(Router Solicitation)

133

节点启动后,通过RS消息向路由器发出请求,请求前缀和其他配置信息,用于节点的自动配置

路由器通告消息RARouter Advertisement

134

对RS消息进行响应

在没有抑制RA消息发布的条件下,路由器会周期性地发布RA消息,其中包括前缀信息选项和一些标志位的信息

重定向消息(Redirect

137

当满足一定的条件时,缺省网关通过向源主机发送重定向消息,使主机重新选择正确的下一跳地址进行后续报文的发送

 

1. 邻居表项

邻居表项保存的是设备在链路范围内的邻居信息,设备邻居表项可以通过邻居请求消息NS及邻居通告消息NA来动态创建,也可以通过手工配置来静态创建。

目前,静态邻居表项有两种配置方式:

·     配置本节点的三层接口相连的邻居节点的IPv6地址和链路层地址。

·     配置本节点VLAN中的二层端口相连的邻居节点的IPv6地址和链路层地址。

对于VLAN接口,可以采用上述两种方式来配置静态邻居表项:

·     采用第一种方式配置静态邻居表项后,设备还需要解析该VLAN下的二层端口信息。

·     采用第二种方式配置静态邻居表项后,需要保证该二层端口属于指定的VLAN,且该VLAN已经创建了VLAN接口。

2. STALE状态ND表项的老化时间

为适应网络的变化,ND表需要不断更新。在ND表中,处于STALE状态的ND表项并非永远有效,而是有一个老化时间。到达老化时间的STALE状态ND表项将迁移到DELAY状态。5秒钟后DELAY状态超时,ND表项将迁移到PROBE状态,并且设备会发送3次NS报文进行可达性探测。若邻居已经下线,则收不到回应的NA报文,此时设备会将该ND表项删除。用户可以根据网络实际情况调整老化时间。

3. 链路本地ND表项资源占用最小化

本功能可以对链路本地ND表项(该ND表项的IPv6地址为链路本地地址)占用的资源进行优化。

缺省情况下,所有ND表项均会下发硬件表项。配置本功能后,新学习的、未被引用的链路本地ND表项(该ND表项的链路本地地址不是某条路由的下一跳)不下发硬件表项,以节省资源。

本功能只对后续新学习的ND表项生效,已经存在的ND表项不受影响。

4. 设备的跳数限制

本功能可以对设备发送的IPv6数据报文的跳数(即IPv6数据报文的Hop Limit字段的值)进行配置。

5. 地址自动配置

IPv6支持有状态地址配置和无状态地址配置:

·     有状态地址配置是指从服务器(如DHCPv6服务器)获取IPv6地址及相关信息

·     无状态地址配置是指主机根据自己的链路层地址及路由器发布的前缀信息自动配置IPv6地址及相关信息。

6. RA报文

设备为同一链路上的主机发布RA报文,主机可以根据RA报文中的信息进行无状态自动配置等操作。设备可以抑制RA报文的发送,也可以周期性发送RA报文,相邻两次RA报文发送时间间隔是在最大时间间隔与最小时间间隔之间随机选取的一个值。最小时间间隔应该小于等于最大时间间隔的0.75倍。

RA报文中的参数和参数描述如表2-7所示。

表2-7 RA报文中的参数

参数

描述

地址前缀/前缀长度

主机根据该地址前缀/前缀长度生成对应的IPv6地址,完成无状态自动配置操作

有效生命期

表示前缀有效期。在有效生命期内,通过该前缀自动生成的地址可以正常使用;有效生命期过期后,通过该前缀自动生成的地址变为无效,将被删除

首选生命期

表示首选通过该前缀无状态自动配置地址的时间。首选生命期过期后,节点通过该前缀自动配置的地址将被废止。节点不能使用被废止的地址建立新的连接,但是仍可以接收目的地址为被废止地址的报文。首选生命期必须小于或等于有效生命期

不用于无状态配置标识

选择了该标识,则指定前缀不用于无状态地址配置

不是直连可达标识

选择了该标识,则表示该前缀不是当前链路上直连可达的

MTU

发布链路的MTU,可以用于确保同一链路上的所有节点采用相同的MTU值

不指定跳数限制标识

选择了该标识,则表示RA消息中不带有本设备的跳数限制

被管理地址配置标志位(M flag)

用于确定主机是否采用有状态自动配置获取IPv6地址

如果选择了该标志位,主机将通过有状态自动配置(例如DHCPv6服务器)来获取IPv6地址;否则,将通过无状态自动配置获取IPv6地址,即根据自己的链路层地址及路由器发布的前缀信息生成IPv6地址

其他信息配置标志位(O flag)

用于确定主机是否采用有状态自动配置获取除IPv6地址外的其他信息

如果选择了其他信息配置标志位,主机将通过有状态自动配置(例如DHCPv6服务器)来获取除IPv6地址外的其他信息;否则,将通过无状态自动配置获取其他信息

路由器生存时间(Router Lifetime)

用于设置发布RA消息的路由器作为主机的默认路由器的时间。主机根据接收到的RA消息中的路由器生存时间参数值,就可以确定是否将发布该RA消息的路由器作为默认路由器。发布RA消息中路由器生存时间为0的路由器不能作为默认路由器

邻居请求重传间隔(Retrans Timer)

设备发送NS消息后,如果未在指定的时间间隔内收到响应,则会重新发送NS消息

配置路由优先级

( Router Preference )

用于设置发布RA消息的路由器的路由器优先级,主机根据接收到的RA消息中的路由器优先级,可以选择优先级最高的路由器作为默认网关。在路由器的优先级相同的情况下,遵循“先来先用”的原则,优先选择先接收到的RA消息对应的发送路由器作为默认网关

保持邻居可达时间(Reachable Time)

当通过邻居可达性检测确认邻居可达后,在所设置的可达时间内,设备认为邻居可达;超过设置的时间后,如果需要向邻居发送报文,会重新确认邻居是否可达

 

7. ND代理功能

如果NS请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理功能的设备就可以代答该请求,回应NA报文,这个过程称作ND代理(ND Proxy)。

ND Proxy功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

ND Proxy功能根据应用场景不同分为普通ND Proxy和本地ND Proxy。

(1)     普通ND Proxy

普通ND Proxy的典型应用环境如图2-3所示。Device通过两个三层接口Int A和Int B连接两个网络,两个三层接口的IPv6地址不在同一个网段,接口地址分别为4:1::99/64、4:2::99/64。但是两个网络内的主机Host A和Host B的地址通过掩码的控制,既与相连设备的接口地址在同一网段,同时二者也处于同一个网段。

图2-3 普通ND代理的典型应用环境

 

在这种组网情况下,当Host A需要与Host B通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此Host A会直接发出请求Host B硬件地址的NS请求。但是,此时的两台主机处于不同的广播域中,Host B无法收到Host A的NS请求报文,当然也就无法应答。

通过在Device上启用普通ND Proxy功能,可以解决此问题。在接口Int A和Int B上启用普通ND Proxy后,Router可以应答Host A的NS请求。同时,Device作为Host B的代理,把其它主机发送过来的报文转发给Host B。这样,实现Host A与Host B之间的通信。

(2)     本地ND Proxy

本地ND Proxy的应用场景如图2-4所示。Host A属于VLAN 2,Host B属于VLAN 3,它们分别连接到端口Int A和Int C上。

图2-4 本地ND代理的应用场景

 

在这种组网情况下,当Host A需要与Host B通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此Host A会直接发出请求Host B硬件地址的NS请求。但是,因为连接两台主机处于不同的VLAN中,Host B无法收到Host A的NS请求报文。

通过在Device A上启用本地ND Proxy功能,可以解决此问题。在接口Int B上启用本地ND Proxy后,Device A会代替Host B回应NA,Host A发给Host B的报文就会通过Device A进行转发,从而实现Host A与Host B之间的通信。

本地ND Proxy可以在下列情况下实现主机之间的三层互通:

¡     想要互通的主机分别连接到同一台设备的不同VLAN中的端口下;

¡     想要互通的主机分别连接到同一个VLAN中的同一个隔离组内的不同二层隔离端口下。

¡     开启Super VLAN功能后,想要互通的主机属于不同的Sub VLAN。

¡     开启Private VLAN功能后,想要互通的主机属于不同的Secondary VLAN。

8. 动态表项数量限制

设备可以通过NS消息和NA消息来动态获取邻居节点的链路层地址,并将其加入到邻居表中。为了防止部分接口下的用户占用过多的资源,可以通过设置接口学习动态邻居表项的最大个数来进行限制。当接口学习到的动态邻居表项的个数达到所设置的最大值时,该接口将不再学习动态邻居表项。

9. 重复地址检测时发送邻居请求消息的次数

接口获得IPv6地址后,将发送邻居请求消息进行重复地址检测。如果在指定的时间内没有收到响应,则继续发送邻居请求消息,当发送的次数达到所设置的次数后,仍未收到响应,则认为该地址可用。

10. 注意事项

·     RA消息发布的最大间隔时间应该小于或等于RA消息中路由器的生存时间,以保证在路由器失效之前得到更新的RA消息。

·     在接口上配置的邻居请求消息重传时间间隔及保持邻居可达状态的时间,既可作为RA消息中的信息发布给主机,也可作为本接口发送邻居请求消息的时间间隔及保持邻居可达状态的时间。

2.5.3  IPv6 DNS

DNS(Domain Name System,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与地址之间的转换。IPv4 DNS提供域名和IPv4地址之间的转换,IPv6 DNS提供域名和IPv6地址之间的转换。

设备作为DNS客户端,当用户在设备上进行某些应用(如Telnet到一台设备或主机)时,可以直接使用便于记忆的、有意义的域名,通过域名系统将域名解析为正确的地址。

域名解析分为动态域名解析和静态域名解析两种。动态域名解析和静态域名解析可以配合使用。在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析。由于动态域名解析需要域名服务器的配合,会花费一定的时间,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。

1. 动态域名解析

使用动态域名解析时,需要手工指定域名服务器的地址。

动态域名解析通过向域名服务器查询域名和地址之间的对应关系来实现将域名解析为地址。

动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。例如,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。

使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:

·     如果用户输入的域名中没有“.”,比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询。

·     如果用户输入的域名中间有“.”,比如www.aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。

·     如果用户输入的域名最后有“.”,比如aabbcc.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查询终止符。带有查询终止符的域名,称为FQDN(Fully Qualified Domain Name,完全合格域名)。

2. 静态域名解析

手工建立域名和地址之间的对应关系。当用户使用域名进行某些应用时,系统查找静态域名解析表,从中获取指定域名对应的地址。

3. DNS代理

DNS代理(DNS proxy)用来在DNS client和DNS server之间转发DNS请求和应答报文。局域网内的DNS client把DNS proxy当作DNS server,将DNS请求报文发送给DNS proxy。DNS proxy将该请求报文转发到真正的DNS server,并将DNS server的应答报文返回给DNS client,从而实现域名解析。

使用DNS proxy功能后,当DNS server的地址发生变化时,只需改变DNS proxy上的配置,无需改变局域网内每个DNS client的配置,从而简化了网络管理。

4. 注意事项

·     使用动态域名解析查询主机名对应的IPv4地址时,优先向IPv4地址的域名服务器发送查询请求;如果查询失败,则再向IPv6地址的域名服务器发送查询请求。查询主机名对应的IPv6地址时,优先向IPv6地址的域名服务器发送查询请求;如果查询失败,则再向IPv4地址的域名服务器发送查询请求。

·     域名服务器的优先级顺序为:先配置的域名服务器优先级高于后配置的域名服务器;设备上手工配置的域名服务器优先级高于通过DHCP等方式动态获取的域名服务器。设备首先向优先级最高的域名服务器发送查询请求,失败后再依次向其它域名服务器发送查询请求。

·     添加的域名后缀的优先级顺序为:先配置的域名后缀优先级高于后配置的域名后缀;设备上手工配置的域名后缀优先级高于通过DHCP等方式动态获取的域名后缀。设备首先添加优先级最高的域名后缀,查询失败后再依次添加其它域名后缀。

2.6  组播

2.6.1  IGMP Snooping

IGMP snooping(Internet Group Management Protocol snooping,互联网组管理协议窥探)运行在二层设备上,通过侦听三层设备与接收者主机间的IGMP报文建立IGMP snooping转发表,并根据该表指导组播数据的转发。

IGMP snooping转发表的表项由VLAN、组播组地址、组播源地址和成员端口四个元素构成,其中成员端口是指二层设备上朝向组播组成员的端口。

2.6.2  MLD Snooping

MLD snooping(Multicast Listener Discovery snooping,组播侦听者发现协议窥探)运行在二层设备上,通过侦听三层设备与接收者主机间的MLD报文建立MLD snooping转发表,并根据该表指导IPv6组播数据的转发。

MLD snooping转发表的表项由VLAN、IPv6组播组地址、IPv6组播源地址和成员端口四个元素构成,其中成员端口是指二层设备上朝向IPv6组播组成员的端口。

2.7  管理协议

2.7.1  DHCP

DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。

DHCP采用客户端/服务器通信模式,由客户端向服务器提出请求分配网络配置参数的申请,服务器返回为客户端分配的IP地址等配置信息,以实现IP地址等信息的动态配置。

在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机)。如果DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。

1. DHCP服务器

在以下场合通常利用DHCP服务器来完成IP地址分配:

·     网络规模较大,手工配置需要很大的工作量,并难以对整个网络进行集中管理。

·     网络中主机数目大于该网络支持的IP地址数量,无法给每个主机分配一个固定的IP地址。例如,Internet接入服务提供商限制同时接入网络的用户数目,用户必须动态获得自己的IP地址。

·     网络中只有少数主机需要固定的IP地址,大多数主机没有固定的IP地址需求。

DHCP服务器通过地址池来保存为客户端分配的IP地址、租约时长、网关信息、域名后缀、DNS服务器地址、WINS服务器地址、NetBIOS节点类型和DHCP选项信息。服务器接收到客户端发送的请求后,选择合适的地址池,并将该地址池中的信息分配给客户端。

DHCP服务器在将IP地址分配给客户端之前,还需要进行IP地址冲突检测。

(1)     DHCP地址池

地址池的地址管理方式有以下几种:

¡     静态绑定IP地址,即通过将客户端的硬件地址或客户端ID与IP地址绑定的方式,实现为特定的客户端分配特定的IP地址。

¡     动态选择IP地址,即在地址池中指定可供分配的IP地址范围,当收到客户端的IP地址申请时,从该地址范围中动态选择IP地址,分配给该客户端。

在DHCP地址池中还可以指定这两种类型地址的租约时长。

DHCP服务器为客户端分配IP地址时,地址池的选择原则如下:

a.     如果存在将客户端MAC地址或客户端ID与IP地址静态绑定的地址池,则选择该地址池,并将静态绑定的IP地址和其他网络参数分配给客户端。

b.     如果不存在静态绑定的地址池,则按照以下方法选择地址池:

-     如果客户端与服务器在同一网段,则将DHCP请求报文接收接口的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。

-     如果客户端与服务器不在同一网段,即客户端通过DHCP中继获取IP地址,则将DHCP请求报文中giaddr字段指定的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。

(2)     DHCP服务器分配IP地址的次序

DHCP服务器为客户端分配IP地址的优先次序如下:

a.     与客户端MAC地址或客户端ID静态绑定的IP地址。

b.     DHCP服务器记录的曾经分配给客户端的IP地址。

c.     客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。Option 50为客户端请求的IP地址选项(Requested IP Address),客户端通过在DHCP-DISCOVER报文中添加该选项来指明客户端希望获取的IP地址。该选项的内容由客户端决定。

d.     按照动态分配地址选择原则,顺序查找可供分配的IP地址,选择最先找到的IP地址。

e.     如果未找到可用的IP地址,则从当前匹配地址池中依次查询租约过期、曾经发生过冲突的IP地址,如果找到则进行分配,否则将不予处理。

(3)     DHCP选项

DHCP利用选项字段传递控制信息和网络配置参数,实现地址动态分配的同时,为客户端提供更加丰富的网络配置信息。

Web页面为DHCP服务器提供了灵活的选项配置方式,在以下情况下,可以使用Web页面DHCP选项功能:

¡     随着DHCP的不断发展,新的DHCP选项会陆续出现。通过该功能,可以方便地添加新的DHCP选项。

¡     有些选项的内容,RFC中没有统一规定。厂商可以根据需要定义选项的内容,如Option 43。通过DHCP选项功能,可以为DHCP客户端提供厂商指定的信息。

¡     Web页面只提供了有限的配置功能,其他功能可以通过DHCP选项来配置。例如,可以通过Option 4,IP地址1.1.1.1来指定为DHCP客户端分配的时间服务器地址为1.1.1.1。

¡     扩展已有的DHCP选项。当前已提供的方式无法满足用户需求时(比如通过Web页面最多只能配置8个DNS服务器地址,如果用户需要配置的DNS服务器地址数目大于8,则Web页面无法满足需求),可以通过DHCP选项功能进行扩展。

常用的DHCP选项配置如表2-8所示。

表2-8 常用DHCP选项配置

选项编号

选项名称

推荐的选项填充类型

3

Router Option

IP地址

6

Domain Name Server Option

IP地址

15

Domain Name

ASCII字符串

44

NetBIOS over TCP/IP Name Server Option

IP地址

46

NetBIOS over TCP/IP Node Type Option

十六进制数串

66

TFTP server name

ASCII字符串

67

Bootfile name

ASCII字符串

43

Vendor Specific Information

十六进制数串

 

(4)     DHCP服务器的IP地址冲突检测功能

为防止IP地址重复分配导致地址冲突,DHCP服务器为客户端分配地址前,需要先对该地址进行探测。

DHCP服务器的地址探测是通过ping功能实现的,通过检测是否能在指定时间内得到ping响应来判断是否存在地址冲突。DHCP服务器发送目的地址为待分配地址的ICMP回显请求报文。如果在指定时间内收到回显响应报文,则认为存在地址冲突。DHCP服务器从地址池中选择新的IP地址,并重复上述操作。如果在指定时间内没有收到回显响应报文,则继续发送ICMP回显请求报文,直到发送的回显显示报文数目达到最大值。如果仍然没有收到回显响应报文,则将地址分配给客户端,从而确保客户端获得的IP地址唯一。

2. DHCP中继

由于在IP地址动态获取过程中采用广播方式发送请求报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。

DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。

(1)     DHCP中继用户地址表项记录功能

为了防止非法主机静态配置一个IP地址并访问外部网络,设备支持DHCP中继用户地址表项记录功能。

启用该功能后,当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与硬件地址的绑定关系,生成DHCP中继的用户地址表项。

本功能与其他IP地址安全功能(如ARP地址检查和授权ARP)配合,可以实现只允许匹配用户地址表项中绑定关系的报文通过DHCP中继。从而,保证非法主机不能通过DHCP中继与外部网络通信。

(2)     DHCP中继动态用户地址表项定时刷新功能

DHCP客户端释放动态获取的IP地址时,会向DHCP服务器单播发送DHCP-RELEASE报文,DHCP中继不会处理该报文的内容。如果此时DHCP中继上记录了该IP地址与MAC地址的绑定关系,则会造成DHCP中继的用户地址表项无法实时刷新。为了解决这个问题,DHCP中继支持动态用户地址表项的定时刷新功能。

DHCP中继动态用户地址表项定时刷新功能开启时,DHCP中继每隔指定时间采用客户端获取到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文:

¡     如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会删除动态用户地址表中对应的表项。为了避免地址浪费,DHCP中继收到DHCP-ACK报文后,会发送DHCP-RELEASE报文释放申请到的IP地址。

¡     如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会删除该IP地址对应的表项。

2.7.2  HTTP/HTTPS

为了方便用户对网络设备进行配置和维护,设备提供了Web登录功能。用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。

设备支持的Web登录方式有以下两种:

·     HTTP登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。目前,设备支持的HTTP协议版本为HTTP/1.0。

·     HTTPS登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法客户端访问设备,从而实现了对设备的安全管理。

采用HTTPS登录时,设备上只需使能HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。(自签名证书指的是服务器自己生成的证书,无需从CA获取)

通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:

·     当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备;

·     当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户使用Web页面登录设备。

2.7.3  FTP

FTP用于在FTP服务器和FTP客户端之间传输文件,是IP网络上传输文件的通用协议。本设备可作为FTP服务器,使用20端口传输数据,使用21端口传输控制消息。

2.7.4  Telnet

设备可以开启Telnet服务器功能,以便用户能够通过Telnet登录到设备进行远程管理和监控。

通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:

·     当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备。

·     当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户通过Telnet访问设备。

2.7.5  SSH

SSH是Secure Shell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。

SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。

本设备可作为SSH服务器,为SSH客户端提供以下几种应用:

·     Secure Telnet:简称Stelnet,可提供安全可靠的网络终端访问服务。

·     Secure FTP:简称SFTP,基于SSH2,可提供安全可靠的网络文件传输服务。

·     Secure Copy:简称SCP,基于SSH2,可提供安全的文件复制功能。

SSH协议有两个版本,SSH1.x和SSH2.0(本文简称SSH1和SSH2),两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。设备作为SSH服务器时,支持SSH2和SSH1两个版本。

设备作为SSH服务器时,利用本地密码认证机制验证SSH客户端的用户名和密码的合法性。身份认证通过后,SSH客户端将与SSH服务器建立相应的会话,并在该会话上进行数据信息的交互。

2.7.6  NTP

NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致,从而使设备能够提供基于统一时间的多种应用。

NTP通过时钟层数来定义时钟的准确度。时钟层数的取值范围为1~15,取值越小,时钟准确度越高。

在某些网络中,例如无法与外界通信的孤立网络,网络中的设备无法与权威时钟进行时间同步。此时,可以从该网络中选择一台时钟较为准确的设备,指定该设备与本地时钟进行时间同步,即采用本地时钟作为参考时钟,使得该设备的时钟处于同步状态。该设备作为时间服务器为网络中的其他设备提供时间同步,从而实现整个网络的时间同步。

通过Web页面可以配置本地时钟作为参考时钟。

2.7.7  SNMP

SNMP(Simple Network Management Protocol,简单网络管理协议)是互联网中的一种网络管理标准协议,广泛用于实现管理设备对被管理设备的访问和管理。

如果您希望通过网管软件(比如iMC、MIB Browser等)实现对设备的管理,或者设备发生紧急事件(比如接口Up或者Down、CPU利用率高、内存耗尽等)时能自动通过告警信息告知网管软件,则需要配置SNMP。

设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。SNMPv3比SNMPv1和SNMPv2c更安全。

·     SNMPv1和SNMPv2c使用口令认证。

·     SNMPv3采用用户名认证,并且必须配置认证密码和加密密码。其中:

¡     用户名和认证密码用于对网管软件进行身份认证,以免非法网管软件访问设备。

¡     加密密码用于对网管软件和设备之间传输的报文进行加密,以免报文被窃听。

1. 配置准备

确定SNMP版本号,网管软件和设备必须配置相同的SNMP版本号。

2. 配置SNMPv1和SNMPv2c

注意事项

网管软件和设备必须配置相同的SNMP口令。SNMP口令包括只读口令和读写口令,二者至少配置一项。

·     如果您仅需读取设备上参数的值,则只需配置只读口令。

·     如果您既需要读取设备上参数的值、又需要设置参数的值,则需配置读写口令。

配置步骤

(1)     单击左侧导航栏的“ 网络配置 > 管理协议 > SNMP”,进入SNMP配置页面。

(2)     选择“开启”SNMP。

(3)     选择“SNMPv1和SNMPv2c”版本。

(4)     在“SNMP口令”配置项处,输入口令。

(5)     在“SNMP信任主机IPv4地址”配置项处,输入网管软件的地址。只有指定地址的网管软件可以管理设备。如果不配置该参数,则拥有口令的网管软件均可以管理设备。

(6)     在“Trap接收主机IPv4地址/域名”配置项处,输入接收告警信息的主机的IPv4地址或域名,通常为网管软件的IP地址。

(7)     在“联系信息”配置项处,输入设备管理员的联系方式。

(8)     在“设备位置”配置项处,输入设备所处的地理位置,方便快速定位设备。

(9)     点击<确定>按钮,完成配置。

3. 配置SNMPv3

注意事项

网管软件和设备必须配置相同的用户名、认证密码和加密密码。

配置步骤

(1)     单击左侧导航栏的“ 网络配置 > 管理协议 > SNMP”,进入SNMP配置页面。

(2)     选择“开启”SNMP。

(3)     选择“SNMPv3”版本。

(4)     在“用户名”配置项处,输入用户名。

(5)     在“认证密码”配置项处,输入认证密码。

(6)     在“加密密码”配置项处,输入加密密码。

(7)     在“SNMP信任主机IPv4地址”配置项处,输入网管软件的地址。只有指定地址的网管软件可以管理设备。如果不配置该参数,则用户名、认证密码和加密密码正确的网管软件均可以管理设备。

(8)     在“Trap接收主机IPv4地址/域名”配置项处,输入接收告警信息的主机的IPv4地址或域名,通常为网管软件的IP地址。

(9)     在“联系信息”配置项处,输入设备管理员的联系方式。

(10)     在“设备位置”配置项处,输入设备所处的地理位置,方便快速定位设备。

(11)     点击<确定>按钮,完成配置。

2.7.8  LLDP

LLDP(Link Layer Discovery Protocol,链路层发现协议)提供了一种标准的链路层发现方式,可以将本端设备的信息(包括主要能力、管理地址、设备标识、接口标识等)组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(Link Layer Discovery Protocol Data Unit,链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB(Management Information Base,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。

1. LLDP代理

LLDP代理是LLDP协议运行实体的一个抽象映射。一个接口下,可以运行多个LLDP代理。目前LLDP定义的代理类型包括:最近桥代理、最近非TPMR桥代理和最近客户桥代理。LLDP在相邻的代理之间进行协议报文交互,并基于代理创建及维护邻居信息。

2. LLDP报文的发送机制

在指定类型LLDP代理下,当端口工作在TxRx或Tx模式时,设备会以报文发送时间间隔为周期,向邻居设备发送LLDP报文。如果设备的本地配置发生变化则立即发送LLDP报文,以将本地信息的变化情况尽快通知给邻居设备。但为了防止本地信息的频繁变化而引起LLDP报文的大量发送,可以配置限制发送报文速率的令牌桶大小来作限速处理。

当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期设置为快速发送周期,并连续发送指定数量(快速发送LLDP报文的个数)的LLDP报文后再恢复为正常的发送周期。

3. LLDP报文的接收机制

当端口工作在TxRx或Rx模式时,设备会对收到的LLDP报文及其携带的TLV进行有效性检查,通过检查后再将邻居信息保存到本地,并根据Time To Live TLV中TTL(Time To Live,生存时间)的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息。

由于TTL=Min(65535,(TTL乘数×LLDP报文的发送间隔+1)),即取65535与(TTL乘数×LLDP报文的发送间隔+1)中的最小值,因此通过调整TTL乘数可以控制本设备信息在邻居设备上的老化时间。

4. 端口初始化时间

当端口的LLDP工作模式发生变化时,端口将对协议状态机进行初始化操作。为了避免端口工作模式频繁改变而导致端口不断执行初始化操作,可配置端口初始化延迟时间,当端口工作模式改变时延迟一段时间再执行初始化操作。

5. LLDP Trap功能

如果开启了发送LLDP Trap功能,设备可以通过向网管系统发送Trap信息以通告如发现新的LLDP邻居、与原来邻居的通信链路发生故障等重要事件。

6. LLDP TLV

TLV是组成LLDP报文的单元,每个TLV都代表一个信息。LLDP可以封装的TLV包括基本TLV、802.1 TLV、802.3 TLV和LLDP-MED(Link Layer Discovery Protocol Media Endpoint Discovery,链路层发现协议媒体终端发现) TLV。

基本TLV是网络设备管理基础的一组TLV,802.1 TLV、802.3 TLV和LLDP-MED TLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送。

7. 兼容CDP功能

开启本功能后,设备可以利用LLDP来接收、识别Cisco的IP电话发送的CDP报文,并向其回应CDP报文。

3 网络安全

3.1  流策略

3.1.1  包过滤

包过滤是指采用ACL规则对接口入方向或出方向的报文进行过滤,即对匹配上ACL规则的报文按照其中定义的匹配动作允许或拒绝通过,对未匹配上任何ACL规则的报文则按照指定的缺省动作进行处理。

3.1.2  QoS流策略

QoS即服务质量。对于网络业务,影响服务质量的因素包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。

QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,灵活地进行QoS配置。

1. 类

类用来定义一系列的规则来对报文进行分类。

2. 流行为

流行为用来定义针对报文所做的QoS动作。

3. 策略

策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。

4. 应用策略

设备支持基于接口应用QoS策略,对通过接口接收或发送的流量生效。接口的每个方向(出和入两个方向)只能应用一个策略。如果QoS策略应用在接口的出方向,则QoS策略对本地协议报文不起作用。一些常见的本地协议报文如下:链路维护报文、SSH等。

3.1.3  优先级映射

报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。

优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。

1. 端口优先级

如果配置了优先级信任模式,即表示设备信任所接收报文的优先级,会自动解析报文的优先级或者标志位,然后按照映射表映射到报文的优先级参数。

如果没有配置优先级信任模式,并且配置了端口优先级值,则表明设备不信任所接收报文的优先级,而是使用端口优先级,按照映射表映射到报文的优先级参数。

·     配置端口优先级

按照接收端口的端口优先级,设备通过一一映射为报文分配优先级。

·     配置优先级信任模式

根据报文自身的优先级,查找优先级映射表,为报文分配优先级参数,可以通过配置优先级信任模式的方式来实现。

在配置接口上的优先级模式时,用户可以选择下列信任模式:

·     Untrust:不信任任何优先级。

·     Dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射。

·     DSCP:信任IP报文自带的DSCP优先级,以此优先级进行优先级映射。

2. 优先级映射表

报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。

优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。

设备中提供了多张优先级映射表,如果缺省优先级映射表无法满足用户需求,可以根据实际情况对映射表进行修改。

3.2  访问控制

ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。

3.2.1  ACL分类

ACL包括表3-1所列的几种类型,它们的主要区别在于规则制订依据不同:

表3-1 ACL分类

ACL分类

规则制定依据

IPv4 ACL

基本ACL

依据报文的源IPv4地址制订规则

高级ACL

依据报文的源/目的IPv4地址、源/目的端口号、优先级、承载的IPv4协议类型等三、四层信息制订规则

IPv6 ACL

基本ACL

依据报文的源IPv6地址制订规则

高级ACL

依据报文的源/目的IPv6地址、源/目的端口号、优先级、承载的IPv6协议类型等三、四层信息制订规则

二层ACL

依据报文的源/目的MAC地址、802.1p优先级、链路层协议类型等二层信息

 

3.2.2  ACL规则匹配顺序

一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:

·     配置顺序:按照规则编号由小到大进行匹配。

·     自动排序:按照“深度优先”原则由深到浅进行匹配,见表3-2

表3-2 各类型ACL的“深度优先”排序法则

ACL分类

规则制定依据

IPv4 ACL

基本ACL

1.     先比较源IPv4地址的范围,较小者(即通配符掩码中“0”位较多者)优先

2.     如果源IPv4地址范围相同,再比较配置的先后次序,先配置者优先

高级ACL

1.     先比较协议范围,指定有IPv4承载的协议类型者优先

2.     如果协议范围相同,再比较源IPv4地址范围,较小者优先

3.     如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先

4.     如果目的IPv4地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先

5.     如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先

IPv6 ACL

基本ACL

1.     先比较源IPv6地址的范围,较小者(即前缀较长者)优先

2.     如果源IPv6地址范围相同,再比较配置的先后次序,先配置者优先

高级ACL

1.     先比较协议范围,指定有IPv6承载的协议类型者优先

2.     如果协议范围相同,再比较源IPv6地址范围,较小者优先

3.     如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先

4.     如果目的IPv6地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先

5.     如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先

二层ACL

1.     先比较源MAC地址范围,较小者(即掩码中“1”位较多者)优先

2.     如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先

3.     如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先

 

说明

比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。

比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:前缀越长,范围越小。

比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。

 

3.2.3  ACL规则编号

每条规则都有自己的编号,这个编号可由手工指定或由系统自动分配。由于规则编号可能影响规则的匹配顺序,因此当系统自动分配编号时,为方便后续在已有规则之间插入新规则,通常在相邻编号之间留有一定空间,这就是规则编号的步长。系统自动分配编号的方式为:从0开始,按照步长分配一个大于现有最大编号的最小编号。比如原有编号为0、5、9、10和12的五条规则,步长为5,则系统将自动为下一条规则分配编号15。如果步长发生了改变,则原有全部规则的编号都将自动从0开始按新步长重新排列。比如原有编号为0、5、9、10和15的五条规则,当步长变为2后,这些规则的编号将依次变为0、2、4、6和8。

3.3  接入认证

3.3.1  Portal

Portal在英语中是入口的意思。Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。在采用了Portal认证的组网环境中,未认证用户上网时,接入设备强制用户登录到特定站点,用户可以免费访问其中的服务;当用户需要使用互联网中的其它信息时,必须在Portal Web服务器提供的网站上进行Portal认证,只有认证通过后才可以使用这些互联网中的设备或资源。

根据是否为用户主动发起认证,可以将Portal认证分为主动认证和强制认证两种类型:用户可以主动访问已知的Portal Web服务器网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证;用户访问任意非Portal Web服务器网站时,被强制访问Portal Web服务器网站,继而开始Portal认证的过程称作强制认证。

Portal认证是一种灵活的访问控制技术,可以在接入层以及需要保护的关键数据入口处实施访问控制,具有如下优势:

·     可以不安装客户端软件,直接使用Web页面认证,使用方便。

·     可以为运营商提供方便的管理功能和业务拓展功能,例如运营商可以在认证页面上开展广告、社区服务、信息发布等个性化的业务。

3.4  AAA

3.4.1  ISP域

设备对用户的管理是基于ISP(Internet Service Provider,互联网服务提供者)域的,一个ISP域对应着一套实现AAA(Authentication、Authorization、Accounting,认证、授权、计费)的配置策略,它们是管理员针对该域用户制定的一套认证、授权、计费方法,可根据用户的接入特征以及不同的安全需求组合使用。

设备支持的认证方法包括:

·     不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方法。

·     本地认证:认证过程在接入设备上完成,用户信息(包括用户名、密码和各种属性)配置在接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

·     远端认证(RADIUS):认证过程在接入设备和远端的服务器之间完成,接入设备和远端服务器之间通过RADIUS协议通信。优点是用户信息集中在服务器上统一管理,可实现大容量、高可靠性、支持多设备的集中式统一认证。当远端服务器无效时,可配置备选认证方式完成认证。

设备支持的授权方法包括:

·     不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。

·     本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。

·     远端授权(RADIUS):授权过程在接入设备和远端服务器之间完成。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。RADIUS认证成功后,才能进行授权,RADIUS授权信息携带在认证回应报文中下发给用户。当远端服务器无效时,可配置备选授权方式完成授权。

设备支持的计费方法包括:

·     不计费:不对用户计费。

·     本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。

·     远端计费(RADIUS):计费过程在接入设备和远端的服务器之间完成。当远端服务器无效时,可配置备选计费方式完成计费。

每个用户都属于一个ISP域。为便于对不同接入方式的用户进行区分管理,提供更为精细且有差异化的认证、授权、计费服务,设备将用户划分为以下几个类型:

·     LAN接入用户:例如802.1X认证用户。

·     登录用户:例如Telnet、FTP、终端接入用户(即从Console等接口登录的用户)。

·     Portal用户。

在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备,因此系统中可以存在多个ISP域,其中包括一个缺省存在的名称为system的ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。系统缺省的ISP域可以手工修改为一个指定的ISP域。

用户认证时,设备将按照如下先后顺序为其选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域,例如802.1X认证。

3.4.2  RADIUS

1. RADIUS协议简介

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

·     RADIUS客户端:一般位于接入设备上,可以遍布整个网络,负责将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。

·     RADIUS服务器:一般运行在中心计算机或工作站上,维护用户的身份信息和与其相关的网络服务信息,负责接收接入设备发送的认证、授权、计费请求并进行相应的处理,然后给接入设备返回处理结果(如接受/拒绝认证请求)。

RADIUS协议使用UDP作为封装RADIUS报文的传输层协议,通过使用共享密钥机制来保证客户端和RADIUS服务器之间消息交互的安全性。

当接入设备对用户提供AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务时,若要对用户采用RADIUS服务器进行认证、授权、计费,则作为RADIUS客户端的接入设备上需要配置相应的RADIUS服务器参数。

2. RADIUS增强功能

·     Accounting-on功能

设备重启后,重启前的原在线用户可能会被RADIUS服务器认为仍然在线而短时间内无法再次登录。为了解决这个问题,需要开启Accounting-on功能。

开启了Accounting-on功能后,设备会在重启后主动向RADIUS服务器发送Accounting-on报文来告知自己已经重启,并要求RADIUS服务器停止计费且强制通过本设备上线的用户下线。若设备发送Accounting-on报文后RADIUS服务器无响应,则会在按照一定的时间间隔尝试重发几次。分布式设备单板重启时,Accounting-on功能的实现需要和H3C IMC网管系统配合使用。

·     Session control功能

H3C的iMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。设备上开启接收session control报文的开关后,会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。

需要注意的是,该功能仅能和H3C的iMC RADIUS服务器配合使用。

3.4.3  本地认证

本地认证泛指由接入设备对用户进行认证、授权和计费,进行本地认证的用户的信息(包括用户名、密码和各种属性)配置在接入设备上。

为使某个请求网络服务的用户可以通过本地认证,需要在设备上添加相应的用户条目。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。

为了简化用户的配置,增强用户的可管理性,引入了用户组的概念。用户组是一系列公共用户属性的集合,某些需要集中管理的公共属性可在用户组中统一配置和管理,属于该用户组的所有用户都可以继承这些属性。

3.5  用户管理

为使某个请求网络服务的用户可以通过本地认证,需要在设备上添加相应的用户条目。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。

为了简化用户的配置,增强用户的可管理性,引入了用户组的概念。用户组是一系列公共用户属性的集合,某些需要集中管理的公共属性可在用户组中统一配置和管理,属于该用户组的所有用户都可以继承这些属性。

3.6  来宾管理

随着无线智能终端的快速发展,对于来公司参观的访客,公司需要提供一些网络服务。这些访客成员通常为供应商、贵宾、听众或者是其他合作伙伴等。当访客用自己的手机、笔记本、IPAD等终端接入公司网络时,涉及到用户账号注册,以及访问权限控制的问题。为了简化访客的注册和审批流程,以及对访客权限的管理控制,提供了来宾用户管理功能,具体包括:

·     手工添加来宾用户:手工创建来宾用户,并配置相应的来宾用户属性。

·     导入来宾用户:将指定路径CSV文件的来宾帐户信息导入到设备上,并生成相应的来宾用户。

·     批量创建来宾用户:批量生成一系列来宾用户,相应的用户名和密码按照指定规律生成。

·     导出来宾用户:将设备上的来宾帐户信息导出到指定路径CSV文件中供其它设备使用。

·     来宾用户的注册与审批,具体过程如下:

a.     来宾用户通过设备推出的Portal Web页面填写注册信息,主要包括用户名、密码和电子邮箱地址,并提交该信息。

b.     设备收到来宾用户的注册信息后,记录该注册信息,并向来宾管理员发送一个注册申请通知邮件。

c.     来宾管理员收到注册申请通知邮件之后,在Web页面上对注册用户进行编辑和审批。

d.     如果该注册用户在等待审批时间超时前被来宾管理员审批通过,则设备将自动创建一个来宾用户,并生成该用户的相关属性。若该注册用户在等待审批时间超时后还未被审批通过,则设备将会删除本地记录的该用户注册信息。

e.     来宾用户创建之后,设备将自动发送邮件通知来宾用户或来宾接待人用户注册成功,向他们告知来宾用户的密码及有效期信息。

f.     来宾用户收到注册成功通知后,将可以使用注册的帐户访问网络。

·     来宾用户过期自动删除功能:设备定时检查本地来宾用户是否过期并自动删除过期的用户。

·     邮件通知功能:向来宾、来宾接待人、来宾管理员发送帐户审批、密码信息的邮件。

3.7  BYOD

BYOD(Bring Your Own Device)指携带自己的设备办公,这些设备主要是指个人电脑、手机、平板电脑等终端设备。BYOD解决方案可以为企业和用户提供基于用户身份信息、终端信息、接入场景的认证、授权服务。

3.7.1  BYOD规则

BYOD规则是用户终端特征与用户终端类型的一种映射关系。在用户认证的过程中,接入设备获取到用户终端的相关特征(例如DHCP Option 55指纹信息)后,可根据BYOD规则识别出用户所使用的终端类型。

目前BYOD支持的用户终端特征包括:DHCP Option 55、HTTP User Agent和MAC地址。

·     DHCP Option55:DHCP请求参数列表选项,终端利用该选项指明需要从服务器获取哪些网络配置参数。

·     HTTP UserAgent:属于HTTP请求报文头域的一部分,用于携带终端访问Web页面时所使用的操作系统(包括版本号)、浏览器(包括版本号)等信息。

·     MAC地址:终端的MAC OUI信息或终端所属的MAC地址范围。

同一个特征只能对应一种终端类型,但一种终端类型可以对应多个特征。不同终端特征的识别优先级由高到低为:DHCP Option 55指纹->HTTP User Agent指纹->MAC地址指纹。

系统中已经预定义了一系列常用的BYOD规则,用户也可以根据实际组网需求通过命令行添加规则。

3.7.2  BYOD授权

BYOD授权是指,用户通过本地认证之后,设备通过匹配该用户的终端特征来给用户授予相关的网络访问权限。BYOD授权是通过用户组实现的。每一个用户都属于一个用户组,用户组中定义了基于终端类型的授权属性。用户在认证过程中,接入设备通过BYOD规则来识别用户的终端类型,并根据识别出的终端类型为其授权相应的授权属性。

4 系统

4.1  日志

4.1.1  事件日志

1. 简介

设备在运行过程中会生成系统日志。日志中记录了管理员在设备上进行的配置、设备的状态变化以及设备内部发生的重要事件等,为用户进行设备维护和故障诊断提供参考。

日志划分为如表4-1所示的八个等级,各等级的严重性依照数值从0~7依次降低。了解日志级别,能帮助您迅速筛选出重点日志。

表4-1 日志信息等级列表

级别

严重程度

描述

0

Emergency

表示设备不可用的信息,如系统授权已到期

1

Alert

表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限

2

Critical

表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等

3

Error

表示错误信息,如接口链路状态变化等

4

Warning

表示警告信息,如接口连接断开,内存耗尽告警等

5

Notification

表示正常出现但是重要的信息,如通过终端登录设备,设备重启等

6

Informational

表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等

7

Debugging

表示调试过程产生的信息

 

2. 配置思路

(1)     查看系统日志

您可以在系统日志页面查看系统日志,并可通过如下任一方法查询指定的系统日志:

¡     在查询框中输入查询条件并回车,完成系统日志的查询。

¡     点击页面中的<高级查询>按钮,在弹出的[高级查询]页面输入查询条件,并点击该页面的<查询>按钮,完成系统日志的高级查询。时间、级别和详细信息均可作为查询条件。

(2)     查看系统日志详情

在本页面中,将鼠标移到目标系统日志所在的行,点击该行右侧出现的图标,系统弹出[系统日志详情]窗口,在[系统日志详情]窗口可查看系统日志详情。

表4-2 日志详情

项目

描述

时间

表示系统日志产生的时间

模块名

表示系统日志所属的模块

级别

表示系统日志的级别

助记符

表示该日志信息的概述,是一个不超过32个字符的字符串

描述

表示系统日志的详情描述

 

(3)     清除系统日志

点击页面右上角的<清除>按钮,在弹出的[确认提示]页面,点击<是>按钮,完成系统日志的清除。

3. 注意事项

当设备发生断电、重启等情况或手动清除系统日志会导致页面中的系统日志被清除,且清除的系统日志无法找回。

4.1.2  设置

系统可以向日志缓冲区(logbuffer)、日志主机(loghost)等方向发送日志信息。日志信息的各个输出方向相互独立,可在页面中分别设置。

4.2  资源

4.2.1  时间段

时间段(Time Range)定义了一个时间范围。用户通过创建一个时间段并在某业务中将其引用,就可使该业务在此时间段定义的时间范围内生效。但如果一个业务所引用的时间段尚未配置或已被删除,该业务将不会生效。

譬如,当一个ACL规则只需在某个特定时间范围内生效时,就可以先配置好这个时间段,然后在配置该ACL规则时引用此时间段,这样该ACL规则就只能在该时间段定义的时间范围内生效。

时间段可分为以下两种类型:

·     周期时间段:表示以一周为周期(如每周一的8至12点)循环生效的时间段。

·     绝对时间段:表示在指定时间范围内(如2011年1月1日8点至2011年1月3日18点)生效时间段。

每个时间段都以一个名称来标识,一个时间段内可包含一或多个周期时间段和绝对时间段。当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。

4.3  文件管理

4.3.1  文件管理

设备上的一个存储介质即称为一个文件系统。

本功能用于对设备Flash中存储的文件进行统一的管理。您可以通过本页面查看Flash的总空间、已用空间和剩余空间大小,以及对文件进行查询、上传、删除和下载等操作。

说明

在本页面进行文件管理操作时,需首先选中文件归属的Flash。

 

1. 文件系统的命名

设备仅支持固定存储介质flash,其文件系统名称为flash:。

如果设备除了固定存储介质外还支持可插拔存储介质U盘、硬盘,可插拔存储介质的文件系统名称由存储介质的位置、存储介质类型、存储介质编号、分区编号和冒号组成:

·     存储介质类型:U盘的类型名称为“usb”。

·     存储介质编号:同类型的存储介质以英文小写字母a开始进行排序,例如“usba”表示第一个U盘。

·     分区编号:一个存储介质上的分区以数字0开始进行排序,例如“usba0”表示第一个U盘上的第一个分区。

·     冒号:作为存储介质名称的结束符,例如第一个U盘的完整名称为“usba0:”。

说明

文件系统名称中的英文字符输入时区分大小写,必须为小写字符。

 

2. 缺省文件系统

缺省文件系统是指用户登录设备后默认工作在的文件系统。用户在对文件或者文件夹进行操作时,如果不指定文件系统,则表示对设备的缺省文件系统进行操作。例如,在保存当前配置时,如果不输入任何保存位置信息,则下次启动配置文件将保存在缺省文件系统的根目录下。

3. 目录

本设备的文件系统采用树形目录结构,用户可以通过文件夹操作来改变目录层级,方便的管理文件。

(1)     根目录

根目录用“/”来表示。

(2)     工作目录

工作目录也被称为当前工作目录。

用户登录设备后,缺省的工作目录为设备Flash的根目录。

(3)     文件夹的命名

文件夹名称中可以包含数字、字母或特殊字符(除了*|\/?<>":)。给文件夹命名时,首字母请不要使用“.”。因为系统会把名称首字母为“.”的文件夹当成隐藏文件夹。

(4)     常用文件夹

设备出厂时会携带一些文件夹,在运行过程中可能会自动产生一些文件夹,这些文件夹包括:

·     diagfile:用于存放诊断信息文件的文件夹

·     license:用于存放License文件的文件夹

·     logfile:用于存放日志文件的文件夹

·     seclog:用于存放安全日志文件的文件夹

·     versionInfo:用于存放版本信息文件的文件夹

·     其它名称的文件夹

4. 文件

(1)     文件的命名

文件名中可以输入以数字、字母、特殊字符为组合的字符串(除了*|\/?<>":)。给文件命名时,首字母请不要使用“.”。因为系统会把名称首字母为“.”的文件当成隐藏文件。

(2)     常见文件类型

设备出厂时会携带一些文件,在运行过程中可能会自动产生一些文件,这些文件包括:

·     xx.ipe(复合软件包套件,是启动软件包的集合)

·     xx.bin(启动软件包)

·     xx.cfg(配置文件)

·     xx.mdb(二进制格式的配置文件)

·     xx.log(用于存放日志的文件)

·     其它后缀的文件

(3)     隐藏文件和文件夹

文件/文件夹分为隐藏的、非隐藏的。因为有些系统文件/文件夹是隐藏文件/文件夹,所以对于隐藏文件/文件夹,请不要修改或删除,以免影响对应功能;对于非隐藏的文件/文件夹,请完全了解它的作用后再执行文件/文件夹操作,以免误删重要文件/文件夹。

5. 使用限制和注意事项

·     在执行文件系统操作过程中,禁止对存储介质进行插拔操作。否则,可能会引起文件系统的损坏。

·     当用户占用可插拔存储介质的资源(如用户正在访问某个目录或正在打开文件等)时,存储介质被强制拔出。此时,请先释放占用的存储介质的资源(如切换目录、关闭打开的文件等),再插入存储介质。否则,存储介质被插入后可能不能被识别。

·     当需要对U盘进行写文件系统操作,请确保没有将U盘写保护。如果U盘写保护了,这些操作将执行失败。其它文件系统操作不受写保护开关影响。

·     如果文件系统达到最大容量,设备性能或某些功能会受到影响,为保证设备正常运行,需及时清除设备中的冗余文件。

·     系统文件(如文件格式如.bin的文件)请谨慎删除,否则可能会影响设备正常启动和运行。

6. 文件管理参数介绍

表4-3 文件参数描述表

文件参数

描述

文件名

文件或文件夹的保存路径及文件名

大小(字节)

文件或文件夹的大小,单位为字节

日期

文件或文件夹创建的时间

是否为文件夹

标记是否为文件夹

 

7. 文件操作

文件操作是指对指定的文件路径下的文件进行相应操作,目前文件操作分为以下三类:

·     上传:设备支持上传版本文件、配置文件、证书、本地portal页面、MAP文件、特殊AP版本文件等。

·     下载:设备支持下载版本文件、配置文件、一键诊断信息及之前上传的信息文件等。

·     删除:设备支持选择删除设备上的非隐性文件。

说明

目前删除之后的文件无法恢复,请确保删除文件准确无误。

 

配置思路:

(1)     查看文件或文件夹

您可以在文件管理页面查看文件或文件夹,并可通过如下任一方法查询指定的文件或文件夹:

¡     在本页面中,选择目标Flash,然后在查询框中输入查询条件,完成文件或文件夹的查询。

¡     在本页面中,选择目标Flash,点击页面中的<高级查询>按钮,在弹出的[高级查询]页面输入查询条件,并点击该页面的<查询>按钮,完成文件或文件夹的高级查询。

注意,文件参数“文件名”、“大小”、“日期”和“是否为文件夹”均可作为查询条件。

(2)     删除文件或文件夹

您可以通过如下任一方法删除文件或文件夹:

¡     删除单个文件或文件夹

在本页面中,选择目标Flash,将鼠标移到目标文件或文件夹所在的行,点击该行右侧出现的“”图标,在弹出的[确认提示]页面,点击<是>按钮,完成单个文件或文件夹的删除。

¡     批量删除文件或文件夹

在本页面中,选择目标Flash,点击勾选页面上一个或多个文件或文件夹左侧方框,点击<删除>按钮,在弹出的[确认提示]页面,点击<是>按钮,完成批量文件或文件夹的删除。

(3)     下载文件

a.     在本页面中,选择目标Flash,点击勾选页面上文件左侧方框。

b.     点击<下载>按钮,可将文件下载到本地。

说明

一次只能下载一个文件,不能多个文件同时下载。

只能下载文件,不能下载文件夹。

 

(4)     上传文件

a.     在本页面中,选择目标Flash,点击<上传>按钮,在[上传文件]窗口,点击选择文件,然后选择需要上传的文件。

b.     点击<确定>按钮,可将文件从本地上传到设备。

4.4  License管理

用户需要为设备购买授权码、安装License,才能使用设备上基于License的特性。哪些特性需要安装License可通过License和特性页签来查看。

1. 临时License和正式License

License分为临时License和正式License。临时License授权的特性可以使用一段时间,临时License不允许迁移。请在试用期内购买并安装正式License,以便试用期满后特性可以正常使用。

2. 激活文件和激活文件包

激活文件是一种包含授权信息的文件。安装License实质就是在设备上安装激活文件。激活文件有如下两种发布形式:

·     以.ak文件的形式独立发布。用户需要先购买授权码,再登录指定网页,输入单个授权码以及SN和DID等其他必要信息后,可以获取一个后缀为.ak的激活文件。

·     将多个激活文件打包为.tar的激活文件包发布。需要先购买多个授权码,再登录指定网页,输入多个授权码以及SN和DID等其他必要信息后,可以获取一个后缀为.tar的激活文件包。该激活文件包是这些授权码对应的.ak文件的集合。使用激活文件包可以减少激活文件的申请次数和安装次数,简化激活文件的管理。

激活文件包的安装过程和激活文件相同,下文以激活文件为例,激活文件包的配置不再赘述。

4.4.2  License配置

1. 确认License存储区大小

在申请激活文件之前,请先通过压缩页面查看设备可安装的激活文件个数和已安装的激活文件个数,申请的激活文件个数和已安装的激活文件个数之和不能大于可安装的激活文件个数。如果License存储区的空间不足,请压缩License存储区。

2. 本地手动安装License

采用本地手动安装方式安装License时,请参照以下步骤进行:

(1)     通过License和特性页签查看哪些特性需要安装License、是否已经安装License、以及已安装的License的简要信息。

(2)     购买授权书,获得授权码。

(3)     获取DID和SN。

(4)     根据产品类型、授权码、SN和DID申请激活文件。

(5)     通过License配置页签的本地手动安装按钮安装激活文件,获得授权。

3. 在线自动安装License

采用在线自动安装方式安装License时,请参照以下步骤进行:

(1)     通过License和特性页签查看哪些特性需要安装License、是否已经安装License、以及已安装的License的简要信息。

(2)     购买授权书,获得授权码。

(3)     通过License配置页签在线自动安装按钮,输入License管理平台域名、授权码等信息后,单击确定按钮即可获得授权。

4. 卸载License

当用户不需要使用License时,可以通过License配置页签,选择需要卸载的License进行卸载。

5. 迁移License

当用户已授权的设备A暂时不需要使用某特性,同时另一台未授权的设备B需要使用该特性时,请按照以下步骤,将设备A的授权迁移到设备B上,使得设备B可以正常使用该特性:

(1)     登录设备A,卸载License。

(2)     通过License配置页签中的详情功能查看设备A的卸载码。

(3)     登录设备B,获取设备B的SN和DID。

(4)     根据设备B的SN、DID和设备A的卸载码申请新的激活文件。

(5)     将新的激活文件安装到设备B上,设备B获得授权。

6. 注意事项

通用注意事项:

对于一台设备,请不要多个用户同时进行License操作,以免操作失败。

用户在安装License时,系统会自动搜索存储介质上是否存在该License对应的软件包,如果存在一个,则直接自动安装该软件包;如果存在多个,则直接自动安装最先搜索到的软件包。

用户在卸载License时,系统会自动搜索该License对应的软件包是否在运行,如果正在运行,则会直接自动卸载该软件包。

正式License过期后不能卸载。过期后的License会一直占用License存储区。如果License存储区空间耗尽,会导致新的License安装失败。可通过压缩License存储区来释放License存储区空间。

在压缩License存储区前,请完成以下操作:

·     备份卸载码。卸载临时License不会产生卸载码。

·     并确保使用旧DID申请的License已经安装完毕,否则,License存储区压缩后,使用旧DID申请的License将无法继续安装。

如果由于HTTP客户端的系统、浏览器等原因导致没有获取到激活文件,且无法重新申请激活文件时,请联系技术支持人员。

对激活文件的要求:

用户获取到激活文件之后请妥善保存并备份,以免不慎丢失。

请不要打开激活文件,以免影响文件的格式,导致文件无效。

请不要修改激活文件的名称,以免影响授权。

请不要删除设备上处于In use或Usable状态的激活文件,以免影响对应特性的正常运行。如果误删了这样的激活文件,请手工将备份的激活文件拷贝到License文件夹下进行恢复。如果恢复激活文件后,License已处于In use状态,但某些需要该License的特性仍然不能正常使用,请重启设备来进行修复。

4.4.3  获取DID

在该页面可以将设备DID文件下载到本地。

4.4.4  License和特性

查看设备上是否已经安装了License以及已安装的License的简要信息。

4.4.5  压缩

在申请License授权之前,需要确保License存储区有足够的空间来存储License的相关信息。如果License存储区的空间不足,请使用本特性,系统会自动将已经过期的或者卸载的License信息删除。注意:压缩License存储区会导致DID变化,使得用旧DID申请的License无法继续安装。

4.5  设备管理

4.5.1  管理员

管理员通过HTTP、HTTPS、SSH、Telnet、FTP、PAD、终端接入(即从Console口接入)方式登录到设备上之后,可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分:

·     帐户管理:对用户的基本信息(用户名、密码)以及相关属性的管理。

·     角色管理:对用户可执行的系统功能以及可操作的系统资源权限的管理。

·     密码管理:对用户登录密码的设置、老化、更新以及用户登录状态等方面的管理。

1. 帐户管理

为使请求某种服务的管理员可以成功登录设备,需要在设备上添加相应的管理员帐户。所谓管理员帐户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。

管理员帐户支持的用户属性包括:

·     用户名

·     密码

·     状态:激活或禁用。

·     角色:管理员登录设备后的操作权限。

·     可用服务:管理员使用的网络服务,可包括Terminal(即从Console口、AUX口、Async口接入)、Telnet、FTP、HTTP、HTTPS、PAD和SSH。

·     同时在线最大用户数:允许同时使用该账户在线的用户数目。如果不设置该值,则表示不限制使用该账户在线的用户数。需要注意的是,使用FTP服务的管理员不受此配置限制。

·     FTP目录:管理员通过FTP方式访问设备时的工作路径,例如flash:/abc。

·     密码及登录相关参数:只能在密码管理相关检查功能开启的情况下生效

¡     密码最小长度

¡     是否允许密码中包含用户名或颠倒的用户名

¡     是否允许密码中包含连续三个或以上相同字符

¡     密码组成元素的最少类型,以及至少要包含每种元素的个数

¡     密码老化时间

¡     用户登录尝试的最大次数,以及登录尝试失败次数超过最大值后,对用户采取的措施

2. 角色管理

对登录用户权限的控制,是通过为用户赋予一定的角色来实现。一个角色中定义了允许用户执行的系统功能以及可操作的系统资源,具体实现如下:

·     通过角色规则实现对系统功能的操作权限的控制。例如,定义用户角色规则允许用户配置A功能,或禁止用户配置B功能。

·     通过资源控制策略实现对系统资源(接口、VLAN)的操作权限的控制。例如,定义资源控制策略允许用户操作VLAN 10,禁止用户操作接口GigabitEthernet1/0/1。

(1)     角色规则

一个角色中可以包含多条规则,规则定义了允许/禁止用户操作某类实体的权限。

系统支持的实体类型包括:

·     命令行:控制用户权限的最小单元,具体可分为读、写、执行类型的命令行。

·     特性:与一个功能相关的所有命令的集合。系统中的所有特性及其包含的命令都是系统预定义的,不允许用户自定义。

·     特性组:一个或者多个特性的集合。系统预定义了两个特性组L2和L3。L2中包含了所有的二层协议相关功能的命令,L3中包含了所有三层协议相关功能的命令。管理员可以根据需要自定义特性组,但不能修改和删除系统预定义的特性组L2和L3。各个特性组之间包含的特性允许重叠。

·     Web菜单:通过Web对设备进行配置时,各配置页面以Web菜单的形式组织,按照层次关系,形成多级菜单的树形结构。

·     XML元素:与Web菜单类似,XML对于配置对象的组织也呈现树状结构,每一个XML元素代表XML配置中的一个XML节点。

·     SNMP OID:对象标识符,SNMP协议通过OID唯一标识一个被管理对象。

对实体的操作权限包括:

·     读权限:可查看指定实体的配置信息和维护信息。

·     写权限:可配置指定实体的相关功能和参数。

·     执行权限:可执行特定的功能,如与FTP服务器建立连接。

定义一个规则,就等于约定允许或禁止用户针对某类实体具有哪些操作权限,具体分为:

·     控制命令行的规则:用来控制一条命令或者与指定的命令特征字符串相匹配的一类命令是否允许被执行。

·     控制特性的规则:用来控制特性包含的命令是否允许被执行。因为特性中的每条命令都属于读类型、写类型或执行类型,所以在定义该类规则时,可以精细地控制特性所包含的读、写或执行类型的命令能否被执行。

·     控制特性组的规则:此规则和基于特性的规则类似,区别是一条基于特性组的规则中可同时对多个特性包含的命令进行控制。

·     控制Web菜单的规则:用来控制指定的Web菜单选项是否允许被操作。因为每个菜单项中的操作控件具有相应的读,写或执行属性,所以定义基于Web菜单的规则时,可以精细地控制菜单项中读、写或执行控件的操作。

·     控制XML元素的规则:用来控制指定的XML元素是否允许被执行。XML元素也具有读,写或执行属性。

·     控制OID的规则:用来控制指定的OID是否允许被SNMP访问。OID具有读,写和执行属性。

一个用户角色中可以定义多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则中定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。

(2)     资源控制策略

资源控制策略规定了用户对系统资源的操作权限,对接口/VLAN的操作是指创建、配置、删除和应用接口/VLAN。

资源控制策略需要与角色规则相配合才能生效。在用户执行命令的过程中,系统对该命令涉及的系统资源使用权限进行动态检测,因此只有用户同时拥有执行该命令的权限和使用该资源的权限时,才能执行该命令。例如,若管理员为某用户角色定义了一条规则允许用户创建VLAN,且同时指定用户具有操作VLAN 10的权限,则当用户被授权此角色并试图创建VLAN 10时,操作会被允许,但试图创建其它VLAN时,操作会被禁止。若管理员并没有为该角色定义允许用户创建VLAN的规则,则用户即便拥有该VLAN资源的操作权限,也无法执行相关的操作。

(3)     缺省角色

系统预定义了多种角色,角色名和对应的权限如表4-4所示。这些角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限。如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制。

表4-4 系统预定义的角色名和对应的权限

角色名

权限

network-admin

可操作系统所有功能和资源

network-operator

可允许用户对所有Web菜单选项进行读操作

level-n (n = 0~15)

·     level-0~level-14:无缺省权限,需要管理员为其配置权限

·     level-15:具有与network-admin角色相同的权限

security-audit

安全日志管理员,仅具有安全日志文件的读、写、执行权限

guest-manager

可操作与来宾有关的Web页面

 

3. 密码管理

为了提高用户登录密码的安全性,可通过定义密码管理策略对用户的登录密码进行管理,并对用户的登录状态进行控制。

(1)     密码长度检查

管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的最小长度,系统将不允许设置该密码。

(2)     密码组合检查

管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:

·     [A~Z]

·     [a~z]

·     [0~9]

·     32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)

密码元素的组合类型有4种,具体涵义如下:

·     组合类型为1表示密码中至少包含1种元素;

·     组合类型为2表示密码中至少包含2种元素;

·     组合类型为3表示密码中至少包含3种元素;

·     组合类型为4表示密码中包含4种元素。

当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。

(3)     密码复杂度策略

为确保用户的登录密码具有较高的复杂度,要求管理员为其设置的密码必须符合一定的复杂度要求,只有符合要求的密码才能设置成功。目前,可配置的复杂度要求包括:

·     密码中不能包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。

·     密码中不能包含用户名或者字符顺序颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。

(4)     密码更新管理

管理员可以设置用户登录设备后修改自身密码的最小间隔时间。当用户登录设备修改自身密码时,如果距离上次修改密码的时间间隔小于配置值,则系统不允许修改密码。例如,管理员配置用户密码更新间隔时间为48小时,那么用户在上次修改密码后的48小时之内都无法成功进行密码修改操作。

有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码老化后系统要求用户修改密码。

(5)     密码老化管理

当用户登录密码的使用时间超过老化时间后,需要用户更换密码。如果用户输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于其他用户可自行修改密码。

(6)     密码过期提醒

在用户登录时,系统判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。对于FTP用户,只能由管理员修改FTP用户的密码;对于其他用户可自行修改密码。

(7)     密码老化后允许登录

管理员可以设置用户密码过期后在指定的时间内还能登录设备指定的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。

(8)     密码历史记录

系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将给出错误信息,提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码逐一与所有记录的历史密码以及当前密码比较,要求新密码至少要与旧密码有4字符不同,且这4个字符必须互不相同,否则密码更改失败。

可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。

由于为用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,用户的当前登录密码,不会被记录到该用户的密码历史记录中。

(9)     密码尝试次数限制

密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。

每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口或AUX口连接到设备的用户。

当用户连续尝试认证的失败累加次数达到设置的尝试次数时,系统对用户的后续登录行为有以下三种处理措施:

·     永久禁止该用户登录。只有管理员把该用户从密码管理的黑名单中删除后,该用户才能重新登录。

·     禁止该用户一段时间后,再允许其重新登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录。

·     不对该用户做禁止,允许其继续登录。在该用户登录成功后,该用户会从密码管理的黑名单中删除。

(10)     用户帐号闲置时间管理

管理员可以限制用户帐号的闲置时间,禁止在闲置时间之内始终处于不活动状态的用户登录。若用户自从最后一次成功登录之后,在配置的闲置时间内再未成功登录过,那么该闲置时间到达之后此用户帐号立即失效,系统不再允许使用该帐号的用户登录。

(11)     弱密码登录控制

通过Telnet、SSH、HTTP、HTTPS方式登录的设备管理类用户,输入登录密码时,系统会根据当前设定的密码组合检测策略、密码最小长度要求以及密码复杂度检查策略对用户的登录密码进行检查,若不符合以上密码检查策略要求,则视为弱密码。

缺省情况下,用户使用弱密码登录设备时,系统会打印提示信息,但不会强制用户修改密码,即使用弱密码也可以登录设备。若需要提高设备使用的安全性,可开启弱密码时强制修改密码功能,开启该功能后会禁止Telnet、SSH、HTTP、HTTPS方式登录的设备管理类用户使用弱密码登录,要求用户修改密码,直到密码组合策略、密码长度以及密码复杂度检查策略的设定符合设备要求。

4. 注意事项

·     由于本地用户缺省就拥有一个角色,如果要赋予本地用户新的角色,请确认是否需要保留这个缺省的角色,若不需要,请删除。

·     系统中唯一一个拥有安全日志管理员角色的用户不可被删除。

·     安全日志管理员角色与其它角色互斥,在给用户配置了安全日志管理员角色的情况下,不能再为用户配置其他角色,反之亦然。

·     允许修改角色的接口/VLAN/VRF权限,修改后的权限会立即生效。

·     修改后的规则对于当前已经在线的用户立即生效,对于之后使用该角色登录设备的用户也生效。

·     开启密码管理之后,首次设置的登录用户密码必须至少由四个不同的字符组成。

·     密码历史记录管理功能关闭后,系统仍然记录历史密码,但不对设置的用户密码进行历史密码检查。

·     对于FTP用户,密码过期后,系统不允许其继续登录,也不允许FTP用户自行更改密码,只能由管理员修改FTP用户的密码。

·     由于FTP用户不支持计费,因此FTP用户不受同时在线最大用户数限制。

4.5.2  系统设置

系统设置功能用来对设备的名称、位置等信息以及设备时间进行设置。

1. 系统时间获取方式

为了便于管理,并保证与其它设备协调工作,设备需要准确的系统时间。系统时间由GMT时间、本地时区和夏令时运算之后联合决定。用户有两种方式获取GMT时间:

·     手工配置GMT时间。

·     通过NTP/SNTP协议获取GMT时间。

通过NTP/SNTP协议获取的GMT时间比命令行配置的GMT时间更精确。

2. NTP/SNTP简介

NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致,从而使设备能够提供基于统一时间的多种应用。

SNTP(Simple NTP,简单NTP)采用与NTP相同的报文格式及交互过程,但简化了NTP的时间同步过程,以牺牲时间精度为代价实现了时间的快速同步,并减少了占用的系统资源。在时间精度要求不高的情况下,可以使用SNTP来实现时间同步。

3. NTP/SNTP时钟源工作模式

NTP支持服务器模式和对等体模式两种时钟源工作模式,如表4-5所示。在服务器模式中,设备只能作为客户端;在对等体模式中,设备只能作为主动对等体。

SNTP只支持服务器模式这一种时钟源工作模式。在该模式中,设备只能作为客户端,从NTP服务器获得时间同步,不能作为服务器为其他设备提供时间同步。

表4-5 NTP时钟源工作模式

模式

工作过程

时间同步方向

应用场合

服务器模式

客户端上需要手工指定NTP服务器的地址。客户端向NTP服务器发送NTP时间同步报文。NTP服务器收到报文后会自动工作在服务器模式,并回复应答报文

一个客户端可以配置多个时间服务器,如果客户端从多个时间服务器获取时间同步,则客户端收到应答报文后,进行时钟过滤和选择,并与优选的时钟进行时间同步

客户端能够与NTP服务器的时间同步

NTP服务器无法与客户端的时间同步

该模式通常用于下级的设备从上级的时间服务器获取时间同步

对等体模式

主动对等体(Symmetric active peer)上需要手工指定被动对等体(Symmetric passive peer)的地址。主动对等体向被动对等体发送NTP时间同步报文。被动对等体收到报文后会自动工作在被动对等体模式,并回复应答报文

如果主动对等体可以从多个时间服务器获取时间同步,则主动对等体收到应答报文后,进行时钟过滤和选择,并与优选的时钟进行时间同步

主动对等体和被动对等体的时间可以互相同步

如果双方的时钟都处于同步状态,则层数大的时钟与层数小的时钟的时间同步

该模式通常用于同级的设备间互相同步,以便在同级的设备间形成备份。如果某台设备与所有上级时间服务器的通信出现故障,则该设备仍然可以从同级的时间服务器获得时间同步

 

4. NTP/SNTP时钟源身份验证

NTP/SNTP时钟源身份验证功能可以用来验证接收到的NTP报文的合法性。只有报文通过验证后,设备才会接收该报文,并从中获取时间同步信息;否则,设备会丢弃该报文。从而,保证设备不会与非法的时间服务器进行时间同步,避免时间同步错误。

4.5.3  配置文件

配置文件功能用来对设备的配置进行查看或管理。

1. 保存当前配置

系统当前正在运行的配置称为当前配置。它包括启动配置和设备运行过程中用户进行的配置。当前配置存放在设备的临时缓存中。

该功能共有两种保存方式。

·     保存到下次启动配置文件,使当前配置在设备重启后仍生效,否则设备重启后将恢复为出厂配置。

·     保存到指定配置文件,将当前配置保存在设备的固定存储介质flash中。

保存配置时,系统将自动生成一个文本类型的配置文件和一个二进制类型的配置文件,两个文件的内容完全相同。

·     文本类型配置文件:后缀名为“.cfg”,可以使用文本编辑器修改该文件的内容。文本类型配置文件可以单独保存到存储介质中,无需对应的二进制类型的配置文件。

·     二进制类型配置文件:后缀为“.mdb”,仅能够使用软件解析该类配置文件,用户不能读取和编辑文件内容。二进制类型的配置文件不能单独保存到存储介质中,必须有对应的文本类型的配置文件。该类型配置文件的加载速度快,设备启动时优先使用该类型配置文件。

设备启动时,文本类型配置文件和二进制类型配置文件的选择规则如图4-1所示。

图4-1 文本类型配置文件和二进制类型配置文件的选择规则

如无特殊说明,下文描述的配置文件均指文本类型的配置文件。

2. 导出当前配置

将当前配置文件导出为.cfg格式文件保存在本地。

3. 导入配置

将指定配置文件上传到设备后,该文件将会被设置为下次启动配置文件。导入的配置将在设备重启后生效。

勾选立即执行导入的配置文件后,系统会立即用导入的配置替换当前运行的配置,无需重启设备。

4. 查看当前配置

可以在该页面查看当前设备的所有配置。

5. 恢复出厂配置

设备在出厂时,通常会带有一些基本的配置,称为出厂配置。它用来保证设备在没有配置文件或者配置文件损坏的情况下,能够正常启动、运行。

当使用场景更改,或者设备出现故障时,可以将设备恢复出厂配置,仅保留.bin和License文件和apimge文件夹。

4.5.4  软件更新

如果希望完善当前软件版本漏洞或者更新应用功能,需通过版本升级功能来实现,在该页面可以对设备版本进行升级。

升级前,请根据软件版本说明书找到和本设备匹配的软件(必须为IPE文件),并将它保存到您的登录终端,可以从H3C官网获取最新的软件版本。

4.5.5  云服务

云服务是指设备与H3C云平台服务器通过Internet建立的远程管理通道。网络管理员可以通过云平台服务器对分布在不同地域的设备进行远程管理和维护。

配置云服务:

(1)     单击左侧导航栏的“ 系统 > 设备管理 > 云服务”,进入云服务配置页面。

(2)     在“云服务”配置项处,开启云服务。

(3)     在“云平台服务器域名”配置项处,输入云平台的域名。

(4)     在“云场所定义”配置项处,输入设备的系统名称。

(5)     单击<应用>按钮,完成配置。

4.5.6  重启

在该页面可以手动重启设备,有两种重启方式。

·     保存配置后重启,重启后设备依然保持当前配置。

·     不进行任何检查直接重启,未保存配置在设备重启后会丢失。

4.5.7  关于

在该页面可以查看设备的信息。

1. 本设备

·     设备名称。

·     设备序列号。

·     设备型号。

·     设备描述。

·     设备位置。

·     联系方式。

2. 版本信息

3. 电子标签

4. 法律声明

5 工具

5.1  调试

系统提供了诊断信息收集功能,便于用户对错误进行诊断和定位。收集诊断日志成功后,可以将诊断文件保存到本地查看。同时诊断文件也将存在于设备的磁盘空间中,可以在“系统-文件管理”中进行管理。

5.2  Ping

5.2.1  IPv4\IPv6 Ping

通过使用Ping功能,用户可以检查指定地址的设备是否可达,测试链路是否通畅。

Ping功能是基于ICMP(Internet Control Message Protocol,互联网控制消息协议)协议来实现的:源端向目的端发送ICMP回显请求(ECHO-REQUEST)报文后,根据是否收到目的端的ICMP回显应答(ECHO-REPLY)报文来判断目的端是否可达,对于可达的目的端,再根据发送报文个数、接收到响应报文个数以及Ping过程报文的往返时间来判断链路的质量。

5.2.2  RF Ping

RF Ping即无线链路质量检测,AP根据客户端上线时协商的速率集,以每个速率发送5个空数据报文进行链路质量检测。AP根据客户端的响应报文可以获取AP客户端之间的无线链路质量信息,如信号强度、报文重传次数、RTT(Round-Trip Time,往返时间)等。

无线链路质量检测的超时时间为10秒,如果AP在超时时间内没有完成链路质量检测,将无法得到链路质量检测结果。

5.3  Tracert

5.3.1  IPv4\IPv6 Tracert

通过使用Tracert功能,用户可以查看IP报文从源端到达目的端所经过的三层设备,从而检查网络连接是否可用。当网络出现故障时,用户可以使用该功能分析出现故障的网络节点。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们