无线网络为用户提供WLAN接入服务。无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络,接入点设备安置在需要覆盖无线网络的区域,用户在该区域内就可以通过无线接入的方式接入无线网络。
无线服务即一类无线服务属性的集合,如无线网络的SSID、认证方式(开放系统认证或者共享密钥认证)等。
SSID(ServiceSetIdentifier,服务集标识符),就是无线网络的名称。
终端接入无线服务后被分配的VLAN。
基于SSID的用户隔离功能适用于集中式转发和本地转发场景下,设备开启基于SSID的用户隔离功能后,通过该SSID接入无线服务且处于同一VLAN内的无线用户之间将不能够互相访问。
可以在AC上将客户端数据报文转发位置配置在AC或者AP上。
·将数据报文转发位置配置在AC上时,为集中式转发,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文;
·将数据报文转发位置配置在AP上时,为本地转发,客户端的数据流量直接由AP进行转发。将转发位置配置在AP上缓解了AC的数据转发压力。
客户端数据报文的转发位置可以基于VLAN灵活分配:
·将转发位置配置在AC上时,可以指定VLAN,即只有处于指定VLAN的客户端,在AC上转发其数据流量,其余VLAN的客户端数据报文的转发位置在AP上;
·将转发位置配置在AP上时,可以指定VLAN,即只有处于指定VLAN的客户端,在AP上转发其数据流量,其余VLAN的客户端数据报文的转发位置在AC上。
·静态PSK认证
PSK认证方式需要在AP侧预先输入预共享密钥,在客户端关联过程中,手动输入该密钥,AP和客户端通过四次握手密钥协商来验证客户端的预共享密钥的合法性,若PTK协商成功,则证明该用户合法,以此来达到认证的目的。
·802.1X认证
设备端支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。若用户认证位置在AP上,则AP为认证设备,由AP处理认证过程,若用户认证位置在AC上,则AC为认证设备,由AC处理认证过程。
握手功能:使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。
安全握手功能:802.1X安全握手是指在握手报文中加入验证信息,以防止非法用户仿冒正常用户的在线的802.1X的客户端与设备进行握手报文的交互。使能802.1X安全握手功能后,支持安全握手的客户端需要在每次向设备发送的握手应答报文中携带验证信息,设备将其与认证服务器下发的验证信息进行对比,如果不一致,则强制用户下线。
·静态WEP密钥
在Pre-RSNA安全机制的WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,因此802.11提供了动态WEP加密机制。在动态WEP加密机制中,加密单播数据帧的WEP密钥是由客户端和认证服务器通过802.1X认证协商产生,保证了每个客户端使用不同的WEP单播密钥,从而提高了单播数据帧传输的安全性。组播密钥是WEP密钥,若未配置WEP密钥,则AP使用随机算法产生组播密钥。
当客户端通过802.1X认证后,AP通过发送RC4EAPOL-Key报文将组播密钥及密钥ID以及单播密钥的密钥ID(固定为4)分发给客户端。
AC、AP均可以处理用户的认证请求,即对用户进行本地认证或将用户的认证信息上送给RADIUS服务器进行集中式认证。当配置的用户接入认证位置为AC时,表示认证位置在AC上。
FT支持两种实现方式:
·Over-the-Air:客户端直接与目标AP通信,进行漫游前的认证。
·Over-the-DS:客户端通过当前AP与目标AP通信,进行漫游前的认证。
无线服务跟AP的Radio存在多对多的映射关系,将无线服务绑定在某个AP的射频上,AP会根据射频上绑定的无线服务的属性创建BSS。BSS是无线服务提供服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端可以通过同一个SSID访问网络。
绑定无线服务时,可以进行如下配置:
·可以为该BSS指定一个VLAN组,该BSS下连接的客户端会被均衡地分配在VLAN组的所有VLAN中,既能将客户端划分在不同广播域中,又能充分利用不连续的地址段为客户端分配IP地址。
·可以配置SSID隐藏。
最初802.11的安全机制被称为Pre-RSNA安全机制,它的认证机制不完善,容易被攻破,存在安全隐患,且在WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,所以IEEE制订了802.11i协议来加强无线网络的安全性。
但802.11i仅对无线网络的数据报文进行加密保护,而不对管理帧进行保护,所以管理帧的机密性、真实性、完整性无法保证,容易受到仿冒或监听,例如:恶意攻击者通过获取设备的MAC地址并仿冒设备恶意拒绝客户端认证或恶意结束设备与客户端的关联。802.11w无线加密标准建立在802.11i框架上,通过保护无线网络的管理帧来解决上述问题,进一步增强无线网络的安全性。
Pre-RSNA安全机制采用开放式系统认证(Opensystemauthentication)和共享密钥认证(Sharedkeyauthentication)两种认证方式来进行客户端认证,并且采用WEP加密方式对数据进行加密来保护数据机密性,以对抗窃听。WEP加密使用RC4加密算法(一种流加密算法)实现数据报文的加密,WEP加密支持WEP40、WEP104和WEP128三种密钥长度。
802.11i安全机制又被称为RSNA(RobustSecurityNetworkAssociation,健壮安全网络连接)安全机制,包括WPA(Wi-FiProtectedAccess,Wi-Fi保护访问)和RSN(RobustSecurityNetwork,健壮安全网络)两种安全模式,采用AKM(AuthenticationandKeyManagement,身份认证与密钥管理)对用户身份的合法性进行认证,对密钥的生成、更新进行动态管理,并且采用TKIP(TemporalKeyIntegrityProtocol,临时密钥完整性协议)和CCMP(CountermodewithCBC-MACProtocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制对报文进行加密。
AKM分为802.1X、Private-PSK和PSK和三种模式:
·802.1X:采用802.1X认证对用户进行身份认证,并在认证过程中生成PMK(PairwiseMasterKey,成对主密钥),客户端和AP使用该PMK生成PTK(PairwiseTransientKey,成对临时密钥)。
·Private-PSK:采用PSK(Pre-SharedKey,预共享密钥)认证进行身份认证,使用客户端的MAC地址作为PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。
·PSK:采用PSK认证进行身份认证,并通过PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。
(1)密钥种类
802.11i协议中密钥主要包括PTK和GTK(GroupTemporalKey,群组临时密钥)两种:
PTK用于保护单播数据。
GTK用于保护组播和广播数据。
(2)WPA安全模式密钥协商
WPA是一种比WEP加密性能更强的安全机制。在802.11i协议完善前,采用WPA为用户提供一个临时性的WLAN安全增强解决方案。在WPA安全网络中,客户端和AP通过使用EAPOL-Key报文进行四次握手协商出PTK,通过使用EAPOL-Key报文进行二次组播握手协商出GTK。
(3)RSN安全模式密钥协商
RSN是按照802.11i协议为用户提供的一种WLAN安全解决方案。在RSN网络中,客户端和AP通过使用EAPOL-Key类型报文进行四次握手协商出PTK和GTK。
(4)密钥更新
PTK更新:PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制,来提高安全性。
GTK更新:GTK更新是对组播数据报文的加密密钥进行更新的一种安全手段,采用重新进行两次组播握手协商出新的GTK密钥的更新机制,来提高安全性。
(5)加密套件
由于WEP加密易破解,一旦攻击者收集到足够多的有效数据帧进行统计分析,那么将会造成数据泄露,无线网络将不再安全。802.11i增加了TKIP和CCMP两种加密套件来保护用户数据安全,以下分别介绍。
TKIP
TKIP加密机制依然使用RC4算法,所以不需要升级原来无线设备的硬件,只需通过软件升级的方式就可以提高无线网络的安全性。相比WEP加密机制,TKIP有如下改进:
-通过增长了算法的IV(InitializationVector,初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;
-采用和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;
CCMP
CCMP加密机制使用AES(AdvancedEncryptionStandard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,CCMP使得无线网络安全有了极大的提高。CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(PacketNumber)机制,保证每一个加密报文都会使用不同的PN,在一定程度上提高安全性。
当设备检测到一个未通过认证的用户试图访问网络时,如果开启入侵检测功能,设备将对其所在的BSS采取相应的安全策略。
入侵检测所采取的安全模式,包括以下几种:
·永久关闭收到非法报文的无线服务:直接关闭收到未通过认证用户的关联请求报文的BSS所提供的服务,直到用户在Radio口上重新生成该BSS。
基于ACL的接入控制是指,设备根据指定ACL中配置的规则对新接入的无线客户端进行接入控制。
当无线客户端接入无线网络时,设备通过判断无线客户端MAC地址与指定的ACL规则的匹配情况对客户端进行过滤,具体的过滤机制如下:
·如果匹配上某permit规则,则允许无线客户端接入无线网络;
·如果匹配上某deny规则,则拒绝无线客户端接入无线网络;
·如果未匹配上任何规则,则拒绝其接入。
随着无线网络的大规模发展,当大量部署AP(AccessPoint,接入点)时,AP升级软件、射频参数的配置和调整等管理工作将给用户带来高昂的管理成本。为解决这一问题,WLAN采用AC+FitAP架构,即通过AC(AccessController,接入控制器)对下属的AP进行集中控制和管理,AP不需要任何配置,所有的配置都保存在AC上并由AC下发,同时由AC对AP进行统一的管理和维护,AP和AC间采用CAPWAP(ControllingandProvisioningofWirelessAccessPoint,无线接入点控制与供应)隧道进行通讯,用于传递数据报文和控制报文。
CAPWAP隧道为AP和AC之间的通信提供了通用的封装和传输机制,CAPWAP隧道使用UDP协议作为传输协议,并支持IPv4和IPv6协议。
图1-1CAPWAP隧道典型组网图
CAPWAP隧道的建立需要DHCP和DNS的配合。因此,首先需要完成以下配置任务:
·AP需要获取到自身的IP地址,因此需要在DHCPserver上配置地址池为AP分配IP地址。
·若获取AC地址的方式为DHCP选项方式,则需要在DHCPserver上将对应地址池的Option138或Option43配置为AC的IPv4地址,或使用Option52配置AC的IPv6地址。
·若获取AC地址的方式为DNS方式,则需要在DHCPserver对应的地址池上配置DNSserver的IP地址和AC的域名后缀。并在DNSserver上创建区域,添加AC的IP地址和域名的映射。
·保证AC和AP之间的路由可达。
AP零配置启动后,AP会自动创建VLAN-interface1,并在该接口上默认开启DHCP客户端、DHCPv6客户端和DNS客户端功能,完成上述操作后,AP将使用获取的AC地址发现AC并建立CAPWAP隧道。AP获取AC地址的方式如下:
·静态配置:通过预配置为AP手工指定AC的IP地址。
·DHCP选项:通过DHCP服务器返回的Option138或Option43选项获取AC地址。若通过两个选项都获取了AC地址,则AP选择从Option138获取的地址作为AC地址,并向AC地址发送单播Discoveryrequest报文来发现、选择AC并建立CAPWAP隧道。
·DNS:AP通过DHCP服务器获取AC的域名后缀及DNSserver的IP地址,再将从自身获取的主机名与域名后缀形成AC的完整域名进行DNS解析,获取AC地址,AP向获取的所有AC地址发送单播Discoveryrequest报文来发现、选择AC并建立CAPWAP隧道。
·广播:AP通过向IPv4广播地址255.255.255.255发送Discoveryrequest广播报文来发现、选择AC并建立隧道。
·IPv4组播:AP通过向IPv4组播地址224.0.1.140发送Discoveryrequest组播报文来发现、选择AC并建立隧道。
·IPv6组播:AP通过向IPv6组播地址FF0E::18C发送Discoveryrequest组播报文来发现、选择AC并建立隧道。
图1-2CAPWAP隧道建立过程
AP发现AC并建立CAPWAP隧道过程如下:
(1)AP向AC地址发送Discoveryrequest报文。
(2)AC收到Discoveryrequest报文后,根据本地策略和报文内容决定是否对AP进行回复Discoveryresponse报文,Discoveryresponse报文中会携带优先级值、AC上是否存在该AP的信息和AC上的负载信息等,以此实现AC选择AP。
(3)AP收到各个AC的Discoveryresponse报文后,根据报文中携带的内容,选择最优AC。
(4)AP向选择的最优AC发送Joinrequest报文。
(5)AC根据报文内容,检查是否为该AP提供服务,并回复Joinresponse报文。
(6)AP若收到ResultCode为失败的Joinresponse报文,则不建立隧道;若AP收到ResultCode为成功的Joinresponse报文,则AP和AC成功建立隧道。
AP依次使用静态配置、DHCP选项、DNS、广播、IPv4组播和IPv6组播获取的AC地址进行发现AC并建立隧道过程,若某一种方式成功建立CAPWAP隧道,则停止发现AC的过程。
AP组用来实现对批量AP的配置管理,通过使AP继承其所属组的配置来达到对大量AP的配置的目的。AP组配置,全局配置及AP配置共同构成了分级继承的AP运行配置。在大规模无线网络中,同一AC管理的AP数量可达几万台,对每一台AP逐一配置将导致网络管理难度极大提高。AP组用来降低逐个配置AP的操作成本,用户可以创建多个组,对不同的组用户可以根据需要配置不同的AP配置。
所有AP缺省情况下均属于默认组,默认组组名为default-group,默认组不需创建、不可删除。
AP组可以指定多个AP名称、AP序列号、APMAC地址和APIP地址四种入组规则,AP的入组匹配顺序为:优先根据AP名字入组规则匹配入组,其次是AP序列号入组规则,然后是APMAC地址入组规则,最后是APIP地址入组规则,若未匹配到任何入组规则,则AP将被加入到默认组。
需要注意的是:
·AP必须属于一个AP组,且只能属于一个AP组。
·同一入组规则不能重复出现在不同的AP组中,若将同一入组规则配置在新AP组中,将导致原AP组中对应的入组规则自动删除(相当于迁移组)。
·默认组不能配置AP名字、AP序列号、APMAC和APIP地址四种入组规则。
·删除AP入组规则,AP会根据AP的入组规则匹配顺序重新匹配AP组。比如,删除某一AP组下的一个AP名字入组规则,该AP会优先进入指定了该AP序列号的AP组,如果匹配不到AP序列号,则该AP会优先进入指定了该APMAC地址入组规则的AP组,如果匹配不到APMAC地址,则该AP会优先进入指定了该APIP地址入组规则的AP组,如果仍然匹配不到,则该AP会进入默认组。
·AP组下有AP已经入组(手工AP或自动AP),则该AP组不允许删除;配置了入组规则,但是没有AP入组的AP组可以被删除。
·AP的生效配置取决于AP、AP组及AP全局配置中优先级最高的配置,优先级从高到低为AP配置、AP组配置、全局配置。若优先级高的配置不存在,则AP使用优先级低的配置。若都不存在AP的配置,则使用缺省值。
全局配置作用于所有AP组下的AP,由于全局配置的优先级最低,所以仅当AP和AP组下无配置时,才会继承全局配置。AP、AP组及全局配置的优先级从高到低为AP视图配置、AP组视图配置、全局视图配置。若优先级高的配置不存在,则AP使用优先级低的配置;若都不存在AP的配置,则使用优先级最低的视图下的缺省配置。
区域码决定了射频可以使用的工作频段、信道、发射功率级别等。在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定。为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能。
出于网络安全因素考虑,自动AP应配合固化功能使用。若配置固化功能时,用户应在自动AP第一次接入后,将所有自动AP固化为手工AP并关闭自动AP功能
在集中式转发模式下,AC在汇聚层上承担了大量AP的状态维护和数据转发工作。AC设备的故障将导致无线网络的服务中断。
通过AC备份功能,可以将两台AC相连,构建一个备份组,备份组中的两台AC分别为主AC和备AC,主备AC通过WHA(WLANHighAvailability,无线局域网高可靠性)数据备份通道进行AP数据的同步,当主AC发生故障时,备AC能够立即接管当前所有在线AP,使业务流量不中断。
LED闪烁模式包括四种模式:
·Quiet模式:表示LED常灭。
·Awake模式:表示LED每分钟闪烁一次。Awake模式的支持情况与AP设备的型号有关,请以设备的实际情况为准。
·Always-on模式:表示LED常亮。Always-on模式的支持情况与AP设备的型号有关,请以设备的实际情况为准。
·Normal模式:表示LED灯的显示状态可以标识AP的运行状态。该模式LED闪烁情况与AP设备的型号有关,请以设备实际情况为准。
在需要更新AP配置文件的情况下,可以在AC上指定AP配置文件的文件名(在AC的存储介质中必须已经存在该配置文件),当隧道处于Run状态时,AC会将配置文件中的命令下发到AP上,AP会使用配置文件中的命令,但AP不会保存这些配置。
一旦为AP指定了配置文件,该配置文件会永久生效,即只要AP在线,AC就会将配置文件中的命令下发给AP。
在本地转发模式下配置用户方案时,通过配置文件配置的AP只用通过主IP地址与AC建立CAWPAP隧道。
每个AP提供的带宽由接入的所有客户端共享,如果部分客户端占用过多带宽,将导致其它客户端受到影响。通过配置客户端限速功能,可以限制单个客户端对带宽的过多消耗,保证所有接入客户端均能正常使用网络业务。
客户端限速功能有两种工作模式:
·动态模式:配置所有客户端使用的速率总值,每个客户端的限制速率是速率总值/客户端数量。例如,配置所有客户端可用速率的总和为10Mbps,当有5个用户上线时,每个客户端的可用带宽限制为2Mbps。
·静态模式:为所有客户端配置相同的限速速率,该配置对所有客户端生效。当接入客户端增加至一定数量时,如果所有接入客户端限制速率的总和超出AP可提供的有效带宽,那么每个客户端将不能保证获得配置的带宽。
动态模式与静态模式仅用于配置基于无线服务或基于射频方式的客户端限速功能。
客户端限速功能有三种配置方式:
·基于客户端类型:该方式配置的客户端限速对所有客户端生效,每种类型的客户端的速率都不能超过配置的限速值。
·基于无线服务:该方式配置的客户端限速对使用同一个无线服务接入的所有客户端生效。
·基于AP和AP组的射频:该方式配置的客户端限速对使用同一个/同一组射频接入的所有客户端生效。
如果同时配置多种方式或不同模式的客户端限速,则多个配置将同时生效,每个客户端的限速值为多种方式及不同模式中的限速速率最小值。
802.11网络提供了基于竞争的无线接入服务,但是不同的应用对于网络的要求是不同的,而无线网络不能为不同的应用提供不同质量的接入服务,所以已经不能满足实际应用的需要。
IEEE802.11e为基于802.11协议的WLAN体系添加了QoS功能,Wi-Fi组织为了满足不同WLAN厂商对QoS的需求,定义了WMM(Wi-FiMultimedia,Wi-Fi多媒体)协议。WMM协议用于保证优先发送高优先级的报文,从而保证语音、视频等应用在无线网络中有更好的服务质量。
在WMM状态页面中可以查看AC连接的各AP是否开启WMM功能。
在WMM配置页面中,可以配置每个AP的SVP映射、连接准入控制策略以及允许接入的客户端最大数等信息。
SVP映射是指将IP头中ProtocolID为119的SVP报文放入指定的AC-VI或AC-VO队列中,保证SVP报文比其他数据报文具有更高的优先级。没有进行SVP映射时,SVP报文将进入AC-BE队列。
CAC(ConnectAdmissionControl,连接准入控制)用来限制能使用高优先级队列(AC-VO和AC-VI队列)的客户端个数,从而保证已经使用高优先级队列的客户端能够有足够的带宽。如果客户端需要使用高优先级的AC,则需要进行请求,AP按照基于信道利用率的准入策略或基于用户数量的准入策略算法,计算是否允许客户端使用高优先级AC,并将结果回应给客户端。当单独或同时开启AC-VO、AC-VI队列的CAC功能时,如果客户端申请AC失败,设备会对其进行降级至AC-BE处理。
在EDCA参数页面中,可以查看和修改EDCA参数和ACK策略。
EDCA(EnhancedDistributedChannelAccess,增强的分布式信道访问)是WMM定义的一套信道竞争机制,有利于高优先级的报文享有优先发送的权利和更多的带宽。
WMM协议为AC定义了以下EDCA参数:
·TXOPLimit(TransmissionOpportunityLimit,传输机会限制):AC中的报文每次竞争成功后,可占用信道的最大时长。这个数值越大,用户一次能占用信道的时长越大。如果是0,则每次占用信道后只能发送一个报文。
ACK策略有两种:NormalACK和NoACK。
·NormalACK策略:接收者在接收到每个单播报文后,都要回复ACK进行确认。
·NoACK(NoAcknowledgment)策略:在无线报文交互过程中,不使用ACK报文进行接收确认。在通信质量较好、干扰较小的情况下,NoACK策略能有效提高报文传输效率。但是,在通信质量较差的情况下,如果使用NoACK策略,则会造成丢包率增大的问题。
在射频与客户端协商参数页面中,用户除了可以查看和修改EDCA参数,还可以开启或关闭连接准入控制策略功能。
在客户端的WMM统计信息页面中,用户除了可以查看SSID等设备的基本信息和数据流量统计信息,还可以查看到客户端接入时指定的AC的APSD属性。
U-APSD是对传统节能模式的改进。在这种机制下,客户端不再定期监听Beacon帧,而是由客户端决定何时到AP上获取缓存报文。对于客户端的一次请求,AP可以发送多个缓存报文给客户端,该机制显著改善了客户端的节能效果。开启WMM功能的同时将自动开启U-APSD节能模式。
在传输流信息页面中,用户可以查看包括来自有线网络报文的用户优先级、传输流标识、流方向、允许富余带宽等传输流信息。
射频是一种高频交流变化电磁波,表示具有远距离传输能力、可以辐射到空间的电磁频率。WLAN是利用射频作为传输媒介,进行数据传输无线通信技术之一。
射频的频率介于300KHz和约300GHz之间,WLAN使用的射频频率范围为2.4GHz频段(2.4GHz~2.4835GHz)和5GHz频段(5.150GHz~5.350GHz和5.725GHz~5.850GHz)。
按IEEE定义的802.11无线网络通信标准划分,射频模式主要有802.11a、802.11b、802.11g、802.11n、802.11ac和802.11ax:
·802.11a:工作频率为5GHz,由于选择了OFDM(OrthogonalFrequencyDivisionMultiplexing,正交频分复用)技术,能有效降低多路径衰减的影响和提高频谱的利用率,使802.11a的物理层速率可达54Mbps。但是在传输距离上存在劣势。
·802.11b:工作频率为2.4GHz,相比5GHz能够提供更大的传输距离,数据传输速率最高达11Mbps。由于早期的无线通信更加追求传输距离,所以802.11b比802.11a更早被投入使用。
·802.11g:工作频率为2.4GHz,可以兼容802.11b。802.11g借用了802.11a的成果,在2.4GHz频段采用了OFDM技术,最高速率可以达到54Mbps。
·802.11n:工作于双频模式(2.4GHz和5GHz两个工作频段),能够与802.11a/g标准兼容。802.11n的数据传输速率达100Mbps以上,理论最高可达600Mbps,使无线局域网平滑地和有线网络结合,全面提升了网络吞吐量。
·802.11ac:是802.11n的继承者,理论最高速率可达6900Mbps,全面提升了网络吞吐量。
·802.11ax:是802.11ac的改进者,理论最高速率可达9600Mbps,全面提升了多用户并发情景下的网络效率。
表1-1WLAN的几种主要射频模式比较
协议
频段
最高速率
802.11a
5GHz
54Mbps
802.11b
2.4GHz
11Mbps
802.11g
802.11n
2.4GHz/5GHz
600Mbps
802.11ac
6900Mbps
802.11gac
1600Mbps
802.11ax
9600Mbps
802.11gax
·IEEE定义802.11ac和802.1ax为5GHz频段上的技术,H3C支持将802.11ac、802.11ax应用到2.4GHz频段,称之为802.11gac、802.11gax射频模式。
·如无特意区分,本文中的802.11ac包括802.11gac,802.11ax包括802.11gax。
不同的射频模式所支持的信道、功率有所不同,所以射频模式修改时,如果新的射频模式不支持原来配置的的信道、功率,则AP会根据新射频模式自动调整这些参数。
修改射频模式时,会导致当前在线客户端下线。
在指定了射频模式以后,可以进行射频功能配置,具体情况如下:
信道是具有一定频宽的射频。在WLAN标准协议里,2.4GHz频段被划分为13个相互交叠的信道,每个信道的频宽是20MHz,信道间隔为5MHz。这13个信道里有3个独立信道,即没有相互交叠的信道,目前普遍使用的三个互不交叠的独立信道号为1、6、11。
5GHz频段拥有更高的频率和频宽,可以提供更高的速率和更小的信道干扰。WLAN标准协议将5GHz频段分为24个频宽为20MHz的信道,且每个信道都为独立信道。各个国家开放的信道不一样,目前中国5GHz频段开放使用的信道号是36、40、44、48、52、56、60、64、149、153、157、161和165。
射频功率是指天线在无线介质中所辐射的功率,反映的是WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。
射频速率是客户端与WLAN设备之间的数据传输速度。不同的射频模式,根据所使用扩频、编码和调制技术,对应不同的传输速率。802.11a、802.11b、802.11g、802.11n和802.11ac的速率支持情况如下:
·802.11a:6Mbps、9Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。
·802.11b:1Mbps、2Mbps、5.5Mbps、11Mbps。
·802.11g:1Mbps、2Mbps、5.5Mbps、6Mbps、9Mbps、11Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。
IEEE802.11n除了向前兼容IEEE802.11a/b/g的速率外,还定义了新的速率调制与编码策略,即MCS(ModulationandCodingScheme,调制与编码策略)。
无线数据传输的物理速率受到编码方式、调制方式、载波比特率、空间流数量、数据子信道数等多种因素的影响,不同的因素组合将产生不同的物理速率。MCS使用索引的方式将每种组合以及由该组合产生的物理速率进行排列,形成索引值与速率的对应表,称为MCS表。802.11n的MCS表共有两个子表,分别用于保存信道带宽为20MHz和40MHz时的物理速率。索引值的取值范围为0~76,能够描述77种物理速率,两个MCS子表中的索引值相互独立。
完整的MCS对应速率表可参见IEEE802.11n-2009标准协议。
表1-2MCS对应速率表(20MHz)
MCS索引
空间流数量
调制方式
速率(Mb/s)
800nsGI
400nsGI
0
1
BPSK
6.5
7.2
QPSK
13.0
14.4
2
19.5
21.7
3
16-QAM
26.0
28.9
4
39.0
43.3
5
64-QAM
52.0
57.8
6
58.5
65.0
7
72.2
8
9
10
11
12
78.0
86.7
13
104.0
115.6
14
117.0
130.0
15
144.4
表1-3MCS对应速率表(40MHz)
13.5
15.0
27.0
30.0
40.5
45.0
54.0
60.0
81.0
90.0
108.0
120.0
121.5
135.0
150.0
162.0
180.0
216.0
240.0
243.0
270.0
300.0
从表中可以得到结论:
·当MSC索引取值为0~7时,空间流数量为1,且当MCS=7时,速率值最大;
·当MSC索引取值为8~15时,空间流数量为2,且当MCS=15时,速率值最大。
MCS分为三类:
·基本MCS集:客户端必须支持的基本MCS集,才能够与AP以802.11n模式进行连接。
·支持MCS集:AP所能够支持的更高的MCS集合,用户可以配置支持MCS集让客户端在支持基本MCS的前提下选择更高的速率与AP进行数据传输。
·组播MCS集:AP以组播方式对其BSS内的客户端发送消息所使用的速率。
完整的VHT-MCS对应速率表可参见IEEE802.11ac-2013标准协议。
表1-4VHT-MCS对应速率表(20MHz,1NSS)
VHT-MCS索引
256-QAM
Notvalid
表1-5VHT-MCS对应速率表(20MHz,2NSS)
156.0
173.3
表1-6VHT-MCS对应速率表(20MHz,3NSS)
175.5
195.0
216.7
234.0
260.0
288.9
表1-7VHT-MCS对应速率表(20MHz,4NSS)
208.0
231.1
312.0
346.7
表1-8VHT-MCS对应速率表(40MHz,1NSS)
200.0
表1-9VHT-MCS对应速率表(40MHz,2NSS)
324.0
360.0
400.0
表1-10VHT-MCS对应速率表(40MHz,3NSS)
364.5
405.0
450.0
486.0
540.0
600.0
表1-11VHT-MCS对应速率表(40MHz,4NSS)
432.0
480.0
648.0
720.0
800.0
表1-12VHT-MCS对应速率表(80MHz,1NSS)
29.3
32.5
87.8
97.5
263.0
292.5
325.0
351.0
390.0
433.3
表1-13VHT-MCS对应速率表(80MHz,2NSS)
468.0
520.0
526.5
585.0
650.0
702.0
780.0
866.7
表1-14VHT-MCS对应速率表(80MHz,3NSS)
263.3
877.5
975.0
1053.0
1170.0
1300.0
表1-15VHT-MCS对应速率表(80MHz,4NSS)
936.0
1040.0
1404.0
1560.0
1733.3
和MCS一样,VHT-MCS也分为三类:基本VHT-MCS集、支持VHT-MCS集和组播VHT-MCS集,每类的意义也和MCS相同。
和MCS一样,HE-MCS也分为三类:基本HET-MCS集、支持HE-MCS集和组播HE-MCS集,每类的意义也和MCS相同。
表1-16HE-MCS对应速率表(20MHz,1NSS)
HE-MCS索引
1600nsGI
8.6
16
17.2
24
25.8
33
34.4
49
51.6
65
68.8
73
77.4
81
86
98
103.2
108
114.7
1024-QAM
122
129
135
143.4
表1-17HE-MCS对应速率表(20MHz,2NSS)
32
48
66
130
137.6
146
154.8
162
172
196
206.4
216
229.4
244
258
270
286.8
表1-18HE-MCS对应速率表(20MHz,3NSS)
72
99
147
195
219
232.2
243
294
309.6
324
344.1
366
387
405
430.2
表1-19HE-MCS对应速率表(20MHz,4NSS)
64
96
132
260
275.2
292
344
392
412.8
432
458.8
488
516
540
573.6
表1-20HE-MCS对应速率表(40MHz,1NSS)
154.9
163
172.1
206.5
217
258.1
271
表1-21HE-MCS对应速率表(40MHz,2NSS)
309.8
326
344.2
390
413
434
516.2
542
表1-22HE-MCS对应速率表(40MHz,3NSS)
438
464.7
489
516.3
585
619.5
651
688.2
732
774.3
813
860.4
表1-23HE-MCS对应速率表(40MHz,4NSS)
520
550.4
584
619.6
652
688.4
780
826
868
917.6
976
1032.4
1084
1147.2
表1-24HE-MCS对应速率表(80MHz,1NSS)
34
36
68
72.1
102
108.1
136
144.1
204
216.2
272
288.2
306
324.4
340
360.3
408
432.4
453
480.4
510
540.4
567
600.5
表1-25HE-MCS对应速率表(80MHz,2NSS)
144.2
544
576.4
612
648.8
680
720.6
816
864.8
906
960.8
1020
1080.8
1134
1201
表1-26HE-MCS对应速率表(80MHz,3NSS)
216.3
324.3
432.3
648.6
864.6
918
973.2
1080.9
1224
1297.2
1359
1441.2
1530
1621.2
1701
1801.5
表1-27HE-MCS对应速率表(80MHz,4NSS)
144
288.4
1088
1152.8
1297.6
1360
1632
1729.6
1812
1921.6
2040
2161.6
2268
2402
表1-28HE-MCS对应速率表(160MHz/80MHz+80MHz,1NSS)
576.5
648.5
681
817
864.7
907
960.7
1021
表1-29HE-MCS对应速率表(160MHz/80MHz+80MHz,2NSS)
1089
1152.9
1225
1297.1
1361
1633
1729.4
1815
1921.5
2042
2161.8
2269
2401.9
表1-30HE-MCS对应速率表(160MHz/80MHz+80MHz,3NSS)
613
1838
1945.6
2450
2594.1
2722
2882.4
3062
3242.6
3403
3602.9
表1-31HE-MCS对应速率表(160MHz/80MHz+80MHz,4NSS)
2178
2305.9
3267
3458.8
3630
3843.1
4083
4323.5
4537
4803.9
·完整的HE-MCS对应速率表可参见IEEE802.11ax标准协议。
·不同型号的AP对HE-MCS索引所表示速率的支持情况不同,请以设备的实际情况为准。
配置射频工作信道的目的是尽量减少和避免射频的干扰。干扰主要来自两方面:一种是WLAN设备间的干扰,比如相邻WLAN设备使用相同信道,会造成相互干扰;另一种是WLAN设备和其他无线射频之间的干扰,比如WLAN设备使用的信道上有雷达信号则必须立即让出该信道。
射频工作的信道可以手工配置或者由系统自动选择。
·AP默认采用自动信道模式,随机选择工作信道。
射频的最大传输功率只能在射频支持的功率范围内进行选取,即保证射频的最大传输功率在合法范围内。射频支持的功率范围由国家码、信道、AP型号、射频模式、天线类型、带宽等属性决定,修改上述属性,射频支持的功率范围和最大传输功率将自动调整为合法值。
如果先开启功率调整,再配置功率锁定,AC会自动将当前传输功率设置并锁定为自动功率调整后的功率值,在AC重启后,AP能继续使用锁定的功率调整值。
如果先配置功率锁定命令,后开启功率调整功能,由于功率已经被锁定,功率调整功能不会运行,所以在开启功率调整功能前,请确保功率没有被锁定。
功率锁定后,如果信道发生调整,并且锁定的功率值大于调整后使用信道支持的最大功率,设备会将功率值调整为信道支持的最大功率。
射频速率可以分为以下四种:
·禁用速率:AP禁用的速率。
·强制速率:客户端关联AP时,AP要求客户端必须支持的速率。
·支持速率:AP所支持的速率。客户端关联AP后,可以在AP支持的“支持速率集”中选用更高的速率发送报文。当受干扰、重传、丢包等影响较大时,AP会自动降低对客户端的发送速率;当受影响较小时,AP会自动升高对客户端的发送速率。
·组播速率:AP向客户端发送组播和广播报文的速率。组播速率必须在强制速率中选取,且只能配置一个速率值或由AP自动选择合适的速率。
只有2.4GHz射频,才支持配置前导码类型。
前导码是数据报文头部的一组Bit位,用于同步发送端与接收端的传输信号。前导码的类型有两种,长前导码和短前导码。短前导码能使网络性能更好,默认使用短前导码。如果需要兼容网络中一些较老的客户端时可以使用长前导码保持兼容。
天线发出的电磁波在介质中传播的时候,随着距离的增加以及周围环境因素的影响,信号强度逐渐降低。电磁波的覆盖范围主要与环境的开放程度、障碍物的材质类型有关。设备在不加外接天线的情况下,传输距离约300米,若空间中有隔离物,传输大约在35~50米左右。
如果借助于外接天线,覆盖范围则可以达到30~50公里甚至更远,这要视天线本身的增益而定。
当射频模式为802.11g或802.11gn时,为了提高传输速率,可以通过开启禁止802.11b客户端接入功能来隔离低速率的802.11b客户端的影响;当开启禁止802.11b客户端接入功能后,不允许客户端以802.11b模式接入。
在无线环境中,为了避免冲突的产生,无线设备在发送数据前会执行冲突避免,即使用RTS/CTS(RequesttoSend/CleartoSend,请求发送/允许发送)帧或CTS-to-self(反身CTS)帧来清空传送区域,取得信道使用权。但是如果每次发送数据前都执行冲突避免,则会降低过多的传输量,浪费了无线资源。因此,802.11协议规定仅当发送帧长超过RTS门限的帧时,需要执行冲突避免;帧长小于RTS门限的帧,则可以直接发送。
当网络中设备较少时,产生干扰的概率较低,可以适当增大RTS门限以减少冲突避免的执行次数,提高吞吐量。当网络中设备较多时,可以通过降低RTS门限,增加冲突避免的执行次数来减少干扰。
只有当射频模式为802.11g或802.11n(2.4GHz)时,才支持配置802.11g保护功能。
当网络中同时存在802.11b和802.11g的客户端,由于调制方式不同,802.11b客户端无法解析802.11g信号,会导致802.11b与802.11g网络之间彼此造成干扰。802.11g保护功能用于避免干扰情况的发生,通过使802.11g和802.11n设备发送RTS/CTS报文或CTS-to-self报文来取得信道使用权,确保802.11b客户端能够检测到802.11g和802.11n客户端正在进行数据传输,实现冲突避免。
开启802.11g保护功能后,当AP在其工作信道上扫描到802.11b信号,则会在传输数据前通过发送RTS/CTS报文或CTS-to-self报文进行冲突避免,并通知客户端开始执行802.11g保护功能;如果未检测到802.11b信号,则不会采取上述动作。
当802.11b客户端在开启了802.11g或802.11n(2.4GHz)的AP上接入时,AP上的802.11g保护功能将自动开启并生效。
帧的分片是将一个较大的帧分成更小的分片,每个分片独立进行传输和确认。当帧的实际大小超过指定的分片门限值时,该帧将被分片传输。
在干扰较大的无线环境,建议适当降低帧的分片门限值,增加帧的分片数量,则当传输受到干扰时,仅需要重传未成功发送的分片,从而提高吞吐量。
在无线网络中传输的单播数据,必须得到接收端的应答,否则便认为传送失败。设备会对传送失败的帧进行重传,如果在达到最大重传次数时,仍然没有传送成功,则丢弃该帧,并将此状况告知上层协议。
每个帧或帧片段都分别对应一个重传计数器。无线设备上具有两个重传计数器:短帧重传计数器与长帧重传计数器。长度小于RTS门限值的帧视为短帧;长度超过RTS门限值的帧则为长帧。当帧传送失败,对应的重传计数器累加,然后重新传送帧,直至达到最大重传次数。
IEEE802.11n协议的制定,旨在提供高带宽、高质量的WLAN服务,使无线局域网达到以太网的性能水平。802.11n通过物理层和MAC(MediaAccessControl,媒体访问控制)层的优化来提高WLAN的吞吐能力,从而提高传输速率。
802.11n的物理层建立在OFDM系统之上,采用MIMO(MultipleInput,MultipleOutput,多输入多输出)、40MHz传输带宽、ShortGI(ShortGuardInterval,短保护间隔)、STBC(Space-TimeBlockCoding,空时块编码)、LDPC(Low-DensityParityCheck,低密度奇偶校验)等技术使物理层达到高吞吐(HighThroughput)的效果,并采用A-MPDU(AggregateMACProtocolDataUnit,聚合MAC协议数据单元)、A-MSDU(AggregateMACServiceDataUnit,聚合MAC服务数据单元)、BA(BlockAcknowledgment,块确认)等技术,提高MAC层的传输效率。
802.11n标准中采用A-MPDU聚合帧格式,减少了每个传输帧中的附加信息,同时也减少了所需要的ACK帧的数目,从而降低了协议的负荷,有效的提高了网络吞吐量。A-MPDU是将多个MPDU(MACProtocolDataUnit,MAC协议数据单元)聚合为一个A-MPDU,这里的MPDU为经过802.11封装的数据报文。A-MPDU抢占一次信道并使用一个PLCP(PhysicalLayerConvergenceProcedure,物理层汇聚协议)头来提升信道利用率。一个A-MPDU中的所有MPDU必须拥有相同的QoS优先级,由同一设备发送,并被唯一的一个设备接收。
图1-3A-MPDU报文格式图
A-MSDU技术是指把多个MSDU(MACServiceDataUnit,MAC服务数据单元)聚合成一个较大的载荷。目前,MSDU仅指Ethernet报文。通常,当AP或客户端从协议栈收到MSDU报文时,会封装Ethernet报文头,封装之后称之为A-MSDUSubframe;而在通过射频发送出去前,需要一一将其转换成802.11报文格式。而A-MSDU技术旨在将若干个A-MSDUSubframe聚合到一起,并封装为一个802.11报文进行发送。从而减少了发送每一个802.11报文所需的PLCPPreamble、PLCPHeader和802.11MACHeader的开销,提高了报文发送的效率。
图1-4A-MSDU报文格式图
A-MSDU是将多个MSDU组合在一起发送,这些MSDU必须拥有相同的QoS优先级,而且必须由同一设备发送,并被唯一的一个设备接收。当一个设备接收到一个A-MSDU时,需要将这个A-MSDU分解成多个MSDU后分别处理。
ShortGI是802.11n针对802.11a/g所做的改进。射频在使用OFDM调制方式发送数据时,整个帧是被划分成不同的数据块进行发送的,为了数据传输的可靠性,数据块之间会有GI(GuardInterval,保护间隔),用以保证接收侧能够正确的解析出各个数据块。无线信号的空间传输会因多径等因素在接收侧形成时延,如果后面的数据块发送的过快,会和前一个数据块形成干扰,GI就是用来规避这个干扰的。802.11a/g的GI时长为800ns,在多径效应不严重时,可以使用ShortGI,ShortGI时长为400ns,在使用ShortGI的情况下,可提高10%的传输速率。另外,ShortGI与带宽无关,支持20MHz、40MHz带宽。
802.11n引入了LDPC(Low-DensityParityCheck,低密度奇偶校验)机制,该机制通过校验矩阵定义了一类线性码,并在码长较长时需要校验矩阵满足“稀疏性”,即校验矩阵中1的个数远小于0。在802.11n出现以前,所有以OFDM为调制方式的设备都使用卷积作为前向纠错码。802.11n引入了LDPC校验码,将传输的信噪比增加到了1.5到3dB之间,使传输质量得到提升。对LDPC的支持需要设备间的协商,以保证设备双方都支持LDPC校验。
802.11n引入了STBC(Space-TimeBlockCoding,空时块编码)机制,该机制可以将空间流编码成时空流,是802.11n中使用的一个简单的可选的发送分集机制。该机制的优点是不要求客户端具有高的数据传输速率,就可以得到强健的链路性能。STBC是完全开环的,不要求任何反馈或额外的系统复杂度,但是会降低效率。
当非802.11n客户端上线时,将使用基础速率传输单播数据。当802.11n客户端上线时,将使用MCS索引所代表的调制与编码策略传输单播数据。
当未配置组播MCS索引时,802.11n客户端和AP之间将使用组播速率发送组播数据;当配置了组播MCS索引且客户端都是802.11n客户端时,AP和客户端将使用组播MCS索引所代表的调制与编码策略传输组播数据。当配置了组播索引且存在非802.11n客户端时,AP和客户端将使用基础模式的组播速率传输组播数据,即802.11a/b/g的组播速率。
·组播MCS索引需要小于或等于最大基本MCS索引,最大基本MCS需要小于或等于最大支持MCS索引。
·配置的802.11n基本MCS最大索引值index表示射频的802.11n基本MCS的最大索引值,即该射频的802.11n基本MCS集是0~index。
·配置的802.11n支持MCS最大索引值index表示射频的802.11n支持MCS的最大索引值,即该射频的802.11n支持MCS集是0~index。
·配置的802.11n组播MCS索引值index表示射频发送802.11n组播报文使用的MCS索引。
开启仅允许802.11n及802.11ac客户端接入功能后,仅允许802.11n及802.11ac客户端接入,不允许802.11a/b/g客户端接入,可以隔离低速率的客户端的影响,提高802.11n设备的传输速率。
802.11n沿用了802.11a/b/g的信道结构。20MHz信道划分为64个子信道,为了防止相邻信道干扰,在802.11a/g中,需预留12个子信道,同时,需用4个子信道充当导频(pilotcarrier)以监控路径偏移,因此20MHz带宽的信道在802.11a/g中用于传输数据的子信道数为48个;而在802.11n中,只需预留8个子信道,加上充当导频的4个子信道,20MHz带宽的信道在802.11n中用于传输数据的子信道数为52个,提高了传输速率。
802.11n将两个相邻的20MHz带宽绑定在一起,组成一个40MHz通讯带宽(其中一个为主信道,另一个为辅信道)来提高传输速率。
射频的带宽配置及芯片的支持能力决定了射频工作在20MHz的带宽还是工作在20/40MHz的带宽。
MIMO是指一个天线采用多条流进行无线信号的发送和接收。MIMO能够在不增加带宽的情况下成倍的提高信息吞吐量和频谱利用率。设备支持的MIMO模式包括以下八种:
·1x1:采用一条流进行无线信号的发送和接收。
·2x2:采用两条流进行无线信号的发送和接收。
·3x3:采用三条流进行无线信号的发送和接收。
·4x4:采用四条流进行无线信号的发送和接收。
·5x5:配置Radio采用五条流发送和接收无线信号。
·6x6:配置Radio采用六条流发送和接收无线信号。
·7x7:配置Radio采用七条流发送和接收无线信号。
·8x8:配置Radio采用八条流发送和接收无线信号。
支持流的数量与AP型号有关,请以设备的实际情况为准。
开启绿色节能功能后,在没有用户与Radio关联时,Radio将工作在1x1模式(仅采用一条流进行无线信号的发送和接收),节省用电量。
本功能所指的802.11n包括802.11n、802.11ac和802.11ax。
当网络中同时存在802.11n和非802.11n的客户端,由于调制方式不同,非802.11n客户端无法解析802.11n信号,会导致非802.11n与802.11n网络之间彼此造成干扰。802.11n保护功能用于避免干扰情况的发生,通过使802.11n设备发送RTS/CTS报文或CTS-to-self报文来取得信道使用权,确保非802.11n客户端能够检测到802.11n客户端正在进行数据传输,实现冲突避免。
开启802.11n保护功能后,当AP在其工作信道上扫描到非802.11n信号,则会在传输数据前通过发送RTS/CTS报文或CTS-to-self报文进行冲突避免,并通知客户端开始执行802.11n保护功能;如果未检测到非802.11n信号,则不会采取上述动作。
当非802.11n客户端在开启了802.11n、802.11ac或802.11ax的AP上接入时,AP上的802.11n保护功能将自动开启并生效。
·本特性的支持情况与用户选择的AP型号有关,请以设备的实际情况为准。
·本特性仅对802.11n及802.11ac模式的射频生效。
开启智能天线功能之后,AP能够根据客户端的当前位置和信道信息,自动调整信号的发送参数,使射频能够集中发送至接收方所处的位置,从而提高客户端的信号质量和稳定性。
针对不同使用环境,本设备提供以下几种智能天线策略:
·自适应策略:对语音视频等报文使用高可靠性策略,对其它报文使用高吞吐量策略。
·高可靠性策略:优化噪声影响,抵抗局部干扰源,保证客户端带宽,降低客户端下线几率。本策略适用于对于带宽稳定要求较高的环境。
·高吞吐量策略:提高收发信号强度,增加吞吐量。本策略适用于对于性能要求较高的环境。
802.11ac是802.11n的继承者,它采用并扩展了源自802.11n的众多概念,包括更宽的射频带宽(提升至160MHz)、更多的MIMO空间流(增加到8)、多用户的MIMO、以及更高阶的调制方式(达到256QAM),从而进一步提高了WLAN的传输速率。
当802.11ac客户端上线时,将使用NSS(NumberofSpatialStreams,空间流数)所对应的VHT-MCS索引所代表的调制与编码策略传输单播数据。
当非802.11ac客户端上线时,将使用基础速率或MCS所代表的调制与编码策略传输单播数据。
当未配置组播NSS时,802.11ac客户端和AP之间将使用组播速率或组播MCS所代表的调制与编码策略发送组播数据。
当配置了组播NSS且客户端都是802.11ac客户端时,AP和客户端将使用VHT-MCS索引所代表的调制与编码策略传输组播数据。
当配置了组播NSS且存在非802.11ac客户端时,AP和客户端将使用基础模式的组播速率或MCS所代表的调制与编码策略传输组播数据,即802.11a/b/g/n的组播速率。
·组播NSS需要小于或等于最大基本NSS,最大基本NSS需要小于或等于最大支持NSS。
·配置的802.11ac基本NSS最大数值number表示射频的802.11ac最大基本NSS,即该射频的802.11ac基本NSS是1~number。
·配置的802.11ac支持NSS最大数值number表示射频的802.11ac最大支持NSS,即该射频的802.11ac支持NSS是1~number。
·配置的802.11ac组播NSS数值number表示射频发送802.11ac组播报文使用的NSS。配置的VHT-MCS索引值index表示射频发送802.11ac组播报文使用的对应NSS的VHT-MCS索引。
开启仅允许802.11ac客户端接入功能后,仅允许802.11ac客户端接入,不允许802.11a/b/g/n客户端接入,可以隔离低速率的客户端的影响,提高802.11ac设备的传输速率。
802.11ac将信道带宽从802.11n的20MHz/40MHz提升到了80MHz/160MHz。带宽的提升带来了可用数据子载波的增加。802.11gac仅支持20MHz和40MHz两种带宽。
802.11ac沿用了802.11n的信道带宽划定方式,通过将相邻的信道合并得到更大带宽的信道。在802.11ac中,可以将相邻的两个20Mhz信道合并得到带宽为40Mhz的信道,也可以将两个40Mhz带宽的信道合并,得到带宽为80Mhz的信道,也可以将两个80Mhz带宽的信道合并,得到带宽为160Mhz的信道。
图1-5802.11ac信道带宽划定方式示意图
·部分英特尔无线网卡若无法扫描到802.11ax类型射频发射的无线信号,请尝试更新网卡驱动。
当非802.11ax客户端上线时,将使用基础速率、MCS或VHT-MCS所代表的调制与编码策略传输单播数据。
当802.11ax客户端上线时,将使用NSS所对应的HE-MCS索引所代表的调制与编码策略传输单播数据。
当未配置组播NSS时,802.11ax客户端和AP之间将使用组播速率或组播MCS所代表的调制与编码策略发送组播数据。
当配置了组播NSS且客户端都是802.11ax客户端时,AP和客户端将使用HE-MCS索引所代表的调制与编码策略传输组播数据。
当配置了组播NSS且存在非802.11ax客户端时,AP和客户端将使用基础模式的组播速率或MCS所代表的调制与编码策略传输组播数据,即802.11a/b/g/n/ac的组播速率。
·配置的802.11ax基本NSS(NumberofSpatialStreams,空间流数)最大数值number表示射频的802.11ax最大基本NSS,即该射频的802.11ax基本NSS是1~number。
·配置的802.11ax支持NSS最大数值number表示射频的802.11ax最大支持NSS,即该射频的802.11ax支持NSS是1~number。
·配置的802.11ax组播NSS数值number表示射频发送802.11ax组播报文使用的NSS。配置的HE-MCS索引值index表示射频发送802.11ax组播报文使用的对应NSS的HE-MCS索引。
802.11ax将信道带宽从802.11n的20MHz/40MHz提升到了80MHz/160MHz。带宽的提升带来了可用数据子载波的增加。802.11gax仅支持20MHz和40MHz两种带宽。
802.11ax沿用了802.11n的信道带宽划定方式,通过将相邻的信道合并得到更大带宽的信道。在802.11ax中,可以将相邻的两个20Mhz信道合并得到带宽为40Mhz的信道,也可以将两个40Mhz带宽的信道合并,得到带宽为80Mhz的信道,也可以将两个80Mhz带宽的信道合并,得到带宽为160Mhz的信道。
图1-6802.11ax信道带宽划定方式示意图
WLANRRM(RadioResourceManagement,射频资源管理)是一种可升级的射频管理解决方案,通过“采集(AP实时收集射频环境信息)->分析(AC对AP收集的数据进行分析评估)->决策(根据分析结果,AC统筹分配信道和发送功率)->执行(AP执行AC设置的配置,进行射频资源调优)”的方法,提供一套系统化的实时智能射频管理方案,使无线网络能够快速适应无线环境变化,保持最优的射频资源状态。WLANRRM主要通过信道调整和功率调整的方式来优化射频的服务质量。
信道调整是指AC在调整周期到达时,通过计算信道质量,挑选出质量最优的信道应用到Radio上。影响信道质量的因素包括:
·误码率:包括无线报文传输过程中物理层的误码率和CRC错误。
·干扰:802.11信号或非802.11信号对无线接入服务产生的影响。
·信道使用率:射频芯片处理大量无线报文的承载能力。
·重传:由于AP没有收到ACK报文造成的数据重传。
·雷达信号:在工作信道上检测到雷达信号。在这种情况下,AC会立即通知AP切换工作信道。
功率调整就是在整个无线网络的运行过程中,AC能够根据实时的无线环境情况,动态地调整Radio的发送功率,使Radio的发送功率在能够覆盖足够范围的情况下减少对其他Radio的干扰。Radio的发送功率增加或减少取决于邻居Radio数量等因素(邻居Radio指的是一个Radio能探测到的、由同一AC管理的其他Radio)。
本特性的支持情况与AP设备的型号有关,请以设备的实际情况为准。
·识别干扰设备类型:可识别出无线环境中的干扰设备类型,并提供关于干扰设备的详细信息。
·检测信道质量:提供信道质量信息报表,计算出每个信道上干扰设备的数量以及信道质量的平均值和最差值。
·干扰设备特征库管理:用户可以向AP下发不同的特征库,便于AP识别干扰设备。
·规避干扰源:在开启RRM(RadioResourceManagement,射频资源管理)联动功能后,当AC检测到当前工作信道的质量低于要求的级别时,会评估所有可用信道的质量,如果发现有质量更好的信道,就会将工作信道切换到新的信道上。
网络管理人员可以通过在AC上查看当前干扰信息,或是在网管系统上查看实时频谱数据图,充分了解无线网络运行情况,为快速诊断并制定排除干扰源的行动策略提供了有力的支持。
AP可识别的干扰设备类型取决于所加载的干扰设备特征库。AP接收到无线环境中的信号后,通过分析信号的跳频间隔、脉冲周期等参数,在与干扰设备特征库中保存的设备信号信息进行匹配后,能够识别出无线环境中可能存在的干扰设备。请进入“监控>射频>频谱分析”页面,查看AP检测到的干扰设备信息。
频谱分析会对当前工作信道及可用信道的质量进行检测,计算出每个信道上的干扰设备数量及信道质量的平均值和最差值。请进入“监控>射频>频谱分析”页面,查看AP检测到的信道质量信息。
开启RRM(RadioResourceManagement,射频资源管理)联动功能后,当频谱分析检测到当前工作信道的质量低于要求的级别时,会主动通知RRM当前信道质量不佳,由RRM执行信道调整。
频谱分析可以向网管系统发送两种告警:
·干扰设备告警:检测到干扰设备时,AC会向网管系统发送设备发现告警;发现干扰设备消失时,AC会向网管系统发送设备消失告警。
·信道质量告警:检测到信道质量低于指定门限值时,AC会向网管系统发送信道质量差的告警;信道质量恢复至门限值以上时,AC会向网管系统发送信道质量恢复的告警。
WLAN负载均衡用于在高密度无线网络环境中平衡Radio的负载,充分地保证每个AP的性能和无线客户端的带宽。
启动负载均衡的WLAN环境要求为:相互进行负载均衡的AP必须要连到同一AC上,并且客户端能扫描到相互进行负载均衡的Radio。
目前,AC支持两种类型的负载均衡:基于Radio的负载均衡和基于负载均衡组的负载均衡。
·基于Radio的负载均衡:根据AP上报的邻居报告判断需要进行负载均衡的Radio,邻居报告记录着每个Radio检测到的客户端的MAC地址和RSSI值。当客户端发起关联请求时,设备仅对客户端发起关联请求的Radio和检测到该客户端RSSI值达到负载均衡门限的Radio进行负载均衡计算。
·基于负载均衡组的负载均衡可以限制负载均衡的范围,在跨AP的多个Radio之间进行负载均衡。创建负载均衡组后,AC将以负载均衡组为单位,在各个组内的Radio间进行会话模式、流量模式或带宽模式的负载均衡,没有加入到任何负载均衡组的Radio不会参与负载均衡。
·会话模式:当Radio上的在线客户端数量达到或超过会话门限值并且与同一AC内其他Radio上的在线客户端数量最小者的差值达到或超过会话差值门限值,Radio才会开始运行负载均衡。
·流量模式:当Radio上的流量达到或超过流量门限值并且与同一AC内其他Radio上的流量最小者的差值达到或超过流量差值门限值,Radio才会开始运行负载均衡。
·带宽模式:当Radio上的带宽达到或超过带宽门限值并且与同一AC内其他Radio上的带宽最小者的差值达到或超过带宽差值门限值,Radio才会开始运行负载均衡。
·负载均衡RSSI门限:在进行负载均衡计算时,一个客户端可能会被多个Radio检测到,如果某个Radio检测到该客户端的RSSI值低于设定值,则该Radio将判定该客户端没有被检测到。如果只有过载的Radio可以检测到某客户端,其他Radio由于检测到该客户端的RSSI值低于设定值,将判定该客户端没有被检测到,则AC会通过让过载的Radio减少拒绝该客户端关联请求的最大次数,增大该客户端接入的概率。
·设备拒绝客户端关联请求的最大次数:如果客户端反复向某个Radio发起关联请求,且Radio拒绝客户端关联请求次数达到设定的最大拒绝关联请求次数,那么该Radio会认为此时该客户端不能连接到其它任何的Radio,在这种情况下,Radio会接受该客户端的关联请求。
在实际无线网络环境中,有些客户端只能工作在2.4GHz频段上,有些客户端可以工作在2.4GHz频段或者5GHz频段,这有可能导致2.4GHz射频过载,5GHz射频相对空余。在这种情况下,可以使用频谱导航功能,将支持双频工作的客户端优先接入5GHz射频,使得两个频段上的客户端数量相对均衡,从而提高整网性能。
图1-7启动频谱导航的WLAN环境
WIPS(WirelessIntrusionPreventionSystem,无线入侵防御系统)是针对802.11协议开发的二层协议检测和防护功能。WIPS通过AC与Sensor(开启WIPS功能的AP)对信道进行监听及分析处理,从中检测出威胁网络安全、干扰网络服务、影响网络性能的无线行为或设备,并提供对入侵的无线设备的反制,为无线网络提供一套完整的安全解决方案。
WIPS由Sensor、AC以及网管软件组成。Sensor负责收集无线信道上的原始数据,经过简单加工后,上传至AC进行综合分析。AC会分析攻击源并对其实施反制,同时向网管软件输出日志信息。网管软件提供丰富的图形界面,提供系统控制、报表输出、告警日志管理功能。
WIPS支持以下功能:
·攻击检测:提供多种攻击方式的攻击检测功能。
·设备分类:通过侦听无线信道的802.11报文来识别无线设备,并对其进行分类。
·反制:对非法设备进行攻击,使其它设备无法关联到非法设备,从而保护用户网络的安全。
开启WIPS功能前,需要将AP加入到指定VSD(VirtualSecurityDomain,虚拟安全域)中。该AP也称为Sensor。
通过在虚拟安全域上应用分类策略、攻击检测策略、Signature策略或反制策略,使已配置的分类策略、攻击检测策略、Signature策略或反制策略在虚拟安全域内的Radio上生效。
·分类策略
可以通过两种配置方式实现设备分类,其中手工分类的优先级高于自动分类。
自动分类:通过信任设备列表、信任OUI列表和静态禁用设备列表对所有设备进行分类;或通过自定义的AP分类规则对AP设备进行分类。
手工分类:通过手动指定AP的类型对设备进行分类。
·AP的分类类别
WIPS将检测到的AP分为以下几类:
非法AP(RougeAP):不允许在无线网络中使用的AP。包括禁用设备列表中的AP、不在OUI配置文件中的AP和手动指定的非法AP。
配置错误的AP(MisconfiguredAP):无线服务配置错误,但是允许在无线网络中使用的AP。例如,在信任设备列表中,但使用了非法SSID的AP;在OUI配置文件中,但不在禁用设备列表的AP;在信任OUI或是信任设备列表中,但是未与AC关联的AP。
外部AP(ExternalAP):其他无线网络中的AP。WIPS可能会检测到邻近网络中的AP,例如邻近公司或个人住宅中的AP。
Adhoc:运行在Adhoc模式的AP。WIPS通过检测Beacon帧将其分类为Adhoc。
潜在非法的AP(Potential-rogueAP):无法确定但可能是非法的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,那么,如果检测到它的有线端口可能连接到网络中,则认为其为潜在非法的AP;如果能确定其有线端口连接到网络中,则认为其为非法AP,如恶意入侵者私自接入网络的AP。
潜在外部的AP(Potential-externalAP):无法确定但可能是外部的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,同时也没有检测到它的有线端口连接到网络中,则该AP很可能是外部的AP。
未分类AP(UncategorizedAP):无法确定归属类别的AP。
图1-8WIPS对检测到的AP设备的分类处理流程示意图
·客户端的分类类别
WIPS将检测到的客户端分为以下几类:
未分类客户端(UncategorizedClient):无法确定归属类别的客户端。
图1-9WIPS对检测到的客户端的分类处理流程示意图
WIPS通过分析侦听到的802.11报文,来检测针对WLAN网络的无意或者恶意的攻击,并以告警的方式通知网络管理员。
如果攻击者通过发送大量报文来增加WIPS的处理开销等。通过检测周期内学习到设备的表项来判断是否需要对表项学习进行限速处理。设备在统计周期内学习到的AP或客户端表项达到触发告警阈值,设备会发送告警信息,并停止学习AP表项和客户端表项。
·泛洪攻击检测
泛洪攻击是指通过向无线设备发送大量同类型的报文,使无线设备会被泛洪攻击报文淹没而无法处理合法报文。WIPS通过持续地监控AP或客户端的流量来检测泛洪攻击。当大量同类型的报文超出上限时,认为无线网络正受到泛洪攻击。
目前WIPS能够防范的泛洪攻击包括:
Probe-request/Association-request/Reassociation-request帧泛洪攻击
攻击者通过模拟大量的客户端向AP发送Probe-request/Association-request/Reassociation-request帧,AP收到大量攻击报文后无法处理合法客户端的Probe-request/Association-request/Reassociation-request帧。
Authentication帧泛洪攻击
攻击者通过模拟大量的客户端向AP发送Authentication帧,AP收到大量攻击报文后无法处理合法客户端的Authentication帧。
Beacon帧泛洪攻击
该攻击是通过发送大量的Beacon帧使客户端检测到多个虚假AP,导致客户端选择正常的AP进行连接时受阻。
BlockACK泛洪攻击
该攻击通过仿冒客户端发送伪造的BlockACK帧来影响BlockACK机制的正常运行,导致通信双方丢包。
RTS/CTS泛洪攻击
在无线网络中,通信双方需要遵循虚拟载波侦听机制,通过RTS(RequesttoSend,发送请求)/CTS(CleartoSend,清除发送请求)交互过程来预留无线媒介,通信范围内的其它无线设备在收到RTS和(或)CTS后,将根据其中携带的信息来延迟发送数据帧。RTS/CTS泛洪攻击利用了虚拟载波侦听机制的漏洞,攻击者能通过泛洪发送RTS和(或)CTS来阻塞WLAN网络中合法无线设备的通信。
Deauthentication帧泛洪攻击
攻击者通过仿冒AP向与其关联的客户端发送Deauthentication帧,使得被攻击的客户端与AP的关联断开。这种攻击非常突然且难以防范。单播Deauthentication帧攻击是针对某一个客户端,而广播Deauthentication帧攻击是针对与该AP关联的所有客户端。
Disassociation帧泛洪攻击
攻击原理同Disassociation帧泛洪攻击。攻击者是通过仿冒AP向与其关联的客户端发送Disassociation帧,使得被攻击的客户端与AP的关联断开。这种攻击同样非常突然且难以防范。
EAPOL-Start泛洪攻击
IEEE802.1X标准定义了一种基于EAPOL(EAPoverLAN,局域网上的可扩展认证协议)的认证协议,该协议通过客户端发送EAPOL-Start帧开始一次认证流程。AP接收到EAPOL-Start后会回复一个EAP-Identity-Request,并为该客户端分配一些内部资源来记录认证状态。攻击者可以通过模拟大量的客户端向AP发送EAPOL-Start来耗尽该AP的资源,使AP无法处理合法客户端的认证请求。
Null-data泛洪攻击
EAPOL-Logoff泛洪攻击
在EAPOL认证环境中,当通过认证的客户端需要断开连接时,会发送一个EAPOL-Logoff帧来关闭与AP间的会话。但AP对接收到的EAPOL-Logoff帧不会进行认证,因此攻击者通过仿冒合法客户端向AP发送EAPOL-Logoff帧,可以使AP关闭与该客户端的连接。如果攻击者持续发送仿冒的EAPOL-Logoff帧,将使被攻击的客户端无法保持同AP间的连接。
EAP-Success/Failure泛洪攻击
在使用802.1X认证的WLAN环境中,当客户端认证成功时,AP会向客户端发送一个EAP-Success帧(code字段为success的EAP帧);当客户端认证失败时,AP会向客户端发送一个EAP-Failure帧(code字段为failure的EAP帧)。攻击者通过仿冒AP向请求认证的客户端发送EAP-Failure帧或EAP-Success帧来破坏该客户端的认证过程,通过持续发送仿冒的EAP-Failure帧或EAP-Success帧,可以阻止被攻击的客户端与AP间的认证。
·畸形报文检测
畸形报文攻击是指攻击者向受害客户端发送有缺陷的报文,使得客户端在处理这样的报文时会出现崩溃。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析检测出具有某些畸形类型特征的畸形报文,并发送告警。
目前支持的畸形报文检测包括:
IE重复的畸形报文
该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不检测厂商自定义IE。
Fata-Jack畸形报文
该检测是针对Authentication帧的检测。Fata-jack畸形类型规定,当身份认证算法编号即Authenticationalgorithmnumber的值等于2时,则判定该帧为Fata-jack畸形报文。
IBSS和ESS置位异常的畸形报文
该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以该报文被判定为IBSS和ESS置位异常的畸形报文。
源地址为广播或者组播的认证和关联畸形报文
该检测是针对所有管理帧的检测。当检测到该帧的TODS等于1时,表明该帧为客户端发给AP的,如果同时又检测到该帧的源MAC地址为广播或组播,则该帧被判定为Invalid-source-address畸形报文。
畸形Association-request报文
该检测是针对认证请求帧的检测。当收到认证请求帧中的SSID的长度等于0时,判定该报文为畸形关联请求报文。
畸形Authentication报文
该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败,会被判断为认证畸形报文。
-当对认证帧的身份认证算法编号(Authenticationalgorithmnumber)的值不符合协议规定,并且其值大于3时;
-当标记客户端和AP之间的身份认证的进度的AuthenticationTransactionSequenceNumber的值等于1,且状态代码statuscode不为0时;
-当标记客户端和AP之间的身份认证的进度的AuthenticationTransactionSequenceNumber的值大于4时。
含有无效原因值的解除认证畸形报文
该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reasoncode的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除认证畸形报文。
含有无效原因值的解除关联畸形报文
该检测是针对解除关联帧的检测。当解除关联帧携带的Reasoncode的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除关联畸形报文。
畸形HTIE报文
-解析出HTCapabilitiesIE的SMPowerSave值为2时;
-解析出HTOperationIE的SecondaryChannelOffset值等于2时。
IE长度非法的畸形报文
该检测是针对所有管理帧的检测。信息元素(InformationElement,简称IE)是管理帧的组成元件,每种类型的管理帧包含特定的几种IE。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。
报文长度非法的畸形报文
该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于0时,则该报文被判定为报文长度非法的畸形报文。
无效探查响应报文
该检测是针对探查响应报文。当检测到该帧为非Mesh帧,但同时该帧的SSIDLength等于0,这种情况不符合协议(协议规定SSIDLength等于0的情况是Mesh帧),则判定为无效探查响应报文。
Key长度超长的EAPOL报文
该检测是针对EAPOL-Key帧的检测。当检测到该帧的TODS等于1且其KeyLength大于0时,则判定该帧为Key长度超长的EAPOL报文。Keylength长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。
SSID长度超长的畸形报文
该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSIDlength大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。
多余IE畸形报文
该检测是针对所有管理帧的检测。报文解析过程中,当检测到既不属于报文应包含的IE,也不属于reservedIE时,判断该IE为多余IE,则该报文被判定为多余IE的畸形报文。
Duration字段超大的畸形报文
该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值,则为Duration超大的畸形报文。
·攻击检测
Spoofing
Spoofing攻击是指攻击者仿冒其他设备,从而威胁无线网络的安全。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证/解除关联报文就可能导致客户端下线,从而达到破坏无线网络正常工作的目的;又或者攻击者仿冒成合法的AP来诱使合法的客户端关联,攻击者仿冒成合法的客户端与AP关联等,从而可能导致用户账户信息泄露。
目前支持的Spoofing检测包括:AP地址仿冒和客户端地址仿冒
WeakIV
WEP安全协议使用的RC4加密算法存在一定程度的缺陷,当其所用的IV值不安全时会大大增加其密钥被破解的可能性,该类IV值即被称为WeakIV。WIPS特性通过检测每个WEP报文的IV值来预防这种攻击。
Windows网桥
当一个连接到有线网络的无线客户端使用有线网卡建立了Windows网桥时,该无线客户端就可以通过连接外部AP将外部AP与内部有线网络进行桥接。此组网方式会使外部AP对内部的有线网络造成威胁。WIPS会对已关联的无线客户端发出的数据帧进行分析,来判断其是否存在于Windows网桥中。
设备禁用802.11n40MHz
支持802.11n标准无线设备可以支持20MHz和40MHz两种带宽模式。在无线环境中,如果与AP关联的某个无线客户端禁用了40MHz带宽模式,会导致AP与该AP关联的其它无线客户端也降低无线通信带宽到20MHz,从而影响到整个网络的通信能力。WIPS通过检测无线客户端发送的探测请求帧来发现禁用40MHz带宽模式的无线客户端。
Omerta
Omerta是一个基于802.11协议的DoS攻击工具,它通过向信道上所有发送数据帧的客户端回应解除关联帧,使客户端中断与AP的关联。Omerta发送的解除关联帧中的原因代码字段为0x01,表示未指定。由于正常情况下不会出现此类解除关联帧,因此WIPS可以通过检测每个解除关联帧的原因代码字段来检测这种攻击。
热点攻击
热点攻击指恶意AP使用热点SSID来吸引周围的无线客户端来关联自己。攻击者通过伪装成公共热点来引诱这些无线客户端关联自己。一旦无线客户端与恶意AP关联上,攻击者就会发起一系列的安全攻击,获取用户的信息。用户通过在WIPS中配置热点文件,来指定WIPS对使用这些热点的AP和信任的无线客户端进行热点攻击检测。
绿野模式
当无线设备使用802.11n绿野模式时,不可以和其他802.11a/b/g设备共享同一个信道。通常当一台设备侦听到有其他设备占用信道发送和接收报文的时候,会延迟报文的发送直到信道空闲时再发送。但是802.11a/b/g设备不能和绿野模式的AP进行通信,无法被告知绿野模式的AP当前信道是否空闲,会立刻发送自己的报文。这可能会导致报文发送冲突、差错和重传。
关联/重关联DoS攻击
关联/重关联DoS攻击通过模拟大量的客户端向AP发送关联请求/重关联请求帧,使AP的关联列表中存在大量虚假的客户端,达到拒绝合法客户端接入的目的。
中间人
在中间人攻击中,攻击者在合法AP和合法客户端的数据通路中间架设自己的设备,并引诱合法客户端下线并关联到攻击者的设备上,此时攻击者就可以劫持合法客户端和合法AP之间的会话。在这种情况下,攻击者可以删除,添加或者修改数据包内的信息,获取验证密钥、用户密码等机密信息。中间人攻击是一种组合攻击,客户端在关联到蜜罐AP后攻击者才会发起中间人攻击,所以在配置中间人攻击检测之前需要开启蜜罐AP检测。
无线网桥
攻击者可以通过接入无线网桥侵入公司网络的内部,对网络安全造成隐患。WIPS通过检测无线网络环境中是否存在无线网桥数据以确定周围环境中是否存在无线网桥。当检测到无线网桥时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。如果该无线网桥是Mesh网络时,则记录该Mesh链路。
AP信道变化
AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境的中AP设备的信道是否发生变化。
广播解除关联帧/解除认证帧
当攻击者仿冒成合法的AP,发送目的MAC地址为广播地址的解除关联帧或者解除认证帧时,会使合法AP下关联的客户端下线,对无线网络造成攻击。
AP扮演者攻击
在AP扮演者攻击中,攻击者会安装一台恶意AP设备,该AP设备的BSSID和ESSID与真实AP一样。当该恶意AP设备在无线环境中成功扮演了真实AP的身份后,就可以发起热点攻击,或欺骗检测系统。WIPS通过检测收到Beacon帧的间隔小于Beacon帧中携带的间隔值次数达到阈值来判断其是否为攻击者扮演的恶意AP。
AP泛洪
AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境的中AP设备的数目达到稳定后不会大量增加。当检测到AP的数目超出预期的数量时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。
蜜罐AP
节电攻击
软AP
软AP是指客户端上的无线网卡在应用软件的控制下对外提供AP的功能。攻击者可以利用这些软AP所在的客户端接入公司网络,并发起网络攻击。WIPS通过检测某个MAC地址在无线客户端和AP这两个角色上的持续活跃时长来判断其是否是软AP,不对游离的客户端进行软AP检测。
非法信道
用户可以设置合法信道集合,并开启非法信道检测,如果WIPS在合法信道集合之外的其它信道上监听到无线通信,则认为在监听到无线通信的信道上存在入侵行为。
Signature检测是指用户可以根据实际的网络状况来配置Signature规则,并通过该规则来实现自定义攻击行为的检测。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析,检测出具有某些自定义类型特征的报文,并将分析检测的结果进行归类处理。
每个Signature检测规则中最多支持配置6条子规则,分别对报文的6种特征进行定义和匹配。当AC解析报文时,如果发现报文的特征能够与已配置的子规则全部匹配,则认为该报文匹配该自定义检测规则,AC将发送告警信息或记录日志。
可以通过子规则定义的6种报文特征包括:
·帧类型
·MAC地址
·序列号
·SSID
·SSID长度
·自定义报文位置
在无线网络中设备分为两种类型:非法设备和合法设备。非法设备可能存在安全漏洞或被攻击者操纵,因此会对用户网络的安全造成严重威胁或危害。反制功能可以对这些设备进行攻击使其他无线终端无法关联到非法设备。
无线网络很容易受到各种网络威胁的影响,非法设备对于无线网络来说是一个很严重的威胁,因此需要对客户端的接入进行控制。通过黑名单和白名单功能来过滤客户端,对客户端进行控制,防止非法客户端接入无线网络,可以有效的保护企业网络不被非法设备访问,从而保证无线网络的安全。组播或广播MAC地址不能设置为黑名单或白名单。
白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入。白名单表项只能手工添加和删除。
黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入。黑名单分为静态黑名单和动态黑名单,以下分别介绍。
(1)静态黑名单
用户手工添加、删除的黑名单称为静态黑名单,当无线网络明确拒绝某些客户端接入时,可以将这些客户端加入静态黑名单。
(2)动态黑名单
多个AC设备可以加入一个相同的组,客户端可以在组内漫游,该组即为漫游组。客户端从一个AC内的AP漫游到另一个AC内的AP上接入,称为AC间漫游(Inter-ACroaming)。该组网方式下,通过创建漫游组,统一管理参与漫游的AC,没有加入漫游组的AC将不参与漫游。
IADTP(InterAccessDeviceTunnelingProtocol,接入设备间隧道协议):该协议提供了设备间报文的通用封装和传输机制。提供漫游服务的设备之间会建立IADTP隧道,用于保证设备间控制报文以及客户端漫游信息的安全传输。
·隧道IP地址类型
创建漫游组之后,必须指定漫游组隧道IP地址类型。只有设备加入漫游组时建立IADTP隧道的源IP地址与隧道IP地址类型相同,设备加入漫游组时才会生效并建立隧道。
·建立IADTP隧道的源IP地址
设备在加入漫游组后需要使用IADTP隧道源IP地址和同一漫游组内成员设备建立IADTP隧道。
·漫游组成员
漫游组内的成员设备通过IP地址标识,该IP地址为成员设备建立IADTP隧道的源IP地址。漫游组内可以同时添加IPv4和IPv6类型的漫游组成员,但是只有与隧道类型相同的成员可以生效。
WLAN漫游中心IP地址用于Portal漫游中心与WLAN漫游中心进行报文交互,可以为WLAN漫游中心上配置的与Portal漫游中心通信的任意IP地址。
WLAN漫游中心的端口号用于Portal漫游中心与WLAN漫游中心进行报文交互。此端口号需要和WLAN漫游中心视图下配置的端口号保持一致。
·如果Portal漫游中心未收到对用户信息查询报文的响应,则Portal用户需要进行正常的Portal认证流程上线。
·如果Portal漫游中心未收到对用户信息删除报文的响应,则表示WLAN漫游中心并未删除用户信息。
·如果Portal漫游中心未收到对用户信息更新报文的响应,则表示WLAN漫游中心并未更新用户信息。
·低成本,高性能,部署简单。
·提供多条备份链路,避免单点故障。
·扩展性好,增加AP时无需铺设新的有线连接。
·用户体验好,对用户来说无线Mesh网络和传统WLAN在应用上没有区别。
WLANMesh网络中的设备角色如下:
·MP(MeshPoint):提供Mesh服务的AP。
·对端MP:已经与本端建立了Mesh链路的MP。
·邻居MP:具备成为对端MP的条件,只是本端未与其建立Mesh链路。
·MAP(MeshAccessPoint):同时提供Mesh服务和接入服务的MP。
·MPP(MeshPortalPoint):连接无线Mesh网络和非Mesh网络的MP。
MeshProfile是指MP设备上Mesh协议处理能力的集合,MeshProfile中主要包括MeshID、AKM(AuthenticationandKeyManagement,身份认证与密钥管理)模式与链路保活报文的发送间隔。
两个MP之间需要先发现邻居并建立邻居关系,而后才会发起建立Mesh链路。在邻居发现阶段,每个MP需要对比收到的ProbeRequest帧或ProbeResponse帧中携带的MeshProfile信息与自身的配置是否吻合。
Mesh策略包含一系列影响链路建立与维护的属性。例如,Mesh连接发起功能、探测请求发送间隔、最大Mesh连接数等。将一个Mesh策略和一个MP的射频绑定后,此Mesh策略里的属性将会影响此射频上链路的建立和维护。
射频上缺省绑定Mesh策略default_mesh_policy,该Mesh策略不允许进行删除和修改。可以新建Mesh策略替换射频上绑定的缺省策略。
MPP作为连接无线Mesh网络和非Mesh网络的MP,可能需要与大量MP建立Mesh链路,为减轻MPP设备负担,可以通过配置MPP停止发送邻居探测请求,使MPP不再发送邻居探测请求来发现邻居,而只回复其它MP发送的邻居探测请求。
配置了MeshProfile之后,AP才具有加入Mesh网络的能力。如果不同的射频上绑定了不同的MeshProfile,则该AP可以加入到不同的Mesh网络中。
配置邻居白名单后,只有某MP的MAC地址与邻居白名单里的MAC地址匹配,本端才会与该MP建立邻居关系。如果没有配置邻居白名单,即允许和所有符合邻居建立条件的MP建立邻居关系。
组播传输的特点无法满足某些对组播流有较高要求的应用,如高清视频点播,这类应用对传送时延不敏感,但要求报文流有较高完整性。为了满足这些应用需求,可开启组播优化功能,使AP向客户端发送组播报文时,将组播数据报文转换为单播数据报文,转换后的无线单播数据报文不但具有重传确认机制及更高速率,还具有Video的优先级,可以优先被发送。
组播优化功能通过组播优化表项来管理组播报文的转发。组播优化表项以客户端MAC地址为索引,记录了客户端加入的组播组、每个组播组下可接收的组播源、加入组的版本、加入组的模式等信息。
在组播优化表中,每个客户端加入一个组播组即生成一条表项。如果客户端以指定源的方式加入组播组,则加入的组播组以及每个指定的源均会生成一条表项。客户端退出组播组或取消某个指定源时,组播优化表中会删除对应的表项。
组播优化策略定义了需要进行组播优化的无线客户端的数量阈值以及超过阈值之后设备对发往无线客户端的组播报文采取的处理方式。需要进行组播优化的客户端数量超过阈值前,设备将组播报文转换为单播报文转发;客户端数量超过阈值之后,设备支持以下几种处理方式:
·单播转发:设备随机选取N个(N为设置的阈值)客户端进行单播转发,而超出阈值的客户端不会收到任何报文。
·组播转发:设备为所有客户端进行组播转发。
·丢弃报文:设备直接将组播报文丢弃,不为任何一个客户端发送报文。
如果不指定处理方式,设备默认的处理方式为单播转发。
·限制组播优化表项的数量
大量的组播优化表项会消耗系统资源,可通过设置组播优化表项的数量上限,来控制组播优化表的大小。
当组播优化表项的数量达到上限时,AP不再创建新的组播优化表项;当上限值被修改或者当前存在的表项因老化而被删除时,AP会再次创建新的组播优化表项。
·限制组播优化表中为单个客户端维护的表项数量
组播优化表中的表项数量会占用系统资源,用户可以通过限制组播优化表中为单个客户端维护的表项数量,来实现系统资源的合理划分,避免一个客户端创建过多的表项占用其它客户端的资源。
Bonjour协议是苹果公司开发的基于mDNS(MulticastDNS,组播域名)服务的零配置网络协议。Bonjour协议致力于让网络配置更简单,支持Bonjour协议的服务端设备能够以组播方式发送服务信息,使局域网内的客户端在无需获取服务端设备信息的情况下,自动发现可提供服务的设备。
Bonjour协议仅定义了如何在VLAN内使用mDNS协议报文传播服务信息,如果需要跨VLAN转发mDNS协议报文,则必须在网络中部署一台转发设备,称作Bonjour网关。除转发mDNS报文外,Bonjour网关还能够通过管理员设定的规则来管理客户端和服务端设备,实现Bonjour协议在大规模网络中的应用。
在网络中部署Bonjour网关的优势如下:
·控制网络中mDNS协议报文数量。
·提供跨VLAN转发mDNS协议报文的功能。
Bonjour网关的作用是查询代理和响应代答。
当Bonjour网关发现客户端查询的服务资源表项中已经存在关于此服务的信息时,将直接向客户端发送响应报文,称为响应代答。
(1)AppleTV和Printer发送Bonjour响应报文,在网络中通告其支持的服务。
(2)Bonjour网关收到AppleTV和Printer发送的Bonjour响应报文后,就会建立AppleTV、Printer的Bonjour服务资源表项。
(3)Bonjour网关收到客户端关于AppleTV或打印机服务的查询报文。
(4)Bonjour网关直接回复响应报文给客户端,客户端收到响应后即可获取提供AppleTV或打印机服务的设备信息。
图1-10Bonjour网关代答过程图
在某些情况下,Bonjour网关上收到客户端的组播查询报文,在检查Bonjour服务资源表项后发现Bonjour网关没有获取到客户端请求的服务,此时,Bonjour网关需要对指定服务进行查询代理和响应转发。
(1)iPad客户端发出一个对Printer的查询报文,AP收到该报文后,经由CAPWAP隧道发送到Bonjour网关。
(3)Printer收到Bonjour网关转发的查询报文后,回复响应报文。
(4)Bonjour网关将响应报文中的服务记录到Bonjour服务资源表项。
(5)记录Bonjour服务资源表项之后,Bonjour网关会转发响应报文给客户端。
图1-11Bonjour网关查询代理过程图
Bonjour服务类型用于在Bonjour策略下实现对Bonjour服务的控制。设备上存在一些默认服务类型,用户也可以创建新的Bonjour服务类型。在创建新的Bonjour服务类型时,需指定该服务类型所使用的协议及描述信息。
在Bonjour网关功能全局开启并且主动查询功能打开的情况下,激活Bonjour服务类型时,设备会执行一次对该服务类型的主动查询操作。
在激活Bonjour服务类型时,可以指定该服务类型最多可学习到的SRV类型资源条目数,如不指定,则表示不对此进行限制。当服务类型未激活时,设备将会删除该类型已学习到的所有服务资源。
表1-32默认服务类型列表
服务类型
描述
afpovertcp
AppleTalkFilingProtocol
airplay
Airplay
airport
AirportBaseStation
apple-sasl
ApplePasswordServer
daap
DigitalAudioAccessProtocol
dacp
DigitalAudioControlProtocol
distcc
DistributedCompiler
dpap
DigitalPhotoAccessProtocol
eppc
RemoteAppleEvents
ftp
FileTransferProtocol
HypertextTransferProtocol
ica-networking
ImageCaptureSharing
ichat
iChatInstantMessagingProtocol
ipp
InternetPrintingProtocoloverHTTP
ipps
InternetPrintingProtocoloverHTTPS
nfs
NetworkFileSystem
pdl-stream
PDLDataStream
printer
LinePrinterDaemon
raop
RemoteAudioOutputProtocol
riousbprint
RemoteI/OUSBPrinterProtocol
servermgr
ServerAdmin
ssh
SecureShell
telnet
RemoteLogin
webdav
WebDavFileSystem
workstation
WorkgroupManager
xserveraid
XerverRAID
Bonjour策略用于实现对Bonjour服务和VLAN访问权限的控制。在Bonjour策略中配置服务类型和服务VLAN后,将Bonjour策略应用到指定的位置(UserProfile视图、AP视图、AP组视图、接口视图与无线服务模板视图),便可以实现控制功能。
Bonjour网关会检查客户端请求的服务类型与Bonjour策略中配置的服务类型是否匹配,如不匹配就直接丢弃查询报文。对于收到的响应报文,Bonjour网关会检查服务类型、IP地址和实例名,Bonjour网关只会转发符合全部Bonjour策略配置的响应报文。
服务VLAN用来限制Bonjour服务所覆盖的范围,只有当客户端请求的Bonjour服务的VLAN在设备的服务VLAN列表中时,设备才会转发查询和响应报文。
在AP的Radio接口上开启探针功能后,AP通过对信道进行扫描,收集客户端信息并生成客户端表项,实现对客户端的监测。开启探针功能后,可以在“监控>应用>探针”页面中查看监测到的信息。
AP的Radio接口不能同时开启WIPS功能和探针功能。
实现了对接口流量统计信息的查看和对接口的基本配置。
设置以太网接口的双工模式时存在以下几种情况:
·当希望接口在发送数据包的同时可以接收数据包,可以将接口设置为全双工属性;
·当希望接口同一时刻只能发送数据包或接收数据包时,可以将接口设置为半双工属性;
·当设置接口为自协商状态时,接口的双工状态由本接口和对端接口自动协商而定。
设置以太网接口的速率时,当设置接口速率为自协商状态时,接口的速率由本接口和对端接口双方自动协商而定。
基于业务板的硬件构造,设备上的某些接口只能作为二层以太网接口;某些接口只能作为三层以太网接口;某些接口比较灵活,工作模式可以通过命令行设置。
·如果将工作模式设置为二层模式,则作为一个二层以太网接口使用。
·如果将工作模式设置为三层模式,则作为一个三层以太网接口使用。
以太网接口在进行文件传输等大吞吐量数据交换的时候,接口收到的长度大于固定值的帧称为超长帧。该固定值的大小与设备的型号有关,请参见命令参考中的介绍。
系统对于超长帧的处理如下:
·如果系统配置了禁止超长帧通过,会直接丢弃该帧不再进行处理。
·如果系统允许超长帧通过,当接口收到长度在指定范围内的超长帧时,系统会继续处理;当接口收到长度超过指定最大长度的超长帧时,系统会直接丢弃该帧不再进行处理。
以太网接口流量控制功能的基本原理是:如果本端设备发生拥塞,将通知对端设备暂时停止发送报文;对端设备收到该消息后将暂时停止向本端发送报文;反之亦然。从而避免了报文丢失现象的发生。
·开启流量控制后,设备具有发送和接收流量控制报文的能力:
当本端发生拥塞时,设备会向对端发送流量控制报文。
当本端收到对端的流量控制报文后,会停止报文发送。
·配置只在接收包下开启功能后,设备具有接收流量控制报文的能力,但不具有发送流量控制报文的能力。
当本端收到对端的流量控制报文,会停止向对端发送报文。
当本端发生拥塞时,设备不能向对端发送流量控制报文。
因此,如果要应对单向网络拥塞的情况,可以在一端配置只在接收包下开启功能,在对端配置流量控制;如果要求本端和对端网络拥塞都能处理,则两端都必须配置流量控制。
以太网链路聚合通过将多条以太网物理链路捆绑在一起形成一条以太网逻辑链路,实现增加链路带宽的目的,同时这些捆绑在一起的链路通过相互动态备份,可以有效地提高链路的可靠性。
链路捆绑是通过接口捆绑实现的,多个以太网接口捆绑在一起后形成一个聚合组,而这些被捆绑在一起的以太网接口就称为该聚合组的成员端口。每个聚合组唯一对应着一个逻辑接口,称为聚合接口。聚合组与聚合接口的编号是相同的,例如聚合组1对应于聚合接口1。
二层聚合组/二层聚合接口:二层聚合组的成员端口全部为二层以太网接口,其对应的聚合接口称为二层聚合接口。
聚合接口的速率和双工模式取决于对应聚合组内的选中端口:聚合接口的速率等于所有选中端口的速率之和,聚合接口的双工模式则与选中端口的双工模式相同。
聚合组内的成员端口具有以下两种状态:
·选中(Selected)状态:此状态下的成员端口可以参与数据的转发,处于此状态的成员端口称为“选中端口”。
·非选中(Unselected)状态:此状态下的成员端口不能参与数据的转发,处于此状态的成员端口称为“非选中端口”。
操作Key是系统在进行链路聚合时用来表征成员端口聚合能力的一个数值,它是根据成员端口上的一些信息(包括该端口的速率、双工模式等)的组合自动计算生成的,这个信息组合中任何一项的变化都会引起操作Key的重新计算。在同一聚合组中,所有的选中端口都必须具有相同的操作Key。
表2-1属性类配置
配置项
内容
端口隔离
端口是否加入隔离组、端口所属的端口隔离组
VLAN配置
端口上允许通过的VLAN、端口缺省VLAN、端口的链路类型、VLAN报文是否带Tag配置
链路聚合分为静态聚合和动态聚合两种模式,处于静态聚合模式下的聚合组称为静态聚合组,处于动态聚合模式下的聚合组称为动态聚合组。
静态聚合和动态聚合工作时首先要选取参考端口,之后再确定成员端口的状态。
·静态聚合
a.选择参考端口
参考端口从本端的成员端口中选出,其操作Key和属性类配置将作为同一聚合组内的其他成员端口的参照,只有操作Key和属性类配置与参考端口一致的成员端口才能被选中。
对于聚合组内处于up状态的端口,按照端口的端口优先级->全双工/高速率->全双工/低速率->半双工/高速率->半双工/低速率的优先次序,选择优先次序最高、且属性类配置与对应聚合接口相同的端口作为参考端口;如果多个端口优先次序相同,首先选择原来的选中端口作为参考端口;如果此时多个优先次序相同的端口都是原来的选中端口,则选择其中端口号最小的端口作为参考端口;如果多个端口优先次序相同,且都不是原来的选中端口,则选择其中端口号最小的端口作为参考端口。
b.确定成员端口状态
图2-1静态聚合组内成员端口状态的确定流程
·动态聚合
动态聚合模式通过LACP(LinkAggregationControlProtocol,链路聚合控制协议)协议实现,动态聚合组内的成员端口可以收发LACPDU(LinkAggregationControlProtocolDataUnit,链路聚合控制协议数据单元),本端通过向对端发送LACPDU通告本端的信息。当对端收到该LACPDU后,将其中的信息与所在端其他成员端口收到的信息进行比较,以选择能够处于选中状态的成员端口,使双方可以对各自接口的选中/非选中状态达成一致。
参考端口从聚合链路两端处于up状态的成员端口中选出,其操作Key和属性类配置将作为同一聚合组内的其他成员端口的参照,只有操作Key和属性类配置与参考端口一致的成员端口才能被选中。
-首先,从聚合链路的两端选出设备ID(由系统的LACP优先级和系统的MAC地址共同构成)较小的一端:先比较两端的系统LACP优先级,优先级数值越小其设备ID越小;如果优先级相同再比较其系统MAC地址,MAC地址越小其设备ID越小。
-其次,对于设备ID较小的一端,再比较其聚合组内各成员端口的端口ID(由端口优先级和端口的编号共同构成):先比较端口优先级,优先级数值越小其端口ID越小;如果优先级相同再比较其端口号,端口号越小其端口ID越小。端口ID最小、且属性类配置与对应聚合接口相同的端口作为参考端口。
b.确定成员端口的状态
图2-2动态聚合组内成员端口状态的确定流程
与此同时,设备ID较大的一端也会随着对端成员端口状态的变化,随时调整本端各成员端口的状态,以确保聚合链路两端成员端口状态的一致。
静态聚合和动态聚合的优点分别为:
·静态聚合模式:一旦配置好后,端口的转发流量的状态就不会受网络环境的影响,比较稳定。
·动态聚合模式:能够根据对端和本端的信息调整端口的转发流量的状态,比较灵活。
VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通,而处于不同VLAN的主机不能够直接互通。
VLAN可以基于端口进行划分。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发该VLAN的报文。
在某VLAN内,可根据需要配置端口加入Untagged端口列表或Tagged端口列表(即配置端口为Untagged端口或Tagged端口),从Untagged端口发出的该VLAN报文不带VLANTag,从Tagged端口发出的该VLAN报文带VLANTag。
端口的链路类型分为三种。在端口加入某VLAN时,对不同链路类型的端口加入的端口列表要求不同:
·Access:端口只能发送一个VLAN的报文,发出去的报文不带VLANTag。该端口只能加入一个VLAN的Untagged端口列表。
·Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLANTag,其他VLAN的报文都必须带VLANTag。在端口缺省VLAN中,该端口只能加入Untagged端口列表;在其他VLAN中,该端口只能加入Tagged端口列表。
·Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLANTag,某些VLAN的报文不带VLANTag。在不同VLAN中,该端口可以根据需要加入Untagged端口列表或Tagged端口列表。
不同VLAN间的主机不能直接通信,通过设备上的VLAN接口,可以实现VLAN间的三层互通。VLAN接口是一种三层的虚拟接口,它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口,VLAN接口的IP地址可作为本VLAN内网络设备的网关地址,对需要跨网段的报文进行基于IP地址的三层转发。
MAC(MediaAccessControl,媒体访问控制)地址表记录了MAC地址与接口的对应关系,以及接口所属的VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播的方式通过对应VLAN内除接收接口外的所有接口转发该报文。
MAC地址表项分为以下几种:
·静态MAC地址表项:由用户手工配置,用于目的是某个MAC地址的报文从对应接口转发出去,表项不老化。静态MAC地址表项优先级高于自动生成的MAC地址表项。
·黑洞MAC地址表项:由用户手工配置,用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。
缺省情况下,MAC地址学习功能处于开启状态。有时为了保证设备的安全,需要关闭MAC地址学习功能。常见的危及设备安全的情况是:非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。在开启全局的MAC地址学习功能的前提下,用户可以关闭单个接口的MAC地址的学习功能。
如果MAC地址表过于庞大,可能导致设备的转发性能下降。通过配置接口的MAC地址数学习上限,用户可以控制设备维护的MAC地址表的表项数量。当接口学习到的MAC地址数达到上限时,该接口将不再对MAC地址进行学习,同时,用户还可以根据需要选择是否允许系统转发源MAC不在MAC地址表里的报文。
生成树协议运行于二层网络中,通过阻塞冗余链路构建出无数据环路的树型网络拓扑,并在设备或数据链路故障时,重新计算出新的树型拓扑。
生成树协议包括STP、RSTP、PVST和MSTP。
·STP:由IEEE制定的802.1D标准定义,是狭义的生成树协议。
·PVST:PVST为每个VLAN维护一个单独的生成树实例。每个VLAN都将运行单个生成树,允许以每个VLAN为基础开启或关闭生成树。每个VLAN内的生成树实例都有单独的网络拓扑结构,相互之间没有影响。
·MSTP:由IEEE制定的802.1s标准定义,它可以弥补STP和RSTP的缺陷,既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。
生成树的工作模式有以下几种:
·STP模式:设备的所有端口都将向外发送STPBPDU。如果端口的对端设备只支持STP,可选择此模式。
·RSTP模式:设备的所有端口都向外发送RSTPBPDU。当端口收到对端设备发来的STPBPDU时,会自动迁移到STP模式;如果收到的是MSTPBPDU,则不会进行迁移。
·PVST模式:对于Access端口,PVST将根据该VLAN的状态发送RSTP格式的BPDU。对于Trunk端口和Hybrid端口,PVST将在缺省VLAN内根据该VLAN的状态发送RSTP格式的BPDU,而对于其他本端口允许通过的VLAN,则发送PVST格式的BPDU。
·MSTP模式:设备的所有端口都向外发送MSTPBPDU。当端口收到对端设备发来的STPBPDU时,会自动迁移到STP模式;如果收到的是RSTPBPDU,则不会进行迁移。
MSTP把一个交换网络划分成多个域,这些域称为MST(MultipleSpanningTreeRegions,多生成树域)域。每个域内形成多棵生成树,各生成树之间彼此独立并分别与相应的VLAN对应,每棵生成树都称为一个MSTI(MultipleSpanningTreeInstance,多生成树实例)。CST(CommonSpanningTree,公共生成树)是一棵连接交换网络中所有MST域的单生成树。IST(InternalSpanningTree,内部生成树)是MST域内的一棵生成树,它是一个特殊的MSTI,通常也称为MSTI0,所有VLAN缺省都映射到MSTI0上。CIST(CommonandInternalSpanningTree,公共和内部生成树)是一棵连接交换网络内所有设备的单生成树,所有MST域的IST再加上CST就共同构成了整个交换网络的一棵完整的单生成树。
其中,对于属于同一MST域的设备具有下列特点:
·都使能了生成树协议。
·域名相同。
·VLAN与MSTI间映射关系的配置相同。
·MSTP修订级别的配置相同。
·这些设备之间有物理链路连通。
生成树可能涉及到的端口角色有以下几种:
·根端口(RootPort):在非根桥上负责向根桥方向转发数据的端口就称为根端口,根桥上没有根端口。
·指定端口(DesignatedPort):负责向下游网段或设备转发数据的端口就称为指定端口。
·替换端口(AlternatePort):是根端口或主端口的备份端口。当根端口或主端口被阻塞后,替换端口将成为新的根端口或主端口。
·备份端口(BackupPort):是指定端口的备份端口。当指定端口失效后,备份端口将转换为新的指定端口。当使能了生成树协议的同一台设备上的两个端口互相连接而形成环路时,设备会将其中一个端口阻塞,该端口就是备份端口。
·主端口(MasterPort):是将MST域连接到总根的端口(主端口不一定在域根上),位于整个域到总根的最短路径上。主端口是MST域中的报文去往总根的必经之路。主端口在IST/CIST上的角色是根端口,而在其他MSTI上的角色则是主端口。
STP只涉及根端口、指定端口和替换端口三种端口角色,RSTP的端口角色中新增了备份端口,MSTP涉及所有的端口角色。
表2-2RSTP和MSTP中的端口状态
状态
Forwarding
该状态下的端口可以接收和发送BPDU,也转发用户流量
Learning
是一种过渡状态,该状态下的端口可以接收和发送BPDU,但不转发用户流量
Discarding
该状态下的端口可以接收和发送BPDU,但不转发用户流量
STP定义了五种端口状态:Disabled、Blocking、Listening、Learning和Forwarding。其中Disabled、Blocking和Listening状态都对应RSTP/MSTP中的Discarding状态。
DHCPSnooping是DHCP的一种安全特性,具有如下功能:
网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCPSnooping安全机制允许将端口设置为信任端口和不信任端口:
·信任端口正常转发接收到的DHCP报文。
·不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
在DHCPSnooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
DHCPSnooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文,记录DHCPSnooping表项,其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现ARPDetection功能,即根据DHCPSnooping表项来判断发送ARP报文的用户是否合法,从而防止非法用户的ARP攻击。
DHCPSnooping设备重启后,设备上记录的DHCPSnooping表项将丢失。如果DHCPSnooping与其他模块配合使用,则表项丢失会导致这些模块无法通过DHCPSnooping获取到相应的表项,进而导致DHCP客户端不能顺利通过安全检查、正常访问网络。
DHCPSnooping表项备份功能将DHCPSnooping表项保存到指定的文件中,DHCPSnooping设备重启后,自动根据该文件恢复DHCPSnooping表项,从而保证DHCPSnooping表项不会丢失。
Option82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option82包含两个子选项:CircuitID和RemoteID。
支持Option82功能是指设备接收到DHCP请求报文后,根据报文中是否包含Option82以及用户配置的处理策略及填充模式等对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。当设备接收到DHCP服务器的响应报文时,如果报文中含有Option82,则删除Option82,并转发给DHCP客户端;如果报文中不含有Option82,则直接转发。
表2-3Option82处理方式
收到DHCP请求报文
处理策略
DHCPSnooping对报文的处理
收到的报文中带有Option82
Drop
丢弃报文
Keep
保持报文中的Option82不变并进行转发
Replace
根据DHCPSnooping上配置的填充模式、内容、格式等填充Option82,替换报文中原有的Option82并进行转发
收到的报文中不带有Option82
-
根据DHCPSnooping上配置的填充模式、内容、格式等填充Option82,添加到报文中并进行转发
实现了对路由表的查看,包括路由表的概要信息和统计信息。
静态路由是一种特殊的路由,由管理员手工配置。当网络结构比较简单时,只需配置静态路由就可以使网络正常工作。静态路由不能自动适应网络拓扑结构的变化,当网络发生故障或者拓扑发生变化后,必须由管理员手工修改配置。
缺省路由是在没有找到匹配的路由表项时使用的路由。配置IPv4缺省路由时,指定目的地址为0.0.0.0/0;配置IPv6缺省路由时,指定目的地址为::/0。
OSPF(OpenShortestPathFirst,开放最短路径优先)是IETF(InternetEngineeringTaskForce,互联网工程任务组)组织开发的一个基于链路状态的内部网关协议。目前针对IPv4协议使用的是OSPFVersion2。下文中所提到的OSPF均指OSPFVersion2。
OSPF协议报文直接封装为IP报文,协议号为89。
OSPF有五种类型的协议报文:
·Hello报文:周期性发送,用来发现和维持OSPF邻居关系,以及进行DR(DesignatedRouter,指定路由器)/BDR(BackupDesignatedRouter,备份指定路由器)的选举。
·DD(DatabaseDescription,数据库描述)报文:描述了本地LSDB(LinkStateDataBase,链路状态数据库)中每一条LSA(LinkStateAdvertisement,链路状态通告)的摘要信息,用于两台路由器进行数据库同步。
·LSR(LinkStateRequest,链路状态请求)报文:向对方请求所需的LSA。两台路由器互相交换DD报文之后,得知对端的路由器有哪些LSA是本地的LSDB所缺少的,这时需要发送LSR报文向对方请求所需的LSA。
·LSU(LinkStateUpdate,链路状态更新)报文:向对方发送其所需要的LSA。
·LSAck(LinkStateAcknowledgment,链路状态确认)报文:用来对收到的LSA进行确认。
OSPF中对链路状态信息的描述都是封装在LSA中发布出去,常用的LSA有以下几种类型:
·RouterLSA(Type-1):由每个路由器产生,描述路由器的链路状态和开销,在其始发的区域内传播。
·NetworkLSA(Type-2):由DR产生,描述本网段所有路由器的链路状态,在其始发的区域内传播。
·NetworkSummaryLSA(Type-3):由ABR(AreaBorderRouter,区域边界路由器)产生,描述区域内某个网段的路由,并通告给其他区域。
·ASExternalLSA(Type-5):由ASBR产生,描述到AS(AutonomousSystem,自治系统)外部的路由,通告到所有的区域(除了Stub区域和NSSA区域)。
·NSSAExternalLSA(Type-7):由NSSA(Not-So-StubbyArea)区域内的ASBR产生,描述到AS外部的路由,仅在NSSA区域内传播。
·OpaqueLSA:用于OSPF的扩展通用机制,目前有Type-9、Type-10和Type-11三种。其中,Type-9LSA仅在本地链路范围进行泛洪,用于支持GR(GracefulRestart,平滑重启)的GraceLSA就是Type-9的一种类型;Type-11LSA可以在一个自治系统范围进行泛洪。
在设备上使能OSPF功能,必须先创建OSPF进程、指定该进程关联的区域以及区域包括的网段;对于当前设备来说,如果某个设备的接口IP地址落在某个区域的网段内,则该接口属于这个区域并使能了OSPF功能,OSPF将把这个接口的直连路由宣告出去。
OSPF支持多进程,即可以在一台设备上通过为不同的OSPF进程指定不同的进程号来启动多个OSPF进程。OSPF进程号是本地概念,不影响与其它路由器之间的报文交换。因此,不同的路由器之间,即使进程号不同也可以进行报文交换
设备支持在指定接口上使能OSPF或者在指定网段上使能OSPF。在指定接口上使能OSPF的优先级高于在指定网段上使能OSPF。
网络管理员对整个网络划分区域完毕后,可以根据组网需要进一步将区域配置成Stub区域或NSSA区域。
·Stub区域
Stub区域是一些特定的区域,该区域的ABR会将区域间的路由信息传递到本区域,但不会引入自治系统外部路由,区域中路由器的路由表规模以及LSA数量都会大大减少。为保证到自治系统外的路由依旧可达,该区域的ABR将生成一条缺省路由Type-3LSA,发布给本区域中的其他非ABR路由器。
·NSSA区域
NSSA(Not-So-StubbyArea)区域是Stub区域的变形,与Stub区域的区别在于NSSA区域允许引入自治系统外部路由,由ASBR发布Type-7LSA通告给本区域。当Type-7LSA到达NSSA的ABR时,由ABR将Type-7LSA转换成Type-5LSA,传播到其他区域。
OSPF根据链路层协议类型将网络分为下列四种类型:
·广播(Broadcast)类型:当链路层协议是Ethernet、FDDI时,缺省情况下,OSPF认为网络类型是Broadcast。在该类型的网络中,通常以组播形式(OSPF路由器的预留IP组播地址是224.0.0.5;OSPFDR/BDR的预留IP组播地址是224.0.0.6)发送Hello报文、LSU报文和LSAck报文;以单播形式发送DD报文和LSR报文。
·NBMA(Non-BroadcastMulti-Access,非广播多路访问)类型:在该类型的网络中,以单播形式发送协议报文。
·P2MP(Point-to-MultiPoint,点到多点)类型:没有一种链路层协议会被缺省的认为是P2MP类型。P2MP必须是由其他的网络类型强制更改的,常用做法是将NBMA网络改为P2MP网络。在该类型的网络中,缺省情况下,以组播形式(224.0.0.5)发送协议报文。可以根据用户需要,以单播形式发送协议报文。
·P2P(Point-to-Point,点到点)类型:在该类型的网络中,以组播形式(224.0.0.5)发送协议报文。
NBMA与P2MP网络之间的区别如下:
·NBMA网络是全连通的;P2MP网络并不需要一定是全连通的。
·NBMA网络中需要选举DR与BDR;P2MP网络中没有DR与BDR。
·NBMA网络采用单播发送报文,需要手工配置邻居;P2MP网络采用组播方式发送报文,通过配置也可以采用单播发送报文。
路由器标识——即RouterID,用来在一个自治系统中唯一地标识一台路由器,一台路由器如果要运行OSPF协议,则必须存在RouterID。RouterID的获取方式有以下三种:
·手工指定RouterID
用户可以在创建OSPF进程的时候指定RouterID,配置时,必须保证自治系统中任意两台路由器的ID都不相同。通常的做法是将路由器的ID配置为与该路由器某个接口的IP地址一致。
·自动获取RouterID
如果在创建OSPF进程的时候选择自动分配RouterID,则OSPF进程将根据如下规则自动获取RouterID:
OSPF进程启动时,将选取第一个运行该进程的接口的主IPv4地址作为RouterID;
设备重启时,OSPF进程将会选取第一个运行本进程的接口主IPv4地址作为RouterID;
OSPF进程重启时,将从运行了本进程的所有接口的主IPv4地址中重新获取RouterID,具体规则如下:
-如果存在配置IP地址的Loopback接口,则选择Loopback接口地址中最大的作为RouterID。
-否则,从其他接口的IP地址中选择最大的作为RouterID(不考虑接口的up/down状态)。
·使用全局RouterID
如果在创建OSPF进程的时候没有指定RouterID,则缺省使用全局RouterID。建议用户在创建OSPF进程的时候手工指定RouterID,或者选择自动获取RouterID。
当OSPF网络中的设备需要访问运行其他协议的网络中的设备时,需要将其他协议的路由引入OSPF网络中。例如,引入IS-IS、BGP生成的路由信息,将这些路由信息通过Type5LSA或Type7LSA向外宣告。
OSPF是一个无环的动态路由协议,但这是针对域内路由和域间路由而言的。OSPF对于引入的外部路由引发的路由环路没有很好的防范机制,因此在配置OSPF引入外部路由时一定要慎重,防止手工配置引发的环路。
OSPF还可以对引入的路由进行过滤,只将满足过滤条件的外部路由转换为Type5LSA或Type7LSA发布出去。
用户可以在接口上配置下列OSPF报文定时器:
从安全性角度来考虑,为了避免路由信息外泄或者OSPF路由器受到恶意攻击,OSPF提供报文验证功能。
OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居。
如果区域验证和接口验证都进行了配置,以接口验证的配置为准。
NAT(NetworkAddressTranslation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。NAT最初的设计目的是实现私有网络访问公共网络的功能,后扩展为实现任意两个网络间进行访问时的地址转换应用。
动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式:
·NO-PAT模式
该模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文。
·PAT模式
PAT(PortAddressTranslation)模式下,一个NAT地址可以同时分配给多个内网地址共用。该模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(InternetControlMessageProtocol,因特网控制消息协议)查询报文。
采用PAT方式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。
·NAT地址组
一个NAT地址组是多个地址组成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址。
·NAT444地址组
NAT444地址组与NAT地址组的配置基本相同,所不同的是,NAT444地址组必须配置端口块参数(端口范围、端口块大小和增量端口块数)以实现基于端口块的NAT444地址转换。
·端口块组
配置NAT444端口块静态映射需要创建一个端口块组,并在接口的出方向上应用该端口块组。端口块组中需要配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小,系统会根据端口块组中的配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系,创建静态端口块表项,并根据表项进行NAT444地址转换。
·服务器组
在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可根据内网服务器的权重和当前连接数,选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担。
·PAT方式地址转换模式
Endpoint-IndependentMapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。
AddressandPort-DependentMapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号,若其目的地址或目的端口号不同,通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-IndependentMapping模式不同的是,NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但由于同一个内网主机地址转换后的外部地址不唯一,因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。
·DNS映射
通过配置DNS映射,可以在DNS服务器位于外网的情况下,实现内网用户可通过域名访问位于同一内网的内部服务器的功能。DNS映射功能需要和内部服务器配合使用,由内部服务器对外提供服务的外网IP地址和端口号,由DNS映射建立“内部服务器域名<-->外网IP地址+外网端口号+协议类型”的映射关系。
NAT设备对来自外网的DNS响应报文进行DNSALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNSALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS映射的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。
·NATHairpin
通过在内网侧接口上使能NAThairpin功能,可以实现内网用户使用NAT地址访问内网服务器或内网其它用户。NAThairpin功能需要与内部服务器、出方向动态地址转换或出方向静态地址转换配合工作,且这些配置所在的接口必须在同一个接口板,否则NAThairpin功能无法正常工作。
该功能在不同工作方式下的具体转换过程如下:
C/S方式:NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址,其中,目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成。
P2P方式:内网各主机首先向外网服务器注册自己的内网地址信息,该地址信息为外网侧出方向地址转换的NAT地址,然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访。该方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并使能EIM模式。
·开启NATALG功能
通过开启指定应用协议类型的ALG功能,实现对应用层报文数据载荷字段的分析和NAT处理。
·NAT日志
a.NAT会话日志
NAT会话日志是为了满足网络管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。
有三种情况可以触发设备生成NAT会话日志:
-新建NAT会话。
-删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时,都可能导致NAT会话被删除。
b.NAT444日志
NAT444日志分为NAT444用户日志和NAT444告警信息日志。
NAT444用户日志是为了满足互联网用户溯源的需要,在NAT444地址转换中,对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系。在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址。
有两种情况可以触发设备输出NAT444用户日志:
-端口块分配:端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时输出日志;端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时输出日志。
-端口块回收:端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时输出日志;端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时输出日志。
在NAT444地址转换中,如果可为用户分配的公网IP地址、端口块或端口块中的端口都被占用,则该用户的后续连接由于没有可用的资源无法对其进行地址转换,相应的报文将被丢弃。为了监控公网IP地址和端口块资源的使用情况,可以对端口用满和资源用满两种情况记录告警信息日志。
-端口用满告警:在私网IP地址对应的端口块中的所有端口都被占用的情况下,输出告警信息日志。对于端口块动态映射方式,如果配置了增量端口块分配,则当首次分配的端口块中的端口都被占用时,并不输出日志;只有当增量端口块中的端口也都被占用时,才会输出日志。
-资源用满告警:在NAT444端口块动态映射中,如果所有资源(公网IP地址、端口块)都被占用,则输出日志。
·各地址组成员的IP地址段不能互相重叠。
·配置的所有地址组成员包含的地址总数不能少于安全引擎(或安全插卡)的数量。
·在配置NAT444日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT444告警信息日志。
IP地址是每个连接到IPv4网络上的设备的唯一标识。IP地址长度为32比特,通常采用点分十进制方式表示,即每个IP地址被表示为以小数点隔开的4个十进制整数,每个整数对应一个字节,如10.1.1.1。
IP地址由两部分组成:
·网络号码字段(Net-id):用于区分不同的网络。网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型。
·主机号码字段(Host-id):用于区分一个网络内的不同主机。
表2-4IP地址分类
地址类型
地址范围
说明
A
0.0.0.0~127.255.255.255
IP地址0.0.0.0仅用于主机在系统启动时进行临时通信,并且永远不是有效目的地址
127.0.0.0网段的地址都保留作环回测试,发送到这个地址的分组不会输出到链路上,它们被当作输入分组在内部进行处理
B
128.0.0.0~191.255.255.255
C
192.0.0.0~223.255.255.255
D
224.0.0.0~239.255.255.255
组播地址
E
240.0.0.0~255.255.255.255
255.255.255.255用于广播地址,其它地址保留今后使用
随着Internet的快速发展,IP地址已近枯竭。为了充分利用已有的IP地址,可以使用子网掩码将网络划分为更小的部分(即子网)。通过从主机号码字段部分划出一些比特位作为子网号码字段,能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。
子网掩码是一个长度为32比特的数字,由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码字段和子网号码字段,而“0”对应于主机号码字段。
多划分出一个子网号码字段会浪费一些IP地址。例如,一个B类地址可以容纳65534(216-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。但划分出9比特长的子网字段后,最多可有512(29)个子网,每个子网有7比特的主机号码,即每个子网最多可有126(27-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。因此主机号码的总数是512*126=64512个,比不划分子网时要少1022个。
若不进行子网划分,则子网掩码为默认值,此时子网掩码中“1”的长度就是网络号码的长度,即A、B、C类IP地址对应的子网掩码默认值分别为255.0.0.0、255.255.0.0和255.255.255.0。
接口获取IP地址有以下几种方式:
·通过手动指定IP地址
·通过DHCP分配得到IP地址
当设备收到一个报文后,如果发现报文长度比转发接口的MTU值大,则进行下列处理:
·如果报文不允许分片,则将报文丢弃;
·如果报文允许分片,则将报文进行分片转发。
为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口MTU值,以减少分片的发生。
ARP(AddressResolutionProtocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
设备通过ARP协议解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发。
ARP表项分为两种:动态ARP表项、静态ARP表项。
动态ARP表项可以固化为静态ARP表项,但被固化后无法再恢复为动态ARP表项。
为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大个数来进行限制。
静态ARP表项通过手工创建或由动态ARP表项固化而来,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
在配置静态ARP表项时,如果管理员希望用户使用某个固定的IP地址和MAC地址通信,可以将该IP地址与MAC地址绑定;如果进一步希望限定用户只在指定VLAN的特定接口上连接,则需要进一步指定报文转发的VLAN和出接口。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
当静态ARP表项中的IP地址与VLAN虚接口的IP地址属于同一网段时,该静态ARP表项才能正常指导转发。
如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP。
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:
·普通代理ARP:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。
·本地代理ARP:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。
在配置本地代理ARP时,用户也可以指定进行ARP代理的IP地址范围。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址。
设备通过对外发送免费ARP报文来实现以下功能:
·确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
·设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。
(1)学习免费ARP报文功能
启用了学习免费ARP报文功能后,设备会根据收到的免费ARP报文中携带的信息(发送端IP地址、发送端MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文中的发送端IP地址对应的ARP表项:
如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;
如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭学习免费ARP报文功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭学习免费ARP报文功能,以节省ARP表项资源。
(2)回复免费ARP报文功能
开启回复免费ARP报文功能后,当设备收到非同一网段的ARP请求时发送免费ARP报文。关闭该功能后,设备收到非同一网段的ARP请求时不发送免费ARP报文。
(3)接口定时发送免费ARP报文功能
用户可以配置某些接口定时发送免费ARP报文,以便及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:
a.防止仿冒网关的ARP攻击
如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。
b.防止主机ARP表项老化
在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决。
不同设备支持配置的ARP攻击防御功能如下:
·接入设备支持配置的功能包括:ARPDetection。
(1)ARP防止IP报文攻击功能
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
设备向目的网段发送大量ARP请求报文,加重目的网段的负载。
设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。
为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:
ARP源抑制功能:如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
(2)ARP报文源MAC地址一致性检查功能
ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
(3)ARP主动确认功能
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。
启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。
使能严格模式后,新建ARP表项前,ARP主动确认功能会执行更严格的检查:
收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但不建立ARP表项;
收到ARP应答报文时,需要确认本设备是否对该报文中的源IP地址发起过ARP解析:若发起过解析,解析成功后则设备启动主动确认功能,主动确认流程成功完成后,设备可以建立该表项;若未发起过解析,则设备丢弃该报文。
(4)源MAC地址固定的ARP攻击检测功能
本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。
对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测、过滤。
(6)ARP扫描功能
启用ARP扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。
ARP扫描功能一般与ARP固化功能配合使用。ARP固化功能用来将当前的ARP动态表项(包括ARP扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效防止攻击者修改ARP表项。
建议在网吧这种环境稳定的小型网络中使用这两个功能。
(7)ARPDetection功能
ARPDetection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
ARPDetection包含三个功能:用户合法性检查、ARP报文有效性检查、ARP报文强制转发。
a.用户合法性检查
如果仅在VLAN上开启ARPDetection功能,则仅进行用户合法性检查。
对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于IPSourceGuard静态绑定表项的检查、基于DHCPSnooping表项的检查。只要符合任何一个,就认为该ARP报文合法,进行转发。如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
b.ARP报文有效性检查
对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
-源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文。
-目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,需要被丢弃。
-IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全1、或者组播IP地址都是不合法的,需要被丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
c.ARP报文强制转发
对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:
-对于ARP请求报文,通过信任接口进行转发。
-对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发。
DNS(DomainNameSystem,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与地址之间的转换。IPv4DNS提供域名和IPv4地址之间的转换,IPv6DNS提供域名和IPv6地址之间的转换。
设备作为DNS客户端,当用户在设备上进行某些应用(如Telnet到一台设备或主机)时,可以直接使用便于记忆的、有意义的域名,通过域名系统将域名解析为正确的地址。
使用动态域名解析时,需要手工指定域名服务器的地址。
动态域名解析通过向域名服务器查询域名和地址之间的对应关系来实现将域名解析为地址。
动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。例如,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。
使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:
·如果用户输入的域名中没有“.”,比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询。
·如果用户输入的域名中间有“.”,比如www.aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。
·如果用户输入的域名最后有“.”,比如aabbcc.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查询终止符。带有查询终止符的域名,称为FQDN(FullyQualifiedDomainName,完全合格域名)。
手工建立域名和地址之间的对应关系。当用户使用域名进行某些应用时,系统查找静态域名解析表,从中获取指定域名对应的地址。
DNS代理(DNSproxy)用来在DNSclient和DNSserver之间转发DNS请求和应答报文。局域网内的DNSclient把DNSproxy当作DNSserver,将DNS请求报文发送给DNSproxy。DNSproxy将该请求报文转发到真正的DNSserver,并将DNSserver的应答报文返回给DNSclient,从而实现域名解析。
使用DNSproxy功能后,当DNSserver的地址发生变化时,只需改变DNSproxy上的配置,无需改变局域网内每个DNSclient的配置,从而简化了网络管理。
IPv6(InternetProtocolVersion6,互联网协议版本6)是网络层协议的第二代标准协议,也被称为IPng(IPNextGeneration,下一代互联网协议),它是IETF(InternetEngineeringTaskForce,互联网工程任务组)设计的一套规范,是IPv4的升级版本。IPv6和IPv4之间最显著的区别为:地址的长度从32比特增加到128比特。
IPv6地址被表示为以冒号(:)分隔的一连串16比特的十六进制数。每个IPv6地址被分为8组,每组的16比特用4个十六进制数来表示,组和组之间用冒号隔开,比如:2001:0000:130F:0000:0000:09C0:876A:130B。
为了简化IPv6地址的表示,对于IPv6地址中的“0”可以有下面的处理方式:
·每组中的前导“0”可以省略,即上述地址可写为2001:0:130F:0:0:9C0:876A:130B。
·如果地址中包含一组或连续多组均为0的组,则可以用双冒号“::”来代替,即上述地址可写为2001:0:130F::9C0:876A:130B。
IPv6地址由两部分组成:地址前缀与接口标识。其中,地址前缀相当于IPv4地址中的网络号码字段部分,接口标识相当于IPv4地址中的主机号码部分。
地址前缀的表示方式为:IPv6地址/前缀长度。其中,前缀长度是一个十进制数,表示IPv6地址最左边多少位为地址前缀。
IPv6主要有三种类型的地址:单播地址、组播地址和任播地址。
·单播地址:用来唯一标识一个接口,类似于IPv4的单播地址。发送到单播地址的数据报文将被传送给此地址所标识的接口。
·组播地址:用来标识一组接口(通常这组接口属于不同的节点),类似于IPv4的组播地址。发送到组播地址的数据报文被传送给此地址所标识的所有接口。
·任播地址:用来标识一组接口(通常这组接口属于不同的节点)。发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近(根据使用的路由协议进行度量)的一个接口。
IPv6中没有广播地址,广播地址的功能通过组播地址来实现。
表2-5IPv6地址类型与格式前缀的对应关系
格式前缀(二进制)
IPv6前缀标识
简介
单播地址
未指定地址
00...0(128bits)
::/128
不能分配给任何节点。在节点获得有效的IPv6地址之前,可在发送的IPv6报文的源地址字段填入该地址,但不能作为IPv6报文中的目的地址
环回地址
00...1(128bits)
::1/128
不能分配给任何物理接口。它的作用与在IPv4中的环回地址相同,即节点用来给自己发送IPv6报文
链路本地地址
1111111010
FE80::/10
用于邻居发现协议和无状态自动配置中链路本地上节点之间的通信。使用链路本地地址作为源或目的地址的数据报文不会被转发到其他链路上
全球单播地址
其他形式
等同于IPv4公网地址,提供给网络服务提供商。这种类型的地址允许路由前缀的聚合,从而限制了全球路由表项的数量
11111111
FF00::/8
任播地址
从单播地址空间中进行分配,使用单播地址的格式
IPv6单播地址中的接口标识符用来唯一标识链路上的一个接口。目前IPv6单播地址基本上都要求接口标识符为64位。
不同接口的IEEEEUI-64格式的接口标识符的生成方法不同,分别介绍如下:
·所有IEEE802接口类型(例如,以太网接口、VLAN接口):IEEEEUI-64格式的接口标识符是从接口的链路层地址(MAC地址)变化而来的。IPv6地址中的接口标识符是64位,而MAC地址是48位,因此需要在MAC地址的中间位置(从高位开始的第24位后)插入十六进制数FFFE(1111111111111110)。为了使接口标识符的作用范围与原MAC地址一致,还要将Universal/Local(U/L)位(从高位开始的第7位)进行取反操作。最后得到的这组数就作为EUI-64格式的接口标识符。
·Tunnel接口:IEEEEUI-64格式的接口标识符的低32位为Tunnel接口的源IPv4地址,ISATAP隧道的接口标识符的高32位为0000:5EFE,其他隧道的接口标识符的高32位为全0。
·其他接口类型:IEEEEUI-64格式的接口标识符由设备随机生成。
IPv6全球单播地址可以通过下面几种方式配置:
·采用EUI-64格式形成:当配置采用EUI-64格式形成IPv6地址时,接口的IPv6地址的前缀需要手工配置,而接口标识符则由接口自动生成。
·手工配置:用户手工配置IPv6全球单播地址。
·无状态自动配置:根据接收到的RA报文中携带的地址前缀信息及使用EUI-64功能生成的接口标识,自动为接口生成IPv6全球单播地址。
·有状态获取地址:通过DHCPv6服务器自动获取IPv6地址。
一个接口上可以配置多个全球单播地址。
IPv6的链路本地地址可以通过两种方式获得:
·自动生成:设备根据链路本地地址前缀(FE80::/10)及使用EUI-64功能生成的接口标识,自动为接口生成链路本地地址。
·手工指定:用户手工配置IPv6链路本地地址。
每个接口只能有一个链路本地地址,为了避免链路本地地址冲突,推荐使用链路本地地址的自动生成方式。
配置链路本地地址时,手工指定方式的优先级高于自动生成方式。即如果先采用自动生成方式,之后手工指定,则手工指定的地址会覆盖自动生成的地址;如果先手工指定,之后采用自动生成的方式,则自动配置不生效,接口的链路本地地址仍是手工指定的。此时,如果删除手工指定的地址,则自动生成的链路本地地址会生效。
表2-6ND使用的ICMPv6消息
ICMPv6消息
类型号
作用
邻居请求消息NS(NeighborSolicitation)
获取邻居的链路层地址
验证邻居是否可达
进行重复地址检测
邻居通告消息NA(NeighborAdvertisement)
对NS消息进行响应
节点在链路层变化时主动发送NA消息,向邻居节点通告本节点的变化信息
路由器请求消息RS(RouterSolicitation)
133
节点启动后,通过RS消息向路由器发出请求,请求前缀和其他配置信息,用于节点的自动配置
路由器通告消息RA(RouterAdvertisement)
134
对RS消息进行响应
在没有抑制RA消息发布的条件下,路由器会周期性地发布RA消息,其中包括前缀信息选项和一些标志位的信息
重定向消息(Redirect)
137
当满足一定的条件时,缺省网关通过向源主机发送重定向消息,使主机重新选择正确的下一跳地址进行后续报文的发送
邻居表项保存的是设备在链路范围内的邻居信息,设备邻居表项可以通过邻居请求消息NS及邻居通告消息NA来动态创建,也可以通过手工配置来静态创建。
目前,静态邻居表项有两种配置方式:
·配置本节点的三层接口相连的邻居节点的IPv6地址和链路层地址。
·配置本节点VLAN中的二层端口相连的邻居节点的IPv6地址和链路层地址。
对于VLAN接口,可以采用上述两种方式来配置静态邻居表项:
·采用第一种方式配置静态邻居表项后,设备还需要解析该VLAN下的二层端口信息。
·采用第二种方式配置静态邻居表项后,需要保证该二层端口属于指定的VLAN,且该VLAN已经创建了VLAN接口。
本功能可以对链路本地ND表项(该ND表项的IPv6地址为链路本地地址)占用的资源进行优化。
缺省情况下,所有ND表项均会下发硬件表项。配置本功能后,新学习的、未被引用的链路本地ND表项(该ND表项的链路本地地址不是某条路由的下一跳)不下发硬件表项,以节省资源。
本功能只对后续新学习的ND表项生效,已经存在的ND表项不受影响。
本功能可以对设备发送的IPv6数据报文的跳数(即IPv6数据报文的HopLimit字段的值)进行配置。
IPv6支持有状态地址配置和无状态地址配置:
表2-7RA报文中的参数
参数
地址前缀/前缀长度
主机根据该地址前缀/前缀长度生成对应的IPv6地址,完成无状态自动配置操作
有效生命期
表示前缀有效期。在有效生命期内,通过该前缀自动生成的地址可以正常使用;有效生命期过期后,通过该前缀自动生成的地址变为无效,将被删除
首选生命期
不用于无状态配置标识
选择了该标识,则指定前缀不用于无状态地址配置
不是直连可达标识
选择了该标识,则表示该前缀不是当前链路上直连可达的
MTU
发布链路的MTU,可以用于确保同一链路上的所有节点采用相同的MTU值
不指定跳数限制标识
选择了该标识,则表示RA消息中不带有本设备的跳数限制
被管理地址配置标志位(Mflag)
用于确定主机是否采用有状态自动配置获取IPv6地址
如果选择了该标志位,主机将通过有状态自动配置(例如DHCPv6服务器)来获取IPv6地址;否则,将通过无状态自动配置获取IPv6地址,即根据自己的链路层地址及路由器发布的前缀信息生成IPv6地址
其他信息配置标志位(Oflag)
用于确定主机是否采用有状态自动配置获取除IPv6地址外的其他信息
如果选择了其他信息配置标志位,主机将通过有状态自动配置(例如DHCPv6服务器)来获取除IPv6地址外的其他信息;否则,将通过无状态自动配置获取其他信息
邻居请求重传间隔(RetransTimer)
配置路由优先级
(RouterPreference)
用于设置发布RA消息的路由器的路由器优先级,主机根据接收到的RA消息中的路由器优先级,可以选择优先级最高的路由器作为默认网关。在路由器的优先级相同的情况下,遵循“先来先用”的原则,优先选择先接收到的RA消息对应的发送路由器作为默认网关
如果NS请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理功能的设备就可以代答该请求,回应NA报文,这个过程称作ND代理(NDProxy)。
NDProxy功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
NDProxy功能根据应用场景不同分为普通NDProxy和本地NDProxy。
(1)普通NDProxy
图2-3普通ND代理的典型应用环境
在这种组网情况下,当HostA需要与HostB通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此HostA会直接发出请求HostB硬件地址的NS请求。但是,此时的两台主机处于不同的广播域中,HostB无法收到HostA的NS请求报文,当然也就无法应答。
通过在Device上启用普通NDProxy功能,可以解决此问题。在接口IntA和IntB上启用普通NDProxy后,Router可以应答HostA的NS请求。同时,Device作为HostB的代理,把其它主机发送过来的报文转发给HostB。这样,实现HostA与HostB之间的通信。
(2)本地NDProxy
图2-4本地ND代理的应用场景
在这种组网情况下,当HostA需要与HostB通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此HostA会直接发出请求HostB硬件地址的NS请求。但是,因为连接两台主机处于不同的VLAN中,HostB无法收到HostA的NS请求报文。
通过在DeviceA上启用本地NDProxy功能,可以解决此问题。在接口IntB上启用本地NDProxy后,DeviceA会代替HostB回应NA,HostA发给HostB的报文就会通过DeviceA进行转发,从而实现HostA与HostB之间的通信。
本地NDProxy可以在下列情况下实现主机之间的三层互通:
想要互通的主机分别连接到同一台设备的不同VLAN中的端口下;
想要互通的主机分别连接到同一个VLAN中的同一个隔离组内的不同二层隔离端口下。
开启SuperVLAN功能后,想要互通的主机属于不同的SubVLAN。
开启PrivateVLAN功能后,想要互通的主机属于不同的SecondaryVLAN。
设备可以通过NS消息和NA消息来动态获取邻居节点的链路层地址,并将其加入到邻居表中。为了防止部分接口下的用户占用过多的资源,可以通过设置接口学习动态邻居表项的最大个数来进行限制。当接口学习到的动态邻居表项的个数达到所设置的最大值时,该接口将不再学习动态邻居表项。
·使用动态域名解析查询主机名对应的IPv4地址时,优先向IPv4地址的域名服务器发送查询请求;如果查询失败,则再向IPv6地址的域名服务器发送查询请求。查询主机名对应的IPv6地址时,优先向IPv6地址的域名服务器发送查询请求;如果查询失败,则再向IPv4地址的域名服务器发送查询请求。
·域名服务器的优先级顺序为:先配置的域名服务器优先级高于后配置的域名服务器;设备上手工配置的域名服务器优先级高于通过DHCP等方式动态获取的域名服务器。设备首先向优先级最高的域名服务器发送查询请求,失败后再依次向其它域名服务器发送查询请求。
·添加的域名后缀的优先级顺序为:先配置的域名后缀优先级高于后配置的域名后缀;设备上手工配置的域名后缀优先级高于通过DHCP等方式动态获取的域名后缀。设备首先添加优先级最高的域名后缀,查询失败后再依次添加其它域名后缀。
IGMPsnooping(InternetGroupManagementProtocolsnooping,互联网组管理协议窥探)运行在二层设备上,通过侦听三层设备与接收者主机间的IGMP报文建立IGMPsnooping转发表,并根据该表指导组播数据的转发。
IGMPsnooping转发表的表项由VLAN、组播组地址、组播源地址和成员端口四个元素构成,其中成员端口是指二层设备上朝向组播组成员的端口。
MLDsnooping(MulticastListenerDiscoverysnooping,组播侦听者发现协议窥探)运行在二层设备上,通过侦听三层设备与接收者主机间的MLD报文建立MLDsnooping转发表,并根据该表指导IPv6组播数据的转发。
MLDsnooping转发表的表项由VLAN、IPv6组播组地址、IPv6组播源地址和成员端口四个元素构成,其中成员端口是指二层设备上朝向IPv6组播组成员的端口。
DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。
DHCP采用客户端/服务器通信模式,由客户端向服务器提出请求分配网络配置参数的申请,服务器返回为客户端分配的IP地址等配置信息,以实现IP地址等信息的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机)。如果DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。
在以下场合通常利用DHCP服务器来完成IP地址分配:
·网络规模较大,手工配置需要很大的工作量,并难以对整个网络进行集中管理。
·网络中主机数目大于该网络支持的IP地址数量,无法给每个主机分配一个固定的IP地址。例如,Internet接入服务提供商限制同时接入网络的用户数目,用户必须动态获得自己的IP地址。
·网络中只有少数主机需要固定的IP地址,大多数主机没有固定的IP地址需求。
DHCP服务器通过地址池来保存为客户端分配的IP地址、租约时长、网关信息、域名后缀、DNS服务器地址、WINS服务器地址、NetBIOS节点类型和DHCP选项信息。服务器接收到客户端发送的请求后,选择合适的地址池,并将该地址池中的信息分配给客户端。
DHCP服务器在将IP地址分配给客户端之前,还需要进行IP地址冲突检测。
(1)DHCP地址池
地址池的地址管理方式有以下几种:
静态绑定IP地址,即通过将客户端的硬件地址或客户端ID与IP地址绑定的方式,实现为特定的客户端分配特定的IP地址。
动态选择IP地址,即在地址池中指定可供分配的IP地址范围,当收到客户端的IP地址申请时,从该地址范围中动态选择IP地址,分配给该客户端。
在DHCP地址池中还可以指定这两种类型地址的租约时长。
DHCP服务器为客户端分配IP地址时,地址池的选择原则如下:
a.如果存在将客户端MAC地址或客户端ID与IP地址静态绑定的地址池,则选择该地址池,并将静态绑定的IP地址和其他网络参数分配给客户端。
b.如果不存在静态绑定的地址池,则按照以下方法选择地址池:
-如果客户端与服务器在同一网段,则将DHCP请求报文接收接口的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。
-如果客户端与服务器不在同一网段,即客户端通过DHCP中继获取IP地址,则将DHCP请求报文中giaddr字段指定的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。
(2)DHCP服务器分配IP地址的次序
DHCP服务器为客户端分配IP地址的优先次序如下:
a.与客户端MAC地址或客户端ID静态绑定的IP地址。
b.DHCP服务器记录的曾经分配给客户端的IP地址。
c.客户端发送的DHCP-DISCOVER报文中Option50字段指定的IP地址。Option50为客户端请求的IP地址选项(RequestedIPAddress),客户端通过在DHCP-DISCOVER报文中添加该选项来指明客户端希望获取的IP地址。该选项的内容由客户端决定。
d.按照动态分配地址选择原则,顺序查找可供分配的IP地址,选择最先找到的IP地址。
e.如果未找到可用的IP地址,则从当前匹配地址池中依次查询租约过期、曾经发生过冲突的IP地址,如果找到则进行分配,否则将不予处理。
(3)DHCP选项
DHCP利用选项字段传递控制信息和网络配置参数,实现地址动态分配的同时,为客户端提供更加丰富的网络配置信息。
Web页面为DHCP服务器提供了灵活的选项配置方式,在以下情况下,可以使用Web页面DHCP选项功能:
随着DHCP的不断发展,新的DHCP选项会陆续出现。通过该功能,可以方便地添加新的DHCP选项。
有些选项的内容,RFC中没有统一规定。厂商可以根据需要定义选项的内容,如Option43。通过DHCP选项功能,可以为DHCP客户端提供厂商指定的信息。
扩展已有的DHCP选项。当前已提供的方式无法满足用户需求时(比如通过Web页面最多只能配置8个DNS服务器地址,如果用户需要配置的DNS服务器地址数目大于8,则Web页面无法满足需求),可以通过DHCP选项功能进行扩展。
表2-8常用DHCP选项配置
选项编号
选项名称
推荐的选项填充类型
RouterOption
IP地址
DomainNameServerOption
DomainName
ASCII字符串
44
NetBIOSoverTCP/IPNameServerOption
46
NetBIOSoverTCP/IPNodeTypeOption
十六进制数串
TFTPservername
67
Bootfilename
43
VendorSpecificInformation
(4)DHCP服务器的IP地址冲突检测功能
为防止IP地址重复分配导致地址冲突,DHCP服务器为客户端分配地址前,需要先对该地址进行探测。
由于在IP地址动态获取过程中采用广播方式发送请求报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。
DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。
(1)DHCP中继用户地址表项记录功能
为了防止非法主机静态配置一个IP地址并访问外部网络,设备支持DHCP中继用户地址表项记录功能。
启用该功能后,当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与硬件地址的绑定关系,生成DHCP中继的用户地址表项。
(2)DHCP中继动态用户地址表项定时刷新功能
DHCP客户端释放动态获取的IP地址时,会向DHCP服务器单播发送DHCP-RELEASE报文,DHCP中继不会处理该报文的内容。如果此时DHCP中继上记录了该IP地址与MAC地址的绑定关系,则会造成DHCP中继的用户地址表项无法实时刷新。为了解决这个问题,DHCP中继支持动态用户地址表项的定时刷新功能。
如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会删除该IP地址对应的表项。
FTP用于在FTP服务器和FTP客户端之间传输文件,是IP网络上传输文件的通用协议。本设备可作为FTP服务器,使用20端口传输数据,使用21端口传输控制消息。
·当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户通过Telnet访问设备。
SSH是SecureShell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。
SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。
本设备可作为SSH服务器,为SSH客户端提供以下几种应用:
·SecureTelnet:简称Stelnet,可提供安全可靠的网络终端访问服务。
·SecureFTP:简称SFTP,基于SSH2,可提供安全可靠的网络文件传输服务。
·SecureCopy:简称SCP,基于SSH2,可提供安全的文件复制功能。
SSH协议有两个版本,SSH1.x和SSH2.0(本文简称SSH1和SSH2),两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。设备作为SSH服务器时,非FIPS模式下支持SSH2和SSH1两个版本,FIPS模式下只支持SSH2版本。
设备作为SSH服务器时,利用本地密码认证机制验证SSH客户端的用户名和密码的合法性。身份认证通过后,SSH客户端将与SSH服务器建立相应的会话,并在该会话上进行数据信息的交互。
NTP通过时钟层数来定义时钟的准确度。时钟层数的取值范围为1~15,取值越小,时钟准确度越高。
通过Web页面可以配置本地时钟作为参考时钟。
LLDP(LinkLayerDiscoveryProtocol,链路层发现协议)提供了一种标准的链路层发现方式,可以将本端设备的信息(包括主要能力、管理地址、设备标识、接口标识等)组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(LinkLayerDiscoveryProtocolDataUnit,链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB(ManagementInformationBase,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
LLDP代理是LLDP协议运行实体的一个抽象映射。一个接口下,可以运行多个LLDP代理。目前LLDP定义的代理类型包括:最近桥代理、最近非TPMR桥代理和最近客户桥代理。LLDP在相邻的代理之间进行协议报文交互,并基于代理创建及维护邻居信息。
当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期设置为快速发送周期,并连续发送指定数量(快速发送LLDP报文的个数)的LLDP报文后再恢复为正常的发送周期。
如果开启了发送LLDPTrap功能,设备可以通过向网管系统发送Trap信息以通告如发现新的LLDP邻居、与原来邻居的通信链路发生故障等重要事件。
TLV是组成LLDP报文的单元,每个TLV都代表一个信息。LLDP可以封装的TLV包括基本TLV、802.1TLV、802.3TLV和LLDP-MED(LinkLayerDiscoveryProtocolMediaEndpointDiscovery,链路层发现协议媒体终端发现)TLV。
基本TLV是网络设备管理基础的一组TLV,802.1TLV、802.3TLV和LLDP-MEDTLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送。
包过滤是指采用ACL规则对接口入方向或出方向的报文进行过滤,即对匹配上ACL规则的报文按照其中定义的匹配动作允许或拒绝通过,对未匹配上任何ACL规则的报文则按照指定的缺省动作进行处理。
QoS即服务质量。对于网络业务,影响服务质量的因素包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。
QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,灵活地进行QoS配置。
类用来定义一系列的规则来对报文进行分类。
流行为用来定义针对报文所做的QoS动作。
策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。
设备支持基于接口应用QoS策略,对通过接口接收或发送的流量生效。接口的每个方向(出和入两个方向)只能应用一个策略。如果QoS策略应用在接口的出方向,则QoS策略对本地协议报文不起作用。一些常见的本地协议报文如下:链路维护报文、SSH等。
报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。
优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。
如果配置了优先级信任模式,即表示设备信任所接收报文的优先级,会自动解析报文的优先级或者标志位,然后按照映射表映射到报文的优先级参数。
如果没有配置优先级信任模式,并且配置了端口优先级值,则表明设备不信任所接收报文的优先级,而是使用端口优先级,按照映射表映射到报文的优先级参数。
·配置端口优先级
按照接收端口的端口优先级,设备通过一一映射为报文分配优先级。
·配置优先级信任模式
根据报文自身的优先级,查找优先级映射表,为报文分配优先级参数,可以通过配置优先级信任模式的方式来实现。
在配置接口上的优先级模式时,用户可以选择下列信任模式:
·Untrust:不信任任何优先级。
·Dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射。
·DSCP:信任IP报文自带的DSCP优先级,以此优先级进行优先级映射。
设备中提供了多张优先级映射表,如果缺省优先级映射表无法满足用户需求,可以根据实际情况对映射表进行修改。
ACL(AccessControlList,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
表3-1ACL分类
ACL分类
规则制定依据
IPv4ACL
基本ACL
依据报文的源IPv4地址制订规则
高级ACL
依据报文的源/目的IPv4地址、源/目的端口号、优先级、承载的IPv4协议类型等三、四层信息制订规则
IPv6ACL
依据报文的源IPv6地址制订规则
依据报文的源/目的IPv6地址、源/目的端口号、优先级、承载的IPv6协议类型等三、四层信息制订规则
二层ACL
依据报文的源/目的MAC地址、802.1p优先级、链路层协议类型等二层信息
一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:
·配置顺序:按照规则编号由小到大进行匹配。
表3-2各类型ACL的“深度优先”排序法则
1.先比较源IPv4地址的范围,较小者(即通配符掩码中“0”位较多者)优先
2.如果源IPv4地址范围相同,再比较配置的先后次序,先配置者优先
3.先比较协议范围,指定有IPv4承载的协议类型者优先
4.如果协议范围相同,再比较源IPv4地址范围,较小者优先
5.如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先
6.如果目的IPv4地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先
7.如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先
8.先比较源IPv6地址的范围,较小者(即前缀较长者)优先
9.如果源IPv6地址范围相同,再比较配置的先后次序,先配置者优先
10.先比较协议范围,指定有IPv6承载的协议类型者优先
11.如果协议范围相同,再比较源IPv6地址范围,较小者优先
12.如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先
13.如果目的IPv6地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先
14.如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先
15.先比较源MAC地址范围,较小者(即掩码中“1”位较多者)优先
16.如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先
17.如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先
比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。
比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:前缀越长,范围越小。
比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
每条规则都有自己的编号,这个编号可由手工指定或由系统自动分配。由于规则编号可能影响规则的匹配顺序,因此当系统自动分配编号时,为方便后续在已有规则之间插入新规则,通常在相邻编号之间留有一定空间,这就是规则编号的步长。系统自动分配编号的方式为:从0开始,按照步长分配一个大于现有最大编号的最小编号。比如原有编号为0、5、9、10和12的五条规则,步长为5,则系统将自动为下一条规则分配编号15。如果步长发生了改变,则原有全部规则的编号都将自动从0开始按新步长重新排列。比如原有编号为0、5、9、10和15的五条规则,当步长变为2后,这些规则的编号将依次变为0、2、4、6和8。
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问。
802.1X系统中包括三个实体:
·客户端:请求接入局域网的用户终端,由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。
·设备端:局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口,并通过与认证服务器的交互来对所连接的客户端进行认证。
在接入设备上,802.1X认证方法有三种方式:
·CHAP或PAP认证方法。在这种方式下,设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP或CHAP方法进行认证。CHAP以密文的方式传送密码,而PAP是以明文的方式传送密码。
·EAP认证方法。在这种方式下,设备端对收到的EAP报文进行中继,使用EAPOR(EAPoverRADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器。
端口支持以下两种接入控制方式:
·基于端口认证:只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
·基于MAC认证:该端口下的所有接入用户均需要单独认证,当某个用户下线后,也只有该用户无法使用网络。
在线用户握手功能处于开启状态的前提下,还可以通过开启在线用户握手安全功能,来防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。
设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如WindowsXP自带的802.1X客户端。设备主动触发认证的方式分为以下两种:
·单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
EAD(EndpointAdmissionDefense,端点准入防御)作为一个网络端点接入控制方案,它通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动,加强了对用户的集中管理,提升了网络的整体防御能力。但是在实际的应用过程中EAD客户端的部署工作量很大,例如,需要网络管理员手动为每一个EAD客户端下载、升级客户端软件,这在EAD客户端数目较多的情况下给管理员带来了操作上的不便。
802.1X认证支持的EAD快速部署功能就可以解决以上问题,它允许未通过认证的802.1X用户访问一个指定的IP地址段(称为FreeIP),并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的。
根据是否为用户主动发起认证,可以将Portal认证分为主动认证和强制认证两种类型:用户可以主动访问已知的PortalWeb服务器网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证;用户访问任意非PortalWeb服务器网站时,被强制访问PortalWeb服务器网站,继而开始Portal认证的过程称作强制认证。
Portal认证是一种灵活的访问控制技术,可以在接入层以及需要保护的关键数据入口处实施访问控制,具有如下优势:
·可以不安装客户端软件,直接使用Web页面认证,使用方便。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
·MAC地址未被端口学习到的用户报文;
·未通过认证的用户报文。
设备支持的认证方法包括:
·不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方法。
·本地认证:认证过程在接入设备上完成,用户信息(包括用户名、密码和各种属性)配置在接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
·远端认证(RADIUS):认证过程在接入设备和远端的服务器之间完成,接入设备和远端服务器之间通过RADIUS协议通信。优点是用户信息集中在服务器上统一管理,可实现大容量、高可靠性、支持多设备的集中式统一认证。当远端服务器无效时,可配置备选认证方式完成认证。
设备支持的计费方法包括:
·不计费:不对用户计费。
·本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
·远端计费(RADIUS):计费过程在接入设备和远端的服务器之间完成。当远端服务器无效时,可配置备选计费方式完成计费。
·LAN接入用户:例如802.1X认证用户。
·Portal用户。
用户认证时,设备将按照如下先后顺序为其选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域,例如802.1X认证。
·RADIUS客户端:一般位于接入设备上,可以遍布整个网络,负责将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
RADIUS协议使用UDP作为封装RADIUS报文的传输层协议,通过使用共享密钥机制来保证客户端和RADIUS服务器之间消息交互的安全性。
·Accounting-on功能
·Sessioncontrol功能
需要注意的是,该功能仅能和H3C的iMCRADIUS服务器配合使用。
为使某个请求网络服务的用户可以通过本地认证,需要在设备上添加相应的用户条目。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。
为了简化用户的配置,增强用户的可管理性,引入了用户组的概念。用户组是一系列公共用户属性的集合,某些需要集中管理的公共属性可在用户组中统一配置和管理,属于该用户组的所有用户都可以继承这些属性。
随着无线智能终端的快速发展,对于来公司参观的访客,公司需要提供一些网络服务。这些访客成员通常为供应商、贵宾、听众或者是其他合作伙伴等。当访客用自己的手机、笔记本、IPAD等终端接入公司网络时,涉及到用户账号注册,以及访问权限控制的问题。为了简化访客的注册和审批流程,以及对访客权限的管理控制,提供了来宾用户管理功能,具体包括:
·手工添加来宾用户:手工创建来宾用户,并配置相应的来宾用户属性。
·导入来宾用户:将指定路径CSV文件的来宾帐户信息导入到设备上,并生成相应的来宾用户。
·批量创建来宾用户:批量生成一系列来宾用户,相应的用户名和密码按照指定规律生成。
·导出来宾用户:将设备上的来宾帐户信息导出到指定路径CSV文件中供其它设备使用。
·来宾用户的注册与审批,具体过程如下:
(2)设备收到来宾用户的注册信息后,记录该注册信息,并向来宾管理员发送一个注册申请通知邮件。
(3)来宾管理员收到注册申请通知邮件之后,在Web页面上对注册用户进行编辑和审批。
(5)来宾用户创建之后,设备将自动发送邮件通知来宾用户或来宾接待人用户注册成功,向他们告知来宾用户的密码及有效期信息。
(6)来宾用户收到注册成功通知后,将可以使用注册的帐户访问网络。
·来宾用户过期自动删除功能:设备定时检查本地来宾用户是否过期并自动删除过期的用户。
·邮件通知功能:向来宾、来宾接待人、来宾管理员发送帐户审批、密码信息的邮件。
目前BYOD支持的用户终端特征包括:DHCPOption55、HTTPUserAgent和MAC地址。
·DHCPOption55:DHCP请求参数列表选项,终端利用该选项指明需要从服务器获取哪些网络配置参数。
·HTTPUserAgent:属于HTTP请求报文头域的一部分,用于携带终端访问Web页面时所使用的操作系统(包括版本号)、浏览器(包括版本号)等信息。
·MAC地址:终端的MACOUI信息或终端所属的MAC地址范围。
同一个特征只能对应一种终端类型,但一种终端类型可以对应多个特征。不同终端特征的识别优先级由高到低为:DHCPOption55指纹->HTTPUserAgent指纹->MAC地址指纹。
系统中已经预定义了一系列常用的BYOD规则,用户也可以根据实际组网需求通过命令行添加规则。
设备在运行过程中会生成系统日志。日志中记录了管理员在设备上进行的配置、设备的状态变化以及设备内部发生的重要事件等,为用户进行设备维护和故障诊断提供参考。
表4-1日志信息等级列表
级别
严重程度
Emergency
Alert
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限
Critical
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等
Error
表示错误信息,如接口链路状态变化等
Warning
表示警告信息,如接口连接断开,内存耗尽告警等
Notification
Informational
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等
Debugging
表示调试过程产生的信息
(1)查看系统日志
您可以在系统日志页面查看系统日志,并可通过如下任一方法查询指定的系统日志:
在查询框中输入查询条件并回车,完成系统日志的查询。
(2)查看系统日志详情
表4-2日志详情
项目
模块名
表示系统日志所属的模块
表示系统日志的级别
助记符
表示该日志信息的概述,是一个不超过32个字符的字符串
表示系统日志的详情描述
(3)清除系统日志
点击页面右上角的<清除>按钮,在弹出的[确认提示]页面,点击<是>按钮,完成系统日志的清除。
当设备发生断电、重启等情况或手动清除系统日志会导致页面中的系统日志被清除,且清除的系统日志无法找回。
系统可以向日志缓冲区(logbuffer)、日志主机(loghost)等方向发送日志信息。日志信息的各个输出方向相互独立,可在页面中分别设置。
设备上的一个存储介质即称为一个文件系统。
本功能用于对设备Flash中存储的文件进行统一的管理。您可以通过本页面查看Flash的总空间、已用空间和剩余空间大小,以及对文件进行查询、上传、删除和下载等操作。
在本页面进行文件管理操作时,需首先选中文件归属的Flash。
设备支持固定存储介质flash,其文件系统名称为flash:。
设备除了固定存储介质外还支持可插拔存储介质U盘、硬盘,可插拔存储介质的文件系统名称由存储介质类型、存储介质编号、分区编号和冒号组成:
·存储介质类型:U盘的类型名称为“usb”。
·存储介质编号:同类型的存储介质以英文小写字母a开始进行排序,例如“usba”表示第一个U盘。
·分区编号:一个存储介质上的分区以数字0开始进行排序,例如“usba0”表示第一个U盘上的第一个分区。
·冒号:作为存储介质名称的结束符,例如第一个U盘的完整名称为“usba0:”。
文件系统名称中的英文字符输入时区分大小写,必须为小写字符。
本设备的文件系统采用树形目录结构,用户可以通过文件夹操作来改变目录层级,方便的管理文件。
(1)根目录
根目录用“/”来表示。
(2)工作目录
工作目录也被称为当前工作目录。
(3)文件夹的命名
文件夹名称中可以包含数字、字母或特殊字符(除了*|\/<>":)。给文件夹命名时,首字母请不要使用“.”。因为系统会把名称首字母为“.”的文件夹当成隐藏文件夹。
(4)常用文件夹
设备出厂时会携带一些文件夹,在运行过程中可能会自动产生一些文件夹,这些文件夹包括:
·diagfile:用于存放诊断信息文件的文件夹
·license:用于存放License文件的文件夹
·logfile:用于存放日志文件的文件夹
·seclog:用于存放安全日志文件的文件夹
·versionInfo:用于存放版本信息文件的文件夹
·其它名称的文件夹
(1)文件的命名
文件名中可以输入以数字、字母、特殊字符为组合的字符串(除了*|\/<>":)。给文件命名时,首字母请不要使用“.”。因为系统会把名称首字母为“.”的文件当成隐藏文件。
(2)常见文件类型
设备出厂时会携带一些文件,在运行过程中可能会自动产生一些文件,这些文件包括:
·xx.ipe(复合软件包套件,是启动软件包的集合)
·xx.bin(启动软件包)
·xx.cfg(配置文件)
·xx.mdb(二进制格式的配置文件)
·xx.log(用于存放日志的文件)
·其它后缀的文件
(3)隐藏文件和文件夹
文件/文件夹分为隐藏的、非隐藏的。因为有些系统文件/文件夹是隐藏文件/文件夹,所以对于隐藏文件/文件夹,请不要修改或删除,以免影响对应功能;对于非隐藏的文件/文件夹,请完全了解它的作用后再执行文件/文件夹操作,以免误删重要文件/文件夹。
·在执行文件系统操作过程中,禁止对存储介质进行插拔操作。否则,可能会引起文件系统的损坏。
·当用户占用可插拔存储介质的资源(如用户正在访问某个目录或正在打开文件等)时,存储介质被强制拔出。此时,请先释放占用的存储介质的资源(如切换目录、关闭打开的文件等),再插入存储介质。否则,存储介质被插入后可能不能被识别。
·当需要对U盘进行写文件系统操作,请确保没有将U盘写保护。如果U盘写保护了,这些操作将执行失败。其它文件系统操作不受写保护开关影响。
·如果文件系统达到最大容量,设备性能或某些功能会受到影响,为保证设备正常运行,需及时清除设备中的冗余文件。
·系统文件(如文件格式如.bin的文件)请谨慎删除,否则可能会影响设备正常启动和运行。
表4-3文件参数描述表
文件参数
文件名
文件或文件夹的保存路径及文件名
大小(字节)
文件或文件夹的大小,单位为字节
日期
是否为文件夹
标记是否为文件夹
文件操作是指对指定的文件路径下的文件进行相应操作,目前文件操作分为以下三类:
·上传:设备支持上传版本文件、配置文件、证书、本地portal页面、MAP文件、特殊AP版本文件等。
·下载:设备支持下载版本文件、配置文件、一键诊断信息及之前上传的信息文件等。
·删除:设备支持选择删除设备上的非隐性文件。
目前删除之后的文件无法恢复,请确保删除文件准确无误。
配置思路:
(1)查看文件或文件夹
您可以在文件管理页面查看文件或文件夹,并可通过如下任一方法查询指定的文件或文件夹:
在本页面中,选择目标Flash,然后在查询框中输入查询条件,完成文件或文件夹的查询。
在本页面中,选择目标Flash,点击页面中的<高级查询>按钮,在弹出的[高级查询]页面输入查询条件,并点击该页面的<查询>按钮,完成文件或文件夹的高级查询。
注意,文件参数“文件名”、“大小”、“日期”和“是否为文件夹”均可作为查询条件。
(2)删除文件或文件夹
您可以通过如下任一方法删除文件或文件夹:
删除单个文件或文件夹
在本页面中,选择目标Flash,将鼠标移到目标文件或文件夹所在的行,点击该行右侧出现的“”图标,在弹出的[确认提示]页面,点击<是>按钮,完成单个文件或文件夹的删除。
批量删除文件或文件夹
在本页面中,选择目标Flash,点击勾选页面上一个或多个文件或文件夹左侧方框,点击<删除>按钮,在弹出的[确认提示]页面,点击<是>按钮,完成批量文件或文件夹的删除。
(3)下载文件
a.在本页面中,选择目标Flash,点击勾选页面上文件左侧方框。
b.点击<下载>按钮,可将文件下载到本地。
一次只能下载一个文件,不能多个文件同时下载。
只能下载文件,不能下载文件夹。
(4)上传文件
a.在本页面中,选择目标Flash,点击<上传>按钮,在[上传文件]窗口,点击选择文件,然后选择需要上传的文件。
b.点击<确定>按钮,可将文件从本地上传到设备。
激活文件包的安装过程和激活文件相同,下文以激活文件为例,激活文件包的配置不再赘述。
在申请激活文件之前,请先通过压缩页面查看设备可安装的激活文件个数和已安装的激活文件个数,申请的激活文件个数和已安装的激活文件个数之和不能大于可安装的激活文件个数。如果License存储区的空间不足,请压缩License存储区。
采用本地手动安装方式安装License时,请参照以下步骤进行:
(1)通过License和特性页签查看哪些特性需要安装License、是否已经安装License、以及已安装的License的简要信息。
(3)获取DID和SN。
采用在线自动安装方式安装License时,请参照以下步骤进行:
当用户不需要使用License时,可以通过License配置页签,选择需要卸载的License进行卸载。
(2)通过License配置页签中的详情功能查看设备A的卸载码。
(4)根据设备B的SN、DID和设备A的卸载码申请新的激活文件。
通用注意事项:
对于一台设备,请不要多个用户同时进行License操作,以免操作失败。
用户在安装License时,系统会自动搜索存储介质上是否存在该License对应的软件包,如果存在一个,则直接自动安装该软件包;如果存在多个,则直接自动安装最先搜索到的软件包。
用户在卸载License时,系统会自动搜索该License对应的软件包是否在运行,如果正在运行,则会直接自动卸载该软件包。
正式License过期后不能卸载。过期后的License会一直占用License存储区。如果License存储区空间耗尽,会导致新的License安装失败。可通过压缩License存储区来释放License存储区空间。
在压缩License存储区前,请完成以下操作:
·备份卸载码。卸载临时License不会产生卸载码。
·并确保使用旧DID申请的License已经安装完毕,否则,License存储区压缩后,使用旧DID申请的License将无法继续安装。
如果由于HTTP客户端的系统、浏览器等原因导致没有获取到激活文件,且无法重新申请激活文件时,请联系技术支持人员。
对激活文件的要求:
用户获取到激活文件之后请妥善保存并备份,以免不慎丢失。
请不要打开激活文件,以免影响文件的格式,导致文件无效。
请不要删除设备上处于Inuse或Usable状态的激活文件,以免影响对应特性的正常运行。如果误删了这样的激活文件,请手工将备份的激活文件拷贝到License文件夹下进行恢复。如果恢复激活文件后,License已处于Inuse状态,但某些需要该License的特性仍然不能正常使用,请重启设备来进行修复。
在该页面可以将设备DID文件下载到本地。
查看设备上是否已经安装了License以及已安装的License的简要信息。
·角色管理:对用户可执行的系统功能以及可操作的系统资源权限的管理。
管理员帐户支持的用户属性包括:
·用户名
·密码
·状态:激活或禁用。
·可用服务:管理员使用的网络服务,可包括Terminal(即从Console口、AUX口、Async口接入)、Telnet、FTP、HTTP、HTTPS、PAD和SSH。
·同时在线最大用户数:允许同时使用该账户在线的用户数目。如果不设置该值,则表示不限制使用该账户在线的用户数。需要注意的是,使用FTP服务的管理员不受此配置限制。
·FTP目录:管理员通过FTP方式访问设备时的工作路径,例如flash:/abc。
密码最小长度
是否允许密码中包含用户名或颠倒的用户名
是否允许密码中包含连续三个或以上相同字符
密码组成元素的最少类型,以及至少要包含每种元素的个数
·通过角色规则实现对系统功能的操作权限的控制。例如,定义用户角色规则允许用户配置A功能,或禁止用户配置B功能。
·通过资源控制策略实现对系统资源(接口、VLAN)的操作权限的控制。例如,定义资源控制策略允许用户操作VLAN10,禁止用户操作接口GigabitEthernet1/0/1。
(1)角色规则
一个角色中可以包含多条规则,规则定义了允许/禁止用户操作某类实体的权限。
系统支持的实体类型包括:
·命令行:控制用户权限的最小单元,具体可分为读、写、执行类型的命令行。
·Web菜单:通过Web对设备进行配置时,各配置页面以Web菜单的形式组织,按照层次关系,形成多级菜单的树形结构。
·XML元素:与Web菜单类似,XML对于配置对象的组织也呈现树状结构,每一个XML元素代表XML配置中的一个XML节点。
·SNMPOID:对象标识符,SNMP协议通过OID唯一标识一个被管理对象。
对实体的操作权限包括:
·读权限:可查看指定实体的配置信息和维护信息。
·执行权限:可执行特定的功能,如与FTP服务器建立连接。
定义一个规则,就等于约定允许或禁止用户针对某类实体具有哪些操作权限,具体分为:
·控制命令行的规则:用来控制一条命令或者与指定的命令特征字符串相匹配的一类命令是否允许被执行。
·控制特性的规则:用来控制特性包含的命令是否允许被执行。因为特性中的每条命令都属于读类型、写类型或执行类型,所以在定义该类规则时,可以精细地控制特性所包含的读、写或执行类型的命令能否被执行。
·控制特性组的规则:此规则和基于特性的规则类似,区别是一条基于特性组的规则中可同时对多个特性包含的命令进行控制。
·控制Web菜单的规则:用来控制指定的Web菜单选项是否允许被操作。因为每个菜单项中的操作控件具有相应的读,写或执行属性,所以定义基于Web菜单的规则时,可以精细地控制菜单项中读、写或执行控件的操作。
·控制XML元素的规则:用来控制指定的XML元素是否允许被执行。XML元素也具有读,写或执行属性。
·控制OID的规则:用来控制指定的OID是否允许被SNMP访问。OID具有读,写和执行属性。
(2)资源控制策略
资源控制策略规定了用户对系统资源的操作权限,对接口/VLAN的操作是指创建、配置、删除和应用接口/VLAN。
(3)缺省角色
表4-4系统预定义的角色名和对应的权限
角色名
权限
network-admin
可操作系统所有功能和资源
network-operator
可允许用户对所有Web菜单选项进行读操作
level-n(n=0~15)
·level-0~level-14:无缺省权限,需要管理员为其配置权限
·level-15:具有与network-admin角色相同的权限
security-audit
安全日志管理员,仅具有安全日志文件的读、写、执行权限
guest-manager
可操作与来宾有关的Web页面
(1)密码长度检查
管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的最小长度,系统将不允许设置该密码。
(2)密码组合检查
管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:
·[A~Z]
·[a~z]
·[0~9]
·32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合类型有4种,具体涵义如下:
·组合类型为1表示密码中至少包含1种元素;
·组合类型为2表示密码中至少包含2种元素;
·组合类型为3表示密码中至少包含3种元素;
·组合类型为4表示密码中包含4种元素。
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
(3)密码复杂度策略
·密码中不能包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。
·密码中不能包含用户名或者字符顺序颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。
(4)密码更新管理
(5)密码老化管理
(6)密码过期提醒
(8)密码历史记录
系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将给出错误信息,提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码逐一与所有记录的历史密码以及当前密码比较,要求新密码至少要与旧密码有4字符不同,且这4个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
(9)密码尝试次数限制
密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。
每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口或AUX口连接到设备的用户。
·由于本地用户缺省就拥有一个角色,如果要赋予本地用户新的角色,请确认是否需要保留这个缺省的角色,若不需要,请删除。
·系统中唯一一个拥有安全日志管理员角色的用户不可被删除。
·安全日志管理员角色与其它角色互斥,在给用户配置了安全日志管理员角色的情况下,不能再为用户配置其他角色,反之亦然。
·密码历史记录管理功能关闭后,系统仍然记录历史密码,但不对设置的用户密码进行历史密码检查。
·由于FTP用户不支持计费,因此FTP用户不受同时在线最大用户数限制。
表4-5NTP时钟源工作模式
模式
工作过程
应用场合
服务器模式
对等体模式
配置文件功能用来对设备的配置进行查看或管理。
系统当前正在运行的配置称为当前配置。它包括启动配置和设备运行过程中用户进行的配置。当前配置存放在设备的临时缓存中。
该功能共有两种保存方式。
·保存到下次启动配置文件,使当前配置在设备重启后仍生效,否则设备重启后将恢复为出厂配置。
·保存到指定配置文件,将当前配置保存在设备的固定存储介质flash中。
保存配置时,系统将自动生成一个文本类型的配置文件和一个二进制类型的配置文件,两个文件的内容完全相同。
·文本类型配置文件:后缀名为“.cfg”,可以使用文本编辑器修改该文件的内容。文本类型配置文件可以单独保存到存储介质中,无需对应的二进制类型的配置文件。
·二进制类型配置文件:后缀为“.mdb”,仅能够使用软件解析该类配置文件,用户不能读取和编辑文件内容。二进制类型的配置文件不能单独保存到存储介质中,必须有对应的文本类型的配置文件。该类型配置文件的加载速度快,设备启动时优先使用该类型配置文件。
图4-1文本类型配置文件和二进制类型配置文件的选择规则
如无特殊说明,下文描述的配置文件均指文本类型的配置文件。
将当前配置文件导出为.cfg格式文件保存在本地。
将指定配置文件上传到设备后,该文件将会被设置为下次启动配置文件。导入的配置将在设备重启后生效。
勾选立即执行导入的配置文件后,系统会立即用导入的配置替换当前运行的配置,无需重启设备。
可以在该页面查看当前设备的所有配置。
设备在出厂时,通常会带有一些基本的配置,称为出厂配置。它用来保证设备在没有配置文件或者配置文件损坏的情况下,能够正常启动、运行。
当使用场景更改,或者设备出现故障时,可以将设备恢复出厂配置,仅保留.bin和License文件和apimge文件夹。
如果希望完善当前软件版本漏洞或者更新应用功能,需通过版本升级功能来实现,在该页面可以对设备版本进行升级。
在该页面可以手动重启设备,有两种重启方式。
·保存配置后重启,重启后设备依然保持当前配置。
·不进行任何检查直接重启,未保存配置在设备重启后会丢失。
在该页面可以查看设备的信息。
·设备名称。
·设备序列号。
·设备型号。
·设备描述。
·设备位置。
·联系方式。
系统提供了诊断信息收集功能,便于用户对错误进行诊断和定位。
通过使用Ping功能,用户可以检查指定地址的设备是否可达,测试链路是否通畅。
通过使用Tracert功能,用户可以查看IP报文从源端到达目的端所经过的三层设备,从而检查网络连接是否可用。当网络出现故障时,用户可以使用该功能分析出现故障的网络节点。
WCG内置ACG功能,可以实现应用控制和安全审计、防病毒等功能。
WCG内置物联网平台功能,负责管理物联网设备和终端,并实现物联网终端数据的收集与管理。
通过在WCG中控网关上安装WBC插卡,可以使WCG支持内置云简网络,实现统一运维和整网智能运维,支持整网设备配置统一下发,支持设备健康度、网络健康度评估等功能,能够实时计算并展示终端体验、整网设备的运行情况。
不同款型规格的资料略有差异,详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!