• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C WX2500X-LI系列无线控制器产品 Web配置指导(专家模式)(E5605)-5W100

  • 发布时间:2021/12/29 19:17:19
  • 浏览量:
  • 下载量:

04-功能介绍

本章节下载  (1.55 MB)

04-功能介绍

  录

1 无线配置

1.1 无线服务

1.1.1 无线接入

1.1.2 链路层认证与密钥管理

1.1.3 授权

1.1.4 入侵检测

1.1.5 基于ACL的接入控制

1.2 AP管理

1.2.1 CAPWAP隧道

1.2.2 AP组

1.2.3 AP全局配置

1.2.4 预配置

1.2.5 区域码

1.2.6 自动AP

1.2.7 AC备份

1.2.8 LED闪烁模式

1.2.9 AP的配置文件

1.3 无线QoS

1.3.1 客户端限速

1.3.2 智能带宽保障

1.3.3 无线多媒体

1.4 射频管理

1.4.1 射频模式

1.4.2 信道

1.4.3 功率

1.4.4 速率

1.4.5 MCS

1.4.6 VHT-MCS

1.4.7 HE-MCS

1.4.8 射频基础功能

1.4.9 802.11n功能

1.4.10 802.11ac功能

1.4.11 802.11ax功能

1.4.12 定时关闭射频

1.4.13 射频优化

1.4.14 频谱分析

1.4.15 负载均衡

1.4.16 频谱导航

1.5 无线安全

1.5.1 WIPS

1.5.2 黑白名单

1.6 漫游

1.6.1 漫游组

1.7 应用

1.7.1 Mesh服务

1.7.2 组播优化

1.7.3 无线定位

1.7.4 Bonjour网关

1.7.5 探针

2 网络配置

2.1 接口

2.1.1 接口

2.1.2 链路聚合

2.1.3 PPPoE

2.2 链路

2.2.1 VLAN

2.2.2 VLAN组

2.2.3 MAC

2.2.4 STP

2.2.5 DHCP Snooping

2.3 路由

2.3.1 路由表

2.3.2 静态路由

2.3.3 RIP

2.4 IP

2.4.1 NAT

2.4.2 IP

2.4.3 ARP

2.4.4 IPv4 DNS

2.4.5 动态DNS

2.5 IPv6

2.5.1 IPv6

2.5.2 ND

2.5.3 IPv6 DNS

2.6 组播

2.6.1 IGMP Snooping

2.6.2 MLD Snooping

2.7 管理协议

2.7.1 DHCP

2.7.2 HTTP/HTTPS

2.7.3 FTP

2.7.4 Telnet

2.7.5 SSH

2.7.6 NTP

2.7.7 LLDP

3 网络安全

3.1 流策略

3.1.1 包过滤

3.1.2 QoS流策略

3.1.3 优先级映射

3.2 访问控制

3.2.1 ACL分类

3.2.2 ACL规则匹配顺序

3.2.3 ACL规则编号

3.3 接入认证

3.3.1 MAC地址认证

3.3.2 802.1X

3.3.3 Portal

3.3.4 端口安全

3.4 AAA

3.4.1 ISP域

3.4.2 RADIUS

3.4.3 本地认证

3.5 用户管理

3.6 来宾管理

3.7 BYOD

3.7.1 BYOD规则

3.7.2 BYOD授权

4 应用安全

4.1 流量统计

4.2 应用组

4.3 对象组

4.4 安全动作

4.5 安全策略

4.6 应用审计

4.6.1 审计策略

4.6.2 过滤条件

4.6.3 审计规则

4.7 应用限速

4.8 入侵防御

4.8.1 入侵防御的优势

4.8.2 入侵防御特征

4.8.3 入侵防御动作

4.8.4 入侵防御实现流程

4.9 URL过滤

4.9.1 URL简介

4.9.2 URL过滤规则

4.9.3 URL过滤分类

4.9.4 URL过滤配置文件

4.9.5 URL过滤黑/白名单规则

4.9.6 URL过滤分类云端查询

4.9.7 URL过滤动作

4.9.8 URL过滤实现流程

4.10 防病毒

4.10.1 基本概念

4.10.2 防病毒检测方式

4.10.3 防病毒数据处理流程

5 系统

5.1 日志

5.1.1 事件日志

5.1.2 设置

5.2 资源

5.2.1 时间段

5.3 文件管理

5.3.1 文件管理

5.4 License管理

5.4.1 License配置

5.4.2 获取DID

5.4.3 License和特性

5.4.4 压缩

5.5 设备管理

5.5.1 管理员

5.5.2 系统设置

5.5.3 配置文件

5.5.4 软件更新

5.5.5 重启

5.5.6 关于

6 工具

6.1 调试

6.2 Ping

6.2.1 IPv4\IPv6 Ping

6.2.2 RF Ping

6.3 Tracert

6.4 无线报文捕获

6.4.1 无线报文捕获过滤规则

6.4.2 关键字

6.4.3 捕获过滤操作符

6.4.4 捕获过滤表达式

 


1 无线配置

1.1  无线服务

1.1.1  无线接入

无线网络为用户提供WLAN接入服务。无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络,接入点设备安置在需要覆盖无线网络的区域,用户在该区域内就可以通过无线接入的方式接入无线网络。

1. 无线服务

无线服务即一类无线服务属性的集合,如无线网络的SSID、认证方式(开放系统认证或者共享密钥认证)等。

2. SSID

SSID(Service Set Identifier,服务集标识符),就是无线网络的名称。

3. 缺省VLAN

终端接入无线服务后被分配的VLAN。

4. 隐藏SSID

AP将SSID置于Beacon帧中向外广播发送。若BSS(Basic Service Set,基本服务集)的客户端数量已达到上限或BSS一段时间内不可用即客户端不能上线,不希望其它客户端上线,则可以配置隐藏SSID。若配置了隐藏SSID,AP不将SSID置于Beacon帧中,还可以借此保护网络免遭攻击。为了进一步保护无线网络,AP对于广播Probe Request帧也不会回复。此时客户端若想连接此BSS,则需要手工指定该SSID,这时客户端会直接向该AP发送认证及关联报文连接该BSS。

5. 二层隔离

基于SSID的用户隔离功能适用于集中式转发和本地转发场景下,设备开启基于SSID的用户隔离功能后,通过该SSID接入无线服务且处于同一VLAN内的无线用户之间将不能够互相访问。

6. 数据转发

可以在AC上将客户端数据报文转发位置配置在AC或者AP上。

·     将数据报文转发位置配置在AC上时,为集中式转发,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文;

·     将数据报文转发位置配置在AP上时,为本地转发,客户端的数据流量直接由AP进行转发。将转发位置配置在AP上缓解了AC的数据转发压力;

·     将转发位置配置在AP上时,可以指定VLAN,即只有处于指定VLAN的客户端,在AP上转发其数据流量。

7. 认证模式

说明

有关MAC地址认证、Portal认证的详细介绍,请参见3.3  接入认证

 

·     静态PSK认证

PSK认证方式需要在AP侧预先输入预共享密钥,在客户端关联过程中,手动输入该密钥,AP和客户端通过四次握手密钥协商来验证客户端的预共享密钥的合法性,若PTK协商成功,则证明该用户合法,以此来达到认证的目的。

·     802.1X认证

设备端支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。若用户认证位置在AP上,则AP为认证设备,由AP处理认证过程,若用户认证位置在AC上,则AC为认证设备,由AC处理认证过程。

¡     握手功能:使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。

¡     安全握手功能:802.1X安全握手是指在握手报文中加入验证信息,以防止非法用户仿冒正常用户的在线的802.1X的客户端与设备进行握手报文的交互。使能802.1X安全握手功能后,支持安全握手的客户端需要在每次向设备发送的握手应答报文中携带验证信息,设备将其与认证服务器下发的验证信息进行对比,如果不一致,则强制用户下线。

¡     在无线服务下启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔定期向在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。

·     静态WEP密钥

在Pre-RSNA安全机制的WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,因此802.11提供了动态WEP加密机制。在动态WEP加密机制中,加密单播数据帧的WEP密钥是由客户端和认证服务器通过802.1X认证协商产生,保证了每个客户端使用不同的WEP单播密钥,从而提高了单播数据帧传输的安全性。组播密钥是WEP密钥,若未配置WEP密钥,则AP使用随机算法产生组播密钥。

当客户端通过802.1X认证后,AP通过发送RC4 EAPOL-Key报文将组播密钥及密钥ID以及单播密钥的密钥ID(固定为4)分发给客户端。

8. 认证位置

AC、AP均可以处理用户的认证请求,即对用户进行本地认证或将用户的认证信息上送给RADIUS服务器进行集中式认证。若希望将认证位置配置在AC上,请选择认证位置为“Local AC”。

在分层组网中,请根据实际需要选择认证位置为Central AC、Local AC或AP。

9. 快速关联

如果WLAN环境中启动了负载均衡和频谱导航,客户端关联AP的效率将受到影响。对于不需要负载均衡和频谱导航功能或注重低延迟的网络服务,可以在无线服务模板下开启快速关联功能。无线服务模板开启快速关联功能后,即使AP上启动了负载均衡和频谱导航功能,也不会对该无线服务模板下接入的无线客户端进行频谱导航和负载均衡计算,从而让客户端可以快速的关联到AP上。

10. 快速切换

802.11r协议中定义的FT(Fast BSS Transition,快速BSS切换)功能用来减少客户端在漫游过程中的时间延迟,从而降低连接中断概率、提高漫游服务质量。

FT支持两种实现方式:

·     Over-the-Air:客户端直接与目标AP通信,进行漫游前的认证。

·     Over-the-DS:客户端通过当前AP与目标AP通信,进行漫游前的认证。

11. 绑定无线服务

无线服务跟AP的Radio存在多对多的映射关系,将无线服务绑定在某个AP的射频上,AP会根据射频上绑定的无线服务的属性创建BSS。BSS是无线服务提供服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端可以通过同一个SSID访问网络。

绑定无线服务时,可以进行如下配置:

·     可以为该BSS指定一个VLAN组,该BSS下连接的客户端会被均衡地分配在VLAN组的所有VLAN中,既能将客户端划分在不同广播域中,又能充分利用不连续的地址段为客户端分配IP地址。

·     可以绑定NAS-Port-ID和NAS-ID,用于网络服务提供者标识客户端的接入位置,区分流量来源。按照网络服务提供者的标准,不同的NAS-Port-ID对应不同的位置信息。

·     可以配置SSID隐藏。

1.1.2  链路层认证与密钥管理

最初802.11的安全机制被称为Pre-RSNA安全机制,它的认证机制不完善,容易被攻破,存在安全隐患,且在WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,所以IEEE制订了802.11i协议来加强无线网络的安全性。

但802.11i仅对无线网络的数据报文进行加密保护,而不对管理帧进行保护,所以管理帧的机密性、真实性、完整性无法保证,容易受到仿冒或监听,例如:恶意攻击者通过获取设备的MAC地址并仿冒设备恶意拒绝客户端认证或恶意结束设备与客户端的关联。802.11w无线加密标准建立在802.11i框架上,通过保护无线网络的管理帧来解决上述问题,进一步增强无线网络的安全性。

1. Pre-RSNA安全机制

Pre-RSNA安全机制采用开放式系统认证(Open system authentication)和共享密钥认证(Shared key authentication)两种认证方式来进行客户端认证,并且采用WEP加密方式对数据进行加密来保护数据机密性,以对抗窃听。WEP加密使用RC4加密算法(一种流加密算法)实现数据报文的加密,WEP加密支持WEP40、WEP104和WEP128三种密钥长度。

2. RSNA安全机制

802.11i安全机制又被称为RSNA(Robust Security Network Association,健壮安全网络连接)安全机制,包括WPA(Wi-Fi Protected Access,Wi-Fi保护访问)和RSN(Robust Security Network,健壮安全网络)两种安全模式,采用AKM(Authentication and Key Management,身份认证与密钥管理)对用户身份的合法性进行认证,对密钥的生成、更新进行动态管理,并且采用TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)和CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制对报文进行加密。

AKM分为802.1X、Private-PSK和PSK和三种模式:

·     802.1X:采用802.1X认证对用户进行身份认证,并在认证过程中生成PMK(Pairwise Master Key,成对主密钥),客户端和AP使用该PMK生成PTK(Pairwise Transient Key,成对临时密钥)。

·     Private-PSK:采用PSK(Pre-Shared Key,预共享密钥)认证进行身份认证,使用客户端的MAC地址作为PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。

·     PSK:采用PSK认证进行身份认证,并通过PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。

(1)     密钥种类

802.11i协议中密钥主要包括PTK和GTK(Group Temporal Key,群组临时密钥)两种:

¡     PTK用于保护单播数据。

¡     GTK用于保护组播和广播数据。

(2)     WPA安全模式密钥协商

WPA是一种比WEP加密性能更强的安全机制。在802.11i协议完善前,采用WPA为用户提供一个临时性的WLAN安全增强解决方案。在WPA安全网络中,客户端和AP通过使用EAPOL-Key报文进行四次握手协商出PTK,通过使用EAPOL-Key报文进行二次组播握手协商出GTK。

(3)     RSN安全模式密钥协商

RSN是按照802.11i协议为用户提供的一种WLAN安全解决方案。在RSN网络中,客户端和AP通过使用EAPOL-Key类型报文进行四次握手协商出PTK和GTK。

(4)     密钥更新

如果客户端长时间使用一个密钥,或携带当前网络正在使用的组播密钥离线,此时网络被破坏的可能性很大,安全性就会大大降低。WLAN网络通过身份认证与密钥管理中的密钥更新机制来提高WLAN网络安全性。密钥更新包括PTK更新和GTK更新。

¡     PTK更新:PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制,来提高安全性。

¡     GTK更新:GTK更新是对组播数据报文的加密密钥进行更新的一种安全手段,采用重新进行两次组播握手协商出新的GTK密钥的更新机制,来提高安全性。

(5)     加密套件

由于WEP加密易破解,一旦攻击者收集到足够多的有效数据帧进行统计分析,那么将会造成数据泄露,无线网络将不再安全。802.11i增加了TKIP和CCMP两种加密套件来保护用户数据安全,以下分别介绍。

¡     TKIP

TKIP加密机制依然使用RC4算法,所以不需要升级原来无线设备的硬件,只需通过软件升级的方式就可以提高无线网络的安全性。相比WEP加密机制,TKIP有如下改进:

-     通过增长了算法的IV(Initialization Vector,初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;

-     采用和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;

-     支持TKIP反制功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个MIC错误的报文,AP将会启动TKIP反制功能,此时,AP将通过关闭一段时间无线服务的方式,实现对无线网络攻击的防御。

¡     CCMP

CCMP加密机制使用AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,CCMP使得无线网络安全有了极大的提高。CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会使用不同的PN,在一定程度上提高安全性。

1.1.3  授权

授权信息包括VLAN、ACL和User Profile,分为RADIUS服务器下发的授权信息和设备本地下发的授权信息。若用户不想使用授权信息,则可以配置忽略授权信息。

1.1.4  入侵检测

当设备检测到一个未通过认证的用户试图访问网络时,如果开启入侵检测功能,设备将对其所在的BSS采取相应的安全策略。

入侵检测所采取的安全模式,包括以下几种:

·     将用户MAC地址加入到阻止MAC地址列表:缺省模式。如果设备检测到未通过认证用户的关联请求报文,临时将该报文的源MAC地址加入阻塞MAC地址列表中,在一段时间内,源MAC地址为此非法MAC地址的无线客户端将不能和AP建立连接,在这段时间过后恢复正常。该MAC地址的阻塞时间由阻塞非法入侵用户时长决定。

·     暂时关闭收到非法报文的无线服务:关闭收到未通过认证用户的关联请求报文的BSS一段时间,该时间由临时关闭服务时长决定。

·     永久关闭收到非法报文的无线服务:直接关闭收到未通过认证用户的关联请求报文的BSS所提供的服务,直到用户在Radio口上重新生成该BSS。

1.1.5  基于ACL的接入控制

基于ACL的接入控制是指,设备根据指定ACL中配置的规则对新接入的无线客户端进行接入控制。

当无线客户端接入无线网络时,设备通过判断无线客户端MAC地址与指定的ACL规则的匹配情况对客户端进行过滤,具体的过滤机制如下:

·     如果匹配上某permit规则,则允许无线客户端接入无线网络;

·     如果匹配上某deny规则,则拒绝无线客户端接入无线网络;

·     如果未匹配上任何规则,则拒绝其接入。

1.2  AP管理

随着无线网络的大规模发展,当大量部署AP(Access Point,接入点)时,AP升级软件、射频参数的配置和调整等管理工作将给用户带来高昂的管理成本。为解决这一问题,WLAN采用AC+Fit AP架构,即通过AC(Access Controller,接入控制器)对下属的AP进行集中控制和管理,AP不需要任何配置,所有的配置都保存在AC上并由AC下发,同时由AC对AP进行统一的管理和维护,AP和AC间采用CAPWAP(Controlling and Provisioning of Wireless Access Point,无线接入点控制与供应)隧道进行通讯,用于传递数据报文和控制报文。

1.2.1  CAPWAP隧道

CAPWAP隧道为AP和AC之间的通信提供了通用的封装和传输机制,CAPWAP隧道使用UDP协议作为传输协议,并支持IPv4和IPv6协议。

图1-1所示,AC通过CAPWAP协议与AP建立控制隧道和数据隧道,AC通过控制隧道对AP进行管理和监控,通过数据隧道转发客户端的数据报文。

图1-1 CAPWAP隧道典型组网图

 

2. 配置准备

CAPWAP隧道的建立需要DHCP和DNS的配合。因此,首先需要完成以下配置任务:

·     AP需要获取到自身的IP地址,因此需要在DHCP server上配置地址池为AP分配IP地址。

·     若获取AC地址的方式为DHCP选项方式,则需要在DHCP server上将对应地址池的Option 138或Option 43配置为AC的IPv4地址,或使用Option 52配置AC的IPv6地址。

·     若获取AC地址的方式为DNS方式,则需要在DHCP server对应的地址池上配置DNS server的IP地址和AC的域名后缀。并在DNS server上创建区域,添加AC的IP地址和域名的映射。

·     保证AC和AP之间的路由可达。

3. 获取AC地址

AP零配置启动后,AP会自动创建VLAN-interface 1,并在该接口上默认开启DHCP客户端、DHCPv6客户端和DNS客户端功能,完成上述操作后,AP将使用获取的AC地址发现AC并建立CAPWAP隧道。AP获取AC地址的方式如下:

·     静态配置:通过预配置为AP手工指定AC的IP地址。

·     DHCP选项:通过DHCP服务器返回的Option 138或Option 43选项获取AC地址。若通过两个选项都获取了AC地址,则AP选择从Option 138获取的地址作为AC地址,并向AC地址发送单播Discovery request报文来发现、选择AC并建立CAPWAP隧道。

·     DNS:AP通过DHCP服务器获取AC的域名后缀及DNS server的IP地址,再将从自身获取的主机名与域名后缀形成AC的完整域名进行DNS解析,获取AC地址,AP向获取的所有AC地址发送单播Discovery request报文来发现、选择AC并建立CAPWAP隧道。

·     广播:AP通过向IPv4广播地址255.255.255.255发送Discovery request广播报文来发现、选择AC并建立隧道。

·     IPv4组播:AP通过向IPv4组播地址224.0.1.140发送Discovery request组播报文来发现、选择AC并建立隧道。

·     IPv6组播:AP通过向IPv6组播地址FF0E::18C发送Discovery request组播报文来发现、选择AC并建立隧道。

4. CAPWAP建立隧道过程

图1-2 CAPWAP隧道建立过程

 

AP发现AC并建立CAPWAP隧道过程如下:

(2)     AP向AC地址发送Discovery request报文。

(3)     AC收到Discovery request报文后,根据本地策略和报文内容决定是否对AP进行回复Discovery response报文,Discovery response报文中会携带优先级值、AC上是否存在该AP的信息和AC上的负载信息等,以此实现AC选择AP。

(4)     AP收到各个AC的Discovery response报文后,根据报文中携带的内容,选择最优AC。

(5)     AP向选择的最优AC发送Join request报文。

(6)     AC根据报文内容,检查是否为该AP提供服务,并回复Join response报文。

(7)     AP若收到Result Code为失败的Join response报文,则不建立隧道;若AP收到Result Code为成功的Join response报文,则AP和AC成功建立隧道。

AP依次使用静态配置、DHCP选项、DNS、广播、IPv4组播和IPv6组播获取的AC地址进行发现AC并建立隧道过程,若某一种方式成功建立CAPWAP隧道,则停止发现AC的过程。

1.2.2  AP

AP组用来实现对批量AP的配置管理,通过使AP继承其所属组的配置来达到对大量AP的配置的目的。AP组配置,全局配置及AP配置共同构成了分级继承的AP运行配置。在大规模无线网络中,同一AC管理的AP数量可达几万台,对每一台AP逐一配置将导致网络管理难度极大提高。AP组用来降低逐个配置AP的操作成本,用户可以创建多个组,对不同的组用户可以根据需要配置不同的AP配置。

所有AP缺省情况下均属于默认组,默认组组名为default-group,默认组不需创建、不可删除。

AP组可以指定多个AP名称、AP序列号、AP MAC地址和AP IP地址四种入组规则,AP的入组匹配顺序为:优先根据AP名字入组规则匹配入组,其次是AP序列号入组规则,然后是AP MAC 地址入组规则,最后是AP IP地址入组规则,若未匹配到任何入组规则,则AP将被加入到默认组。

需要注意的是:

·     AP必须属于一个AP组,且只能属于一个AP组。

·     同一入组规则不能重复出现在不同的AP组中,若将同一入组规则配置在新AP组中,将导致原AP组中对应的入组规则自动删除(相当于迁移组)。

·     默认组不能配置AP名字、AP序列号、AP MAC和AP IP地址四种入组规则。

·     删除AP入组规则,AP会根据AP的入组规则匹配顺序重新匹配AP组。比如,删除某一AP组下的一个AP名字入组规则,该AP会优先进入指定了该AP序列号的AP组,如果匹配不到AP序列号,则该AP会优先进入指定了该AP MAC地址入组规则的AP组,如果匹配不到AP MAC地址,则该AP会优先进入指定了该AP IP地址入组规则的AP组,如果仍然匹配不到,则该AP会进入默认组。

·     AP组下有AP已经入组(手工AP或自动AP),则该AP组不允许删除;配置了入组规则,但是没有AP入组的AP组可以被删除。

·     AP的生效配置取决于AP、AP组及AP全局配置中优先级最高的配置,优先级从高到低为AP配置、AP组配置、全局配置。若优先级高的配置不存在,则AP使用优先级低的配置。若都不存在AP的配置,则使用缺省值。

1.2.3  AP全局配置

全局配置作用于所有AP组下的AP,由于全局配置的优先级最低,所以仅当AP和AP组下无配置时,才会继承全局配置。AP、AP组及全局配置的优先级从高到低为AP视图配置、AP组视图配置、全局视图配置。若优先级高的配置不存在,则AP使用优先级低的配置;若都不存在AP的配置,则使用优先级最低的视图下的缺省配置。

1.2.4  预配置

通常情况下,可以通过终端连接到AP之后,对AP进行配置,但这种逐台配置AP的操作方式不利于大规模的AP部署以及集中化管理。AP预配置提供了一种在AC上对AP的基本网络参数进行配置,并将预配置信息下发至AP的方法。下发到AP的配置会保存为AP私有预配置文件wlan_ap_prvs.xml,当AP重启时,该私有预配置文件才会生效。

需要注意的是:

·     AC只能将预配置信息发送给与它建立CAPWAP隧道的AP,同时只有主AC才能对已经与它建立CAPWAP隧道的AP进行预配置。

·     一些预配置可以在AP预配置下和AP组预配置下都进行配置,则优先使用AP预配置下的配置。

·     预配置提供的配置包括:

¡     配置AP与指定的AC建立CAPWAP隧道。

¡     配置AP的IP地址。

¡     配置AP的网关地址。

¡     配置AP发现AC时使用的域名服务器的域名后缀。

¡     配置AP发现AC时使用的域名服务器的IP地址。

¡     配置802.1X Client。

1.2.5  区域码

区域码决定了射频可以使用的工作频段、信道、发射功率级别等。在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定。为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能。

1.2.6  自动AP

在无线网络中部署的AP数量较多时,开启自动AP功能可以简化配置。开启自动AP功能后,无需配置手工AP配置,AP和AC就可以建立CAPWAP连接,AC将以AP的MAC地址来命名上线的自动AP。在AP发现AC过程中,AP优先选择存在手工AP的AC建立CAPWAP隧道连接,若不存在手工AP配置,则AP会从开启自动AP功能的AC中,选择最优AC进行CAPWAP隧道连接。自动AP功能生成的AP,没有提供AP视图进行相关参数配置,自动AP需要固化为手工AP或者通过AP组进行配置。

出于网络安全因素考虑,自动AP应配合固化功能使用。若配置固化功能时,用户应在自动AP第一次接入后,将所有自动AP固化为手工AP并关闭自动AP功能

1.2.7  AC备份

在集中式转发模式下,AC在汇聚层上承担了大量AP的状态维护和数据转发工作。AC设备的故障将导致无线网络的服务中断。

通过AC备份功能,可以将两台AC相连,构建一个备份组,备份组中的两台AC分别为主AC和备AC,主备AC通过WHA(WLAN High Availability,无线局域网高可靠性)数据备份通道进行AP数据的同步,当主AC发生故障时,备AC能够立即接管当前所有在线AP,使业务流量不中断。

1.2.8  LED闪烁模式

LED闪烁模式包括四种模式:

·     Quiet模式:表示所有LED常灭。

·      Awake模式:表示所有LED每分钟闪烁一次。Awake模式的支持情况与AP设备的型号有关,请以设备的实际情况为准。

·      Always-on模式:表示所有LED常亮。Always-on模式的支持情况与AP设备的型号有关,请以设备的实际情况为准。

·      Normal模式:表示LED灯的显示状态可以标识AP的运行状态。该模式LED闪烁情况与AP设备的型号有关,请以设备实际情况为准。

1.2.9  AP的配置文件

在需要更新AP配置文件的情况下,可以在AC上指定AP配置文件的文件名(在AC的存储介质中必须已经存在该配置文件),当隧道处于Run状态时,AC会将配置文件中的命令下发到AP上,AP会使用配置文件中的命令,但AP不会保存这些配置。

例如:本地转发模式下配置用户方案时,将用户方案、相关的QoS策略和ACL等命令写入配置文件,然后通过指定AP的配置文件的方式将命令下发到AP。

一旦为AP指定了配置文件,该配置文件会永久生效,即只要AP在线,AC就会将配置文件中的命令下发给AP。

在本地转发模式下配置用户方案时,通过配置文件配置的AP只用通过主IP地址与AC建立CAWPAP隧道。

1.3  无线QoS

1.3.1  客户端限速

每个AP提供的带宽由接入的所有客户端共享,如果部分客户端占用过多带宽,将导致其它客户端受到影响。通过配置客户端限速功能,可以限制单个客户端对带宽的过多消耗,保证所有接入客户端均能正常使用网络业务。

1. 客户端限速模式

客户端限速功能有两种工作模式:

·     动态模式:配置所有客户端使用的速率总值,每个客户端的限制速率是速率总值/客户端数量。例如,配置所有客户端可用速率的总和为10Mbps,当有5个用户上线时,每个客户端的可用带宽限制为2Mbps。

·     静态模式:为所有客户端配置相同的限速速率,该配置对所有客户端生效。当接入客户端增加至一定数量时,如果所有接入客户端限制速率的总和超出AP可提供的有效带宽,那么每个客户端将不能保证获得配置的带宽。

动态模式与静态模式仅用于配置基于无线服务或基于射频方式的客户端限速功能。

2. 客户端限速方式

客户端限速功能有三种配置方式:

·     基于客户端类型:该方式配置的客户端限速对所有客户端生效,每种类型的客户端的速率都不能超过配置的限速值。

·     基于无线服务:该方式配置的客户端限速对使用同一个无线服务接入的所有客户端生效。

·     基于AP和AP组的射频:该方式配置的客户端限速对使用同一个/同一组射频接入的所有客户端生效。

如果同时配置多种方式或不同模式的客户端限速,则多个配置将同时生效,每个客户端的限速值为多种方式及不同模式中的限速速率最小值。

1.3.2  智能带宽保障

在实际应用中,网络中的流量不会一直处于某个稳定的状态。当某个BSS的流量非常大时,会挤占其它BSS的可用带宽。如果直接对单个BSS的报文进行限速,在总体流量较小时,又会导致闲置带宽被浪费。

智能带宽保障功能提供了更灵活的流量控制机制,当网络未拥塞时,所有BSS的报文都可以通过;在网络发生拥塞时,每个BSS都可以获取最低的保障带宽。通过这种方式,既确保了网络带宽的充分利用,又兼顾了不同无线服务之间带宽占用的公平原则。例如,配置SSID 1、SSID 2及SSID 3的保障带宽占总带宽的比例分别为25%、25%及50%。当网络空闲时,SSID 1可以超过保障带宽,任意占用网络剩余带宽;当网络繁忙、没有剩余带宽时,SSID 1至少可以占有自己的保障带宽部分(25%)。

智能带宽保障功能只能对由AP发送至客户端的流量(即出方向流量)进行控制。

1.3.3  无线多媒体

802.11网络提供了基于竞争的无线接入服务,但是不同的应用对于网络的要求是不同的,而无线网络不能为不同的应用提供不同质量的接入服务,所以已经不能满足实际应用的需要。

IEEE 802.11e为基于802.11协议的WLAN体系添加了QoS功能,Wi-Fi组织为了满足不同WLAN厂商对QoS的需求,定义了WMM(Wi-Fi Multimedia,Wi-Fi多媒体)协议。WMM协议用于保证优先发送高优先级的报文,从而保证语音、视频等应用在无线网络中有更好的服务质量。

1. WMM状态

在WMM状态页面中可以查看AC连接的各AP是否开启WMM功能。

2. WMM配置

在WMM配置页面中,可以配置每个AP的SVP映射、连接准入控制策略以及允许接入的客户端最大数等信息。

SVP映射是指将IP头中Protocol ID为119的SVP报文放入指定的AC-VI或AC-VO队列中,保证SVP报文比其他数据报文具有更高的优先级。没有进行SVP映射时,SVP报文将进入AC-BE队列。

CAC(Connect Admission Control,连接准入控制)用来限制能使用高优先级队列(AC-VO和AC-VI队列)的客户端个数,从而保证已经使用高优先级队列的客户端能够有足够的带宽。如果客户端需要使用高优先级的AC,则需要进行请求,AP按照基于信道利用率的准入策略或基于用户数量的准入策略算法,计算是否允许客户端使用高优先级AC,并将结果回应给客户端。当单独或同时开启AC-VO、AC-VI队列的CAC功能时,如果客户端申请AC失败,设备会对其进行降级至AC-BE处理。

3. EDCA参数

在EDCA参数页面中,可以查看和修改EDCA参数和ACK策略。

EDCA(Enhanced Distributed Channel Access,增强的分布式信道访问)是WMM定义的一套信道竞争机制,有利于高优先级的报文享有优先发送的权利和更多的带宽。

WMM协议为AC定义了以下EDCA参数:

·     AIFSN(Arbitration Inter Frame Spacing Number,仲裁帧间隙数):在802.11协议中,空闲等待时长(DIFS)为固定值,而WMM针对不同AC配置退避前需要等待的时隙,AIFSN数值越小,用户的空闲等待时间越短。

·     ECWmin(Exponent form of CWmin,最小竞争窗口指数形式)和ECWmax(Exponent form of CWmax,最大竞争窗口指数形式):决定了平均退避时间值。这两个数值越大,该AC中报文的平均退避时间越长。

·     TXOP Limit(Transmission Opportunity Limit,传输机会限制):AC中的报文每次竞争成功后,可占用信道的最大时长。这个数值越大,用户一次能占用信道的时长越大。如果是0,则每次占用信道后只能发送一个报文。

ACK策略有两种:Normal ACK和No ACK。

·     Normal ACK策略:接收者在接收到每个单播报文后,都要回复ACK进行确认。

·     No ACK(No Acknowledgment)策略:在无线报文交互过程中,不使用ACK报文进行接收确认。在通信质量较好、干扰较小的情况下,No ACK策略能有效提高报文传输效率。但是,在通信质量较差的情况下,如果使用No ACK策略,则会造成丢包率增大的问题。

4. 射频与客户端协商参数

在射频与客户端协商参数页面中,用户除了可以查看和修改EDCA参数,还可以开启或关闭连接准入控制策略功能。

5. 客户端的WMM统计信息

在客户端的WMM统计信息页面中,用户除了可以查看SSID等设备的基本信息和数据流量统计信息,还可以查看到客户端接入时指定的AC的APSD属性。

U-APSD是对传统节能模式的改进。在这种机制下,客户端不再定期监听Beacon帧,而是由客户端决定何时到AP上获取缓存报文。对于客户端的一次请求,AP可以发送多个缓存报文给客户端,该机制显著改善了客户端的节能效果。开启WMM功能的同时将自动开启U-APSD节能模式。

6. 传输流信息

在传输流信息页面中,用户可以查看包括来自有线网络报文的用户优先级、传输流标识、流方向、允许富余带宽等传输流信息。

1.4  射频管理

射频是一种高频交流变化电磁波,表示具有远距离传输能力、可以辐射到空间的电磁频率。WLAN是利用射频作为传输媒介,进行数据传输无线通信技术之一。

射频的频率介于300KHz和约300GHz之间,WLAN使用的射频频率范围为2.4GHz频段(2.4GHz~2.4835GHz)和5GHz频段(5.150GHz~5.350GHz和5.725GHz~5.850GHz)。

1.4.1  射频模式

按IEEE定义的802.11无线网络通信标准划分,射频模式主要有802.11a、802.11b、802.11g、802.11n、802.11ac和802.11ax:

·     802.11a:工作频率为5GHz,由于选择了OFDM(Orthogonal Frequency Division Multiplexing,正交频分复用)技术,能有效降低多路径衰减的影响和提高频谱的利用率,使802.11a的物理层速率可达54Mbps。但是在传输距离上存在劣势。

·     802.11b:工作频率为2.4GHz,相比5GHz能够提供更大的传输距离,数据传输速率最高达11Mbps。由于早期的无线通信更加追求传输距离,所以802.11b比802.11a更早被投入使用。

·     802.11g:工作频率为2.4GHz,可以兼容802.11b。802.11g借用了802.11a的成果,在2.4GHz频段采用了OFDM技术,最高速率可以达到54Mbps。

·     802.11n:工作于双频模式(2.4GHz和5GHz两个工作频段),能够与802.11a/g标准兼容。802.11n的数据传输速率达100Mbps以上,理论最高可达600Mbps,使无线局域网平滑地和有线网络结合,全面提升了网络吞吐量。

·     802.11ac:是802.11n的继承者,理论最高速率可达6900Mbps,全面提升了网络吞吐量。

·     802.11ax:是802.11ac的改进者,理论最高速率可达9600Mbps,全面提升了多用户并发情景下的网络效率。

表1-1 WLAN的几种主要射频模式比较

协议

频段

最高速率

802.11a

5GHz

54Mbps

802.11b

2.4GHz

11Mbps

802.11g

2.4GHz

54Mbps

802.11n

2.4GHz/5GHz

600Mbps

802.11ac

5GHz

6900Mbps

802.11gac

2.4GHz

1600Mbps

802.11ax

5GHz

9600Mbps

802.11gax

2.4GHz

6900Mbps

 

说明

·     IEEE定义802.11ac和802.1ax为5GHz频段上的技术,H3C支持将802.11ac、802.11ax应用到2.4GHz频段,称之为802.11gac、802.11gax射频模式。

·     如无特意区分,本文中的802.11ac包括802.11gac,802.11ax包括802.11gax。

 

不同的射频模式所支持的信道、功率有所不同,所以射频模式修改时,如果新的射频模式不支持原来配置的的信道、功率,则AP会根据新射频模式自动调整这些参数。

注意

修改射频模式时,会导致当前在线客户端下线。

 

在指定了射频模式以后,可以进行射频功能配置,具体情况如下:

·     如果指定的射频模式为802.11a802.11b802.11g,则可以配置射频基础功能,有关射频基础功能配置的详细介绍,请参见“射频基础功能

·     如果指定的射频模式为802.11n,则可以配置射频基础功能和802.11n功能,有关802.11n功能配置的详细介绍,请参见“802.11n功能”。

·     如果指定的射频模式为802.11ac,则可以配置射频基础功能、802.11n功能和802.11ac功能,有关802.11ac功能配置的详细介绍,请参见“802.11ac功能”。

·     如果指定的射频模式为802.11ax,则可以配置射频基础功能、802.11n功能、802.11ac功能和802.11ax功能,有关802.11ax功能配置的详细介绍,请参见“802.11ax功能”。

1.4.2  信道

信道是具有一定频宽的射频。在WLAN标准协议里,2.4GHz频段被划分为13个相互交叠的信道,每个信道的频宽是20MHz,信道间隔为5MHz。这13个信道里有3个独立信道,即没有相互交叠的信道,目前普遍使用的三个互不交叠的独立信道号为1、6、11。

5GHz频段拥有更高的频率和频宽,可以提供更高的速率和更小的信道干扰。WLAN标准协议将5GHz频段分为24个频宽为20MHz的信道,且每个信道都为独立信道。各个国家开放的信道不一样,目前中国5GHz频段开放使用的信道号是36、40、44、48、52、56、60、64、149、153、157、161和165。

1.4.3  功率

射频功率是指天线在无线介质中所辐射的功率,反映的是WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。

1.4.4  速率

射频速率是客户端与WLAN设备之间的数据传输速度。不同的射频模式,根据所使用扩频、编码和调制技术,对应不同的传输速率。802.11a、802.11b、802.11g、802.11n和802.11ac的速率支持情况如下:

·     802.11a:6Mbps、9Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。

·     802.11b:1Mbps、2Mbps、5.5Mbps、11Mbps。

·     802.11g:1Mbps、2Mbps、5.5Mbps、6Mbps、9Mbps、11Mbps、12Mbps、18Mbps、24Mbps、36Mbps、48Mbps、54Mbps。

·     802.11n:根据不同信道带宽可支持不同的速率组合,具体请参见“MCS”。

·     802.11ac:根据不同信道带宽和空间流数量可支持不同的速率组合,具体请参见“VHT-MCS”。

·     802.11ax:根据不同信道带宽和空间流数量可支持不同的速率组合,具体请参见“HE-MCS”。

1.4.5  MCS

IEEE 802.11n除了向前兼容IEEE 802.11a/b/g的速率外,还定义了新的速率调制与编码策略,即MCS(Modulation and Coding Scheme,调制与编码策略)。

无线数据传输的物理速率受到编码方式、调制方式、载波比特率、空间流数量、数据子信道数等多种因素的影响,不同的因素组合将产生不同的物理速率。MCS使用索引的方式将每种组合以及由该组合产生的物理速率进行排列,形成索引值与速率的对应表,称为MCS表。802.11n的MCS表共有两个子表,分别用于保存信道带宽为20MHz和40MHz时的物理速率。索引值的取值范围为0~76,能够描述77种物理速率,两个MCS子表中的索引值相互独立。

802.11n规定,当带宽为20MHz时,MCS0~15为AP必须支持的MCS索引,MCS0~7是客户端必须支持的MCS索引,其余MCS索引均为可选速率。表1-2表1-3分别列举了带宽为20MHz和带宽为40MHz的MCS速率表。

说明

完整的MCS对应速率表可参见IEEE 802.11n-2009标准协议。

 

表1-2 MCS对应速率表(20MHz)

MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

6.5

7.2

1

1

QPSK

13.0

14.4

2

1

QPSK

19.5

21.7

3

1

16-QAM

26.0

28.9

4

1

16-QAM

39.0

43.3

5

1

64-QAM

52.0

57.8

6

1

64-QAM

58.5

65.0

7

1

64-QAM

65.0

72.2

8

2

BPSK

13.0

14.4

9

2

QPSK

26.0

28.9

10

2

QPSK

39.0

43.3

11

2

16-QAM

52.0

57.8

12

2

16-QAM

78.0

86.7

13

2

64-QAM

104.0

115.6

14

2

64-QAM

117.0

130.0

15

2

64-QAM

130.0

144.4

 

表1-3 MCS对应速率表(40MHz)

MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

13.5

15.0

1

1

QPSK

27.0

30.0

2

1

QPSK

40.5

45.0

3

1

16-QAM

54.0

60.0

4

1

16-QAM

81.0

90.0

5

1

64-QAM

108.0

120.0

6

1

64-QAM

121.5

135.0

7

1

64-QAM

135.0

150.0

8

2

BPSK

27.0

30.0

9

2

QPSK

54.0

60.0

10

2

QPSK

81.0

90.0

11

2

16-QAM

108.0

120.0

12

2

16-QAM

162.0

180.0

13

2

64-QAM

216.0

240.0

14

2

64-QAM

243.0

270.0

15

2

64-QAM

270.0

300.0

 

从表中可以得到结论:

·     当MSC索引取值为0~7时,空间流数量为1,且当MCS=7时,速率值最大;

·     当MSC索引取值为8~15时,空间流数量为2,且当MCS=15时,速率值最大。

MCS分为三类:

·     基本MCS集:客户端必须支持的基本MCS集,才能够与AP以802.11n模式进行连接。

·     支持MCS集:AP所能够支持的更高的MCS集合,用户可以配置支持MCS集让客户端在支持基本MCS的前提下选择更高的速率与AP进行数据传输。

·     组播MCS集:AP以组播方式对其BSS内的客户端发送消息所使用的速率。

1.4.6  VHT-MCS

802.11ac中定义的VHT-MCS表在表项内容上与802.11n的MCS表完全相同,只是在子表划分方式上存在区别,VHT-MCS根据信道带宽和空间流数量的组合来划分子表。802.11ac支持20MHz、40MHz、80MHz和160MHz(80+80MHz)四种带宽,最多支持8条空间流,因此VHT-MCS表共划分为32个子表。每个子表中的MCS索引独立编号,目前编号范围为0~9。AP支持的VHT-MCS表仅有12套,具体如表1-4表1-15所示。

说明

完整的VHT-MCS对应速率表可参见IEEE 802.11ac-2013标准协议。

 

表1-4 VHT-MCS对应速率表(20MHz,1NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

6.5

7.2

1

1

QPSK

13.0

14.4

2

1

QPSK

19.5

21.7

3

1

16-QAM

26.0

28.9

4

1

16-QAM

39.0

43.3

5

1

64-QAM

52.0

57.8

6

1

64-QAM

58.5

65.0

7

1

64-QAM

65.0

72.2

8

1

256-QAM

78.0

86.7

9

Not valid

 

表1-5 VHT-MCS对应速率表(20MHz,2NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

2

BPSK

13.0

14.4

1

2

QPSK

26.0

28.9

2

2

QPSK

39.0

43.3

3

2

16-QAM

52.0

57.8

4

2

16-QAM

78.0

86.7

5

2

64-QAM

104.0

115.6

6

2

64-QAM

117.0

130.0

7

2

64-QAM

130.0

144.4

8

2

256-QAM

156.0

173.3

9

Not valid

 

表1-6 VHT-MCS对应速率表(20MHz,3NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

3

BPSK

19.5

21.7

1

3

QPSK

39.0

43.3

2

3

QPSK

58.5

65.0

3

3

16-QAM

78.0

86.7

4

3

16-QAM

117.0

130.0

5

3

64-QAM

156.0

173.3

6

3

64-QAM

175.5

195.0

7

3

64-QAM

195.0

216.7

8

3

256-QAM

234.0

260.0

9

3

256-QAM

260.0

288.9

 

表1-7 VHT-MCS对应速率表(20MHz,4NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

4

BPSK

26.0

28.9

1

4

QPSK

52.0

57.8

2

4

QPSK

78.0

86.7

3

4

16-QAM

104.0

115.6

4

4

16-QAM

156.0

173.3

5

4

64-QAM

208.0

231.1

6

4

64-QAM

234.0

260.0

7

4

64-QAM

260.0

288.9

8

4

256-QAM

312.0

346.7

9

Not valid

 

表1-8 VHT-MCS对应速率表(40MHz,1NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

13.5

15.0

1

1

QPSK

27.0

30.0

2

1

QPSK

40.5

45.0

3

1

16-QAM

54.0

60.0

4

1

16-QAM

81.0

90.0

5

1

64-QAM

108.0

120.0

6

1

64-QAM

121.5

135.0

7

1

64-QAM

135.0

150.0

8

1

256-QAM

162.0

180.0

9

1

256-QAM

180.0

200.0

 

表1-9 VHT-MCS对应速率表(40MHz,2NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

2

BPSK

27.0

30.0

1

2

QPSK

54.0

60.0

2

2

QPSK

81.0

90.0

3

2

16-QAM

108.0

120.0

4

2

16-QAM

162.0

180.0

5

2

64-QAM

216.0

240.0

6

2

64-QAM

243.0

270.0

7

2

64-QAM

270.0

300.0

8

2

256-QAM

324.0

360.0

9

2

256-QAM

360.0

400.0

 

表1-10 VHT-MCS对应速率表(40MHz,3NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

3

BPSK

40.5

45.0

1

3

QPSK

81.0

90.0

2

3

QPSK

121.5

135.0

3

3

16-QAM

162.0

180.0

4

3

16-QAM

243.0

270.0

5

3

64-QAM

324.0

360.0

6

3

64-QAM

364.5

405.0

7

3

64-QAM

405.0

450.0

8

3

256-QAM

486.0

540.0

9

3

256-QAM

540.0

600.0

 

表1-11 VHT-MCS对应速率表(40MHz,4NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

4

BPSK

54.0

60.0

1

4

QPSK

108.0

120.0

2

4

QPSK

162.0

180.0

3

4

16-QAM

216.0

240.0

4

4

16-QAM

324.0

360.0

5

4

64-QAM

432.0

480.0

6

4

64-QAM

486.0

540.0

7

4

64-QAM

540.0

600.0

8

4

256-QAM

648.0

720.0

9

4

256-QAM

720.0

800.0

 

表1-12 VHT-MCS对应速率表(80MHz,1NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

1

BPSK

29.3

32.5

1

1

QPSK

58.5

65.0

2

1

QPSK

87.8

97.5

3

1

16-QAM

117.0

130.0

4

1

16-QAM

175.5

195.0

5

1

64-QAM

234.0

260.0

6

1

64-QAM

263.0

292.5

7

1

64-QAM

292.5

325.0

8

1

256-QAM

351.0

390.0

9

1

256-QAM

390.0

433.3

 

表1-13 VHT-MCS对应速率表(80MHz,2NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

2

BPSK

58.5

65.0

1

2

QPSK

117.0

130.0

2

2

QPSK

175.5

195.0

3

2

16-QAM

234.0

260.0

4

2

16-QAM

351.0

390.0

5

2

64-QAM

468.0

520.0

6

2

64-QAM

526.5

585.0

7

2

64-QAM

585.0

650.0

8

2

256-QAM

702.0

780.0

9

2

256-QAM

780.0

866.7

 

表1-14 VHT-MCS对应速率表(80MHz,3NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

3

BPSK

87.8

97.5

1

3

QPSK

175.5

195.0

2

3

QPSK

263.3

292.5

3

3

16-QAM

351.0

390.0

4

3

16-QAM

526.5

585.0

5

3

64-QAM

702.0

780.0

6

Not valid

7

3

64-QAM

877.5

975.0

8

3

256-QAM

1053.0

1170.0

9

3

256-QAM

1170.0

1300.0

 

表1-15 VHT-MCS对应速率表(80MHz,4NSS)

VHT-MCS索引

空间流数量

调制方式

速率(Mb/s)

800ns GI

400ns GI

0

4

BPSK

117.0

130.0

1

4

QPSK

234.0

260.0

2

4

QPSK

351.0

390.0

3

4

16-QAM

468.0

520.0

4

4

16-QAM

702.0

780.0

5

4

64-QAM

936.0

1040.0

6

4

64-QAM

1053.0

1170.0

7

4

64-QAM

1170.0

1300.0

8

4

256-QAM

1404.0

1560.0

9

4

256-QAM

1560.0

1733.3

 

和MCS一样,VHT-MCS也分为三类:基本VHT-MCS集、支持VHT-MCS集和组播VHT-MCS集,每类的意义也和MCS相同。

1.4.7  HE-MCS

1. HE-MCS分类

和MCS一样,HE-MCS也分为三类:基本HET-MCS集、支持HE-MCS集和组播HE-MCS集,每类的意义也和MCS相同。

2. HE-MCS

802.11ax中定义的HE-MCS表在表项内容上与802.11n的MCS表完全相同,只是在子表划分方式上存在区别,HE-MCS根据信道带宽和空间流数量的组合来划分子表。802.11ax支持20MHz、40MHz、80MHz和160MHz(80+80MHz)四种带宽,最多支持8条空间流,因此HE-MCS表共划分为32个子表。每个子表中的MCS索引独立编号,目前编号范围为0~11。AP支持的VHT-MCS表仅有16套,具体如表1-16表1-27所示。

表1-16 HE-MCS对应速率表(20MHz,1NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

1

BPSK

8

8.6

1

1

QPSK

16

17.2

2

1

QPSK

24

25.8

3

1

16-QAM

33

34.4

4

1

16-QAM

49

51.6

5

1

64-QAM

65

68.8

6

1

64-QAM

73

77.4

7

1

64-QAM

81

86

8

1

256-QAM

98

103.2

9

1

256-QAM

108

114.7

10

1

1024-QAM

122

129

11

1

1024-QAM

135

143.4

 

表1-17 HE-MCS对应速率表(20MHz,2NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

2

BPSK

16

17.2

1

2

QPSK

32

34.4

2

2

QPSK

48

51.6

3

2

16-QAM

66

68.8

4

2

16-QAM

98

103.2

5

2

64-QAM

130

137.6

6

2

64-QAM

146

154.8

7

2

64-QAM

162

172

8

2

256-QAM

196

206.4

9

2

256-QAM

216

229.4

10

2

1024-QAM

244

258

11

2

1024-QAM

270

286.8

 

表1-18 HE-MCS对应速率表(20MHz,3NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

3

BPSK

24

25.8

1

3

QPSK

48

51.6

2

3

QPSK

72

77.4

3

3

16-QAM

99

103.2

4

3

16-QAM

147

154.8

5

3

64-QAM

195

206.4

6

3

64-QAM

219

232.2

7

3

64-QAM

243

258

8

3

256-QAM

294

309.6

9

3

256-QAM

324

344.1

10

3

1024-QAM

366

387

11

3

1024-QAM

405

430.2

 

表1-19 HE-MCS对应速率表(20MHz,4NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

4

BPSK

32

34.4

1

4

QPSK

64

68.8

2

4

QPSK

96

103.2

3

4

16-QAM

132

137.6

4

4

16-QAM

196

206.4

5

4

64-QAM

260

275.2

6

4

64-QAM

292

309.6

7

4

64-QAM

324

344

8

4

256-QAM

392

412.8

9

4

256-QAM

432

458.8

10

4

1024-QAM

488

516

11

4

1024-QAM

540

573.6

 

表1-20 HE-MCS对应速率表(40MHz,1NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

1

BPSK

16

17.2

1

1

QPSK

33

34.4

2

1

QPSK

49

51.6

3

1

16-QAM

65

68.8

4

1

16-QAM

98

103.2

5

1

64-QAM

130

137.6

6

1

64-QAM

146

154.9

7

1

64-QAM

163

172.1

8

1

256-QAM

195

206.5

9

1

256-QAM

217

229.4

10

1

1024-QAM

244

258.1

11

1

1024-QAM

271

286.8

 

表1-21 HE-MCS对应速率表(40MHz,2NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

2

BPSK

32

34.4

1

2

QPSK

66

68.8

2

2

QPSK

98

103.2

3

2

16-QAM

130

137.6

4

2

16-QAM

196

206.4

5

2

64-QAM

260

275.2

6

2

64-QAM

292

309.8

7

2

64-QAM

326

344.2

8

2

256-QAM

390

413

9

2

256-QAM

434

458.8

10

2

1024-QAM

488

516.2

11

2

1024-QAM

542

573.6

 

表1-22 HE-MCS对应速率表(40MHz,3NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

3

BPSK

48

51.6

1

3

QPSK

99

103.2

2

3

QPSK

147

154.8

3

3

16-QAM

195

206.4

4

3

16-QAM

294

309.6

5

3

64-QAM

390

412.8

6

3

64-QAM

438

464.7

7

3

64-QAM

489

516.3

8

3

256-QAM

585

619.5

9

3

256-QAM

651

688.2

10

3

1024-QAM

732

774.3

11

3

1024-QAM

813

860.4

 

表1-23 HE-MCS对应速率表(40MHz,4NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

4

BPSK

64

68.8

1

4

QPSK

132

137.6

2

4

QPSK

196

206.4

3

4

16-QAM

260

275.2

4

4

16-QAM

392

412.8

5

4

64-QAM

520

550.4

6

4

64-QAM

584

619.6

7

4

64-QAM

652

688.4

8

4

256-QAM

780

826

9

4

256-QAM

868

917.6

10

4

1024-QAM

976

1032.4

11

4

1024-QAM

1084

1147.2

 

表1-24 HE-MCS对应速率表(80MHz,1NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

1

BPSK

34

36

1

1

QPSK

68

72.1

2

1

QPSK

102

108.1

3

1

16-QAM

136

144.1

4

1

16-QAM

204

216.2

5

1

64-QAM

272

288.2

6

1

64-QAM

306

324.4

7

1

64-QAM

340

360.3

8

1

256-QAM

408

432.4

9

1

256-QAM

453

480.4

10

1

1024-QAM

510

540.4

11

1

1024-QAM

567

600.5

 

表1-25 HE-MCS对应速率表(80MHz,2NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

2

BPSK

68

72

1

2

QPSK

136

144.2

2

2

QPSK

204

216.2

3

2

16-QAM

272

288.2

4

2

16-QAM

408

432.4

5

2

64-QAM

544

576.4

6

2

64-QAM

612

648.8

7

2

64-QAM

680

720.6

8

2

256-QAM

816

864.8

9

4

256-QAM

906

960.8

10

4

1024-QAM

1020

1080.8

11

4

1024-QAM

1134

1201

 

表1-26 HE-MCS对应速率表(80MHz,3NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

3

BPSK

102

108

1

3

QPSK

204

216.3

2

3

QPSK

306

324.3

3

3

16-QAM

408

432.3

4

3

16-QAM

612

648.6

5

3

64-QAM

816

864.6

6

3

64-QAM

918

973.2

7

3

64-QAM

1020

1080.9

8

3

256-QAM

1224

1297.2

9

4

256-QAM

1359

1441.2

10

4

1024-QAM

1530

1621.2

11

4

1024-QAM

1701

1801.5

 

表1-27 HE-MCS对应速率表(80MHz,4NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

4

BPSK

136

144

1

4

QPSK

272

288.4

2

4

QPSK

408

432.4

3

4

16-QAM

544

576.4

4

4

16-QAM

816

864.8

5

4

64-QAM

1088

1152.8

6

4

64-QAM

1224

1297.6

7

4

64-QAM

1360

1441.2

8

4

256-QAM

1632

1729.6

9

4

256-QAM

1812

1921.6

10

4

1024-QAM

2040

2161.6

11

4

1024-QAM

2268

2402

 

表1-28 HE-MCS对应速率表(160MHz/80MHz+80MHz,1NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

1

BPSK

68

72.1

1

1

QPSK

136

144.1

2

1

QPSK

204

216.2

3

1

16-QAM

272

288.2

4

1

16-QAM

408

432.4

5

1

64-QAM

544

576.5

6

1

64-QAM

612

648.5

7

1

64-QAM

681

720.6

8

1

256-QAM

817

864.7

9

1

256-QAM

907

960.7

10

1

1024-QAM

1021

1080.9

11

1

1024-QAM

1134

1201

 

表1-29 HE-MCS对应速率表(160MHz/80MHz+80MHz,2NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

2

BPSK

136

144.1

1

2

QPSK

272

288.2

2

2

QPSK

408

432.4

3

2

16-QAM

544

576.5

4

2

16-QAM

817

864.7

5

2

64-QAM

1089

1152.9

6

2

64-QAM

1225

1297.1

7

2

64-QAM

1361

1441.2

8

2

256-QAM

1633

1729.4

9

4

256-QAM

1815

1921.5

10

4

1024-QAM

2042

2161.8

11

4

1024-QAM

2269

2401.9

 

表1-30 HE-MCS对应速率表(160MHz/80MHz+80MHz,3NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

3

BPSK

204

216.2

1

3

QPSK

408

432.4

2

3

QPSK

613

648.5

3

3

16-QAM

817

864.7

4

3

16-QAM

1225

1297.1

5

3

64-QAM

1633

1729.4

6

3

64-QAM

1838

1945.6

7

3

64-QAM

2042

2161.8

8

3

256-QAM

2450

2594.1

9

4

256-QAM

2722

2882.4

10

4

1024-QAM

3062

3242.6

11

4

1024-QAM

3403

3602.9

 

表1-31 HE-MCS对应速率表(160MHz/80MHz+80MHz,4NSS)

HE-MCS索引

空间流数量

调制方式

速率(Mb/s)

1600ns GI

800ns GI

0

4

BPSK

272

288.2

1

4

QPSK

544

576.5

2

4

QPSK

817

864.7

3

4

16-QAM

1089

1152.9

4

4

16-QAM

1633

1729.4

5

4

64-QAM

2178

2305.9

6

4

64-QAM

2450

2594.1

7

4

64-QAM

2722

2882.4

8

4

256-QAM

3267

3458.8

9

4

256-QAM

3630

3843.1

10

4

1024-QAM

4083

4323.5

11

4

1024-QAM

4537

4803.9

 

说明

·     完整的HE-MCS对应速率表可参见IEEE 802.11ax标准协议。

·     不同型号的AP对HE-MCS索引所表示速率的支持情况不同,请以设备的实际情况为准。

·     802.11gax仅支持20MHz和40MHz两种带宽,对应的HE-MCS表为表1-16表1-23

 

1.4.8  射频基础功能

1. 射频工作信道

配置射频工作信道的目的是尽量减少和避免射频的干扰。干扰主要来自两方面:一种是WLAN设备间的干扰,比如相邻WLAN设备使用相同信道,会造成相互干扰;另一种是WLAN设备和其他无线射频之间的干扰,比如WLAN设备使用的信道上有雷达信号则必须立即让出该信道。

射频工作的信道可以手工配置或者由系统自动选择。

·     如果用户配置了手工信道,所配置的信道将一直被使用而不能自动更改,除非发现雷达信号。如果因为发现雷达信号而进行信道切换,AP会在30分钟后将信道切换回手工指定的信道,并静默一段时间,如果在静默时间内没有发现雷达信号,则开始使用该信道;如果发现雷达信号,则再次切换信道。

·     AP默认采用自动信道模式,随机选择工作信道。

2. 射频最大传输功率

射频的最大传输功率只能在射频支持的功率范围内进行选取,即保证射频的最大传输功率在合法范围内。射频支持的功率范围由国家码、信道、AP型号、射频模式、天线类型、带宽等属性决定,修改上述属性,射频支持的功率范围和最大传输功率将自动调整为合法值。

3. 功率锁定

如果先开启功率调整,再配置功率锁定,AC会自动将当前传输功率设置并锁定为自动功率调整后的功率值,在AC重启后,AP能继续使用锁定的功率调整值。

如果先配置功率锁定命令,后开启功率调整功能,由于功率已经被锁定,功率调整功能不会运行,所以在开启功率调整功能前,请确保功率没有被锁定。

功率锁定后,如果信道发生调整,并且锁定的功率值大于调整后使用信道支持的最大功率,设备会将功率值调整为信道支持的最大功率。

有关自动功率调整相关配置的详细介绍请参见“无线配置 > 射频管理 > 射频优化”页面。

4. 射频速率

射频速率可以分为以下四种:

·     禁用速率:AP禁用的速率。

·     强制速率:客户端关联AP时,AP要求客户端必须支持的速率。

·     支持速率:AP所支持的速率。客户端关联AP后,可以在AP支持的“支持速率集”中选用更高的速率发送报文。当受干扰、重传、丢包等影响较大时,AP会自动降低对客户端的发送速率;当受影响较小时,AP会自动升高对客户端的发送速率。

·     组播速率:AP向客户端发送组播和广播报文的速率。组播速率必须在强制速率中选取,且只能配置一个速率值或由AP自动选择合适的速率。

5. 前导码类型

说明

只有2.4GHz射频,才支持配置前导码类型。

 

前导码是数据报文头部的一组Bit位,用于同步发送端与接收端的传输信号。前导码的类型有两种,长前导码和短前导码。短前导码能使网络性能更好,默认使用短前导码。如果需要兼容网络中一些较老的客户端时可以使用长前导码保持兼容。

6. 射频覆盖范围

天线发出的电磁波在介质中传播的时候,随着距离的增加以及周围环境因素的影响,信号强度逐渐降低。电磁波的覆盖范围主要与环境的开放程度、障碍物的材质类型有关。设备在不加外接天线的情况下,传输距离约300米,若空间中有隔离物,传输大约在35~50米左右。

如果借助于外接天线,覆盖范围则可以达到30~50公里甚至更远,这要视天线本身的增益而定。

7. 发送Beacon帧的时间间隔

在WLAN环境中,AP通过不断广播Beacon帧来让客户端发现自己。AP发送Becaon帧时间间隔越小,AP越容易被客户端发现,但AP的功耗越大。

8. 禁止802.11b客户端接入

当射频模式为802.11g或802.11gn时,为了提高传输速率,可以通过开启禁止802.11b客户端接入功能来隔离低速率的802.11b客户端的影响;当开启禁止802.11b客户端接入功能后,不允许客户端以802.11b模式接入。

9. RTS门限

在无线环境中,为了避免冲突的产生,无线设备在发送数据前会执行冲突避免,即使用RTS/CTS(Request to Send/Clear to Send,请求发送/允许发送)帧或CTS-to-self(反身CTS)帧来清空传送区域,取得信道使用权。但是如果每次发送数据前都执行冲突避免,则会降低过多的传输量,浪费了无线资源。因此,802.11协议规定仅当发送帧长超过RTS门限的帧时,需要执行冲突避免;帧长小于RTS门限的帧,则可以直接发送。

当网络中设备较少时,产生干扰的概率较低,可以适当增大RTS门限以减少冲突避免的执行次数,提高吞吐量。当网络中设备较多时,可以通过降低RTS门限,增加冲突避免的执行次数来减少干扰。

10. 802.11g保护功能

说明

只有当射频模式为802.11g或802.11n(2.4GHz)时,才支持配置802.11g保护功能。

 

当网络中同时存在802.11b和802.11g的客户端,由于调制方式不同,802.11b客户端无法解析802.11g信号,会导致802.11b与802.11g网络之间彼此造成干扰。802.11g保护功能用于避免干扰情况的发生,通过使802.11g和802.11n设备发送RTS/CTS报文或CTS-to-self报文来取得信道使用权,确保802.11b客户端能够检测到802.11g和802.11n客户端正在进行数据传输,实现冲突避免。

开启802.11g保护功能后,当AP在其工作信道上扫描到802.11b信号,则会在传输数据前通过发送RTS/CTS报文或CTS-to-self报文进行冲突避免,并通知客户端开始执行802.11g保护功能;如果未检测到802.11b信号,则不会采取上述动作。

当802.11b客户端在开启了802.11g或802.11n(2.4GHz)的AP上接入时,AP上的802.11g保护功能将自动开启并生效。

11. 帧的分片门限

帧的分片是将一个较大的帧分成更小的分片,每个分片独立进行传输和确认。当帧的实际大小超过指定的分片门限值时,该帧将被分片传输。

在干扰较大的无线环境,建议适当降低帧的分片门限值,增加帧的分片数量,则当传输受到干扰时,仅需要重传未成功发送的分片,从而提高吞吐量。

12. 帧的最大重传次数

在无线网络中传输的单播数据,必须得到接收端的应答,否则便认为传送失败。设备会对传送失败的帧进行重传,如果在达到最大重传次数时,仍然没有传送成功,则丢弃该帧,并将此状况告知上层协议。

每个帧或帧片段都分别对应一个重传计数器。无线设备上具有两个重传计数器:短帧重传计数器与长帧重传计数器。长度小于RTS门限值的帧视为短帧;长度超过RTS门限值的帧则为长帧。当帧传送失败,对应的重传计数器累加,然后重新传送帧,直至达到最大重传次数。

区分短帧和长帧的主要目的是为了让网络管理人员利用不同长度的帧来调整重传策略。由于发送长帧前需要执行冲突避免,因此长帧比短帧占用了更多的缓存空间和传输时间。在配置帧的最大重传次数时,适当减少长帧的最大重传次数,可以减少所需要的缓存空间和传输时间。

1.4.9  802.11n功能

说明

如果多个用户登录到AC设备上对某台AP配置802.11n功能,同一时间只有一个用户可以配置成功。

 

IEEE 802.11n协议的制定,旨在提供高带宽、高质量的WLAN服务,使无线局域网达到以太网的性能水平。802.11n通过物理层和MAC(Media Access Control,媒体访问控制)层的优化来提高WLAN的吞吐能力,从而提高传输速率。

802.11n的物理层建立在OFDM系统之上,采用MIMO(Multiple Input,Multiple Output,多输入多输出)、40MHz传输带宽、Short GI(Short Guard Interval,短保护间隔)、STBC(Space-Time Block Coding,空时块编码)、LDPC(Low-Density Parity Check,低密度奇偶校验)等技术使物理层达到高吞吐(High Throughput)的效果,并采用A-MPDU(Aggregate MAC Protocol Data Unit,聚合MAC协议数据单元)、A-MSDU(Aggregate MAC Service Data Unit,聚合MAC服务数据单元)、BA(Block Acknowledgment,块确认)等技术,提高MAC层的传输效率。

1. A-MPDU功能

802.11n标准中采用A-MPDU聚合帧格式,减少了每个传输帧中的附加信息,同时也减少了所需要的ACK帧的数目,从而降低了协议的负荷,有效的提高了网络吞吐量。A-MPDU是将多个MPDU(MAC Protocol Data Unit,MAC协议数据单元)聚合为一个A-MPDU,这里的MPDU为经过802.11封装的数据报文。A-MPDU抢占一次信道并使用一个PLCP(Physical Layer Convergence Procedure,物理层汇聚协议)头来提升信道利用率。一个A-MPDU中的所有MPDU必须拥有相同的QoS优先级,由同一设备发送,并被唯一的一个设备接收。

图1-3 A-MPDU报文格式图

 

2. A-MSDU功能

A-MSDU技术是指把多个MSDU(MAC Service Data Unit,MAC服务数据单元)聚合成一个较大的载荷。目前,MSDU仅指Ethernet报文。通常,当AP或客户端从协议栈收到MSDU报文时,会封装Ethernet报文头,封装之后称之为A-MSDU Subframe;而在通过射频发送出去前,需要一一将其转换成802.11报文格式。而A-MSDU技术旨在将若干个A-MSDU Subframe聚合到一起,并封装为一个802.11报文进行发送。从而减少了发送每一个802.11报文所需的PLCP Preamble、PLCP Header和802.11MAC Header的开销,提高了报文发送的效率。

图1-4 A-MSDU报文格式图

 

A-MSDU是将多个MSDU组合在一起发送,这些MSDU必须拥有相同的QoS优先级,而且必须由同一设备发送,并被唯一的一个设备接收。当一个设备接收到一个A-MSDU时,需要将这个A-MSDU分解成多个MSDU后分别处理。

3. Short-GI功能

Short GI是802.11n针对802.11a/g所做的改进。射频在使用OFDM调制方式发送数据时,整个帧是被划分成不同的数据块进行发送的,为了数据传输的可靠性,数据块之间会有GI(Guard Interval,保护间隔),用以保证接收侧能够正确的解析出各个数据块。无线信号的空间传输会因多径等因素在接收侧形成时延,如果后面的数据块发送的过快,会和前一个数据块形成干扰,GI就是用来规避这个干扰的。802.11a/g的GI时长为800ns,在多径效应不严重时,可以使用Short GI,Short GI时长为400ns,在使用Short GI的情况下,可提高10%的传输速率。另外,Short GI与带宽无关,支持20MHz、40MHz带宽。

4. LDPC功能

802.11n引入了LDPC(Low-Density Parity Check,低密度奇偶校验)机制,该机制通过校验矩阵定义了一类线性码,并在码长较长时需要校验矩阵满足“稀疏性”,即校验矩阵中1的个数远小于0。在802.11n出现以前,所有以OFDM为调制方式的设备都使用卷积作为前向纠错码。802.11n引入了LDPC校验码,将传输的信噪比增加到了1.5到3dB之间,使传输质量得到提升。对LDPC的支持需要设备间的协商,以保证设备双方都支持LDPC校验。

5. STBC功能

802.11n引入了STBC(Space-Time Block Coding,空时块编码)机制,该机制可以将空间流编码成时空流,是802.11n中使用的一个简单的可选的发送分集机制。该机制的优点是不要求客户端具有高的数据传输速率,就可以得到强健的链路性能。STBC是完全开环的,不要求任何反馈或额外的系统复杂度,但是会降低效率。

6. MCS索引

当非802.11n客户端上线时,将使用基础速率传输单播数据。当802.11n客户端上线时,将使用MCS索引所代表的调制与编码策略传输单播数据。

当未配置组播MCS索引时,802.11n客户端和AP之间将使用组播速率发送组播数据;当配置了组播MCS索引且客户端都是802.11n客户端时,AP和客户端将使用组播MCS索引所代表的调制与编码策略传输组播数据。当配置了组播索引且存在非802.11n客户端时,AP和客户端将使用基础模式的组播速率传输组播数据,即802.11a/b/g的组播速率。

需要注意的是:

·     组播MCS索引需要小于或等于最大基本MCS索引,最大基本MCS需要小于或等于最大支持MCS索引。

·     配置的802.11n基本MCS最大索引值index表示射频的802.11n基本MCS的最大索引值,即该射频的802.11n基本MCS集是0~index。

·     配置的802.11n支持MCS最大索引值index表示射频的802.11n支持MCS的最大索引值,即该射频的802.11n支持MCS集是0~index。

·     配置的802.11n组播MCS索引值index表示射频发送802.11n组播报文使用的MCS索引。

7. 仅允许802.11n及802.11ac客户端接入功能

开启仅允许802.11n及802.11ac客户端接入功能后,仅允许802.11n及802.11ac客户端接入,不允许802.11a/b/g客户端接入,可以隔离低速率的客户端的影响,提高802.11n设备的传输速率。

8. 802.11n信道带宽

802.11n沿用了802.11a/b/g的信道结构。20MHz信道划分为64个子信道,为了防止相邻信道干扰,在802.11a/g中,需预留12个子信道,同时,需用4个子信道充当导频(pilot carrier)以监控路径偏移,因此20MHz带宽的信道在802.11a/g中用于传输数据的子信道数为48个;而在802.11n中,只需预留8个子信道,加上充当导频的4个子信道,20MHz带宽的信道在802.11n中用于传输数据的子信道数为52个,提高了传输速率。

802.11n将两个相邻的20MHz带宽绑定在一起,组成一个40MHz通讯带宽(其中一个为主信道,另一个为辅信道)来提高传输速率。

射频的带宽配置及芯片的支持能力决定了射频工作在20MHz的带宽还是工作在20/40MHz的带宽。

9. MIMO模式

MIMO是指一个天线采用多条流进行无线信号的发送和接收。MIMO能够在不增加带宽的情况下成倍的提高信息吞吐量和频谱利用率。设备支持的MIMO模式包括以下八种:

·     1x1:采用一条流进行无线信号的发送和接收。

·     2x2:采用两条流进行无线信号的发送和接收。

·     3x3:采用三条流进行无线信号的发送和接收。

·     4x4:采用四条流进行无线信号的发送和接收。

·     5x5:配置Radio采用五条流发送和接收无线信号。

·     6x6:配置Radio采用六条流发送和接收无线信号。

·     7x7:配置Radio采用七条流发送和接收无线信号。

·     8x8:配置Radio采用八条流发送和接收无线信号。

支持流的数量与AP型号有关,请以设备的实际情况为准。

10. AP绿色节能功能

开启绿色节能功能后,在没有用户与Radio关联时,Radio将工作在1x1模式(仅采用一条流进行无线信号的发送和接收),节省用电量。

11. 802.11n保护功能

说明

本功能所指的802.11n包括802.11n、802.11ac和802.11ax。

 

当网络中同时存在802.11n和非802.11n的客户端,由于调制方式不同,非802.11n客户端无法解析802.11n信号,会导致非802.11n与802.11n网络之间彼此造成干扰。802.11n保护功能用于避免干扰情况的发生,通过使802.11n设备发送RTS/CTS报文或CTS-to-self报文来取得信道使用权,确保非802.11n客户端能够检测到802.11n客户端正在进行数据传输,实现冲突避免。

开启802.11n保护功能后,当AP在其工作信道上扫描到非802.11n信号,则会在传输数据前通过发送RTS/CTS报文或CTS-to-self报文进行冲突避免,并通知客户端开始执行802.11n保护功能;如果未检测到非802.11n信号,则不会采取上述动作。

当非802.11n客户端在开启了802.11n、802.11ac或802.11ax的AP上接入时,AP上的802.11n保护功能将自动开启并生效。

12. 智能天线功能

说明

·     本特性的支持情况与用户选择的AP型号有关,请以设备的实际情况为准。

·     本特性仅对802.11n及802.11ac模式的射频生效。

 

开启智能天线功能之后,AP能够根据客户端的当前位置和信道信息,自动调整信号的发送参数,使射频能够集中发送至接收方所处的位置,从而提高客户端的信号质量和稳定性。

针对不同使用环境,本设备提供以下几种智能天线策略:

·     自适应策略:对语音视频等报文使用高可靠性策略,对其它报文使用高吞吐量策略。

·     高可靠性策略:优化噪声影响,抵抗局部干扰源,保证客户端带宽,降低客户端下线几率。本策略适用于对于带宽稳定要求较高的环境。

·     高吞吐量策略:提高收发信号强度,增加吞吐量。本策略适用于对于性能要求较高的环境。

1.4.10  802.11ac功能

说明

如果多个用户登录到AC设备上对某台AP配置802.11ac功能,同一时间只有一个用户可以配置成功。

 

802.11ac是802.11n的继承者,它采用并扩展了源自802.11n的众多概念,包括更宽的射频带宽(提升至160MHz)、更多的MIMO空间流(增加到8)、多用户的MIMO、以及更高阶的调制方式(达到256QAM),从而进一步提高了WLAN的传输速率。

1. NSS

当802.11ac客户端上线时,将使用NSS(Number of Spatial Streams,空间流数)所对应的VHT-MCS索引所代表的调制与编码策略传输单播数据。

当非802.11ac客户端上线时,将使用基础速率或MCS所代表的调制与编码策略传输单播数据。

当未配置组播NSS时,802.11ac客户端和AP之间将使用组播速率或组播MCS所代表的调制与编码策略发送组播数据。

当配置了组播NSS且客户端都是802.11ac客户端时,AP和客户端将使用VHT-MCS索引所代表的调制与编码策略传输组播数据。

当配置了组播NSS且存在非802.11ac客户端时,AP和客户端将使用基础模式的组播速率或MCS所代表的调制与编码策略传输组播数据,即802.11a/b/g/n的组播速率。

需要注意的是:

·     组播NSS需要小于或等于最大基本NSS,最大基本NSS需要小于或等于最大支持NSS。

·     配置的802.11ac基本NSS最大数值number表示射频的802.11ac最大基本NSS,即该射频的802.11ac基本NSS是1~number。

·     配置的802.11ac支持NSS最大数值number表示射频的802.11ac最大支持NSS,即该射频的802.11ac支持NSS是1~number。

·     配置的802.11ac组播NSS数值number表示射频发送802.11ac组播报文使用的NSS。配置的VHT-MCS索引值index表示射频发送802.11ac组播报文使用的对应NSS的VHT-MCS索引。

2. 仅允许802.11ac客户端接入功能

开启仅允许802.11ac客户端接入功能后,仅允许802.11ac客户端接入,不允许802.11a/b/g/n客户端接入,可以隔离低速率的客户端的影响,提高802.11ac设备的传输速率。

3. 802.11ac信道带宽

802.11ac将信道带宽从802.11n的20MHz/40MHz提升到了80MHz/160MHz/(80+80)MHz。带宽的提升带来了可用数据子载波的增加。802.11gac仅支持20MHz和40MHz两种带宽。

802.11ac沿用了802.11n的信道带宽划定方式,通过将相邻的信道合并得到更大带宽的信道。在802.11ac中,可以将相邻的两个20Mhz信道合并得到带宽为40Mhz的信道,也可以将两个40Mhz带宽的信道合并,得到带宽为80Mhz的信道,也可以将两个80Mhz带宽的信道合并,得到带宽为160Mhz的信道。

图1-5 802.11ac信道带宽划定方式示意图

 

1.4.11  802.11ax功能

说明

·     如果多个用户登录到AC设备上对某台AP配置802.11ax功能,同一时间只有一个用户可以配置成功。

·     部分英特尔无线网卡若无法扫描到802.11ax类型射频发射的无线信号,请尝试更新网卡驱动。

 

1. NSS

当非802.11ax客户端上线时,将使用基础速率、MCS或VHT-MCS所代表的调制与编码策略传输单播数据。

当802.11ax客户端上线时,将使用NSS所对应的HE-MCS索引所代表的调制与编码策略传输单播数据。

当未配置组播NSS时,802.11ax客户端和AP之间将使用组播速率或组播MCS所代表的调制与编码策略发送组播数据。

当配置了组播NSS且客户端都是802.11ax客户端时,AP和客户端将使用HE-MCS索引所代表的调制与编码策略传输组播数据。

当配置了组播NSS且存在非802.11ax客户端时,AP和客户端将使用基础模式的组播速率或MCS所代表的调制与编码策略传输组播数据,即802.11a/b/g/n/ac的组播速率。

需要注意的是:

·     组播NSS需要小于或等于最大基本NSS,最大基本NSS需要小于或等于最大支持NSS。

·     配置的802.11ax基本NSS(Number of Spatial Streams,空间流数)最大数值number表示射频的802.11ax最大基本NSS,即该射频的802.11ax基本NSS是1~number。

·     配置的802.11ax支持NSS最大数值number表示射频的802.11ax最大支持NSS,即该射频的802.11ax支持NSS是1~number。

·     配置的802.11ax组播NSS数值number表示射频发送802.11ax组播报文使用的NSS。配置的HE-MCS索引值index表示射频发送802.11ax组播报文使用的对应NSS的HE-MCS索引。

2. 802.11ax信道带宽

802.11ax将信道带宽从802.11n的20MHz/40MHz提升到了80MHz/160MHz/(80+80)MHz。带宽的提升带来了可用数据子载波的增加。802.11gax仅支持20MHz和40MHz两种带宽。

802.11ax沿用了802.11n的信道带宽划定方式,通过将相邻的信道合并得到更大带宽的信道。在802.11ax中,可以将相邻的两个20Mhz信道合并得到带宽为40Mhz的信道,也可以将两个40Mhz带宽的信道合并,得到带宽为80Mhz的信道,也可以将两个80Mhz带宽的信道合并,得到带宽为160Mhz的信道。

图1-6 802.11ax信道带宽划定方式示意图

 

1.4.12  定时关闭射频

本功能支持控制指定的AP射频在后续的某一时间段、每周的某几天关闭射频,以达到控制终端接入的目的。

设备支持两种定时关闭射频任务:

·     周期执行任务:每周的某几天重复执行定时关闭射频任务。

·     绝对时间执行任务:在未来的某一时间段一次性执行定时关闭射频任务。

1.4.13  射频优化

WLAN RRM(Radio Resource Management,射频资源管理)是一种可升级的射频管理解决方案,通过“采集(AP实时收集射频环境信息)->分析(AC对AP收集的数据进行分析评估)->决策(根据分析结果,AC统筹分配信道和发送功率)->执行(AP执行AC设置的配置,进行射频资源调优)”的方法,提供一套系统化的实时智能射频管理方案,使无线网络能够快速适应无线环境变化,保持最优的射频资源状态。WLAN RRM主要通过信道调整和功率调整的方式来优化射频的服务质量。

1. 信道调整

信道调整是指AC在调整周期到达时,通过计算信道质量,挑选出质量最优的信道应用到Radio上。影响信道质量的因素包括:

·     误码率:包括无线报文传输过程中物理层的误码率和CRC错误。

·     干扰:802.11信号或非802.11信号对无线接入服务产生的影响。

·     信道使用率:射频芯片处理大量无线报文的承载能力。

·     重传:由于AP没有收到ACK报文造成的数据重传。

·     雷达信号:在工作信道上检测到雷达信号。在这种情况下,AC会立即通知AP切换工作信道。

2. 功率调整

功率调整就是在整个无线网络的运行过程中,AC能够根据实时的无线环境情况,动态地调整Radio的发送功率,使Radio的发送功率在能够覆盖足够范围的情况下减少对其他Radio的干扰。Radio的发送功率增加或减少取决于邻居Radio数量等因素(邻居Radio指的是一个Radio能探测到的、由同一AC管理的其他Radio)。

1.4.14  频谱分析

说明

本特性的支持情况与AP设备的型号有关,请以设备的实际情况为准。

 

由于WLAN工作在共享频段,微波炉、无绳电话等设备都可能成为无线网络潜在的干扰源。为了解决上述问题,可以通过WSA(Wireless Spectrum Analysis,无线频谱分析)功能,实现对网络频谱环境的实时分析,及时发现干扰。频谱分析具有以下作用:

·     识别干扰设备类型:可识别出无线环境中的干扰设备类型,并提供关于干扰设备的详细信息。

·     检测信道质量:提供信道质量信息报表,计算出每个信道上干扰设备的数量以及信道质量的平均值和最差值。

·     干扰设备特征库管理:用户可以向AP下发不同的特征库,便于AP识别干扰设备。

·     规避干扰源:在开启RRM(Radio Resource Management,射频资源管理)联动功能后,当AC检测到当前工作信道的质量低于要求的级别时,会评估所有可用信道的质量,如果发现有质量更好的信道,就会将工作信道切换到新的信道上。

网络管理人员可以通过在AC上查看当前干扰信息,或是在网管系统上查看实时频谱数据图,充分了解无线网络运行情况,为快速诊断并制定排除干扰源的行动策略提供了有力的支持。

1. 识别干扰设备

AP可识别的干扰设备类型取决于所加载的干扰设备特征库。AP接收到无线环境中的信号后,通过分析信号的跳频间隔、脉冲周期等参数,在与干扰设备特征库中保存的设备信号信息进行匹配后,能够识别出无线环境中可能存在的干扰设备。请进入“监控 > 射频 > 频谱分析”页面,查看AP检测到的干扰设备信息。

2. 检测信道质量

频谱分析会对当前工作信道及可用信道的质量进行检测,计算出每个信道上的干扰设备数量及信道质量的平均值和最差值。请进入“监控 > 射频 > 频谱分析”页面,查看AP检测到的信道质量信息。

3. RRM联动

开启RRM(Radio Resource Management,射频资源管理)联动功能后,当频谱分析检测到当前工作信道的质量低于要求的级别时,会主动通知RRM当前信道质量不佳,由RRM执行信道调整。

4. 告警功能

频谱分析可以向网管系统发送两种告警:

·     干扰设备告警:检测到干扰设备时,AC会向网管系统发送设备发现告警;发现干扰设备消失时,AC会向网管系统发送设备消失告警。

·     信道质量告警:检测到信道质量低于指定门限值时,AC会向网管系统发送信道质量差的告警;信道质量恢复至门限值以上时,AC会向网管系统发送信道质量恢复的告警。

1.4.15  负载均衡

1. 负载均衡简介

WLAN负载均衡用于在高密度无线网络环境中平衡Radio的负载,充分地保证每个AP的性能和无线客户端的带宽。

启动负载均衡的WLAN环境要求为:相互进行负载均衡的AP必须要连到同一AC上,并且客户端能扫描到相互进行负载均衡的Radio,客户端接入的SSID快速关联功能处于关闭状态。

2. 负载均衡类型

目前,AC支持两种类型的负载均衡:基于Radio的负载均衡和基于负载均衡组的负载均衡。

·     基于Radio的负载均衡是针对AC上的所有Radio进行的负载均衡。

·     基于负载均衡组的负载均衡可以限制负载均衡的范围,在跨AP的多个Radio之间进行负载均衡。创建负载均衡组后,AC将以负载均衡组为单位,在各个组内的Radio间进行会话模式、流量模式或带宽模式的负载均衡,没有加入到任何负载均衡组的Radio不会参与负载均衡。

3. 负载均衡模式

·     会话模式:当Radio上的在线客户端数量达到或超过会话门限值并且与同一AC内其他Radio上的在线客户端数量最小者的差值达到或超过会话差值门限值,Radio才会开始运行负载均衡。

·     流量模式:当Radio上的流量达到或超过流量门限值并且与同一AC内其他Radio上的流量最小者的差值达到或超过流量差值门限值,Radio才会开始运行负载均衡。

·     带宽模式:当Radio上的带宽达到或超过带宽门限值并且与同一AC内其他Radio上的带宽最小者的差值达到或超过带宽差值门限值,Radio才会开始运行负载均衡。

4. 负载均衡参数

·     负载均衡RSSI门限:在进行负载均衡计算时,一个客户端可能会被多个Radio检测到,如果某个Radio检测到该客户端的RSSI值低于设定值,则该Radio将判定该客户端没有被检测到。如果只有过载的Radio可以检测到某客户端,其他Radio由于检测到该客户端的RSSI值低于设定值,将判定该客户端没有被检测到,则AC会通过让过载的Radio减少拒绝该客户端关联请求的最大次数,增大该客户端接入的概率。

·     设备拒绝客户端关联请求的最大次数:如果客户端反复向某个Radio发起关联请求,且Radio拒绝客户端关联请求次数达到设定的最大拒绝关联请求次数,那么该Radio会认为此时该客户端不能连接到其它任何的Radio,在这种情况下,Radio会接受该客户端的关联请求。

1.4.16  频谱导航

在实际无线网络环境中,有些客户端只能工作在2.4GHz频段上,有些客户端可以工作在2.4GHz频段或者5GHz频段,这有可能导致2.4GHz射频过载,5GHz射频相对空余。在这种情况下,可以使用频谱导航功能,将支持双频工作的客户端优先接入5GHz射频,使得两个频段上的客户端数量相对均衡,从而提高整网性能。

图1-7所示,无线网络中存在三个客户端,AP上开启5GHz射频和2.4GHz射频,Client1关联到AP的5GHz射频,Client2关联到AP的2.4GHz射频。AC上开启频谱导航功能后,当Client3准备接入无线网络时,如果对5GHz射频进行关联,将直接关联成功,如果对2.4GHz射频进行关联,将被AC拒绝。

图1-7 启动频谱导航的WLAN环境

 

1.5  无线安全

1.5.1  WIPS

WIPS(Wireless Intrusion Prevention System,无线入侵防御系统)是针对802.11协议开发的二层协议检测和防护功能。WIPS通过AC与Sensor(开启WIPS功能的AP)对信道进行监听及分析处理,从中检测出威胁网络安全、干扰网络服务、影响网络性能的无线行为或设备,并提供对入侵的无线设备的反制,为无线网络提供一套完整的安全解决方案。

WIPS由Sensor、AC以及网管软件组成。Sensor负责收集无线信道上的原始数据,经过简单加工后,上传至AC进行综合分析。AC会分析攻击源并对其实施反制,同时向网管软件输出日志信息。网管软件提供丰富的图形界面,提供系统控制、报表输出、告警日志管理功能。

WIPS支持以下功能:

·     攻击检测:提供多种攻击方式的攻击检测功能。

·     设备分类:通过侦听无线信道的802.11报文来识别无线设备,并对其进行分类。

·     反制:对非法设备进行攻击,使其它设备无法关联到非法设备,从而保护用户网络的安全。

1. 开启WIPS

开启WIPS功能前,需要将AP加入到指定VSD(Virtual Security Domain,虚拟安全域)中。该AP也称为Sensor。

2. 配置虚拟安全域

通过在虚拟安全域上应用分类策略、攻击检测策略、Signature策略或反制策略,使已配置的分类策略、攻击检测策略、Signature策略或反制策略在虚拟安全域内的Radio上生效。

3. 配置分类策略

·     分类策略

可以通过两种配置方式实现设备分类,其中手工分类的优先级高于自动分类。

¡     自动分类:通过信任设备列表、信任OUI列表和静态禁用设备列表对所有设备进行分类;或通过自定义的AP分类规则对AP设备进行分类。

¡     手工分类:通过手动指定AP的类型对设备进行分类。

·     AP的分类类别

WIPS将检测到的AP分为以下几类:

¡     授权AP(Authorized AP):允许在无线网络中使用的AP。包括已经关联到AC上且不在禁用列表中的AP和手动指定的授权AP。

¡     非法AP(Rouge AP):不允许在无线网络中使用的AP。包括禁用设备列表中的AP、不在OUI配置文件中的AP和手动指定的非法AP。

¡     配置错误的AP(Misconfigured AP):无线服务配置错误,但是允许在无线网络中使用的AP。例如,在信任设备列表中,但使用了非法SSID的AP;在OUI配置文件中,但不在禁用设备列表的AP;在信任OUI或是信任设备列表中,但是未与AC关联的AP。

¡     外部AP(External AP):其他无线网络中的AP。WIPS可能会检测到邻近网络中的AP,例如邻近公司或个人住宅中的AP。

¡     Ad hoc:运行在Ad hoc模式的AP。WIPS通过检测Beacon帧将其分类为Ad hoc。

¡     潜在授权的AP(Potential-authorized AP):无法确定但可能是授权的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,那么该AP很可能是授权的AP,如Remote AP。

¡     潜在非法的AP(Potential-rogue AP):无法确定但可能是非法的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,那么,如果检测到它的有线端口可能连接到网络中,则认为其为潜在非法的AP;如果能确定其有线端口连接到网络中,则认为其为非法AP,如恶意入侵者私自接入网络的AP。

¡     潜在外部的AP(Potential-external AP):无法确定但可能是外部的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,同时也没有检测到它的有线端口连接到网络中,则该AP很可能是外部的AP。

¡     未分类AP(Uncategorized AP):无法确定归属类别的AP。

WIPS对检测到的AP的分类处理流程如图1-8所示:

图1-8 WIPS对检测到的AP设备的分类处理流程示意图

 

·     客户端的分类类别

WIPS将检测到的客户端分为以下几类:

¡     授权客户端(Authorized Client):允许使用的客户端,如关联到授权AP上的受信任的客户端或通过加密认证方式关联到授权AP上的客户端都是授权的客户端。

¡     未授权客户端(Unauthorized Client):不允许使用的客户端。如在禁用设备列表中的客户端、连接到Rogue AP上的客户端以及不在OUI配置文件中的客户端都是未授权客户端。

¡     错误关联客户端(Misassociation Client):信任设备列表中的客户端关联到非授权AP上。错误关联的客户端可能会对网络信息安全带来隐患。

¡     未分类客户端(Uncategorized Client):无法确定归属类别的客户端。

WIPS对检测到的客户端的分类处理流程如图1-9所示:

图1-9 WIPS对检测到的客户端的分类处理流程示意图

 

4. 配置攻击检测策略

WIPS通过分析侦听到的802.11报文,来检测针对WLAN网络的无意或者恶意的攻击,并以告警的方式通知网络管理员。

·     表项学习速率和表项时间参数

如果攻击者通过发送大量报文来增加WIPS的处理开销等。通过检测周期内学习到设备的表项来判断是否需要对表项学习进行限速处理。设备在统计周期内学习到的AP或客户端表项达到触发告警阈值,设备会发送告警信息,并停止学习AP表项和客户端表项。

·     泛洪攻击检测

泛洪攻击是指通过向无线设备发送大量同类型的报文,使无线设备会被泛洪攻击报文淹没而无法处理合法报文。WIPS通过持续地监控AP或客户端的流量来检测泛洪攻击。当大量同类型的报文超出上限时,认为无线网络正受到泛洪攻击。

目前WIPS能够防范的泛洪攻击包括:

¡     Probe-request/Association-request/Reassociation-request帧泛洪攻击

攻击者通过模拟大量的客户端向AP发送Probe-request/Association-request/Reassociation-request帧,AP收到大量攻击报文后无法处理合法客户端的Probe-request/Association-request/Reassociation-request帧。

¡     Authentication帧泛洪攻击

攻击者通过模拟大量的客户端向AP发送Authentication帧,AP收到大量攻击报文后无法处理合法客户端的Authentication帧。

¡     Beacon帧泛洪攻击

该攻击是通过发送大量的Beacon帧使客户端检测到多个虚假AP,导致客户端选择正常的AP进行连接时受阻。

¡     Block ACK泛洪攻击

该攻击通过仿冒客户端发送伪造的Block ACK帧来影响Block ACK机制的正常运行,导致通信双方丢包。

¡     RTS/CTS泛洪攻击

在无线网络中,通信双方需要遵循虚拟载波侦听机制,通过RTS(Request to Send,发送请求)/CTS(Clear to Send,清除发送请求)交互过程来预留无线媒介,通信范围内的其它无线设备在收到RTS和(或)CTS后,将根据其中携带的信息来延迟发送数据帧。RTS/CTS泛洪攻击利用了虚拟载波侦听机制的漏洞,攻击者能通过泛洪发送RTS和(或)CTS来阻塞WLAN网络中合法无线设备的通信。

¡     Deauthentication帧泛洪攻击

攻击者通过仿冒AP向与其关联的客户端发送Deauthentication帧,使得被攻击的客户端与AP的关联断开。这种攻击非常突然且难以防范。单播Deauthentication帧攻击是针对某一个客户端,而广播Deauthentication帧攻击是针对与该AP关联的所有客户端。

¡     Disassociation帧泛洪攻击

攻击原理同Disassociation帧泛洪攻击。攻击者是通过仿冒AP向与其关联的客户端发送Disassociation帧,使得被攻击的客户端与AP的关联断开。这种攻击同样非常突然且难以防范。

¡     EAPOL-Start泛洪攻击

IEEE 802.1X标准定义了一种基于EAPOL(EAP over LAN,局域网上的可扩展认证协议)的认证协议,该协议通过客户端发送EAPOL-Start帧开始一次认证流程。AP接收到EAPOL-Start后会回复一个EAP-Identity-Request,并为该客户端分配一些内部资源来记录认证状态。攻击者可以通过模拟大量的客户端向AP发送EAPOL-Start来耗尽该AP的资源,使AP无法处理合法客户端的认证请求。

¡     Null-data泛洪攻击

该攻击通过仿冒合法客户端向与其关联的AP发送Null-data帧,使得AP误认为合法的客户端进入省电模式,将发往该客户端的数据帧进行暂存。如果攻击者持续发送Null-data帧,当暂存帧的存储时间超过AP暂存帧老化时间后,AP会将暂存帧丢弃,妨害了合法客户端的正常通信。

¡     EAPOL-Logoff泛洪攻击

在EAPOL认证环境中,当通过认证的客户端需要断开连接时,会发送一个EAPOL-Logoff帧来关闭与AP间的会话。但AP对接收到的EAPOL-Logoff帧不会进行认证,因此攻击者通过仿冒合法客户端向AP发送EAPOL-Logoff帧,可以使AP关闭与该客户端的连接。如果攻击者持续发送仿冒的EAPOL-Logoff帧,将使被攻击的客户端无法保持同AP间的连接。

¡     EAP-Success/Failure泛洪攻击

在使用802.1X认证的WLAN环境中,当客户端认证成功时,AP会向客户端发送一个EAP-Success帧(code字段为success的EAP帧);当客户端认证失败时,AP会向客户端发送一个EAP-Failure帧(code字段为failure的EAP帧)。攻击者通过仿冒AP向请求认证的客户端发送EAP-Failure帧或EAP-Success帧来破坏该客户端的认证过程,通过持续发送仿冒的EAP-Failure帧或EAP-Success帧,可以阻止被攻击的客户端与AP间的认证。

·     畸形报文检测

畸形报文攻击是指攻击者向受害客户端发送有缺陷的报文,使得客户端在处理这样的报文时会出现崩溃。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析检测出具有某些畸形类型特征的畸形报文,并发送告警。

目前支持的畸形报文检测包括:

¡     IE重复的畸形报文

该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不检测厂商自定义IE。

¡     Fata-Jack畸形报文

该检测是针对Authentication帧的检测。Fata-jack畸形类型规定,当身份认证算法编号即Authentication algorithm number的值等于2时,则判定该帧为Fata-jack畸形报文。

¡     IBSS和ESS置位异常的畸形报文

该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以该报文被判定为IBSS和ESS置位异常的畸形报文。

¡     源地址为广播或者组播的认证和关联畸形报文

该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时,表明该帧为客户端发给AP的,如果同时又检测到该帧的源MAC地址为广播或组播,则该帧被判定为Invalid-source-address畸形报文。

¡     畸形Association-request报文

该检测是针对认证请求帧的检测。当收到认证请求帧中的SSID的长度等于0时,判定该报文为畸形关联请求报文。

¡     畸形Authentication报文

该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败,会被判断为认证畸形报文。

-     当对认证帧的身份认证算法编号(Authentication algorithm number)的值不符合协议规定,并且其值大于3时;

-     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值等于1,且状态代码status code不为0时;

-     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值大于4时。

¡     含有无效原因值的解除认证畸形报文

该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除认证畸形报文。

¡     含有无效原因值的解除关联畸形报文

该检测是针对解除关联帧的检测。当解除关联帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除关联畸形报文。

¡     畸形HT IE报文

该检测是针对Beacon、探查响应帧、关联响应帧、重关联请求帧的检测。当检测到以下情况时,判定为HT IE的畸形报文,发出告警,在静默时间内不再告警。

-     解析出HT Capabilities IE的SM Power Save值为2时;

-     解析出HT Operation IE的Secondary Channel Offset值等于2时。

¡     IE长度非法的畸形报文

该检测是针对所有管理帧的检测。信息元素(Information Element,简称IE)是管理帧的组成元件,每种类型的管理帧包含特定的几种IE。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。

¡     报文长度非法的畸形报文

该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于0时,则该报文被判定为报文长度非法的畸形报文。

¡     无效探查响应报文

该检测是针对探查响应报文。当检测到该帧为非Mesh帧,但同时该帧的SSID Length等于0,这种情况不符合协议(协议规定SSID Length等于0的情况是Mesh帧),则判定为无效探查响应报文。

¡     Key长度超长的EAPOL报文

该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于0时,则判定该帧为Key长度超长的EAPOL报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。

¡     SSID长度超长的畸形报文

该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSID length大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。

¡     多余IE畸形报文

该检测是针对所有管理帧的检测。报文解析过程中,当检测到既不属于报文应包含的IE,也不属于reserved IE时,判断该IE为多余IE,则该报文被判定为多余IE的畸形报文。

¡     Duration字段超大的畸形报文

该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值,则为Duration超大的畸形报文。

·     攻击检测

¡     Spoofing

Spoofing攻击是指攻击者仿冒其他设备,从而威胁无线网络的安全。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证/解除关联报文就可能导致客户端下线,从而达到破坏无线网络正常工作的目的;又或者攻击者仿冒成合法的AP来诱使合法的客户端关联,攻击者仿冒成合法的客户端与AP关联等,从而可能导致用户账户信息泄露。

目前支持的Spoofing检测包括:AP地址仿冒和客户端地址仿冒

¡     Weak IV

WEP安全协议使用的RC4加密算法存在一定程度的缺陷,当其所用的IV值不安全时会大大增加其密钥被破解的可能性,该类IV值即被称为Weak IV。WIPS特性通过检测每个WEP报文的IV值来预防这种攻击。

¡     Windows网桥

当一个连接到有线网络的无线客户端使用有线网卡建立了Windows网桥时,该无线客户端就可以通过连接外部AP将外部AP与内部有线网络进行桥接。此组网方式会使外部AP对内部的有线网络造成威胁。WIPS会对已关联的无线客户端发出的数据帧进行分析,来判断其是否存在于Windows网桥中。

¡     设备禁用802.11n 40MHz

支持802.11n标准无线设备可以支持20MHz和40MHz两种带宽模式。在无线环境中,如果与AP关联的某个无线客户端禁用了40MHz带宽模式,会导致AP与该AP关联的其它无线客户端也降低无线通信带宽到20MHz,从而影响到整个网络的通信能力。WIPS通过检测无线客户端发送的探测请求帧来发现禁用40MHz带宽模式的无线客户端。

¡     Omerta

Omerta是一个基于802.11协议的DoS攻击工具,它通过向信道上所有发送数据帧的客户端回应解除关联帧,使客户端中断与AP的关联。Omerta发送的解除关联帧中的原因代码字段为0x01,表示未指定。由于正常情况下不会出现此类解除关联帧,因此WIPS可以通过检测每个解除关联帧的原因代码字段来检测这种攻击。

¡     未加密授权AP/未加密信任客户端

在无线网络中,如果有授权AP或信任的无线客户端使用的配置是未加密的,网络攻击者很容易通过监听来获取无线网络中的数据,从而导致网络信息泄露。WIPS会对信任的无线客户端或授权AP发出的管理帧或数据帧进行分析,来判断其是否使用了加密配置。

¡     热点攻击

热点攻击指恶意AP使用热点SSID来吸引周围的无线客户端来关联自己。攻击者通过伪装成公共热点来引诱这些无线客户端关联自己。一旦无线客户端与恶意AP关联上,攻击者就会发起一系列的安全攻击,获取用户的信息。用户通过在WIPS中配置热点文件,来指定WIPS对使用这些热点的AP和信任的无线客户端进行热点攻击检测。

¡     绿野模式

当无线设备使用802.11n 绿野模式时,不可以和其他802.11a/b/g 设备共享同一个信道。通常当一台设备侦听到有其他设备占用信道发送和接收报文的时候,会延迟报文的发送直到信道空闲时再发送。但是802.11a/b/g设备不能和绿野模式的AP进行通信,无法被告知绿野模式的AP当前信道是否空闲,会立刻发送自己的报文。这可能会导致报文发送冲突、差错和重传。

¡     关联/重关联DoS攻击

关联/重关联DoS攻击通过模拟大量的客户端向AP发送关联请求/重关联请求帧,使AP的关联列表中存在大量虚假的客户端,达到拒绝合法客户端接入的目的。

¡     中间人

在中间人攻击中,攻击者在合法AP和合法客户端的数据通路中间架设自己的设备,并引诱合法客户端下线并关联到攻击者的设备上,此时攻击者就可以劫持合法客户端和合法AP之间的会话。在这种情况下,攻击者可以删除,添加或者修改数据包内的信息,获取验证密钥、用户密码等机密信息。中间人攻击是一种组合攻击,客户端在关联到蜜罐AP后攻击者才会发起中间人攻击,所以在配置中间人攻击检测之前需要开启蜜罐AP检测。

¡     无线网桥

攻击者可以通过接入无线网桥侵入公司网络的内部,对网络安全造成隐患。WIPS通过检测无线网络环境中是否存在无线网桥数据以确定周围环境中是否存在无线网桥。当检测到无线网桥时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。如果该无线网桥是Mesh网络时,则记录该Mesh链路。

¡     AP信道变化

AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境的中AP设备的信道是否发生变化。

¡     广播解除关联帧/解除认证帧

当攻击者仿冒成合法的AP,发送目的MAC地址为广播地址的解除关联帧或者解除认证帧时,会使合法AP下关联的客户端下线,对无线网络造成攻击。

¡     AP扮演者攻击

在AP扮演者攻击中,攻击者会安装一台恶意AP设备,该AP设备的BSSID和ESSID与真实AP一样。当该恶意AP设备在无线环境中成功扮演了真实AP的身份后,就可以发起热点攻击,或欺骗检测系统。WIPS通过检测收到Beacon帧的间隔小于Beacon帧中携带的间隔值次数达到阈值来判断其是否为攻击者扮演的恶意AP。

¡     AP泛洪

AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境的中AP设备的数目达到稳定后不会大量增加。当检测到AP的数目超出预期的数量时, WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。

¡     蜜罐AP

攻击者在合法AP附近搭建一个蜜罐 AP,通过该AP发送与合法AP SSID相似的Beacon帧或Probe Response帧,蜜罐AP的发送信号可能被调得很大以诱使某些授权客户端与之关联。当有客户端连接到蜜罐AP,蜜罐AP便可以向客户端发起某些安全攻击,如端口扫描或推送虚假的认证页面来骗取客户端的用户名及密码信息等。因此,需要检测无线环境中对合法设备构成威胁的蜜罐AP。WIPS系统通过对外部AP使用的SSID进行分析,若与合法SSID的相似度值达到一定阈值就发送蜜罐AP告警。

¡     节电攻击

对于处于非节电模式下的无线客户端,攻击者可以通过发送节电模式开启报文(Null帧),诱使AP相信与其关联的无线客户端始终处于睡眠状态,并为该无线客户端暂存帧。被攻击的无线客户端因为处于非节电模式而无法获取这些暂存帧,在一定的时间之后暂存帧会被自动丢弃。WIPS通过检测节电模式开启/关闭报文的比例判断是否存在节电攻击。

¡     软AP

软AP是指客户端上的无线网卡在应用软件的控制下对外提供AP的功能。攻击者可以利用这些软AP所在的客户端接入公司网络,并发起网络攻击。WIPS通过检测某个MAC地址在无线客户端和AP这两个角色上的持续活跃时长来判断其是否是软AP,不对游离的客户端进行软AP检测。

¡     非法信道

用户可以设置合法信道集合,并开启非法信道检测,如果WIPS在合法信道集合之外的其它信道上监听到无线通信,则认为在监听到无线通信的信道上存在入侵行为。

5. Signature检测

Signature检测是指用户可以根据实际的网络状况来配置Signature规则,并通过该规则来实现自定义攻击行为的检测。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析,检测出具有某些自定义类型特征的报文,并将分析检测的结果进行归类处理。

每个Signature检测规则中最多支持配置6条子规则,分别对报文的6种特征进行定义和匹配。当AC解析报文时,如果发现报文的特征能够与已配置的子规则全部匹配,则认为该报文匹配该自定义检测规则,AC将发送告警信息或记录日志。

可以通过子规则定义的6种报文特征包括:

·     帧类型

·     MAC地址

·     序列号

·     SSID

·     SSID长度

·     自定义报文位置

6. 反制策略

在无线网络中设备分为两种类型:非法设备和合法设备。非法设备可能存在安全漏洞或被攻击者操纵,因此会对用户网络的安全造成严重威胁或危害。反制功能可以对这些设备进行攻击使其他无线终端无法关联到非法设备。

7. 配置忽略告警信息的MAC地址列表

对于可以忽略WIPS告警信息的设备列表中的无线设备,WIPS仍然会对其做正常的监测,但是不会产生与该设备相关的任何WIPS告警信息。

1.5.2  黑白名单

无线网络很容易受到各种网络威胁的影响,非法设备对于无线网络来说是一个很严重的威胁,因此需要对客户端的接入进行控制。通过黑名单和白名单功能来过滤客户端,对客户端进行控制,防止非法客户端接入无线网络,可以有效的保护企业网络不被非法设备访问,从而保证无线网络的安全。组播或广播MAC地址不能设置为黑名单或白名单。

1. 白名单

白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入。白名单表项只能手工添加和删除。

2. 黑名单

黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入。黑名单分为静态黑名单和动态黑名单,以下分别介绍。

(1)     静态黑名单

用户手工添加、删除的黑名单称为静态黑名单,当无线网络明确拒绝某些客户端接入时,可以将这些客户端加入静态黑名单。

(2)     动态黑名单

设备通过检测而自动生成和删除的黑名单称为动态黑名单,当AP检测到来自某一客户端的攻击报文时,会将该客户端的MAC地址动态加入到动态黑名单中,在动态黑名单表项老化时间内拒绝该客户端接入无线网络。

1.6  漫游

在ESS(Extended Service Set,拓展服务集)区域中,WLAN客户端从一个AP上接入转移到另一个AP上接入的过程称为漫游。在漫游期间,客户端的IP地址、授权信息等维持不变。

1.6.1  漫游组

多个AC设备可以加入一个相同的组,客户端可以在组内漫游,该组即为漫游组。客户端从一个AC内的AP漫游到另一个AC内的AP上接入,称为AC间漫游(Inter-AC roaming)。该组网方式下,通过创建漫游组,统一管理参与漫游的AC,没有加入漫游组的AC将不参与漫游。

IADTP(Inter Access Device Tunneling Protocol,接入设备间隧道协议):该协议提供了设备间报文的通用封装和传输机制。提供漫游服务的设备之间会建立IADTP隧道,用于保证设备间控制报文以及客户端漫游信息的安全传输。

·     隧道IP地址类型

创建漫游组之后,必须指定漫游组隧道IP地址类型。只有设备加入漫游组时建立IADTP隧道的源IP地址与隧道IP地址类型相同,设备加入漫游组时才会生效并建立隧道。

·     建立IADTP隧道的源IP地址

设备在加入漫游组后需要使用IADTP隧道源IP地址和同一漫游组内成员设备建立IADTP隧道。

·     漫游组成员

漫游组内的成员设备通过IP地址标识,该IP地址为成员设备建立IADTP隧道的源IP地址。漫游组内可以同时添加IPv4和IPv6类型的漫游组成员,但是只有与隧道类型相同的成员可以生效。

1.7  应用

1.7.1  Mesh服务

1. WLAN Mesh简介

在传统无线网络中,AP之间需要借助电缆,交换机等设备建立连接,成本较高,并且需要大量的时间完成部署。而在无线Mesh网络中,AP之间可以直接建立无线连接,并且距离较远的AP间还可以建立多跳的无线链路。无线Mesh网络的优点包括:

·     低成本,高性能,部署简单。

·     提供多条备份链路,避免单点故障。

·     扩展性好,增加AP时无需铺设新的有线连接。

·     用户体验好,对用户来说无线Mesh网络和传统WLAN在应用上没有区别。

2. Mesh网络设备角色

WLAN Mesh网络中的设备角色如下:

·     MP(Mesh Point):提供Mesh服务的AP。

·     对端MP:已经与本端建立了Mesh链路的MP。

·     邻居MP:具备成为对端MP的条件,只是本端未与其建立Mesh链路。

·     MAP(Mesh Access Point):同时提供Mesh服务和接入服务的MP。

·     MPP(Mesh Portal Point):连接无线Mesh网络和非Mesh网络的MP。

3. Mesh Profile

Mesh Profile是指MP设备上Mesh协议处理能力的集合,Mesh Profile中主要包括Mesh ID、AKM(Authentication and Key Management,身份认证与密钥管理)模式与链路保活报文的发送间隔。

两个MP之间需要先发现邻居并建立邻居关系,而后才会发起建立Mesh链路。在邻居发现阶段,每个MP需要对比收到的Probe Request帧或Probe Response帧中携带的Mesh Profile信息与自身的配置是否吻合。

4. Mesh策略

Mesh策略包含一系列影响链路建立与维护的属性。例如,Mesh连接发起功能、探测请求发送间隔、链路速率模式、最大Mesh连接数等。将一个Mesh策略和一个MP的射频绑定后,此Mesh策略里的属性将会影响此射频上链路的建立和维护。

射频上缺省绑定Mesh策略default_mesh_policy,该Mesh策略不允许进行删除和修改。可以新建Mesh策略替换射频上绑定的缺省策略。

5. 邻居探测请求发送功能

MPP作为连接无线Mesh网络和非Mesh网络的MP,可能需要与大量MP建立Mesh链路,为减轻MPP设备负担,可以通过配置MPP停止发送邻居探测请求,使MPP不再发送邻居探测请求来发现邻居,而只回复其它MP发送的邻居探测请求。

6. 邻居白名单

配置邻居白名单后,只有某MP的MAC地址与邻居白名单里的MAC地址匹配,本端才会与该MP建立邻居关系。如果没有配置邻居白名单,即允许和所有符合邻居建立条件的MP建立邻居关系。

1.7.2  组播优化

1. 组播优化简介

组播传输的特点无法满足某些对组播流有较高要求的应用,如高清视频点播,这类应用对传送时延不敏感,但要求报文流有较高完整性。为了满足这些应用需求,可开启组播优化功能,使AP向客户端发送组播报文时,将组播数据报文转换为单播数据报文,转换后的无线单播数据报文不但具有重传确认机制及更高速率,还具有Video的优先级,可以优先被发送。

组播优化功能通过组播优化表项来管理组播报文的转发。组播优化表项以客户端MAC地址为索引,记录了客户端加入的组播组、每个组播组下可接收的组播源、加入组的版本、加入组的模式等信息。

在组播优化表中,每个客户端加入一个组播组即生成一条表项。如果客户端以指定源的方式加入组播组,则加入的组播组以及每个指定的源均会生成一条表项。客户端退出组播组或取消某个指定源时,组播优化表中会删除对应的表项。

2. 组播优化表项老化时间

组播优化表项老化时间可控制组播优化表项的存活期,过长的老化时间占用系统资源时间过长,影响客户端创建新的表项,过短的老化时间会造成表项的频繁生成和老化。

3. 组播优化策略

组播优化策略定义了需要进行组播优化的无线客户端的数量阈值以及超过阈值之后设备对发往无线客户端的组播报文采取的处理方式。需要进行组播优化的客户端数量超过阈值前,设备将组播报文转换为单播报文转发;客户端数量超过阈值之后,设备支持以下几种处理方式:

·     单播转发:设备随机选取N个(N为设置的阈值)客户端进行单播转发,而超出阈值的客户端不会收到任何报文。

·     组播转发:设备为所有客户端进行组播转发。

·     丢弃报文:设备直接将组播报文丢弃,不为任何一个客户端发送报文。

如果不指定处理方式,设备默认的处理方式为单播转发。

4. 组播优化表项限制

·     限制组播优化表项的数量

大量的组播优化表项会消耗系统资源,可通过设置组播优化表项的数量上限,来控制组播优化表的大小。

当组播优化表项的数量达到上限时,AP不再创建新的组播优化表项;当上限值被修改或者当前存在的表项因老化而被删除时,AP会再次创建新的组播优化表项。

·     限制组播优化表中为单个客户端维护的表项数量

组播优化表中的表项数量会占用系统资源,用户可以通过限制组播优化表中为单个客户端维护的表项数量,来实现系统资源的合理划分,避免一个客户端创建过多的表项占用其它客户端的资源。

5. IGMP报文速率限制

IGMP报文的速率是指在一定时间内允许设备接收无线客户端IGMP报文的最大数量。通过限制速率避免了设备在某一时间段处理大量来自无线客户端的IGMP报文。对于超出限制数的报文,设备将会丢弃。

1.7.3  无线定位

无线定位技术是通过监听支持802.11或BLE(Bluetooth Low Energy,蓝牙低功耗)技术的设备发送的无线报文,实现定位、追踪和监测目标,可以应用于医疗监护、资产管理、物流等方面,协助用户高效地完成物资管理和监控。

1. 无线定位系统的组成

无线定位系统由以下三类设备组成:

·     被定位的设备:可以向周围发送无线报文的设备。其中,支持802.11技术的设备分为Tag(周期性发送802.11报文的小型无线设备)和MU(除Tag外的其他符合802.11技术的设备)两类设备。

·     定位信息接收设备:符合802.11标准要求的AP或其它接收设备。

·     定位服务器:运行定位软件的服务器。

定位信息接收设备将搜集到的定位信息发送到定位服务器,定位服务器通过软件计算出被定位设备的位置信息。

2. 无线定位的工作过程简介

无线定位的工作过程为:

(1)     AP发现定位服务器

AP会根据配置的定位服务器地址发送收集到的定位信息。

(2)     AP搜集定位信息

AP在收到由被定位设备发出的无线报文后,会将报文与搜集到的定位信息一起封装为定位协议的协议报文(下文中简称为定位报文)发送给定位服务器。

(3)     定位服务器进行定位计算

定位服务器收到定位报文后,提取报文中的定位信息并按照定位算法进行计算,得到被定位设备的位置信息。

3. 无线定位公共属性

·     报文限速

¡     接收客户端报文限速

开启AP接收客户端报文的限制速率功能后,AP将按照令牌桶算法对从定位设备接收到的报文进行速率限制。当某个定位设备以高于承诺信息速率的速率发送无线报文,并且令牌桶中的令牌已用完时,AP不会对超出的报文做定位相关处理,即不进行定位报文的封装上报工作。使用本功能可以保障每个客户端的定位信息都能平均地发送至定位服务器,也可以避免AP处理过多报文,从而保障AP的定位功能正常运行。

本功能仅在AeroScout定位方式和指纹定位方式下生效。如果同时开启本功能和报文稀释功能,将对稀释后的报文进行速率限制。

¡     发送定位报文限速

开启AP发送定位报文的限制速率功能后,AP将按照令牌桶算法对发送的定位报文进行速率限制。当AP以高于承诺信息速率的速率发送定位报文,并且令牌桶中的令牌已用完时,AP将直接丢弃该定位报文。使用本功能可以避免定位报文流量过大对定位服务器造成流量冲击,影响定位服务器的性能。

本功能仅在AeroScout定位方式和指纹定位方式下生效。

·     定位保活

开启定位保活功能后,AP会每隔15秒发送Hello报文给定位服务器,用于定位服务器确认AP是否在线。如果定位服务器超过30秒没有收到来自AP的Hello消息或其它任何消息,则认为AP已失去连接,并采取相应的处理。

·     报文过滤

¡     报文RSSI过滤

RSSI是AeroScout定位服务器和指纹定位服务器进行定位计算使用的主要元素之一。RSSI值越低,表示待定位设备距离AP越远。通过配置报文RSSI过滤,可以让AP仅对指定范围内的设备进行定位,即不对报文RSSI值低于RSSI过滤门限的无线报文做定位报文的封装和上报。

本功能仅在AeroScout定位方式和指纹定位方式下生效。

¡     帧过滤

开启忽略Beacon帧功能后,AP不会将从Beacon帧中获取的定位信息上报给定位服务器,避免无线环境中大量的Beacon帧对定位服务器造成冲击,影响定位服务器的性能。

本功能仅在AeroScout定位方式和指纹定位方式下生效。

·     报文稀释

由于AP需要将与自己关联和非关联的客户端定位报文都发送给定位服务器,报文数量可能非常庞大。通过报文稀释功能,可以有效减少AP向定位服务器发送的报文数量。报文稀释功能是指AP每收到一定数量的报文后,才会向定位服务器发送一个报文。例如,将稀释因子配置为100,则AP在收到100个来自同一客户端的无线报文(不包括管理报文和广播报文)后,才会将其封装成定位报文并向定位服务器发送。

此外,在稀释超时时间内,若AP收到的报文数量没有达到稀释因子数,则将最近接收到的无线报文发送给定位服务器,避免报文搜集周期过长,影响定位的准确性。

4. Aeroscout定位

·     AeroScout定位开关

开启AeroScout无线定位功能将触发AP对所有支持的信道进行扫描,并将捕获到的无线报文封装成定位报文发送给AeroScout定位服务器。

·     时间戳

使用AeroScout定位时,AP可以为报文封装两种时间戳:

¡     绝对时间:自1970年以来到接收报文的时间。

¡     相对时间:自AP系统启动以来到接收报文的时间。

Tag设备发送的报文只能封装相对时间戳。MU设备发送的报文,对于某特定厂商的定位服务器只能封装绝对时间戳,否则只能封装相对时间戳。

·     源端口

定位服务器与AP进行报文交互的过程中,向AP的某个端口号发送报文,AP需要监听该端口号,才能进行响应。

·     AeroScout定位模式

AeroScout定位分为动态定位和静态定位,需要根据使用的AeroScout定位服务器是否支持向AP发起动态协商来选择定位模式。

¡     动态定位:该模式下,AP支持与AeroScout定位服务器进行动态协商,定位服务器在协商过程中会获取AP的AeroScout定位版本、设备和状态信息;AP也将从定位服务器获取定位参数,包括Tag设备发送报文的目的MAC地址、报文稀释参数、定位服务器的IP地址和端口号。完成上述协商过程后,定位服务器会向AP发送定位信息收集通知,AP收到通知后才会将收集的定位信息发送给定位服务器。

¡     静态定位:当使用的定位服务器不支持与AP进行动态协商时,需要选择该模式。该模式下,AP仅接收来自AC的定位参数,因此需要在AC上配置AP进行定位所需的相关参数。静态定位模式下,只要AP获取到定位服务器的IP地址和端口号,就可以向定位服务器发送定位报文。当使用的定位服务器不支持与AP进行动态协商时,需要选择定位模式为静态定位。

AeroScout动态定位模式下,当AP收到来自定位服务器的配置信息,会将定位服务器的IP地址及端口号保存到Flash中,用于AP在更换IP地址或重启后主动通知定位服务器,以便定位服务器快速获知并响应AP的变化。当AP收到定位服务器发送的配置消息时,AP将等待10分钟后再更新Flash。如果在这10分钟内收到新的配置消息,AP只会刷新缓存,并继续等待剩余的时间之后,再将缓存中的信息保存到Flash中。因此,如果AP在收到首个配置消息后的10分钟内发生IP地址变更或重启,将无法通知定位服务器。

·     转发模式

AP上报定位报文的模式分为本地转发模式和集中转发模式:

¡     本地转发模式:AP将定位信息封装为定位报文后直接发送给定位服务器。

¡     集中转发模式:AP将定位信息封装为定位报文后先发送给AC,再由AC将定位报文发送给定位服务器。

·     组播地址

Tag设备和MU设备都发送802.11报文,其中Tag设备发送报文的目的MAC地址为设备厂家指定的组播MAC地址,将其配置并下发给AP后,AP才能识别报文来自Tag设备或MU设备,并将报文中的定位信息封装为指定设备类型的定位报文后发送给定位服务器。

在AeroScout定位模式为静态定位时,需要配置Tag设备的组播MAC地址。在AeroScout定位模式为动态定位时,此配置不生效。

如果未配置Tag设备的组播MAC地址,AP会认为所接收的802.11报文全部来自MU设备。

·     静态服务器配置

在AeroScout定位模式为静态定位时,需要配置AeroScout定位服务器的IPv4地址和端口号。

5. 蓝牙定位

·     源端口

定位服务器与AP进行报文交互的过程中,向AP的某个端口号发送报文,AP需要监听该端口号,才能进行响应。

·     静态服务器配置

配置蓝牙定位服务器的IPv4地址和端口号用于AP主动探知蓝牙定位服务器,进行信息交互。

·     实时上报邻居信息

通过AP定位蓝牙设备时,需要开启AP向定位服务器实时上报邻居信息功能,并配置实时定位的设备厂商前导码。完成上述配置后,每当AP收到BLE通告,如果通告中携带的厂商前导码和配置的实时定位的设备厂商前导码相匹配,AP会将通告中携带的信息封装为实时定位报文后发送给定位服务器,用于定位服务器对蓝牙设备进行定位。

最多支持配置5个不同的设备厂商前导码,并可以为不同的前导码指定不同的蓝牙实时定位服务器和实时定位报文的上报间隔。

当BLE定位报文的转发模式为集中转发模式且蓝牙定位报文的上报格式为轻量级报文格式时,上报实时定位报文的时间间隔固定为1秒。

·     周期上报邻居列表

AP收到iBeacon设备发送的报文后,会将iBeacon设备添加到BLE邻居列表,邻居列表记录着BLE邻居的UUID、Major ID、Minor ID、最近一次通告的Tx Power以及RSSI。AP将邻居列表上报给定位服务器后,定位服务器才能对iBeacon设备进行管理。管理员可开启周期上报邻居列表功能,并配置上报周期。

·     转发模式

AP上报定位报文的模式分为本地转发模式和集中转发模式:

¡     本地转发模式:AP将定位信息封装为定位报文后直接发送给定位服务器。

¡     集中转发模式:AP将定位信息封装为定位报文后先发送给AC,AC会将来自多个AP的定位信息封装为一个定位报文,再发送给定位服务器。

·     报文格式

蓝牙定位的报文格式包括以下两种:

¡     常规报文格式:适用于大部分场景,大部分第三方定位服务器仅支持该报文格式。

¡     轻量级报文格式:在对流量敏感的场景,可以选用轻量级报文格式。为了减少带宽占用,轻量级报文不仅压缩了报文内容,而且还减少了报文数量,AP会等待一段时间将缓存的多个客户端信息放在同一个轻量级报文中进行上报。

·     指令密码

AP在将定位服务器的配置下发给iBeacon设备时,需要与iBeacon设备检验指令密码,只有密码校验成功,配置才能下发。因此,通过AP对iBeacon设备进行管理前,需要先配置与iBeacon设备的出厂指令密码相同的缺省指令密码。

·     邻居老化时间

如果AP在老化时间内没有收到某个iBeacon设备发送的报文,则将该设备从邻居列表中删除,并向蓝牙定位服务器发送该设备的老化通知。定位服务器收到通知后,会删除对该设备的记录,让用户及时发现电源耗尽或被移动的iBeacon设备。

·     报文RSSI过滤

AP根据iBeacon设备发送的通告更新邻居列表里该设备的表项内容和老化定时器。当iBeacon设备被移动并远离AP时,AP检测到该设备的RSSI值将会降低。为了尽早发现被移动的iBeacon设备,可以配置报文RSSI过滤功能。当AP检测到iBeacon设备发送的通告的RSSI值低于配置的门限值时,将直接丢弃该通告报文,这样等老化定时器超时后,AP将删除邻居列表里该设备对应的表项,并通知定位服务器。定位服务器收到通知后,会删除该设备的记录,让用户及时发现被移动的iBeacon设备。

6. CUPID定位

·     静态服务器配置

可以将远程定位服务器或者AC指定为CUPID定位服务器来处理定位计算。AC作为CUPID定位服务器时,定位报文上报模式必须为集中上报,且只能定位已关联客户端,无法定位非关联客户端。

·     源端口

定位服务器与AP进行报文交互的过程中,向AP的某个端口号发送报文,AP需要监听该端口号,才能进行响应。

·     周期上报客户端信息

如果AP上同时配置了接入功能和CUPID定位功能,则该AP需要开启上报客户端列表功能,其上关联的客户端才能被定位。开启AP向定位服务器上报客户端列表功能后,AP会按照配置的时间间隔向定位服务器定时发送该AP上关联的客户端列表。定位服务器将依据所有AP上报的客户端列表来为列表中的每个客户端选择一组合适的测量AP。

·     非关联客户端信息上报

非关联客户端,即没有关联到本AP的无线客户端。开启非关联客户端信息上报功能后,AP才会将非关联客户端的信息上报给定位服务器。非关联客户端的信息包括两部分:一部分为从客户端报文中获取的客户端MAC地址和RSSI信息;另一部分为非关联客户端定位测量报告,用于定位服务器定位客户端。

·     转发模式

AP上报定位报文的模式分为本地转发模式和集中转发模式:

¡     本地转发模式:AP将定位信息封装为定位报文后直接发送给定位服务器。

¡     集中转发模式:AP将定位信息封装为定位报文后先发送给AC,AC会将来自多个AP的定位信息封装为一个定位报文,再发送给定位服务器。

·     报文格式

CUPID定位的报文格式包括以下两种:

¡     常规报文格式:适用于大部分场景,大部分第三方定位服务器仅支持该报文格式。

¡     轻量级报文格式:在对流量敏感的场景,可以选用轻量级报文格式。为了减少带宽占用,轻量级报文不仅压缩了报文内容,而且还减少了报文数量,AP会等待一段时间将缓存的多个客户端信息放在同一个轻量级报文中进行上报。

7. 指纹定位

·     静态服务器配置

配置指纹定位服务器的IPv4地址和端口号用于AP主动探知指纹定位服务器,进行信息交互。

·     源端口

定位服务器与AP进行报文交互的过程中,向AP的某个端口号发送报文,AP需要监听该端口号,才能进行响应。

·     原始报文上报开关

如果定位服务器需要自行从客户端的无线报文中获取定位信息,则需要开启原始报文上报功能,AP会将接收到的无线报文和从报文中获取到的定位信息一同封装为定位报文发送给定位服务器。否则,AP仅将获取到的定位信息发送给定位服务器。

·     MU上报开关

如果定位服务器需要获取更多的客户端信息,则需要开启MU上报功能,AP会将MU信息,包括MU的IP地址,发送速率等信息封装在定位报文中发送给定位服务器。

·     转发模式

AP上报定位报文的模式分为本地转发模式和集中转发模式:

¡     本地转发模式:AP将定位信息封装为定位报文后直接发送给定位服务器。

¡     集中转发模式:AP将定位信息封装为定位报文后先发送给AC,AC会将来自多个AP的定位信息封装为一个定位报文,再发送给定位服务器。

·     报文格式

指纹定位的报文格式包括以下三种:

¡     CUPID混合格式:使用CUPID非关联终端报告的报文格式,仅上报客户端的MAC地址和RSSI,在定位服务器仅需要获取客户端的MAC地址和RSSI时使用。

¡     常规报文格式:适用于大部分场景,大部分第三方定位服务器仅支持该报文格式。

¡     轻量级报文格式:在对流量敏感的场景,可以选用轻量级报文格式。为了减少带宽占用,轻量级报文不仅压缩了报文内容,而且还减少了报文数量,AP会缓存一段时间后再将多个客户端信息放在同一个轻量级报文中进行上报。

8. 物联网定位

物联网定位用于定位手环、电子标签。

配置物联网定位服务器的IPv4地址和端口号用于AP主动探知定位服务器,进行信息交互。

1.7.4  Bonjour网关

Bonjour协议是苹果公司开发的基于mDNS(Multicast DNS,组播域名)服务的零配置网络协议。Bonjour协议致力于让网络配置更简单,支持Bonjour协议的服务端设备能够以组播方式发送服务信息,使局域网内的客户端在无需获取服务端设备信息的情况下,自动发现可提供服务的设备。

Bonjour协议仅定义了如何在VLAN内使用mDNS协议报文传播服务信息,如果需要跨VLAN转发mDNS协议报文,则必须在网络中部署一台转发设备,称作Bonjour网关。除转发mDNS报文外,Bonjour网关还能够通过管理员设定的规则来管理客户端和服务端设备,实现Bonjour协议在大规模网络中的应用。

在网络中部署Bonjour网关的优势如下:

·     控制网络中mDNS协议报文数量。

·     提供跨VLAN转发mDNS协议报文的功能。

Bonjour网关的作用是查询代理和响应代答。

1. 响应代答

当Bonjour网关发现客户端查询的服务资源表项中已经存在关于此服务的信息时,将直接向客户端发送响应报文,称为响应代答。

结合如图1-10所示组网,Bonjour网关进行响应代答的过程如下:

(1)     Apple TV和Printer发送Bonjour响应报文,在网络中通告其支持的服务。

(2)     Bonjour网关收到Apple TV和Printer发送的Bonjour响应报文后,就会建立Apple TV、Printer的Bonjour服务资源表项。

(3)     Bonjour网关收到客户端关于Apple TV或打印机服务的查询报文。

(4)     Bonjour网关直接回复响应报文给客户端,客户端收到响应后即可获取提供Apple TV或打印机服务的设备信息。

图1-10 Bonjour网关代答过程图

 

2. 查询代理

在某些情况下,Bonjour网关上收到客户端的组播查询报文,在检查Bonjour服务资源表项后发现Bonjour网关没有获取到客户端请求的服务,此时,Bonjour网关需要对指定服务进行查询代理和响应转发。

结合如图1-11所示组网,Bonjour网关进行查询代理的过程如下:

(1)     iPad客户端发出一个对Printer的查询报文,AP收到该报文后,经由CAPWAP隧道发送到Bonjour网关。

(2)     Bonjour网关查找Bonjour服务资源表项,发现表项内没有关于Printer的内容。Bonjour网关就会向配置的VLAN列表(在图1-11中为VLAN 3和VLAN 4)转发查询请求。

(3)     Printer收到Bonjour网关转发的查询报文后,回复响应报文。

(4)     Bonjour网关将响应报文中的服务记录到Bonjour服务资源表项。

(5)     记录Bonjour服务资源表项之后,Bonjour网关会转发响应报文给客户端。

图1-11 Bonjour网关查询代理过程图

 

3. Bonjour服务类型

Bonjour服务类型用于在Bonjour策略下实现对Bonjour服务的控制。设备上存在一些默认服务类型,用户也可以创建新的Bonjour服务类型。在创建新的Bonjour服务类型时,需指定该服务类型所使用的协议及描述信息。

在Bonjour网关功能全局开启并且主动查询功能打开的情况下,激活Bonjour服务类型时,设备会执行一次对该服务类型的主动查询操作。

在激活Bonjour服务类型时,可以指定该服务类型最多可学习到的SRV类型资源条目数,如不指定,则表示不对此进行限制。当服务类型未激活时,设备将会删除该类型已学习到的所有服务资源。

表1-32 默认服务类型列表

服务类型

描述

afpovertcp

AppleTalkFiling Protocol

airplay

Airplay

airport

Airport Base Station

apple-sasl

Apple Password Server

daap

Digital Audio Access Protocol

dacp

Digital Audio Control Protocol

distcc

Distributed Compiler

dpap

Digital Photo Access Protocol

eppc

Remote AppleEvents

ftp

File Transfer Protocol

http

Hypertext Transfer Protocol

ica-networking

Image Capture Sharing

ichat

iChat Instant Messaging Protocol

ipp

Internet Printing Protocol over HTTP

ipps

Internet Printing Protocol over HTTPS

nfs

Network File System

pdl-stream

PDL Data Stream

printer

Line Printer Daemon

raop

Remote Audio Output Protocol

riousbprint

Remote I/O USB Printer Protocol

servermgr

Server Admin

ssh

Secure Shell

telnet

Remote Login

webdav

WebDav File System

workstation

Workgroup Manager

xserveraid

Xerver RAID

 

4. Bonjour策略

Bonjour策略用于实现对Bonjour服务和VLAN访问权限的控制。在Bonjour策略中配置服务类型和服务VLAN后,将Bonjour策略应用到指定的位置(User Profile视图、AP视图、AP组视图、接口视图与无线服务模板视图),便可以实现控制功能。

·     配置服务类型

Bonjour网关会检查客户端请求的服务类型与Bonjour策略中配置的服务类型是否匹配,如不匹配就直接丢弃查询报文。对于收到的响应报文,Bonjour网关会检查服务类型、IP地址和实例名,Bonjour网关只会转发符合全部Bonjour策略配置的响应报文。

·     配置服务VLAN

服务VLAN用来限制Bonjour服务所覆盖的范围,只有当客户端请求的Bonjour服务的VLAN在设备的服务VLAN列表中时,设备才会转发查询和响应报文。

可选参数access-vlan表示客户端接入的VLAN,配置此参数表示Bonjour网关可以在客户端接入的VLAN内转发查询和响应报文。

1.7.5  探针

在AP的Radio接口上开启探针功能后,AP通过对信道进行扫描,收集客户端信息并生成客户端表项,实现对客户端的监测。开启探针功能后,可以在“监控 > 探针”页面中查看监测到的信息。

AP的Radio接口不能同时开启WIPS功能和探针功能。

2 网络配置

2.1  接口

2.1.1  接口

实现了对接口流量统计信息的查看和对接口的基本配置。

1. 接口双工和速率

设置以太网接口的双工模式时存在以下几种情况:

·     当希望接口在发送数据包的同时可以接收数据包,可以将接口设置为全双工(full)属性;

·     当希望接口同一时刻只能发送数据包或接收数据包时,可以将接口设置为半双工(half)属性;

·     当设置接口为自协商(auto)状态时,接口的双工状态由本接口和对端接口自动协商而定。

设置以太网接口的速率时,当设置接口速率为自协商(auto)状态时,接口的速率由本接口和对端接口双方自动协商而定。

2. 切换以太网接口的二三层工作模式

基于业务板的硬件构造,设备上的某些接口只能作为二层以太网接口;某些接口只能作为三层以太网接口;某些接口比较灵活,工作模式可以通过命令行设置。

·     如果将工作模式设置为二层模式(bridge),则作为一个二层以太网接口使用。

·     如果将工作模式设置为三层模式(route),则作为一个三层以太网接口使用。

3. 配置以太网接口允许超长帧通过

以太网接口在进行文件传输等大吞吐量数据交换的时候,接口收到的长度大于固定值的帧称为超长帧。该固定值的大小与设备的型号有关,请参见命令参考中的介绍。

系统对于超长帧的处理如下:

·     如果系统配置了禁止超长帧通过(通过undo jumboframe enable命令配置),会直接丢弃该帧不再进行处理。

·     如果系统允许超长帧通过,当接口收到长度在指定范围内的超长帧时,系统会继续处理;当接口收到长度超过指定最大长度的超长帧时,系统会直接丢弃该帧不再进行处理。

4. 配置以太网接口的流量控制功能

以太网接口流量控制功能的基本原理是:如果本端设备发生拥塞,将通知对端设备暂时停止发送报文;对端设备收到该消息后将暂时停止向本端发送报文;反之亦然。从而避免了报文丢失现象的发生。

·     配置flow-control命令后,设备具有发送和接收流量控制报文的能力:

¡     当本端发生拥塞时,设备会向对端发送流量控制报文。

¡     当本端收到对端的流量控制报文后,会停止报文发送。

·     配置flow-control receive enable命令后,设备具有接收流量控制报文的能力,但不具有发送流量控制报文的能力。

¡     当本端收到对端的流量控制报文,会停止向对端发送报文。

¡     当本端发生拥塞时,设备不能向对端发送流量控制报文。

因此,如果要应对单向网络拥塞的情况,可以在一端配置flow-control receive enable,在对端配置flow-control;如果要求本端和对端网络拥塞都能处理,则两端都必须配置flow-control

5. 开启以太网接口的环回功能

该功能用于检测以太网转发通路能否正常工作。环回功能包括内部环回和外部环回:

·     内部环回:配置内部环回后,接口将需要从接口转发出去的报文返回给设备内部,让报文向内部线路环回。内部环回用于定位设备是否故障。

·     外部环回:配置外部环回后,接口将来自对端设备的报文返回给对端设备,让报文向外部线路环回。外部环回用于定位设备间链路是否故障。

6. 配置广播/组播/未知单播风暴抑制功能

在接口上配置了广播/组播/未知单播风暴抑制功能后,当接口上的广播/组播/未知单播流量超过用户设置的抑制阈值时,系统会丢弃超出流量限制的报文,从而使接口的广播/组播/未知单播流量降低到限定范围内,保证网络业务的正常运行。

二层以太网接口上,风暴抑制也可通过设置流量阈值来控制,与风暴抑制功能不同的是,流量阈值控制是通过软件对报文流量进行抑制,对设备性能有一定影响;风暴抑制功能是通过芯片物理上对报文流量进行抑制,相对流量阈值来说,对设备性能影响较小。

2.1.2  链路聚合

以太网链路聚合通过将多条以太网物理链路捆绑在一起形成一条以太网逻辑链路,实现增加链路带宽的目的,同时这些捆绑在一起的链路通过相互动态备份,可以有效地提高链路的可靠性。

1. 聚合组

链路捆绑是通过接口捆绑实现的,多个以太网接口捆绑在一起后形成一个聚合组,而这些被捆绑在一起的以太网接口就称为该聚合组的成员端口。每个聚合组唯一对应着一个逻辑接口,称为聚合接口。聚合组与聚合接口的编号是相同的,例如聚合组1对应于聚合接口1。

二层聚合组/二层聚合接口:二层聚合组的成员端口全部为二层以太网接口,其对应的聚合接口称为二层聚合接口。

聚合接口的速率和双工模式取决于对应聚合组内的选中端口:聚合接口的速率等于所有选中端口的速率之和,聚合接口的双工模式则与选中端口的双工模式相同。

2. 选中/非选中状态

聚合组内的成员端口具有以下两种状态:

·     选中(Selected)状态:此状态下的成员端口可以参与数据的转发,处于此状态的成员端口称为“选中端口”。

·     非选中(Unselected)状态:此状态下的成员端口不能参与数据的转发,处于此状态的成员端口称为“非选中端口”。

3. 操作Key

操作Key是系统在进行链路聚合时用来表征成员端口聚合能力的一个数值,它是根据成员端口上的一些信息(包括该端口的速率、双工模式等)的组合自动计算生成的,这个信息组合中任何一项的变化都会引起操作Key的重新计算。在同一聚合组中,所有的选中端口都必须具有相同的操作Key。

4. 属性类配置

属性类配置:包含的配置内容如表2-1所示。在聚合组中,只有与对应聚合接口的属性类配置完全相同的成员端口才能够成为选中端口。

表2-1 属性类配置

配置项

内容

端口隔离

端口是否加入隔离组、端口所属的端口隔离组

VLAN配置

端口上允许通过的VLAN、端口缺省VLAN、端口的链路类型、VLAN报文是否带Tag配置

 

5. 聚合模式

链路聚合分为静态聚合和动态聚合两种模式,处于静态聚合模式下的聚合组称为静态聚合组,处于动态聚合模式下的聚合组称为动态聚合组。

静态聚合和动态聚合工作时首先要选取参考端口,之后再确定成员端口的状态。

·     静态聚合

a.     选择参考端口

参考端口从本端的成员端口中选出,其操作Key和属性类配置将作为同一聚合组内的其他成员端口的参照,只有操作Key和属性类配置与参考端口一致的成员端口才能被选中。

对于聚合组内处于up状态的端口,按照端口的端口优先级->全双工/高速率->全双工/低速率->半双工/高速率->半双工/低速率的优先次序,选择优先次序最高、且属性类配置与对应聚合接口相同的端口作为参考端口;如果多个端口优先次序相同,首先选择原来的选中端口作为参考端口;如果此时多个优先次序相同的端口都是原来的选中端口,则选择其中端口号最小的端口作为参考端口;如果多个端口优先次序相同,且都不是原来的选中端口,则选择其中端口号最小的端口作为参考端口。

b.     确定成员端口状态

静态聚合组内成员端口状态的确定流程如图2-1所示。

图2-1 静态聚合组内成员端口状态的确定流程

 

·     动态聚合

动态聚合模式通过LACP(Link Aggregation Control Protocol,链路聚合控制协议)协议实现,动态聚合组内的成员端口可以收发LACPDU(Link Aggregation Control Protocol Data Unit,链路聚合控制协议数据单元),本端通过向对端发送LACPDU通告本端的信息。当对端收到该LACPDU后,将其中的信息与所在端其他成员端口收到的信息进行比较,以选择能够处于选中状态的成员端口,使双方可以对各自接口的选中/非选中状态达成一致。

a.     选择参考端口

参考端口从聚合链路两端处于up状态的成员端口中选出,其操作Key和属性类配置将作为同一聚合组内的其他成员端口的参照,只有操作Key和属性类配置与参考端口一致的成员端口才能被选中。

-     首先,从聚合链路的两端选出设备ID(由系统的LACP优先级和系统的MAC地址共同构成)较小的一端:先比较两端的系统LACP优先级,优先级数值越小其设备ID越小;如果优先级相同再比较其系统MAC地址,MAC地址越小其设备ID越小。

-     其次,对于设备ID较小的一端,再比较其聚合组内各成员端口的端口ID(由端口优先级和端口的编号共同构成):先比较端口优先级,优先级数值越小其端口ID越小;如果优先级相同再比较其端口号,端口号越小其端口ID越小。端口ID最小、且属性类配置与对应聚合接口相同的端口作为参考端口。

b.     确定成员端口的状态

在设备ID较小的一端,动态聚合组内成员端口状态的确定流程如图2-2所示。

图2-2 动态聚合组内成员端口状态的确定流程

 

与此同时,设备ID较大的一端也会随着对端成员端口状态的变化,随时调整本端各成员端口的状态,以确保聚合链路两端成员端口状态的一致。

6. 静态聚合和动态聚合的优点

静态聚合和动态聚合的优点分别为:

·     静态聚合模式:一旦配置好后,端口的转发流量的状态就不会受网络环境的影响,比较稳定。

·     动态聚合模式:能够根据对端和本端的信息调整端口的转发流量的状态,比较灵活。

2.1.3  PPPoE

PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)的提出,解决了PPP无法应用于以太网的问题,是对PPP协议的扩展。

1. PPPoE概述

PPPoE描述了在以太网上建立PPPoE会话及封装PPP报文的方法。要求通信双方建立的是点到点关系,而不是在以太网中所出现的点到多点关系。

PPPoE利用以太网将大量主机组成网络,然后通过一个远端接入设备为以太网上的主机提供互联网接入服务,并对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中。

PPPoE协议将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。关于PPPoE的详细介绍,可以参考RFC 2516。

2. PPPoE组网结构

说明

目前设备作为PPPoE client接入网络。

 

PPPoE使用Client/Server模型。PPPoE Client向PPPoE Server发起连接请求,两者之间会话协商通过后,就建立PPPoE会话,此后PPPoE Server向PPPoE Client提供接入控制、认证、计费等功能。

常见组网如下:

在两台路由器之间建立PPPoE会话,所有主机通过同一个PPPoE会话传送数据,主机上不用安装PPPoE客户端拨号软件,一般是一个企业共用一个账号接入网络(图中PPPoE Client位于企业/公司内部,PPPoE Server是运营商的设备)。

图2-3 PPPoE组网结构图

 

2.2  链路

2.2.1  VLAN

VLAN(Virtual Local Area Network,虚拟局域网)技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通,而处于不同VLAN的主机不能够直接互通。

1. 基于端口划分VLAN

VLAN可以基于端口进行划分。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发该VLAN的报文。

在某VLAN内,可根据需要配置端口加入Untagged端口列表或Tagged端口列表(即配置端口为Untagged端口或Tagged端口),从Untagged端口发出的该VLAN报文不带VLAN Tag,从Tagged端口发出的该VLAN报文带VLAN Tag。

端口的链路类型分为三种。在端口加入某VLAN时,对不同链路类型的端口加入的端口列表要求不同:

·     Access:端口只能发送一个VLAN的报文,发出去的报文不带VLAN Tag。该端口只能加入一个VLAN的Untagged端口列表。

·     Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLAN Tag,其他VLAN的报文都必须带VLAN Tag。在端口缺省VLAN中,该端口只能加入Untagged端口列表;在其他VLAN中,该端口只能加入Tagged端口列表。

·     Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag,某些VLAN的报文不带VLAN Tag。在不同VLAN中,该端口可以根据需要加入Untagged端口列表或Tagged端口列表。

2. VLAN接口

不同VLAN间的主机不能直接通信,通过设备上的VLAN接口,可以实现VLAN间的三层互通。VLAN接口是一种三层的虚拟接口,它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口,VLAN接口的IP地址可作为本VLAN内网络设备的网关地址,对需要跨网段的报文进行基于IP地址的三层转发。

2.2.2  VLAN

VLAN组是一组VLAN的集合。VLAN组内可以添加多个VLAN列表,一个VLAN列表表示一组VLAN ID连续的VLAN。

2.2.3  MAC

MAC(Media Access Control,媒体访问控制)地址表记录了MAC地址与接口的对应关系,以及接口所属的VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播的方式通过对应VLAN内除接收接口外的所有接口转发该报文。

1. MAC地址表分类

MAC地址表项分为以下几种:

·     动态MAC地址表项:可以由用户手工配置,也可以由设备通过源MAC地址学习自动生成,用于目的是某个MAC地址的报文从对应接口转发出去,表项有老化时间。手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项。

·     静态MAC地址表项:由用户手工配置,用于目的是某个MAC地址的报文从对应接口转发出去,表项不老化。静态MAC地址表项优先级高于自动生成的MAC地址表项。

·     黑洞MAC地址表项:由用户手工配置,用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。

2. MAC地址表项老化时间

MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,这个生存周期被称作老化时间。配置动态MAC地址表项的老化时间后,超过老化时间的动态MAC地址表项会被自动删除,设备将重新进行MAC地址学习,构建新的动态MAC地址表项。如果在到达生存周期前某表项被刷新,则重新计算该表项的老化时间。

用户配置的老化时间过长或者过短,都可能影响设备的运行性能:

·     如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表。

·     如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,导致设备广播大量的数据报文,增加网络的负担。

用户需要根据实际情况,配置合适的老化时间。如果网络比较稳定,可以将老化时间配置得长一些或者配置为不老化;否则,可以将老化时间配置得短一些。比如在一个比较稳定的网络,如果长时间没有流量,动态MAC地址表项会被全部删除,可能导致设备突然广播大量的数据报文,造成安全隐患,此时可将动态MAC地址表项的老化时间设得长一些或不老化,以减少广播,增加网络稳定性和安全性。动态MAC地址表项的老化时间作用于全部接口上。

3. 接口MAC地址学习

缺省情况下,MAC地址学习功能处于开启状态。有时为了保证设备的安全,需要关闭MAC地址学习功能。常见的危及设备安全的情况是:非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。在开启全局的MAC地址学习功能的前提下,用户可以关闭单个接口的MAC地址的学习功能。

如果MAC地址表过于庞大,可能导致设备的转发性能下降。通过配置接口的MAC地址数学习上限,用户可以控制设备维护的MAC地址表的表项数量。当接口学习到的MAC地址数达到上限时,该接口将不再对MAC地址进行学习,同时,用户还可以根据需要选择是否允许系统转发源MAC不在MAC地址表里的报文。

2.2.4  STP

生成树协议运行于二层网络中,通过阻塞冗余链路构建出无数据环路的树型网络拓扑,并在设备或数据链路故障时,重新计算出新的树型拓扑。

生成树协议包括STP、RSTP、PVST和MSTP。

·     STP:由IEEE制定的802.1D标准定义,是狭义的生成树协议。

·     RSTP:由IEEE制定的802.1w标准定义,它在STP基础上进行了改进,实现了网络拓扑的快速收敛。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时将大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。

·     PVST:PVST为每个VLAN维护一个单独的生成树实例。每个VLAN都将运行单个生成树,允许以每个VLAN为基础开启或关闭生成树。每个VLAN内的生成树实例都有单独的网络拓扑结构,相互之间没有影响。

·     MSTP:由IEEE制定的802.1s标准定义,它可以弥补STP和RSTP的缺陷,既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。

1. 生成树工作模式

生成树的工作模式有以下几种:

·     STP模式:设备的所有端口都将向外发送STP BPDU。如果端口的对端设备只支持STP,可选择此模式。

·     RSTP模式:设备的所有端口都向外发送RSTP BPDU。当端口收到对端设备发来的STP BPDU时,会自动迁移到STP模式;如果收到的是MSTP BPDU,则不会进行迁移。

·     PVST模式:对于Access端口,PVST将根据该VLAN的状态发送RSTP格式的BPDU。对于Trunk端口和Hybrid端口,PVST将在缺省VLAN内根据该VLAN的状态发送RSTP格式的BPDU,而对于其他本端口允许通过的VLAN,则发送PVST格式的BPDU。

·     MSTP模式:设备的所有端口都向外发送MSTP BPDU。当端口收到对端设备发来的STP BPDU时,会自动迁移到STP模式;如果收到的是RSTP BPDU,则不会进行迁移。

2. MSTP基本概念

MSTP把一个交换网络划分成多个域,这些域称为MST(Multiple Spanning Tree Regions,多生成树域)域。每个域内形成多棵生成树,各生成树之间彼此独立并分别与相应的VLAN对应,每棵生成树都称为一个MSTI(Multiple Spanning Tree Instance,多生成树实例)。CST(Common Spanning Tree,公共生成树)是一棵连接交换网络中所有MST域的单生成树。IST(Internal Spanning Tree,内部生成树)是MST域内的一棵生成树,它是一个特殊的MSTI,通常也称为MSTI 0,所有VLAN缺省都映射到MSTI 0上。CIST(Common and Internal Spanning Tree,公共和内部生成树)是一棵连接交换网络内所有设备的单生成树,所有MST域的IST再加上CST就共同构成了整个交换网络的一棵完整的单生成树。

其中,对于属于同一MST域的设备具有下列特点:

·     都使能了生成树协议。

·     域名相同。

·     VLAN与MSTI间映射关系的配置相同。

·     MSTP修订级别的配置相同。

·     这些设备之间有物理链路连通。

3. 生成树端口角色

生成树可能涉及到的端口角色有以下几种:

·     根端口(Root Port):在非根桥上负责向根桥方向转发数据的端口就称为根端口,根桥上没有根端口。

·     指定端口(Designated Port):负责向下游网段或设备转发数据的端口就称为指定端口。

·     替换端口(Alternate Port):是根端口或主端口的备份端口。当根端口或主端口被阻塞后,替换端口将成为新的根端口或主端口。

·     备份端口(Backup Port):是指定端口的备份端口。当指定端口失效后,备份端口将转换为新的指定端口。当使能了生成树协议的同一台设备上的两个端口互相连接而形成环路时,设备会将其中一个端口阻塞,该端口就是备份端口。

·     主端口(Master Port):是将MST域连接到总根的端口(主端口不一定在域根上),位于整个域到总根的最短路径上。主端口是MST域中的报文去往总根的必经之路。主端口在IST/CIST上的角色是根端口,而在其他MSTI上的角色则是主端口。

STP只涉及根端口、指定端口和替换端口三种端口角色,RSTP的端口角色中新增了备份端口,MSTP涉及所有的端口角色。

4. 生成树端口状态

RSTP和MSTP中的端口状态可分为三种,如表2-2所示。

表2-2 RSTP和MSTP中的端口状态

状态

描述

Forwarding

该状态下的端口可以接收和发送BPDU,也转发用户流量

Learning

是一种过渡状态,该状态下的端口可以接收和发送BPDU,但不转发用户流量

Discarding

该状态下的端口可以接收和发送BPDU,但不转发用户流量

 

STP定义了五种端口状态:Disabled、Blocking、Listening、Learning和Forwarding。其中Disabled、Blocking和Listening状态都对应RSTP/MSTP中的Discarding状态。

2.2.5  DHCP Snooping

DHCP Snooping是DHCP的一种安全特性,具有如下功能:

1. 保证客户端从合法的服务器获取IP地址

网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:

·     信任端口正常转发接收到的DHCP报文。

·     不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。

在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

2. 记录DHCP Snooping表项

DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现ARP Detection功能,即根据DHCP Snooping表项来判断发送ARP报文的用户是否合法,从而防止非法用户的ARP攻击。

3. 备份DHCP Snooping表项

DHCP Snooping设备重启后,设备上记录的DHCP Snooping表项将丢失。如果DHCP Snooping与其他模块配合使用,则表项丢失会导致这些模块无法通过DHCP Snooping获取到相应的表项,进而导致DHCP客户端不能顺利通过安全检查、正常访问网络。

DHCP Snooping表项备份功能将DHCP Snooping表项保存到指定的文件中,DHCP Snooping设备重启后,自动根据该文件恢复DHCP Snooping表项,从而保证DHCP Snooping表项不会丢失。

4. 支持Option 82功能

Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82包含两个子选项:Circuit ID和Remote ID。

支持Option 82功能是指设备接收到DHCP请求报文后,根据报文中是否包含Option 82以及用户配置的处理策略及填充模式等对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。

具体的处理方式见表2-3

表2-3 Option 82处理方式

收到DHCP请求报文

处理策略

DHCP Snooping对报文的处理

收到的报文中带有Option 82

Drop

丢弃报文

Keep

保持报文中的Option 82不变并进行转发

Replace

根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,替换报文中原有的Option 82并进行转发

收到的报文中不带有Option 82

-

根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,添加到报文中并进行转发

 

2.3  路由

2.3.1  路由表

实现了对路由表的查看,包括路由表的概要信息和统计信息。

2.3.2  静态路由

静态路由是一种特殊的路由,由管理员手工配置。当网络结构比较简单时,只需配置静态路由就可以使网络正常工作。静态路由不能自动适应网络拓扑结构的变化,当网络发生故障或者拓扑发生变化后,必须由管理员手工修改配置。

缺省路由是在没有找到匹配的路由表项时使用的路由。配置IPv4缺省路由时,指定目的地址为0.0.0.0/0;配置IPv6缺省路由时,指定目的地址为::/0。

2.3.3  RIP

RIP(Routing Information Protocol,路由信息协议)是一种基于距离矢量(Distance-Vector)算法的内部网关协议(Interior Gateway Protocol,IGP),它通过UDP报文进行路由信息的交换,使用的端口号为520。RIP适用于小型网络。

1. RIP的路由度量值

RIP使用跳数来衡量到达目的地址的距离,跳数称为度量值。在RIP中,路由器到与它直接相连网络的跳数为0,通过一个路由器可达的网络的跳数为1,其余依此类推。为限制收敛时间,RIP规定度量值取0~15之间的整数,大于或等于16的跳数被定义为无穷大,即目的网络或主机不可达。由于这个限制,使得RIP不适合应用于大型网络。

2. RIP的路由数据库

每个运行RIP的路由器管理一个路由数据库,该路由数据库包含了到所有可达目的地的路由项,这些路由项包含下列信息:

·     目的地址:主机或网络的地址。

·     下一跳地址:为到达目的地,需要经过的相邻路由器的接口IP地址。

·     出接口:本路由器转发报文的出接口。

·     度量值:本路由器到达目的地的开销。

·     路由时间:从路由项最后一次被更新到现在所经过的时间,路由项每次被更新时,路由时间重置为0。

·     路由标记(Route Tag):用于标识外部路由。

3. RIP的运行过程

RIP的运行过程如下:

(1)     路由器启动RIP后,便会向相邻的路由器发送请求报文(Request message),相邻的RIP路由器收到请求报文后,响应该请求,回送包含本地路由表信息的响应报文(Response message)。

(2)     路由器收到响应报文后,更新本地路由表,同时向相邻路由器发送触发更新报文,通告路由更新信息。相邻路由器收到触发更新报文后,又向其各自的相邻路由器发送触发更新报文。在一连串的触发更新广播后,各路由器都能得到并保持最新的路由信息。

(3)     路由器周期性向相邻路由器发送本地路由表,运行RIP协议的相邻路由器在收到报文后,对本地路由进行维护,选择一条最佳路由,再向其各自相邻网络发送更新信息,使更新的路由最终能达到全局有效。同时,RIP采用老化机制对超时的路由进行老化处理,以保证路由的实时性和有效性。

4. RIP防止路由环路的机制

RIP协议向邻居通告的是自己的路由表,有可能会发生路由环路,可以通过以下机制来避免:

·     计数到无穷(Counting to infinity):将度量值等于16的路由定义为不可达(infinity)。在路由环路发生时,某条路由的度量值将会增加到16,该路由被认为不可达。

·     触发更新(Triggered Updates):RIP通过触发更新来避免在多个路由器之间形成路由环路的可能,而且可以加速网络的收敛速度。一旦某条路由的度量值发生了变化,就立刻向邻居路由器发布更新报文,而不是等到更新周期的到来。

·     水平分割(Split Horizon):RIP从某个接口学到的路由,不会从该接口再发回给邻居路由器。这样不但减少了带宽消耗,还可以防止路由环路。

·     毒性逆转(Poison Reverse):RIP从某个接口学到路由后,将该路由的度量值设置为16(不可达),并从原接口发回邻居路由器。利用这种方式,可以清除对方路由表中的无用信息。

5. RIP的版本

RIP有两个版本:RIP-1和RIP-2。

RIP-1是有类别路由协议(Classful Routing Protocol),它只支持以广播方式发布协议报文。RIP-1的协议报文无法携带掩码信息,它只能识别A、B、C类这样的自然网段的路由,因此RIP-1不支持不连续子网(Discontiguous Subnet)。

RIP-2是一种无类别路由协议(Classless Routing Protocol),与RIP-1相比,它有以下优势:

·     支持路由标记。

·     报文中携带掩码信息,支持路由聚合和CIDR(Classless Inter-Domain Routing,无类域间路由)。

·     支持指定下一跳,在广播网上可以选择到最优下一跳地址。

·     支持组播路由发送更新报文,只有RIP-2路由器才能收到更新报文,减少资源消耗。

·     支持对协议报文进行验证,并提供明文验证和MD5验证两种方式,增强安全性。

RIP-2有两种报文传送方式:广播方式和组播方式,缺省将采用组播方式发送报文,使用的组播地址为224.0.0.9。当接口运行RIP-2广播方式时,也可接收RIP-1的报文。

2.4  IP

2.4.1  NAT

NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。NAT最初的设计目的是实现私有网络访问公共网络的功能,后扩展为实现任意两个网络间进行访问时的地址转换应用。

1. 静态转换

静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网。

2. 动态转换

动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式:

·     NO-PAT模式

NO-PAT(Not Port Address Translation)模式下,一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时,NAT会将其占用的外网地址释放并分配给其他内网用户使用。

该模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文。

·     PAT模式

PAT(Port Address Translation)模式下,一个NAT地址可以同时分配给多个内网地址共用。该模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(Internet Control Message Protocol,因特网控制消息协议)查询报文。

采用PAT方式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。

3. 内部服务器

在实际应用中,内网中的服务器可能需要对外部网络提供一些服务,例如给外部网络提供Web服务,或是FTP服务。这种情况下,NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器,NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。

表2-4 NAT内部服务器的地址与端口映射关系

外网

内网

一个外网地址

一个内网地址

一个外网地址、一个端口号

一个内网地址、一个内网端口号

一个外网地址,N个连续的外网端口号

一个内网地址,一个内网端口

N个连续的内网地址,一个内网端口号

一个内网地址,N个连续的内网端口号

N个连续的外网地址

一个内网地址

N个连续的内网地址

N个连续的外网地址连续,一个外网端口号

一个内网地址,一个内网端口号

N个连续的内网地址,一个内网端口号

一个内网地址,N个连续的内网端口号

一个外网地址,一个外网端口号

一个内部服务器组

一个外网地址,N个连续的外网端口号

N个连续的外网地址,一个外网端口号

 

4. NAT 444地址转换

NAT444是运营商网络部署NAT的整体解决方案,它基于NAT444网关,结合AAA服务器、日志服务器等配套系统,提供运营商级的NAT,并支持用户溯源等功能。在众多IPv4向IPv6网络过渡的技术中,NAT444仅需在运营商侧引入二次NAT,对终端和应用服务器端的更改较小,并且NAT444通过端口块分配方式解决用户溯源等问题,因此成为了运营商的首选IPv6过渡方案。

NAT444解决方案的架构如图2-4所示。

图2-4 NAT444解决方案架构

 

·     CPE:实现用户侧地址转换。

·     BRAS:负责接入终端,并配合AAA完成用户认证、授权和计费。

·     NAT444网关:实现运营商级地址转换。

·     AAA服务器:负责用户认证、授权和计费等。

·     日志服务器:接受和记录用户访问信息,响应用户访问信息查询。

NAT444网关设备进行的地址转换(以下称为“NAT444地址转换”)是一种PAT方式的动态地址转换,但与普通PAT方式动态地址转换不同的是,NAT444地址转换是基于端口块(即一个端口范围)的方式来复用公网IP地址的,即一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块。例如:假设私网IP地址10.1.1.1独占公网IP地址202.1.1.1的一个端口块10001~10256,则该私网IP向公网发起的所有连接,源IP地址都将被转换为同一个公网IP地址202.1.1.1,而源端口将被转换为端口块10001~10256之内的一个端口。

·     NAT444静态转换

NAT444静态地址转换是指,NAT网关设备根据配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系,并创建静态端口块表项。当私网IP地址成员中的某个私网IP地址向公网发起新建连接时,根据私网IP地址匹配静态端口块表项,获取对应的公网IP地址和端口块,并从端口块中动态为其分配一个公网端口,对报文进行地址转换。

配置NAT444静态地址转换时,需要创建一个端口块组,并在端口块组中配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小。假设端口块组中每个公网IP地址的可用端口块数为m(即端口范围除以端口块大小),则端口块静态映射的算法如下:按照从小到大的顺序对私网IP地址成员中的所有IP地址进行排列,最小的m个私网IP地址对应最小的公网IP地址及其端口块,端口块按照起始端口号从小到大的顺序分配;次小的m个私网IP地址对应次小的公网IP地址及其端口块,端口块的分配顺序相同;依次类推。

·     NAT444动态转换

NAT444动态地址转换融合了普通NAT动态地址转换和NAT444静态地址转换的特点。当内网用户向公网发起连接时,首先根据动态地址转换中的ACL规则进行过滤,决定是否需要进行源地址转换。对于需要进行源地址转换的连接,当该连接为该用户的首次连接时,从所匹配的动态地址转换配置引用的NAT地址组中获取一个公网IP地址,从该公网IP地址中动态分配一个端口块,创建动态端口块表项,然后从端口块表项中动态分配一个公网端口,进行地址转换。对该用户后续连接的转换,均从生成的动态端口块表项中分配公网端口。当该用户的所有连接都断开时,回收为其分配的端口块资源,删除相应的动态端口块表项。

NAT444动态地址转换支持增量端口块分配。当为某私网IP地址分配的端口块资源耗尽(端口块中的所有端口都被使用)时,如果该私网IP地址向公网发起新的连接,则无法再从端口块中获取端口,无法进行地址转换。此时,如果预先在相应的NAT地址组中配置了增量端口块数,则可以为该私网IP地址分配额外的端口块,进行地址转换。

5. 高级设置

·     NAT地址组

一个NAT地址组是多个地址组成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址。

·     NAT444地址组

NAT444地址组与NAT地址组的配置基本相同,所不同的是,NAT444地址组必须配置端口块参数(端口范围、端口块大小和增量端口块数)以实现基于端口块的NAT444地址转换。

·     端口块组

配置NAT444端口块静态映射需要创建一个端口块组,并在接口的出方向上应用该端口块组。端口块组中需要配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小,系统会根据端口块组中的配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系,创建静态端口块表项,并根据表项进行NAT444地址转换。

·     服务器组

在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可根据内网服务器的权重和当前连接数,选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担。

·     PAT方式地址转换模式

¡     Endpoint-Independent Mapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。

¡     Address and Port-Dependent Mapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号,若其目的地址或目的端口号不同,通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是,NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但由于同一个内网主机地址转换后的外部地址不唯一,因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。

·     DNS映射

通过配置DNS映射,可以在DNS服务器位于外网的情况下,实现内网用户可通过域名访问位于同一内网的内部服务器的功能。DNS映射功能需要和内部服务器配合使用,由内部服务器对外提供服务的外网IP地址和端口号,由DNS映射建立“内部服务器域名<-->外网IP地址+外网端口号+协议类型”的映射关系。

NAT设备对来自外网的DNS响应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS映射的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。

·     NAT Hairpin

通过在内网侧接口上使能NAT hairpin功能,可以实现内网用户使用NAT地址访问内网服务器或内网其它用户。NAT hairpin功能需要与内部服务器、出方向动态地址转换或出方向静态地址转换配合工作,且这些配置所在的接口必须在同一个接口板,否则NAT hairpin功能无法正常工作。

该功能在不同工作方式下的具体转换过程如下:

¡     C/S方式:NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址,其中,目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成。

¡     P2P方式:内网各主机首先向外网服务器注册自己的内网地址信息,该地址信息为外网侧出方向地址转换的NAT地址,然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访。该方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并使能EIM模式。

·     开启NAT ALG功能

通过开启指定应用协议类型的ALG功能,实现对应用层报文数据载荷字段的分析和NAT处理。

·     NAT日志

a.     NAT会话日志

NAT会话日志是为了满足网络管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。

有三种情况可以触发设备生成NAT会话日志:

-     新建NAT会话。

-     删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时,都可能导致NAT会话被删除。

-     存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息就被记录并生成日志。

b.     NAT444日志

NAT444日志分为NAT444用户日志和NAT444告警信息日志。

NAT444用户日志是为了满足互联网用户溯源的需要,在NAT444地址转换中,对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系。在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址。

有两种情况可以触发设备输出NAT444用户日志:

-     端口块分配:端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时输出日志;端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时输出日志。

-     端口块回收:端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时输出日志;端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时输出日志。

在NAT444地址转换中,如果可为用户分配的公网IP地址、端口块或端口块中的端口都被占用,则该用户的后续连接由于没有可用的资源无法对其进行地址转换,相应的报文将被丢弃。为了监控公网IP地址和端口块资源的使用情况,可以对端口用满和资源用满两种情况记录告警信息日志。

-     端口用满告警:在私网IP地址对应的端口块中的所有端口都被占用的情况下,输出告警信息日志。对于端口块动态映射方式,如果配置了增量端口块分配,则当首次分配的端口块中的端口都被占用时,并不输出日志;只有当增量端口块中的端口也都被占用时,才会输出日志。

-     资源用满告警:在NAT444端口块动态映射中,如果所有资源(公网IP地址、端口块)都被占用,则输出日志。

6. 注意事项

·     入方向的静态地址转换通常用于与接口上的出方向动态地址转换、内部服务器或出方向静态地址转换配合以实现双向NAT,不建议单独配置。

·     若接口上同时存在普通NAT静态地址转换、普通NAT动态地址转换、NAT444端口块静态映射、NAT444端口块动态映射和内部服务器的配置,则在地址转换过程中,它们的优先级从高到低依次为:内部服务器;普通NAT静态地址转换;NAT444端口块静态映射;NAT444动态转换和普通NAT动态地址转换,系统对二者不做区分,统一按照ACL编号由大到小的顺序匹配。

·     各地址组成员的IP地址段不能互相重叠。

·     配置的所有地址组成员包含的地址总数不能少于安全引擎(或安全插卡)的数量。

·     内部服务器组成员按照权重比例对外提供服务,权重值越大的内部服务器组成员对外提供服务的比重越大。

·     在配置NAT444日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT444告警信息日志。

2.4.2  IP

1. IP地址分类和表示

IP地址是每个连接到IPv4网络上的设备的唯一标识。IP地址长度为32比特,通常采用点分十进制方式表示,即每个IP地址被表示为以小数点隔开的4个十进制整数,每个整数对应一个字节,如10.1.1.1。

IP地址由两部分组成:

·     网络号码字段(Net-id):用于区分不同的网络。网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型。

·     主机号码字段(Host-id):用于区分一个网络内的不同主机。

IP地址分为5类,每一类地址范围如表2-5所示。目前大量使用的IP地址属于A、B、C三类。

表2-5 IP地址分类

地址类型

地址范围

说明

A

0.0.0.0~127.255.255.255

IP地址0.0.0.0仅用于主机在系统启动时进行临时通信,并且永远不是有效目的地址

127.0.0.0网段的地址都保留作环回测试,发送到这个地址的分组不会输出到链路上,它们被当作输入分组在内部进行处理

B

128.0.0.0~191.255.255.255

-

C

192.0.0.0~223.255.255.255

-

D

224.0.0.0~239.255.255.255

组播地址

E

240.0.0.0~255.255.255.255

255.255.255.255用于广播地址,其它地址保留今后使用

 

2. 子网和掩码

随着Internet的快速发展,IP地址已近枯竭。为了充分利用已有的IP地址,可以使用子网掩码将网络划分为更小的部分(即子网)。通过从主机号码字段部分划出一些比特位作为子网号码字段,能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。

子网掩码是一个长度为32比特的数字,由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码字段和子网号码字段,而“0”对应于主机号码字段。

多划分出一个子网号码字段会浪费一些IP地址。例如,一个B类地址可以容纳65534(216-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。但划分出9比特长的子网字段后,最多可有512(29)个子网,每个子网有7比特的主机号码,即每个子网最多可有126(27-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。因此主机号码的总数是512*126=64512个,比不划分子网时要少1022个。

若不进行子网划分,则子网掩码为默认值,此时子网掩码中“1”的长度就是网络号码的长度,即A、B、C类IP地址对应的子网掩码默认值分别为255.0.0.0、255.255.0.0和255.255.255.0。

3. IP地址的配置方式

接口获取IP地址有以下几种方式:

·     通过手动指定IP地址

·     通过DHCP分配得到IP地址

4. 接口MTU

当设备收到一个报文后,如果发现报文长度比转发接口的MTU值大,则进行下列处理:

·     如果报文不允许分片,则将报文丢弃;

·     如果报文允许分片,则将报文进行分片转发。

为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口MTU值,以减少分片的发生。

2.4.3  ARP

ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。

设备通过ARP协议解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发。

ARP表项分为两种:动态ARP表项、静态ARP表项。

1. 动态ARP表项

动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项。

动态ARP表项可以固化为静态ARP表项,但被固化后无法再恢复为动态ARP表项。

为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大个数来进行限制。

2. 静态ARP表项

静态ARP表项通过手工创建或由动态ARP表项固化而来,不会被老化,不会被动态ARP表项覆盖。

配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。

在配置静态ARP表项时,如果管理员希望用户使用某个固定的IP地址和MAC地址通信,可以将该IP地址与MAC地址绑定;如果进一步希望限定用户只在指定VLAN的特定接口上连接,则需要进一步指定报文转发的VLAN和出接口。

一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。

说明

当静态ARP表项中的IP地址与VLAN虚接口的IP地址属于同一网段时,该静态ARP表项才能正常指导转发。

 

3. ARP代理

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP。

代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:

·     普通代理ARP:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。

·     本地代理ARP:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。

在配置本地代理ARP时,用户也可以指定进行ARP代理的IP地址范围。

4. 免费ARP

免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址。

设备通过对外发送免费ARP报文来实现以下功能:

·     确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。

·     设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。

(1)     学习免费ARP报文功能

启用了学习免费ARP报文功能后,设备会根据收到的免费ARP报文中携带的信息(发送端IP地址、发送端MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文中的发送端IP地址对应的ARP表项:

¡     如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;

¡     如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。

关闭学习免费ARP报文功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭学习免费ARP报文功能,以节省ARP表项资源。

(2)     回复免费ARP报文功能

开启回复免费ARP报文功能后,当设备收到非同一网段的ARP请求时发送免费ARP报文。关闭该功能后,设备收到非同一网段的ARP请求时不发送免费ARP报文。

(3)     接口定时发送免费ARP报文功能

用户可以配置某些接口定时发送免费ARP报文,以便及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:

a.     防止仿冒网关的ARP攻击

如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。

为了降低这种仿冒网关的ARP攻击所带来的影响,可以在网关的接口上启用定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。

b.     防止主机ARP表项老化

在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。

为了解决上述问题,可以在网关的接口上启用定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。

5. ARP攻击防御

ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决。

不同设备支持配置的ARP攻击防御功能如下:

·     网关设备支持配置的功能包括:ARP黑洞路由、ARP源抑制、源MAC地址一致性检查、ARP主动确认、MAC地址固定的ARP攻击检测、授权ARPARP扫描;

·     接入设备支持配置的功能包括: ARP网关保护、ARP过滤保护和ARP Detection

(1)     ARP防止IP报文攻击功能

如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:

¡     设备向目的网段发送大量ARP请求报文,加重目的网段的负载。

¡     设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。

为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:

¡     ARP黑洞路由功能:开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。

¡     ARP源抑制功能:如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。

(2)     ARP报文源MAC地址一致性检查功能

ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。

配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

(3)     ARP主动确认功能

ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。

启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。

使能严格模式后,新建ARP表项前,ARP主动确认功能会执行更严格的检查:

¡     收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但不建立ARP表项;

¡     收到ARP应答报文时,需要确认本设备是否对该报文中的源IP地址发起过ARP解析:若发起过解析,解析成功后则设备启动主动确认功能,主动确认流程成功完成后,设备可以建立该表项;若未发起过解析,则设备丢弃该报文。

(4)     源MAC地址固定的ARP攻击检测功能

本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。

对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测、过滤。

(5)     授权ARP功能

所谓授权ARP,就是动态学习ARP的过程中,只有和DHCP服务器生成的租约或DHCP中继生成的安全表项一致的ARP报文才能够被学习。

使能接口的授权ARP功能后,系统会禁止该接口学习动态ARP表项,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。

(6)     ARP扫描功能

启用ARP扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。

ARP扫描功能一般与ARP固化功能配合使用。ARP固化功能用来将当前的ARP动态表项(包括ARP扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效防止攻击者修改ARP表项。

建议在网吧这种环境稳定的小型网络中使用这两个功能。

(7)     ARP报文限速功能

ARP报文限速功能是指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。例如,在配置了ARP Detection功能后,设备会将收到的ARP报文重定向到CPU进行检查,这样引入了新的问题:如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。

建议用户在配置了ARP Detection或者发现有ARP泛洪攻击的情况下,使用ARP报文限速功能。

配置ARP报文限速功能后,如果用户开启了ARP限速日志功能,则当接口上单位时间收到的ARP报文数量超过用户设定的限速值,设备将这个时间间隔内的超速峰值作为日志的速率值发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)。为防止过多的日志信息干扰用户工作,用户可以设定日志信息的发送时间间隔。当用户设定的时间间隔超时时,设备执行发送日志的操作。

(8)     ARP网关保护功能

在设备上不与网关相连的接口上配置此功能,可以防止伪造网关攻击。

在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。

(9)     ARP过滤保护功能

ARP过滤保护功能用来限制接口下允许通过的ARP报文,可以防止仿冒网关和仿冒用户的攻击。

在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址和源MAC地址是否和允许通过的IP地址和MAC地址相同:

¡     如果相同,则认为此报文合法,继续进行后续处理;

¡     如果不相同,则认为此报文非法,将其丢弃。

(10)     ARP Detection功能

ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。

ARP Detection包含三个功能:用户合法性检查、ARP报文有效性检查、ARP报文强制转发:

a.     用户合法性检查

如果仅在VLAN上开启ARP Detection功能,则仅进行用户合法性检查。

对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击。

用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping表项的检查。只要符合任何一个,就认为该ARP报文合法,进行转发。如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。

b.     ARP报文有效性检查

对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。

-     源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文。

-     目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,需要被丢弃。

-     IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全1、或者组播IP地址都是不合法的,需要被丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。

c.     ARP报文强制转发

对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:

-     对于ARP请求报文,通过信任接口进行转发。

-     对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发。

2.4.4  IPv4 DNS

DNS(Domain Name System,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与地址之间的转换。IPv4 DNS提供域名和IPv4地址之间的转换,IPv6 DNS提供域名和IPv6地址之间的转换。

设备作为DNS客户端,当用户在设备上进行某些应用(如Telnet到一台设备或主机)时,可以直接使用便于记忆的、有意义的域名,通过域名系统将域名解析为正确的地址。

域名解析分为动态域名解析和静态域名解析两种。动态域名解析和静态域名解析可以配合使用。在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析。由于动态域名解析需要域名服务器的配合,会花费一定的时间,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。

1. 动态域名解析

使用动态域名解析时,需要手工指定域名服务器的地址。

动态域名解析通过向域名服务器查询域名和地址之间的对应关系来实现将域名解析为地址。

动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。例如,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。

使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:

·     如果用户输入的域名中没有“.”,比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询。

·     如果用户输入的域名中间有“.”,比如www.aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。

·     如果用户输入的域名最后有“.”,比如aabbcc.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查询终止符。带有查询终止符的域名,称为FQDN(Fully Qualified Domain Name,完全合格域名)。

2. 静态域名解析

手工建立域名和地址之间的对应关系。当用户使用域名进行某些应用时,系统查找静态域名解析表,从中获取指定域名对应的地址。

3. DNS代理

DNS代理(DNS proxy)用来在DNS client和DNS server之间转发DNS请求和应答报文。局域网内的DNS client把DNS proxy当作DNS server,将DNS请求报文发送给DNS proxy。DNS proxy将该请求报文转发到真正的DNS server,并将DNS server的应答报文返回给DNS client,从而实现域名解析。

使用DNS proxy功能后,当DNS server的地址发生变化时,只需改变DNS proxy上的配置,无需改变局域网内每个DNS client的配置,从而简化了网络管理。

2.4.5  动态DNS

DNS仅仅提供了域名和地址之间的静态对应关系,当节点的地址发生变化时,DNS无法动态地更新域名和地址的对应关系。此时,如果仍然使用域名访问该节点,通过域名解析得到的地址是错误的,从而导致访问失败。

DDNS(Dynamic Domain Name System,动态域名系统)用来动态更新DNS服务器上域名和地址之间的对应关系,保证通过域名解析到正确的地址。

使用DDNS服务前,用户需要先登录DDNS服务器,注册账户。设备作为DDNS客户端,在地址变化时,向DDNS服务器发送更新域名和地址对应关系的DDNS更新请求,更新请求中携带用户的账户信息(用户名和密码)。DDNS服务器对账户信息认证通过后,通知DNS服务器动态更新域名和地址之间的对应关系。

目前,只有IPv4域名解析支持DDNS,IPv6域名解析不支持DDNS,即只能通过DDNS动态更新域名和IPv4地址之间的对应关系。

为了简化配置,设备通过DDNS策略来管理和维护DDNS客户端的参数,如DDNS服务提供商信息(即DDNS服务器信息)、用户的账户信息(用户名和密码)、更新时间间隔、关联的SSL客户端策略等。创建DDNS策略后,可以在不同的接口上应用相同的DDNS策略,从而简化DDNS的配置。

2.5  IPv6

2.5.1  IPv6

IPv6(Internet Protocol Version 6,互联网协议版本6)是网络层协议的第二代标准协议,也被称为IPng(IP Next Generation,下一代互联网协议),它是IETF(Internet Engineering Task Force,互联网工程任务组)设计的一套规范,是IPv4的升级版本。IPv6和IPv4之间最显著的区别为:地址的长度从32比特增加到128比特。

1. IPv6地址表示方式

IPv6地址被表示为以冒号(:)分隔的一连串16比特的十六进制数。每个IPv6地址被分为8组,每组的16比特用4个十六进制数来表示,组和组之间用冒号隔开,比如:2001:0000:130F:0000:0000:09C0:876A:130B。

为了简化IPv6地址的表示,对于IPv6地址中的“0”可以有下面的处理方式:

·     每组中的前导“0”可以省略,即上述地址可写为2001:0:130F:0:0:9C0:876A:130B。

·     如果地址中包含一组或连续多组均为0的组,则可以用双冒号“::”来代替,即上述地址可写为2001:0:130F::9C0:876A:130B。

IPv6地址由两部分组成:地址前缀与接口标识。其中,地址前缀相当于IPv4地址中的网络号码字段部分,接口标识相当于IPv4地址中的主机号码部分。

地址前缀的表示方式为:IPv6地址/前缀长度。其中,前缀长度是一个十进制数,表示IPv6地址最左边多少位为地址前缀。

2. IPv6地址分类

IPv6主要有三种类型的地址:单播地址、组播地址和任播地址。

·     单播地址:用来唯一标识一个接口,类似于IPv4的单播地址。发送到单播地址的数据报文将被传送给此地址所标识的接口。

·     组播地址:用来标识一组接口(通常这组接口属于不同的节点),类似于IPv4的组播地址。发送到组播地址的数据报文被传送给此地址所标识的所有接口。

·     任播地址:用来标识一组接口(通常这组接口属于不同的节点)。发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近(根据使用的路由协议进行度量)的一个接口。

IPv6中没有广播地址,广播地址的功能通过组播地址来实现。

IPv6地址类型是由地址前面几位(称为格式前缀)来指定的,主要地址类型与格式前缀的对应关系如表2-6所示。

表2-6 IPv6地址类型与格式前缀的对应关系

地址类型

格式前缀(二进制)

IPv6前缀标识

简介

单播地址

未指定地址

00...0  (128 bits)

::/128

不能分配给任何节点。在节点获得有效的IPv6地址之前,可在发送的IPv6报文的源地址字段填入该地址,但不能作为IPv6报文中的目的地址

环回地址

00...1  (128 bits)

::1/128

不能分配给任何物理接口。它的作用与在IPv4中的环回地址相同,即节点用来给自己发送IPv6报文

链路本地地址

1111111010

FE80::/10

用于邻居发现协议和无状态自动配置中链路本地上节点之间的通信。使用链路本地地址作为源或目的地址的数据报文不会被转发到其他链路上

全球单播地址

其他形式

-

等同于IPv4公网地址,提供给网络服务提供商。这种类型的地址允许路由前缀的聚合,从而限制了全球路由表项的数量

组播地址

11111111

FF00::/8

-

任播地址

从单播地址空间中进行分配,使用单播地址的格式

-

 

3. IEEE EUI-64生成接口标识

IPv6单播地址中的接口标识符用来唯一标识链路上的一个接口。目前IPv6单播地址基本上都要求接口标识符为64位。

不同接口的IEEE EUI-64格式的接口标识符的生成方法不同,分别介绍如下:

·     所有IEEE 802接口类型(例如,以太网接口、VLAN接口):IEEE EUI-64格式的接口标识符是从接口的链路层地址(MAC地址)变化而来的。IPv6地址中的接口标识符是64位,而MAC地址是48位,因此需要在MAC地址的中间位置(从高位开始的第24位后)插入十六进制数FFFE(1111111111111110)。为了使接口标识符的作用范围与原MAC地址一致,还要将Universal/Local (U/L)位(从高位开始的第7位)进行取反操作。最后得到的这组数就作为EUI-64格式的接口标识符。

·     Tunnel接口:IEEE EUI-64格式的接口标识符的低32位为Tunnel接口的源IPv4地址,ISATAP隧道的接口标识符的高32位为0000:5EFE,其他隧道的接口标识符的高32位为全0。

·     其他接口类型:IEEE EUI-64格式的接口标识符由设备随机生成。

4. 接口上全球单播地址的配置方法

IPv6全球单播地址可以通过下面几种方式配置:

·     采用EUI-64格式形成:当配置采用EUI-64格式形成IPv6地址时,接口的IPv6地址的前缀需要手工配置,而接口标识符则由接口自动生成。

·     手工配置:用户手工配置IPv6全球单播地址。

·     无状态自动配置:根据接收到的RA报文中携带的地址前缀信息及使用EUI-64功能生成的接口标识,自动为接口生成IPv6全球单播地址。

·     有状态获取地址:通过DHCPv6服务器自动获取IPv6地址。

一个接口上可以配置多个全球单播地址。

5. 接口上链路本地地址的配置方法

IPv6的链路本地地址可以通过两种方式获得:

·     自动生成:设备根据链路本地地址前缀(FE80::/10)及使用EUI-64功能生成的接口标识,自动为接口生成链路本地地址。

·     手工指定:用户手工配置IPv6链路本地地址。

每个接口只能有一个链路本地地址,为了避免链路本地地址冲突,推荐使用链路本地地址的自动生成方式。

配置链路本地地址时,手工指定方式的优先级高于自动生成方式。即如果先采用自动生成方式,之后手工指定,则手工指定的地址会覆盖自动生成的地址;如果先手工指定,之后采用自动生成的方式,则自动配置不生效,接口的链路本地地址仍是手工指定的。此时,如果删除手工指定的地址,则自动生成的链路本地地址会生效。

2.5.2  ND

IPv6邻居发现(Neighbor Discovery,ND)协议使用五种类型的ICMPv6消息(如表2-7所示),实现地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等功能。

表2-7 ND使用的ICMPv6消息

ICMPv6消息

类型号

作用

邻居请求消息NS(Neighbor Solicitation)

135

获取邻居的链路层地址

验证邻居是否可达

进行重复地址检测

邻居通告消息NA(Neighbor Advertisement)

136

对NS消息进行响应

节点在链路层变化时主动发送NA消息,向邻居节点通告本节点的变化信息

路由器请求消息RS(Router Solicitation)

133

节点启动后,通过RS消息向路由器发出请求,请求前缀和其他配置信息,用于节点的自动配置

路由器通告消息RARouter Advertisement

134

对RS消息进行响应

在没有抑制RA消息发布的条件下,路由器会周期性地发布RA消息,其中包括前缀信息选项和一些标志位的信息

重定向消息(Redirect

137

当满足一定的条件时,缺省网关通过向源主机发送重定向消息,使主机重新选择正确的下一跳地址进行后续报文的发送

 

1. 邻居表项

邻居表项保存的是设备在链路范围内的邻居信息,设备邻居表项可以通过邻居请求消息NS及邻居通告消息NA来动态创建,也可以通过手工配置来静态创建。

目前,静态邻居表项有两种配置方式:

·     配置本节点的三层接口相连的邻居节点的IPv6地址和链路层地址。

·     配置本节点VLAN中的二层端口相连的邻居节点的IPv6地址和链路层地址。

对于VLAN接口,可以采用上述两种方式来配置静态邻居表项:

·     采用第一种方式配置静态邻居表项后,设备还需要解析该VLAN下的二层端口信息。

·     采用第二种方式配置静态邻居表项后,需要保证该二层端口属于指定的VLAN,且该VLAN已经创建了VLAN接口。

2. RA报文

设备为同一链路上的主机发布RA报文,主机可以根据RA报文中的信息进行无状态自动配置等操作。设备可以抑制RA报文的发送,也可以周期性发送RA报文,相邻两次RA报文发送时间间隔是在最大时间间隔与最小时间间隔之间随机选取的一个值。最小时间间隔应该小于等于最大时间间隔的0.75倍。

RA报文中的参数和参数描述如表2-8所示。

表2-8 RA报文中的参数

参数

描述

地址前缀/前缀长度

主机根据该地址前缀/前缀长度生成对应的IPv6地址,完成无状态自动配置操作

有效生命期

表示前缀有效期。在有效生命期内,通过该前缀自动生成的地址可以正常使用;有效生命期过期后,通过该前缀自动生成的地址变为无效,将被删除

首选生命期

表示首选通过该前缀无状态自动配置地址的时间。首选生命期过期后,节点通过该前缀自动配置的地址将被废止。节点不能使用被废止的地址建立新的连接,但是仍可以接收目的地址为被废止地址的报文。首选生命期必须小于或等于有效生命期

不用于无状态配置标识

选择了该标识,则指定前缀不用于无状态地址配置

不是直连可达标识

选择了该标识,则表示该前缀不是当前链路上直连可达的

MTU

发布链路的MTU,可以用于确保同一链路上的所有节点采用相同的MTU值

不指定跳数限制标识

选择了该标识,则表示RA消息中不带有本设备的跳数限制

被管理地址配置标志位(M flag)

用于确定主机是否采用有状态自动配置获取IPv6地址

如果选择了该标志位,主机将通过有状态自动配置(例如DHCPv6服务器)来获取IPv6地址;否则,将通过无状态自动配置获取IPv6地址,即根据自己的链路层地址及路由器发布的前缀信息生成IPv6地址

其他信息配置标志位(O flag)

用于确定主机是否采用有状态自动配置获取除IPv6地址外的其他信息

如果选择了其他信息配置标志位,主机将通过有状态自动配置(例如DHCPv6服务器)来获取除IPv6地址外的其他信息;否则,将通过无状态自动配置获取其他信息

路由器生存时间(Router Lifetime)

用于设置发布RA消息的路由器作为主机的默认路由器的时间。主机根据接收到的RA消息中的路由器生存时间参数值,就可以确定是否将发布该RA消息的路由器作为默认路由器。发布RA消息中路由器生存时间为0的路由器不能作为默认路由器

邻居请求重传间隔(Retrans Timer)

设备发送NS消息后,如果未在指定的时间间隔内收到响应,则会重新发送NS消息

配置路由优先级

( Router Preference )

用于设置发布RA消息的路由器的路由器优先级,主机根据接收到的RA消息中的路由器优先级,可以选择优先级最高的路由器作为默认网关。在路由器的优先级相同的情况下,遵循“先来先用”的原则,优先选择先接收到的RA消息对应的发送路由器作为默认网关

保持邻居可达时间(Reachable Time)

当通过邻居可达性检测确认邻居可达后,在所设置的可达时间内,设备认为邻居可达;超过设置的时间后,如果需要向邻居发送报文,会重新确认邻居是否可达

 

3. ND代理功能

如果NS请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理功能的设备就可以代答该请求,回应NA报文,这个过程称作ND代理(ND Proxy)。

ND Proxy功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

ND Proxy功能根据应用场景不同分为普通ND Proxy和本地ND Proxy。

(1)     普通ND Proxy

普通ND Proxy的典型应用环境如图2-5所示。Device通过两个三层接口Int A和Int B连接两个网络,两个三层接口的IPv6地址不在同一个网段,接口地址分别为4:1::99/64、4:2::99/64。但是两个网络内的主机Host A和Host B的地址通过掩码的控制,既与相连设备的接口地址在同一网段,同时二者也处于同一个网段。

图2-5 普通ND代理的典型应用环境

 

在这种组网情况下,当Host A需要与Host B通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此Host A会直接发出请求Host B硬件地址的NS请求。但是,此时的两台主机处于不同的广播域中,Host B无法收到Host A的NS请求报文,当然也就无法应答。

通过在Device上启用普通ND Proxy功能,可以解决此问题。在接口Int A和Int B上启用普通ND Proxy后,Router可以应答Host A的NS请求。同时,Device作为Host B的代理,把其它主机发送过来的报文转发给Host B。这样,实现Host A与Host B之间的通信。

(2)     本地ND Proxy

本地ND Proxy的应用场景如图2-6所示。Host A属于VLAN 2,Host B属于VLAN 3,它们分别连接到端口Int A和Int C上。

图2-6 本地ND代理的应用场景

 

在这种组网情况下,当Host A需要与Host B通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此Host A会直接发出请求Host B硬件地址的NS请求。但是,因为连接两台主机处于不同的VLAN中,Host B无法收到Host A的NS请求报文。

通过在Device A上启用本地ND Proxy功能,可以解决此问题。在接口Int B上启用本地ND Proxy后,Device A会代替Host B回应NA,Host A发给Host B的报文就会通过Device A进行转发,从而实现Host A与Host B之间的通信。

2.5.3  IPv6 DNS

DNS(Domain Name System,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与地址之间的转换。IPv4 DNS提供域名和IPv4地址之间的转换,IPv6 DNS提供域名和IPv6地址之间的转换。

设备作为DNS客户端,当用户在设备上进行某些应用(如Telnet到一台设备或主机)时,可以直接使用便于记忆的、有意义的域名,通过域名系统将域名解析为正确的地址。

域名解析分为动态域名解析和静态域名解析两种。动态域名解析和静态域名解析可以配合使用。在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析。由于动态域名解析需要域名服务器的配合,会花费一定的时间,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。

1. 动态域名解析

使用动态域名解析时,需要手工指定域名服务器的地址。

动态域名解析通过向域名服务器查询域名和地址之间的对应关系来实现将域名解析为地址。

动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。例如,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。

使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:

·     如果用户输入的域名中没有“.”,比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询。

·     如果用户输入的域名中间有“.”,比如www.aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。

·     如果用户输入的域名最后有“.”,比如aabbcc.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查询终止符。带有查询终止符的域名,称为FQDN(Fully Qualified Domain Name,完全合格域名)。

2. 静态域名解析

手工建立域名和地址之间的对应关系。当用户使用域名进行某些应用时,系统查找静态域名解析表,从中获取指定域名对应的地址。

3. DNS代理

DNS代理(DNS proxy)用来在DNS client和DNS server之间转发DNS请求和应答报文。局域网内的DNS client把DNS proxy当作DNS server,将DNS请求报文发送给DNS proxy。DNS proxy将该请求报文转发到真正的DNS server,并将DNS server的应答报文返回给DNS client,从而实现域名解析。

使用DNS proxy功能后,当DNS server的地址发生变化时,只需改变DNS proxy上的配置,无需改变局域网内每个DNS client的配置,从而简化了网络管理。

2.6  组播

2.6.1  IGMP Snooping

IGMP snooping(Internet Group Management Protocol snooping,互联网组管理协议窥探)运行在二层设备上,通过侦听三层设备与接收者主机间的IGMP报文建立IGMP snooping转发表,并根据该表指导组播数据的转发。

IGMP snooping转发表的表项由VLAN、组播组地址、组播源地址和成员端口四个元素构成,其中成员端口是指二层设备上朝向组播组成员的端口。

2.6.2  MLD Snooping

MLD snooping(Multicast Listener Discovery snooping,组播侦听者发现协议窥探)运行在二层设备上,通过侦听三层设备与接收者主机间的MLD报文建立MLD snooping转发表,并根据该表指导IPv6组播数据的转发。

MLD snooping转发表的表项由VLAN、IPv6组播组地址、IPv6组播源地址和成员端口四个元素构成,其中成员端口是指二层设备上朝向IPv6组播组成员的端口。

2.7  管理协议

2.7.1  DHCP

DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。

DHCP采用客户端/服务器通信模式,由客户端向服务器提出请求分配网络配置参数的申请,服务器返回为客户端分配的IP地址等配置信息,以实现IP地址等信息的动态配置。

在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机)。如果DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。

1. DHCP服务器

在以下场合通常利用DHCP服务器来完成IP地址分配:

·     网络规模较大,手工配置需要很大的工作量,并难以对整个网络进行集中管理。

·     网络中主机数目大于该网络支持的IP地址数量,无法给每个主机分配一个固定的IP地址。例如,Internet接入服务提供商限制同时接入网络的用户数目,用户必须动态获得自己的IP地址。

·     网络中只有少数主机需要固定的IP地址,大多数主机没有固定的IP地址需求。

DHCP服务器通过地址池来保存为客户端分配的IP地址、租约时长、网关信息、域名后缀、DNS服务器地址、WINS服务器地址、NetBIOS节点类型和DHCP选项信息。服务器接收到客户端发送的请求后,选择合适的地址池,并将该地址池中的信息分配给客户端。

DHCP服务器在将IP地址分配给客户端之前,还需要进行IP地址冲突检测。

(1)     DHCP地址池

地址池的地址管理方式有以下几种:

¡     静态绑定IP地址,即通过将客户端的硬件地址或客户端ID与IP地址绑定的方式,实现为特定的客户端分配特定的IP地址。

¡     动态选择IP地址,即在地址池中指定可供分配的IP地址范围,当收到客户端的IP地址申请时,从该地址范围中动态选择IP地址,分配给该客户端。

在DHCP地址池中还可以指定这两种类型地址的租约时长。

DHCP服务器为客户端分配IP地址时,地址池的选择原则如下:

a.     如果存在将客户端MAC地址或客户端ID与IP地址静态绑定的地址池,则选择该地址池,并将静态绑定的IP地址和其他网络参数分配给客户端。

b.     如果不存在静态绑定的地址池,则按照以下方法选择地址池:

-     如果客户端与服务器在同一网段,则将DHCP请求报文接收接口的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。

-     如果客户端与服务器不在同一网段,即客户端通过DHCP中继获取IP地址,则将DHCP请求报文中giaddr字段指定的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。

(2)     DHCP服务器分配IP地址的次序

DHCP服务器为客户端分配IP地址的优先次序如下:

a.     与客户端MAC地址或客户端ID静态绑定的IP地址。

b.     DHCP服务器记录的曾经分配给客户端的IP地址。

c.     客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。Option 50为客户端请求的IP地址选项(Requested IP Address),客户端通过在DHCP-DISCOVER报文中添加该选项来指明客户端希望获取的IP地址。该选项的内容由客户端决定。

d.     按照动态分配地址选择原则,顺序查找可供分配的IP地址,选择最先找到的IP地址。

e.     如果未找到可用的IP地址,则从当前匹配地址池中依次查询租约过期、曾经发生过冲突的IP地址,如果找到则进行分配,否则将不予处理。

(3)     DHCP选项

DHCP利用选项字段传递控制信息和网络配置参数,实现地址动态分配的同时,为客户端提供更加丰富的网络配置信息。

Web页面为DHCP服务器提供了灵活的选项配置方式,在以下情况下,可以使用Web页面DHCP选项功能:

¡     随着DHCP的不断发展,新的DHCP选项会陆续出现。通过该功能,可以方便地添加新的DHCP选项。

¡     有些选项的内容,RFC中没有统一规定。厂商可以根据需要定义选项的内容,如Option 43。通过DHCP选项功能,可以为DHCP客户端提供厂商指定的信息。

¡     Web页面只提供了有限的配置功能,其他功能可以通过DHCP选项来配置。例如,可以通过Option 4,IP地址1.1.1.1来指定为DHCP客户端分配的时间服务器地址为1.1.1.1。

¡     扩展已有的DHCP选项。当前已提供的方式无法满足用户需求时(比如通过Web页面最多只能配置8个DNS服务器地址,如果用户需要配置的DNS服务器地址数目大于8,则Web页面无法满足需求),可以通过DHCP选项功能进行扩展。

常用的DHCP选项配置如表2-9所示。

表2-9 常用DHCP选项配置

选项编号

选项名称

推荐的选项填充类型

3

Router Option

IP地址

6

Domain Name Server Option

IP地址

15

Domain Name

ASCII字符串

44

NetBIOS over TCP/IP Name Server Option

IP地址

46

NetBIOS over TCP/IP Node Type Option

十六进制数串

66

TFTP server name

ASCII字符串

67

Bootfile name

ASCII字符串

43

Vendor Specific Information

十六进制数串

 

(4)     DHCP服务器的IP地址冲突检测功能

为防止IP地址重复分配导致地址冲突,DHCP服务器为客户端分配地址前,需要先对该地址进行探测。

DHCP服务器的地址探测是通过ping功能实现的,通过检测是否能在指定时间内得到ping响应来判断是否存在地址冲突。DHCP服务器发送目的地址为待分配地址的ICMP回显请求报文。如果在指定时间内收到回显响应报文,则认为存在地址冲突。DHCP服务器从地址池中选择新的IP地址,并重复上述操作。如果在指定时间内没有收到回显响应报文,则继续发送ICMP回显请求报文,直到发送的回显显示报文数目达到最大值。如果仍然没有收到回显响应报文,则将地址分配给客户端,从而确保客户端获得的IP地址唯一。

2. DHCP中继

由于在IP地址动态获取过程中采用广播方式发送请求报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。

DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。

(1)     DHCP中继用户地址表项记录功能

为了防止非法主机静态配置一个IP地址并访问外部网络,设备支持DHCP中继用户地址表项记录功能。

启用该功能后,当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与硬件地址的绑定关系,生成DHCP中继的用户地址表项。

本功能与其他IP地址安全功能(如ARP地址检查和授权ARP)配合,可以实现只允许匹配用户地址表项中绑定关系的报文通过DHCP中继。从而,保证非法主机不能通过DHCP中继与外部网络通信。

(2)     DHCP中继动态用户地址表项定时刷新功能

DHCP客户端释放动态获取的IP地址时,会向DHCP服务器单播发送DHCP-RELEASE报文,DHCP中继不会处理该报文的内容。如果此时DHCP中继上记录了该IP地址与MAC地址的绑定关系,则会造成DHCP中继的用户地址表项无法实时刷新。为了解决这个问题,DHCP中继支持动态用户地址表项的定时刷新功能。

DHCP中继动态用户地址表项定时刷新功能开启时,DHCP中继每隔指定时间采用客户端获取到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文:

¡     如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会删除动态用户地址表中对应的表项。为了避免地址浪费,DHCP中继收到DHCP-ACK报文后,会发送DHCP-RELEASE报文释放申请到的IP地址。

¡     如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会删除该IP地址对应的表项。

2.7.2  HTTP/HTTPS

为了方便用户对网络设备进行配置和维护,设备提供了Web登录功能。用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。

设备支持的Web登录方式有以下两种:

·     HTTP登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。目前,设备支持的HTTP协议版本为HTTP/1.0。

·     HTTPS登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法客户端访问设备,从而实现了对设备的安全管理。

采用HTTPS登录时,设备上只需使能HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。(自签名证书指的是服务器自己生成的证书,无需从CA获取)

通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:

·     当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备;

·     当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户使用Web页面登录设备。

2.7.3  FTP

FTP用于在FTP服务器和FTP客户端之间传输文件,是IP网络上传输文件的通用协议。本设备可作为FTP服务器,使用20端口传输数据,使用21端口传输控制消息。

2.7.4  Telnet

设备可以开启Telnet服务器功能,以便用户能够通过Telnet登录到设备进行远程管理和监控。

通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:

·     当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备。

·     当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户通过Telnet访问设备。

2.7.5  SSH

SSH是Secure Shell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。

SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。

本设备可作为SSH服务器,为SSH客户端提供以下几种应用:

·     Secure Telnet:简称Stelnet,可提供安全可靠的网络终端访问服务。

·     Secure FTP:简称SFTP,基于SSH2,可提供安全可靠的网络文件传输服务。

·     Secure Copy:简称SCP,基于SSH2,可提供安全的文件复制功能。

SSH协议有两个版本,SSH1.x和SSH2.0(本文简称SSH1和SSH2),两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。设备作为SSH服务器时,非FIPS模式下支持SSH2和SSH1两个版本,FIPS模式下只支持SSH2版本。

设备作为SSH服务器时,利用本地密码认证机制验证SSH客户端的用户名和密码的合法性。身份认证通过后,SSH客户端将与SSH服务器建立相应的会话,并在该会话上进行数据信息的交互。

2.7.6  NTP

NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致,从而使设备能够提供基于统一时间的多种应用。

NTP通过时钟层数来定义时钟的准确度。时钟层数的取值范围为1~15,取值越小,时钟准确度越高。

在某些网络中,例如无法与外界通信的孤立网络,网络中的设备无法与权威时钟进行时间同步。此时,可以从该网络中选择一台时钟较为准确的设备,指定该设备与本地时钟进行时间同步,即采用本地时钟作为参考时钟,使得该设备的时钟处于同步状态。该设备作为时间服务器为网络中的其他设备提供时间同步,从而实现整个网络的时间同步。

通过Web页面可以配置本地时钟作为参考时钟。

2.7.7  LLDP

LLDP(Link Layer Discovery Protocol,链路层发现协议)提供了一种标准的链路层发现方式,可以将本端设备的信息(包括主要能力、管理地址、设备标识、接口标识等)组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(Link Layer Discovery Protocol Data Unit,链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB(Management Information Base,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。

1. LLDP代理

LLDP代理是LLDP协议运行实体的一个抽象映射。一个接口下,可以运行多个LLDP代理。目前LLDP定义的代理类型包括:最近桥代理、最近非TPMR桥代理和最近客户桥代理。LLDP在相邻的代理之间进行协议报文交互,并基于代理创建及维护邻居信息。

2. LLDP报文的发送机制

在指定类型LLDP代理下,当端口工作在TxRx或Tx模式时,设备会以报文发送时间间隔为周期,向邻居设备发送LLDP报文。如果设备的本地配置发生变化则立即发送LLDP报文,以将本地信息的变化情况尽快通知给邻居设备。但为了防止本地信息的频繁变化而引起LLDP报文的大量发送,可以配置限制发送报文速率的令牌桶大小来作限速处理。

当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期设置为快速发送周期,并连续发送指定数量(快速发送LLDP报文的个数)的LLDP报文后再恢复为正常的发送周期。

3. LLDP报文的接收机制

当端口工作在TxRx或Rx模式时,设备会对收到的LLDP报文及其携带的TLV进行有效性检查,通过检查后再将邻居信息保存到本地,并根据Time To Live TLV中TTL(Time To Live,生存时间)的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息。

由于TTL=Min(65535,(TTL乘数×LLDP报文的发送间隔+1)),即取65535与(TTL乘数×LLDP报文的发送间隔+1)中的最小值,因此通过调整TTL乘数可以控制本设备信息在邻居设备上的老化时间。

4. 端口初始化时间

当端口的LLDP工作模式发生变化时,端口将对协议状态机进行初始化操作。为了避免端口工作模式频繁改变而导致端口不断执行初始化操作,可配置端口初始化延迟时间,当端口工作模式改变时延迟一段时间再执行初始化操作。

5. LLDP Trap功能

如果开启了发送LLDP Trap功能,设备可以通过向网管系统发送Trap信息以通告如发现新的LLDP邻居、与原来邻居的通信链路发生故障等重要事件。

6. LLDP TLV

TLV是组成LLDP报文的单元,每个TLV都代表一个信息。LLDP可以封装的TLV包括基本TLV、802.1 TLV、802.3 TLV和LLDP-MED(Link Layer Discovery Protocol Media Endpoint Discovery,链路层发现协议媒体终端发现) TLV。

基本TLV是网络设备管理基础的一组TLV,802.1 TLV、802.3 TLV和LLDP-MED TLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送。

7. 兼容CDP功能

开启本功能后,设备可以利用LLDP来接收、识别Cisco的IP电话发送的CDP报文,并向其回应CDP报文。

3 网络安全

3.1  流策略

3.1.1  包过滤

包过滤是指采用ACL规则对接口入方向或出方向的报文进行过滤,即对匹配上ACL规则的报文按照其中定义的匹配动作允许或拒绝通过,对未匹配上任何ACL规则的报文则按照指定的缺省动作进行处理。

3.1.2  QoS流策略

QoS即服务质量。对于网络业务,影响服务质量的因素包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。

QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,灵活地进行QoS配置。

1. 类

类用来定义一系列的规则来对报文进行分类。

2. 流行为

流行为用来定义针对报文所做的QoS动作。

3. 策略

策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。

4. 应用策略

设备支持基于接口应用QoS策略,对通过接口接收或发送的流量生效。接口的每个方向(出和入两个方向)只能应用一个策略。如果QoS策略应用在接口的出方向,则QoS策略对本地协议报文不起作用。一些常见的本地协议报文如下:链路维护报文、SSH等。

3.1.3  优先级映射

报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。

优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。

1. 端口优先级

如果配置了优先级信任模式,即表示设备信任所接收报文的优先级,会自动解析报文的优先级或者标志位,然后按照映射表映射到报文的优先级参数。

如果没有配置优先级信任模式,并且配置了端口优先级值,则表明设备不信任所接收报文的优先级,而是使用端口优先级,按照映射表映射到报文的优先级参数。

·     配置端口优先级

按照接收端口的端口优先级,设备通过一一映射为报文分配优先级。

·     配置优先级信任模式

根据报文自身的优先级,查找优先级映射表,为报文分配优先级参数,可以通过配置优先级信任模式的方式来实现。

在配置接口上的优先级模式时,用户可以选择下列信任模式:

·     Untrust:不信任任何优先级。

·     Dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射。

·     DSCP:信任IP报文自带的DSCP优先级,以此优先级进行优先级映射。

2. 优先级映射表

报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。

优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。

设备中提供了多张优先级映射表,如果缺省优先级映射表无法满足用户需求,可以根据实际情况对映射表进行修改。

3.2  访问控制

ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。

3.2.1  ACL分类

ACL包括表3-1所列的几种类型,它们的主要区别在于规则制订依据不同:

表3-1 ACL分类

ACL分类

规则制定依据

IPv4 ACL

基本ACL

依据报文的源IPv4地址制订规则

高级ACL

依据报文的源/目的IPv4地址、源/目的端口号、优先级、承载的IPv4协议类型等三、四层信息制订规则

IPv6 ACL

基本ACL

依据报文的源IPv6地址制订规则

高级ACL

依据报文的源/目的IPv6地址、源/目的端口号、优先级、承载的IPv6协议类型等三、四层信息制订规则

二层ACL

依据报文的源/目的MAC地址、802.1p优先级、链路层协议类型等二层信息

 

3.2.2  ACL规则匹配顺序

一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:

·     配置顺序:按照规则编号由小到大进行匹配。

·     自动排序:按照“深度优先”原则由深到浅进行匹配,见表3-2

表3-2 各类型ACL的“深度优先”排序法则

ACL分类

规则制定依据

IPv4 ACL

基本ACL

1.     先比较源IPv4地址的范围,较小者(即通配符掩码中“0”位较多者)优先

2.     如果源IPv4地址范围相同,再比较配置的先后次序,先配置者优先

高级ACL

1.     先比较协议范围,指定有IPv4承载的协议类型者优先

2.     如果协议范围相同,再比较源IPv4地址范围,较小者优先

3.     如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先

4.     如果目的IPv4地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先

5.     如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先

IPv6 ACL

基本ACL

1.     先比较源IPv6地址的范围,较小者(即前缀较长者)优先

2.     如果源IPv6地址范围相同,再比较配置的先后次序,先配置者优先

高级ACL

1.     先比较协议范围,指定有IPv6承载的协议类型者优先

2.     如果协议范围相同,再比较源IPv6地址范围,较小者优先

3.     如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先

4.     如果目的IPv6地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先

5.     如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先

二层ACL

1.     先比较源MAC地址范围,较小者(即掩码中“1”位较多者)优先

2.     如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先

3.     如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先

 

说明

比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。

比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:前缀越长,范围越小。

比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。

 

3.2.3  ACL规则编号

每条规则都有自己的编号,这个编号可由手工指定或由系统自动分配。由于规则编号可能影响规则的匹配顺序,因此当系统自动分配编号时,为方便后续在已有规则之间插入新规则,通常在相邻编号之间留有一定空间,这就是规则编号的步长。系统自动分配编号的方式为:从0开始,按照步长分配一个大于现有最大编号的最小编号。比如原有编号为0、5、9、10和12的五条规则,步长为5,则系统将自动为下一条规则分配编号15。如果步长发生了改变,则原有全部规则的编号都将自动从0开始按新步长重新排列。比如原有编号为0、5、9、10和15的五条规则,当步长变为2后,这些规则的编号将依次变为0、2、4、6和8。

3.3  接入认证

3.3.1  MAC地址认证

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被设置为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。

3.3.2  802.1X

802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问。

1. 802.1X的体系结构

802.1X系统中包括三个实体:

·     客户端:请求接入局域网的用户终端,由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。

·     设备端:局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口,并通过与认证服务器的交互来对所连接的客户端进行认证。

·     认证服务器端:用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。

2. 802.1X的认证方法

在接入设备上,802.1X认证方法有三种方式:

·     CHAP或PAP认证方法。在这种方式下,设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP或CHAP方法进行认证。CHAP以密文的方式传送密码,而PAP是以明文的方式传送密码。

·     EAP认证方法。在这种方式下,设备端对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器。

3. 接入控制方式

端口支持以下两种接入控制方式:

·     基于端口认证:只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。

·     基于MAC认证:该端口下的所有接入用户均需要单独认证,当某个用户下线后,也只有该用户无法使用网络。

4. 授权状态

端口支持以下三种授权状态:

·     强制授权:表示端口始终处于授权状态,允许用户不经认证即可访问网络资源。

·     强制非授权:表示端口始终处于非授权状态。设备端不为通过该端口接入的客户端提供认证服务。

·     自动识别:表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户通过认证,则端口切换到授权状态,允许用户访问网络资源。

5. 周期性重认证

该功能开启后,设备会根据周期性重认证时间间隔定期向该端口在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN)。

6. 在线用户握手

该功能开启后,设备会根据周期发送握手请求报文时间间隔定期向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次没有收到客户端的响应报文,则会将用户置为下线状态。

7. 安全握手

在线用户握手功能处于开启状态的前提下,还可以通过开启在线用户握手安全功能,来防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。

8. 认证触发

设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。设备主动触发认证的方式分为以下两种:

·     单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。

·     组播触发:设备每隔一定时间(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。

9. EAD快速部署

EAD(Endpoint Admission Defense,端点准入防御)作为一个网络端点接入控制方案,它通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动,加强了对用户的集中管理,提升了网络的整体防御能力。但是在实际的应用过程中EAD客户端的部署工作量很大,例如,需要网络管理员手动为每一个EAD客户端下载、升级客户端软件,这在EAD客户端数目较多的情况下给管理员带来了操作上的不便。

802.1X认证支持的EAD快速部署功能就可以解决以上问题,它允许未通过认证的802.1X用户访问一个指定的IP地址段(称为Free IP),并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的。

10. 配置802.1X SmartOn功能

开启了SmartOn功能的端口上收到802.1X客户端发送的EAPOL-Start报文后,将向其回复单播的EAP-Request/Notification报文,并开启SmartOn通知请求超时定时器定时器等待客户端响应的EAP-Response/Notification报文。若SmartOn通知请求超时定时器超时后客户端仍未回复,则设备会重发EAP-Request/Notification报文,并重新启动该定时器。当重发次数达到规定的最大次数后,会停止对该客户端的802.1X认证;若在重发次数达到最大次数之前收到了该Notification报文的回复报文,则获取该报文中携带的Switch ID和SmartOn密码的MD5摘要,并与设备本地配置的SmartOn的Switch ID以及SmartOn密码的MD5摘要值比较,若相同,则继续客户端的802.1X认证,否则中止客户端的802.1X认证。

802.1X SmartOn功能与在线用户握手功能互斥,建议两个功能不要同时开启。

3.3.3  Portal

Portal在英语中是入口的意思。Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。在采用了Portal认证的组网环境中,未认证用户上网时,接入设备强制用户登录到特定站点,用户可以免费访问其中的服务;当用户需要使用互联网中的其它信息时,必须在Portal Web服务器提供的网站上进行Portal认证,只有认证通过后才可以使用这些互联网中的设备或资源。

根据是否为用户主动发起认证,可以将Portal认证分为主动认证和强制认证两种类型:用户可以主动访问已知的Portal Web服务器网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证;用户访问任意非Portal Web服务器网站时,被强制访问Portal Web服务器网站,继而开始Portal认证的过程称作强制认证。

Portal认证是一种灵活的访问控制技术,可以在接入层以及需要保护的关键数据入口处实施访问控制,具有如下优势:

·     可以不安装客户端软件,直接使用Web页面认证,使用方便。

·     可以为运营商提供方便的管理功能和业务拓展功能,例如运营商可以在认证页面上开展广告、社区服务、信息发布等个性化的业务。

·     支持多种组网型态,例如二次地址分配认证方式可以实现灵活的地址分配策略且能节省公网IP地址,可跨三层认证方式可以跨网段对用户作认证。

3.3.4  端口安全

端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备或主机对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。

端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:

·     MAC地址未被端口学习到的用户报文;

·     未通过认证的用户报文。

3.4  AAA

3.4.1  ISP域

设备对用户的管理是基于ISP(Internet Service Provider,互联网服务提供者)域的,一个ISP域对应着一套实现AAA(Authentication、Authorization、Accounting,认证、授权、计费)的配置策略,它们是管理员针对该域用户制定的一套认证、授权、计费方法,可根据用户的接入特征以及不同的安全需求组合使用。

设备支持的认证方法包括:

·     不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方法。

·     本地认证:认证过程在接入设备上完成,用户信息(包括用户名、密码和各种属性)配置在接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

·     远端认证(RADIUS):认证过程在接入设备和远端的服务器之间完成,接入设备和远端服务器之间通过RADIUS协议通信。优点是用户信息集中在服务器上统一管理,可实现大容量、高可靠性、支持多设备的集中式统一认证。当远端服务器无效时,可配置备选认证方式完成认证。

设备支持的授权方法包括:

·     不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。

·     本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。

·     远端授权(RADIUS):授权过程在接入设备和远端服务器之间完成。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。RADIUS认证成功后,才能进行授权,RADIUS授权信息携带在认证回应报文中下发给用户。当远端服务器无效时,可配置备选授权方式完成授权。

设备支持的计费方法包括:

·     不计费:不对用户计费。

·     本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。

·     远端计费(RADIUS):计费过程在接入设备和远端的服务器之间完成。当远端服务器无效时,可配置备选计费方式完成计费。

每个用户都属于一个ISP域。为便于对不同接入方式的用户进行区分管理,提供更为精细且有差异化的认证、授权、计费服务,设备将用户划分为以下几个类型:

·     LAN接入用户:例如802.1X认证用户。

·     登录用户:例如Telnet、FTP、终端接入用户(即从Console等接口登录的用户)。

·     Portal用户。

在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备,因此系统中可以存在多个ISP域,其中包括一个缺省存在的名称为system的ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。系统缺省的ISP域可以手工修改为一个指定的ISP域。

用户认证时,设备将按照如下先后顺序为其选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域,例如802.1X认证。

3.4.2  RADIUS

1. RADIUS协议简介

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

·     RADIUS客户端:一般位于接入设备上,可以遍布整个网络,负责将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。

·     RADIUS服务器:一般运行在中心计算机或工作站上,维护用户的身份信息和与其相关的网络服务信息,负责接收接入设备发送的认证、授权、计费请求并进行相应的处理,然后给接入设备返回处理结果(如接受/拒绝认证请求)。

RADIUS协议使用UDP作为封装RADIUS报文的传输层协议,通过使用共享密钥机制来保证客户端和RADIUS服务器之间消息交互的安全性。

当接入设备对用户提供AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务时,若要对用户采用RADIUS服务器进行认证、授权、计费,则作为RADIUS客户端的接入设备上需要配置相应的RADIUS服务器参数。

2. RADIUS增强功能

·     Accounting-on功能

设备重启后,重启前的原在线用户可能会被RADIUS服务器认为仍然在线而短时间内无法再次登录。为了解决这个问题,需要开启Accounting-on功能。

开启了Accounting-on功能后,设备会在重启后主动向RADIUS服务器发送Accounting-on报文来告知自己已经重启,并要求RADIUS服务器停止计费且强制通过本设备上线的用户下线。若设备发送Accounting-on报文后RADIUS服务器无响应,则会在按照一定的时间间隔尝试重发几次。分布式设备单板重启时,Accounting-on功能的实现需要和H3C IMC网管系统配合使用。

·     Session control功能

H3C的iMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。设备上开启接收session control报文的开关后,会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。

需要注意的是,该功能仅能和H3C的iMC RADIUS服务器配合使用。

3.4.3  本地认证

本地认证泛指由接入设备对用户进行认证、授权和计费,进行本地认证的用户的信息(包括用户名、密码和各种属性)配置在接入设备上。

为使某个请求网络服务的用户可以通过本地认证,需要在设备上添加相应的用户条目。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。

为了简化用户的配置,增强用户的可管理性,引入了用户组的概念。用户组是一系列公共用户属性的集合,某些需要集中管理的公共属性可在用户组中统一配置和管理,属于该用户组的所有用户都可以继承这些属性。

3.5  用户管理

为使某个请求网络服务的用户可以通过本地认证,需要在设备上添加相应的用户条目。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。

为了简化用户的配置,增强用户的可管理性,引入了用户组的概念。用户组是一系列公共用户属性的集合,某些需要集中管理的公共属性可在用户组中统一配置和管理,属于该用户组的所有用户都可以继承这些属性。

3.6  来宾管理

随着无线智能终端的快速发展,对于来公司参观的访客,公司需要提供一些网络服务。这些访客成员通常为供应商、贵宾、听众或者是其他合作伙伴等。当访客用自己的手机、笔记本、IPAD等终端接入公司网络时,涉及到用户账号注册,以及访问权限控制的问题。为了简化访客的注册和审批流程,以及对访客权限的管理控制,提供了来宾用户管理功能,具体包括:

·     手工添加来宾用户:手工创建来宾用户,并配置相应的来宾用户属性。

·     导入来宾用户:将指定路径CSV文件的来宾帐户信息导入到设备上,并生成相应的来宾用户。

·     批量创建来宾用户:批量生成一系列来宾用户,相应的用户名和密码按照指定规律生成。

·     导出来宾用户:将设备上的来宾帐户信息导出到指定路径CSV文件中供其它设备使用。

·     来宾用户的注册与审批,具体过程如下:

(1)     来宾用户通过设备推出的Portal Web页面填写注册信息,主要包括用户名、密码和电子邮箱地址,并提交该信息。

(2)     设备收到来宾用户的注册信息后,记录该注册信息,并向来宾管理员发送一个注册申请通知邮件。

(3)     来宾管理员收到注册申请通知邮件之后,在Web页面上对注册用户进行编辑和审批。

(4)     如果该注册用户在等待审批时间超时前被来宾管理员审批通过,则设备将自动创建一个来宾用户,并生成该用户的相关属性。若该注册用户在等待审批时间超时后还未被审批通过,则设备将会删除本地记录的该用户注册信息。

(5)     来宾用户创建之后,设备将自动发送邮件通知来宾用户或来宾接待人用户注册成功,向他们告知来宾用户的密码及有效期信息。

(6)     来宾用户收到注册成功通知后,将可以使用注册的帐户访问网络。

·     来宾用户过期自动删除功能:设备定时检查本地来宾用户是否过期并自动删除过期的用户。

·     邮件通知功能:向来宾、来宾接待人、来宾管理员发送帐户审批、密码信息的邮件。

3.7  BYOD

BYOD(Bring Your Own Device)指携带自己的设备办公,这些设备主要是指个人电脑、手机、平板电脑等终端设备。BYOD解决方案可以为企业和用户提供基于用户身份信息、终端信息、接入场景的认证、授权服务。

3.7.1  BYOD规则

BYOD规则是用户终端特征与用户终端类型的一种映射关系。在用户认证的过程中,接入设备获取到用户终端的相关特征(例如DHCP Option 55指纹信息)后,可根据BYOD规则识别出用户所使用的终端类型。

目前BYOD支持的用户终端特征包括:DHCP Option 55、HTTP User Agent和MAC地址。

·     DHCP Option55:DHCP请求参数列表选项,终端利用该选项指明需要从服务器获取哪些网络配置参数。

·     HTTP UserAgent:属于HTTP请求报文头域的一部分,用于携带终端访问Web页面时所使用的操作系统(包括版本号)、浏览器(包括版本号)等信息。

·     MAC地址:终端的MAC OUI信息或终端所属的MAC地址范围。

同一个特征只能对应一种终端类型,但一种终端类型可以对应多个特征。不同终端特征的识别优先级由高到低为:DHCP Option 55指纹->HTTP User Agent指纹->MAC地址指纹。

系统中已经预定义了一系列常用的BYOD规则,用户也可以根据实际组网需求通过命令行添加规则。

3.7.2  BYOD授权

BYOD授权是指,用户通过本地认证之后,设备通过匹配该用户的终端特征来给用户授予相关的网络访问权限。BYOD授权是通过用户组实现的。每一个用户都属于一个用户组,用户组中定义了基于终端类型的授权属性。用户在认证过程中,接入设备通过BYOD规则来识别用户的终端类型,并根据识别出的终端类型为其授权相应的授权属性。

4 应用安全

4.1  流量统计

流量统计功能用来对指定时间段内设备上的流量使用情况进行统计排行,并使用柱状图、饼状图和列表的形式向用户展示统计排行结果,方便管理员对设备带宽使用情况进行分析。

管理员可配置统计条件,对用户和应用进行流量统计排行。

4.2  应用组

可以将具有相似特征的应用添加到一个应用组中。一个应用组,就是若干个应用的集合。如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组。基于应用的业务可以对属于同一个应用组的报文做统一处理。

4.3  对象组

对象组定义了一系列报文匹配规则,可以被其他业务模块等引用,作为匹配报文的条件。

对象组由一条或多条对象组成,每条对象定义了一个报文匹配规则。报文只要满足对象组中一条对象的匹配规则,则该报文匹配该对象组。

对象组分为以下几种:

·     服务对象组:包含服务对象,用于匹配报文中的协议类型以及协议的特性(如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码等)。

·     IPv4地址对象组:包含IPv4地址对象,用于匹配报文中的IPv4地址。

·     IPv6地址对象组:包含IPv6地址对象,用于匹配报文中的IPv6地址。

·     为了简化配置,对象组还支持多级嵌套功能,即一个对象组可以引用另一个对象组,从而复用该对象组中的报文匹配规则。

4.4  安全动作

安全动作模块可为DPI各业务模块(如入侵防御和防病毒等)提供动作参数。安全动作模块包括如下几种安全动作参数模板:

·     阻断:在阻断参数模板中可配置DPI各业务模块黑名单动作对报文的阻断时长。如果设备上同时开启了黑名单功能,则报文的源IP地址被添加到IP黑名单后的老化时间为此阻断参数模板中配置的阻断时长。报文的源IP地址被加入IP黑名单后,阻断时长之内,后续来自该源IP地址的报文将被丢弃。如果设备上未开启黑名单过滤功能,报文的源IP地址仍会被添加到IP黑名单表项中,但后续来自该源IP地址的报文不会被直接丢弃。

·     重定向:在重定向参数模板中可配置DPI各业务模块重定向动作的URL。

·     捕获:在捕获参数模板中可配置IPS业务模块捕获动作的参数,比如捕获报文的最大字节数和上传捕获报文的URL。执行捕获动作后,设备会将捕获到的报文保存在本地并输出到指定的URL。当达到最大捕获字节数或者定时上传时间后,设备将上传本地保存的捕获报文到指定URL,并清空本地文件。如果未配置上传捕获报文的URL或者URL不可达,则设备依然会上传捕获到的报文,但是会上传失败,本地保存的捕获文件也会被清空。

4.5  安全策略

安全策略通过指定SSID、AP、AP组、源IP地址、目的IP地址、服务、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。

4.6  应用审计

说明

本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途。

 

应用审计是在APR(Application Recognition,应用层协议识别)的基础上进一步识别出应用的具体行为和行为内容,据此对用户的上网行为进行审计和记录。

4.6.1  审计策略

不同类型的审计策略能对符合过滤条件的报文进行差异化处理。

1. 策略类型

审计策略分为如下三种类型:

·     审计策略:对匹配策略中所有过滤条件的报文进行审计。

·     免审计策略:对匹配策略中所有过滤条件的报文进行免审计。

·     阻断策略:对匹配策略中所有过滤条件的报文进行阻断。

2. 策略的匹配原则

设备上可以存在多个审计策略,报文按照策略的配置顺序进行匹配,一旦与某个策略匹配成功便结束匹配过程。若报文未与任何策略匹配成功,则设备将根据审计策略的缺省动作对报文进行处理。

审计策略的配置顺序可在“审计策略”页面查看,配置顺序与策略的创建顺序有关,先创建的策略优先进行匹配,也可以通过移动策略的位置来调整策略的配置顺序。根据以上审计策略的匹配原理,为使设备上部署的审计策略对流经设备的报文能够达到更好、更精准的审计效果,需要在配置审计策略时遵循“深度优先”的原则,即先配置审计范围小的,再配置审计范围大的。

4.6.2  过滤条件

审计策略中可以配置多种过滤条件,具体包括:SSID、AP、AP组、源IP地址、目的IP地址、服务和时间段。策略被匹配成功的条件是:策略中已配置的过滤条件均被匹配成功。

每种过滤条件中也可以配置多个匹配项,比如一个源IP地址中可以指定多个地址对象组等。每种过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功即可。

4.6.3  审计规则

在审计类型的审计策略中可以配置一系列的审计规则对某一应用的具体行为和行为内容进行精细化审计,并输出审计信息。

审计规则的匹配模式为顺序匹配,设备按照审计规则ID从小到大的顺序进行匹配,一旦报文与某条审计规则匹配成功便结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理。

若报文未与任何审计规则匹配成功,则根据审计规则的缺省动作对此报文进行处理。

4.7  应用限速

应用限速通过指定SSID、AP、AP组、应用组和时间段等过滤条件匹配出特定的报文,根据配置的限速速率对报文进行限速处理;若报文未匹配上任何规则,则不对该报文进行限速。

4.8  入侵防御

IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。入侵防御通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。

4.8.1  入侵防御的优势

入侵防御具有以下优势:

·     深度防护:可以检测报文应用层的内容,以及对网络数据流进行协议分析和重组,并根据检测结果来对报文做出相应的处理。

·     实时防护:实时检测流经设备的网络流量,并对入侵活动和攻击性网络流量进行实时拦截。

·     全方位防护:可以对多种攻击类型提供防护措施,例如蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等。

·     内外兼防:对经过设备的流量都可以进行检测,不仅可以防止来自企业外部的攻击,还可以防止发自企业内部的攻击。

4.8.2  入侵防御特征

入侵防御特征用来扫描网络中的攻击行为以及对攻击行为采取防御措施,设备通过将数据流与入侵防御特征进行比较来检测和防御攻击。

设备支持如下类型的入侵防御特征:

·     预定义特征:由系统中的入侵防御特征库自动生成,不可进行修改和删除。

·     自定义特征:由用户手工配置。可以创建、修改和删除。

·     Snort特征:由Snort文件导入。可以导入和删除。

缺省情况下,设备基于入侵防御配置文件中指定的动作对符合此配置文件中入侵防御特征的报文进行处理。当需要对符合某个入侵防御特征的报文采取不同的动作时,可通过自定义设置修改特征动作。或者,当入侵防御配置文件中不包含某条入侵防御特征时,可以通过自定义设置将此特征设置为生效状态,添加到该入侵防御配置文件中。

自定义设置的特征动作优先级高于配置文件中配置的动作优先级。

4.8.3  入侵防御动作

入侵防御动作是指设备对匹配上入侵防御特征的报文做出的处理。入侵防御处理动作包括如下几种类型:

·     源阻断:阻断符合特征的报文。如果设备上同时开启了IP黑名单过滤功能,则阻断时间内(在安全动作中的阻断功能中配置)来自此IP地址的所有报文将被直接丢弃;如果设备上未开启黑名单过滤功能,报文的源IP地址仍会被添加到IP黑名单表项中,但后续来自该源IP地址的报文不会被直接丢弃。

·     丢弃:丢弃符合特征的报文。

·     允许:允许符合特征的报文通过。

·     重置:通过发送TCP的reset报文或UDP的ICMP端口不可达报文断开TCP或UDP连接。

·     重定向:把符合特征的报文重定向到指定的Web页面上。

·     缺省:对符合特征的报文执行特征中缺省的动作。

4.8.4  入侵防御实现流程

在设备配置了入侵防御功能的情况下,当用户的数据流量经过设备时,设备将进行入侵防御处理。处理流程如图4-1所示:

图4-1 入侵防御数据处理流程图

 

入侵防御处理的整体流程如下:

(1)     如果报文与IP黑名单匹配成功,则直接丢弃该报文。

(2)     如果报文匹配了某条安全策略,且此策略的动作是允许并引用了入侵防御配置文件,则设备将对报文进行深度内容检测:首先,识别报文的协议,然后根据协议分析方案进行更精细的分析,并深入提取报文特征。

(3)     设备将提取的报文特征与入侵防御特征进行匹配,并对匹配成功的报文进行如下处理:

(4)     如果报文同时与多个入侵防御特征匹配成功,则根据这些动作中优先级最高的动作进行处理。但是,对于源阻断和捕获两个动作只要匹配成功的特征中存在就会执行。动作优先级从高到低的顺序为:重置 > (源阻断/丢弃) > 允许,其中源阻断与丢弃的优先级相同。

(5)     如果报文只与一个入侵防御特征匹配成功,则根据此特征中指定的动作进行处理。

(6)     如果报文未与任何入侵防御特征匹配成功,则设备直接允许报文通过。

4.9  URL过滤

URL过滤功能是指对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的。

4.9.1  URL简介

URL(Uniform Resource Locator,统一资源定位符)是互联网上标准资源的地址。URL用来完整、精确的描述互联网上的网页或者其他共享资源的地址,URL格式为:“protocol://hostname[:port]/path/[;parameters][?query]#fragment”,本文以HTTP协议的URL为例进行介绍,格式示意如图4-2所示。

图4-2 URL格式示意图

 

URL各字段含义如表4-1所示:

表4-1 URL各字段含义表

字段

描述

protocol

表示使用的传输协议,例如HTTP、HTTPS

host

表示存放资源的服务器的主机名或IP地址

[:port]

(可选)传输协议的端口号,各种传输协议都有默认的端口号

/path/

是路径,由零或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址

[parameters]

(可选)用于指定特殊参数

[?query]

(可选)表示查询用于给动态网页传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开

URI

URI(Uniform Resource Identifier,统一资源标识符)是一个用于标示某一互联网资源名称的字符

 

4.9.2  URL过滤规则

URL过滤功能实现的前提条件是对URL的识别。可通过使用URL过滤规则匹配URL中host字段和URI字段的方法来识别URL。

URL过滤规则是指对用户HTTP/HTTPS报文中的URL进行匹配的原则,且其分为两种规则:

·     预定义规则:根据设备中的URL过滤特征库自动生成,包括百万级的Host或URI。预定义规则能满足多数情况下的URL过滤需求。

·     自定义规则:由管理员手动配置生成,可以通过使用正则表达式或者文本的方式来配置规则中Host或URI的内容。

URL过滤规则支持两种匹配方式:

·     文本匹配:使用指定的字符串对Host和URI字段进行匹配。

¡     匹配主机名字段时,首先判断主机名开头或结尾位置是否含有通配符“*”,若均未出现,则URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功;若“*”出现在开头位置,则该字符串或以该字符串结尾的URL会匹配成功;若“*”出现在结尾位置,则该字符串或以该字符串开头的URL会匹配成功。若“*”同时出现在开头或结尾位置,则该字符串或含有该字符串的URL均会匹配成功。

¡     匹配URI字段时,和主机名字段匹配规则一致。

·     正则表达式匹配:使用正则表达式对Host和URI字段进行匹配。例如,规则中配置host的正则表达式为sina.*cn,则Host为news.sina.com.cn的URL会匹配成功。

4.9.3  URL过滤分类

为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。

URL过滤分类包括两种类型:

·     预定义分类:根据设备中的URL过滤特征库自动生成,其严重级别不可被修改。

·     自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。

4.9.4  URL过滤配置文件

URL过滤配置文件是用于关联所有URL过滤配置的一个实体。一个URL过滤配置文件中可以配置URL过滤分类和处理动作的绑定关系,以及缺省动作(即对未匹配上任何URL过滤规则的报文采取的动作)。

4.9.5  URL过滤黑/白名单规则

URL过滤黑/白名单规则功能根据应用层的信息进行URL过滤。如果用户HTTP报文中的URL与URL过滤配置文件中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。

4.9.6  URL过滤分类云端查询

在URL过滤配置文件中开启URL过滤分类云端查询功能后,如果流经设备HTTP报文中的URL与该URL过滤配置文件中的过滤规则匹配失败,则此URL将会被发向云端URL过滤分类服务器进行查询。云端URL过滤分类服务器响应该请求,并向设备发送查询结果,该结果中包含了URL过滤规则及其所属的分类名称,设备根据该结果执行相应的分类处理动作。如果云端返回的分类在设备上没有与其对应的分类动作或者云端URL查询失败,则设备将对此报文执行URL过滤配置文件中的缺省动作。

4.9.7  URL过滤动作

URL过滤配置文件中可以设置配置文件的缺省动作和URL分类的动作,动作具体包括如下:

·     允许:表示允许报文通过。

·     丢弃:表示丢弃报文。

·     重置:表示通过发送TCP的reset报文从而使TCP连接断开。

·     重定向:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。

·     源阻断:表示将该报文的源IP地址加入IP黑名单。若设备上同时开启了IP黑名单过滤功能,则一定时间内(安全动作指定的URL过滤的阻断时间)来自此IP地址的所有报文将被直接丢弃;若没有开启IP黑名单过滤功能,则此IP黑名单不生效。

4.9.8  URL过滤实现流程

在开启URL过滤功能的情况下,当用户通过设备使用HTTP\HTTPS访问某个网络资源时,设备将进行URL过滤。URL过滤处理流程如图4-3所示:

图4-3 URL过滤实现流程图

 

URL过滤实现流程如下:

(1)     如果报文匹配了某个安全策略,且此策略的动作是允许并引用了URL过滤配置文件,则设备提取报文中的URL字段进行URL过滤规则匹配。

(2)     如果报文与设备上URL过滤配置文件中的过滤规则匹配成功,则将进一步做如下判断:

(3)     首先判断此URL过滤规则是否属于URL过滤的黑/白名单规则,如果属于URL过滤白名单规则则直接允许此报文通过,如果属于URL过滤的黑名单规则则直接将此报文阻断。

(4)     如果此URL过滤规则既不属于URL过滤白名单规则也不属于URL过滤黑名单规则,则设备将进一步判断该规则是否同时属于多个URL过滤分类。

(5)     如果此URL过滤规则同时属于多个URL过滤分类,则根据严重级别最高的URL过滤分类的动作对此报文进行处理。

(6)     如果此URL过滤规则只属于一个URL过滤分类,则根据该规则所属的URL过滤分类的动作对此报文进行处理。

(7)     如果报文未匹配上任何一条URL过滤配置文件中的过滤规则,则将进一步判断URL过滤配置文件中是否开启了URL过滤分类云端查询功能。如果分类云端查询功能已开启,则将报文中的URL发向云端URL过滤分类服务器进行查询,否则进行第7步的判断

(8)     如果URL云端查询成功,则进行步骤4的判断,否则进行步骤7的判断。

(9)     如果设备上配置了URL过滤的缺省动作,则根据配置的缺省动作对此报文进行处理;否则直接允许报文通过。

4.10  防病毒

防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。目前,该功能支持对基于以下应用层协议传输的报文进行防病毒检测:

·     FTP(File Transfer Protocol,文件传输协议)

·     HTTP(Hypertext Transfer Protocol,超文本传输协议)

·     IMAP(Internet Mail Access Protocol,Internet邮件访问协议)

·     NFS(Network File System Protocol,网络文件系统协议)

·     POP3(Post Office Protocol-Version 3,邮局协议的第3个版本)

·     SMB(Server Message Block Protocol,服务器信息块协议)

·     SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)

4.10.1  基本概念

1. 病毒特征

病毒特征是设备上定义的用于识别应用层信息中是否携带病毒的字符串,由系统中的病毒特征库预定义。

2. MD5规则

MD5规则是设备上定义的用于识别传输文件是否携带病毒的检测规则,由系统中的病毒特征库预定义。

3. 病毒例外

缺省情况下,设备对所有匹配病毒特征的报文均进行防病毒动作处理。但是,当管理员认为已检测到的某个病毒为误报时,可以将该病毒特征设置为病毒例外,之后携带此病毒特征的报文经过时,设备将对此报文执行允许动作。

4. 应用例外

缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议采取的动作是允许,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用均设置为应用例外。

5. MD5值例外

如果发现某类检测出病毒的报文被误报时,用户可以通过查看威胁日志获取病毒的MD5值,并将该MD5值设置为例外。当后续再有检测出符合该MD5值的报文通过时,设备将对其执行允许动作。

6. 防病毒动作

防病毒动作是指对符合病毒特征的报文做出的处理,包括如下几种类型:

·     告警:允许病毒报文通过,同时生成病毒日志。

·     阻断:禁止病毒报文通过,同时生成病毒日志。

·     重定向:将携带病毒的HTTP连接重定向到指定的URL,同时生成病毒日志。

·     允许:允许病毒报文通过。

4.10.2  防病毒检测方式

设备支持使用以下方式进行防病毒检测:

·     病毒特征匹配:设备将报文与特征库中的病毒特征进行匹配,如果匹配成功,则表示该报文携带病毒。

·     MD5值匹配:设备首先对待检测文件进行MD5哈希运算,再将计算出的MD5值与特征库中的MD5规则进行匹配,如果匹配成功,则表示该文件携带病毒。

4.10.3  防病毒数据处理流程

设备上部署防病毒策略后,对接收到的用户数据报文处理流程如图4-4所示:

图4-4 防病毒数据处理流程图

 

防病毒处理的整体流程如下:

(1)     如果报文匹配了某个安全策略,且此策略的动作是允许并引用了防病毒策略,则设备将继续识别此报文的应用层协议。

(2)     设备对应用层协议进行识别,判断协议是否为防病毒功能所支持,如果支持,则进行下一步处理;否则直接允许报文通过,不对其进行防病毒检测。

(3)     设备对报文进行病毒检测,将报文同时与特征库中的病毒特征和MD5规则进行匹配,任意一种匹配成功,则认为该报文携带病毒,并进行下一步处理;如果二者均匹配失败,则放行报文。

(4)     如果报文符合病毒例外,则对此报文执行允许动作,否则继续进行下一步处理。

(5)     如果报文符合应用例外,则执行应用例外的防病毒动作(告警、阻断和允许),否则执行报文所属应用层协议的防病毒动作(告警、阻断和重定向)。

5 系统

5.1  日志

5.1.1  事件日志

设备产生的日志信息按严重性可划分为如表5-1所示的八个等级,各等级的严重性依照数值从0~7依次降低。

表5-1 日志信息等级列表

数值

信息等级

描述

0

emergency

表示设备不可用的信息,如系统授权已到期

1

alert

表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限

2

critical

表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等

3

error

表示错误信息,如接口链路状态变化等

4

warning

表示警告信息,如接口连接断开,内存耗尽告警等

5

notification

表示正常出现但是重要的信息,如通过终端登录设备,设备重启等

6

informational

表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等

7

debugging

表示调试过程产生的信息

 

5.1.2  设置

系统可以向日志缓冲区(logbuffer)、日志主机(loghost)等方向发送日志信息。日志信息的各个输出方向相互独立,可在页面中分别设置。

5.2  资源

5.2.1  时间段

时间段(Time Range)定义了一个时间范围。用户通过创建一个时间段并在某业务中将其引用,就可使该业务在此时间段定义的时间范围内生效。但如果一个业务所引用的时间段尚未配置或已被删除,该业务将不会生效。

譬如,当一个ACL规则只需在某个特定时间范围内生效时,就可以先配置好这个时间段,然后在配置该ACL规则时引用此时间段,这样该ACL规则就只能在该时间段定义的时间范围内生效。

时间段可分为以下两种类型:

·     周期时间段:表示以一周为周期(如每周一的8至12点)循环生效的时间段。

·     绝对时间段:表示在指定时间范围内(如2011年1月1日8点至2011年1月3日18点)生效时间段。

每个时间段都以一个名称来标识,一个时间段内可包含一或多个周期时间段和绝对时间段。当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。

5.3  文件管理

5.3.1  文件管理

设备上的一个存储介质即称为一个文件系统。

1. 文件系统的命名

设备仅支持固定存储介质flash,其文件系统名称为flash:。

如果设备除了固定存储介质外还支持可插拔存储介质U盘,可插拔存储介质的文件系统名称由存储介质的位置、存储介质类型、存储介质编号、分区编号和冒号组成:

·     存储介质类型:U盘的类型名称为“usb”。

·     存储介质编号:同类型的存储介质以英文小写字母a开始进行排序,例如“usba”表示第一个U盘。

·     分区编号:一个存储介质上的分区以数字0开始进行排序,例如“usba0”表示第一个U盘上的第一个分区。

·     冒号:作为存储介质名称的结束符,例如第一个U盘的完整名称为“usba0:”

各款型无线控制器的设备类型及存储介质如表5-2所示:

表5-2 无线控制器设备的存储介质

产品系列

产品型号

可插拔存储介质

WX2500X-LI系列

WX2520X-LI

WX2540X-LI

WX2560X-LI

U盘

 

2. 缺省文件系统

缺省文件系统是指用户登录设备后默认工作在的文件系统。用户在对文件或者文件夹进行操作时,如果不指定文件系统,则表示对设备的缺省文件系统进行操作。例如,在保存当前配置时,如果不输入任何保存位置信息,则下次启动配置文件将保存在缺省文件系统的根目录下。

3. 目录

本设备的文件系统采用树形目录结构,用户可以通过文件夹操作来改变目录层级,方便的管理文件。

(1)     根目录

根目录用“/”来表示。

(2)     工作目录

工作目录也被称为当前工作目录。

用户登录设备后,缺省的工作目录为设备Flash或CF卡的根目录。

(3)     文件夹的命名

文件夹名称中可以包含数字、字母或特殊字符(除了*|\/?<>":)。给文件夹命名时,首字母请不要使用“.”。因为系统会把名称首字母为“.”的文件夹当成隐藏文件夹。

(4)     常用文件夹

设备出厂时会携带一些文件夹,在运行过程中可能会自动产生一些文件夹,这些文件夹包括:

·     diagfile:用于存放诊断信息文件的文件夹

·     license:用于存放License文件的文件夹

·     logfile:用于存放日志文件的文件夹

·     seclog:用于存放安全日志文件的文件夹

·     versionInfo:用于存放版本信息文件的文件夹

·     其它名称的文件夹

4. 文件

(1)     文件的命名

文件名中可以输入以数字、字母、特殊字符为组合的字符串(除了*|\/?<>":)。给文件命名时,首字母请不要使用“.”。因为系统会把名称首字母为“.”的文件当成隐藏文件。

(2)     常见文件类型

设备出厂时会携带一些文件,在运行过程中可能会自动产生一些文件,这些文件包括:

·     xx.ipe(复合软件包套件,是启动软件包的集合)

·     xx.bin(启动软件包)

·     xx.cfg(配置文件)

·     xx.mdb(二进制格式的配置文件)

·     xx.log(用于存放日志的文件)

·     其它后缀的文件

(3)     隐藏文件和文件夹

文件/文件夹分为隐藏的、非隐藏的。因为有些系统文件/文件夹是隐藏文件/文件夹,所以对于隐藏文件/文件夹,请不要修改或删除,以免影响对应功能;对于非隐藏的文件/文件夹,请完全了解它的作用后再执行文件/文件夹操作,以免误删重要文件/文件夹。

5. 使用限制和注意事项

·     在执行文件系统操作过程中,禁止对存储介质进行插拔操作。否则,可能会引起文件系统的损坏。

·     当用户占用可插拔存储介质的资源(如用户正在访问某个目录或正在打开文件等)时,存储介质被强制拔出。此时,请先释放占用的存储介质的资源(如切换目录、关闭打开的文件等),再插入存储介质。否则,存储介质被插入后可能不能被识别。

·     当需要对U盘进行写文件系统操作,请确保没有将U盘写保护。如果U盘写保护了,这些操作将执行失败。其它文件系统操作不受写保护开关影响。

6. 文件操作

文件操作是指对指定的文件路径下的文件进行相应操作,目前文件操作分为以下三类:

·     上传:设备支持上传版本文件、配置文件、证书、本地portal页面、MAP文件、特殊AP版本文件等。

·     下载:设备支持下载版本文件、配置文件、一键诊断信息及之前上传的信息文件等。

·     删除:设备支持选择删除设备上的非隐性文件。

说明

目前删除之后的文件无法恢复,请确保删除文件准确无误。

 

5.4  License管理

设备的部分特性需要获取License授权后才能使用。如果需要使用的特性没有安装License或者安装的License已经过期,请安装License。

5.4.1  License配置

在该页面可以进行安装License操作。

5.4.2  获取DID

在该页面可以将设备DID文件下载到本地。

5.4.3  License和特性

查看设备上是否已经安装了License以及已安装的License的简要信息。

5.4.4  压缩

在申请License授权之前,需要确保License存储区有足够的空间来存储License的相关信息。如果License存储区的空间不足,请使用本特性,系统会自动将已经过期的或者卸载的License信息删除。注意:压缩License存储区会导致DID变化,使得用旧DID申请的License无法继续安装。

5.5  设备管理

5.5.1  管理员

管理员通过HTTP、HTTPS、SSH、Telnet、FTP、PAD、终端接入(即从Console口接入)方式登录到设备上之后,可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分:

·     帐户管理:对用户的基本信息(用户名、密码)以及相关属性的管理。

·     角色管理:对用户可执行的系统功能以及可操作的系统资源权限的管理。

·     密码管理:对用户登录密码的设置、老化、更新以及用户登录状态等方面的管理。

1. 帐户管理

为使请求某种服务的用户可以成功登录设备,需要在设备上添加相应的帐户。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。一个有效的用户条目中可包括用户名、密码、角色、可用服务、密码管理等属性。

2. 角色管理

对登录用户权限的控制,是通过为用户赋予一定的角色来实现。一个角色中定义了允许用户执行的系统功能以及可操作的系统资源,具体实现如下:

·     通过角色规则实现对系统功能的操作权限的控制。例如,定义用户角色规则允许用户配置A功能,或禁止用户配置B功能。

·     通过资源控制策略实现对系统资源(接口、VLAN)的操作权限的控制。例如,定义资源控制策略允许用户操作VLAN 10,禁止用户操作接口GigabitEthernet1/0/1。

(1)     角色规则

一个角色中可以包含多条规则,规则定义了允许/禁止用户操作某类实体的权限。

系统支持的实体类型包括:

·     命令行:控制用户权限的最小单元,具体可分为读、写、执行类型的命令行。

·     特性:与一个功能相关的所有命令的集合。系统中的所有特性及其包含的命令都是系统预定义的,不允许用户自定义。

·     特性组:一个或者多个特性的集合。系统预定义了两个特性组L2和L3。L2中包含了所有的二层协议相关功能的命令,L3中包含了所有三层协议相关功能的命令。管理员可以根据需要自定义特性组,但不能修改和删除系统预定义的特性组L2和L3。各个特性组之间包含的特性允许重叠。

·     Web菜单:通过Web对设备进行配置时,各配置页面以Web菜单的形式组织,按照层次关系,形成多级菜单的树形结构。

·     XML元素:与Web菜单类似,XML对于配置对象的组织也呈现树状结构,每一个XML元素代表XML配置中的一个XML节点。

·     SNMP OID:对象标识符,SNMP协议通过OID唯一标识一个被管理对象。

对实体的操作权限包括:

·     读权限:可查看指定实体的配置信息和维护信息。

·     写权限:可配置指定实体的相关功能和参数。

·     执行权限:可执行特定的功能,如与FTP服务器建立连接。

定义一个规则,就等于约定允许或禁止用户针对某类实体具有哪些操作权限,具体分为:

·     控制命令行的规则:用来控制一条命令或者与指定的命令特征字符串相匹配的一类命令是否允许被执行。

·     控制特性的规则:用来控制特性包含的命令是否允许被执行。因为特性中的每条命令都属于读类型、写类型或执行类型,所以在定义该类规则时,可以精细地控制特性所包含的读、写或执行类型的命令能否被执行。

·     控制特性组的规则:此规则和基于特性的规则类似,区别是一条基于特性组的规则中可同时对多个特性包含的命令进行控制。

·     控制Web菜单的规则:用来控制指定的Web菜单选项是否允许被操作。因为每个菜单项中的操作控件具有相应的读,写或执行属性,所以定义基于Web菜单的规则时,可以精细地控制菜单项中读、写或执行控件的操作。

·     控制XML元素的规则:用来控制指定的XML元素是否允许被执行。XML元素也具有读,写或执行属性。

·     控制OID的规则:用来控制指定的OID是否允许被SNMP访问。OID具有读,写和执行属性。

一个用户角色中可以定义多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则中定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。

(2)     资源控制策略

资源控制策略规定了用户对系统资源的操作权限。

·     对于登录命令行的用户而言,对接口/VLAN的操作是指创建并进入接口视图/VLAN视图、删除和应用接口/VLAN(在display命令中指定接口/VLAN参数并不属于应用接口/VLAN范畴)。

·     对于登录Web页面的用户而言,对接口/VLAN的操作是指创建接口/VLAN、配置接口/VLAN的属性、删除接口/VLAN和应用接口/VLAN。

资源控制策略需要与角色规则相配合才能生效。在用户执行命令的过程中,系统对该命令涉及的系统资源使用权限进行动态检测,因此只有用户同时拥有执行该命令的权限和使用该资源的权限时,才能执行该命令。例如,若管理员为某用户角色定义了一条规则允许用户创建VLAN,且同时指定用户具有操作VLAN 10的权限,则当用户被授权此角色并试图创建VLAN 10时,操作会被允许,但试图创建其它VLAN时,操作会被禁止。若管理员并没有为该角色定义允许用户创建VLAN的规则,则用户即便拥有该VLAN资源的操作权限,也无法执行相关的操作。

(3)     缺省角色

系统预定义了多种角色,角色名和对应的权限如表5-3所示。这些角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限。如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制。

表5-3 系统预定义的角色名和对应的权限

角色名

权限

network-admin

可操作系统所有功能和资源(除安全日志文件管理相关命令display security-logfile summaryinfo-center security-logfile directorysecurity-logfile save之外)

network-operator

·     可执行系统所有功能和资源的相关display命令(除display history-command alldisplay security-logfile summary等命令,具体请通过display role命令查看)

·     如果用户采用本地认证方式登录系统并被授予该角色,则可以修改自己的密码

·     可执行进入XML视图的命令

·     可允许用户对所有Web菜单选项进行读操作

·     可允许用户对所有XML元素进行读操作

·     可允许用户对所有SNMP OID进行读操作

level-n (n = 0~15)

·     level-0:可执行命令pingtracertssh2telnetsuper,且管理员可以为其配置权限

·     level-1:具有level-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display history-command all之外),以及管理员可以为其配置权限

·     level-2~level-8和level-10~level-14:无缺省权限,需要管理员为其配置权限

·     level-9:可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操作display history-command all命令、RBAC的命令(Debug命令除外)、文件管理、设备管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码

·     level-15:具有与network-admin角色相同的权限

security-audit

安全日志管理员,仅具有安全日志文件的读、写、执行权限,具体如下:

·     可执行安全日志文件管理相关的命令(display security-logfile summaryinfo-center security-logfile directorysecurity-logfile save)。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”

·     可执行安全日志文件操作相关的命令,例如more显示安全日志文件内容;dirmkdir操作安全日志文件目录等,具体命令的介绍请参见“基础配置命令参考”中的“文件系统管理”

以上权限,仅安全日志管理员角色独有,其它任何角色均不具备

guest-manager

来宾用户管理员,只能查看和配置来宾用户管理相关Web页面,无命令行控制权限

 

说明

只有具有network-admin或者level-15用户角色的用户登录设备后才可以执行RBAC特性的所有命令、修改用户线视图下的相关配置(包括user-roleauthentication-modeprotocol inboundset authentication password)以及执行创建/修改/删除本地用户和本地用户组;其它角色的用户,即使被授权对本地用户和本地用户组的操作权限,也仅仅具有修改自身密码的权限,没有除此之外的对本地用户和本地用户组的任何操作权限。

预定义的用户角色中,仅用户角色level-0~level-14可以通过自定义规则和资源控制策略调整自身的权限。需要注意的是,这种修改对于display history-command all命令不生效,即不能通过添加对应的规则来更改它的缺省执行权限。

 

(4)     为用户赋予角色

根据用户登录方式的不同,为用户授权角色分为以下两类:

·     对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色。

·     对于通过AAA远程认证登录设备的用户,由AAA服务器的配置决定为其授权的用户角色。

将有效的角色成功授权给用户后,登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备。如果用户没有被授权任何角色,将无法成功登录设备。

一个用户可同时拥有多个角色。拥有多个角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合。

(5)     规则配置指导

定义控制命令行的规则时,通过输入命令特征字符串来指定要控制命令行的范围。特征字符串的输入需要遵循以下规则:

·     在输入命令特征字符串时必须指定该命令所在的视图,进入各视图的命令特征字符串由分号(;)分隔。分号将命令特征字符串分成多个段,每一个段代表一个或一系列命令,后一个段中的命令是执行前一个段中命令所进入视图下的命令。一个段中可以包含多个星号(*),每个星号(*)代表了0个或多个任意字符。例如:命令特征字符串“system ; interface * ; ip * ;” 代表从系统视图进入到任意接口视图后,以ip开头的所有命令。

·     当最后一个段中的最后一个可见字符为分号时,表示所指的命令范围不再扩展,否则将向子视图中的命令扩展。例如:命令特征字符串“system ; radius scheme * ;”代表系统视图下以radius scheme开头的所有命令;命令特征字符串“system ; radius scheme * ”代表系统视图下以radius scheme开头的所有命令,以及进入子视图(RADIUS方案视图)下的所有命令。

·     当星号(*)出现在一个段的首部时,其后面不能再出现其它可打印字符,且该段必须是命令特征字符串的最后一个段。例如:命令特征字符串“system ; *”就代表了系统视图下的所有命令,以及所有子视图下的命令。

·     当星号(*)出现在一个段的中间时,该段必须是命令特征字符串的最后一个段。例如:命令特征字符串“debugging * event”就代表了用户视图下所有模块的事件调试信息开关命令。

·     一个段中必须至少出现一个可打印字符,不能全部为空格或Tab。

·     对于能在任意视图下执行的命令(例如display命令)以及用户视图下的命令(例如dir命令),在配置包含此类命令的规则时,不需要在规则的命令匹配字符串中指定其所在的视图。

用户执行命令时,系统遵循以下匹配规则:

·     命令关键字与命令特征字符串是采用前缀匹配算法进行匹配的,即只要命令行中关键字的首部若干连续字符或全部字符与规则中定义的关键字相匹配,就认为该命令行与此规则匹配。因此,命令特征字符串中可以包括完整的或部分的命令关键字。例如,若规则“rule 1 deny command dis arp source *”生效,则命令display arp source-mac interface和命令display arp source-suppression都会被禁止执行。

·     基于命令的规则只对指定视图下的命令生效。若用户输入的命令在当前视图下不存在而在其父视图下被查找到时,用于控制当前视图下的命令的规则不会对其父视图下的命令执行权限进行控制。例如,定义一条规则“rule 1 deny command system ; interface * ; *”禁止用户执行接口视图下的任何命令。当用户在接口视图下输入命令acl basic 3000时,该命令仍然可以成功执行,因为系统在接口视图下搜索不到指定的acl命令时,会回溯到系统视图(父视图)下执行,此时该规则对此命令不生效。

·     display命令中的重定向符(“|”、“>”、“>>”)及其后面的关键字不被作为命令行关键字参与规则的匹配。例如,若规则“rule 1 permit command display debugging”生效,则命令display debugging > log是被允许执行的,其中的关键字> log将被忽略,RBAC只对重定向符前面的命令行display debugging进行匹配。但是,如果在规则中配置了重定向符,则RBAC会将其作为普通字符处理。例如,若规则“rule 1 permit command display debugging > log”生效,则命令display debugging > log将会匹配失败,因为其中的关键字> log被RBAC忽略了,最终是命令display debugging与规则进行匹配。因此,配置规则时不要使用重定向符。

用户访问SNMP OID时,系统遵循以下匹配规则:

·     与用户访问的OID形成最长匹配的规则生效。例如用户访问的OID为1.3.6.1.4.1.25506.141.3.0.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.4.1”和“rule 3 permit read write oid 1.3.6.1.4”,其中rule 2与用户访问的OID形成最长匹配,则认为rule 2与OID匹配,匹配的结果为用户的此访问请求被拒绝。

·     对于定义的OID长度相同的规则,规则编号大的生效。例如用户访问的OID为1.3.6.1.4.1.25506.141.3.0.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.4.1”和“rule 3 permit read write oid 1.3.6.1.4.1”,其中rule 2和rule 3与访问的OID形成最长匹配,则rule 3生效,匹配的结果为用户的访问请求被允许。

3. 密码管理

为了提高用户登录密码的安全性,可通过定义密码管理策略对用户的登录密码进行管理,并对用户的登录状态进行控制。

(1)     密码长度检查

管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的最小长度,系统将不允许设置该密码。

(2)     密码组合检查

管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:

·     [A~Z]

·     [a~z]

·     [0~9]

·     32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)

密码元素的组合类型有4种,具体涵义如下:

·     组合类型为1表示密码中至少包含1种元素;

·     组合类型为2表示密码中至少包含2种元素;

·     组合类型为3表示密码中至少包含3种元素;

·     组合类型为4表示密码中包含4种元素。

当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。

(3)     密码复杂度策略

为确保用户的登录密码具有较高的复杂度,要求管理员为其设置的密码必须符合一定的复杂度要求,只有符合要求的密码才能设置成功。目前,可配置的复杂度要求包括:

·     密码中不能包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。

·     密码中不能包含用户名或者字符顺序颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。

(4)     密码更新管理

管理员可以设置用户登录设备后修改自身密码的最小间隔时间。当用户登录设备修改自身密码时,如果距离上次修改密码的时间间隔小于配置值,则系统不允许修改密码。例如,管理员配置用户密码更新间隔时间为48小时,那么用户在上次修改密码后的48小时之内都无法成功进行密码修改操作。

有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码老化后系统要求用户修改密码。

(5)     密码老化管理

当用户登录密码的使用时间超过老化时间后,需要用户更换密码。如果用户输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。

(6)     密码过期提醒

在用户登录时,系统判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。对于FTP用户,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。

(7)     密码老化后允许登录

管理员可以设置用户密码过期后在指定的时间内还能登录设备指定的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。

(8)     密码历史记录

系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将给出错误信息,提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码逐一与所有记录的历史密码以及当前密码比较,要求新密码至少要与旧密码有4字符不同,且这4个字符必须互不相同,否则密码更改失败。

可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。

由于为用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,用户的当前登录密码,不会被记录到该用户的密码历史记录中。

(9)     密码尝试次数限制

密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。

每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口连接到设备的用户。

当用户连续尝试认证的失败累加次数达到设置的尝试次数时,系统对用户的后续登录行为有以下三种处理措施:

·     永久禁止该用户登录。只有管理员把该用户从密码管理的黑名单中删除后,该用户才能重新登录。

·     禁止该用户一段时间后,再允许其重新登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录。

·     不对该用户做禁止,允许其继续登录。在该用户登录成功后,该用户会从密码管理的黑名单中删除。

(10)     用户帐号闲置时间管理

管理员可以限制用户帐号的闲置时间,禁止在闲置时间之内始终处于不活动状态的用户登录。若用户自从最后一次成功登录之后,在配置的闲置时间内再未成功登录过,那么该闲置时间到达之后此用户帐号立即失效,系统不再允许使用该帐号的用户登录。

5.5.2  系统设置

系统设置功能用来对设备的名称、位置等信息以及设备时间进行设置。

1. 系统时间获取方式

为了便于管理,并保证与其它设备协调工作,设备需要准确的系统时间。系统时间由GMT时间、本地时区和夏令时运算之后联合决定。用户有两种方式获取GMT时间:

·     手工配置GMT时间。

·     通过NTP/SNTP协议获取GMT时间。

通过NTP/SNTP协议获取的GMT时间比命令行配置的GMT时间更精确。

2. NTP/SNTP简介

NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致,从而使设备能够提供基于统一时间的多种应用。

SNTP(Simple NTP,简单NTP)采用与NTP相同的报文格式及交互过程,但简化了NTP的时间同步过程,以牺牲时间精度为代价实现了时间的快速同步,并减少了占用的系统资源。在时间精度要求不高的情况下,可以使用SNTP来实现时间同步。

3. NTP/SNTP时钟源工作模式

NTP支持服务器模式和对等体模式两种时钟源工作模式,如表5-4所示。在服务器模式中,设备只能作为客户端;在对等体模式中,设备只能作为主动对等体。

SNTP只支持服务器模式这一种时钟源工作模式。在该模式中,设备只能作为客户端,从NTP服务器获得时间同步,不能作为服务器为其他设备提供时间同步。

表5-4 NTP时钟源工作模式

模式

工作过程

时间同步方向

应用场合

服务器模式

客户端上需要手工指定NTP服务器的地址。客户端向NTP服务器发送NTP时间同步报文。NTP服务器收到报文后会自动工作在服务器模式,并回复应答报文

一个客户端可以配置多个时间服务器,如果客户端从多个时间服务器获取时间同步,则客户端收到应答报文后,进行时钟过滤和选择,并与优选的时钟进行时间同步

客户端能够与NTP服务器的时间同步

NTP服务器无法与客户端的时间同步

该模式通常用于下级的设备从上级的时间服务器获取时间同步

对等体模式

主动对等体(Symmetric active peer)上需要手工指定被动对等体(Symmetric passive peer)的地址。主动对等体向被动对等体发送NTP时间同步报文。被动对等体收到报文后会自动工作在被动对等体模式,并回复应答报文

如果主动对等体可以从多个时间服务器获取时间同步,则主动对等体收到应答报文后,进行时钟过滤和选择,并与优选的时钟进行时间同步

主动对等体和被动对等体的时间可以互相同步

如果双方的时钟都处于同步状态,则层数大的时钟与层数小的时钟的时间同步

该模式通常用于同级的设备间互相同步,以便在同级的设备间形成备份。如果某台设备与所有上级时间服务器的通信出现故障,则该设备仍然可以从同级的时间服务器获得时间同步

 

4. NTP/SNTP时钟源身份验证

NTP/SNTP时钟源身份验证功能可以用来验证接收到的NTP报文的合法性。只有报文通过验证后,设备才会接收该报文,并从中获取时间同步信息;否则,设备会丢弃该报文。从而,保证设备不会与非法的时间服务器进行时间同步,避免时间同步错误。

5.5.3  配置文件

配置文件功能用来对设备的配置进行查看或管理。

1. 保存当前配置

系统当前正在运行的配置称为当前配置。它包括启动配置和设备运行过程中用户进行的配置。当前配置存放在设备的临时缓存中。

该功能共有两种保存方式。

·     保存到下次启动配置文件,使当前配置在设备重启后仍生效,否则设备重启后将恢复为出厂配置。

·     保存到指定配置文件,将当前配置保存在设备的固定存储介质flash中。

保存配置时,系统将自动生成一个文本类型的配置文件和一个二进制类型的配置文件,两个文件的内容完全相同。

·     文本类型配置文件:后缀名为“.cfg”,可以使用文本编辑器修改该文件的内容。文本类型配置文件可以单独保存到存储介质中,无需对应的二进制类型的配置文件。

·     二进制类型配置文件:后缀为“.mdb”,仅能够使用软件解析该类配置文件,用户不能读取和编辑文件内容。二进制类型的配置文件不能单独保存到存储介质中,必须有对应的文本类型的配置文件。该类型配置文件的加载速度快,设备启动时优先使用该类型配置文件。

设备启动时,文本类型配置文件和二进制类型配置文件的选择规则如图5-1所示。

图5-1 文本类型配置文件和二进制类型配置文件的选择规则

如无特殊说明,下文描述的配置文件均指文本类型的配置文件。

2. 导出当前配置

将当前配置文件导出为.cfg格式文件保存在本地。

3. 导入配置

将指定配置文件上传到设备后,该文件将会被设置为下次启动配置文件。导入的配置将在设备重启后生效。

勾选立即执行导入的配置文件后,系统会立即用导入的配置替换当前运行的配置,无需重启设备。

4. 查看当前配置

可以在该页面查看当前设备的所有配置。

5. 恢复出厂配置

设备在出厂时,通常会带有一些基本的配置,称为出厂配置。它用来保证设备在没有配置文件或者配置文件损坏的情况下,能够正常启动、运行。

当使用场景更改,或者设备出现故障时,可以将设备恢复出厂配置,仅保留.bin和License文件和apimge文件夹。

5.5.4  软件更新

如果希望完善当前软件版本漏洞或者更新应用功能,需通过版本升级功能来实现,在该页面可以对设备版本进行升级。

升级前,请根据软件版本说明书找到和本设备匹配的软件(必须为IPE文件),并将它保存到您的登录终端,可以从H3C官网获取最新的软件版本。

5.5.5  重启

在该页面可以手动重启设备,有两种重启方式。

·     保存配置后重启,重启后设备依然保持当前配置。

·     不进行任何检查直接重启,未保存配置在设备重启后会丢失。

设备重启需5分钟左右。重启完成后,请重新登录Web。

5.5.6  关于

在该页面可以查看设备的信息。

1. 本设备

·     设备名称。

·     设备序列号。

·     设备型号。

·     设备描述。

·     设备位置。

·     联系方式。

2. 版本信息

3. 电子标签

4. 法律声明

6 工具

6.1  调试

系统提供了诊断信息收集功能,便于用户对错误进行诊断和定位。

6.2  Ping

6.2.1  IPv4\IPv6 Ping

通过使用Ping功能,用户可以检查指定地址的设备是否可达,测试链路是否通畅。

Ping功能是基于ICMP(Internet Control Message Protocol,互联网控制消息协议)协议来实现的:源端向目的端发送ICMP回显请求(ECHO-REQUEST)报文后,根据是否收到目的端的ICMP回显应答(ECHO-REPLY)报文来判断目的端是否可达,对于可达的目的端,再根据发送报文个数、接收到响应报文个数以及Ping过程报文的往返时间来判断链路的质量。

6.2.2  RF Ping

RF Ping即无线链路质量检测,AP根据客户端上线时协商的速率集,以每个速率发送5个空数据报文进行链路质量检测。AP根据客户端的响应报文可以获取AP客户端之间的无线链路质量信息,如信号强度、报文重传次数、RTT(Round-Trip Time,往返时间)等。

无线链路质量检测的超时时间为10秒,如果AP在超时时间内没有完成链路质量检测,将无法得到链路质量检测结果。

6.3  Tracert

通过使用Tracert功能,用户可以查看IP报文从源端到达目的端所经过的三层设备,从而检查网络连接是否可用。当网络出现故障时,用户可以使用该功能分析出现故障的网络节点。

6.4  无线报文捕获

无线报文捕获是一种报文捕获及分析特性,该特性能够捕获设备接口的入方向报文并对报文进行解析处理,便于用户分析接口接收到的报文;还可以将报文数据存储为pcap格式的文件,方便用户后续查看。

目前支持以下两种报文捕获的方式:

·     本地报文捕获

本地报文捕获方式下,设备将捕获的报文自动上传到FTP服务器。

·     远程报文捕获

远程报文捕获方式下,设备与第三方报文捕获软件客户端建立连接,并将捕获的报文发送给捕获软件客户端,供用户在捕获软件客户端上查看。捕获软件客户端连接到AP的RPCAP服务端口,就可以获取到指定的Radio口捕获的从客户端发往AP的报文。

6.4.1  无线报文捕获过滤规则

无线报文捕获可以使用捕获过滤表达式指定捕获过滤规则,对进入指定物理接口的报文进行过滤,满足捕获过滤规则的报文则被捕获。捕获过滤规则由关键字、逻辑操作符、运算操作符和比较操作符等组合而成。有关无线报文捕获更多规则的详细介绍,请参见网址:http://wiki.wireshark.org/CaptureFilters。

6.4.2  关键字

捕获过滤规则使用的关键字分为常量关键字和变量关键字。

1. 常量关键字

常量关键字是固定的字符串,可以分为以下几类:协议类型、传输方向和传输方向的类型等。

表6-1 常量关键字

常量关键字类型

描述

关键字

协议

捕获指定的协议报文。如果没有指明协议类型,默认捕获所有Packet Capture支持的协议

支持的协议有:ip,ip6,arp,tcp,udp,icmp等

报文传输方向

捕获指定传输方向的报文。如果没有指定本关键字,默认报文传输方向为源或目的方向

·     src:表示源方向

·     dst:表示目的方向

·     src or dst:表示源或目的方向

报文传输方向类型

捕获指定的报文传输方向类型的报文。如果没有指定本类关键字,默认报文传输方向类型为主机

·     host:表示主机

·     net:表示网段

·     port:表示端口号

·     portrange:表示端口号范围

特殊关键字

-

·     broadcast:表示捕获广播报文

·     multicast:表示捕获组播报文、广播报文

·     less:表示小于等于

·     greater:表示大于等于

·     len:表示报文长度

·     vlan:表示捕获VLAN报文

 

2. 变量关键字

变量关键字形式固定,但内容可变。捕获过滤规则的变量关键字不可以单独使用,其前需要使用常量关键字对其进行修饰。

需要注意的是,所有的协议类型常量关键字、broadcast和multicast关键字不能对变量关键字进行修饰。其它的常量关键字不可单独使用,其后需要使用变量关键字。

表6-2 变量关键字

变量关键字类型

举例

整型

将整型用二进制、八进制、十进制或十六进制形式表示。例如:port 23,表示端口号为23

整型范围

将整型范围用二进制、八进制、十进制、十六进制形式和“-”表示。例如:portrange 100-200,表示端口号范围为100到200

IPv4地址

使用点分十进制格式表示。例如:src 1.1.1.1,表示源主机IPv4地址是1.1.1.1(在没有指定报文传输方向类型时,报文传输方向类型默认为host)

IPv6地址

使用冒号分十六进制格式表示。例如:dst host 1::1,表示报文的目的主机IPv6地址是1::1

IPv4网段

使用IPv4地址和掩码或者IPv4网络号表示。以下两种表达式等价:

·     src 1.1.1,表示源主机的IPv4网段为1.1.1

·     src net 1.1.1.0/24,表示源主机的IPv4网段为1.1.1.0/24

IPv6网段

使用IPv6地址和网络前缀表示。例如:dst net 1::/64,表示目的IPv6网段为1::/64

·     需要注意的是,指定IPv6网段变量关键字时,必须指定net常量关键字

 

6.4.3  捕获过滤操作符

1. 逻辑操作符

逻辑操作符的逻辑运算顺序为从左到右,下表为逻辑操作符的分类举例。

表6-3 逻辑操作符

逻辑操作符

描述

!或者not

非操作符。表示对捕获过滤规则取反操作

&&或者and

与操作符。表示连接多个捕获过滤规则。当此操作符连接多个过滤规则时,报文若符合此操作符连接的全部过滤规则,才会过滤成功,否则,过滤失败。

||或者or

或操作符。表示对多个捕获过滤规则进行选择。当此操作符连接多个过滤规则时,报文若不符合此操作符连接的全部过滤规则,才会过滤失败,否则,过滤成功。

 

其中非操作符优先级最高,与操作符和或操作符的优先级相同。

2. 运算操作符

表6-4 运算操作符

运算操作符

描述

+

加法运算符,用来将其两侧的值加到一起

-

减法运算符,用来将它前面的数值中减去它后面的数值

*

乘法运算符,用来将其两侧的值相乘

/

除法运算符,用来将其左边的值被右边的值除

&

按位与,用来将其两侧的数值逐位进行比较产生一个新值。对于每一位,只有两个操作数的对应位都为1时结果才为1

|

按位或,用来将其两侧的操作数逐位进行比较产生一个新值。对于每一位,如果其中任意操作数中对应的位为1,那么结果位就为1

<< 

按位左移,用来将其左侧操作数的每位向左移动,移动的位数由其右侧操作数指定

>> 

按位右移,用来将其左侧操作数的每位向右移动,移动的位数由其右侧操作数指定

[ ]

取位运算符,与协议类型关键字结合使用。例如:ip[6],表示IP报文偏移6个字节后,取得的一个字节的值

 

3. 比较操作符

下表为比较操作符的分类举例。

表6-5 比较操作符分类

比较操作符

描述

=

相等,判断两侧操作数是否相等。例如:ip[6]=0x1c,表示捕获IPv4报文数据域偏移6字节,取得的一个字节值为0x1c的报文

!=

不等,判断两侧操作数是否不等。例如:len!=60,表示捕获报文长度不等于60字节的报文

大于,判断左侧操作数大于右侧操作数。例如:len>100,表示捕获报文长度大于100字节的报文

小于,判断左侧操作数小于右侧操作数。例如:len<100,表示捕获报文长度小于100字节的报文

>=

大于等于,判断左侧操作数大于等于右侧操作数;与常量关键字greater等价。例如:len>=100,表示捕获报文长度大于等于100字节的报文

<=

小于等于,判断左侧操作数小于等于右侧操作数;与常量关键字less等价。例如:len<=100,表示捕获报文长度小于等于100字节的报文

 

6.4.4  捕获过滤表达式

捕获过滤表达式由关键字、逻辑操作符、运算操作符和比较操作符之间的多种组合而成。以下为典型捕获过滤表达式:

1. 逻辑操作符表达式

由关键字和逻辑运算符组合的捕获过滤表达式。例如:not port 23 and not port 22,表示捕获端口号既不是23,又不是22的报文;port 23 or icmp,表示捕获端口号是23或icmp协议的报文。

由逻辑操作符连接的多个变量关键字,可以使用同一个常量关键字进行修饰(就近原则),例如:src 192.168.56.1 or 192.168.27,表示捕获的源IPv4地址为192.168.56.1或者源IPv4网段为192.168.27的报文。上述表达式与“src 192.168.56.1 or src 192.168.27”等价。

2. expr relop expr表达式

由关键字、运算操作符和比较操作符组合的捕获过滤表达式。其中,expr是算术表达式;relop为比较操作符。例如:len+100>=200,表示捕获长度大于等于100字节的报文。

3. proto [ expr:size ]表达式

由协议类型关键字和运算操作符“[ ]”组合的捕获过滤表达式。其中,proto表示协议类型,expr为算术表达式,表示偏移量,size为整数,表示字节个数,缺省值为1。proto [ expr:size ]的返回值为从proto协议报文数据区域起始位置,偏移expr个字节开始,取size个字节的数据。例如: ip[0]&0xf != 5,表示捕获第一个字节与0x0f按位相与得到的值不是5的IP报文。

expr:size也可以使用名字表示。例如:icmptype表示ICMP报文的类型域,则表达式:icmp[icmptype]=0x08,表示捕获icmp的type字段的值为0x08的报文。

4. vlan vlan_id表达式

由关键字vlan,逻辑操作符等组合的捕获过滤表达式。其中,vlan_id为整型,表示VLAN编号。例如,vlan 1 and ip6,表示捕获VLAN编号为1的IPv6报文。

需要注意的是:

·     如果用户需要对带VLAN的报文进行捕获过滤,必须使用此类捕获过滤表达式且关键字vlan要在其它捕获过滤条件之前指定,否则不能正常过滤。例如:icmp,表示捕获不带vlan的icmp报文。

·     如果捕获过滤规则之前没有指定vlan,则认为这些捕获过滤规则只对不带vlan的报文进行捕获过滤,即对带vlan的报文不捕获。例如:

¡     !tcp and vlan 1:表示捕获不带vlan标记的tcp报文以外的且属于vlan 1的报文。

¡     icmp and vlan 1:icmp表示捕获不带vlan标记的icmp协议报文,而vlan 1表示捕获vlan标记为1的报文,所以该捕获过滤表达式前后矛盾,因此不会收到任何报文,对于此类捕获过滤规则,只要没有语法错误,命令行均会下发成功,用户需要自己保证逻辑的正确性。

 

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们