WLAN

安全策略的分类 WLAN的安全方案中，可以根据三个平面进行分类，分别是管理平面安全、控制平面安全和转发平面安全 WLAN安全策略，能够有效防止信息被窃取，防止未经授权的访问，提供稳定高效的无线接入。 篇幅受限，本篇笔记主要记录控制平面的安全策略。 控制平面的安全策略主要包括以下几个方面： 1. 无线用户接入安全 用户接入安全面向的就是STA上线过程中可能发生的安全问题。其安全策略主要包括WEP、WPA、WPA2、WPA3和WAPI等 WEP Wired Equivalent Privacy（有线等效加密协议），由802.11标准定义，采用RC4加密算法。RC4是一种密钥长度可变的流加密算法，系统生成24位的初始向量，WLAN服务端和客户端上配置40位、104位或128位密钥，将两者进行校验和得到最终用于加密的密钥为64位、128位或152位。 WEP安全策略主要涉及链路认证和数据加密 在STA上线过程中提到，链路认证分为开放系统认证和共享密钥认证。 在WEP中，如果选择开放系统认证，那么用户不需要任何认证，即可关联到该无线网络，关联上以后，可以选择是否进行数据加密，若选择数据加密，则要通过配置静态的共享密钥，实现数据加密。但是，在同一SSID下的用户，使用的是同一个静态共享密钥，因此安全性大大降低。 如果选择共享密钥认证，STA和AP需要预先设置好共同的密钥，AP在链路认证中验证两边的密钥是否相同。用户上线后，若要选择数据加密，则使用刚刚设置好的密钥进行加密，即链路认证和数据加密使用的是同一个密钥，同样地，同一个SSID下的所有用户都使用同一个密钥进行加密。 由于WEP共享密钥认证采用的是基于RC4对称流的加密算法，需要预先配置相同的静态密钥，无论从加密机制还是从加密算法本身，都很容易受到安全威胁。 WPA/WPA2 了解决这个问题，在802.11i标准没有正式推出安全性更高的安全策略之前，Wi-Fi联盟推出了针对WEP改良的WPA。WPA的核心加密算法还是采用RC4，在WEP基础上提出了临时密钥完整性协议TKIP（ Temporal Key Integrity Protocol）加密算法，采用了802.1X的身份验证框架，支持EAP-PEAP、EAP-TLS等认证方式。随后802.11i安全标准组织又推出WPA2，区别于WPA，WPA2采用安全性更高的区块密码锁链-信息真实性检查码协议CCMP（Counter Mode with CBC-MAC Protocol）加密算法。 目前，WPA和WPA2都可以使用TKIP或CCMP加密算法，以达到更好的兼容性，它们在安全性上几乎没有差别。 WPA/WPA2安全策略涉及链路认证、接入认证、密钥协商和数据加密。 WPA/WPA2的链路认证只支持开放系统认证 接入认证 接入认证又分为企业版和个人版，区别就在于是否有单独的用户认证服务器用来对用户进行认证。 WPA/WPA2支持基于EAP-TLS和EAP-PEAP的802.1X认证方式 基于EAP–TLS的802.1X认证流程图： 基于EAP-PEAP的802.1X认证流程图： 数字证书 图中有讲到证书的验签，这里介绍一下数字证书的原理。 在通信过程中，为了确保通信的保密性，往往会使用一些加密算法对通信数据进行加密，例如对称加密、非对称加密算法等。而这些加密算法需要通信双方交换密钥，这里就存在一个问题，如果有一个中间人，冒充其中一方，与对方交换密钥，如果没有验证对方的身份，那么后续的通信就会被中间人所截获。因此，数字证书就是为了验证身份而产生的。 为了确认通信双方身份，需要一个权威的第三方来进行公证，例如CA，权威机构CA会颁布数字证书，让通信的双方通过这个证书来确认对方的身份。 下面以客户端C和服务端S通信为例，说明数字证书在中间的作用。 首先服务端S要到CA处申请一个数字证书。S首先自己生成一对公私密钥，将公钥 、组织信息、个人信息（域名等）一起提交给CA机构（不会提交私钥），CA机构拿到这个信息摘要后，查验其真实性、合法性，然后CA用自己的私钥给信息摘要签一个名（准确的说是先将信息摘要进行hash求散列值，再将散列值进行私钥签名），把该签名、申请人S组织信息和个人信息（信息摘要）、证书有效时间等，生成一个证书，发送回给服务端S。 S获取到证书后，便可以与其他客户端进行通信。 C向S发起通信请求，S会将获取的证书发送给C。C收到该证书，发现上面有CA机构的一个签名，使用CA机构的公钥（各大浏览器和操作系统会存放各大权威机构的公钥）进行解密，得到S的信息摘要的散列值Hash_A；同时，前面提到，证书上是有S的信息摘要的（明文公开的），C通过相同的hash算法（证书上也会写明），得到摘要信息的散列值Hash_B，通过对比Hash_A和Hash_B是否相等，即可判断服务端S身份是否合法。 若合法，C通过证书拿到了S的公钥，便可以进行后续的密钥交换和通信过程。 对于一些中小型的企业或个人，部署一台认证服务器成本较高，因此WPA/WPA2提供了一种简化模式，即WPA/WPA2预共享密钥（WPA/WPA2-PSK）模式，仅要求在每个WLAN节点（WLAN服务端、无线路由器、网卡等）预先输入一个预共享密钥即可。只要密钥吻合，客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程，而不用于加密过程，因此不会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。 使用认证服务器时，PMK就是通过协商得到，若使用预共享密钥，则PMK=PSK。PMK会在后续的加密密钥协商中有很大用处。 密钥协商 该过程协商的密钥是指用于后续数据加密所用的密钥，该阶段定义了两种密钥模型： 一种是成对密钥层次结构（对应PTK，Pairwise Transient Key），主要用来加密STA与AP之间往来的单播数据； 一种是群组密钥层次结构（对应GTK，Group Temporal Key），主要用来加密STA与AP之间的广播或组播数据。 PTK和GTK的产生，是根据接入认证阶段生成的成对主钥PMK（Pairwise Master Key）产生。两个密钥的协商过程如下：...

VLAN Pool 把多个VLAN放在同一个池中并提供分配算法的VLAN分配技术 目前一个SSID只能对应一个VLAN，一个VLAN对应一个子网，如果大量用户从某一区域接入，只能扩大VLAN的子网，保证用户能够获取到IP地址。这样带来的问题就是广播域扩大，导致大量的广播报文（如：ARP、DHCP等）带来严重的网络拥塞。 基于此问题考虑，一个SSID需要能够对应多个VLAN，把大量用户分散到不同的VLAN，减少广播域。VLAN Pool提供多个VLAN的管理和分配算法，实现SSID对应多个VLAN的方案。 VLAN Pool有两种分配算法：顺序分配算法和HASH分配算法 顺序分配算法：把用户按上线顺序依次划分到不同的VLAN中，用户上下线用户VLAN容易变化，IP地址变更。 HASH分配：根据用户MAC地址HASH值分配VLAN，用户分配的VLAN固定，可能导致VLAN间用户划分不均匀，有的VLAN用户较多，有的较少。 分配VLAN的流程： 用户终端从某个VAP（Virtual Access Point，在物理AP上虚拟出多个AP，每个虚拟AP就是一个VAP）接入，判断该VAP是否绑定VLAN Pool 如果该VAP对应的模板绑定了VLAN Pool，使用VLAN Pool的分配算法分配一个VLAN，VLAN Pool根据分配算法进行分配 给终端分配一个VLAN 终端从分配的VLAN上线 应用举例： 漫游技术 WLAN漫游指的是STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为 实现WLAN漫游的两个AP需要使用相同的SSID和安全模板，认证模板的认证方式和认证参数也要配置相同。 漫游相关概念 AC内漫游：如果漫游过程中关联的是同一个AC，这次漫游就是AC内漫游。 • AC间漫游：如果漫游过程中关联的不是同一个AC，这次漫游就是AC间漫游。 • AC间隧道：为了支持AC间漫游，漫游组内的所有AC需要同步每个AC管理的STA和AP设备的信息，因此在AC间建立一条隧道作为数据同步和报文转发的通道。AC间隧道也是利用 CAPWAP 协议创建的。如图所示，AC1和AC2间建立AC间隧道进行数据同步和报文转发。 漫游组服务器 STA在AC间进行漫游，通过选定一个AC作为漫游组服务器，在该AC上维护漫游组的 成员表，并下发到漫游组内的各AC，使漫游组内的各AC间相互识别并建立AC间隧道。 漫游组服务器既可以是漫游组外的AC，也可以是漫游组内选择的一个AC。 一个AC可以同时作为多个漫游组的漫游组服务器，但是自身只能加入一个漫游组。 漫游组服务器管理其他AC的同时不能被其他的漫游组服务器管理。也就是说如果一个 AC是作为漫游组服务器角色负责向其他AC同步漫游配置的，则它无法再作为被管理者接受其他AC向其同步漫游配置（即配置了漫游组就不能再配置漫游组服务器）。 漫游组服务器作为一个集中配置点，不需要有特别强的数据转发能力，只需要能够和各个AC互通即可。 家乡代理 能够和STA家乡网络的网关二层互通的一台设备。为了支持STA漫游后仍能正常访问家乡网络，需要将STA的业务报文通过隧道转发到家乡代理，再由家乡代理中转。 STA的家乡代理由HAC或HAP兼任，如图所示，用户可以选取AC1或AP1作为STA的家乡代理。 漫游类型 WLAN漫游分为二层漫游和三层漫游：...

WLAN简介 WLAN即 Wireless LAN，无线局域网，广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络；狭义上一般指使用 WIFI 技术基于802.11标准系列，利用高频信号（2.4GHz或5GHz）作为传输介质的无线局域网，也是这篇笔记的主要探讨点。 WIFI 作为广义 WLAN 的一种实现技术，其实现相对简单、通信可靠、灵活性高和实现成本相对较低等特点，成为了WLAN的主流技术标准，Wi-Fi技术也逐渐成为了WLAN技术标准的代名词。这篇笔记主要也是记录以 WI-FI 为实现技术的 WLAN 。 WI-FI 世代与 IEEE 802.11 标准： IEEE 802.11 标准聚焦在 TCP/IP 对等模型的下两层： 数据链路层：主要负责信道接入、寻址、数据帧校验、错误检测、安全机制等内容。 物理层：主要负责在空口（空中接口）中传输比特流，例如规定所使用的频段等。 WLAN 基本概念 STA（Station）：支持802.11标准的终端设备，例如带无线网卡的电脑、支持 WLAN 的手机等。 AP（Access Point）：为STA提供无线接入服务，起到有线网络和无线网络的桥接作用。一般支持 FAT AP、FIT AP 和云管理 AP三种 FAT AP：适用于家庭，独立工作，需单独配置，功能较为单一，成本低。独立完成用户接入、认证、数据安全、业务转发和QoS等功能。 FIT AP：适用于大中型企业，需要配合AC使用，由AC统一管理和配置，功能丰富，对网络维护人员的技能要求高。用户接入、AP上线、认证、路由、AP管理、安全协议、QoS等功能需要同AC配合完成。 云管理AP：适用于中小型企业，需要配合云管理平台使用，由云管理平台统一管理和配置，功能丰富，即插即用，对网络维护人员的技能要求低。 AC（Access Controller）：一般位于网络的汇聚层，对 WLAN 中所有的 FIT AP 进行控制和管理。 CAPWAP（Control And Provisioning of Wireless Access Points）：实现 AP 和 AC 之间互通的一个通用 封装和传输机制 。 PoE（Power over Ethernet）：通过以太网进行供电，也被称为基于局域网的供电系统 PoL（Power over LAN）。它允许电功率通过传输数据的线路或空闲线路传输到终端设备，在 WLAN 中，可以通过 PoE对 AP 设备进行供电。 WLAN 架构 WLAN 网络架构分为 有线侧 和 无线侧 ，有线侧是指 AP 上行到 Internet的网络使用以太网协议，无线侧是指 STA 到 AP 之间的网络使用802....

什么是射频管理 射频资源管理RRM（Radio Resource Management）能够实现自动检查周边无线信号环境、动态调整信道和发射功率等射频资源、智能均衡用户接入，从而降低射频信号干扰，调整无线信号覆盖范围，使无线网络能够快速适应无线环境变化，确保用户接入无线网络的服务质量，保持最优的射频资源状态。 WLAN技术是以射频信号（例如频率为2.4GHz或5GHz的无线电磁波）作为传输介质的，无线电磁波在空气中的传播会因为周围环境影响而导致无线信号衰减等现象，进而影响无线用户上网的服务质量。通过配置射频资源管理，可以动态调整射频资源以适应无线信号环境的变化，提高用户上网体验。 射频管理包括： 射频调优、负载均衡、频谱导航、用户CAC、信道切换业务不中断和逐包功率调整等 射频调优 WLAN网络中，AP的工作状态会受到周围环境的影响。例如，当相邻AP的工作信道存在重叠频段时，某个AP的功率过大会对相邻AP造成信号干扰。通过射频调优功能，动态调整AP的信道和功率，可以使同一AC管理的各AP的信道和功率保持相对平衡，保证AP工作在最佳状态 射频调优包括： 动态调整AP信道 动态调整AP功率 调优的方式包括： 全局射频调优：AP域内所有AP动态分配合理的信道和功率，一般用于新部署WLAN网络或WLAN网络出现大面积环境恶化的情况。 局部射频调优：对指定的AP动态分配合理的信道和功率，一般用于新增AP或AP域内出现局部信号干扰的情况。 调整信道： 为了保证每个AP能分配到最优的信道，尽可能地减少和避免相邻或相同信道的干扰 信道调整除了用在射频调优功能，还可以用在动态频率选择DFS（Dynamic Frequency Selection）功能。 某些地区的雷达系统工作在5G频段，与工作在5G频段的AP射频信号会存在干扰。通过DFS功能，当AP检测到其所在工作信道的频段有干扰时，会自动切换工作信道。 信道 对于无线局域网，为了避免信号干扰，相邻AP只能工作在非重叠信道上。例如，2.4G频段可以划分14个交叠的、错列的20MHz信道 相较于2.4G，5G频段，频率资源更为丰富，AP不仅支持20MHz带宽的信道，还支持40MHz、80MHz及更大带宽的信道 40MHz信道是将两个相邻的20MHz信道捆绑在一起形成的。其中一个是主信道，另一个是辅信道。 80MHz信道是将两个相邻的40MHz信道捆绑在一起形成的。在80MHz带宽的信道中，必须选一个20MHz的信道作为主信道，那么这个主信道所在的40MHz信道中，剩余的20MHz信道称为辅20MHz信道，而不包含这个主信道的40MHz称为辅40MHz信道。 160MHz信道是将两个相邻的80MHz信道捆绑在一起形成的。在160MHz带宽的信道中，必须选一个20MHz的信道作为主信道，那么这个主信道所在的80MHz信道中，剩余的20MHz信道称为辅20MHz信道，不包含这个主信道的40MHz信道称为辅40MHz信道。不包含这个主信道的80MHz称为辅80MHz信道。5GHz频段至多可以划分出2个160MHz信道。 80+80MHz信道是将两个不相邻的80MHz信道捆绑在一起形成的，主信道和辅信道的划分与160MHz信道类似。相较于160MHz信道方案，80+80MHz信道方案可以在5GHz频段内划分出3个以上非重叠信道，可以用于蜂窝式信道规划，更加贴近实际无线网络部署的需要。 主信道用来发送管理报文和控制报文。只有当主信道空闲时，整个信道才是空闲状态。 调整功率： 在整个无线网络运行的过程中，根据实时的无线环境情况动态地分配合理的功率 AP的发射功率决定了其射频信号的覆盖范围，AP功率越大，其覆盖范围也就越大。传统的射频功率控制方法只是静态地将发射功率设置为最大值，单纯地追求信号覆盖范围，但是功率过大可能对其他无线设备造成不必要的干扰。因此，需要选择一个能平衡覆盖范围和信号质量的最佳功率。 实际案例 一次在做长ping测试时，发现有个区域的延时很不稳定，明明已经在AP底下进行测试了，但仍然会出现延时跳跃的情况，抬头看了一眼AP位置，发现其左右5M左右各有一个AP，进行功率调优后，平均延时便降了下来。 实现原理 全局调优 在射频调优时，合法AP需要收集周围合法AP、非法AP（指的是非本AC控制下的AP）和非WiFi设备的信息上报给AC。在AC上，AC根据这些信息形成网络中的AP设备的邻居关系，并根据邻居关系、干扰以及负载信息，运行DCA（Dynamic Channel Assignment）和TPC（Transmit Power Control）算法，生成AP新的发射功率和工作信道，再下发给AP使用。在这个过程中，邻居关系、DCA算法（信道调优）和TPC算法（功率调优）是三个关键技术点。 调优过程： 使能全局调优后，AC通知各个AP开始周期性的进行邻居探测。 AP进行周期性的邻居探测并将探测结果上报AC。 AC等待所有AP都上报邻居信息后开始运行全局调优算法为AP分配信道、功率。 AC向AP下发调优结果。如果是第一次启动全局调优，AC等待一段时间后根据新收集到的邻居信息再次启动全局调优，如此连续调优多次，可以使得调优结果尽快逼近最佳并稳定下来。 邻居探测 邻居探测的目的是收集周围合法AP、非法AP和非WIFI设备的信息。探测方式包括主动和被动两种方式 其中，合法AP的信息包括： 邻居关系：主动探测AP以最大发射功率在不同信道（比如，1、6、11）轮询发送Probe Request请求，收集周围有哪些邻居。 邻居干扰：AP在不同信道上轮询收集消息，消息包括Beacon、Data、Probe Request、Probe Response消息等，干扰强度的大小取这些消息中TOP20的信号强度的平均值。 邻居负载：AP上行和下行的吞吐率。 非法AP的信息：...