WLAN技术建议书模板(6)

WLAN终端身份认证主要有两种方式：开放系统认证（Open-system Authentication）和共享密钥认证（Shared-Key Authentication）。 开放系统认证是IEEE 802.11标准要求必备的一种方法，是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。在这种方式下，接入点并未验证工作站的真实身份，工作站以MAC地址作为身份证明，这种验证方式可以让所有符合802.11标准的终端都可以接入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN网络。 共享密钥式认证必需使用加密方式，要求每个WLAN终端都静态配置和AP完全一致的密钥（key）。由于配置工作量较大，一般适用于企业网、校园网及家庭网络等。 802.1x是一种基于端口的网络接入控制技术，该技术提供一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接网络。IEEE 802.1x本身并不提供实际的认证机制，需要和上层认证协议（EAP）配合来实现用户认证和密钥分发。EAP允许无线终端支持不同的认证类型，能与后台 不同的认证服务器进行通信，如远程接入用户服务（Radius）。 Protal认证是未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。 Portal+MAC认证具备“一次认证，永久使用”用户体验。用户首次登陆Portal页面成功认证后，如选择开通MAC认证，则后续只要关联WLAN就可以用任意应用上网。 二者对比如下： 认证方式 开放式系统认证 优点 部署简单，终端接入速度快，有效带宽高 劣势 安全性差：无法检验客户端是否合法，任何知道无线局域网SSID 的用户都可以访问网络 配置复杂，可扩展性不佳：每台终端和AP上都需要静态配置一个很长的密钥字符串 有效带宽较低：加密降低了传输效率 配置复杂 安全性不高 小型企业网、校园网及家庭网络等 大中型企业网、校园网 电信运营商、电信运营网络 适用场景 共享密钥式认证 安全性较高：采用了加密方式对密钥进行保护，空口密钥数据不再明文传输 802.1X认证 Portal认安全性高，可扩展性强 部署简单 证 Portal+MAC认证 安全性高，可扩展性强 只适合用于中小型网络 酒店网络 小型企业 4.5.2 用户身份验证 相对于简单的STA身份验证过滤机制，链路层用户身份验证的安全性大大提高。通过提供有限的访问权限来验证用户身份，只有确定用户身份后才给予完整的网络访问权限，可有效判别用户的合法性。链路层身份验证时透明的，能配合任何网络层协议使用。 WLAN的链路层身份验证主要有Portal(DHCP+WEB)、802.1X、PPPoE、WAPI等几种认证方式。 4.6 网络安全 4.6.1 组网保护 华为AC产品接口丰富，支持LACP（Link Aggregation Control Protocol，以下简称LACP）和MSTP（Multiple Spanning Tree Protocol，以下简称MSTP）等组网保护机制，可提供端口级冗余保护，及设备级1+1快速备份。 4.6.2 接入安全方案 华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证加密、WAPI认证加密等无线接入安全特性。 特性 WLAN安全模板管理 指标 ? ? ? 支持通过WLAN安全模板管理认证和加密方式。 支持安全模板绑定到ESS模板。 最多支持256个AP配置模板。 OPEN-SYS方式认证 WEP认证加密 支持“OPEN-SYS认证+无加密”方式。 ? ? ? 支持WEP的认证/加密方式。 每个AP最多支持4个WEP加密方式的VAP。 WEP认证加密在AP实施，认证结果通知AC。 特性 WPA/WPA2认证加密 指标 ? ? ? ? ? 支持AC集中认证方式。 支持“WPA/WPA2-PSK+TKIP”的认证/加密方式。 支持“WPA/WPA2-PSK+CCMP”的认证/加密方式。 支持“WPA/WPA2-802.1x+TKIP”的认证/加密方式。 支持“WPA/WPA2-802.1x+CCMP”的认证/加密方式。 支持AC集中式WAPI认证。 支持WAPI多信任证书方式（3证书），兼容传统双证书方式。 支持证书和私钥合一的发放方式。 支持WAPI加密的启用/禁用。 WAPI认证加密 ? ? ? ? 5 工程设计 此处根据项目标书要求简单介绍 建议的工程设计原则，内容上已经相对比较完善，请根据项目实际情况取舍。 WLAN无线局域网的网络工程设计主要包括：频率规划、覆盖规划、链路预算和容量规划等四个方面。 5.1 设计原则 一般来说，普通办公环境，要求中等密度连续覆盖时；或用户只对若干单个房间实现点覆盖的情况下，AP的规划较为简单，可由用户自行完成。比如，酒店的公共休息区，小酒吧，咖啡厅，会议室，西餐厅等区域，通常面积都不大（小于100平方米），每个场所放一个AP即可。或者从容量角度出发，确定所需AP数量后，选择适当位置摆放AP即可。 当在大面积区域，较为复杂的应用环境，且用户对传输速率和信号质量要求较高时，建设WLAN需要对AP的架设位置、AP采用频点、AP隔离距离、是否引入室分系统等进行专门的规划。 做一个WLAN的规划，第一步，应综合考虑覆盖和容量的两个方面的因素，在了解用户覆盖范围和覆盖密度要求的基础上，确定该网络预计的AP数量及摆放位置；第二步，再根据各AP的摆放位置，根据一定原则来确定各AP应设定占用的频点。 首先，从覆盖角度而言，需考虑现场的无线传播环境、空间面积、平面分布、建筑材料来确定单个AP在该空间内可能的覆盖范围。 其次，要收集预计该空间内客户端可能的用户数量与密度，应注意用户对数据速率的要求、同时联机数量等种种因素，这些因素都会影响到联机的质量和速率，故依实际环境的不同规划方式会有较大差异。 5.2 频点规划 基于IEEE802.11系列标准的WiFi拥有2.4GHz和5GHz两个频段，其中2.4GHz频段可选信道有14个，每个信道带宽为22MHz，只有3个信道相互之间无干扰，我国选用1、6、11等三个信道；5GHz频段可选信道为27个，我国选用149、153、157、161及165等五个信道。 在WLAN的工程部署中，往往需要多个AP，如果不同的AP工作在相同的频道，就可能形成同频干扰。为保证频道之间不相互干扰，在多个频道同时工作的情况下，就要求两个频道的中心频率间隔不能低于25 MHz。为了扩大覆盖范围和提高频谱利用率，WLAN也需要引入蜂窝结构，对于1、6和11三个信道交错使用，具体的覆盖示意图如下： 1：代表信道1 2：代表信道6 3：代表信道11 5.3 覆盖规划 华为WLAN网络覆盖规划包含以下步骤： a) 射频信号模拟测试（可选） 由于室内传播环境的复杂性，目前还没有成熟的规划工具可以精确的预测出室内覆盖的情况。另外室内覆盖使用的传播模型相对简单，在实际应用的各种场景需要进行适当的修正、调整以便更准确的进行覆盖预测。 根据方案设计和天线布设的原则将模拟信号源架设好，利用场强测试设备进行信号覆盖情况的测试。主要目的：确定该建筑信号传播特点、确定合适的天线位置。 b) 室内/外系统勘测 通过现场勘测确定站点的基本情况，了解建筑周围的传播环境，以明确选用何种部署方式（室内放装、室内分布和室外覆盖）。各区域的用途，帮助工程师确定容量、覆盖和业务质量要求，避免图上作业的局限。站点勘测可以帮助确定AP、天线安装位置，以及走线路由。 根据勘查计划，进行站点无线勘测。勘测过程中需要记录以下信息：周围无线传播环境条