hcnp-wlan cewa构建企业无线局域网络架构

以上列举了一部分 型应用场景，WLAN还能适用 的场景 根据新建作用域向导配置DHCP服务器，其中需要配置作 称，如图 配置要排除的地址范围、租期（未截图），根据向导配置完成其他项 右键单击新建的作用域，选择激，必须通过Option43来通告AC的IP地址IPv4报文是通过Option43来通过AC的IP地址的，IPv6报文则是通过Option52来通告配置option43过程。（只截取了重要的截图右键服务器选项，选择配置选项。如图1服务器选项的可用选项中找到043供应商特定信息，选中它。如图2 字符串 E32322E31怎么转换到，字符串从左往右。03是固定值,代表子选项类31表示ASCII值对应的1，39对应的是9，依次类推，2E表示配置option43过程。（只截取了重要的截图右键服务器选项，选择配置选项。如图1服务器选项的可用选项中找到043供应商特定信息，选中它。如图2 字符串 E32322E31怎么转换到，字符串从左往右。03是固定值,代表子选项类31表示ASCII值对应的1，39对应的是9，依次类推，2E表示然后选择下面的一条命令配置Option43就可以了[address]配置的是不参与分配的IP地址。，并通过DHCP协议中的option返回AC地址列表首先是AP发送discover广播报文，请求DHCPserver响应，在DHCP服务器到后向网络中发送一个DHCPrequest广播报文，告诉所有的offer，并重新发送该IP已被占用，AP会发送出一个DHCPDecline封包给DHCP服务器， DHCPdiscover报文。AP根据协商参数判断当前版本是否 版本，如果不 应changestateeventresponse。，AP进入“normal”管理隧 到AP收到echoresponse报文后 冲击下中断，提高链路的可靠性，需要配置CAPWAP管理报文的优先级为高优先级以避免管理通道可能缺省情况下，DTLS加密使用的预共享密钥为 到设备所在机房，推荐该升级方式。本文档体现的升级方式是 。 升级 件包和配置文件，重启AC后生上传新的升级软件包和配置文件到AC有以下4种方法、备份也是通过这4种方法。 令行升、 大型园区网最常用的上传方式，安全性高配置文件（也就是需要备份的配置文件）可以通过命令displaystartup查看。完整的备份配置步骤[AC6605]sshclientfirst-timeenable[AC6605]sftp1 #手工输入用户名，回Trying1 sftp-sftp-client>putac6605v200r003c00.ccac6605v200r003c00-配置转换工具只能转换.cfg后缀的文件，如果系统备份出来的是zip.cfg文件再转换配置转换工具操作步骤单击“Originalconfigurationfile（*.cfg）”后面的“Browse”，或者单击“File 。单击“Transform”，工具开始转换配置文件转换完成后，到转换路径下找到转换后的配置文件新的直接rebootfast重启设备即可，不要再次保存配置重启完成后，即可完成升级，后续可验证系统版本和业务状况看看升级是否成功 情况，推荐该升级方式细分为自动升级 升级。 比，升级时AP仍然可以正常工作，不影响业务。建议在白天让AP只版本，Web升级：适用于已经在AC上安装了Web，用户能够通过登录Web对AP本地升级FITAP：适用于AC无法管理AP，或者AP（本地uboot升级），不便于批量升级，一般不建议包配置完自动升级后，AP在上线时会自动升级包。当同型号所有AP升级完成后，会在命令行打印升级结果。然后再执行apupdatemulti-resetap-type19ap-groupdefault重启AP升级。上报升级结果的信息APupdateresult:Success:5Failure:域，导致该区域的用户接入多，对IP地址数目要求大；比如：场 、酒店的大堂 基于此问题考虑，一个需要能够对应多个VLAN，把大量用户分散到不同的VLAN减少广播域。VLANPool提供多个VLAN的管理和分配算法，实现对应多个VLAN的方在没有N之前，一种常见的场景，例如一个公司办公大楼（或者体育场馆大楼内布置了全面的。所有的办公人员都从大楼的正门大厅进入公司，在大厅所有人员的无线设备就开所有用户都是从一个VLAN接入，这个VLAN下的STA数目就会很多，相应的广播域区域下无线终端重新接入无线网络上线时，才会用到其它区域下VLAN对应的IP地易变化，IP地址变更用户终端从某个VAP接入，判断VAP是否有判断VLANPoolVLANPool有顺序分配和hash分配两种分配算法。给终端分配一个VLANVLANpool中可以配置VLAN分配算法。assignmenteven|hash隧道转发直接转发直接转发和隧道转发的优缺点是相反随板AC需要选用ENP板卡，既可管理自身接口下的AP也可管理其他接口板接入的。ACU2热备倒换速度比随板AC图的接口都加入了哪些VLAN举例中以4个AP为例，实际组网中会有很多个AP实际组网中会存在各类服务器，如Portal、RADIUS等，本例中简化描述，均未画出电IP地址池、AC源接口IP和域管理模板三项对于1号办公楼和21号楼用户的地址池范围～54/24、2号楼用户的地址池范围～54/24、 模板 也分别配置为building1和building2 VAP模板：三层旁挂式组网，多采用直接转发模式，业务数据流量不需要迂回到AC 各网络设备接口加入VLAN的信息直接参考大型WLAN组网图页面的组网图配置AC6605和S5700_1的一个接口为例，其他接口不赘述，请参考配直接连接AP的设备接口，即组网中S5700连AP的接口，需要配置porttrunkpvidvlan100。另外还可以配置port-isolateenable来配置端口 STA的地址池中不需要配置Option43、103、104。具体如下[S12700-Vlanif102]dhcpselectglobal[S12700-Vlanif102]quit[S12700-ip-pool-sta-pool2]quit[S12700-Vlanif103]dhcpselectglobal[S12700-Vlanif103]quit[S12700-ip-pool-sta-pool3]quit[S12700-Vlanif104]quitAC上配置的IPS12700上配置和AC同网段的IP是用来和AC国家码配置完成后，还需 到AP组下才能生效，下一页配置AP组为中国，所 了同一个域管理模板配置中出现的交互式信息请按照实际的回显选择Y即可和2号楼的，所以加入的AP组分别是building1和building2 导入AP完成后，可以通过displayapall来查看AP的State来了解APVLANpool中的VLAN分配算法为“hash”创建两个安全模板buiding1和building2创建两 模板buiding1和building2，为不同区域配置不同 配置中出现的交互式信息请按照实际的回显选择Y即可配置参考下面 -profilebuilding2配置中出现的交互式信息请按照实际的回显选择Y即可 AP组中。AP组中的所有AP就能统一进行配置，减少了一个个AP配置的重复工作至本页配置举例结束，AC6605在R6版本不需要在手动进行配置下发，配置会自动下。可以通过命令display ，如果是ON，表示VAP建立OK。此时可以使用无线终端来连接名为building1building2的无线网络可以通过displaystation building1和displaystation 着外界的影响而有比利用RF功能，通过在AP和STA之间进行数据包交互，对无线链路的传输质量进行检 的网络不通2、自动升级通常用于新部署的WLAN网络，AP还未在AC中上线的场景 升级用AP已经在AC中上线并已承载了WLAN业务的场景源紧张的组网场 独立盒式AC（AC6605）适用于有线和无线用户独立管理，overlay组网的场景什么是射频管理射频资源管理RRM（RadioResourceManagement）能够实现自动检查周边无线信环境、动态调整信道和 等射频资源、智能均衡用户接入，从而降低射频信号干扰，调整无线信号覆盖范围，使无线网络能够快速适应无线环境变化，确保用户接入无线网络的服务质量，保持最优的射频资源状态。WLAN技术是以射频信号（例如频率为2.4GHz或5GHz的无线电磁波），无线电磁波在空气中的会因为周围 什么是射频调优WLAN网络中，AP的工作状态会受到周围环境的影响。例如，当相邻AP的工作信道存在频段时，某个AP的功率过大会对相邻AP造成 功能，动态调整AP的信道和功率，可以使同一AC管理的各AP的信道和功率保持射频调优包括动态调整AP的信动态调整AP的功根据射频调优作用的全局射频调优：AP域内所有AP动态分配合理的信道和功率，一般用于新部署WLAN网络或WLAN网络出现大面积环境的情况。局部射频调优：对指定的AP动态分配合理的信道和功率，一般用于新增AP或 Selection）功能 系统工作在5G频段，与工作在5G频段的AP射频信号会存在干扰。通过 设置为最大值，单纯地追求信号覆盖范围，但是功率过大可能对其他无线设备造成不必要的干扰。因此，需要选择一个能平 非WiFi设备的信息上报给AC。在AC上，AC根据这些信息形成网络中的AP设备的邻居关系，并根据邻居关系、干扰以及负载信息，运行DCA（DynamicChannelAssignment）和TPC（TransmitPower Control）算法，生成AP新的 用。在这个过程中，邻居关系、DCA算法（信道调优）和TPC算法（功率调优）是三个 调优过程使能全局调优后，AC通知各个AP开始周期性的进行邻居探AP进行周期性的邻居探测并将探测结果上报ACAC等待所有AP都上报邻居信息后开始运行全局调优算法为AP分配信道、功率 算，具体的信息包括有合法AP的信息 在不同信道（比如，1、6、11）轮询发送ProbeRequest请求，收集周围有哪些邻居。邻居干扰：AP在不同信道上轮询收集消息，消息包括Beacon、Data、Probe邻居负载：AP上行和下行的吞吐AP的信息 邻居干扰：AP在不同信道上轮询收集消息，消息包括Beacon、Data、Probe AP收发的Data帧非WiFi设备的信息 邻居负载：非WiFi设备的负载使 扰的合法AP的负载Request帧，并进行多次发送（默认60ms内发6次），周围AP收到后感知到该AP 探测：AP接收邻居消息，以感知周边邻居AP的存在。探测主要用于合法AP收集AP间实际的干扰、AP的干扰、和非Wi-Fi设备的干扰。邻居信息收集主要收根据AP上报的探测结果，AC上可以描述出AP与周边设备的邻居关系，以及整个AC下所 AP以及非WiFi干扰设备）的邻居关系，如上图所示。为防止上报的数据过大，这里仅上报信号强度大于-85dBm的合法邻居和信号强度大于-80dBm的 邻居。这里探测的结果包括了此AP与其他合法AP、 AP之间的干扰强度以及包括负载等其他附属属AC在获得邻居关系拓扑，干扰以及负载信息后，通过DCA算法（信道调优）就可以为AP分配信道了。DCA算法本身是一种迭代算法：在每次迭代中，为待分配信道的AP选择不同的信道，并比较本次使用的信道与上次相比，是否满足性能提升则用本次选择的信道替换上次的信道，并且继续下一组信道的比较；如果不满足则使用上次使用的信道，并且继续下一组信道的比较。然而，实际组网时AP数是非常多的，AP的信道配置组合随AP数增加而成指数增加，如果直接这样迭代每个信道组合，效率和效果都非常差。全局信道调 的DCA算法中巧妙的将待分配信道的AP划分为若干AP组，在每次迭代时以每个局部信道调个分组信道为调优组生成一个信计算这个信道配置下评估组的综合干扰指数覆盖范围要求，又不能对邻居AP形成较大的干扰。算法AP之间几乎不能避免相互感知，只能通过CSMA竞争收发报文。重新检测邻居间的信号强度，如果邻居的干扰<最小干扰门限，根据两者差值大>配置AP的信道和发送功率自动选择功能执行命令rrm-profilenameprofile-name，进入RRM执行命令quit，返回WLAN执行命令radio-2g-profilenameprofile-name或radio-5g-profilenameprofile-name，进入2G或5G射频模板视图。执行命令rrm-profileprofile-name，将RRM模板绑定到2G或5G射频模板执行命令quit，返回WLAN视图射频调优功能有三种自动模式：设备会根据调优间隔（间隔由参数interval指定，缺省值是60分钟）定时模式：设备仅在每天指定时刻（由参数time指定）触发全局调优并将调优时间定为用户业务空闲时段（如当地时间凌晨00:00-06:00时段）。执行命令calibrateenable{auto[intervalinterval-value[start-timestart-time]]|位和WIDS功能生效{配置空口扫描信道集合。缺省情况下，空口扫描信道集合为AP对应国家码支持的缺扫描间隔时间为60000毫秒。持续时间为60毫秒。执行命令quit，返回WLAN视图执行命令radio-2g-profilenameprofile-name或radio-5g-profilenameprofile-name，进入2G或5G射频模板视图。执行命令air-scan-profileprofile-name，将空口扫描模板绑定到2G或5G射频模。执行命令quit，返回WLAN视图绑定到AP执行命令ap-groupnamegroup-name，进入指定AP执行命令 组2G或5G射频模板绑定到AP绑定到指定执行命令ap-specificnamespecific-name，进入指定AP 2G或5G射频模板绑定到AP在大中型WLAN网络当中，有的AP接入的用户数多，有的AP接入的用户数少。由于 使能负载均衡功能的AP必须连接到同一AC上，且STA能够扫描到相互进行负载均衡的 周期性地向AC发送与其关联的STA的信息，AC根据这些信息执行负载均衡过程。当STA一个AP的同一个射频只能加入到一个负载均衡组。图中AP是以单频AP（即AP仅支持一个射频：2.4G或5G）为例。如果是多频AP，则AP上相同频段的射频之间实现负载均衡。也就是说，一个双频AP每个负载均衡组内成员有限，最多支持16个成员 当STA向AP发起关联请求时，AC会首先判断是目前AP的接入用户数是否超出负载均衡起始门限，如果没有超出门限，则允许STA上线，如果超出门限，则根据负载均衡算法来决定是否允许STA接入。负载均衡算法如下：通过公式（当前射频已关联的用户数/当前射频支持的最大关联用户数）×100%，计算出均衡组内所有成员（即所有AP射频）的负载百分比，得到最小值。然后取STA预加入的AP射频的负载百分比与最小值的差值，并将此差值跟设置的负载差值门限（通过命令行配置）比较，如果差值小于预设置的负载差值门限，则认为STSTST继续APSTA接入。公式中的“当前射频支持的最大关联用户数”与AP的具体形态有关，用户可通过命displayap-type查看回显字 以静态负载均衡为例如上图所示，AP_1射频下有4 STA（STA_1～STA_4），AP_2射频下有1STA（STA_5），超过负载均衡起始门限5，AP1射频和AP2射频支持的最大关联用户数为10，配置的负载差值门限为5%，STA_6期望加入到AP_1。当STA_6向AP_1发起关联请求时，由于已经超过起始门限，则此时通过需通过负通过上面公式可以得出，AP_1射频的负载百分比为40%（4/10×100%=40%），AP_2射频的负载百分比为10%（1/10*100%=10%）。因此，负载百分值为10%。STA_6预加入到AP_1的负载百分比为50%（5/10×100%=50%），最小值的差值为40%（50%-10%=40%），大于负载门限值（5%），判断结果为 入静态负载均衡组视图。缺省情况下，系统没有静态负载均衡组执行命令member{ap-nameap-nameradioradio-id]}&<1-16>，向负载均衡组中添加AP射频。缺省情况下，静态负载均衡组中未添加AP射频。衡起始门限。缺省情况下，静态负载均衡组的负载均衡起始门限是10。值门限。缺省情况下，静态负载均衡组的负载差值门限为20%。（可选）执行命令deny-thresholddeny-threshold，配置静态负载均衡组的 大次数。缺省情况下， 关联最大次数为3。执行命令rrm-profilenameprofile-name，创建RRM态负载均衡的起始门限。缺省情况下，动态负载均衡的起始门限为10。负载均衡的差值门限。缺省情况下，动态负载均衡的差值门限为20。 终端关联最大次数。缺省情况下， 终端关联最大次数为3次。现网应用中，大多数STA同时支持2.4G和5G频段。当STA通过AP接入网络时，通常默认选择2.4G接入。这就导致信道本身就少的2.4G频段显得更加拥挤，负载高，干扰大；而信道多，干扰小的5G频段优势得不到发挥。特别是在高密度用户或者2.4G频段干扰较频谱导航实现分两阶段记录终端的频段能力判断是5G优先还是2.4G优先当AP从2.4G收到Probe请求时，如果在连续的一段时间内只能收到2.4G的Probe请求，则认为该终端只支持2.4G频段；否则认为该终端是双频终端。相同的逻辑也用于5G上的如果不把2.4G和5G上的负载情况进行比较，而总是将支持5G的终端引导到5G射频上可能会出现5G射频负载高，而2.4G射频负载轻的结果。 和5G射频之间的负载均衡。根据负载情况决定当前终端接入时是从2.4G优先接入还是从5G优先接入：首先判断AP的接入用户数是否超过起始门限（start-threshold），如果没有，则STA可以优先接入5G射频。如果超过，则AP将根据公式（5G射频接入的用户数–2.4G射频接入的用户数）/5G射频接入的用户数*100%，计算出两个射频间负载差值与双频间负载均衡的差值门限（gap-threshold）比较，从而判断让STA在哪个频段举例来说，当使能频谱导航功能后，如果STA在2.4G向AP发起关联请求，假设现在用户数超过start-threshold，则需要根据两个射频间的负载差值进行双频间的负载均衡。如果（5G射频接入的用户数–2.4G射频接入的用户数）/5G射频接入的用户数*100% gap-threshold，则优先使该用户在2.4G射频上线；反之，则优先使该用户在5G射频上。执行命令vap-profilenameprofile-name，创建VAP配置频谱导航相关参数执行命令rrm-profilenameprofile-name，创建RRM间负载均衡的起始门限。缺省情况下，双频间负载均衡的起始门限为10个。执行命令band-steerbalancegap-thresholdgap-threshold，配置频谱导航双频间负载均衡的差值门限。缺省情况下，双频间负载均衡的差值门限为20%。执行命令band-steerdeny-thresholdgap-threshold，配置频谱导航终端关联最大次数。缺省情况下，终端关联最大次数为5次。老化条件。缺省情况下，终端支持频段信息老化条件为AP连续只在同一频段收到终端的Probe帧次数超过35次。 署用户接入控制CAC（CallingAccessControl）功能，AP通过统计射频的信道利用 使用两个门限值，分别控制新增用户和漫游用户的接入。新用户接入时，检查当前的信道利用率、用户数目或终端信噪比是否达到新增用户的门限值，如果达到则新用户的接入，并可以隐藏 ，免他用搜到射提A服务。同时针对基于信道利用率和基于用户数这两种用户接入控制，为了保证用户能够漫游到此P，需要为漫游用户预留一定资源，但如果漫游用户过多，同样会影响在线用户的上网体验，这就需要漫游用户的门限值。当漫游用户接入时，只要未达到漫游用户门限，漫游用户都可以接入该射频。基于信道利用基于用户当WLAN网络整体信号覆盖。这两种CAC方式都可以和基于终端用户信噪比的CAC同时基于用户数的执行命令uacclients-numberenable，使能基于用户数的CAC功能[threshold]，配置基于用户数的CAC门限。基于信道利用率的执行命令uacchannel-utilizationenable，使能基于信道利用率的CAC功能执行命令uacchannel-utilizationthresholdaccessaccess-threshold[roam-threshold]，配置基于信道利用率的CAC门限基于终端用户信噪比的执行命令uacclient-snrenable，使能基于终端信噪比的CAC功能执行命令uacclient-snrthresholdthreshold，配置基于终端性噪比的CAC门限 有干扰，因此AP会自动调整信道，避免干 AP在信道需要切换时，会通知STA在固定beacon周期后进行信道切换，使AP和STA同时进入2G射频模板或5G射频模板执行命令undochannel-switchannouncementdisable执行命令channel-switchmodecontinue-transmitting，配置信道切换通告模式为的功率都保持一powerauto-adjustenable实时检测ST的信号强度，如果STA信号强度强（距离较近）送数据包时自动降低实际发送的功率；如果STA信号强度弱（距离较远）执行命令radio-2g-profilenameprofile-name或radio-5g-profilenameprofile-进入2G或5G射频模板视图答案：ABD答案：CD随着技术的提高，当前以802.11为标准的WLAN带宽，因此越来越多的用户开始使用WLAN网络但是由于WLAN无线侧数据是在空中自由 WLAN用户非常关心WLAN安全主要包括以 面边界防御安全：802.11网络很容易受到各种网络 户、Ad-hoc网络、 IntrusionDetectionSystem）可以检 的用户或AP；无线干扰防御系统（WirelessIntrusionPreventionSystem）可以保护企业网络和用户不被无线网络上 WLAN安全包含：边界防御安边界防御安全：802.11网络很容易受到各种网 的影响， 的AP用户Ad-hoc网络 服务 等。无线干扰检测系统WIDS（WirelessDetectionSystem）可以检测 IntrusionPreventionSystem）可以保护企业网络和用户不被无线网络上 。 WIDS：是无线检测系统（WirelessIntrusionDetectionSystem）的简称，用于实现对终端、的用户和无线网络的行为进行安全检测，可以检测出的 防护系统（WirelessIntrusionPreventionSystem）的简称，是基 WIDS/WIPS作用检测空口设备避免用户私设网检测flood ，提高AP设备服务安全仿 网络，避免用户被诱导接入不安全网络导检测flood ，提高AP设备服务安全802.11网络是一个开放的无线公共网络，可能着各种网络，如公司内授权私设AP导致的 、无线用户、Ad-hoc网络的干扰、仿冒AP的、恶意终端的服务型等，WIDS/WIPS特性功能就是监测和防范上述WLAN无线网络安全的技术。在实际大型的网络中部署WLAN，除了保证 WLAN接入的安全，还需要检测当前 的无线设备连接到网络中，并能够对这些 设备进行管控，限制设备的使用，保障合WIDS还支持 ，弱IV向量 2/WAPI的预共享密钥和WEP的共享密钥，及时发现网络的不安全因素，通过日志，统计信息以及告 式及时通知网络管理员。对于检测到的进行泛洪 的设备，AC可以将其加入 WLAN的设备检测可以实现对整个网络 WLAN的监测AP设备，并控制这些AP可以定期的对无线信号进 配 设备检测功能之前，需要先设置AP的工作模式AP射频的工作模式有两种normal：正常模式如果系统未开启空口扫描功能，该射频用于传输普通的WLAN业务数据 功能，可能会对传输普通的WLAN业务数据造成一定的影响。 控功能的WLAN业务，如WIDS、频谱分析和终端定位等。WLAN网络中需要监测的设备有AP、Client、Adhoc终端、无线网桥 AP：网络中 的AP，它可以是私自接入到网络中的AP、邻居 干扰AP：监测AP客户端：网络 或者 的客户端或不在本AC上线的客户端网桥：网络 或者 的网桥，不是本AC管理的WDS设备Ad-hocmode：把无线客户端的工作模式设置为Ad-hoc模式，Ad-hoc终端可以不需要任何设备支持而直接进行通讯，检测到的Adhoc网络设备均认为是 MonitorAP：网络中用于扫描 无线介质，并试图检测无线网络中 处于监测模式或混合模式的AP根据侦听到的802.11管理帧和数据帧，可以判断出周围802.11MAC帧由帧头（MACHeader）、帧主体（FrameBody）和帧校验（FCS）组成，主要依靠帧头中各属性字段的设置来确定帧的类 AP识别设备类型的方法针对管理帧对于ProbeRequest、AssociationRequest和ReassociationRequest帧：根据网络类型802.11MAC帧的FrameBody字段会携带此信息）来判断是Ad-hoc或STAAd-hoc设备：网络类型为独立型网STA：网络类型为基础型网络对于Beacon、ProbeResponse、AssociationResponse和ReassociationResponse帧：根网络类型（802.11MAC帧的FrameBody字段会携带此信息）来判断是Ad-hoc或APAd-hoc设备AP：网络类型为基础型针对数据报文监测所有802.11报文，根据数据报文的DS域来判断是Ad-hoc、无线网桥、STA或APAd-hoc设备：802.11MAC帧的FrameControl字段中的ToDS为0，FromDS也为0无线网桥：802.11MAC帧的FrameControl字段中的ToDS为1，FromDS也为1STA：802.11MAC帧的FrameControl字段中的ToDS为1，FromDS为0AP：802.11MAC帧的FrameControl字段中的ToDS为0，FromDS为1监测AP扫描信道监测周边的无线设备信息，通过侦听周围设备发送的wlan报文来搜集周边的无线设备信息，将收集到的设备信息定期上报AC，由AC进行设备的判短周期又称为即时上报周期，每个短周期，AP将新发现的周边设备信息上报AC，称为增量上报，短周期的“上报间隔”单位为秒，取值范围为10～3600，默认设置为300。120～360360（6小时，最2小时）实际的全量上报时机，AP会做随机延1-10分钟再生效，防止大量AP同时全量上报，避免大流量冲击AC而导致AC无法处理的情况。 终 识别：关联 AP的终端 终端，否则属于合法终端网 识别：同 识别Adhoc：所有adhoc都 设备 AP告警”，以SNMPtrap方式通知网络管理台， 设备安全类别分合法设备：非AC设备：非AC 检测到Rogue设备后，可以开 功能 对象模式，AP从无线控制器AC 列表，并对Rogue设备 Step1AC配 设备列表模式，同时使 功能Step2AC根据配置的 Step3监测AP根据AC下发 设备列表进 处理设备支持对三 设备进 AC判断设备为AP时，将AP告知监测AP。监测AP以AP的发送广播解除认证帧，这样，接入AP的STA收到解除认证帧后，就会断开与AP的连接。通过这种机制，可以STA与AP的连接。AC判断设备 用户终端、网桥和Adhoc时，监测AP使 设备的 或MAC地址，发送单播解除认证帧，断 设备的连接注：监测AP会根据自身的探测模式，对Rogue设备进行周期 对于中小型WLAN网络，为了及时发现WLAN网络中受到的 中，并发送告警信息上报至AC，上报的 设备的MAC地址、信道、 类型、RSSI等信息，从而及时通知管如上图所示的WLAN网络中，在提供WLAN接入服务的时候，可以同时启动WIDS攻 是指当AP在短时间内接收了大量的同一源MAC地址的同种类型的管理报或空数据帧报文时，AP的系统资源 检测是指AP通过持续的 每个STA的流量大小来预防泛洪 的上限时（例如1秒中接收到超过100个报文），该STA将被认为要在网络内泛洪，AP上报告警信息给AC。如果使能了动态 老化之前，AP丢弃该 注：系统缺省的 行为特征是，x=60秒内收到y=30个同类型报文（x、y可配置。AP支持对下列报文进行泛 检测认证请求帧AuthenticationRequest,去认证帧Deauthentication,关联请求帧AssociationRequest,去关联帧Disassociation,探测帧ProbeRequest,Action帧,EAPOLStart,EAPOL-Logoff,PS-Poll,802.11Null数据帧。 AP或 用户）冒充合法设备向STA 报文导致STA不能上线。 播型的去关联帧Disassociation和去认证帧Deauthentication。 检测功能后，当AP接收到上述两种报文，AP会检测报文的源地址是否为AP自身的MAC地址，如果是，则表示WLAN网络受到了解除认证报文或解除关联 ，AP会上报告警信息给AC。注 AP自己的MAC地址，所以 AP的真实MAC，故无法使用动态 时，对于每一个报文，在发送前都会使用一个3字节的初始向量IV（InitializationVector）和固定的共享密钥一起来加密报文，使相同的共享密钥产生不同的加密效果。如果AP使用了弱IV（当AP检测到IV的第一个字节取值为3～15分被明文发送，者很容易 出共享密钥后网络资源。弱向量检测通过识别每个WEP报文的IV来预防这种，当一个包含有弱向量的报文被注WeakIV检测不需要支持动 功能WEP认证方式由于存在公认的较高的安全风险，已经很少被使 法，又称为穷举法，是一种针对于的破译方法，即将进行逐个推算直到找出真正的为止。例如一个已知是四位并且全部由数字组成的，其可能共有10000种组合，因此最多尝试10000次就能找到正确的。理论上利用这种方法可以任何一种，问题只在于如何缩短时间。当WLAN网络采用的安全策略/2-PSK，WAPI-PSK，WEP-Share-Key时，者即可利 法来。 防范的处理流程Step1AC配置动 功能，以及配置动 的老化时间Step2AC下发动 使能标记、老化时间到对应APStep3AC上配置WIDS Step4AC下发检测模式、检测周期到对应APStep5AP根据AC下发 检测模式进 检测处理Step6AP检测到 设备的MAC地址和 清除Step7AP判断 Step8AC 类型进行统计，同时通过trap告警及时通 Step9AP收到动 信息后，丢弃动 中的用户报文Step10动 用户表项，根据预先配置的老化期（图中的惩罚期）自动老，当老化期到期后，自动删除，恢 者的正 Step11AC手动清除动 列表时候，需要下发到对应AP清除相关动态动。 后，自动将者放入 ，实现安全防护的。如果系统管理员事先已经确定了设备（终端或 的方式，手工的将设备MAC配置在用户静态，或者AP静 ，从而实现系统这些设备 的目的WLAN系统也可以采用白 供了基于用户和AP的白 空 动作AC收到AP上报的设备信息后，添加到设备列表中，同时根据，进行相应的类型统计以及TRAP告警。设备列表按时间顺序进行排序，达到规格后新增的设备覆盖以前检测到的设备。统计信息：AC收到AP上送的WIDS检测报文后，需要对各种类型进行统计，统计信息包括类型和数目。告警泛洪检测以及Spoof检测支持告警trap警信息中需要包含受到攻击的AP的MAC地址、设备的MAC地址、信道、类型。需要进行告警抑制AC判断检测到的是泛洪设备或者PSK ，同时打开了动态 AC将该设备添加到动态 列表中，AC需要同时下发到对应AP，AP丢弃该设备的报文。如果设备已经关联上AP，那么AP需要去关联此设备,驱动提供去关联接口 AP删除该 设备可能会被不同AP检测到，所以表项需要下挂检测AP的链表，老化机制是针对该AP生效。为了防止AC删除动态 发AP失败，导致AP的动态 一直存在，AC和AP使用相同的动态 接入WLAN网络的设备，还可以检 的设备动态加 接收其报文，从而保护合法用户 AP，有radio02.4G和Radio15G，在射频口下可以开启各种功能。创建WIDS模板：wids-profilenameprofile-name，创建一个WIDS模板并进入WIDS视图配置WIDS设备检测模Step1在AP执行命令ap-idap-id、ap-macap-mac或ap-nameap-name，进入AP视图执行命令radioradio-id，进入射频视图执行命令work-mode{normal|monitor}，配置AP射频的工作模式缺省情况下，AP执行命令quit，返回AP视图Step2在AP射频下使能设备检测功执行命令ap-idap-id、ap-macap-mac或ap-nameap-name，进入AP视图执行命令radioradio-id，进入射频视图执行命令widsdevicedetectenable缺省情况下，未使能AP执行命令quit，返回AP视图配置仿冒识别模在银行、机场等公共场所提供WLAN上网服务，用户搜索到后接入网络。但是如果存在私设AP，并设置与合法相同或相似的，用户有可能误接入到私设AP，存在安全隐患。为了解决此问题，可以配置的模糊匹配规则，识别出仿冒。设备检测到后，如果发现和规则匹配，则判断此是仿冒，判定该AP APStep1执行命令wids-spoof-profilenameprofile-name，创建一个 Step2执行命令spoof- fuzzy-matchregexregex-value，配置仿冒 Step3执行命令quit，返回WLAN视图Step4执行命令wids-profilenameprofile-name，进入WIDSStep5执行命令wids-spoof-profileprofile-name，应 仿冒识别规则模板WIDS模板缺省情况下，WIDS模板 仿冒识别规则模板配置WIDS白模 ，包括合法MAC地址表、合法OUI表和合法表。对于检测到的AP，如果在合法MAC地址表中存在，则判断其为合法AP；如果在合法MAC地址表中不存在，其OUI和使用的必须同时在合法OUI表和合法表中存在，才判断其为合法AP。操作步Step1执行命令wids-whi ist-profilenameprofile-name，创建一个WIDS白 模板视图。缺省情况下，系统不存在WIDS白 Step2执行命令permit-ap{mac-addressmac-address|ouioui| Step3执行命令quit，返回WLAN视图Step4执行命令wids-profilenameprofile-name，进入WIDSStep5执行命令wids-whi ist-profileprofile-name，应用WIDS白 缺省情况下，WIDS模板 WIDS 模板执行命令dynamic-blacklistenable，使能动态 配置WIDS设备模AC识别出设备后，可以配置AP对设备的功能，如果存在设备，则根据的模式，AP定时发送控制帧，断开合法用户接入设备的连接，或者断开用户的连接。当前AC支持对仿冒AP的，监测AP通过使用仿冒AP设备的MAC地址发送广播解除认证帧对仿冒AP进行，抑制合法无线用户和仿冒AP建立连接。支持对用户终端和Adhoc设备的，监测AP发送单播解除认证帧断开设备的操作步在AP组射频下使能设备ap-groupnamegroup-name，进入AP组视图radioradio-idwidscontainenable，使 设 功能wids-profilenameprofile-name，进入WIDS模板视图contain-mode{all|spoof- -ap|client[blacklist]|adhoc}，配置AP对 执行命令widsattackdetectenable{all|flood|weak-iv|spoof -psk 2-pskwapi-psk|wep-share-key}，在AP射频下使能 泛 检flood-detectintervalinterval置洪 检周省情况下，泛洪 检测周期为60。flood-detectthresholdthreshold，配置泛洪 缺省情况下，泛 检测周期内AP最多能接收同类报文的个数为300个flood-detectquiet-timequiet-time-value，配置检测到泛洪 缺省情况下，泛 检测的静默时间为600秒弱向 检weak-iv-detectquiet-timequiet-time-value，配置检测到弱向量密钥 缺省情况下，弱向 检测的静默时间为600秒检spoof-detectquiet-timequiet-time-value，配置检测 静默时间缺省情况下 检测的静默时间为600秒密 检brute-force-detectintervalinterval，配置 PSK密钥的检测周期为60秒。brute-force-detectthresholdthreshold，配置 缺省情况下 PSK密钥的检测周期内AP最多允许密钥协商失败的次数为20次执行命令brute-force-detectquiet-timequiet-time-value，配置检测到 缺省情况下，PSK认证方式 密 检测的静默时间为600秒WIDS业务中，WLAN设备的检测 实现的，所以承载WIDS业务的WIDS模板，需 到AP组或AP个性模板操作步Step1执行命令system-viewStep2执行命令wlan，进入WLAN视图Step3在AP组中或AP个性模板 WIDS模板在AP组 WIDS模板Step1执行命令ap-groupnamegroup-name，进入AP组视Step2执行命令wids-profileprofile-nameradio{radio-id|all}，在AP组 模板到指定射频缺省情况下，AP组下 WIDS模板多公司共大楼场景，如上图所示，公司A租用5楼办公，公司B租用4楼办公，以公司B将可以收到公司A的信号，此时公司B就需要将CorpA列入 或者避免公司正常WLAN系统扰的考虑，通常会规定办公场所内禁止私自部署WLANAP设备，此时需要启用WIDS功能，监测周边非自身系统的其他WLAN上图中，公司内有员工私自部署了AP设备（如私自部署了盒AP，或者将自己的智能终端使能AP功能）。图中左侧AP，其发射信号的为Jack，仅仅是为其自STA（如个人pad）提供无线服务，对公司WLAN系统可能产生干扰，也有公司信息资产的风险；右侧AP更为，它提供的与公司自身系统完全相同，冒充公司WLAN系统吸引公司设备建立连接，窃取公司信息资产。此时需要在公司WLAN系统上启用WIDS功能，并对仿冒自身的AP进行反制。即在AC上配置设备检测功能和功能后，监测AP通过收集周围设备的信息上报AC，AC判断出AP后告知监测AP，监测AP将会以AP的发送广播解除认证帧（Deauthentication），这样，接入AP的STA收到解除认证帧后，就会断开与AP的连接。通过机制，可以STA与AP的连接。 ，公司WLAN系统使能了WIDS功能后，就可以对洪泛 防范的效果。1、WLAN安全包含边界防御安2、泛 、spoof 、Weak 3 设 流程如下Step1Ad-hoc设备直接认定 设备Step2本AC管理APStep3在 中的AP，合法Step4其他 AP，触 AP告警 ，并且在企业内 ，产生严重的安全隐患因此，随着安全的不断升级，仅通过传统的安全措施已经远远不够，安全模型需要由模式向主动模式转变，从根源（终端）彻底解决 合在一起，通过检查、、加固和审计等，加强网络用户终端的主动防御能力，保证企业中每个终端的安全性，进而保护企业整网的安全性 准入服务器：准入服务器包括准入控务器、管理服务器、库服务器和补丁服务器，主要进行用户认证、终端安全检查、系统修复升级，终端行为审计等 客户端：RADIUS客户端一般位于NAS受 用户接入） 三个数据“Users”：用于 “Clients”：用 RADIUS客户端的信息（如接入设备的共享密钥、IP地址等。“Dictionary”：用 RADIUS协议中的属性和属性值含义的信息消息交互流程如用户发起连接请求，向RADIUS客户端发送用户名 RADIUS客户端根据获取的用户名 ，向RADIUS服务器发送认证请求包 在共享密钥的参与下由MD5算法进行 理RADIUS服务器对用户名和 进行认证。如果认证成功，RADIUS服务器向 RADIUS客户端根据接收到的认证结果接入 用户。如果允许用户接入，用户开 网络资源用户请求断开连接，RADIUS客户端向RADIUS服务器发送计费停止请求包用户结 网络资源 802.1X协议仅关注接入端口的状态。当合法用户（根据帐号和）接入时，该端口打开；当用户接入或没有用户接入时，该端口处于关闭状态。认证的结果在于端802.1X不仅支持基于端口的认证模式，还支持基于MAC的认证模式基于端口模式：当采用基于端口方式时，只要该端口下的第一个用户认证成功户也会被使用网络。802.1XEAP终结认证：由网络接入设备终结用户的EAP报文，解析出用户名和，并对802.1X支持以下端口控制方式自动识别模式：端口初始状态为非状态，仅允许EAPOL报文收发，不允许用户网络资源；如果认证流程通过，则端口切换到状态，允许用户网强制模式：端口始终处于状态，允许用户不经认证即可网络资强制非模式：端口始终处于非状态，不允许用户网络资源。完成认证 。 信息设备携带用户账户信息，到AAA认证通过后设备通知 设备认证成功后 Portal认证服务器从认证页面中将用户输入的用户名和提取后，通过Portal协议传送给接入设备。 Portal认证的基本流程如下缺省情况下，接入设备对未通过认证的流量都是deny未认证前，PC被重新定向到Portal认证页用户在Portal认证页面输入用户名 Web服务器与接入设备有一个认证过程Web服务器将用户名 通过接入设备发送给AAA服务器如果配置了安全策略，则客户端会与安全策略服务器交付，安全策略服务器会 设备的MAC地址具有全局唯一性，因此，利用MAC地址对设备认证是一个很好的思。络权它不需要用户安装任何客户端软件，用户名和都是用户设备的MAC地址，网络接入设备的MAC地址作为用户名和发送到AAA服务器进行认证，当然，在AAA服务器上必须首先配置了接入设备的MAC地址作为用户名和。AgileController是 Portal：Portal认证通常也称为Web认证，一般将Portal认证称为门户MAC认证:MAC认证是一种基于端口和MAC地址对用户的网络权限进行控制的户手动输入用户名或者。准入模型中，是条件和结果，条件是针对接入网络的主体（人、终端），与一些接入元素（地点、时间、接入方式等）的组合，结果是指在设备上当前只有基于RADIUS准入的802.1x、portalSACG 护的网络资源）。本文中只用了2个域，忽略 管理员在定制AnyOffice需要启用无线802.1X GuestVLAN。管理员增加了策略模板之后，在员 认证通过之后获取策略由AnyOffice自动执。如果终端用户屏幕保护设置与企业要求不一致，则由业务控制器向AC下 域应的ACL编号。在终端修 之后，由业务控制器向AC下发认证后域对应的ACL编。认证后允 的网络资源由ACL来控制 ]// 了方便AgileControllerRADIUS帐号的状态信息，例如上下线信息，强制帐号下线， accountingrealtime3配置实时计费周期为3min，计费周 500~999≥1000 ]undoradius-serveruser-name 1//配置域，绑定认证方案、计费方案和RADIUS 域[ACacl6001//认证前域对应AC上的ACL6001 其他网络系统[AC]free-rule-templatenamefree创建免认证模板操作增加接入设备单击右侧标题栏中的“增加输入接入设备的IP输入与AC上配置相同的RADIUS操作增加接入设备单击右侧标题栏中的“导入”在弹出的导入设备栏中，点击 模板”打 模板，输入必填项（带红色※号标志）点击“浏览操作在主菜单中选择“资源>用户管增加用户组 配 ：资源->用户管理普通帐号：即通常的用户名 的认证方式所用的帐号单个增加用户信息：依次输入账号 以及用户名信息 。MAC帐号：将用户所用终端的MAC地址作为用户名 进行认证MAC账号只适用于添加少量账号，如果要一次添加大量的账号，请使用导入功。配 ：策略->策略元素->时间段时间段配 ，其他策略可忽略此步骤在“时间段定义策略的生效时间配 ：策略->策略元素- AgileController的地点包含三个部分 、接入设备、IP段增使用无线接入时需要增 选择“策略>准入控制>策略元素 ”单击“增加”，输入“名称”和“描述” 可以在“策略>准入控制>认证 >认证规则”或者“策略>准入控制>认证 配 ：资源->用户->终端IP范围操作步骤选择“策略>准入控制>认 单击“增加设置认证规则的基本信息，根据接入用户的类型选择“业务类接入业务：适用于普通用户接入后获 网络的权限设备管理业务设置认证规则包括的根据认证规则的优先级，AgileController认证信息校验通过，则接入用户的接入过程从认证阶段进入在部署AgileController初期，缺省认证规则确保管理员在不同场景下能够接入网络 配置认证规则时帐号源(本地、AD/LDAP、RADIUS中继)认证协议配 ：策略->认 ->认证规则配 ：策略->认 结果用户通过认证阶段的检查后，AgileController将向用户 时，AgileController 操作选择“策略>准入控制>认 规则”单击“增加设 规则的基本信息，根据接入用户的类型选择“业务类型”接入业务：适用于普通用户接入后获 网络的权限设备管理业务根据规则的优先级，AgileController将用户接入的信息与规则的条件匹配。当用户接入的信息与某条规则的所有条件都匹配时，AgileController授予用户该条规则的结果定义的权限。在部署AgileController初期，缺省规则能够授予管理员网络权限。 注：当前Controller支持时间、地点、接入设备)、用户(帐号、角色、部门)、终端(类型、操作系统)、终端安全检查结果来进行，除安全检查结果外，其余都要预先组网 需求 使用Portal认证，安全模板下不需要加密 ]// 了方便AgileControllerRADIUS帐号的状态信息，例如上下线信息，强制帐号下线， accountingrealtime1配置实时计费周期为1min，计费周 500~999≥1000 ]undoradius-serveruser-name 配置重定向的 配置终端重定向会带上参 //。 ]shared-keycipherAdmin@123配置共享密 //绑定URL模板 //创建portal模板 ，即不同网段操作增加接入设备单击右侧标题栏中的“增加输入接入设备的IP输入与AC上配置相同的RADIUS输入与AC上配置相同的Portal密钥配 ：资源->用户管理 操作在右侧操作区域单击“加设置定制页面信息，访客Portal页面建议勾选“允许访客 ”，单击“下一步”选择喜欢的页面模板，在下方预览效果，并选择语言模板，单击“下一步单击“下一步（可选）定制PC页面，定制PC页面的操作与定制Phone页面相同单击“预览”、“测试”和“发布”发布功能会自动执行员工Portal模板不开发 ，使用固定账 接入，需提前配置用户认证信息此处没有勾选允许访客 ，相对访客页面，减少 的三个页面。和文字均可进行配置接入设配置认证用配 元配置认证规配 结配 规x为账 认证，需要优先配置账 ，配置dot1x认证模板，不需要页面AgileController-Campus可作为RadiusAgileController-Campus可使用外部源作为用户数AgileController-Campus支持与主备外部数据源联动，当主外部数据源服务器故障或者AgileController-Campus产品支持从外部AD/LDAP数据源同步帐号到本地的认证方式。由 份认证，同时还支持不同步帐号信息AgileController-Campus系统直接采用AD/LDAP协议 AgileController-Campus的认证和准入业务。AgileController-Campus提供了支持主、备数据源的可靠性设计，一旦AgileController-外部源认证特在大型网路中使用此类拓扑结构，方 人员对于用户接入的管理简化旧网改造后支持NovelleDirectory， AD域控制器，SunOne，JITGalaxy及遵循标准 AgileController-Campus不仅支持从 AD域控制器同步 到AgileController-Campus，还支持不从 AD域控制器同步用户组和帐号， AD域帐号完成认证。 LDAP服务器是一种基于 协议 服务器AD服务器也可以看成是一种LDAP服务器，它是使用LDAP的 角色类术语主要用于表示用户数据的层级结构描述类术语如 表示的DN/Enterprise/Agile。其中D ，OU是Enterprise，Group或User是Engineer。OU和Group都是一种容器，可容纳数据或别的容器OU可属于某 或者某个OUGroup可属于某 或者某个OUUser可属于某 或者某个OU或者某个Group通过对于层级的描述能描绘出特定数据所在位置，如Jack所在的路径就是/Enterprise/Jack，使用 表示就是 =Jack,OU=Enterprise,DC=AD,DC= LDAP是lightweightDirectoryAccessProtocol的缩写 服务以树状的LDAP可运行于WindowsServer，NovelleDirectory，SunOne，JITGalaxy等系统上AD=LDAP服务器+LDAP应用(Windows域控制器)协议，不同 服务器之间也能共享数据目前使用最为广泛 服务器是AD服务器AD 的独有技术在计算机网络术语中，代表网络上对象信息的一种层次结构。网络上的对象包 全方针等。服务能够把中的信息提供给管理员、用户、网络服务、或应用AD是由组织单元(OU)，域 )，域树(Tree)，森林(Forest)构成的层次结构AD与DNS紧密相连有利于在TCP/IPAD以标准进入协议为基础，因此它可以与使用这些协议的其他服务相互操作，AD创建OU创建组(可选)创建用户将用户划入特定组(可选，使得结构更清晰)创建同步账户创建认证账户(可选)设置认证账户的SPN属性(可选)查询根节点DN在网络拓扑发生变化后可以直接 服务器作为接入认证服务器使用，减少了网络造的复杂度AgileController与外部源对接同步的本质就是将特定 结 到Agile上使用同步方式的外部源对接可以对数据结构进行2次加工，使得数据结构能够更加合相对于直接使用不同步方式进行认同步方式的外部源对接只同步账号信息，不同 AgileController使用外部数据源认证，最主要的就是用户账号信息的同步按OU同步：表示业务管理器从 AD域控制器同步部门和账号信息，并且 AD域控制器中的OU节点及该节点中的账号。 AD域控制器同步部门和账号信息，并且 AD域控制器中的OU节点及该节点中的组所定义的账号。 AD域控制器同步部门和账号信息，但终 AD服务器作为windows下最常用 特定用户组或者OU。配置AD：在AgileController上配置AD服务器与AgileController的连接属性同步范围：配置AgileController与AD同步任务注本课程主要描述如何在AgileController上配置对接参数AD/LDAP服务器配置不做详述不同的服务器类型所需配置的参数不同步类型：1.按OU同步，2.按组同步，3.按过滤条件同步，4.不同步。数据同步时，不同的同步类型会产生不同的数据结构，默认使用按OU同步。认证源名称：用于标识不同 服务器，名字必须唯一端口：默认使用UDP/TCP389 ：同步 服务 基准DN：RootDN,用于表示域根的路径，DC=AD,DC= /。同步账号：用于登陆服务同步：用于登陆同步账号和可以是任意账号和，但如果基准DN没有选择 AD域同步范围根据连接配置时同步类型选择的不同，可分为：1、按OU同步；2、按组同步3、按条件过滤按OU同步：用OU源DN：用于表示被同步的用户信息是 服务器的哪些路径下目标部门：用于表示被同步的用户信息放置到Controller的哪个路径下同步范围根据连接配置时同步类型选择的不同，可分为：1、按OU同步；2、按组同步3、按条件过滤按组同步目标部门：用于表示被同步的用户信息放置到Controller的哪个路径下组DN：用于表示被同步的用户组信息实 服务器的哪些路径下源DN：用于表示被同步的用户信息是 服务器的哪些路径下 服务器对于OU以及group的类型数据结构映射主部门映射用于决定哪类type用户映射用于决定哪类type的信息会被用于作为用户信息AD服务器默认的OU类型是orgainzationalUnit，用户组类型是group，用户类型是user自动同步主要用于解决频繁改动 服务器，需要不断进行手工同步的问题 当对接参数配置完毕后可使用“立即同步”方式，同步用户信息 从外部认证源同步至业务管理器的终端用户和账号，只是用于认证，管理员无步是业务管理器和外部认证源的账号信息一致性的最佳。同步过来的部门也不可增加/删除人员。从外部认证源同步至业务管理器的账号支持AnyOffice和Web客户端2种认证方式如果未部署外部认证源，管理员需要手工在业务管理器中创建账号。由管理员在业务理器中创建账号称为本地账号，用以区别于从外部认证源中同步的账号。无论是本地账号还是从外部认证源中同步的账号，终端用户均能够使用账号证明自己是合法用户。终端用户通过认证和安全认证后将获得认证后域的权限。OU、用户组和帐号不支持的特殊字符有：乘方（^）、逗号（,）加号（+）、百分号%）、井号（#）、等号（=）、反斜杠（\）、双引号（"）用户不支持的字符有：乘方（^）、加号（+）、百分号（%）、井号（#）、等号、反斜杠（\）、双引号（"）1 服务器中DN的意义是什么DN的意义在于标识出账户信息的唯一路径。2、AgileController同步类型有哪些？按OU同步，按组同WLAN网络的最大优势就是STA不受物理介质的影响，可以在WLAN覆盖范围内四处移移动到另外一个AP覆盖区域时，利用WLAN漫游技术可以实现STA用户业务的平滑切换。WLAN避免漫游过程中802.1x认证、Portal认证等认证过程报文交互次数和时间，大于WLAN连接过程，所以漫游需要避免重新进行认证及密钥协商过程。保证用户信息不变用户的认证和信息，是用户网络的通行证，如果需要漫游后业务不中，必须确保用户在AC上的认证和信息不变如何保证用户IP地址不应用层协议均以IP地址和TCP/UDPSession为用户业务承载，漫游后的用户必须能够保持原IP地址不变，对应的TCP/UDPSession才能够不中断，应用层数据才能够漫游技术必须通过认证和信息及PMK预同步机制，解决认证时间过长问题同时解决认证WLAN漫游的网络架构如图1所示。WLAN网络通过AC_1和AC_2两个AC对AP进行管理，其中AP_1和AP_2与AC_1进行关联，AP_3与AC_2进行关联。现STA在WLAN网络中进行漫游，漫游过，所以此次漫游为ACSTAAP_1AP_1STA的HAP，AP_2即为STA的FAP，AC_1STAHACSTA的FAC。STA从AP_2AP_3AP_2AP_3AC_1AC_2要 ACACAP_1即为的HAP，AC_1即为STA的HAC，AP_3STAFAP，AC_2STA的。ACAC_1和AC_2ACAC可以通过AC。漫游组内的AC_1和AC_2需要知道彼此的相关信息，漫游组内的AC_1为Master。FAC（ForeignAC）：一个无线终端漫游后关联的AC即为它的FAC，如图所示，AC_2即为AC内漫游可看作是AC间漫游的一种特殊情况，即HAC和FAC重合，STA在从AP1漫游到AP2的过程即为AC间漫游。AC内漫游可看作是AC间漫游的一种特漫游组：在WLAN网络中，可以对不同的AC进行分组，STA可以在同一个组的AC间进行漫游，这个组就叫漫游组，如图所示，AC_1和AC_2组成一个漫游组。利用CAPWAP协议创建的。如图所示，AC_1和AC_2间建立AC间隧道进行数据同步和报MasterControllerSTA在同一个漫游组内的AC间进行漫游，需要漫游组内的AC能够识别组内其他AC。通过选定一个AC作为MasterController，在该AC上漫游组的成员表示，选取AC_1作为MasterController。MasterController既可以是漫游组外的AC，也可以在漫游组内选择一个AC作MasterControllerMasterController管理其他AC的同时不能被其他的MasterController管理MasterController作为一个集中配置点，不需要有特别强的数据转发能力，只需要如果两个子网的VLANID不同，那么这两个子网是处于不同的网段，STA间漫游是属于三层漫游网络中有时候会出现以下情况：两个子网的VLANID相同，但是这两个子网又属于不同的子网。此时为了避免系统仅仅依据VLANID将用户在两个子网间的漫游误判为二层漫游，需要通过漫游域来确定设备是否在同一个子网内，只有当VLAN相同且漫游域也相 802.1X安全策略，且STA802.1X认证过程，只需要完成密钥协商过程即可。这样，通过快速漫游，可以缩802.1X用户的漫游延时，提升用户上网体当用户使 2-802.1X安全策略，且STA支持快速漫游技术时，用户在漫游过程中需要重新完成802.1X认证过程，只需要完成密钥协商过程即可。这样，通过快速漫，可以缩短802.1X快速漫游是通过成对主密钥PMK（PairMainKey）缓存技术实现只有当安全策略 2–802.1X，且STA支持快速漫游技术时，可以实现快速漫游 2–802.1X以外的其他安全策略，无论STA是否支持快速漫游技术，都为非快速漫 2–802.1X，但STA不支持快速漫游技术，仍然不能实现快速漫游，对比非快速漫游过程，可以看出快速漫游省掉了802.1x认证过程默认情况下不需要做任何配置即可以支持ACController，集中在MasterController配置漫游组，并向漫游组中添加成员AC，然MasterController创建漫游组，并加入各个成员AC。然后将漫游组配置信息下发各个AC需要指定一个AC作为自己的MasterController。被选定为Master的AC上使能MasterController角色，并手工添加各个AC接受自己MasterController管理各个AC的过程类似AC管理AP。MasterController也是通过CAPWAPACCAPWAPCAPWAP隧道进行传输的。MasterController是一个逻辑角色，可以由任何一个普通实体ACMasterController的AC本身可以可以加入漫游组也可以不加入漫游组。如果担负MasterController角色的AC需要加入漫游组，也需要像普通AC一样由MasterController配置加入漫游组。如上图中漫游组mg1中增加一行命令：memberacid1。MasterController仅仅是一个逻辑概念，可以由任何一个普通实体AC担负，当前仅支持 状态是一个比特位图（每个AC对应一个比特），该记录了该用户当前在哪些AC 上 下其他AC收到后将用户状态中下线AC对应的比特清零，如果该用户在所有AC上都不，删除用户状态信息。具体流程1，每个AC上为每个STA保存一个位图，记录该STA当前在哪些AC上 2，AC收到STA关联/重关联请求后检查该STA在漫游组内是否已存在，已存在则视为漫向所有AC发请求向已知的用 的AC发请求向已知的用 的AC+CurrentAPAddress所在的AC发请求这三种方式没有本质区别络上会有较多的消息。实现第三种