WLAN特点
Aruba ESP WLAN特点部分描述了实现Aruba ESP无线局域网的技术和特点,涵盖无线安全、访客Wi-Fi、无线组播、无线QoS、网络流量工程及WLAN弹性等主题。
目录
无线安全
无线安全是Aruba ESP WLAN解决方案的关键部分。最新的无线安全改进包含在名为WPA3的协议更新中,Aruba在定义该协议方面发挥了重要作用。一旦支持,请尽快将无线客户端迁移到WPA3,以确保WLAN的可靠和安全。
WPA3
WPA3 可以通过 WPA3-Personal (SAE) 或 WPA3-Enterprise 部署。WPA3 提供了更高的安全性,同时其复杂度与 WPA2 相同。WPA3 不需要改变工作流程或使用方式,也没有新的步骤或注意事项需要记住。Aruba 的对等实体同时验证(SAE)协议已于2012年被添加到 IEEE 802.11s 网状网络标准并获得认证。SAE 是一种Dragonfly密钥交换的实现,利用零知识证明(Zero—Knowledge Proof)进行密码验证的密钥交换。在不暴露密码或由密码派生的数据的情况下,每一方都能证明自己知道该密码。WPA3-SAE 的用户体验与 WPA2-PSK 完全相同,用户只需输入密码即可连接。
Wi-Fi联盟已发布WPA3认证客户端设备 列表。
WPA3-Personal
WPA3-Personal 是 WPA2-PSK 的替代方案。它采用基于密码的身份验证和 dragonfly 密钥交换(RFC 7664),能够抵御主动、被动和字典攻击。为实现向后兼容,可以启用“过渡模式”,使支持 WPA3 的客户端使用 WPA3-SAE 连接,而旧版客户端则使用 WPA2-PSK 连接。
WPA3-Enterprise (CCM 128)
CCM 128 是 WPA3 协议,采用 AES-CCM 加密和 802.1X 动态密钥。
CCM 128 是当前网络迁移到 WPA3 的理想选择。该模式与 WPA2 向后兼容,并增加了对 802.11w 受保护管理帧(PMF)的可选支持。支持 PMF 和传统客户端可以连接到同一个 SSID。此模式在桥接、隧道和混合模式的 SSID 中均受支持。
WPA3-Enterprise (GCM 256)
WPA3采用AES GCM-256加密,需要新的密钥管理(SHA-256)、新密码算法和PMF。旧版客户端不支持。当客户端群体支持GCM 256时,可以在需要更强密钥管理和加密的站点使用该模式。
WPA3-Enterprise (CNSA)
WPA3使用AES GCM-256加密,采用商业国家安全算法(CNSA)(192位),新的密钥管理(SHA-384)和强制的PMF端点支持。WPA3-Enterprise CNSA(192位)模式需要兼容的EAP服务器,如Aruba ClearPass策略管理器版本6.8或更高,并且要求EAP-TLS。严格的密钥交换和密码要求可能不被所有设备支持。该模式在桥接、隧道和混合模式SSID中得到支持,主要用于政府机构。
Enhanced Open
增强型开放使用机会性无线加密(OWE)为开放Wi-Fi网络提供数据加密,但不进行用户认证。对于用户来说,增强型开放网络看起来像一个没有挂锁符号的普通开放网络,但实际上数据是经过加密的。当客户端与AP关联时,OWE会执行一次未经认证的Diffie-Hellman密钥交换。
这个交换生成的密钥用于加密客户端和AP之间所有管理和数据流量。Central系统会主动将这些密钥复制到邻近的AP。
增强型开放不需要额外设备配置。Aruba建议在访客网络中启用这种技术,例如咖啡店、酒吧、学校、公共场所和体育馆等需要数据加密但不需要用户认证的场景。
过渡模式允许管理员配置单一开放SSID以实现向后兼容。当启用增强型开放时,AP会自动创建两个具有独立信标的基本SSID。
- BSSID 1 — 一个开放网络为非增强型开放站点提供了一个信息元素(IE),以指示BSSID 2 可用。传统客户端连接到此BSSID,其流量不加密。
- BSSID 2 — 一个隐藏的增强开放网络,其稳健安全网络指示元素(RSN-IE)的认证密钥管理(AKM)字段显示使用套件18(即OWE套件)进行认证。此外,还有一个信息元素用于指示BSSID 1可用。支持增强开放的客户端连接到隐藏的SSID时,将享受PMF和加密方面的好处。
Aruba支持在桥接模式或隧道模式下配置增强开放SSID。
多重预共享密钥(Multiple Pre-Shared Key)
多重预共享密钥(MPSK)功能允许连接到同一SSID的设备使用不同的预共享密钥。这对于不支持802.1X协议的无头物联网(IoT)设备特别有用。MPSK通过为特定设备或组别启用独立密码短语,增强了WPA2预共享密钥模式。利用Aruba ClearPass策略管理器,可以根据常见属性(如配置数据),将密码短语分配给单个设备或设备组,或者唯一地分配给每个注册设备。这种方法建立了设备与用户之间的一对一关系,提高了可视性、问责性和管理效率,并在更改一组设备的密码时减少了行政负担。
MPSK 不兼容 WPA3-Personal (SAE)。
访客无线网络
Aruba ESP架构在同一基础设施上为访客和员工提供接入,同时确保访客的接入不会危及企业网络安全。
利用现有WLAN,为访客和承包商提供便捷且经济的互联网接入。无线访客网络:
- 通过开放的无线SSID为访客提供互联网接入,并在网关防火墙中控制网页访问。
- 支持创建临时访客认证凭据,授权内部用户可管理这些凭据。
- 将访客网络流量与内部网络隔离。
每个AP都可以配置为提供受控的开放无线互联网连接。访客流量通过无线AP安全隧道传输至网关,并进入一个仅限互联网访问的独立VLAN。下图展示了从无线访客网络VLAN到防火墙的流量传递方式。
访客无线网络
访客网络要求在强制门户上输入用户名和密码。大堂接待员或其他行政人员可以发放临时访客账户。这种设计既能根据组织需求灵活定制控制和管理,又能保持网络安全。
通常,网关会充当DHCP服务器和访客客户端的路由器。在预计负载低于网关推荐限制时,可以为访客或物联网网络启用三层操作。
启用路由功能后,应使用防火墙策略控制VLAN之间的流量。由于网关上的DHCP服务没有冗余性,建议关键任务的访客接入使用外部DHCP服务器。
WLAN组播和广播
动态组播优化
802.11标准规定,WLAN传输的组播流量必须以最低基本速率进行。Aruba的动态组播优化(DMO)技术在将组播帧从网关转发到接入点之前,将其转换为单播帧。单播帧由客户端确认,如果丢失,可以重新传输。此外,单播帧会以客户端支持的最高数据速率进行传输,从而减少小区中的占用时间,为所有用户释放带宽。
为了优化性能,应避免在同一WLAN数据路径上有多个组播源广播相同的数据。尽量使用较大的二层网络,以避免同时转换多个组播流。
下图显示了启用DMO的典型IP组播拓扑结构。
IP组播 BSR、RP、MSDP、IGMP嗅探和 DMO 部署
广播转单播
Aruba WLAN 可以将广播数据包转换为单播帧,以优化空中时间的使用。无线传输的广播帧必须以配置的最低数据速率(称为“基本速率”)进行传输。由于广播没有确认机制,丢失的广播帧无法重发。当帧被转换为单播时,AP 可以以更高的数据速率发送,并获取传送确认,从而可以重新发送丢失的帧。
单播大大减少了信道占用时间,并以每个客户端最高可能的数据速率传递帧。
广播过滤
可以配置SSID进行广播过滤,以优化WLAN性能。在Central中管理的Aruba ESP WLAN默认设置为ARP。
- ARP - WLAN会丢弃广播和组播帧,但DHCP、ARP、IGMP组查询以及IPv6邻居发现协议除外。此外,它将ARP请求转换为单播,直接发送到关联的客户端。
- All - 无线局域网会丢弃除DHCP、ARP、IGMP组查询和IPv6邻居发现协议以外的所有广播和组播帧。
- Unicast ARP Only - 此选项允许无线局域网将ARP请求转换为单播帧并发送给已关联的客户端。
- Disabled - IAP会将所有广播和组播流量转发到无线接口。
WLAN QoS
Wi-Fi多媒体
Wi-Fi多媒体(WMM)是由Wi-Fi联盟创建的一个认证项目,旨在提升Wi-Fi网络上的服务质量(QoS)。WMM将网络流量分为四个优先级队列,根据不同的流量类别进行处理,例如缩短数据包等待时间或使用DSCP和IEEE 802.1p标记。
用户可以定义每个队列的流量,并根据需要调整DSCP和802.1p值以匹配有线局域网。
要在Wi-Fi网络中利用WMM功能,必须满足以下三个要求:
- 该AP已通过Wi-Fi WMM认证并启用。
- 客户端设备已通过Wi-Fi WMM认证。
- 源应用支持WMM。
WMM在所有Aruba Wi-Fi产品中均支持。
QoS可以为VLAN或端口设置,并通过策略动态地根据应用进行调整。大多数网络,包括无线局域网,通常在容量以下运行,因此拥塞较少,流量顺畅。在发生拥塞时,QoS提供可预测的行为。在过载条件下,QoS机制会优先分配资源给高优先级流量,而低优先级流量则获得较少资源。例如,当语音用户增加时,可能会导致数据流量延迟或丢失。
Wi-Fi使用载波侦听多路访问冲突避免(CSMA/CA)来管理空中时间争用,这类似于早期的共享以太网网络。CSMA/CA要求每个设备在传输帧之前监控无线信道上的其他Wi-Fi传输情况。Wi-Fi标准定义了一个分布式系统,没有中央协调或客户端和AP的调度。然而,通过Wi-Fi 6和BSS着色技术,可以显著减少信道争用。
WMM协议根据要传输帧的QoS优先级调整两个CSMA/CA参数:随机退避计时器和仲裁帧间隔空间。高优先级帧被分配更短的随机退避时间和仲裁帧间隔空间,而低优先级帧则必须等待更长时间。
WMM的退避与仲裁帧间定时器
WMM为802.11流量定义了四个优先级别,按优先级升序排列如下:
- Background
- Best effort
- Video
- Voice
由于必须端到端地保持服务质量(QoS),WMM优先级别必须映射到局域网(LAN)上使用的QoS优先级。下表显示了DSCP优先级如何转换为四个WMM优先级别。
WMM到DSCP映射
| WMM 接入类别 | 描述 | DSCP |
|---|---|---|
| Voice priority | 实时交互 | 46 |
| Video priority | 多媒体流媒体 | 26 |
| Best-effort priority | 事务性 | 18 |
| Background priority | 尽力而为 | 0 |
桥接(bridge)模式部署
桥接模式在不需要隧道流量和高级网关功能时提供了一种简便的解决方案。在此模式下,无线流量直接从AP桥接到有线基础设施。为AP配置的接入交换机端口被设定为中继,以实现SSID到VLAN的连接。AP负责数据包加密、用户认证和策略执行,而射频管理、密钥管理、实时升级、监控和故障排除等功能则由Central进行管理。
下图展示了ArubaOS 10(AOS 10)桥接模式拓扑结构。
桥接模式
隧道(tunnel)模式部署
Aruba网关可以添加到新设计或现有的桥接模式部署中。隧道模式部署提供了强大的安全功能和最大的操作灵活性。网关可以单独部署,也可以集群部署以增加冗余和扩展规模。在Central中,通过将网关添加到同一组,集群会自动创建。
隧道模式增强了对应用的可见性,有助于优先处理关键业务数据,并提供微分段、动态RADIUS代理以及局域网上的加密支持,实现整个三层园区内的无缝漫游。
需要注意的是,虽然AOS 10允许在单个集群内使用多个版本的网关和AP,但最佳实践是保持AP和网关版本一致,以确保WLAN中的功能支持一致性和整体稳定性。
下图显示了AOS 10隧道模式拓扑结构。
隧道模式下的接入点
网关代理ARP
启用此功能后,网关将代表用户表中的客户端响应ARP请求。在具有IP地址的VLAN上,网关会在代理ARP中提供其MAC地址;如果VLAN没有IP地址,则提供客户端的MAC地址。默认情况下,此功能是关闭的。仅在需要网关作为透明跳转到其他设备(如使用Aruba VIA VPN)时才启用此功能。
3层设计
在园区部署网关时,应始终采用2层设计,并且网关不应执行3层操作。客户端的默认网关应为路由器或交换机等其他设备,2层网络专用于连接到这些设备的客户端。由于网关具有广播和组播管理功能,因此大子网也能正常运行。
将2层网络扩展到网关和交换基础设施所能支持的最大范围。表大小、ARP学习速率、物理层速率以及冗余性都会影响交换基础设施的设计。
WLAN弹性
Aruba ESP 提供多种组件,帮助设计高可用性和容错网络。本节提供增加容错能力的软件特性的指南,并允许在服务影响最小的情况下进行升级。
认证状态/密钥同步
认证密钥通过Central的密钥管理服务(KMS)在AP之间同步,使客户端在不同AP间漫游时无需重新认证或加密流量。这样不仅减轻了RADIUS服务器的负担,还加快了漫游速度,提供无缝体验。密钥同步和管理由AP和Central自动处理,无需用户额外配置。
防火墙状态同步
在使用集群时,客户端的流量可以在主网关和次网关之间同步,使得客户端能够无缝切换。系统会在AP之间同步加密密钥,因此当客户端移动到次网关时,无需重新认证或生成新的加密密钥。对于客户端而言,在网关或AP之间的移动是透明的。
这是Aruba高可用性设计和实时升级的重要组成部分。当使用桥接SSID时,每个漫游事件都会同步防火墙状态,从而实现无缝漫游,没有流量中断。
集群设计中的故障域
当一个网关发生故障时,连接到该网关的客户端会在集群中重新平衡。所需时间取决于网络上的客户端数量。如果在重新平衡之前另一个网关也发生故障,客户端将断开并重新连接到可用的网关,只要其他网关未达到容量限制。
为减轻多个网关故障的影响,应尽量减少共同故障点。可以通过使用不同线路卡或交换机、跨越线路卡或交换机的多条上行链路、端口配置验证以及部署多个网关来降低域失败风险。
园区无线总结
ESP园区无线局域网为员工、访客和物联网设备提供网络接入。无论位置如何,无线设备连接服务时都能获得一致的体验。
Aruba无线解决方案的优势包括:
- 为员工、访客和物联网设备提供无缝网络接入。
- 无线AP即插即用部署。
- Wi-Fi 6增强功能,解决高密度部署中的连接问题并提升性能。
- 实时升级,在对服务影响极小或无影响的情况下更新操作系统。