AC,可以很好地协调成百上千的 AP 协同工作,实现集中管理。在该场景的互联网出口一般部
署防火墙设备,一方面实现大量用户的地址转换(NAT),另一方面可通过 VPN 技术将本网络
的认证信息和 NAT 日志信息等上传至运维中心。
中型场景指所需 WIFI 覆盖围较小,市及室外 AP 数量小于一百个,数据流量不大,设备数量不
多的场景。如区县政务中心、公园、广场、商业圈等,大部分数属于该场景。在这种场景下,一
般 WIFI 的覆盖采用 AP+Router(带 AC 功能)的方式实现。通过 Router 自带的无线管理功能,
可实现对本区域 AP 的集中管理。同时通过 Router 所集成的 NAT、VPN、Log 等功能,实现地
址转换,加密信息传输和 NAT 日志信息收集及上传等功能。
小型场景指所需覆盖围小,使用单个 WIFI 设备即可覆盖的场景。如公交站台、独立商户等属于
该场景。在这种场景下,一般采取目标区域放置一个 AP,AP 统一由总部 AC 管理,但是用户
上网的数据通过借用现网的互联网出口,将本地 WIFI 流量上传至 Internet。
用户认证管理解决方案
用户身份验证方式
WLAN 无线空口认证主要方式有开放系统认证(Open-system Authentication)、WEP、
WPA1/WPA2 和 WAPI 四种。OPEN 和 WEP 方式是简单的物理层认证方式,安全性较差,
WPA1/WPA2 和 WAPI 方式除了物理层认证之外还增加了用户认证的鉴定,安全性更高。
开放系统认证是 IEEE 802.11 标准要求必备的一种方法,是最简单的认证算法,即不认证。如
果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。在这种方式下,所有
符合 802.11 标准的终端都可以接入到 WLAN 网络中来。开放系统身份验证比较适合有众多用户
的电信运营 WLAN 网络。
用户身份认证,其通过提供有限的访问权限来验证用户身份,只有确定用户身份后才给予完整的
网络访问权限,可有效判别用户的合法性。WLAN 的链路层身份验证主要有 Portal(DHCP+WEB)、
MAC、802.1X、WAPI 等几种认证方式,可以根据具体情况选择,可以配合网络层认证使用。
WLAN 无线线网络用户认证方式通过采取以下几种组合,具体如下表所示。
认证组合 应用情况
Open+Portal 主流应用,运营商网络 WLAN 网络
Open+Portal+MAC 主流应用,是 Open+Portal 认证的衍生方式
WEP +Portal 基本没有应用,维护 WEP 密码麻烦
WEP+802.1X 早期 EAP-SIM 认证方式,运营商 WLAN 分担 2G/3G 流量场景
WPA/WPA2-PSK +Portal 基本没有应用,维护 WEP 密码麻烦
WPA1/WPA2+802.1X 主流应用,学校,企业,医院,政府等企业网大量使用。
WAPI PSK 没有使用
WAPI 没有使用