MBA智库文档行业 IT互联网通信 WLAN培训.ppt

WLAN培训.ppt

下载

啊啊 |

129页 | 3.52MB | 3次下载 |

5.0

(1人评价)

我要评价：

投诉举报

用手机看文档

扫一扫,手机看文档

下载

开通VIP

WLAN 培训北京邦讯技术有限公司课程内容 WLAN 部分无线交换机 + 瘦 AP 网络有线部分 WLAN 发展需要注意的技术问题有线部分 OSI 参考模型 TCP/IP 协议网络概述 GO 网络概述 LAN 定义 LAN 定义：通常指几公里以内的，可以通过某种介质互联的计算机、打印机、 modem 或其它设备的集合。特点：距离短、延迟小、数据速率高、传输可靠。标准 (standard) ：描述了协议的规定，设定了最简的性能集。 HUB 交换机路由器 LAN 常用设备 LAN 的设计目标：运行在有限的地理区域允许网络设备同时访问高带宽的介质通过局部管理控制网络的权限提供全时的局部服务连接物理上相邻的设备 WAN 定义和分类 WAN 定义：在大范围区域内提供数据通信服务，主要用于互连局域网。 WAN 分类：公用电话网： PSTN 综合业务数字网： ISDN 数字数据网： E1 专线公用分组交换网：帧中继： Frame Relay 异步传输模式： ATM Modem/CSU/DSU 路由器广域网交换机接入服务器 WAN 常用设备 WAN 的设计目标：运行在广阔的地理区域通过低速串行链路进行访问网络控制服从公共服务的规则提供全时的或部分时间的连接连接物理上分离的、遥远的、甚至全球的设备标准化组织国际标准化组织 (ISO) 电子电器工程师协会 (IEEE) 美国国家标准局 (ANSI) 电子工业协会 (EIA / TIA) 国际电信联盟 (ITU) INTERNET 架构委员会 (IAB) ISO - International Organization for Standardi’zation GO OSI 参考模型 Open System Interconnection Reference Model. 它是由国际标准化组织 ISO 提出的一个网络系统互连模型。虽然 OSI 参考模型的实际应用意义不是很大，但其的确对于理解网络协议内部的运作很有帮助，也为我们学习网络协议提供了一个很好的参考 OSI 参考模型物理层数据链路层网络层传输层会话层表示层应用层 OSI 参考模型 OSI RM ：开放系统互连参考模型 (Open System Interconnection Reference Model) OSI RM 定义了网络中设备所遵守的层次结构分层结构的优点：简化网络的操作提供设备间兼容性和标准接口促进标准化工作结构上可以分隔易于实现和维护应用层表示层会话层传输层网络层数据链路层物理层 1 2 3 4 5 6 7 底层 : 负责网络数据传输高层 : 负责主机之间的数据传输七层功能应用层表示层会话层传输层网络层数据链路层物理层 1 2 3 4 5 6 7 提供应用程序间通信处理数据格式、数据加密等建立、维护和管理会话建立主机端到端连接寻址和路由选择提供介质访问、链路管理等比特流传输七层功能主机 A 主机 B APDU PPDU SPDU Segment Packet Frame Bit 应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层对等层通信每一层利用下一层提供的服务与对等层通信；每一层使用自己的协议。 Session Protocol Data Unit 　ｅｔｃ． Data Data H Data H H 主机服务器交换机路由器应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层 Data Data H Data H H 数据封装数据封装和解封装过程数据链路层局域网数据链路层分为 2 个子层： LLC 子层和 MAC 子层。数据链路层的功能：物理地址定义网络拓扑结构链路参数差错验证物理介质访问流控制（可选） BoomSence MAC 00?? 厂商编号序列号 24 bits 24 bits Rom Ram MAC/ 物理地址 MAC 地址有 48bit ，用 16 进制数表示 MAC 地址查询 MAC 地址需要我们到 IEEE ↑ 去申请注册 RAM 是随机存取存储器，它的特点是易挥发性，即掉电失忆。 ROM 通常指固化存储器 ( 一次写入，反复读取 ) ，它的特点与 RAM 相反。 Institute of Electrical and Electronics Engineers (IEEE) GO TCP/IP 协议 TCP/IP 协议和 OSI 参考模型 OSI 参考模型 TCP/IP TCP/IP 协议栈具有简单的分层设计，与 OSI 参考模型有清晰的对应关系。 TCP/IP 协议栈应用层传输层网络层数据链路层提供应用程序网络接口建立端到端连接寻址和路由选择物理介质访问二进制数据流传输物理层 HDLC 面向比特的同步协议应用层协议文件传输 FTP 、 TFTP 邮件服务 SMTP 、 POP3 网络管理 SNMP 、 Telnet 、 Ping 、 Tracert 网络服务 HTTP 、 DNS 、 WINS 网络基本输入输出系统（ NetBIOS ）由 IBM 公司开发。 NetBIOS 定义了一种软件接口以及在应用程序和连接介质之间提供通信接口的标准方法 ,NetBIOS 是一种会话层协议 … TCP 连接 SYN(seq=a) SYN(seq=b,ack=a+1) SYN(seq=a+1,ack=b+1) client server sequence number & acknowledge number 关于一次抓包中的特殊问题 : A "keep-alive" mechanism periodically probes the other end of a connection when the connection is otherwise idle, even when there is no data to be sent. The TCP specification does not include a keep-alive mechanism because it could: (1) cause perfectly good connections to break during transient Internet failures; (2) consume unnecessary bandwidth ("if no one is using the connection, who cares if it is still good?"); and (3) cost money for an Internet path that charges for packets. Some TCP implementations, however, have included a keep-alive mechanism. To confirm that an idle connection is still active, these implementations send a probe segment designed to elicit a response from the peer TCP. Such a segment generally contains = -1 and may or may not contain one garbage octet of data. Note that on a quiet connection = , so that this will be outside the window. Therefore, the probe causes the receiver to return an acknowledgment segment, confirming that the connection is still live. If the peer has dropped the connection due to a network partition or a crash, it will respond with a RST instead of an acknowledgment segment. Unfortunately, some misbehaved TCP implementations fail to respond to a segment with = -1 unless the segment contains data. Alternatively, an implementation could determine whether a peer responded correctly to keep-alive packets with no garbage data octet. A TCP keep-alive mechanism should only be invoked in server applications that might otherwise hang indefinitely and consume resources unnecessarily if a client crashes or aborts a connection during a network failure. 有一种方式是 “ Such a segment generally contains = -1 ”，所以我们看到是 210=211-1 ，然后 may or may not contain one garbage octet of data . 第一次是客户端发起连接；第二次表示服务器收到了客户端的请求；第三次表示客户端收到了服务器的反馈。这之后双方均确认了连接的有效性滑动窗口需要修改窗口大小发送数据太快了！拥塞窗口 WLAN 部分 WLAN 基础概念 IEEE 协议 WLAN 设备 WLAN 组网应用 WLAN 网络规划 GO WLAN 基础概念无线局域网 (Wireless Local Area Network) 是以射频无线电波通信技术构建的局域网，虽不采用缆线，但也能提供传统有线局域网的所有功能。无线数据通信不仅可以作为有线数据通信的补充及延伸，而且还可以与有线网络环境互为备份。无线局域网 (WLAN) Internet WLAN 的技术优势 WLAN 五大技术优势安装便捷传输速率高易于扩展覆盖范围广经济节约无线技术 PAN (Personal Area Network) LAN (Local Area Network) WAN (Wide Area Network) MAN (Metropolitan Area Network) In today’s wireless world, there are many different types of networks offered. Each of these different networks are designed to give different coverage areas. Starting with the smallest coverage area, they are as follows: Personal Area Network (PAN) – Typically designed to cover your personal work space. Radios are typically very low powered and do not deliver options in antenna selection thus limiting the size of coverage area (typically less than 20 feet of radius). One such PAN network is Bluetooth. Good applications of this technology is communications between PC and peripheral or between wireless phone and headset. In the PAN wireless network, the customer owns 100% of the network, therefore no airtime charges are incurred. Local Area Network (LAN) – Designed to be enterprise based wireless networks allowing for complete enterprise applications to be utilized without wires. Typically delivers Ethernet capable speeds (up to 54 Mbps). In the LAN wireless network, the customer owns 100% of the network, therefore no airtime charges are incurred. Metropolitan Area Networks (MAN) – These wireless networks are deployed inside a metropolitan area allowing wireless connectivity throughout an urban area. The MAN networks typically deliver up to broadband speeds (similar to DSL) but are not capable of Ethernet speeds. In the MAN wireless network, the wireless networks can either be a licensed carrier requiring the customer to purchase airtime or may be built out and supported by one entity such as a police department. Wide Area Networks (WAN) – The WAN wireless networks are typically slower in speeds but have more coverage, sometimes covering rural areas. Due to the vast deployment, all WAN wireless networks will require a customer purchase airtime for data transmission. The Cisco Aironet wireless products are considered Local Area Network wireless products. IrDA BlueTooth WiFi() NFC ZigBee UWB 目前几种主要的近距无线技术 IrDA 是一种利用红外线进行点到点通讯的技术。 IrDA(Infrared Data Association) 成立于 1993 年。起初，采用 IrDA 标准的无线设备仅能在 1m 范围内以 kb/s 速率传输数据，很快发展到 4Mb/s 以及 16Mb/s 的速率。其优点是体积小，功率低，传输速率可达 16Mbps ，成本低。目前它的软硬件技术都很成熟，在小型移动设备，如 PDA 、手机，笔记本上都有广泛使用。 IrDA 是一种视距传输技术，两个相互通信的设备之间必须对准，之间不能有阻挡物，因而该技术只能用于 2 台设备之间的连接。 IrDA 目前的研究方向是如何解决视距传输问题及提高数据传输率。 IrDA 蓝牙技术诞生于 1994 年， Ericsson 当时决定开发一种低功耗、低成本的无线接口，以建立手机及其附件间的通信。 1998 年，蓝牙技术协议由 Ericsson 、 IBM 、 Intel 、 Nokia 、 Toshiba 等 5 家公司达成一致。 BlueTooth 技术是一种用于数字化设备之间的低成本、近距离的无线通信连接技术。其程序写在一个 9mm*9mm 的微型芯片上，可以方便的嵌入到设备之中。 BlueTooth 技术工作在 ISM 频段上。采用跳频技术，理想连接范围为 10cm-10m 。 BlueTooth 协议是电路交换与分组交换的结合，可以支持异步数据信道和多达三个同时进行话音信道。每个话音信到 64kbps 。数据信道为一端 72kbps 而另一端为的不对称连接，或的对称连接。 BlueTooth 蓝牙技术遭遇了最大的障碍是过于昂贵。突出表现在芯片大小和价格难以下调、抗干扰能力不强、传输距离太短、信息安全问题等等。因此，蓝牙的市场前景取决于蓝牙价格和基于蓝牙的应用是否能达到一定的规模。 ISM 频段即工业 (industry) ，科学 (science) 和医用 (medical treatment) 频段。 WiFi(Wireless Fidelity), 正式名称是 , 随即先后推出和，统称为 IEEE ，是如今无线局域网通用的标准，它是由 IEEE 所定义的无线网络通信的标准。最初的规范是在 1997 年提出的，称为，主要目的是提供 WLAN 接入，它的工作频率也是，与无绳电话、蓝牙等许多不需频率使用许可证的无线设备共享同一频段。随着 Wi-Fi 协议新版本和的先后推出， Wi-Fi 的应用越来越广泛，速度更快的与使用相同的正交频分多路复用调制技术，速率达 54Mb/s 。为了在不同的通讯环境下取得良好的通讯品质，采用 CSMA/CA (Carrier Sense Multi Access/Collision Avoidance) 硬件沟通方式。 WLAN 主要应用在 SOHO 、家庭无线网络以及不便安装电缆的建筑物或场所，比如机场、酒店、商场等公共热点场所。 Wi-Fi 技术可将 Wi-Fi 与基于 XML 或 Java 的 Web 服务融合起来，可以大幅度减少企业的成本。 WiFi () Institute of Electrical and Electronics Engineers (IEEE) 美国电气和电子工程师协会其他近距无线技术目前使用较广泛的近距无线通信技术是 Bluetooth ， (Wi-Fi) 和 IrDA ，同时还有一些具有发展潜力的近距无线技术标准，它们分别是： ZigBee 、超宽频 (Ultra WideBand) 、短距通信 (NFC) 、 WiMedia 、 GPS 、 DECT 、无线 1394 和专用无线系统等。 NFC （ Near Field Communication ，近距离无线传输）是由 Philips 、 NOKIA 和 Sony 主推的一种类似于 RFID( 非接触式射频识别 ) 的短距离无线通信技术标准。和 RFID 不同， NFC 采用了双向的识别和连接。在 20cm 距离内工作于频率范围。 ZigBee 主要应用在短距离范围之内并且数据传输速率不高的各种电子设备之间。 ZigBee 名字来源于蜂群使用的赖以生存和发展的通信方式，蜜蜂通过跳 ZigZag 形状的舞蹈来分享新发现的食物源的位置、距离和方向等信息。超宽带技术 UWB （ Ultra Wideband ）是一种无线载波通信技术，它不采用正弦载波，而是利用纳秒级的非正弦波窄脉冲传输数据，因此其所占的频谱范围很宽。它们都有其立足的特点，或基于传输速度、距离、耗电量的特殊要求；或着眼于功能的扩充性；或符合某些单一应用的特别要求；或建立竞争技术的差异化等。但是没有一种技术可以完美到足以满足所有的需求。 NFC （ Near Field Communication ，近距离无线传输）是由 Philips 、 NOKIA 和 Sony 主推的一种类似于 RFID( 非接触式射频识别 ) 的短距离无线通信技术标准。和 RFID 不同， NFC 采用了双向的识别和连接。在 20cm 距离内工作于频率范围。 ZigBee 主要应用在短距离范围之内并且数据传输速率不高的各种电子设备之间。 ZigBee 名字来源于蜂群使用的赖以生存和发展的通信方式，蜜蜂通过跳 ZigZag 形状的舞蹈来分享新发现的食物源的位置、距离和方向等信息。超宽带技术 UWB （ Ultra Wideband ）是一种无线载波通信技术，它不采用正弦载波，而是利用纳秒级的非正弦波窄脉冲传输数据，因此其所占的频谱范围很宽。电磁波的影响：手机打电话时间讲长 , 我们就会出现头痛、头昏，脸部发烫的感觉 , 这是电磁波对我们造成的可见的影响 . 其它不可见的影响 : 例如损害人体内包含遗传基因的 DNA ，杀死脑细胞 , 损坏神经系统，危害用户乃至他们下一代的健康，导致癌症等。客户端：手持式对讲机高达 5 瓦 , GPRS 上网卡是 GSM 频段的设备，它的发射功率最高值会达到２Ｗ，平均在６００毫瓦左右。联通 CDMA 的发射功率为 200mW 左右 . 小灵通其最高发射功率大约 80mW 。 Wi-Fi 无线网卡的发射功率 40mW 左右，规定发射功率不可超过 100mW, 蓝牙设备的发射功率不超过 20mW. 信号发射点 : 基站的发射功率取决服务范围的大小和移动电话用户的容量 . 手机基站发射功率从几瓦到上百瓦不等，目前国内厂商生产的无线 Wi-Fi 设备发射点ＡＰ的功率也在 100-500 毫瓦之间。无线设备功率情况 GO IEEE 协议 IEEE 标准 IEEE 802 LAN 标准系列 PHY MAC OSI 层 2 OSI 层 1 ： 1997 年，原始标准 (2Mbit/s ，工作在 ) ： 1999 年，物理层补充 (54Mbit/s ，工作在 5GHz) ： 1999 年，物理层补充 (11Mbit/s ，工作在 ) ： 2001 年，符合的媒体接入控制层桥接 (MAC Layer Bridging) ： 2001 年，根据各国无线电规定做的调整，增加跨国自适应机制： 2005 年，支持服务等级 (Quality of Service) ，主要用于流媒体服务： 2003 年，基站互连性 (IAPP, Inter-Access Point Protocol) ， 2006 年撤销： 2003 年，物理层补充 (54Mbit/s ，工作在 ) ： 2004 年，专为欧洲设计，动态频率选择和传输功率控制机制： 2004 年，无线网络的安全方面的补充： 2004 年，专为日本设计，按照日本无线规则所做无线覆盖半径的调整： 2007 年，无线资源管理，灵活调整频段频道载波等，提高频段利用效率：预留及准备不使用： 2007 年，修订和维护上述标准的细节： 2008 年，草案，更高传输速率的改善，采用多进多出 (MIMO) 和频道绑定（ CB ）的正交频分复用（ OFDM ）技术 …… 的发展进程协议 WLAN 工作频段需执照频段： FCC:17GHz, 61GHz ETST:17GHz,18GHz,24GHz 不需执照频段： FCC:902-928MHz,,( ISM ) ( PCS ) ETST:(DECT),(WLAN) 中国：336-344 MHz, , ( 扩频设备) 频段划分图 5GHz 频段分配频段划分图频段信道分配表与 OSI 模型跳频扩频 (Frequency Hopping Spread Spectrum ，简称 FHSS) 就是载波可以在一个很宽的频带上按照伪随机码的定义从一个频率跳变到另一个频率。使用 FHSS 技术，频道被划分成 75 个 1MHz 的子频道，接受方和发送方协商一个调频的模式，数据则按照这个序列在各个子频道上进行传送，每次在网络上进行的会话都可能采用了一种不同的跳频模式，采用这种跳频方式主要是为了避免两个发送端同时采用同一个子频段。 FHSS 直接序列扩频 (Direct Sequence Spread Spectrum ，简称 DSSS) 就是使用具有高码率的扩频序列，在发射端扩展信号的频谱，而在接收端用相同的扩频码序列进行解扩，把展开的扩频信号还原成原来的信号。直接序列扩频技术将的频宽划分成 14 个 22MHz 的通道 (Channel) ，临近的通道互相重叠，在 14 个频段内，只有 3 个频段是互相不覆盖的，数据就是从这 14 个频段中的一个进行传送而不需要进行频道之间的跳跃。 DSSS 正交频分复用 (Orthogonal Frequency Division Multiplexing, 简称 OFDM) 技术是一种多载波发射技术，它将可用频谱划分为许多载波，每一个载波都用低速率数据流进行调制。它获取高数据传输率的诀窍就是，把高速数据信息分开为几个交替的、并行的 Bit 流，分别调制到多个分离的子载频上，从而使信道频谱被分到几个独立的、非选择的频率子信道上，在 AP 与无线网卡之间进行传送，实现高频谱利用率。 OFDM 层负责客户端与 AP 之间的通讯。主要功能包括：扫描、接入、认证、加密、漫游和同步。报文分类： --- 数据帧用户的数据报文 --- 控制帧协助发送数据帧的控制报文，例如： RTS 、 CTS ， ACK 等 --- 管理帧负责 STA 和 AP 之间的能力级的交互，认证、关联等管理工作，例如： Beacon ， Probe ， Association ， Authentication 等 MAC 层工作原理概述 AP 用户接入管理过程使用 Scanning 功能来完成 Discovery --- 寻找和加入一个网络 --- 当 STA 漫游时寻找一个新的 AP Passive Scanning 通过侦听 AP 定期发送的 Beacon 帧来发现网络， Beacon 帧中包含该 AP 所属的 BSS 的基本信息以及 AP 的基本能力级，包括： BSSID (AP 的 MAC 地址 ) 、 SSID 、支持的速率、支持的认证方式，加密算法、 Beacons 帧发送间隔，使用的信道等。当未发现包含期望的 SSID 的 BSS 时， STA 可以工作于 IBSS 状态 Active Scanning 在每个信道上发送 Probe request 报文，从 Probe Response 中获取 BSS 的基本信息， Probe Response 包含的信息和 Beacon 帧类似 Scanning 扫描 WLAN 中的 BSS: 一种特殊的 Ad-hoc LAN 的应用，称为 Basic Service Set (BSS) ，一群计算机设定相同的 BSS 名称，即可自成一个 group ，而此 BSS 名称，即所谓 BSSID ． IBSS(Independent Basic Service Set) 独立基本服务集是一种无线拓扑结构 , 标准的模式 . 　 IBSS 模式，又称作独立广播卫星服务 , 也称为特设模式，是专为点对点连接。 IBSS 模式没有无线基础设施骨干 , 但至少需要 2 台 wireless station. 支持两种基本的认证方式： ---Open System Authentication 等同于不需要认证，没有任何安全防护能力。通过其他方式来保证用户接入网络的安全性，例如 Address filter 、用户报文中的 SSID 。 ---Shared Key Authentication 采用 WEP 加密算法 Attacker 可以通过监听 AP 发送的明文 Challenge text 和 STA 回复的密文 Challenge text 计算出 WEP KEY 。 STA 和 AP 均可通过 Deauthentication 来终结认证关系预置 Authentication 认证 Association STA 通过 Association 和一个 AP 建立联系，后续的数据报文的收发只能和建立 Association 关系的 AP 进行。 Reassociation STA 在从一个老的 AP 移动到新 AP 时通过 Reassociation 和新 AP 建立关联。 Reassociation 前必须经历 Authentication 过程。 Deassociation STA 和 AP 均可通过 Deassociation 和 AP 解除关联关系。 Association 关联 Wireless 漫游的概念 – STA 可以在属于同一个 ESS 的 AP 接入点接入，可以使用同一信道或不同信道； – STA 可以在网络中任意移动，同时保证已有业务不中断，用户标识不改变。 Wireless 漫游的分类 – 二层漫游 • 在同一个子网内的 AP 间漫游 • 由于不涉及子网的变化，因此只需保证用户在 AP 间切换时访问网络的权限不变即可。为了保证快速的切换，通常都会利用 STA 在原有 AP 上使用的资源。 – 三层漫游 • 在不同子网内的 AP 间漫游 • 除了要实现二层漫游中提到的内容以外，通常会采用一些特殊手段来保证用户业务的不中断。目前较流行的做法有： Mobile IP （ RFC3344/Mobile IPv4,RFC3375/Mobile IPv6 ）、 VLAN 二层透传、 GRE(RFC2784) 、 IP in IP(RFC1853) 三层隧道等。（ IP encapsulation within IP/RFC 2003 ）漫游和同步通用路由封装 (GRE) 协议结合使用点对点隧道协议 (PPTP) 来创建虚拟专用网络 (VPN) 之间或客户端和服务器之间客户端。 GRE( 通用路由协议封装）是由 Cisco 和 Net-smiths 等公司于 1994 年提交给 IETF 的，标号为 RFC1701 和 RFC1702 。目前有多数厂商的网络设备均支持 GRE 隧道协议。认证和协商过程 AP B AP A 初始化连接到一个 AP While trying to connect to a WLAN, the client adapter card undergoes a two-step process, Authentication and Association. Authentication is the process of verifying the credentials of a client adapter card desiring to join a WLAN. Association is the process of associating a client adapter card with a given access point in the WLAN. When a client adapter card comes on line, it will broadcast a Probe Request. An access point that hears this will respond with details. The client adapter card makes a decision about which access point to associate with based on the information returned from the access point. Then the client adapter card will send an authentication request to the desired access point. The access point authenticates the client adapter card, and sends an acknowledgement back. Next the client adapter card sends up an association request to that access point. The access point then puts the client adapter card into the table, and sends back an association response. From that point forward, the network acts like the client adapter card is located at the access point. The access point acts like an Ethernet hub. The access points broadcast a beacon at predetermined (and programmable) intervals. This broadcast contains information about the access point, such as RF hops to the backbone, load, hopping pattern, etc. The client adapter card always listens to ALL access points that it can hear (beacons received). It builds an information table about each one and enters the information the access points sends during beacons, including the signal strength of the access points. 漫游 ( 再协商 ) 的过程 AP B AP A 初始化连接到一个新 AP As the client is moving out of range of his associated access point, the signal strength will start to drop off. At the same time, the strength of another access point will begin to increase and the following steps will occur. Client is currently associated to Access Point (A), but listens for the beacons from all Access Points. The Client evaluates the beacons received from Access Point (A) and (B) and selects the best Access Point to connect to. The Client selects Access Point (B) over (A) and sends an association request to the Access Point (B). Access Point (B) confirms the Clients association and registers the Client. Access Point (B) communicates with Access Point (A) by Ethernet backbone to inform Access Point (A) of the re-association with Access Point (B). This same process will occur for load balancing reasons. Due to the Inter Access Point Protocol (IAPP) traffic not being fully covered in the specifications, it is critical to keep the back bone all one vendor. GO WLAN 设备无线 AP (Access Point ，无线访问节点 ) 是一个包含很广的名称，它不仅包含单纯性无线接入点，也同样是无线路由器、无线网关等类设备的统称。无线 AP 主要是提供无线终端对有线局域网和从有线局域网对无线终端的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。在无线网络中， AP 就相当于有线网络的集线器，它能够把各个无线终端连接起来，无线终端所使用的网卡是无线网卡，传输介质是空气。无线 AP 无线网桥是为使用无线进行远距离传输的点对点网间互联而设计。它是一种在链路层实现 LAN 互联的存储转发设备，可用于固定数字设备与其他固定数字设备之间的远距离、高速无线组网。无线网桥有三种工作方式，点对点，点对多点，中继连接。无线网桥可以用于连接两个或多个独立的网络段，这些独立的网络段通常位于不同的建筑内，相距几百米到几十公里。所以说它可以广泛应用在不同建筑物间的互联。同时，根据协议不同，无线网桥又可以分为频段和频段的无线网桥。无线网桥 GO WLAN 组网应用 Ad-Hoc 也叫对等网络，是指安装有无线网络适配器（无线网卡）的多台计算机组成的局域网，它们通过无线适配器进行彼此的通讯。对等模式下的所有无线终端必须使用相同的工作信道。 Ad-Hoc 基础网络结构模式中，网络中任意一台无线网络终端均可通过 AP 接入有线网络。此模式可作为有线网络的延伸和补充。由于无线带宽为共享带宽，通常建议一个 AP 可以接入 20 ～ 30 个无线客户端，以获取满意的访问数率。 Infrastructure 漫游模式中，用户可随意在两个基础结构网络中无线漫游，从而给移动办公带来了极大的方便。 Roaming IAPP （ Inter access point protocol) 关于漫游的细节 :AP 每 100ms 会发送一个探测信号，叫做 beacon frame ，因为无线网是共用媒介，所以其实所有ＡＰ都能够收到这个 FRAME ，并回复它．然后网卡再开始选举适合的ＡＰ无线的漫游协议不在中，现在比较常用的模式是，俩 AP 各有一个 AGENT ，如果有 Station 在漫游， AGENT 之间会连接并转发要发送给 station 的包． WLAN 用的是２．４ＧＨＺ到２．４８４ＧＨＺ ISM 段，不是单一频率，从物理层到 MAC 层到 LLC 层都有各种防止 Collision 的方式 . WDS （ Wireless Distribution System ）模式是利用无线电波作为传输介质将物理上分开的局域网连接起来，使用高增益的定向天线，可以将无线网络的传输距离扩展到20公里以上。与有线网络相比，采用无线方式，不但架设方便，而且无需月租费，维护费用低廉。 WDS WDS(Wireless Distribution System) ，无线分布式系统：是建构在 HFSS 或 DSSS 底下，可让基地台与基地台间得以沟通，比较不同的是有 WDS 的功能是可当无线网路的中继器，且可多台基地台对一台，目前有许多无线基台都有 WDS 。 GO WLAN 网络规划了解覆盖区域的面积，信号覆盖质量要求，不同的地点有不同的覆盖要求。考察覆盖区域的现有信号分布情况，了解信号的盲点、热点和信号碰撞区域。考察覆盖区域建筑物的构成，对信号的阻挡情况。信号的接入位置与方式。考察设备可以安装的位置。无线网络覆盖规划对于高密度无线用户接入区域 , 需要考虑在同一区域内布放多个 AP 。尽量保证单个 AP 的接入用户不超过 20 个。无线信道的使用应考虑蜂窝式覆盖的方式。适当调整 AP 的发射功率。无线网络资源规划 AP 的传输距离室内 100mW AP 在理想的情况下可以覆盖半径为 200 米的范围，室内 500mW 的 AP 可以覆盖半径为 500 米的范围。但是具体的覆盖范围要看信号经过现场障碍物的衰减情况。建筑无线传输损耗＝穿透损耗中值＋偏差＋慢衰落余量 WLAN 速率取决的因素现阶段 WLAN 建设中通常使用的是协议，该协议规定的物理传输速率为 54Mbps, 理论上的吞吐量可以达到 . 一般设定每个 AP 所能带的用户数为 20 个，为了满足每个用户的带宽需求。吞吐量和带宽是很容易搞混的一个词，两者的单位都是 Mbps. 先让我们来看两者对应的英语，吞吐量 :throughput ; 带宽 : Max net bitrate 。当我们讨论通信链路的带宽时，一般是指链路上每秒所能传送的比特数。我们可以说以太网的带宽是 10Mbps 。但是，我们需要区分链路上的可用带宽（带宽）与实际链路中每秒所能传送的比特数（吞吐量）。我们倾向于用 “ 吞吐量 ” 一词来表示一个系统的测试性能。这样，因为实现受各种低效率因素的影响，所以由一段带宽为 10Mbps 的链路连接的一对节点可能只达到 2Mbps 的吞吐量。这样就意味着，一个主机上的应用能够以 2Mbps 的速度向另外的一个主机发送数据。 POE 供电电压在 44 ～ 57V 之间，典型值为 48V 。允许最大电流为 550mA ，最大启动电流为 500mA 。典型工作电流为 10 ～ 350mA ，超载检测电流为 350 ～ 500mA 。在空载条件下，最大需要电流为 5mA 。在八根线里面 1 、 2 、 3 、 6 为信号线， 4 、 5 、 7 、 8 为电源线，其中 4 、 5 为正极根据无线网络覆盖规划，资源规划，加密及认证规划，确定所建议 AP 型号，数量，外配天线型号及馈线等。根据实际情况确定数据线连线方式，供电方式等。根据实际环境确定无线网络附属设备，如交换机或认证服务器等 … 输出 AP 物理布放示意图，逻辑连接网络图，及设备清单等 … 无线网络产品规划无线交换机 + 瘦 AP 网络常用网络架构运营商瘦 AP 架构校园网案例目前产品及技术介绍 GO GO 无线交换机 + 瘦 AP 产品及技术介绍 BS-WAS-WS-1 BS-WAS-WS 无线交换机（ AC ）室内小功率型室内大功率型室外普通型室内双频三模 a/b/g 型瘦 AP 产品瘦 AP+AC 架构的特点 AC 对 AP 的深入管理 : AC 对 AP 进行的是底层信令交互，能方便地通过软件升级向网管开放更多管理和性能数据，而 FAT AP 则只能逐个升级实现 2. AC 主要完成用户验证、安全管理、移动管理， RF 管理等通过，不仅可以通过更强的硬件平台实现更复杂算法，并使得多 AP 协同的优化算法实现成为可能，可以有效提高系统的功能和性能； 3. AC 不仅能提供完善的 AP 管理功能，还可以通过灵活的配置文件方式来实现可即插即用的大批量 AP 管理 4. 管理节点上移后，运维数据采集将针对 AC 而非 AP ，网管系统受限于 AP 处理能力和性能的问题得以解决，更复杂的管理逻辑成为可能 5. 网络分层部署： AC 相当于基站控制器，而轻量级 AP 相当于基站。两级计算体系，不仅在性能上更加优化，部署时即可通过升级 AC 提高系统性能，又可通过增加 AP 逐步增加覆盖，部署灵活且有较强扩展性无线交换机工作原理无线交换机系统由无线交换机与瘦AP组成，用户只要通过配置无线交换机就可以达到配置所有AP的目的。把无线交换机比作一个AP，那么瘦AP就像它的天线一样分布在各个位置。无线交换机与瘦AP的数据交互有两种类型： 1）控制报文数据，目前有 LWAPP 、 SLAPP 、 CAPWAP 、 WiCoP 等协议，一般分为 client与server 两个进程来发送,采用TCP连接，用来配置瘦AP的参数与获得瘦AP的信息。 2）数据报文数据，由内核隧道模块发送，采用UDP连接，用来转发从无线交换机WAN端进来的报文与从瘦AP无线端进来的报文。数据传输过程：有STA连上瘦AP要访问外网时，STA发出的数据报文首先会到达瘦AP的无线端口，瘦AP会将报文进行重新封装，然后发送到无线交换机的接受线程中去，无线交换机收到数据报文后进行解封装，然后发送到 AC 所连接的外网中去；在 AC 从外网收到数据时，也会经过上面一样的过程。 (1) 轻量接入点协议（ Light Weight Access Point Protocol, LWAPP) ，描述了全面的 AC 发现、安全和系统管理方法，支持本地 MAC 和分离 MAC 机制。 LWAPP 提供了一套基于证书和共享密钥的安全机制，在 AC 和 WTP 之间建立数据和控制信道，两者可通过 2 层或 3 层连接， 2 层连接使用以太网帧传输， 3 层连接使用 UDP 传输 LWAPP 报文。通过抓包分析结果可看出， LWAPP 封装的数据报文和控制报文分别使用 UDP 12222 和 12223 端口，首部带有分组标志位，实现方式类似于 IP 分组。 (2) 安全轻量接入点协议 (Secure Light Access Point Protocol, SLAPP) ，支持桥接和隧道 2 种本地 MAC 机制，支持 WTP 端加解密和 AC 端加解密 2 种分离 MAC 机制，支持直连、 2 层和 3 层 3 种连接方式。使用成熟的技术标准来建立通信隧道，数据信道使用 GRE 技术，控制信道则使用安全的 DTLS 技术。 (3)CAPWAP 隧道协议 (CAPWAP Tunneling Protocol, CTP) ，利用扩展的 SNMP 对 WTP 进行配置和管理，虽然实现了 AP 与 WTP 互相认证及一套基于 AES-CCM 的加密规则，但是并不完善。 CTP 的控制消息着重于 STA 连接状态、 WTP 配置和状态几方面。 (4) 无线局域网控制协议 (Wireless LAN Control Protocol, WiCoP ) ，定义了包括 WTP-AC 性能协商功能在内的 AC 发现机制，定义了 QoS 参数。协议建议使用 IPsec 和 EAP 安全标准，却并未详细说明实现方法。 CAPWAP (Control And Provisioning of Wireless Access Points) LWAPP 具有完整的协议框架，定义了详细的报文结构及多方面的控制消息元素，但全新制定的安全机制还需实践验证，而 SLAPP 使用业界认可的 DTLS 技术是其亮点。相对前两者而言， CTP 和 WiCoP 实现了集中式 WLAN 体系结构的基本要求，但考虑不够全面，特别是安全性方面有所欠缺。 CAPWAP 工作组对以上 4 种通信协议进行评测后，最终采用 LWAPP 协议作为基础进行扩展，使用 DTLS 安全技术，加入其他 3 种协议的有用特性，制定了 CAPWAP 协议。瘦 AP 从启动到运行的过程为了大家能够进一步理解瘦 AP 的部署，我们先谈谈瘦 AP 的工作原理。简单的来说，瘦 AP 从启动到正常运行大致可以分为四个步骤 : 第一步 . AP 从 AC 或者 DHCP Server 那里获得一个 IP 地址。既然 AP 是一个无线信号接入点，是一个网络设备，要在 LAN 中进行正常的数据传送，必然需要一个合法的 IP 地址。为此在启动的时候，瘦 AP 需要从 DHCP 服务器中获得一个合法的 IP 地址。第二步 . 与 AC 建立联系。瘦 AP 在启动过程中，会通过广播的方式获取 AC 下发的 IP 地址，从此把 AP 与 AC 绑定在一起。第三步 . 策略代码的比较与更新。 AP 在绑定了 AC 之后，就会把其代码印象版本与本地存储的代码映像版本进行比较。如果在连接之前， AC 中的某些策略发生了变更，则 AP 将会从 AC 中下载并启用最新的印象代码 , 也就是我们说的模板。不过要生效的话，瘦 AP 必须重新启动。第四步 . 隧道的建立。当以上三个步骤完成之后，瘦 AP 与无线控制器之间会建立起两条隧道，分别为传送管理信息的控制报文隧道与传送用户数据的数据报文隧道。这两个隧道并不能够用来实现数据负载均衡，而是各有各的用途。即使在客户端数据交换频繁的时候，用来传输控制报文的隧道也不能用来传递数据报文。在瘦 AP 这么模式下， AP 发现 AC 的方式 : 3 种：一种是静态地址的方式， DHCP 方式， DNS 方式。第一种就是在 AP 里面设置静态的地址，然后指向 AC 的瘦 AP 端口； DHCP 方式是在 AC 里面开启 DHCP 地址池，然后 AP 启动 DHCP Client 方式，直接获取地址； DNS 方式一般用的很少，就是把 AC 的 LAN 口地址写成一个域名的方式写到 AP 里面，通过 FWQ 的解析可以找到 AC 。（ 1 ）用户与无线接入点 AP 实现关联；（ 2 ）控制器通过隧道协议获取用户的 MAC 地址信息；（ 3 ）将用户的 MAC 地址信息作为 Radius Access_Request 的用户名和 Password 字段发往 Radius ；（ 4 ） Radius 服务器对该用户名和 Password 进行验证，如果成功则发送 Radius Access-Accept 消息，如果失败则发送 Radius Access-Reject 消息，用户如果数次尝试失败无线控制器会通知 AP 发送 Dis-Association 消息，与用户断开空口连接；（ 5 ）控制器收到 Radius Access-Accept 消息后用户就可以根据赋予的权限访问网络资源，同时无线控制器会发出 Radius Accounting-start 的消息开始计费流程；（ 6 ）当用户与 AP 无线关联中断后，无线控制器会检测到该用户状态并发送 Radius Accounting-Stop 消息，结束流程。 MAC 认证流程无线交换机（ AC ）产品特性集中的 RF 管理安全和接入控制网络管理 SSID 就是 Service Set Identifier (eventually with an Access Point)ESSID 可以让不同的 BSS 扩展至 Extended Service Set (ESS) WMM,WIRELESS MULTIMEDIE 瘦 AP 主要特性分析集中的网络管理：大部分胖 AP 的功能被移到无线交换机上。用户不必再对单个瘦 AP 进行繁琐的设定。和瘦 AP 相关的配置，在瘦 AP 连接无线交换机时，被自动下载到瘦 AP 中。物理层 RF 层网络层应用层 MAC 层无线交换机但是瘦 AP 就 PING 不通，这也是采用本地转发的 TAP 与胖 AP 的一个差别自动 RF 规划：自动信道选择。自动功率调节。负载均衡：按终端用户数量均衡。按流量均衡。无缝漫游无线交换机和瘦 AP 之间采用隧道机制，所有无线终端就像直接连接在无线交换机上。增减无线终端无须改变有线网络配置。无线终端在 AP 间漫游时不再受限于有线网络。 VLAN 和网络设定会跟随无线终端一起移动，而不必对有线网络作任何变更。 1 1 1 1 2 2 2 2 3 3 3 非法 AP 检测：能够检测出不在无线交换机识别范围内的 AP 。瘦 AP 零配置安装：在 DNS Server 上添加无线交换机的名称（和瘦 AP 中保存的无线交换机的名称相同，最好为缺省值）到其 IP 地址的映射。差别化服务最多 8 个虚拟 AP 设定。不同的 Virtual AP 可以有不同的 VLAN 设定，认证方式，以及安全级别。 1 2 1 1 VAP1 VAP1 VAP2 VAP2 2 2 PPPOE 认证 WEB 认证 PPPOE server 其它特性 virtual ap: 举例说明 … 引出问题 : 需不需要建立 VLAN. 可扩展性 : 当瘦 AP 的数量超过 512 或 1024 时，可以布置两个以上的 AC ，所有的瘦 AP 均匀分布在这些无线交换机上。所有 AC 的出口在同一个网段内。因而所有的无线终端就像处在同一网段一样。无线交换机其它特性无线交换机这里所说的 256 台是集中转发： AC 是在主线上。采取旁挂可以带 1024 台 AP GO 　无线交换机 + 瘦 AP 常用网络架构 GO 常用架构类型　　　架构一：基于 VLAN 的无线桥接网络的构建　　　架构二：基于 VLAN 的无线路由网络的构建基于 VLAN 的无线桥接网络的构建应用背景：利用无线交换机和数量众多的无线接入点组建一定规模的无线接入网络，作为有线网络的无线延伸。通过 VLAN 来对不同类别的无线终端所能访问的资源进行限制。优点：隧道：无线终端的报文经过隧道直接到达无线交换机网络端口后面的网关 / 路由器，不对途经的有线网络产生任何影响或依赖。集中管理：通过无线交换机来集中管理数量庞大的瘦 AP ，包括固件升级、配置管理、状态监测、无线网络规划等。 1 、由无线交换机和多台瘦 AP 组成的无线接入网络中，每台瘦 AP 都提供两个无线接入标识： Test1 和 Test2 。接入无线接入标识为 Test1 的无线网络的无线终端只能访问 Internet ，而接入无线接入标识为 Test2 的无线网络的无线终端只能访问共享服务器阵列。 2 、所有的无线终端都不能访问内网服务器阵列。需求说明 Internet 内网服务器阵列共享服务器阵列 ESSID: Test1 VLAN 100 ESSID: Test2 VLAN 200 Gateway: Serial: 网络结构路由或防火墙中对 AC 以及各个服务器 IP 进行访问权限设置 / 做 3000 以上的 ACL 基于 VLAN 的无线路由网络的构建应用背景：利用无线交换机提供的基于虚拟端口的路由功能，使处于不同 VLAN 的无线和有线终端相互之间的通信成为可能。关键词：路由：通过绑定在各个 VLAN 上的虚端口（ VIF ， Virtual 　 Interface ），无线交换机为处于不同 VLAN 的终端提供报文转发 - 即路由 - 服务。要启用 NAT Internet 内网服务器阵列共享服务器阵列 ESSID: Test1 VLAN 100 ESSID: Test2 VLAN 200 Gateway: Serial: ＶＬＡＮ１００１９２ . １６８ . ０ . ＸＶＬＡＮ２００１９２ . １６８ . １ . ＸＶＬＡＮ５００网络结构 1 、 VLAN １００和VLAN ２００在网络端口 1中，VLAN 5 ００在网络端口2 中。 2 、分别为 VLAN2 ００、VLAN3 ００、VLAN5 ００创建虚拟端口。在VLAN5 ００对应的虚拟端口上启用NAT。 3 、 VLAN2 ００中的终端能访问Internet和VLAN5 ００中的共享服务器，而VLAN3 ００中的终端只能访问共享服务器阵列。需求说明常用认证方式方式一：基于 WEB 认证的无线安全网络的构建方式二：基于 PPPOE 认证的无线安全网络的构建基于 WEB 认证的无线安全网络的构建应用背景：不论是桥接网络，还是路由网络，都可以利用 WEB 认证机制对无线终端的接入请求进行身份鉴别，以提升整个网络的安全性。关键词： WEB 认证： WEB 认证无需无线终端安装额外的终端软件，直接利用 IE 等 WEB 浏览软件即可完成身份鉴别的过程。用户连上指定 SSID 后，通过 DHCP 申请 IP 地址，然后打开 WEB 浏览器，访问任意可以被访问的网址，如 www . ｂａｉｄｕ . com ，对于未成功认证过的无线终端用户，无线交换机将会向其返回一个认证页面，用户在认证页面中输入用户名、密码即可完成认证。网络架构：和上面建议的桥接网络、路由网络一样，启用 WEB 认证不会对网络架构产生任何影响。基于 PPPOE 认证的无线安全网络的构建应用背景：目前大多数操作系统都支持 PPPoE 拨号。 PPPoE 认证操作简单、易于使用，但对系统资源占用较多，建议在无线终端数量不多的环境下使用。网络架构： PPPoE 既是一种认证机制，也是一种点到点连接协议（即我们常说的 PPP 、 Point to Point ），在无线交换机应用中， PPP 连接的起点在无线终端，终点则在无线交换机。因此，必须利用无线交换机提供的路由机制，才能够让使用 PPPoE 认证、连接的无线终端能够和连接在无线交换机网络端口的其它终端进行通信。也就是说， PPPoE 只能在路由网络中使用。 GO 运营商瘦 AP 架构校园网案例 GO 校园 WLAN 的特点 1. 校园 WLAN 用户密集，而且上网时间固定。一般为晚上还有中午时段。 2. 校园 WLAN 数据流量大，学生一般通过网络观看流媒体电视，及玩各种游戏。 3. 校园 WLAN 网络覆盖的区域大，一般的校园 WLAN 覆盖所有的学生宿舍，及公共区域。联通校园 WLAN 建设案例管理 VLAN 在 TAP 内设定，并在 ONU 上让 VLAN200 透传。 BARS 上有相应的 vlan 信息从而保证每个 AP 的业务端的隔离。 AP 和 AP 间的信道相互隔离，选择 1 、 6 、 11 信道。局端设备 OLT 对用户进行汇聚，透传 vlan ， BRAS 为 PPPoE 认证用户接入服务器，对接入用户进行认证计费。 AC 旁挂在 BARS 上对 AP 进行集中控制。 AP 以静态 IP 指向 AC 。组网运营实现业务流程：业务 VLAN 在 ONU 上设置， STA 连接到指定的 SSID 后，数据流经过 ONU 打上 VLAN 标识，通过 OLT 的透传，经过 BAS 的设置的相应 VLAN 进入公网武汉联通瘦 AP 架构采用的是本地转发方式。管理流程 AP 通过 ONU 、 OLT 、 BAS 、 7450 到达 AC 的 LAN 口。在 AP 内起管理 VLAN200 ，在 7450 的 AC 端口起管理 VLAN200 ， AP 关联到 AC ， AC 给 AP 下发模板。模板包括信道、数据传输速率、我们还可以根据需要给不同区域的 AP 实行个性化的配置。 AP 获得了 AC 下发的模就正常工作了。移动校园网案例虚接口应用瘦 AP 架构采用集中转发方式。下面先介绍下虚接口： AC 上一个实实在在的千兆口 +TAP 的 SSID 以及 SSID 绑定的 VLAN 构成一个虚接口。虚接口的概念在瘦 AP 架构的集中转发中非常重要。启用 NAT 1 、在只有一个虚接口可以进入公网时，其他的虚接口可以通过 NAT 来进入公网， NAT 也解决了公网地址不够的问题。 2 、要在可以进公网的虚接口开 NAT 。案例分析业务 VLAN 有 3 个：第一个 VLAN100 为校园网，对应的 SSID 为 CMedu ，在 AC 上启用 DHCP 服务器，分配地址范围， ~ 。第二个 VLAN200 为移动网，对应的 SSID 为 CMCC ，在 AC 上启用 DHCP 服务器，分配地址范围， ~ 第三个为 VLAN300 是有线网。，在思科设备上启用 DHCP 服务器，分配地址：～该地址必须和校园服务器的子网在一个网段。外网的认证：学生登录到 CMCC ，业务 VLAN 打 VLAN200 ， AP 通过隧道传送到 AC ， AC 的 WAN 接口和另外台 AC 的认证模块相连接，由 AC 的认证模块对用户鉴权、认证。用户的出口换在思科设备上打 VLAN200 ，和移动城域网连接，提供用户上网服务。校园网：学生登录到 CMdu ，业务数据打 VLAN100 ，采用本地转发模式，通话汇聚交换机思科设备上连接到校园服务器上，学生登录校园网，由校园网服务器进行认证。有线网：学生通过有线连接到 ONU ，为有线用户打 VLAN300 ，该业务 VLAN300 通过 OLT 连接到汇聚交换机思科设备上，而有线采用移动租用宽带，在校园内部的认证服务器对学生进行认证计费，为学生用户提供上网业务。 AC 分工：一台 AC 负责对 AP 进行管理，对 AC 分配公网 IP 地址，另外一台负责对移动的用户认证鉴权计费。 DHCP 服务池的分配： AC 有两个 DHCP 池， VLAN100DHCP 服务器， VLAN200 DHCP 服务器，汇聚交换机 6509 上有一个 DHCP 池， VLAN300 DHCP 服务器。 Protal/Radius CMNET AC(1+1) Transmission Network AAA Server Web Server DHCP Server NM Server Antenna AP Switches Aggregation switches Core switches W LAN 覆盖示意图电信业务运营支持系统 (BOSS) AAA Server 城域网解决方案描述：在本网络架构中，无线终端的数据报文在到达 AP 后，被 AP 以隧道封装后送达无线交换机的 LAN 端口，解封后丢到 WAN 端口。无线终端同样需要经过 Bras 的接入认证后才能访问 Internet 。特点：无需对现有网络做任何变更无线网络和有线网络完全隔离可以通过 VLAN 对无线用户进行隔离。路由器 BRAS 交换机以太网交换机无线交换机宽带接入服务器 (BroadbandRemoteAccessServer, 简称 BRAS) 是面向宽带网络应用的新型接入网关，位于骨干网的边缘，能完成用户带宽的 IP/ATM 网的数据接入 ( 目前接入手段主要基于 xDSL/CableModem/ 高速以太网技术 (LAN)/ 无线宽带数据接入 (WLAN) 等 ) ，实现商业楼宇及小区住户的宽带上网、基于 IPSec(IPSecurityProtocol) 的 IPVPN 服务、构建企业内部 Intranet 、支持 ISP 向用户批发业务等应用。路由器运营商 AAA Server 校园网解决方案交换机交换机校园网无线交换机交换机描述：校园网目前遇到的主要问题是双重认证的问题：用户访问校园网要认证，但不收费，用户访问外网要认证，要收费。特点：支持 WEB 和双重认证。可以定义需要进行 WEB 认证的目的 IP 地址的黑白名单。用户首先进行认证，以访问无线网络。当用户访问的 IP 不在白名单内时，会弹出 WEB 登陆界面。 BRAS 学校 AAA Server 访问外网访问校园网 GO 需要注意的技术问题 GO 提请注意的问题虚拟局域网的问题瘦 AP 与无线控制器的关联方式隧道安全机制的不同虚拟局域网的问题出于安全的考虑，目前以 AP 为单位划分了 VLAN ，那么这对于瘦 AP 与无线控制器的通信是否会造成影响 ? 如通过 DHCP 服务器，瘦 AP 与 AC 设备的 IP 地址分属于不同的局域网。此时这两个设备虽然通过路由器仍然可以进行通信，但是对于其传递的管理信息是否会造成不利的影响呢 ? 通常情况下是不会造成不利影响的，或者说，其不利影响可以忽略不计。这主要是因为隧道封装的原因：在 AC 与瘦 AP 进行数据传送时，隧道会将他们之间需要传送的数据封装到 IP 分组中，从而可以跨越虚拟局域网交换或者路由这些信息。如果此时需要通过路由器来进行路由，那么在传送的环节中就多出了一环，速率会稍微受到了一些影响，不过除非这个路由器是企业网络中的瓶颈资源，否则的话，这个不利影响可以忽略不计。基于 TCP/IP 的分组交换技术，就是将数据分解称 IP 数据包 , 放在网络上传送 , 到达目的地再重组 . 而这个网络就是我们常见的 IP 承载网。不过如果部署在不同的 VLAN 中，对于后续故障的排查也会产生不利的影响。比如说当 AC 与瘦 AP 无法正常通信的话，那么造成这个故障的原因还需要考虑路由器路由信息的原因，遇到故障的时候，就必须多测试几个地方。所以虽然 AC 与瘦 AP 可以分属于不同 VLAN ，但是，为了后续工作的方便，尽量不要这么做，尽量部署在相同的 VLAN 中，把他们部署在不同的 VLAN 中只是不得已而为之的做法。比如企业中有三个 AP ，分属于三个不同的 VLAN ，此时，为他们分别配制三个不同的无线局域网控制器则显然是不合理的。在遇到这种情况时，只需要配备一个无线局域网控制器。对它们进行统一管理。瘦 AP 与 AC 的关联方式从上面的工作原理我们可以看到，瘦 AP 主动与 AC 进行联系，如果无线网络比较复杂，有多台 AC 的话， AP 会与哪个无线局域网控制器进行绑定的 ? 这个主动权主要在瘦 AP ，而不在于 AC 上。通常情况下，瘦 AP 会发送广播信息，以获得其周边的所有无线局域网控制器的 IP 地址，根据得到 IP 地址时间的先后顺序，依次进行连接请求，并自动绑定第一个允许其连接请求的 AC 。但是，这往往会造成管理上的混乱。出于负载均衡或者安全的需要，需要将 AP 能够绑定到特定的 AC 上去。　　隧道安全机制的不同在瘦 AP 与 AC 进行通信时，会采用两条隧道，分别用来传送控制信息与数据信息。通常情况下，控制报文在传送的过程中是不加密的，而数据报文在传送的过程中是加密的。虽然有隧道的保护，但是其管理信息在隧道中进行明文传输则仍然会有一定的安全隐患。为此需要通过 IPSec 等安全策略，来保障其信息传输的安全性。否则的话，非法供给者就可以通过窃听等手段来获取管理信息，并进行伪造，从而让一些非法的客户端可以通过其认证，连接到这个无线局域网中。所以，需要通过 IP 安全策略等手段来加密管理信息仍然是非常有必要的。不过在采用这些额外的安全手段时，需要进行仔细的测试，以判断能否与目前实施的安全策略兼容。现场问题简单分析举例 PPPOE 认证问题中间人攻击 PPPOE 认证问题　 1 ．终端用户有时能拨上去，有时拨不上去 2 ．已经登陆上去的用户注销，再次登陆也登不上去，显示的用户名密码错误解决方法：到客户现场，先看设备的整体配置情况，再查看连接设备的核心交换机配置，都没问题，用户上网用的是公网地址！达到高峰期时 , 在本机拨号上网，果然提示用户名和密码错误，这时抓包，连同登陆过程抓下来分析，发现异常：当拨号进行到 PPP 验证阶段 , 服务器响应给客户机的信息中包含 “DHCP NO IP” ，原来是服务器可分配的地址池已经用完了，这时登陆服务器查看，果然如此。网络中默认用户开机登陆时会自动获取一个地址，而 PPPOE 成功后又获得一个地址，这样一个用户就有两个地址，而公网地址池仅仅能维持一台 PC 一个 IP ，在接入服务器上做了 PPPOE 下不响应 DHCP 请求的设置后，问题解决。　　伪造 AP 的攻击方式示意攻击者利用伪造 AP 进行中间人攻击：伪造 AP 对于用户（终端）相当于合法 AP ；对于合法 AP 相当于用户（终端） Man-in-the-Middle Attack ，简称“ MITM 攻击 . 信息窃取当 A 、 B 通信时， C 不主动去为其“转发”，只是把他们的传输的数据备份，以获取用户网络的活动，包括账户、密码等敏感信息，这是被动攻击也是非常难被发现的。实施中间人攻击时，攻击者常考虑的方式是 ARP 欺骗或 DNS 欺骗等，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是完全透明的。以常见的 DNS 欺骗为例，目标将其 DNS 请求发送到攻击者这里，然后攻击者伪造 DNS 响应，将正确的 IP 地址替换为其他 IP ，之后你就登陆了这个攻击者指定的 IP ，而攻击者早就在这个 IP 中安排好了一个伪造的网站如某银行网站，从而骗取用户输入他们想得到的信息，如银行账号及密码等，这可以看作一种网络钓鱼攻击的一种方式。对于个人用户来说，要防范 DNS 劫持应该注意不点击不明的连接、不去来历不明的网站、不要在小网站进行网上交易，最重要的一点是记清你想去网站的域名，当然，你还可以把你常去的一些涉及到机密信息提交的网站的 IP 地址记下来，需要时直接输入 IP 地址登录。能力需求 1 ．基本的网络常识 2 ．熟练使用各种工具软件 3* ．抓包分析各种协议报文构建协议环境 , 对不同包进行分析 : *HTTP 会话截持 ,ids 旁路控制原理 ,ipass 会话包分析 ; *PPPOE, 的登陆过程及 RBAS 与后台 RADIUS 交互的 RADIUS 认证计费报文分析 ; * LINUX 搭建 SNMP 服务器，抓包分析 SNMPv2 的各种报文 ; *搭建 DHCP 服务器并分析 DHCP 在本地应用及开启 DHCP 中继的不同 ; *HTTP 代理及 SOCKET 代理的原理 , 配置 IPSEC,PPTP,L2TP 服务器 , 分析用户在拨号过程中的交互报文及 NAT-T 情况下查看报文的变化 , 并且在同时配置了 VPN 与 NAT 后判断 IOS 的处理机制 ; *分析 HTTP Tunnel 下伪装正常提供服务器的端口进行防火墙穿越 ; *IPV6 下的邻居发现机制及路由原理 ; *分析 Nmap 下的各种 TCP ， UDP ， ICMP, 扫描技术 , 分析 HTTP,TELNET,DNS ， FTP,RIPV1,RIPV2,OSPF,VRRP 等常见协议 ; * PIX 防火墙对 TCP 序列号的扰乱 , 强制修改 MSS 及对分片的处理机制 * Tiny fragment 攻击 * TCP/IP 协议本身的分析 3* ．抓包分析各种协议报文 socket 使用标准 Unix 文件描述符 (filedescriptor) 和其它程序通讯的方式。套接字是通信的基石，是支持 TCP/IP 协议的网络通信的基本操作单元。可以将套接字看作不同主机间的进程进行双向通信的端点，它构成了单个主机内及整个网络间的编程界面。 Tiny Fragment 　　字面意思为“小片段”，在网络是一种常见的攻击手段，常见于局域网。　　就是用一个很小的 TCP 碎片将第一个 TCP 数据包的头信息压到下一个碎片中。这可导致过滤网络通信的路由器忽略可能包含恶意数据的后续碎片。　　现有的 TCP/IP 协议里，在输出数据包中加入一个异常的小型数据段是有可能的。如果数据段足够的小，并且可以把 TCP 数据包中的一些头部信息域压成第二个数据段，用于说明那些领域的过滤规则将与之不再匹配。如果在过滤中不能执行极小数据段，其非法的数据包将可能通过，因为它已与过滤规则无法匹配。每个网络模式必须能够转寄 68octets 的数据报，而无需进一步的分割。这是因为一个网络头部信息可能高达 60octets ，而最小的数据段仅为 8octets GO WLAN 发展 GO W LAN 发展运营商：加速 3G+WLAN 发展 WLAN 作为 3G 业务的良好补充，两种技术拥有不同的便利性。 WLAN 相对于 3G 的优势在于上网费用比较便宜。以 CMCC 为例，它提供的笔记本 WLAN 业务每分钟收费元，而目前 3G 业务 TD 流量费为元 /KB 。按照消费者使用高速上网的习惯， 3G 上网的费用会大于使用 WLAN 上网。此外， WLAN 目前使用的技术理论下行速度在 11MB/S 左右，而捆绑了 HSDPA 的 TD 技术的理论下行速度则为 Mbps 。其他运营商的 3G 网络下行速度也在 3 Mbps 左右。消费者在有 WLAN 网络覆盖范围内使用无线局域网上网的效果明显会好于 3G 上网。当然， WLAN 也有自己的弊端，那就满足不了用户的“ Mobile ”业务需求，这大大制约了它的发展。 3G 在用户移动使用时会自动切换基站，而 WLAN 却无法保证消费者在移动状态下长时间稳定的上网。一般情况下，大家都会选择固定场所来使用 WLAN 网络，而移动状态下使用 3G 上网。当然，对于运营商不仅仅需要考虑 3G 与 WLAN 两种网络的快速搭建完善，更多的是如何平衡两种网络的发展，使其互相补充又不互相排挤。所以，目前运营商 WLAN 的发展政策给我们创造了更多机会。 HSDPA （ High Speed Downlink Packet Access ）高速下行分组接入技术。 Thank u. 服务无限延伸

联系我们

智库文档公众号

客服微信

WLAN培训.ppt

下载

标签

相关专题更多

联系我们

意见反馈

标签

相关专题 更多

联系我们

意见反馈

相关专题更多