WLAN培训

nullWLAN培训WLAN培训课程内容课程内容WLAN部分无线交换机+瘦AP网络有线部分WLAN发展需要注意的技术问题有线部分有线部分OSI参考模型TCP/IP网络概述网络概述GO网络概述LAN定义LAN定义LAN定义：通常指几公里以内的，可以通过某种介质互联的计算机、打印机、modem或其它设备的集合。 特点：距离短、延迟小、数据速率高、传输可靠。 标准(standard)：描述了协议的规定，设定了最简的性能集。LAN常用设备HUB交换机路由器LAN常用设备LAN的设计目标： 运行在有限的地理区域 允许网络设备同时访问高带宽的介质 通过局部管理控制网络的权限 提供全时的局部服务 连接物理上相邻的设备WAN定义和分类WAN定义和分类WAN定义：在大范围区域内提供数据通信服务，主要用于互连局域网。 WAN分类： 公用电话网：PSTN 综合业务数字网：ISDN 数字数据网：E1专线 公用分组交换网：X.25 帧中继：Frame Relay 异步传输模式：ATMWAN常用设备Modem/CSU/DSU路由器广域网交换机接入服务器WAN常用设备WAN的设计目标： 运行在广阔的地理区域 通过低速串行链路进行访问 网络控制服从公共服务的规则 提供全时的或部分时间的连接 连接物理上分离的、遥远的、甚至全球的设备标准化组织标准化组织国际标准化组织(ISO) 电子电器师协会(IEEE) 美国国家标准局(ANSI) 电子工业协会(EIA / TIA) 国际电信联盟(ITU) INTERNET架构委员会(IAB) OSI参考模型GOOSI参考模型OSI参考模型OSI参考模型物理层 数据链路层 网络层 传输层 会话层 表示层 应用层OSI参考模型OSI参考模型OSI RM：开放系统互连参考模型(Open System Interconnection Reference Model) OSI RM 定义了网络中设备所遵守的层次结构 分层结构的优点： 简化网络的操作 提供设备间兼容性和标准接口 促进标准化工作 结构上可以分隔 易于实现和维护 七层功能应用层表示层会话层传输层网络层数据链路层物理层1234567底层:负责网络数据传输高层:负责主机之间的数据传输七层功能七层功能应用层表示层会话层传输层网络层数据链路层物理层1234567提供应用程序间通信处理数据格式、数据加密等建立、维护和管理会话建立主机端到端连接寻址和路由选择提供介质访问、链路管理等比特流传输七层功能对等层通信主机A主机BAPDUPPDUSPDUSegmentPacketFrameBit应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层对等层通信每一层利用下一层提供的服务与对等层通信； 每一层使用自己的协议。数据封装DataDataHDataHH主机服务器交换机路由器应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层DataDataHDataHH数据封装数据封装和解封装过程数据链路层数据链路层局域网数据链路层分为2个子层： LLC子层和MAC子层。 数据链路层的功能： 物理地址定义 网络拓扑结构 链路参数 差错验证 物理介质访问 流控制（可选）MAC/物理地址BoomSence MAC 00??b3.xxxxxx 001970.xxxxxx厂商编号序列号24 bits24 bits0060b3.000001RomRamMAC/物理地址 MAC地址有48bit，用16进制数表示 MAC地址查询 http://standards.ieee.org/regauth/oui/index.shtml MAC地址需要我们到IEEE↑去注册 nullGOTCP/IP协议TCP/IP协议和OSI参考模型TCP/IP协议和OSI参考模型OSI参考模型TCP/IPTCP/IP协议栈具有简单的分层设计，与OSI参考模型有清晰的对应关系。TCP/IP协议栈TCP/IP协议栈应用层传输层网络层 数据链路层提供应用程序网络接口建立端到端连接寻址和路由选择物理介质访问二进制数据流传输物理层应用层协议应用层协议文件传输 FTP、TFTP 邮件服务 SMTP、POP3 网络管理 SNMP、Telnet、Ping、Tracert 网络服务 HTTP、DNS、WINSnullTCP连接TCP连接SYN(seq=a)SYN(seq=b,ack=a+1)SYN(seq=a+1,ack=b+1)clientserver滑动窗口滑动窗口需要修改窗口大小发送数据太快了！WLAN部分WLAN部分WLAN基础概念IEEE 802.11协议WLAN设备WLAN组网应用WLAN网络WLAN基础概念GOWLAN基础概念无线局域网 (WLAN)无线局域网 (Wireless Local Area Network) 是以射频无线电波通信技术构建的局域网，虽不采用缆线，但也能提供传统有线局域网的所有功能。无线数据通信不仅可以作为有线数据通信的补充及延伸，而且还可以与有线网络环境互为备份。无线局域网 (WLAN) InternetWLAN的技术优势WLAN的技术优势WLAN五大 技术优势 安装便捷 传输速率高 易于扩展 覆盖范围广 经济节约 无线技术无线技术PAN (Personal Area Network)LAN (Local Area Network)WAN (Wide Area Network)MAN (Metropolitan Area Network)目前几种主要的近距无线技术IrDA BlueTooth WiFi(802.11) NFC ZigBee UWB 目前几种主要的近距无线技术IrDAIrDA是一种利用红外线进行点到点通讯的技术。 IrDA(Infrared Data Association)成立于1993年。起初，采用IrDA标准的无线设备仅能在1m范围内以115.2 kb/s速率传输数据，很快发展到4Mb/s以及16Mb/s的速率。 其优点是体积小，功率低，传输速率可达16Mbps，成本低。目前它的软硬件技术都很成熟，在小型移动设备，如PDA、手机，笔记本上都有广泛使用。 IrDA是一种视距传输技术，两个相互通信的设备之间必须对准，之间不能有阻挡物，因而该技术只能用于2台设备之间的连接。IrDA目前的研究方向是如何解决视距传输问题及提高数据传输率。 IrDABlueTooth蓝牙技术诞生于1994年，Ericsson当时决定开发一种低功耗、低成本的无线接口，以建立手机及其附件间的通信。1998年，蓝牙技术协议由Ericsson、IBM、Intel、Nokia、Toshiba等5家公司达成一致。 BlueTooth技术是一种用于数字化设备之间的低成本、近距离的无线通信连接技术。其程序写在一个9mm*9mm的微型芯片上，可以方便的嵌入到设备之中。 BlueTooth技术工作在2.4GHz ISM频段上。采用跳频技术，理想连接范围为10cm-10m。 BlueTooth协议是电路交换与分组交换的结合，可以支持异步数据信道和多达三个同时进行话音信道。每个话音信到64kbps。数据信道为一端72kbps而另一端为57.6kbps的不对称连接，或43.2kbps的对称连接。BlueToothWiFi (802.11)WiFi(Wireless Fidelity),正式名称是IEEE802.11b , 随即先后推出802.11a和802.11g，统称为IEEE 802.11，是如今无线局域网通用的标准，它是由IEEE所定义的无线网络通信的标准。 最初的IEEE802.11规范是在1997年提出的，称为802.11b，主要目的是提供WLAN接入，它的工作频率也是2.4GHz，与无绳电话、蓝牙等许多不需频率使用许可证的无线设备共享同一频段。随着Wi-Fi协议新版本802.11a和802.11g的先后推出，Wi-Fi的应用越来越广泛，速度更快的802.11g与802.11b使用相同的正交频分多路复用调制技术，速率达54Mb/s。为了在不同的通讯环境下取得良好的通讯品质，采用 CSMA/CA (Carrier Sense Multi Access/Collision Avoidance) 硬件沟通方式。 WLAN主要应用在SOHO、家庭无线网络以及不便安装电缆的建筑物或场所，比如 机场、酒店、商场等公共热点场所。Wi-Fi技术可将Wi-Fi与基于XML或Java的Web服务融合起来，可以大幅度减少企业的成本。WiFi (802.11)其他近距无线技术其他近距无线技术目前使用较广泛的近距无线通信技术是Bluetooth，802.11(Wi-Fi)和IrDA，同时还有一些具有发展潜力的近距无线技术标准，它们分别是：ZigBee、超宽频(Ultra WideBand)、短距通信(NFC)、WiMedia、GPS、DECT、无线1394和专用无线系统等。 NFC（Near Field Communication，近距离无线传输）是由Philips、NOKIA和Sony主推的一种类似于RFID(非接触式射频识别)的短距离无线通信技术标准。和RFID不同，NFC采用了双向的识别和连接。在20cm距离内工作于13.56MHz频率范围。 ZigBee主要应用在短距离范围之内并且数据传输速率不高的各种电子设备之间。ZigBee名字来源于蜂群使用的赖以生存和发展的通信方式，蜜蜂通过跳ZigZag形状的舞蹈来分享新发现的食物源的位置、距离和方向等信息。 超宽带技术UWB（Ultra Wideband）是一种无线载波通信技术，它不采用正弦载波，而是利用纳秒级的非正弦波窄脉冲传输数据，因此其所占的频谱范围很宽。 它们都有其立足的特点，或基于传输速度、距离、耗电量的特殊要求；或着眼于功能的扩充性；或符合某些单一应用的特别要求；或建立竞争技术的差异化等。但是没有一种技术可以完美到足以满足所有的需求。无线设备功率情况电磁波的影响： 手机打电话时间讲长,我们就会出现头痛、头昏，脸部发烫的感觉, 这是电磁波对我们造成的可见的影响. 其它不可见的影响: 例如损害人体内包含遗传基因的DNA，杀死脑细胞, 损坏神经系统，危害用户乃至他们下一代的健康，导致癌症等。 客户端：手持式对讲机高达5瓦, GPRS上网卡是GSM频段的设备，它的发射功率最高值会达到２Ｗ，平均在６００毫瓦左右。联通CDMA的发射功率为200mW左右. 小灵通其最高发射功率大约80mW。Wi-Fi无线网卡的发射功率40mW左右，IEEE802.11规定发射功率不可超过100mW,蓝牙设备的发射功率不超过20mW.   信号发射点: 基站的发射功率取决服务范围的大小和移动电话用户的容量. 手机基站发射功率从几瓦到上百瓦不等，目前国内厂商生产的无线Wi-Fi设备发射点ＡＰ的功率也在100-500毫瓦之间。  无线设备功率情况IEEE 802.11协议GOIEEE 802.11协议IEEE 802.11标准IEEE 802.11标准IEEE 802 LAN标准系列PHYMACOSI层2OSI层1802.11的发展进程802.11：1997年，原始标准 (2Mbit/s，工作在2.4GHz) 802.11a：1999年，物理层补充 (54Mbit/s，工作在5GHz) 802.11b：1999年，物理层补充 (11Mbit/s，工作在2.4GHz) 802.11c：2001年，符合802.1d的媒体接入控制层桥接 (MAC Layer Bridging) 802.11d：2001年，根据各国无线电规定做的调整，增加跨国自适应机制 802.11e：2005年，支持服务等级 (Quality of Service) ，主要用于流媒体服务 802.11f：2003年，基站互连性 (IAPP, Inter-Access Point Protocol)，2006年撤销 802.11g：2003年，物理层补充 (54Mbit/s，工作在2.4GHz) 802.11h：2004年，专为欧洲设计，动态频率选择和传输功率控制机制 802.11i：2004年，无线网络的安全方面的补充 802.11j：2004年，专为日本设计，按照日本无线规则所做无线覆盖半径的调整 802.11k：2007年，无线资源管理，灵活调整频段频道载波等，提高频段利用效率 802.11l：预留及准备不使用 802.11m：2007年，修订和维护上述标准的细节 802.11n：2008年，草案，更高传输速率的改善，采用多进多出(MIMO) 和频道绑定（CB）的正交频分复用（OFDM）技术 ……802.11的发展进程802.11a/b/g协议802.11a/b/g协议WLAN工作频段WLAN工作频段 需执照频段： FCC:17GHz, 61GHz ETST:17GHz,18GHz,24GHz 不需执照频段： FCC:902-928MHz,2.400-2.4835GHz,5.725-5.825GHz(ISM) 1.890-1.930GHz(PCS) ETST:1.880-1.900GHz(DECT),2.445-2.475(WLAN) 中国：336-344MHz, 2.400-2.4835GHz, 5.725-5.850GHz(扩频设备)2.4GHz频段划分图2.4GHz频段划分图5GHz频段分配5GHz频段分配5.8GHz频段划分图5.8GHz频段划分图5.8GHz频段信道分配表5.8GHz频段信道分配表802.11与OSI模型802.11与OSI模型FHSS跳频扩频 (Frequency Hopping Spread Spectrum，简称FHSS) 就是载波可以在一个很宽的频带上按照伪随机码的定义从一个频率跳变到另一个频率。 使用FHSS技术，2.4G频道被划分成75个1MHz的子频道，接受方和发送方协商一个调频的模式，数据则按照这个序列在各个子频道上进行传送，每次在802.11网络上进行的会话都可能采用了一种不同的跳频模式，采用这种跳频方式主要是为了避免两个发送端同时采用同一个子频段。FHSSDSSS 直接序列扩频 (Direct Sequence Spread Spectrum，简称DSSS)就是使用具有高码率的扩频序列，在发射端扩展信号的频谱，而在接收端用相同的扩频码序列进行解扩，把展开的扩频信号还原成原来的信号。 直接序列扩频技术将2.4Ghz的频宽划分成14个22MHz的通道(Channel)，临近的通道互相重叠，在14个频段内，只有3个频段是互相不覆盖的，数据就是从这14个频段中的一个进行传送而不需要进行频道之间的跳跃。DSSSOFDM正交频分复用 (Orthogonal Frequency Division Multiplexing, 简称OFDM) 技术是一种多载波发射技术，它将可用频谱划分为许多载波，每一个载波都用低速率数据流进行调制。它获取高数据传输率的诀窍就是，把高速数据信息分开为几个交替的、并行的Bit流，分别调制到多个分离的子载频上，从而使信道频谱被分到几个独立的、非选择的频率子信道上，在AP与无线网卡之间进行传送，实现高频谱利用率。OFDM802.11 MAC层工作原理概述802.11MAC层负责客户端与AP之间的通讯。主要功能包括：扫描、接入、认证、加密、漫游和同步。 802.11MAC 报文分类： ---数据帧 用户的数据报文 ---控制帧 协助发送数据帧的控制报文，例如：RTS、CTS，ACK等 ---管理帧 负责STA和AP之间的能力级的交互，认证、关联等管理工作，例如： Beacon，Probe，Association，Authentication等802.11 MAC层工作原理概述AP用户接入管理过程AP用户接入管理过程Scanning扫描802.11MAC 使用Scanning功能来完成Discovery ---寻找和加入一个网络 ---当STA漫游时寻找一个新的AP Passive Scanning 通过侦听AP定期发送的Beacon帧来发现网络， Beacon帧中包含该AP所 属的BSS的基本信息以及AP的基本能力级，包括： BSSID (AP的MAC地 址)、 SSID、支持的速率、支持的认证方式，加密算法、Beacons帧发送 间隔，使用的信道等。当未发现包含期望的SSID的BSS时，STA可以工作 于IBSS状态 Active Scanning 在每个信道上发送Probe request报文，从Probe Response中获取BSS的 基本信息， Probe Response包含的信息和Beacon帧类似Scanning扫描Authentication认证802.11支持两种基本的认证方式： ---Open System Authentication 等同于不需要认证，没有任何安全防护能 力。通过其他方式来保证用户接入网络的 安全性，例如Address filter、用户报文中 的SSID。 ---Shared Key Authentication 采用WEP加密算法Attacker可以通过监听 AP发送的明文Challenge text和STA回复的 密文Challenge text计算出WEP KEY。 STA和AP均可通过Deauthentication来终结 认证关系 预置Authentication认证Association关联Association STA通过Association和一个AP建立 联系，后续的数据报文的收发只能 和建立Association关系的AP进行。 Reassociation STA在从一个老的AP移动到新AP时 通过Reassociation和新AP建立关 联。Reassociation 前必须经 历 Authentication过程。 Deassociation STA和AP均可通过 Deassociation 和AP解除关联关系。Association关联漫游和同步Wireless漫游的概念 – STA可以在属于同一个ESS的AP接入点接入，可以使用同一信道或不同信道； – STA可以在网络中任意移动，同时保证已有业务不中断，用户标 识不改变。 Wireless漫游的分类 – 二层漫游 • 在同一个子网内的AP间漫游 • 由于不涉及子网的变化，因此只需保证用户在AP间切换时访问网络的权限不 变即可。为了保证快速的切换，通常都会利用STA在原有AP上使用的资源。 – 三层漫游 • 在不同子网内的AP间漫游 • 除了要实现二层漫游中提到的内容以外，通常会采用一些特殊手段来保证用户 业务的不中断。目前较流行的做法有：Mobile IP（RFC3344/Mobile IPv4,RFC3375/Mobile IPv6）、 VLAN二层透传、GRE(RFC2784)、 IP in IP(RFC1853)三层隧道等。（IP encapsulation within IP/RFC 2003）漫游和同步认证和协商过程认证和协商过程AP BAP A初始化连接到一个AP漫游(再协商)的过程漫游(再协商)的过程AP BAP A初始化连接到一个新APWLAN设备GOWLAN设备无线AP无线AP (Access Point，无线访问节点) 是一个包含很广的名称，它不仅包含单纯性无线接入点，也同样是无线路由器、无线网关等类设备的统称。 无线AP主要是提供无线终端对有线局域网和从有线局域网对无线终端的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。在无线网络中，AP就相当于有线网络的集线器，它能够把各个无线终端连接起来，无线终端所使用的网卡是无线网卡，传输介质是空气。无线AP无线网桥无线网桥是为使用无线进行远距离传输的点对点网间互联而设计。它是一种在链路层实现LAN互联的存储转发设备，可用于固定数字设备与其他固定数字设备之间的远距离、高速无线组网。无线网桥有三种工作方式，点对点，点对多点，中继连接。 无线网桥可以用于连接两个或多个独立的网络段，这些独立的网络段通常位于不同的建筑内，相距几百米到几十公里。所以说它可以广泛应用在不同建筑物间的互联。同时，根据协议不同，无线网桥又可以分为2.4GHz频段和5.8GHz频段的无线网桥。无线网桥WLAN组网应用GOWLAN组网应用Ad-Hoc Ad-Hoc 也叫对等网络，是指安装有无线网络适配器（无线网卡）的多台计算机组成的局域网，它们通过无线适配器进行彼此的通讯。对等模式下的所有无线终端必须使用相同的工作信道。Ad-HocInfrastructure 基础网络结构模式中，网络中任意一台无线网络终端均可通过AP接入有线网络。此模式可作为有线网络的延伸和补充。由于无线带宽为共享带宽，通常建议一个AP可以接入20～30个无线客户端，以获取满意的访问数率。InfrastructureRoaming 漫游模式中，用户可随意在两个基础结构网络中无线漫游，从而给移动办公带来了极大的方便。RoamingWDS WDS（ Wireless Distribution System ）模式是利用无线电波作为传输介质将物理上分开的局域网连接起来，使用高增益的定向天线，可以将无线网络的传输距离扩展到20公里以上。与有线网络相比，采用无线方式，不但架设方便，而且无需月租费，维护费用低廉。WDSWLAN网络规划GOWLAN网络规划null了解覆盖区域的面积，信号覆盖质量要求，不同的地点有不同的 覆盖要求。 考察覆盖区域的现有信号分布情况，了解信号的盲点、热点和信 号碰撞区域。 考察覆盖区域建筑物的构成，对信号的阻挡情况。 信号的接入位置与方式。 考察设备可以安装的位置。无线网络覆盖规划无线网络资源规划对于高密度无线用户接入区域,需要考虑在同一区域内布放多个AP。 尽量保证单个AP的接入用户不超过20个。 无线信道的使用应考虑蜂窝式覆盖的方式。 适当调整AP的发射功率。无线网络资源规划AP的传输距离AP的传输距离室内100mW AP在理想的情况下可以覆盖半径为200米的范围，室内500mW的AP可以覆盖半径为500米的范围。但是具体的覆盖范围要看信号经过现场障碍物的衰减情况。建筑无线传输损耗＝穿透损耗中值＋偏差＋慢衰落余量WLAN速率取决的因素WLAN速率取决的因素现阶段WLAN建设中通常使用的是802.11g协议，该协议规定的物理传输速率为54Mbps,理论上的吞吐量可以达到24.4Mbps. 一般设定每个AP所能带的用户数为20个，为了满足每个用户的带宽需求。POE供电POE供电电压在44～57V之间，典型值为48V。 允许最大电流为550mA，最大启动电流为500mA。 典型工作电流为10～350mA，超载检测电流为350～500mA。 在空载条件下，最大需要电流为5mA。 在八根线里面1、2、3、6为信号线，4、5、7、8为电源线，其中4、5为正极null 根据无线网络覆盖规划，资源规划，加密及认证规划，确定所建议 AP型号，数量，外配天线型号及馈线等。 根据实际情况确定数据线连线方式，供电方式等。 根据实际环境确定无线网络附属设备，如交换机或认证服务器等… 输出AP物理布放示意图，逻辑连接网络图，及设备清单等…无线网络产品规划无线交换机+瘦AP网络无线交换机+瘦AP网络 常用网络架构运营商瘦AP架构校园网案例目前产品及技术介绍nullGOGO无线交换机+瘦AP产品及技术介绍nullBS-WAS-WS-1BS-WAS-WS无线交换机（AC）null室内小功率型室内大功率型室外普通型室内双频三模a/b/g型瘦AP产品瘦AP+AC架构的特点瘦AP+AC架构的特点AC对AP的深入管理: AC对AP进行的是底层信令交互，能方便地通过软件升级向网管开放更多管理和性能数据，而FAT AP则只能逐个升级实现 2. AC主要完成用户验证、安全管理、移动管理，RF管理等通过，不仅可以通过更强的硬件平台实现更复杂算法，并使得多AP协同的优化算法实现成为可能，可以有效提高系统的功能和性能； 3. AC不仅能提供完善的AP管理功能，还可以通过灵活的配置文件方式来实现可即插即用的大批量AP管理 4. 管理节点上移后，运维数据采集将针对AC而非AP，网管系统受限于AP处理能力和性能的问题得以解决，更复杂的管理逻辑成为可能 5. 网络分层部署：AC相当于基站控制器，而轻量级AP相当于基站。两级计算体系，不仅在性能上更加优化，部署时即可通过升级AC提高系统性能，又可通过增加AP逐步增加覆盖，部署灵活且有较强扩展性 null无线交换机工作原理无线交换机系统由无线交换机与瘦AP组成，用户只要通过配置无线交换机就可以达到配置所有AP的目的。把无线交换机比作一个AP，那么瘦AP就像它的天线一样分布在各个位置。 无线交换机与瘦AP的数据交互有两种类型： 1）控制报文数据，目前有LWAPP、SLAPP、 CAPWAP 、WiCoP等协议， 一般分为client与server两个进程来发送,采用TCP连接，用来配置瘦AP的参数与获得瘦AP的信息。 2）数据报文数据，由内核隧道模块发送，采用UDP连接，用来转发从无线交换机WAN端进来的报文与从瘦AP无线端进来的报文。 数据传输过程： 有STA连上瘦AP要访问外网时，STA发出的数据报文首先会到达瘦AP的无线端口，瘦AP会将报文进行重新封装，然后发送到无线交换机的接受线程中去，无线交换机收到数据报文后进行解封装，然后发送到AC所连接的外网中去；在AC从外网收到数据时，也会经过上面一样的过程。 瘦AP从启动到运行的过程瘦AP从启动到运行的过程为了大家能够进一步理解瘦AP的部署，我们先谈谈瘦AP的工作原理。简单的来说，瘦AP从启动到正常运行大致可以分为四个步骤: 第一步. AP从AC或者DHCP Server那里获得一个IP地址。既然AP是一个无线信号接入点，是一个网络设备，要在LAN中进行正常的数据传送，必然需要一个合法的IP地址。为此在启动的时候，瘦AP需要从DHCP服务器中获得一个合法的IP地址。 第二步.与AC建立联系。瘦AP在启动过程中，会通过广播的方式获取AC下发的IP地址，从此把AP与AC绑定在一起。 第三步.策略代码的比较与更新。AP在绑定了AC之后，就会把其代码印象版本与本地存储的代码映像版本进行比较。如果在连接之前，AC中的某些策略发生了变更，则AP将会从AC中下载并启用最新的印象代码,也就是我们说的模板。不过要生效的话，瘦AP必须重新启动。 第四步.隧道的建立。当以上三个步骤完成之后，瘦AP与无线控制器之间会建立起两条隧道，分别为传送管理信息的控制报文隧道与传送用户数据的数据报文隧道。这两个隧道并不能够用来实现数据负载均衡，而是各有各的用途。即使在客户端数据交换频繁的时候，用来传输控制报文的隧道也不能用来传递数据报文。MAC认证流程 （1）用户与无线接入点AP实现关联； （2）控制器通过隧道协议获取用户的MAC地址信息； （3）将用户的MAC地址信息作为Radius Access_Request的用户名和Password字段发往Radius； （4）Radius 服务器对该用户名和Password进行验证，如果成功则发送Radius Access-Accept消息，如果失败则发送Radius Access-Reject消息，用户如果数次尝试失败无线控制器会通知AP发送Dis-Association消息，与用户断开空口连接； （5）控制器收到Radius Access-Accept消息后用户就可以根据赋予的权限访问网络资源，同时无线控制器会发出Radius Accounting-start的消息开始计费流程； （6）当用户与AP无线关联中断后，无线控制器会检测到该用户状态并发送Radius Accounting-Stop消息，结束流程。 MAC认证流程null无线交换机（AC） 产品特性集中的RF管理安全和接入控制网络管理null瘦AP主要特性分析集中的网络管理： 大部分胖AP的功能被移到无线交换机上。 用户不必再对单个瘦AP进行繁琐的设定。 和瘦AP相关的配置，在瘦AP连接无线交换机时，被自动下载到瘦AP中。物理层RF层网络层应用层802.11 MAC层无线交换机null自动RF规划： 自动信道选择。 自动功率调节。null负载均衡： 按终端用户数量均衡。 按流量均衡。null无缝漫游 无线交换机和瘦AP之间采用隧道机制，所有无线终端就像直接连接在无线交换机上。 增减无线终端无须改变有线网络配置。无线终端在AP间漫游时不再受限于有线网络。VLAN和网络设定会跟随无线终端一起移动，而不必对有线网络作任何变更。192.168.1.2 255.255.255.0192.168.1.2 255.255.255.01 1 1 1 2 2 2 2 3 3 3 null非法AP检测： 能够检测出不在无线交换机识别范围内的AP。null瘦AP零配置安装： 在DNS Server上添加无线交换机的名称（和瘦AP中保存的无线交换机的名称相同，最好为缺省值）到其IP地址的映射。null差别化服务 最多8个虚拟AP设定。 不同的Virtual AP可以有不同的VLAN设定，认证方式，以及安全级别。1 2 1 1 VAP1VAP1VAP2VAP22 2 PPPOE认证WEB认证PPPOE server其它特性null可扩展性:当瘦AP的数量超过512或1024时，可以布置两个以上的AC，所有的瘦AP均匀分布在这些无线交换机上。所有AC的出口在同一个网段内。因而所有的无线终端就像处在同一网段一样。无线交换机其它特性无线交换机nullGO　无线交换机+瘦AP常用网络架构GOnull常用架构类型　　　架构一：基于VLAN的无线桥接网络的构建 　　　架构二：基于VLAN的无线路由网络的构建null基于VLAN的无线桥接网络的构建应用背景： 利用无线交换机和数量众多的无线接入点组建一定规模的无线接入网络，作为有线网络的无线延伸。 通过VLAN来对不同类别的无线终端所能访问的资源进行限制。 优点： 隧道：无线终端的报文经过隧道直接到达无线交换机网络端口后面的网关/路由器，不对途经的有线网络产生任何影响或依赖。 集中管理：通过无线交换机来集中管理数量庞大的瘦AP，包括固件升级、配置管理、状态监测、无线网络规划等。 null 1、由无线交换机和多台瘦AP组成的无线接入网络中，每台瘦AP都提供两个无线接入标识：Test1和Test2。接入无线接入标识为Test1的无线网络的无线终端只能访问Internet，而接入无线接入标识为Test2的无线网络的无线终端只能访问共享服务器阵列。 2、所有的无线终端都不能访问内网服务器阵列。 需求说明网络结构 Internet内网服务器阵列共享服务器阵列ESSID: Test1 VLAN 100ESSID: Test2 VLAN 200192.168.0.1192.168.0.2192.168.1.1192.168.1.2Gateway:192.168.0.193Serial:117.134.32.29网络结构null基于VLAN的无线路由网络的构建应用背景： 利用无线交换机提供的基于虚拟端口的路由功能，使处于不同VLAN的无线和有线终端相互之间的通信成为可能。 关键词： 路由：通过绑定在各个VLAN上的虚端口（VIF，Virtual　Interface），无线交换机为处于不同VLAN的终端提供报文转发-即路由-服务。网络结构 Internet内网服务器阵列共享服务器阵列ESSID: Test1 VLAN 100ESSID: Test2 VLAN 200192.168.0.1192.168.0.2192.168.1.1192.168.1.2Gateway:192.168.0.193Serial:117.134.32.29ＶＬＡＮ１００ １９２.１６８.０.ＸＶＬＡＮ２００ １９２.１６８.１.ＸＶＬＡＮ５００网络结构null1、VLAN １００和VLAN ２００在网络端口1中，VLAN 5００在网络端口2 中。 2、分别为VLAN2００、VLAN3００、VLAN5００创建虚拟端口。 在VLAN5００对应的虚拟端口上启用NAT。 3、VLAN2００中的终端能访问Internet和VLAN5００中的共享服务器，而VLAN3００中的终端只能访问共享服务器阵列。需求说明null常用认证方式方式一：基于WEB认证的无线安全网络的构建 方式二：基于PPPOE认证的无线安全网络的构建 null基于WEB认证的无线安全网络的构建应用背景： 不论是桥接网络，还是路由网络，都可以利用WEB认证机制对无线终端的接入请求进行身份鉴别，以提升整个网络的安全性。 关键词： WEB认证：WEB认证无需无线终端安装额外的终端软件，直接利用IE等WEB浏览软件即可完成身份鉴别的过程。用户连上指定SSID后，通过DHCP申请IP地址，然后打开WEB浏览器，访问任意可以被访问的网址，如www.ｂａｉｄｕ.com，对于未成功认证过的无线终端用户，无线交换机将会向其返回一个认证页面，用户在认证页面中输入用户名、密码即可完成认证。 网络架构： 和上面建议的桥接网络、路由网络一样，启用WEB认证不会对网络架构产生任何影响。null基于PPPOE认证的无线安全网络的构建应用背景： 目前大多数操作系统都支持PPPoE拨号。 PPPoE认证操作简单、易于使用，但对系统资源占用较多，建议在无线终端数量不多的环境下使用。 网络架构： PPPoE既是一种认证机制，也是一种点到点连接协议（即我们常说的PPP、Point to Point），在无线交换机应用中，PPP连接的起点在无线终端，终点则在无线交换机。 因此，必须利用无线交换机提供的路由机制，才能够让使用PPPoE认证、连接的无线终端能够和连接在无线交换机网络端口的其它终端进行通信。 也就是说，PPPoE只能在路由网络中使用。nullGO 运营商瘦AP架构校园网案例GO校园WLAN的特点校园WLAN的特点1. 校园WLAN用户密集，而且上网时间固定。一般为晚上还有中午时段。2. 校园WLAN数据流量大，学生一般通过网络观看流媒体电视，及玩各种游戏。3. 校园WLAN网络覆盖的区域大，一般的校园WLAN覆盖所有的学生宿舍，及公共区域。联通校园WLAN建设案例联通校园WLAN建设案例组网运营实现管理VLAN在TAP内设定，并在ONU上让VLAN200透传。BARS上有相应的vlan信息从而保证每个AP的业务端的隔离。 AP和AP间的信道相互隔离，选择1、6、11信道。局端设备OLT对用户进行汇聚，透传vlan，BRAS为PPPoE认证用户接入服务器，对接入用户进行认证计费。AC旁挂在BARS上对AP进行集中控制。AP以静态IP指向AC。组网运营实现业务流程：业务流程：业务VLAN在ONU上设置，STA连接到指定的SSID后，数据流经过ONU打上VLAN标识，通过OLT的透传，经过BAS的设置的相应VLAN进入公网 武汉联通瘦AP架构采用的是本地转发方式。 管理流程管理流程 AP通过ONU、OLT、BAS、7450到达AC的LAN口。 在AP内起管理VLAN200，在7450的AC端口起管理VLAN200，AP关联到AC，AC给AP下发模板。模板包括信道、数据传输速率、我们还可以根据需要给不同区域的AP实行个性化的配置。AP获得了AC下发的模就正常工作了。 null移动校园网案例虚接口应用虚接口应用瘦AP架构采用集中转发方式。 下面先介绍下虚接口：AC上一个实实在在的千兆口+TAP的SSID以及SSID绑定的VLAN构成一个虚接口。 虚接口的概念在瘦AP架构的集中转发中非常重要。 启用NAT启用NAT1、在只有一个虚接口可以进入公网时，其他的虚接口可以通过NAT来进入公网，NAT也解决了公网地址不够的问题。 2、要在可以进公网的虚接口开NAT。案例分析案例分析业务VLAN有3个： 第一个VLAN100为校园网，对应的SSID为CMedu，在AC上启用DHCP服务器，分配地址范围，190.168.100.0~192.168.199.254/16。 第二个VLAN200为移动网，对应的SSID为CMCC，在AC上启用DHCP服务器，分配地址范围， 190.169.100.0~192.169.199.254/16. 第三个为VLAN300是有线网。，在思科设备上启用DHCP服务器，分配地址：190.170.100.0～192.170.199.254/16,该地址必须和校园服务器的子网在一个网段。null外网的认证：学生登录到CMCC，业务VLAN打VLAN200，AP通过隧道传送到AC，AC的WAN接口和另外台AC的认证模块相连接，由AC的认证模块对用户鉴权、认证。用户的出口换在思科设备上打VLAN200，和移动城域网连接，提供用户上网服务。校园网：学生登录到CMdu，业务数据打VLAN100，采用本地转发模式，通话汇聚交换机思科设备上连接到校园服务器上，学生登录校园网，由校园网服务器进行认证。null有线网：学生通过有线连接到ONU，为有线用户打VLAN300，该业务VLAN300通过OLT连接到汇聚交换机思科设备上，而有线采用移动租用宽带，在校园内部的认证服务器对学生进行认证计费，为学生用户提供上网业务。AC分工：一台AC负责对AP进行管理，对AC分配公网IP地址，另外一台负责对移动的用户认证鉴权计费。DHCP服务池的分配：AC有两个DHCP池，VLAN100DHCP服务器，VLAN200 DHCP服务器，汇聚交换机6509上有一个DHCP池，VLAN300 DHCP服务器。WLAN覆盖示意图Protal/RadiusCMNETAC(1+1)Transmission NetworkAAA ServerWeb ServerDHCP ServerNM ServerAntennaAPSwitchesAggregation switchesCore switchesWLAN覆盖示意图nullAAA Server城域网解决描述： 在本网络架构中，无线终端的数据报文在到达AP后，被AP以隧道封装后送达无线交换机的LAN端口，解封后丢到WAN端口。 无线终端同样需要经过Bras的接入认证后才能访问Internet。 特点： 无需对现有网络做任何变更 无线网络和有线网络完全隔离 可以通过VLAN对无线用户进行隔离。 路由器BRAS交换机以太网交换机无线交换机null路由器运营商 AAA Server校园网解决方案交换机交换机校园网无线交换机交换机描述： 校园网目前遇到的主要问题是双重认证的问题：用户访问校园网要认证，但不收费，用户访问外网要认证，要收费。 特点： 支持WEB和802.1x双重认证。可以定义需要进行WEB认证的目的IP地址的黑白名单。 用户首先进行802.1x认证，以访问无线网络。 当用户访问的IP不在白名单内时，会弹出WEB登陆界面。 BRAS学校 AAA Server访问外网访问校园网nullGO需要注意的技术问题GO提请注意的问题提请注意的问题 虚拟局域网的问题 瘦AP与无线控制器的关联方式 隧道安全机制的不同 虚拟局域网的问题虚拟局域网的问题 出于安全的考虑，目前以AP为单位划分了VLAN，那么这对于瘦AP与无线控制器的通信是否会造成影响? 如通过DHCP服务器，瘦AP与AC设备的IP地址分属于不同的局域网。此时这两个设备虽然通过路由器仍然可以进行通信，但是对于其传递的管理信息是否会造成不利的影响呢? 通常情况下是不会造成不利影响的，或者说，其不利影响可以忽略不计。这主要是因为隧道封装的原因：在AC与瘦AP进行数据传送时，隧道会将他们之间需要传送的数据封装到IP分组中，从而可以跨越虚拟局域网交换或者路由这些信息。如果此时需要通过路由器来进行路由，那么在传送的环节中就多出了一环，速率会稍微受到了一些影响，不过除非这个路由器是企业网络中的瓶颈资源，否则的话，这个不利影响可以忽略不计。null 不过如果部署在不同的VLAN中，对于后续故障的排查也会产生不利的影响。比如说当AC与瘦AP无法正常通信的话，那么造成这个故障的原因还需要考虑路由器路由信息的原因，遇到故障的时候，就必须多测试几个地方。所以虽然AC与瘦AP可以分属于不同VLAN，但是，为了后续工作的方便，尽量不要这么做，尽量部署在相同的VLAN中，把他们部署在不同的VLAN中只是不得已而为之的做法。比如企业中有三个AP，分属于三个不同的VLAN，此时，为他们分别配制三个不同的无线局域网控制器则显然是不合理的。在遇到这种情况时，只需要配备一个无线局域网控制器。对它们进行统一管理。瘦AP与AC的关联方式瘦AP与AC的关联方式 从上面的工作原理我们可以看到，瘦AP主动与AC进行联系，如果无线网络比较复杂，有多台AC的话，AP会与哪个无线局域网控制器进行绑定的? 这个主动权主要在瘦AP，而不在于AC上。通常情况下，瘦AP会发送广播信息，以获得其周边的所有无线局域网控制器的IP地址，根据得到IP地址时间的先后顺序，依次进行连接请求，并自动绑定第一个允许其连接请求的AC。但是，这往往会造成管理上的混乱。出于负载均衡或者安全的需要，需要将AP能够绑定到特定的AC上去。 　　隧道安全机制的不同隧道安全机制的不同 在瘦AP与AC进行通信时，会采用两条隧道，分别用来传送控制信息与数据信息。通常情况下，控制报文在传送的过程中是不加密的，而数据报文在传送的过程中是加密的。虽然有隧道的保护，但是其管理信息在隧道中进行明文传输则仍然会有一定的安全隐患。为此需要通过IPSec等安全策略，来保障其信息传输的安全性。否则的话，非法供给者就可以通过窃听等手段来获取管理信息，并进行伪造，从而让一些非法的客户端可以通过其认证，连接到这个无线局域网中。所以，需要通过IP安全策略等手段来加密管理信息仍然是非常有必要的。不过在采用这些额外的安全手段时，需要进行仔细的测试，以判断能否与目前实施的安全策略兼容。现场问题简单分析举例现场问题简单分析举例 PPPOE认证问题 中间人攻击 PPPOE认证问题　PPPOE认证问题　1． 终端用户有时能拨上去，有时拨不上去 2． 已经登陆上去的用户注销，再次登陆也登不上去，显示的用户名密码错误 解决方法：到客户现场，先看设备的整体配置情况，再查看连接设备的核心交换机配置，都没问题，用户上网用的是公网地址！ 达到高峰期时,在本机拨号上网，果然提示用户名和密码错误，这时抓包，连同登陆过程抓下来分析，发现异常：当拨号进行到PPP验证阶段,服务器响应给客户机的信息中包含“DHCP NO IP”，原来是服务器可分配的地址池已经用完了，这时登陆服务器查看，果然如此。网络中默认用户开机登陆时会自动获取一个地址，而PPPOE成功后又获得一个地址，这样一个用户就有两个地址，而公网地址池仅仅能维持一台PC一个IP，在接入服务器上做了PPPOE下不响应DHCP请求的设置后，问题解决。 　　伪造 AP 的攻击方式示意 伪造 AP 的攻击方式示意 攻击者利用伪造AP进行中间人攻击： 伪造AP对于用户（终端）相当于合法AP；对于合法AP相当于用户（终端）能力需求能力需求1．基本的网络常识 2．熟练使用各种工具软件 3*．抓包分析各种协议报文 3*．抓包分析各种协议报文构建协议环境,对不同包进行分析: *HTTP会话截持,ids旁路控制原理,ipass会话包分析; *PPPOE,802.1x的登陆过程及RBAS与后台RADIUS交互的RADIUS认证计费报文分析; *LINUX搭建SNMP服务器，抓包分析SNMPv2的各种报文; *搭建DHCP服务器并分析DHCP在本地应用及开启DHCP中继的不同; *HTTP代理及SOCKET代理的原理,配置IPSEC,pptP,L2TP服务器,分析用户在拨号过程中的交互报文及NAT-T情况下查看报文的变化,并且在同时配置了VPN与NAT后判断IOS的处理机制; *分析HTTP Tunnel下伪装正常提供服务器的端口进行防火墙穿越; *IPV6下的邻居发现机制及路由原理; *分析Nmap下的各种TCP，UDP，ICMP,扫描技术,分析HTTP,TELNET,DNS，FTP,RIPV1,RIPV2,OSPF,VRRP等常见协议; *PIX防火墙对TCP序列号的扰乱,强制修改MSS及对分片的处理机制 *Tiny fragment攻击 *TCP/IP协议本身的分析3*．抓包分析各种协议报文nullGO WLAN发展GOWLAN发展WLAN发展 运营商：加速3G+WLAN发展 WLAN作为3G业务的良好补充，两种技术拥有不同的便利性。WLAN相对于3G的优势在于上网费用比较便宜。以CMCC为例，它提供的笔记本WLAN业务每分钟收费0.05元，而目前3G业务TD流量费为0.01元/KB。按照消费者使用高速上网的习惯，3G上网的费用会大于使用WLAN上网。此外，WLAN目前使用的技术理论下行速度在11MB/S左右，而捆绑了HSDPA的TD技术的理论下行速度则为2.8 Mbps。其他运营商的3G网络下行速度也在3 Mbps左右。消费者在有WLAN网络覆盖范围内使用无线局域网上网的效果明显会好于3G上网。当然，WLAN也有自己的弊端，那就满足不了用户的“Mobile”业务需求，这大大制约了它的发展。3G在用户移动使用时会自动切换基站，而WLAN却无法保证消费者在移动状态下长时间稳定的上网。一般情况下，大家都会选择固定场所来使用WLAN网络，而移动状态下使用3G上网。 当然，对于运营商不仅仅需要考虑3G与WLAN两种网络的快速搭建完善，更多的是如何平衡两种网络的发展，使其互相补充又不互相排挤。 所以，目前运营商WLAN的发展政策给我们创造了更多机会。Thank u.Thank u.服务无限延伸