WLAN网络技术与维护交流

nullnull目录null目录WLAN热点告警分析和告警处理null目录第一部分 WLAN原理、理论基础知识 第一部分 WLAN原理、理论基础知识 nullWLAN（无线局域网）是什么？无线局域网 (Wireless Local Area Network) 是以射频无线电波通信技术构建的局域网，虽不采用缆线，但也能提供传统有线局域网的所有功能。无线数据通信不仅可以作为有线数据通信的补充及延伸，而且还可以与有线网络环境互为备份。 TCP/IP协议 TCP/IP协议一、TCP/IP协议的基本概念 TCP/IP协议是Internet中计算机之间进行网络通信所必须共同遵循的一种通信协议； 是以传输控制协议（Transmission Control Protocol）和网际协议（Internet Protocol）为核心的一组协议。 二、TCP/IP参考模型的发展 在TCP/IP协议研究时没有提出参考模型； 1974年Kahn定义了最早的TCP/IP参考模型； 1985年Leiner等对TCP/IP参考模型进一步的研究； 目前我们使用的是版本4，一般被称为IPv4； IPv6被称为下一代的IP协议。三、TCP/IP协议的特点三、TCP/IP协议的特点开放的协议标准，可以免费使用，并且独立于特定的计算机硬件与操作系统，随着新的网络服务的不断出现， TCP/IP 不断补充； 独立于特定的网络硬件，可以运行在局域网、广域网，更适用于互连网中；适用于不同类型的计算机与网络之间的互联。 采用统一的网络地址分配方案，使得整个TCP/IP设备在网中都具有唯一的地址； 标准化的高层协议，提供多种可靠的用户服务。四、TCP/IP的参考模型四、TCP/IP的参考模型TCP/IP分为四个层次，分别是网络接口层、网际层、传输层和应用层。 TCP/IP的层次结构与OSI层次结构的对照关系如下图所示：对等层通信对等层通信主机A主机BAPDUPPDUSPDUSegmentPacketFrameBit应用层 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层数据封装数据封装DataDataHDataHH主机服务器交换机路由器应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层DataDataHDataHH1、网络接口层1、网络接口层又被称为网络访问层，包括了能使用TCP/IP与物理网络进行通信的协议，它对应OSI的物理层和数据链路层。TCP/IP标准并没有定义具体的网络接口协议，仅定义了如何与不同网络进行接口。 TCP/IP参考模型的最低层，负责通过网络介质发送和接收TCP/IP数据包; 允许主机连入网络时使用多种现成的与流行的协议，例如局域网的Ethernet、令牌网、分组交换网的X.25、帧中继、ATM协议等; 充分体现出TCP/IP协议的兼容性与适应性，它也为TCP/IP的成功奠定了基础。2. 网际层(网络互联层)2. 网际层(网络互联层)网际层是在TCP/IP标准中正式定义的第一层。 网际层所执行的主要功能： 处理来自传输层的分组，将分组形成数据包（IP数据包），并为该数据包进行路径选择，最终将数据包从源主机发送到目的主机。 处理接收的数据报：检查地址、处理或转发。 处理互连的路径、流量控制、拥塞问题。 在网际层中，最常用的协议是网际协议IP，其它一些协议用来协助IP的操作。网际层的协议网际层的协议网际协议IP (Internet Protocol) IP协议的任务是对数据包进行相应的寻址和路由，并从一个网络转发到另一个网络。 向上一层提供统一的IP数据报，屏蔽低层各物理数据帧的差异性。 网际控制报文协议ICMP (Internet Control Message Protocol) 为IP协议提供差错 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 。专门用来处理错误报告和控制。 地址解析协议ARP (Address Resolution Protocol)和反向地址解析协议RARP3、传输层3、传输层传输层也被称为主机至主机层，主要负责主机到主机之间实体间端对到端通信，解决下层没有处理的通信问题。 传输控制协议TCP (Transmission Control Protocol) 是传输层一种面向连接的通信协议，提供可靠的数据传送。 完成流量控制和差错检验的任务，保证可靠的数据传输。 用户数据报协议UDP (User Datagram Protocol) UDP协议是一种面向无连接的协议，它不能提供可靠的数据传输。 UDP不进行差错检验，必须由应用层的应用程序实现可靠性机制和差错控制，以保证端到端数据传输的正确性。4. 应用层4. 应用层包含多有的高层协议，为应用程序提供访问其它层服务的能力，定义应用程序用于交换数据的协议，为用户提供所需的各种服务。 在TCP/IP模型中，应用程序接口是最高层，它与OSI模型中的高三层的任务相同，用于提供网络服务，比如文件传输、远程登录、域名服务和简单网络管理等。应用层协议（一）应用层协议（一）超文本传输协议HTTP 用于Internet中的客户机与WWW服务器之间的数据传输； 文件传输协议FTP 实现主机之间的文件传送； 远程终端协议TELNET 本地主机作为仿真终端，登录到远程主机上运行应用程序； 简单邮件传输协议SMTP 实现主机之间电子邮件的传送； 域名服务DNS 用于实现主机名与IP地址之间的映射；应用层协议（二）应用层协议（二）路由信息协议RIP 用于网络设备之间交换路由信息； 动态主机配置协议DHCP 实现对主机的地址分配和配置工作。 网络文件系统NFS 实现主机之间的文件系统的共享； 引导协议BOOTP 用于无盘主机或工作站的启动 简单网络管理协议SNMP 实现网络的管理；五、TCP/IP协议集 五、TCP/IP协议集 IP地址IP地址1、 IP地址概述 概念： 为了实现主机间的通信，Internet采用一种全局通用的地址格式，为每一台主机分配一个唯一不重复地址，以此屏蔽物理网络地址的差异。 作用： 用于标识连入因特网上的每台主机，它是每台主机唯一的标识。 IP地址是全球认可的通用地址格式，IP地址是全网唯一的。 IP地址是运行TCP/IP协议的唯一标识。2、IP地址的格式2、IP地址的格式IP地址的格式： IP地址由网络号与主机号两部分组成，网络号标识一个逻辑网络，主机号标识网络中一台主机； 在IPv4中，一个IP地址由32个二进制比特数字组成，通常被分割为4段，每段8比特，并用点分十进制表示。如：202.117.179.251 包括三个部分：地址类别、网络号和主机号； 虚拟局域网（VLAN）虚拟局域网（VLAN）什么是虚拟局域网（VLAN） 通过路由和交换设备，在网络的物理拓朴结构基础上建立一个逻辑网络，以使得网络中任意几个局域网网段或（和）节点能够组合成一个逻辑上的局域网。 建立在局域网交换机上，以软件方式实现逻辑工作组的划分与管理，逻辑工作组的节点组成不受物理位置的限制； 同一逻辑分组的成员可以分布在相同的物理网段上，也可以分布在不同的网络上；nullVLAN的优点控制网络的广播风暴； 确保网络的安全性； 简化网络管理；组建VLAN的原则 组建VLAN的原则 在网络中尽量使用同一厂家的交换机，而且在能用交换机的地方尽量使用交换机； 使用交换机组建一个范围尽可能大的交换链路，并且让尽可能多的计算机直接连接到交换机上； 层次化地将交换机与交换机相连，要避免使用传统的路由器，以保持整个网络的连通性。 根据应用的需要，使用软件划分出若干个VLAN。每个VLAN上的所有计算机不论其所在的物理位置如何，都处在一个逻辑网中。 VLAN之间可以互通，也可以不相通。若要实现其中的某些VLAN能够互通，则使用一台中央路由器（或者路由交换机），将这些VLAN互连起来，从而形成一个完整的VLAN。从LAN到Internet从LAN到InternetPCsServerSWITCHLAN1LAN3LAN2192.168.1.0/24192.168.2.0/24192.168.3.0/24从LAN到Internet从LAN到InternetPCsServerSWITCHRouterLAN1 192.168.1.0/24LAN2 192.168.2.0/24LAN3 192.168.3.0/24网关LAN与Internet主干网LAN与Internet主干网null速率、安全、QoS、漫游无线标准的四大核心IEEE 802.11工作组制定无线局域网标准 速率标准：802.11(2M)、802.11b(11M)、802.11a/g(54M)、802.11n(600M) 安全标准：802.11i,WAPI(中国国家标准，目前已经是三大运营商企业标准） QoS标准：802.11e 漫游标准：802.11r1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009802.11802.11a802.11b802.11iWAPI802.11e802.11n802.11r802.11g无线局域网标准发展null802.11标准发展null2.4G信道频率的划分影响WLAN通讯的常见因素影响WLAN通讯的常见因素同频干扰 802.11b/g及802.11n工作的2.4GHz频段属于无需授权使用的免费频段。日常生活中存在许多在此频段工作的设备，如其它AP设备、蓝牙、微波炉、无绳电话、ZigBee产品等。而2.4GHz频段只有3个非重叠信道，因此很容易产生同频或临频干扰。 802.11a及802.11n工作的5.8GHz频段相比2.4GHz频段要干净，但随着802.11n的普及应用，该频段的信道干扰也将随之变得严重。影响WLAN通讯的常见因素影响WLAN通讯的常见因素障碍物 无线电波在传播过程中遇到无法绕射的障碍物时，将会发生透射传播。根据所穿透的障碍物材质及其厚度和电磁波的频率，透射所产生的损耗也不一样。典型障碍物衰减量影响WLAN通讯的常见因素影响WLAN通讯的常见因素多径干扰 由于信号在传播链路中经过反射、散射、衍射等传播，到达接收端的信号往往是多个幅度和相位各不相同的信号的叠加，以至于接收到的信号幅度出现随机起伏变化，形成多径衰落。避免无线传播干扰的方法避免无线传播干扰的方法合理的信道规划 科学规划信道资源，避免设备间同频干扰。不合理的二维信道 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 合理的二维信道设计合理的三维信道设计避免无线传播干扰的方法避免无线传播干扰的方法合理的射频功率调整 合理调整AP功率，避免设备间相互干扰。合理的信道设计，不合理的功率设计合理的信道和功率设计null2.4G频段的划分及覆盖 第二部分 WLAN组件介绍第二部分 WLAN组件介绍nullAC2400,F512简介AC2400,F512前面板简要图如下 二层接口，默认属于vlan 1，IP地址是192.168.0.1。 三层接口（电口） 三层接口（光口） 注意： 1．默认二层口数据走交换芯片转发，可以给VLAN接口启用高级路由模式使数据经过CPU转发。 2．三层电口和光口默认为三层接口，数据默认走CPU转发。 3．三层电口和光口为互斥接口。nullAC2400,F1024前面板简要图如下主控板 主控板10/100/1000M自适应电口 控板1000M光口 控制台接口 四个业务插槽 双电源插口模块,可选交流(220V)直流(-48V)AC2400,F1024简介nullAP（无线接入点产品）AP2600-I 双频室内系列AP2600-O 双频室外系列AP2400-O 单频室外系列AP2400-I 单频室内系列AP2x00-I【新外观】AP与无线网桥产品null京信802.11n 产品概述AP2400 / AP2600 系列无线接入点产品特点 采用高性能处理器 高吞吐量及强劲的负载能力 支持胖瘦AP模式转换 支持802.11n，向下兼容802.11a/b/g 搭配不同网卡，支持不同无线模式 1×1 / 2×2天线配置 10/100/1000M自适应以太网 支持802.3af / 802.3at PoE规范 null京信四扇区智能天线基站null京信单扇区智能天线基站null京信交换机系列Comba 24口POE交换机null京信交换机系列Comba 8口POE交换机第三部分 WLAN网络架构分析第三部分 WLAN网络架构分析null组网方式null瘦AP在AC上注册流程瘦AP为零配置，必须在AC上注册，从AC获得配置后才可以工作 瘦AP在AC注册有两种情况： 瘦AP与AC直连和二层组网注册流程 手动指定AC地址 广播发现AC地址 DHCP的option 43属性获取AC的地址 DNS解析获取AC的地址 瘦AP与AC三层网络连接注册流程 手动指定AC地址 DHCP的option 43属性获取AC的地址 DNS解析获取AC的地址 null注册流程方式优先级的对比null瘦AP与AC直连和二层组网注册流程1.获取ip地址2.二层广播发现请求3.AC回复AP的请求响应4.配置下发5.数据传递DHCP serverAPAC广播发现nullAP通过DHCP server获取IP地址   AP二层广播，寻找AC   AC回应AP寻求   AP从AC 获取正确的配置   AP正常工作，和AC交互数据 瘦AP与AC直连和二层组网注册流程null瘦AP与AC三层组网注册流程—option43方式1.获取ip地址,option属性带有AC地址2.AP单播发现请求3.AC回复AP的请求响应4.配置下发5.数据传递DHCP serverAPnullAP通过DHCP server获取IP地址，option43属性携带AC的IP地址   AP从option43属性中获取AC的地址，然后向AC发单播请求   AC接到请求后响应AP的请求   AP从AC获取正确的配置   AP正常工作，和AC交互数据 瘦AP与AC三层组网注册流程—option43方式null瘦AP与AC三层组网注册流程—option43方式null瘦AP与AC三层组网注册流程—DNS方式1.获取ip地址和DNSserver，解析AC的ip地址2.AP单播发现请求3.AC回复AP的请求响应4.配置下发5.数据传递DNS serverAPnullAP通过DHCP server获取ip地址和DNS server地址及OP15里指 定 AC域名，通过DNS-SRV解析出AC的IP地址 AP发单播请求到AC   AC回复AP的请求响应   AP从AC获取正确的配置信息   正常工作和AC交互数据 瘦AP与AC三层组网注册流程—DNS方式null数据转发架构——本地转发利用瘦AP本地转发方式进行大规模组网，可以完全代替目前主要采用的集中转发方式，在本地转发方式下，网管、安全 、漫游、QOS、负载均衡、流控、二层隔离等功能还是由AC统一控制，再由AP具体实施；只是业务数据不通过隧道传送到AC，再经由AC解封后统一转发，而是由AP本地转发。AC采用旁挂的方式，用户的流量无需经过AC。 此组网方式的优势主要体现在，将业务数据转发任务分散到AP,降低AC压力，轻松应对带宽挑战，彻底解决AC瓶颈问题，提高网络整体吞吐率，顺利迎接11n时代null本地转发数据流向图数据转发架构——本地转发null集中转发组网，AP和AC之间单独建立一条隧道传输数据业务，所有的数据业务都通过AC转发出去，所以AC的负荷比较大。 集中转发所有的数据包都要走隧道，所以对链路的带宽 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 较高，并且对AC接口的带宽要求也较高。由于集中转发的数据包要封装到隧道里再转发走，所以对AP的CPU消耗比本地转发更大。 由于对带宽要求较高，所以集中转发的AC可管理的AP数量也会受到一定限制。这样对于规模较大的网络通常有热备份的要求，会增加成本。 此外，当隧道转发出现不通或者丢包现象时，查找网络故障难度比本地转发高。 集中转发的优点是对于现网改动较小。数据转发架构——集中转发null本地转发和集中转发对比列表nullPORTAL的概念 Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。通常用来提供个性化、单次登录、聚集各个信息源的内容，并作为信息系统表现层的宿主。 未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源 null产生背景 在传统的组网环境中，用户只要能接入局域网设备，就可以访问网络中的设备或资源，为加强网络资源的安全控制和运营管理，很多情况下需要对用户的访问进行控制。 例如，在一些公共场合、小区或公司的网络接入点，提供接入服务的供应商希望只允许付费的合法用户接入，所以供应商为每个用户提供一个接入网络的账号和密码。另外，一些企业会提供一些内部关键资源给外部用户访问，并且希望经过有效认证的用户才可以访问这些资源。 null技术优点 不需要部署客户端，直接使用WEB页面认证，使用方便； 可以基于VLAN/SSID/WTPid粒度级别的个性化认证页面，同时可以在Portal页面上开展广告业务、服务选择和信息发布等内容，进行业务拓展，实现IP网络的运营； 并采用Portal server和Portal client之间，BAS和Portal client之间定期发送握手报文的方式来进行断网检测； 可以跨越网络层对用户作认证，可以在企业网络出口或关键数据的入口作访问控制； null详细认证流程图nullPortal交互过程分析1、用户访问网站，经过AC重定向到Portal Server； 2、Portal server推送统一的认证页面； 3、用户填入用户名、密码，提交页面，向Portal Server发起连 接请求null4、Portal向Radius发出用户信息查询请求，由Radius验证用户密码、查询用户信息，并向Portal返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息； 5、如果查询失败，Portal结束认证流程，并直接返回提示信息给用户，指导用户开户及正确使用Portal交互过程分析null6、如果查询成功，Portal Server向AC请求Challenge； 7、AC分配Challenge给Portal Server； 8、Portal Server向AC发起认证请求；Portal交互过程分析nullChallenge报文分析注意：如果抓包没有收到challenge报文，则需要portal sevver查明原因Portal交互过程分析nullRadius认证计费过程分析9、AC携带用户名和密码发起认证请求； 10、radius返回认证结果； 11、在次发起计费请求； 12、radius回应计费请求；nullRadish报文分析：access-requestRadius认证计费过程分析nullRadish报文分析：access-acceptRadius认证计费过程分析Radius认证计费过程分析Radish报文分析：access-reject(拒绝报文)注意：如果收到此种报文，需由radius端给出说明Radius认证计费过程分析nullRadish报文分析：accounting-requestRadius认证计费过程分析nullRadish报文分析：accounting-responseRadius认证计费过程分析null13、AC向Portal Server送认证结果 14、Portal Server根据编码规则判断帐户的归属地，推送归属地定制的个性化页面，并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面，和门户网站一起推送给客户,同时启动正计时提醒 15、Portal Server回应确认收到认证结果的报文Radius认证计费过程分析null用户下线过程分析下线过程分为三种情况： 1、主动发起下线请求（即点击下线按钮） 2、强制显现流程（即直接关闭portal页面） 3、异常下线流程（AC自己侦测到用户下线）null主动下线过程：（1）用户发起下线请求到Portal Server； （2）Portal Server向AC请求下线； （3）AC回应Portal Server下线请求； （4）Portal Server推送下线结果页面给用户用户下线过程分析null强制下线过程：（1）AC侦测到用户的本次连接最大允许接入时间结束，向Portal Server请求下线； （2）Portal Server回应下线成功，并向用户推送下线结果页面。 用户下线过程分析null异常下线过程：（1）AC侦测到用户下线，向Portal Server请求下线； （2）Portal Server回应下线成功；用户下线过程分析null用户下线停止计费报文分析：用户下线过程分析null以上过程为中国移动wlan业务portal协议规范。第四部分 WLAN安全技术 第四部分 WLAN安全技术 无线局域网的安全问题无线局域网的安全问题 物理安全 无线设备包括站点（STA）和接入点（AP）。站点通常由一台PC机或笔记本电脑加上一块无线网络接口卡构成；接入点通常由一个无线输出口和一个有线的网络接口构成，其作用是提供无线和有线网络之间的桥接。物理安全是关于这些无线设备自身的安全问题，主要表现在： 无线设备存在许多的限制，这将对存储在这些设备的数据和设备间建立的通信链路安全产生潜在的影响。与个人计算机相比，无线设备如个人数字助理等，存在如电池寿命短、显示器小等缺陷。 无线设备虽有一定的保护措施，但这些保护措施总是基于最小信息保护需求的。因此，必须加强无线设备的各种防护措施。 无线局域网的安全问题无线局域网的安全问题2. 存在的威胁 由无线局域网的传输介质的特殊性，使得信息在传输过程中具有更多的不确定性，受到影响更大，主要表现在： 窃听。任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听，但是发送者和预期的接收者无法知道传输是否被窃听，且无法检测窃听。 修改替换。在无线局域网中，较强节点可以屏蔽较弱节点，用自已的数据取代，甚至会代替其他节点作出反应。 传递信任。当公司网络包括一部分无线局域网时，就会为攻击者提供一个不需要物理安装的接口用于网络入侵。因此，参与通信的双方都应该能相互认证。 无线网络面临的安全问题无线网络面临的安全问题基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软件臭虫、错误配置、硬件故障等。但是针对这种攻击进行的保护几乎是不可能的，所能做的就是尽可能地降低破坏所造成的损失。 拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击，攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行，从而导致正常的用户无法使用网络。 置信攻击。通常情况下，攻击者可以将自己伪造成基站。当攻击者拥有一个很强的发送设备时，就可以让移动设备尝试登录到他的网络，通过分析窃取密钥和口令，以便发动针对性的攻击。 无线局域网安全技术无线局域网安全技术1. 服务集标识符 服务集标识符（SSID）技术将一个无线局域网分为几个需要不同身份验证的子网，每一个子网都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络，同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点（AP）区分的标志，无线接入用户必须设定SSID才能和AP通信。通常SSID须事先设置于所有使用者的无线网卡及A P中。尝试连接到无线网络的系统在被允许进入之前必须提供SSID，这是唯一标识网络的字符串。 但是SSID对于网络中所有用户都是相同的字符串，其安全性差，人们可以轻易地从每个信息包的明文里窃取到它。 无线局域网安全技术无线局域网安全技术2. 物理地址过滤 每个无线工作站的网卡都有唯一的物理地址，应用媒体访问控制（MAC）技术，可在无线局域网的每一个AP设置一个许可接入的用户的MAC地址清单，MAC地址不在清单中的用户，接入点将拒绝其接入请求。但媒体访问控制只适合于小型网络规模。这是因为： MAC地址在网上是明码模式传送，只要监听网络便可从中截取或盗用该MAC地址，进而伪装使用者潜入企业或组织内部偷取机密资料。 部分无线网卡允许通过软件来更改其MAC地址，可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址，因此可通过访问控制的检查而获取访问受保护网络的权限。 媒体访问控制属于硬件认证，而不是用户认证。无线局域网安全技术无线局域网安全技术3. 有线对等保密 有线等效保密（WEP）是常见的资料加密措施，WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。在链路层采用RC4对称加密技术，当用户的加密密钥与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。 WEP的工作原理是通过一组40位或128位的密钥作为认证口令，当WEP功能启动时，每台工作站都使用这个密钥，将准备传输的资料加密运算形成新的资料，并透过无线电波传送，另一工作站在接收到资料时，也利用同一组密钥来确认资料并做解码动作，以获得原始资料。 无线局域网安全技术无线局域网安全技术WEP目的是向无线局域网提供与有线网络相同级别的安全保护，它用于保障无线通信信号的安全，即保密性和完整性。但WEP提供了40位长度的密钥机制存在许多缺陷，表现在： 40位的密钥现在很容易破解。 密钥是手工输入与维护，更换密钥费时和困难，密钥通常长时间使用而很少更换，若一个用户丢失密钥，则将危及到整个网络。 WEP标准支持每个信息包的加密功能，但不支持对每个信息包的验证。 现在针对WEP的不足之处，对WEP加以扩展，提出了动态安全链路技术（DSL）。DSL采用了128 位动态分配的密钥，每一个会话都自动生成一把密钥，并且在同一个会话期间，对于每256个数据包，密钥将自动改变一次。 无线局域网安全技术无线局域网安全技术4. Wi-Fi保护接入 Wi-Fi保护性接入（WPA）是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。 WPA标准采用了TKIP、EAP和802.1X等技术，在保持Wi-Fi认证产品硬件可用性的基础上，解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。 无线网络的安全技术无线网络的安全技术5. 国家标准WAPI 国家标准WAPI（WAPI），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法，分别用于WLAN设备的数字证 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf 、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。 WAPI的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端（MT）与无线接入点（AP）间双向鉴别。另外，它充分考虑了市场应用，从应用模式上可分为单点式和集中式。采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状，从而根本上解决安全和兼容性问题。 无线网络的安全技术无线网络的安全技术6. 端口访问控制技术 端口访问控制技术(802.1x)是由IEEE定义的，用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权，可以用于局域网，也可以用于城域网。802.1x引入了PPP协议定义的扩展认证协议EAP。EAP采用更多的认证机制，如MD5、一次性口令等等，从而提供更高级别的安全。 802.1x是运行在无线网设备关联，其认证层次包括两方面：客户端到认证端，认证端到认证服务器。802.1x定义客户端到认证端采用EAP over LAN 协议，认证端到认证服务器采用EAP over RADIUS协议。 无线网络的安全技术无线网络的安全技术802.1x要求无线工作站安装802.1x客户端软件，无线访问站点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。 但是802.1x采用的用户认证信息仅仅是用户名与口令，在存储、使用和认证信息传递中可能泄漏、丢失，存在很大安全隐患。加上无线接入点AP与RADIUS服务器之间用于认认证的共享密钥是静态的，且是手工管理，也存在一定的安全隐患。 无线网络的安全技术无线网络的安全技术7. 虚拟专用网络 虚拟专用网络（VPN，Virtual Private Network）指使用互联网连接物理上分散的系统来模拟单一专用网的安全方式，通过隧道和加密技术保证专用数据的网络安全性。保护内部网免遭公共互联网攻击的技术是VPN防火墙。同样无线LAN，也可以采用该安全框架，即安装两道防火墙：一个作为进入内部网的网关，另一个处于无线LAN和内部网之间，无线防火墙只允VPN通信，如图8.22所示。 无线用户可以向无线基础设施认证自己。实际上，把无线网络和有线网络隔离，只允许VPN通信经过，是利用了缓冲区的办法来增强网络安全性。此外，基于IPsec的VPN技术采用的IP层加密协议，可以防止通信被窃听。 无线网络的安全技术无线网络的安全技术 无线虚拟专用网安全框架无线网络的安全技术无线网络的安全技术VPN可以替代无线对等加密解决方案和物理地址过滤解决方案，也可以与WEP协议互补使用。但是VPN技术应用于无线网络也有其局限性，具体表现在： 运行脆弱。因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是很常见的 。 吞吐量小。在一个VPN网络里进行的任何交换必须经过一个VPN服务器，一台典型的VPN服务器能够达到30-50 Mbps的数据吞吐量。 通用性差。VPN技术在国内、甚至在国际上没有一个统一的开发标准。 扩展性差。改变一个VPN网络的拓扑结构或内容，用户将不得不重新规划并进行网络配置。 成本高。上述3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另外， VPN产品价格就很高。 第五部分 WLAN网管监控知识第五部分 WLAN网管监控知识nullSnmp介绍SNMP（Simple Network Managed Protocol）是简单网络管理协议的简称，首先是由工程任务组织IETF研究小组为了解决Internet上的路由管理问题而提出的，属于应用层协议。 由于其简单易用，是事实上的网络管理工业标准。 目前有SNMPv1、SNMPv2、SNMPv3三种正式版本 nullSNMP网络管理模型SNMP网络管理模型有4个组成部分： 被管理节点（Management Node）：运行SNMP代理程序（SNMP agent），维护一个本地数据库，描述节点的状态和历史，并影响节点的运行 管理站（Management Station）：运行专门的网络管理软件（manager），使用管理协议与被管理节点上的SNMP代理通信，维护管理信息库 管理信息库（Management Information Base）：每个站点使用一个或多个变量描述自己的状态，这些变量称为“对象（objects）”，所有的对象组成管理信息库MIB（Management Information Base） 管理协议（Management Protocol）：管理协议用于管理工作站查询和修改被管理节点的状态，被管理节点可以使用管理协议向管理站点产生“陷阱（trap）”报告 SNMP处理流程SNMP处理流程null    SNMP管理协议的5种消息类型 （1）get–request        操作：从代理进程处提取一个或多个参数值。 （2）get-next-request        操作：从代理进程处提取一个或多个参数的下一个参数值。 （3）set-request        操作：设置代理进程的一个或多个参数值。 （4）get-response        操作：返回的一个或多个参数值。这个操作是由代理进程发出的。它是前面3 中操作的响应操作。 （5）trap        操作：代理进程主动发出的报文，通知管理进程有某些事情发生。 SNMP消息类型nullSNMP配置登陆ac的web页面，点击snmpnull默认snmp和trap关闭 缓存周期是发给snmp服务器的数据，在周期内不会改变。摘要信息null共同体信息默认共同体public为读，匹配所有地址 默认共同体private为读写，匹配所有地址 注：可以添加、删除和修改共同体，以精确匹配条件。null添加TRAP告警服务器第六部分 WLAN相关性能统计指标监控 第六部分 WLAN相关性能统计指标监控 null性能参数类别 系统性能统计 连接信息统计 接口性能统计 SSID性能统计 终端性能统计 WAPI性能统计 QoS性能统计WLAN性能统计nullWLAN性能统计指标nullWLAN性能统计指标null性能计算方法 －－非直观参数　　像网元名称、信道号等参数都比较直观，从设备上查询到的值很容易明白。 　　但有不少参数需要结合MIB库中的描述或设备厂家提供的说明、或者要对一段时间的数据进行计算才能得到有意义的显示值。 　　非直观参数的值如何让人明白，这是网管软件通常做的事情。对于网管接口测试时，一定要明白这些基本的转换或计算方法。null性能计算方法 －－非直观参数结合单位来理解 　　如“实时采集周期”查询到的值为5，需要知道其单位是秒还是分钟。有的参数如“在线时长”的单位还用1/100秒（即SNMP中的TimeTicks数据类型）表示 结合值含义对照表来理解 　　如“接口当前状态”查询到的值为1，就需要知道1表示“up”还是表示“down”。 　　当然如果利用已编译好完整MIB库的MIB浏览器软件来查询，结果一般都能把原始数字和英文含义反映出来。null性能计算方法 －－非直观参数对不同时间段取到的计数器值求差值 　　对于性能统计参数，有些可以表示瞬时状态，如“当前关联的终端数”、“当前在线用户数”。 　　但有不少参数无法用瞬时值表示，只能采取计数器的形式来表示，每次有变化就进行累加，如“端口发送字节数”、“用户认证次数”、“终端关联次数”、“DHCP请求成功数”等。 　　对这些计数值就要从一个时间段来观察其变化情况，如求AP无线端口5分钟内的发送数据字节数（也即下载流量），就应该在5分钟开始和结束两个时间点采集到“AP无线端口发送数据字节数”后，对两者求差值。 　　由于计数器存在数值归零和越界的情况，这也是各厂家设备常常处理不好的问题，容易造成网管上统计出错。null性能计算方法 －－AC每小时流量计算AC的上行流量 　　（AC的WAN口当前流出字节数-AC的WAN口1小时前流出字节数） AC的下行流量 　　（AC的WAN口当前流入字节数-AC的WAN口1小时前流入字节数） AC的上行峰值流速 　　前1小时内每5分钟取一次AC的WAN口流出字节数，计算出每5分钟的流速，最后从12个点中取最大的值 AC的下行峰值流速 　　前1小时内每5分钟取一次AC的WAN口流入字节数，计算出每5分钟的流速，最后从12个点中取最大的值null性能计算方法 －－AP每小时流量计算AP的上行流量 　　（AP的无线口当前流入字节数-AP的无线口1小时前流入字节数） AP的下行流量 　　（AP的无线口当前流出字节数-AP的无线口1小时前流出字节数） AP的上行峰值流速 　　前1小时内每5分钟取一次AP的无线口流入字节数，计算出每5分钟的流速，最后从12个点中取最大的值 AP的下行峰值流速 　　前1小时内每5分钟取一次AP的无线口流出字节数，计算出每5分钟的流速，最后从12个点中取最大的值 热点的流量 　　将热点中所有AP的流量相加 null性能计算方法 －－AP关联成功率计算　　“AP关联成功率”设备上一般不直接提供，成功率需要结合一段时间才能计算得出来，需要在网管上处理。 　　设备上提供“关联失败总次数”和“关联总次数”，两者都是计数器类型参数。 　　这样前一小时的AP关联成功率计算公式为： （AP当前关联失败总次数-AP1小时前关联失败总次数）/（AP当前关联总次数-AP1小时前关联总次数）×100% 　　通常情况下，像关联次数这种核心性能数据，一般网管上的采集频率比较高，可以每5分钟采集一次。这样计算前一小时的AP关联成功率可以对前一小时每5分钟求关联成功率，最后对12项成功率数值求平均，得到一小时的平均关联成功率。第七部分 WLAN设备日常值班监控方法 第七部分 WLAN设备日常值班监控方法 nullWLAN维护管理概述 WLAN故障分类WLAN维护管理的基本任务 WLAN维护管理的基本任务 保证设备的完好，设备的电气性能、机械性能、维护技术指标及各项服务指标符合标准。 搞好全网的协作配合，迅速准确地排除各种通信故障，保证全网的运行质量。 确保网络层的可靠性，完善组网结构，设置合理的备用路由和备份方式。 做好业务层的维护和网间配合工作，实现业务的可靠性。 搞好网络优化，提高通信质量。 做好网络安全的管理。 负责新设备、扩容设备的入网质量把关。 保证设备清洁，机房环境条件良好。 建立健全必要的系统技术资料和维护资料的档案。WLAN维护职责 WLAN维护职责 认真贯彻执行有关维护管理的各项管理制度、维护规程和安全措施，完成各项通信任务和质量指标。 组织制定维护作业计划，定期检查和分析设备、网络及系统的运行情况，保证设备完好，系统运行正常。 负责本地AP 、AC及辅助设备的现场维护。 监视AP、AC及辅助设备的各种告警，发现问题积极与相关部门和厂家联系，完成本地故障的检查、定位、测试和修复工作，并积极向各省（区、市）公司网络部门报告设备情况，事后认真总结，制定防范措施。 负责处理WLAN系统与本地数据网节点的故障，定期检查WLAN系统与本地数据节点间网络连通性，主动和相关部门协调排除故障。 负责WLAN系统软硬件版本管理及关键数据的备份，包括：设备软硬件版本升级、软硬件技术资料的管理、系统数据库、文件系统的备份等。 负责受理本地业务部门的申告，并及时处理。 负责上报现场维护质量统计报表和数据统计报表。具体维护测试项目 具体维护测试项目 null具体维护测试项目（续） nullWLAN维护管理概述 WLAN故障分类WLAN故障分类WLAN故障分类凡线路在承担业务期间，不论何种原因造成中断或质量降低至用户反映无法使用，称线路故障。 凡介入通信的主备用设备，在规定的运行时间内不能正常运行者，称设备故障。 由于管理、联系或操作错误等原因造成通信故障或不良后果的为人为故障。 由于WLAN系统服务质量低下，业务无法正常使用而造成大量用户投诉的，称为业务故障。 nullWLAN故障级别系统或关键设备发生下列现象称全网严重故障。WLAN系统BRAS、 RADIUS或PORTAL服务器宕机导致WLAN业务全阻超过30分钟； WLAN认证计费系统与CMNet骨干网IP通路及与七号信令网通路中断导致WLAN业务全阻超过30分钟； 其它故障为一般故障。 系统或关键设备发生下列现象称省内严重故障。WLAN认证系统与本省（区、市）IP通路及与七号信令网通路中断导致该省（区、市）WLAN业务全阻超30分钟。 故障处理的传报 严重故障发生后必须立即汇报, 严重故障在24 小时内向上级主管部门书面汇报。 严重故障发生后,当地网络部应立即查清故障原因, 落实防范措施, 确定故障性质和责任。 当事班组应填写故障报告, 由主管领导填写意见,于故障发生后三天内报上级主管部门。 故障处理的传报 故障处理中的牵头单位和部门 故障处理中的牵头单位和部门 有关中国移动通信计费认证的故障处理由省公司网络部牵头，其他单位和部门配合。 与当地GSM网之间的故障处理，按GSM故障处理流程处理。 AC和AP之间的故障处理，由基站室负责处理，其他单位和部门配合。 中心交换机、汇聚设备、传输设备故障，由交换室负责处理，其他单位和部门配合。设备故障统计 设备故障统计 WLAN系统的各类设备出现故障，都应做好详细的记录，并定期对故障现象和处理情况进行汇总统计。 设备故障记录内容应包括故障现象、故障类型、故障起始时间、故障修复时间、故障历时、故障原因分析及解决情况、故障处理情况及责任分析、故障处理人等。 汇总统计时应根据故障类型，对各类问题进行汇总。对涉及设备质量方面的问题，应及时向有关部门报告。 全网严重故障应立即上报集团公司。WLAN故障处理流程 WLAN故障处理流程 故障排除一般流程故障排除一般流程第八部分 WLAN热点告警分析和告警处理第八部分 WLAN热点告警分析和告警处理null故障管理（Fault Management）对系统中主要是网元设备故障情况的管理，包括故障的检测、诊断、定位和恢复等，软件上表现的一般为告警记录 相关概念： 告警级别：一般可将告警分为严重、重要、次要、轻微等不同级别 当前告警和历史告警：告警有时产生后又恢复了正常，所以存在当前告警（目前正呈现的告警）和历史告警（曾经出现过的告警）两种 告警屏蔽：有些告警产生可以是因为相关接口没接信号，并不严重，可以在设备侧或网管侧对其进行屏蔽WLAN告警分析和处理null移动规范中的告警和通告指的是由设备主动上报给网管的信息，一般不提供网管端直接查询。 “通告”指的是一种事件的通知，即一瞬间产生的，不存在告警清除，如“IP地址变更通告” “告警”则一般有对应“告警清除”，如“内存利用率过高告警”和“内存利用率过高告警清除”WLAN告警分析和处理告警和通告类别 系统告警及通告 认证服务器告警 无线相关告警 终端通告 WAPI安全相关告警信息nullAC系统告警及通告 电源掉电告警 电源掉电告警清除 CPU利用率过高告警 CPU利用率过高告警清除 内存利用率过高告警 内存利用率过高告警清除 AC发生主备切换告警 AC的DHCP可分配地址耗尽告警 AC的DHCP可分配地址耗尽告警清除 AC与AP间系统时钟同步失败通告 系统冷启动通告 系统热启动通告 心跳周期通告 IP地址变更通告WLAN告警－－AC告警和通告null认证服务器告警 Radius认证服务器不可达/不可用/无法连接告警 Radius认证服务器不可达/不可用/无法连接告警清除 Radius计费服务器不可达/不可用/无法连接告警 Radius计费服务器不可达/不可用/无法连接告警清除 Portal服务器不可达告警 Portal服务器不可达告警清除WLAN告警－－AC告警和通告nullAP系统告警及通告 CPU利用率过高告警 CPU利用率过高告警清除 内存利用率过高告警 内存利用率过高告警清除 AP下线告警 AP上线通告 AP无线监视工作模式变更通告WLAN告警－－瘦AP告警和通告null无线相关告警 同频AP干扰告警 同频AP干扰告警清除 邻频AP干扰告警 邻频AP干扰告警清除 终端干扰告警 终端干扰告警清除 其他设备干扰告警 其他设备干扰告警清除 无线链路中断告警 无线链路中断告警清除 AP无法增加新的移动用户告警 AP无法增加新的移动用户告警清除 无线信道变更通告WLAN告警－－瘦AP告警和通告null终端通告 终端鉴权失败通告 终端关联失败通告 WAPI安全相关告警信息 非法证书用户侵入网络通告 客户端重放攻击通告 篡改攻击通告 安全等级降低攻击通告 地址重定向攻击通告WLAN告警－－瘦AP告警和通告nullTrap索引第九部分 WLAN故障处理的思路和方法 第九部分 WLAN故障处理的思路和方法 null常见的AP关联失败问题和解决方法 AP在线无信号的解决方法 用户获取不了IP地址的解决方法 用户连接或下载慢的解决方法 用户能上网但不能打开网页的解决方法 AC插上光模块连接尾纤后，光口指示灯不亮的解决方法 使用抓包工具，分析故障原因 常见故障排查 排除版本和型号不匹配的原因影响后，开始排查网络原因一、AP关联失败的问题 排除版本和型号不匹配的原因影响后，开始排查网络原因排查步骤： 1、将笔记本有线网卡改成自动获取IP地址，连接poe交换机，看是否能获取地址。 是，转到16步；否，转到第2步。 2、手动给笔记本设置IP地址、网关与AP同一网段，ping AC LAN口IP，是否通。 是，到11步；否，到第三步。 3、ping 笔记本网关是否通。是，到13步；否，到第4步。 4、检查网关地址是否有误。否，到第5步。 5、登陆poe交换机查看是否能学习到AP的MAC。是，到第6步；否，到第19步。 6、登陆poe、交换机，观察AP管理vlan到网关是否透传。是，到第10步。否，到第7步。 7、修改vlan使其透传。 8、登陆poe交换机，ping其他poe交换机的管理地址来判断poe上行链路的连通性。 9、重做传输链路。 10、按5-7的步骤往上排查，使链路导通。 11、AP网关所在设备的DHCP-RELAY地址是否正确。否，到下一步；是，到第13步。 12、修改DHCP-RELAY地址到AC LAN口。 13、远程或串口登陆AC是否能ping通AP的网关。null14、检查AC是否设定静态路由条目指向AP所在网段。 15、要求运营商做通中间链路的路由。 16、登录AP查看是否为胖AP；是，转成瘦；否，下一步。 17、对站点AP侧及AC LAN口侧分别进行上下行抓包，观察AP 的UDP报文是否发出，AC 是否接收到对应AP的发出的UDP包。是，到19步结束。否，到18步。 18、协调运营商检查链路是否做策略。 19、AP与AC报文格式之间的匹配问题，需联系总部工程师反馈情况。 20、重新激活交换机接口。 21、对AP进行复位操作。 22、对AP进行升级操作。 23、更换AP。 排除版本和型号匹配的原因影响后，开始排查网络原因一、AP关联失败的问题二、AP在线无信号的解决方法二、AP在线无信号的解决方法1、AP处于quit状态 2、radio接口处于disable或shutdown状态 3、AP radio卡可能处于11a模式，部分笔记本无线网卡不支持11a，从而无法搜索信号 处理方法： 1、show wtp list 查看AP的状态，run状态表示AP正常在线。 以下原因可能导致AP没信号： 二、AP在线无信号的解决方法 二、AP在线无信号的解决方法处理方法： 2、show radio list 查看AP radio的状态，enable状态表示正常状态。同时可观察到radio type列显示的AP工作模式。修改模式的方法见“AC常用配置命令”。 3、show run命令查看radio接口的配置，下图为正常状态，如出现shutdown字样则radio接口处于关闭状态，所以