WLAN技术点培训胶片

nullnullWLAN关键技术点培训胶片V1.0nullWLAN的总体技术发展 WLAN设备类型简介及应用场景 WLAN的关键技术点介绍 WLAN无线接入过程 WLAN网络安全 瘦AP发现AC的机制 WLAN漫游 WLAN负载均衡和冗余备份 WLAN用户带宽控制&QoS 不同应用场景下BRAS,AC,AP业务流程 AC组网、VLAN配置 智能天线WLAN 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 演进WLAN标准演进IEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999) IEEE 802.11a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001) IEEE 802.11b - Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999) IEEE 802.11c - Bridge operation procedures; standard (2001) IEEE 802.11d - International (country-to-country) roaming extensions (2001) IEEE 802.11e - Enhancements: QoS, (2005) IEEE 802.11F - Inter-Access Point Protocol (2003) Withdrawn February 2006 IEEE 802.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003) IEEE 802.11h - Spectrum Managed 802.11a (5 GHz) for European compatibility (2004) IEEE 802.11i - Enhanced security (2004) IEEE 802.11k - Radio resource measurement enhancements IEEE 802.11m - Maintenance of the standard; odds and ends. IEEE 802.11n - Higher throughput improvements using MIMO （Draft 2.0） IEEE 802.11p - WAVE - Wireless Access for the Vehicular Environment IEEE 802.11r - Fast roaming Working IEEE 802.11s - ESS Mesh Networking IEEE 802.11T - Wireless Performance Prediction (WPP) IEEE 802.11u - Interworking with non-802 networks (for example, cellular) IEEE 802.11v - Wireless network management IEEE 802.11w - Protected Management Frames WLAN相关组织WLAN相关组织WIFI联盟 基本与802.11一致，但对应用和业务感受考虑更细致一些 制定WPA/WPA2、WMM/WMM PS/WMM AC、SSC、MESH、视频、语音、切换等标准 联盟关注和加强产品和功能的认证测试 WAPI联盟 2006年3月7日，在国家发改委、科技部、信息产业部三部委指导下，WAPI产业联盟成立，包括4大运营商在内的22家单位成为首批会员 2003年5月，以WAPI为安全方案的两项国家标准GB 15629.11/1102颁布 2006年1月，无线局域网国家标准GB 15629.11第1号修改单以及3项扩展子项国家标准颁布 IEEE 非营利性科技学会，全球最大的专业学术组织 ，设有IEEE标准协会IEEE-SA（IEEE Standard Association），负责标准化工作。 负责制定802.11系列标准 IETF Internet 工 程 任 务 组 负责制定集中控制型AC+AP标准，形成RFC文档 WLAN技术发展趋势（1/3）WLAN技术发展趋势（1/3）WLAN技术发展趋势（2/3）WLAN技术发展趋势（2/3）WLAN标准的演进有如下四条主线： 速率提升：802.11（2Mbps） 802.11b（11Mbps） 802.11g/a（54Mbps） 802.11n（320Mbps） 安全提升： WEP  WPA  WPA2  802.11i WAPI 应用优化：包含一系列针对应用的标准：802.11e（QoS）、802.11r（快速漫游）、802.11f（无缝漫游）、802.11h（自动频率选择和发送功率控制）等 AP管理：自主管理集中管理WLAN技术发展（3/3）WLAN技术发展（3/3）从标准制定的历程可看出其WLAN技术演进的特点： WLAN技术持续演进。一项技术逐渐成熟过程中，后续技术就已开展研发 无线带宽不断增加，通过物理层的调制编码技术的更新换代，向宽带无线网络演进 无线网络的可管理性继续增强。设备配置管理，网络安全，终端平滑切换等特性相继引入，有利于构建可营运网络 另一方面，由于WLAN技术越来越复杂，参与厂商增多。WIFI标准化的周期显著增长。例如802.11s和802.11v标准都大大延长了标准制定周期nullWLAN的总体技术发展 WLAN设备类型简介及应用场景 WLAN的关键技术点介绍 WLAN无线接入过程 WLAN网络安全 瘦AP发现AC的机制 WLAN漫游 WLAN负载均衡和冗余备份 WLAN用户带宽控制&QoS 不同应用场景下BRAS,AC,AP业务流程 AC组网、VLAN配置 智能天线“瘦”AP技术“瘦”AP技术安全的透明的隧道集中式的管理 丰富的功能容易部署的“AP”“胖”AP与“瘦”AP组网技术对比“胖”AP与“瘦”AP组网技术对比胖AP组网： 每个AP都是一个单独的节点 ，独立配置其信道和功率；安装简便 每个AP独立工作，较难扩展到大型、连续、协调的无线局域网和增加高级应用 每个AP都需要独立配置安全策略，如果AP数量增加，将会给网络管理、维护及升级带来较大的困难 很难进行无线网络质量的优化数据的采集 瘦AP组网： 通过AC对AP群组进行自动信道分配和选择，及自动调整发射功率，降低AP之间的互干扰，提高网络动态覆盖特性 支持二层/三层漫游切换 容易实现非法AP检测和处理 管理节点上移后，运维数据采集针对AC而非AP，解决了网管系统受限于AP处理能力和性能的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 胖AP接入组网方案胖AP接入组网方案WLAN网管ME60BAS华为认证计费系统IP骨干网城域汇聚网APAPAPAPWLAN终端家庭用户商业用户采用华为统一网管通过SNMP或TR069远程管理控制AP由BAS提供宽带用户接入认证鉴权、计费无线信道管理、无线接入安全由AP控制瘦AP+AC组网方案瘦AP+AC组网方案城域汇聚网IP骨干网WLAN统一网管Huawei AC用户认证计费一般由功能强大的BAS负责Wlan用户关联，无线接入控制和安全由AC集中管理通过SNMP网管、telnet、WEB直接管理AC对AP，通过AC间接管理 减少管理维护工作量AP、AC间建立管理通道； AC对AP集中配置管理； AP监测无线信息汇集到AC AC对无线信道集中智能管理； 无线信道数据加密、解密由AP完成室内热点覆盖（办公场所，会议室，图书馆等）室内热点覆盖（办公场所，会议室，图书馆等）办公场所覆盖：提供企业内部的语音、多媒体（比如视频会议、演示等）应用，并推动企业内部的移动办公。 会议室、图书馆的WLAN简易快速覆盖：AP放装在室内空间的适当位置适用AP：WA601、WA602 AP发射功率：100mW /20dBm 覆盖距离：30~50米室内分布式覆盖（可共享2G/3G/PHS室内分布天线）室内分布式覆盖（可共享2G/3G/PHS室内分布天线） 将 WLAN 无线信号通过合路器馈入原有GSM/CDMA/3G/PHS 室内覆盖系统天馈，对原有天馈系统进行扩频改造，以实现二网共用天馈。适用AP：WA631,WA632 AP发射功率：500mW /27dBm 采用室内分布天线时，通常每天线覆盖半径在10～15米内。由于天线发射功率较小,对大的室内空间，天线应按一定距离连续布设。 无线城市无线城市利用住宅区、楼宇、街区路口、树干、路灯等场所挂上AP接入点，组成城域WLAN网络，提供警务（比如实时交通和安全视频监视、巡警高速数据接入、现场调查人员提供移动宽带接入）、政务（比如市政办公移动接入互联网）、企业/市民/访客移动接入等应用。适用AP：WA651,WA652 AP发射功率：500mW /27dBm 覆盖距离：500米 可通过提高天线增益扩大覆盖距离园区覆盖园区覆盖 “小区入户难，无入户线缆”： 对于某些被对手占据的小区，小区内部布线资源不可用，可以采用无线方式接入小区内用户 克服天然或人为的对光纤的障碍，避免光纤挖沟敷设所需的时间和花费 快速扩展进入新的市场和增加运营收入 适用AP：WA651,WA652,WA656 nullWLAN的总体技术发展 WLAN设备类型简介及应用场景 WLAN的关键技术点介绍 WLAN无线接入过程 WLAN网络安全 瘦AP发现AC的机制 WLAN漫游 WLAN负载均衡和冗余备份 WLAN用户带宽控制&QoS 不同应用场景下BRAS,AC,AP业务流程 AC组网、VLAN配置 智能天线null无线接入过程三个阶段STA（工作站）启动初始化、开始正式使用AP传送数据帧前，要经过三个阶段才能够接入： 扫描阶段（SCAN） 认证阶段 (Authentication) 关联（Association）无线接入过程 – 扫描阶段无线接入过程 – 扫描阶段无线接入第一阶段：扫描（SCAN）阶段 若无线站点STA设成infrastructure模式： 802.11 MAC 使用Scanning来搜索AP, 有两种方式 主动扫描方式 （特点：能迅速找到） STA依次在11个信道发出Probe Request帧，寻找与STA所属有相同SSID的AP,若找不到相同SSID的AP，则一直扫描下去.. 被动扫描方式（特点：找到时间较长，但STA节电） STA被动等待AP每隔一段时间定时送出的Beacon信标帧，该帧提供了AP及所在BSS相关信息：“我在这里”…无线接入过程 – 认证阶段无线接入过程 – 认证阶段无线接入第二阶段：认证（Authentication）阶段 当STA找到与其有相同SSID的AP,在SSID匹配的AP中，根据收到的AP信号强度，选择一个信号最强的AP,然后进入认证阶段。只有身份认证通过的站点才能进行无线接入访问。华为的AP提供如下认证方法(后续胶片会逐一讲解每种认证方法)，包括： 开放系统身份认证(open-system authentication) 共享密钥认证(shared-key authentication） WPA PSK认证（ Pre-shared key） 802.1X EAP认证无线接入过程 – 关联阶段无线接入过程 – 关联阶段无线接入第三阶段：关联（Association）阶段 当AP向STA返回认证响应信息，身份认证获得通过后，进入关联阶段。 1. STA向AP发送关联请求 2. AP 向STA返回关联响应 至此，接入过程才完成，STA初始化完毕，可以开始向AP传送数据帧。无线接入过程示意图无线接入过程示意图nullWLAN的总体技术发展 WLAN设备类型简介及应用场景 WLAN的关键技术点介绍 WLAN无线接入过程 WLAN网络安全 瘦AP发现AC的机制 WLAN漫游 WLAN负载均衡和冗余备份 WLAN用户带宽控制&QoS 不同应用场景下BRAS,AC,AP业务流程 AC组网、VLAN配置 智能天线WLAN网络安全WLAN网络安全WLAN网络安全包括两个方面 用户身份验证，防止未授权访问网络资源。 数据加密，以保护数据完整性和数据传输私密性。 WLAN网络安全相关标准WLAN网络安全相关标准WPA (Wi-Fi Protected Access) --- IEEE 802.11i标准致力于无线安全的各个方面,在制定IEEE802.11i标准期间，无线局域网厂家已经走在前头，在尽可能多地实现该标准指定的功能，因为Wi-Fi联盟根据802.11草案的内容开发了Wi-Fi受保护的接入 WPA2 --- Wi-Fi受保护的接入第2版（WPA2）是基于最终的802.11i标准的 802.11i --- IEEE 802.11i的新一代安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。 WAPI --- 中国在无线局域网国家标准GB15629.11-2003中提出了WAPI机制来实现无线局域网的安全之前使用的加密机制和认证机制 加密机制：802.11WEP --- 也是IEEE提供的第一代用于无线认证和加密的安全解决方案 认证机制： 无线局域网802.11标准定义了两种验证无线局域网客户端的机制： 开放式认证 共享密钥认证 还有其他两个常用的机制： 基于SSID的认证 MAC地址认证802.11i和WAPI是认证和加密算法的重点，也是目前运营商最关注的两种安全解决方案，将在本章节重点介绍。nullWPA，WPA2 & 802.11iWPAIEEE 802.11i标准致力于无线安全的各个方面。在制定IEEE802.11i标准期间，无线局域网厂 家已经走在前头，在尽可能多地实现该标准指定的功能，因为Wi-Fi联盟根据802.11草案的一 内容开发了Wi-Fi受保护的接入（Wi-Fi Protected Access，WPA）。 WPA提供了下述无线局域网安全措施： 通过PSK( Pre-shared key)进行用户验证或进行802.1x(EAP)基于服务器的认证； 客户端和服务器之间的双向认证； 使用暂时密钥完整性协议（Temporal Key Integrity Protocol，TKIP）或者PPK (Per-Packet Keying，每报文密钥)确保数据隐秘性； 使用消息完整性校验（Message Integrity Check，MIC）确保数据完整性 支持WPA并不需要进行硬件升级，只要进行固件和软件升级即可。WPAPSK（ Pre-shared key）认证方式 该方式要求在STA侧预先配置Key，AP通过4次握手Key协商协议来验证STA侧Key的合法性。 对没有什么重要数据的小型网络而言，可以使用WPA－PSK 的预设共享密钥模式。主要把预设共享密钥方式的WPA-PSK 应用于小型、风险低的网络以及不需太多保护的网络用户。 对大企业而言，安全性要求较高，更多的使用802.1X。WPA TKIP加密算法TKIP利用无线客户端和AP嵌入的现有WEP加密硬件。WEP加密过程与以前相同，但WEP密钥 的生成频率更高，而不是像使用基于EAP的认证方法时那样在每次重新认证是生成WEP密钥。 实际上，TKIP为每个分组生成新的WEP密钥。客户适用于基本EAP的方法对客户端进行认证 （或重新认证）时，将生成一个初始密钥。该密钥是通过混合发送方（客户端或AP)的MAC地 址和一个序列号生成的。发送每个分组时，都将更新该WEP密钥。客户端被重新认证时，将生 成一个全新的WEP密钥，然后再每个分组时更新该密钥。 如果没有使用或不需要外部认证服务器，WPA可以使用预共享密钥进行认证。在这种情况下， 客户端和AP相互进行认证时将只适用该预共享密钥。数据隐秘性（加密）根本不使用预共享 密钥，而由TKIP负责进行加速加密密钥更新，以便用于进行WEP加密。 WPA TKIP加密算法WPA2(802.11i)WPA2(802.11i)Wi-Fi受保护的接入第2版（WPA2）是基于最终的802.11i标准的，从这个角度来说WPA2的 标准其实与802.11i一致，与WPA相比，主要是改进措施是： 使用AES (Advanced Encryption Standard，高级加密标准)进行加密。AES是一种健壮，可扩展的加密方法。WPA2也支持使用TKIP对数据进行加密，以便向后同WPA兼容。使用WPA和其他基于EAP的认证方法时，无线客户端必须向要访问的每个AP进行认证。如果客户端从一个AP移到另一个AP,将需要不断进行认证，这很麻烦。WPA2使用主动密钥缓存（proactive key caching，PKC）解决了这个问题，客户端只需认证一次—向它遇到的第一个AP认证。只要客户端访问的其他AP的都支持WPA2,且被配置为属于一个逻辑组，就将自动传递缓存的认证信息和密钥。 使用IDS（Intrusion Detection System，入侵检测系统）来识别并防范攻击。 由于使用AES加密，所以WPA2比WPA更消耗CPU资源，通常需要硬件升级。null增强了STA和AP的认证机制 支持802.1x认证方式 支持Pre-shared key认证方式 增加了 Key的生成、管理以及传递的机制 每用户使用独立的Key 通过安全的传递方法传递用户数据加密使用的Key 增加了两类对称加密算法，加密强度大大增强 TKIP（临时密钥完整性协议）：其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的 CCMP（计数器模式CBC-MAC 协议）：核心为AES（Advanced Encryption Standard，先进加密标准）算法，由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的基础上进行升级实现。 WRAP: WRAP机制基于AES加密算法和OCB（Offset Codebook），是一种可选的加密机制。802.11i协议 — 安全认证和加密IEEE 802.11i的新一代安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。WPA,WPA2 & 802.11i技术总结WPA,WPA2 & 802.11i技术总结802.11i协议的核心内容包括： 基于802.1x进行身份认证 基于TKIP、CCMP等加密算法实现数据加密 基于4次握手实现用户会话密钥的动态协商 WiFi联盟参考802.11i草案的子集，制定了WPA（Wi-Fi Protected Access） 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 。WPA核心内容包括了： 基于802.1x进行身份认证 基于PSK（Pre-Shared Key）进行身份认证 基于TKIP实现数据加密 基于4次握手实现用户会话密钥的动态协商 完整的802.11i支持则称为WPA2，主要增加了AES-CCM加密算法支持等。nullWAPInull基于WAPI的无线局域网国家标准体系nullWAPI协议技术原理null全IP架构下的接入网三元结构nullWAPI构筑三元安全架构WAPI协议的核心内容WAPI协议的核心内容WAPI协议的核心内容： WAI（无线局域网鉴别基础结构）： 确定安全策略； 完成双向鉴别（包括：基于证书；预共享密钥两种形式）； 单播和组播密钥协商。 WPI（无线局域网保密基础结构）：主要解决所有已知的WEP问题nullSTA通过被动侦听信标帧或主动探询获得AP的安全策略。如果AP使用的是WAI证书鉴别和密钥管理机制，AP发送鉴别激活分组启动证书鉴别过程，证书鉴别过程成功结束后，AP和STA进行单播密钥协商过程和组播密钥通告过程。如果AP使用的是预共享密钥机制，AP和STA直接进行单播密钥协商过程和组播密钥通告过程。 STA和AP之间的单播数据利用单播密钥协商过程所协商推导出的单播加密密钥、单播完整性校验密钥进行保护；AP利用自己通告的组播密钥保护发送广播/组播数据，STA接收时采用AP通告的组播密钥进行解密。WAPI安全协议流程nullWAPI安全协议流程APACnullWAPI & 802.11i 之比较WAPI和802.11i的技术比较WAPI和802.11i的技术比较两者的协议流程结构基本是一致的，涉及的各个实体也仅仅是命名上不同。 两者的主要区别： 用户鉴别 一般安全体制只能实现WLAN设备对无线客户端的单向鉴别 802.11i和WAPI都支持数字证书形式认证，可以实现WLAN接入设备和无线客户端的双向鉴别。 在WAPI安全体制下，实现的是三元组认证，即WLAN接入设备和AS是独立的两个实体，AS作为公信的第三方，需同时鉴别WLAN接入设备和无线客户端的合法性 在802.11i安全机制下，无线客户端无法区分WLAN接入设备和AS / AAA Server 鉴别协议 在WAPI中，特别保证了鉴别信息的完整性； 在IEEE 802.11i等其它安全体制中，鉴别成功信息不包含完整性校验，鉴别消息易被篡改对网络构成安全威胁 WAPI和802.11i的技术比较（续）WAPI和802.11i的技术比较（续）加密方式 WAPI强制使用数字证书作为身份凭证，既方便了 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 ，同时还提升了安全性 802.11i支持多种加密方式，在互通时要采用相同的加密方式，而且在多种加密方式并存的接入环境中，广播 / 组播包只能采用较低安全等级的加密算法传输，容易产生安全漏洞 中国电信WLAN网络安全现网部署策略： 同时支持WAPI和802.11i安全策略 积极引入试点WAPI，直至规模布署null以前的认证&加密机制开放系统认证(open-system authentication )(一)开放系统认证(open-system authentication )(一)开放系统身份认证应用场景 开放式认证也叫明文接入既不关心客户端/用户认证问题，也不关心无线客户端 与网络之间所交换数据的加密问题，这种类型的认证方式主要用于公共区域 或热点区域，如机场酒店、大堂等为客人提供的无线接入（如接入互联网）服务。开放系统身份认证的原理 开放系统是802.11 要求必备的方式。在开放系统身份认证中，AP并未验证移动式工作站的真实身份。任何客户端都可以加入网络，而无需提供任何凭证。如果没有加密功能，任何知道无线局域网SSID 的设备都可以进入该网络。如果在AP 上启用了有线对等加密协议( WEP )，WEP 密钥则成为一种访问控制的手段。没有正确的WEP密钥的设备即使认证成功也不能通过AP 传输数据，同时这样的设备也不能解密由AP 发出的数据。STAAPAuthentication requestAuthentication Response (success)开放系统认证(open-system authentication )(二)开放系统认证(open-system authentication )(二)开放认证中客户端关联AP的步骤 1. 客户端发送一个探测请求 。 2. 周边的AP 回复探测响应。 3. 客户端评估AP 的响应并选择信号最好的AP。 4. 客户端发送一个验证请求给选定的AP。 5. 该AP 确认该认证并注册客户端。 6. 客户端然后发送一个关联请求给AP。 7. AP 确认该关联并注册客户端。 开放认证的优点和缺点 优点：开放认证是一个基本的验证机制，你可以使用不支持复杂的认证算法无线设备。802.11 规范中认证的是面向连接的。对于需要验证允许设备得以快速进入网络的 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 ，在这种情况下，您可以使用开放式身份验证。 缺点：开放认证没办法检验是否客户端是一个有效的客户端，而不是黑客客户端。如果你使用不带WEP 加密的开放验证，任何知道无线局域网SSID 的用户都可以访问网络。 null MAC地址认证 虽然802.11 标准没有指定MAC 地址认证，但无线局域网普遍使用该 认证技术。因此，大多数的无线设备厂商（包括华为）均支持MAC 地址验证。AP上维护了一份经过授权的MAC 地址清单，不在名单上的工作站。网管人员可以键入一组经过授权的工作站地址，只要是表上有名的工作站就可以跟网络连接。MAC地址认证MAC地址认证与其说是一种认证方式，更应该是一种访问控制方式。 华为的AP都支持共享密钥认证(shared-key authentication）(一)共享密钥认证(shared-key authentication）(一)STAAPAuthentication requestPlain text challengeCipher text challengeAuthentication Response (success)预置Key用Key 加密明文密文解密 和明文比较预置Key共享密钥认证(shared-key authentication）的原理 共享密钥认证与开放验证有一个主要的区别。当你使用带WEP加密密钥的开放认证时，WEP 密钥是用来加密和解密数据，但在认证的步骤中却不使用。在共享密钥认证中，WEP 加密被用于验证。共享密钥身份认证必须使用WEP密钥，因此只能用于实现了WEP的产品上。客户端要加入WLAN时，AP向它发送一个挑战短语，客户端使用挑战短语和WEP密钥计算出一个可公开共享的值，并将其发回给AP. AP使用自己的WEP密钥计算一个类似的值，如果这两个值相同，客户端便通过了认证。共享密钥认证(shared-key authentication）(二)共享密钥认证(shared-key authentication）(二)共享密钥认证中客户端关联到AP的步骤 1. 客户端发送一个探测请求 2. 周边的AP 回复探测响应 3. 客户端评估AP 的响应并选择信号最好的AP 4. 客户端发送一个验证请求给选定的AP。 5. 该AP 发送一个包含未加密挑战文本的认证响应。 6. 客户端利用WEP 密钥加密挑战文本，并将加密后的文件回复给该AP 7. AP 比较未加密的挑战文本和加密的挑战文本。如果验证可以解密和恢复原始的挑战文本，则该认证是成功的 共享密钥认证在客户端关联过程中使用WEP 加密 共享密钥认证中的缺点 使用共享密钥（常被称为静态WEP密钥）认证时，WEP密钥也被用做加密密钥，通过WLAN发送每个分组时，将把分组的内容和WEP密钥提供给加密进程，远端收到分组后，经使用相同的WEP密钥对其进行解密。共享密钥认证比开放认证安全，但存在两个缺点 1. 可扩展性不佳，因为必须在每台设备上配置一个很长的密钥字符串； 2. 不是很安全 静态密钥的使用时间非常长，直到手工重新配置了新密钥为止。密钥的使用时间越长，恶意用户便有更长的时间来收集从它派生而来的数据，并最终通过逆向工程破解密钥。静态WEP密钥是可以破解的， 因此不推荐使用这种认证方法。802.11WEP 也是IEEE提供的第一代用于无线认证和加密的安全解决方案。WEP加密WEP加密STAAP加密报文＋IV值IV静态KeyKey生成器Key流XOR用户数据明文发送的加密报文IV静态KeyKey生成器Key流XOR用户数据明文接收的加密报文IV：initialization Vender 初始向量WEP：Wired Equivalent Privacy 有线对等私有协议802.1x认证802.1x是基于端口的网络接入控制协议, 它提供了一个认证过程框架，支持多种认证协议 在802.1x中，不同的认证协议统一使用EAP封装格式。也就是说：802.1x只是对认证进行 控制，是接入认证的手段，具体认证还需要其它认证协议。 在WLAN 网络中，802.1x 协议的框架需要以下三个逻辑实体来验证设备:802.1x认证1. 请求端—该请求端驻留在在无线局域网客户端，也称为EAP 客户端。 2. 认证端—认证端驻留在AP。 3. 认证服务器—认证服务器驻留在RADIUS 服务器 802.1x是一种基于端口的网络接入控制： 是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上 的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访 问局域网中的资源——相当于物理连接被断开。 802.1x认证EAP的类型包括: 802.1x认证框架能够使用以下任意EAP变种 1. EAP-TLS – 基于传输层安全的可扩展认证协议，是一种基于证书的认证方式，它是对用户端和认 证服务器端进行双向证书认证的认证方式 2. EAP-FAST - 基于隧道的灵活认证协议 3. EAP-SIM – 基于客户识别模块的可扩展认证协议 4. Cisco LEAP – 思科轻量级可扩展认证协议 5. EAP-PEAP – 受保护的扩展认证协议，是一种基于证书的认证方式，服务器侧采用证书认证，客 户端侧采用用户名密码认证 6. EAP-MD5 – 基于MD5 的扩展认证协议，最早的EAP认证类型。它是基于用户名，密码方式的认 证，认证过程与CHAP认证过程基本相同。 7. EAP-OTP – 基于一次性密码扩展认证协议 8. EAP-TTLS – 基于隧道传输层安全的扩展认证协议 其中EAP-TLS是WLAN认证中常用的认证协议。802.1x认证802.1x认证 EAP-TLSEAP-TLS (Extensible Authentication Protocol – Transport Layer Security, 可扩展认证协议- 传送层安全）使用TLS (Transport Layer Security，传送层安全）协议， TLS是一种替代SSL (Secure Socket Layer，安全套接层）协议的IETF标准协议，TLS可以提供公共域上的安全通信和数据传送服务，并能防范窃听和报文篡改等攻击行为。EAP-TLS使用PKI, 因而必须满足以下3方面需求： 客户端必须获得证书，这样网络才能对其进行认证 AAA服务器需要一个证书，这样客户端才能确认服务器的真实性 CA (Certification Authority，证书认证机构）服务器必须为AAA服务器和客户端发放证书。 EAP-TLS认证进程，无线客户端使用开放式认证与AP建立关联。在Radius服务器认证通过之前，AP会限制（或拒绝）除EAP流量之外的所有流量。 802.1x认证 EAP-TLSnull基于EAP-TLS的802.1x认证接入过程 STAAPOpen-system AuthenticationAssociationEAPOL startEAPOL-Request/User IdentityEAPOL-Response/User Identity服务器证书/公钥STA证书/用公钥加密的Master key认证成功4次握手Key协商加密数据报文Radius ServerUser Identity服务器证书/公钥STA证书/用公钥加密的Master key认证成功/PMK验证服务器证书 用公钥加密Master Key 生成PMK验证STA证书 用私钥解密Master Key 生成PMKPMK一致性检查 生成其他KeyPMK一致性检查 生成其他Key1234589127101161314ACnullWLAN安全应用界面WLAN安全应用方式WLAN安全应用方式下面是WLAN常用的认证方式和加密方式，包括802.11标准，WPA标准定义的。null参考：WLAN安全配置界面(胖AP)（一）安全配置场景一： 当AP上面的认证类型选择开放式系统，加密启用时，加密类型则对应为WEP. 无线客户端侧的配置一致。 安全配置场景二： 当AP上面的认证类型选择共享密钥，加密类型对应为WEP. 无线客户端配置一致。认证方式加密方式认证方式加密方式null参考：WLAN安全配置界面(胖AP)（二）安全应用场景三： 当选择WPA ，认证类型为802.1X EAP，加密类型为WPA TKIP. 此时无线客户端必需使用802.1x. 加密类型配置一致。认证方式加密方式认证方式加密方式安全应用场景四： 当选择WPA-PSK，认证类型为WPA-PSK，加密类型为TKIP. 此时无线客户端配置一致。null参考：WLAN安全配置界面(胖AP)（三）安全应用场景五： 当选择 WPA2, 认证类型为 802.1x EAP，加密类型对应为AES. 此时无线客户端配置一致。认证方式加密方式安全应用场景六： 当选择WPA2 PSK，认证类型为PSK, 加密类型对应为AES. 此时无线客户端配置一致。认证方式加密方式null参考：WLAN安全配置界面(胖AP)（四）当类型选择WPA-WPA2-PSK混合，认证类型是PSK，加密类型对应为AES-TKIP. 此时无线客户端配置一致。 同理，当类型选择WPA-WPA2-混合，认证类型是802.1x EAP，加密类型为AES-TKIP.认证方式加密方式nullWLAN的总体技术发展 WLAN设备类型简介及应用场景 WLAN的关键技术点介绍 WLAN无线接入过程 WLAN网络安全 瘦AP发现AC的机制 WLAN漫游 WLAN负载均衡和冗余备份 WLAN用户带宽控制&QoS 不同应用场景下BRAS,AC,AP业务流程 AC组网、VLAN配置 智能天线瘦AP发现AC-流程图瘦AP发现AC-流程图AP在成功加入连接一个AC前，将重复执行以下的AC发现流程。预配静态AC列表无AC列表开始L2 发现 暂停选中AC加入连接找不到AC找不到AC选中AC重新开始发现过程L3 发现 瘦AP发现AC-L2发现瘦AP发现AC-L2发现当AP启动时，它会发送一个DHCP发现数据包，以获取一个IP地址（是否必需？） AP广播一个以太网“discovery request（发现请求）”帧 AC收到该广播帧后，根据AP的MAC地址反馈“ Discovery Response(发现响应)”信息 AP收到响应信息后就建立于AC的管理连接 如果AP长时间（多长？）没有收到AC的响应，则将启动L3发现流程Huawei AP Huawei AC 路由器 L2交换机 IP城域网广播L2 LWAPP 发现请求 发回发现响应信息到AP的MAC地址 建立与AC的连接，开始接受AC管理瘦AP发现AC-L3发现1（预配置静态AC列表）瘦AP发现AC-L3发现1（预配置静态AC列表）当AP启动时，它会发送一个DHCP发现数据包，以获取一个IP地址 AP可以在命令行预配置静态AC的IP地址列表，包括主AC和备AC AP发送L3 LWAPP发现请求数据包到所有预配置的AC列表IP地址 如果主AC有返回发现响应，则AP自动与该AC建立管理连接 当只有备AC返回发现响应时，AP才与备AC建立管理连接 如果没有收到任何AC的响应，则AP等候30秒后重新开始该发现流程Huawei AP Huawei AC1 路由器 L2交换机 IP城域网L3 LWAPP 发现请求发回发现响应信息到AP的IP地址 建立与主AC的连接，开始接受AC管理 L2交换机 DHCP 服务器 Huawei AC2 瘦AP发现AC-L3发现2（自动获得AC IP地址）瘦AP发现AC-L3发现2（自动获得AC IP地址）当AP启动时，它会发送一个DHCP发现数据包，以获取一个IP地址 AP发送L3 LWAPP发现请求数据包到： 子网广播地址以获取本地AC的IPs 上次连接的AC的IP 从DHCP服务器通过Option 43获得AC的IP地址列表 从DNS服务器通过域名解析获得AC的IP地址列表 根据上步的响应建立AC候选列表 如果上次连接的AC有响应，则建立与之的连接 否则，连接到AC候选列表中可用license最多的AC。Huawei AP Huawei AC1 路由器 L2交换机 IP城域网L3 LWAPP 发现请求发回发现响应信息到AP的IP地址 建立与AC的连接，开始接受AC管理L2交换机 DHCP/DNS服务器 Huawei AC2 AC IP地址列表nullWLAN的总体技术发展 WLAN设备类型简介及应用场景 WLAN的关键技术点介绍 WLAN无线接入过程 WLAN网络安全 瘦AP发现AC的机制 WLAN漫游 WLAN负载均衡和冗余备份 WLAN用户带宽控制&QoS 不同应用场景下BRAS,AC,AP业务流程 AC组网、VLAN配置 智能天线漫游概念（一）漫游概念（一）802.11 只提到漫游（roaming）这个字眼。但对实现过程没有作具体的规定，一般而言，多数人都认为漫游就是终端从一个AP转换到另一个AP即无线终端从一个BSS服务集移动接入到另外一个服务集的过程。如下图：便携机从AP1（BSS1）的位置向AP2(BSS2)移动，在业务不间断的情况下，接入到AP2。STAAP2AP1移动ESSSTA漫游概念（二）漫游概念（二）漫游过程完全是由无线客户端驱动程序（而不是AP）驱动的，无线客户端根据 各种条件案确定漫游的时机。802.11标准没有解决这个问题，因此使用的漫游算 法随着厂商而异。 另外漫游算法通常使用的是“秘密配方”，因此无法知道精 确的阈值和条件。 由于不同客户端使用不同的阈值，因此在蜂窝的同一个位置，有些客户端可能尝 试进行漫游，而有些不这样做。如图，客户端移动位置B附件时，在各种信道中发送802.11探针请求帧。AP2在信道6中收到探针请求后，通过在信道6中发送探针应答来进行响应。客户端收到探针应答后，对其进行评估，以确定同哪个AP关联最合适。 现在客户端必须进行漫游，并切换关联。 首先删除现有的关联，因为每个客户端不能同时与多个AP关联。客户端通过信道1（AP1使用的信道）向AP1发送802.11解除关联信息，然后客户端可以通过信道6向AP2发送关联请求，接下来AP2使用关联响应来做出应答。nullAssociation STA通过Association和一个AP建 立关联，后续的数据报文的收发 只能和建立Association关系的AP 进行 Reassociation STA在从一个老的AP移动到新AP 时通过Reassociation和新AP建 立关联，Reassociation前必须经 历Authentication过程 Deassociation STA通过Deassociation和AP解除 关联关系Reassociation请求 (old AP address)DeassociationReassociation应答漫游概念（三）STAOld APNew AP切换过程：nullWLAN漫游的分类二层漫游 在同一个子网内的AP间漫游 三层漫游 在不同子网内的AP间漫游，目前我司（WS6001/6002）还没有实现。VLAN1 IP:1.0.0.1VLAN1APAPVLAN1L2网络STA移动二层漫游VLAN1 IP:1.0.0.1VLAN1APAPVLAN2L3网络STA移动三层漫游null同一个AC下不同AP间漫游华为无线漫游解决方案支持同一AC下AP之间，保证无线客户端在一个子网内部，从一个AP 的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。同一AC下用户漫游原理图IP networkACIntra-AC roamingAssociationIntra-AC roam associationAP1AP2SSID：HuaweiSSID：Huawei需要注意： AP1和AP2提供的蜂窝都使用SSID Huawei，这让客户端能够在他们之间漫游 AP1和AP2连接的是同一个控制器AC 这种漫游很简单，因为控制器AC只需更新 其表，以便使用连接到AP2的LWAPP隧道、 来找到客户端即可。在控制器内，很容易、 将旧关联缓存的数据移交给新关联。null快速漫游技术－Key CachingKey caching过程： STA第一次接入时（接入Old AP）采用正常的802.1x认证过程 认证通过后STA把使用的PMK信息保存在Cache中 STA向New AP发起Reassociation时协商使用PMK Cache方式做认证 STA利用在Cache中保存的在Old AP中使用的PMK和New AP发起4次握手协商过程 协商成功，STA开始传送数据报文STAAPPMK CacheXXXXXXXNew APOld APSTA1PMK CacheXXXXXXXSTA1PMK CacheXXXXXXXSTA在切换AP以后不必在进行烦琐的802.1x认证和Key交换，加快了切换速度nullWLAN的总体技术发展 WLAN设备类型简介及应用场景 WLAN的关键技术点介绍 WLAN无线接入过程 WLAN网络安全 瘦AP发现AC的机制 WLAN漫游 WLAN负载均衡和冗余备份 WLAN用户带宽控制&QoS 不同应用场景下BRAS,AC,AP业务流程 AC组网、VLAN配置 智能天线华为WLAN产品负载均衡和冗余备份支撑特性对于华为WLAN产品而言，这一领域包括两个方面： 在AP与无线客户端之间支持负载均衡的机制，目前做到基于用户数目的负载均衡。 目前的WS6002和WS6001不支持备份方式。华为WLAN产品负载均衡和冗余备份支撑特性华为 FIT AP之间的负载均衡负载均衡的目的是，通过增加覆盖同一区域的AP数量来提高密集用户区域的用户的带宽性能。华为FIT AP的负载均衡是按照用户数量，即设置一定的用户数量阈值，当超过阈值时，负载均衡开始生效，将用户分配到同一组的负载不同AP上的。华为 FIT AP之间的负载均衡nullWLAN的总体技术发展 WLAN设备类型简介及应用场景 WLAN的关键技术点介绍 WLAN无线接入过程 WLAN网络安全 瘦AP发现AC的机制 WLAN漫游 WLAN负载均衡和冗余备份 WLAN用户带宽控制&QoS 不同应用场景下BRAS,AC,AP业务流程 AC组网、VLAN配置 智能天线nullWLAN无线QOSAP调度模式优先级队列1优先级队列2优先级队列3优先级队列4BusyTimeAIFS4CW4AIFS3CW3FrameAIFS2CW2FrameAIFS1CW1FrameAP 支持WMM定义的8个业务优先级报文标记，可被映射到4个输出队列； 高优先级的报文通过设置较短的IFS和Contention window来优先获取无线空口的访问能力； WMM（Wi-Fi Multimedia）提供对时间敏感的应用如语音和数据的QoS能力，属于802.11e。WLAN的用户带宽限制目前我司的WLAN产品做到基于整体SSID的限速。WLAN的用户带宽限制nullWLAN的总体技术发展 WLAN设备类型简介及应用场景 WLAN的关键技术点介绍 WLAN无线接入过程 WLAN网络安全 瘦AP发现AC的机制 WLAN漫游 WLAN负载均衡和冗余备份 WLAN用户带宽控制&QoS 不同应用场景下BRAS,AC,AP业务流程 AC组网、VLAN配置 智能天线瘦AP的组网方案瘦AP的组网方案瘦AP的组网方案，归纳起来有六种： AC位于城域网，BRAS之上 AC旁挂于BRAS AC集成于BRAS AC旁挂于汇聚交换机 AC替代汇聚交换机 AC位于汇聚交换机下 其中对于WS6002，建议采用第四种组网方式，AC旁挂于汇聚交换机, 对于自研的AC，推荐第三种组网方式，AC集成与BRAS.瘦AP的组网方案 – AC位于城域网瘦AP的组网方案 – AC位于城域网FIT AP用户层接入层/城域以太本地城域网FIT APAC 城域网业务管理层运营商网管BRAS汇聚交换机特点： 在这种组网模式下，AC位于本地城域网，整个城域网AP共同AC，AP与AC之间三层组网。 BRAS启动DHCP server或者DCHP Relay至AC，给AP分配IP地址。AP通过DHCP option43或DNS的方式发现AC（全城所有BRAS都要配置到AC的路由，并部署DHCP option43等功能）。 3. 这种组网模式适合于WLAN部署初期，AP热点非常分散，数量不多，希望AC集中部署，减少设备投资，简化维护的场景。优点：快速部署，无须对BRAS和BRAS之下的网络进行改造 缺点：此场景一般要求数据流独立转发模式，若采用AC集中转发则数据流会有很大的迂回。而作为数 据流独立转发时，不支持无线客户端漫游切换。此种方式只适用于建网初期，随着AP规模部署后，该种组网方式很少场合适用瘦AP的组网方案– AC旁挂于BRAS瘦AP的组网方案– AC旁挂于BRASFIT APFIT APAC城 域 网运营商网管BRAS汇聚交换机用户层接入层/城域以太本地城域网业务管理层特点： 在这种组网模式下，AC位于BRAS侧，AP与AC之间三层组网。要求城域网中每台BRAS旁挂一台AC，BRAS管辖区域内的瘦AP都有旁挂的AC管理， BRAS要预留与AC连接的端口，BRAS启动DHCP server或者DHCP Relay至AC，给AP分配IP地址。AP通过DHCP option43 或DNS的方式发现AC. 3. 这种组网模式适合于AC部署相对集中，适用于AP部署比较分散（例如全城热点部署）的情况。优点：相比城域骨干部署方式，AC管理AP的区域范畴缩小，支撑相对密集的AP快速部署，无须对BRAS 之下的网络进行改造 缺点：此场景一般要求数据流独立转发模式，若采用AC集中转发则会导致流量瓶颈和网络带宽浪费。而作为数据流独立转发时，不支持无线客户端漫游切换。采用集中转发模式，存在流量瓶颈和带宽的限制，不适宜支撑非常密集的AP部署瘦AP的组网方案– AC集成于BRAS瘦AP的组网方案– AC集成于BRAS特点： 在这种组网模式下，AC集成在BRAS内，AP与AC之间二层组网。BRAS管辖区域内的瘦AP都由集成的AC管理， BRAS启动DHCP server功能，给AP分配IP地址。AP通过DHCP option43 或DNS的方式或二层发现协议发现AC.FIT APFIT AP城 域 网运营商网管BRAS 集成AC汇聚交换机用户层接入层/城域以太本地城域网业务管理层在电信级BRAS（ME60）上提供AC功能，共享ME60成熟、高可靠硬件平台，提供强大的业务处理能力。 彻底克服基于传统以太网交换机的AC的性能和业务能力瓶颈。 同时满足AC集中转发型组网、AP本地转发组网的要求。 为WLAN与固定宽带、3G网络融合打下基础。AC模块以太网交换机既可作为独立的电信级、大容量AC，又支持将BRAS和AC功能合一，满足不同应用场景需求！瘦AP的组网方案– AC旁挂于汇聚交换机瘦AP的组网方案– AC旁挂于汇聚交换机FIT APFIT APAC城 域 网运营商网管BRAS汇聚交换机用户层接入层/城域以太本地城域网业务管理层数据通道 AP配置通道 AC配置通道特点： 在这种组网模式下，AC位于汇聚LSW，AP与AC之间二层组网。BRAS管辖区域内的汇聚LSW都有旁挂的AC管理， AC启动DHCP server功能，给AP分配IP地址。AP通过DHCP option43 或DNS的方式或二层发现协议发现AC. 3. 这种组网模式数据可以支持集中转发，但存在数据迂回。优点：如果BAS厂家没有集成AC的功能，而又希望建设大规模集中的WLAN网络，无需改动汇聚交换机。 缺点：