wlan基础知识培训稿.ppt

张家界移动分公司WLAN技术介绍传动IT维护中心2009年10月10日,课程内容,WLAN部分,无线交换机+瘦AP网络,WLAN发展,需要注意的技术问题,WLAN部分,WLAN基础概念,IEEE 802.11协议,WLAN设备,WLAN组网应用,WLAN网络规划,GO,WLAN基础概念,无线局域网(Wireless Local Area Network)是以射频无线电波通信技术构建的局域网，虽不采用缆线，但也能提供传统有线局域网的所有功能。无线数据通信不仅可以作为有线数据通信的补充及延伸，而且还可以与有线网络环境互为备份。,无线局域网(WLAN),Internet,WLAN的技术优势,WLAN五大技术优势,安装便捷,传输速率高,易于扩展,覆盖范围广,经济节约,无线技术,PAN(Personal Area Network),LAN(Local Area Network),WAN(Wide Area Network),MAN(Metropolitan Area Network),IrDABlueToothWiFi(802.11)NFCZigBeeUWB,目前几种主要的近距无线技术,IrDA是一种利用红外线进行点到点通讯的技术。IrDA(Infrared Data Association)成立于1993年。起初，采用IrDA标准的无线设备仅能在1m范围内以115.2 kb/s速率传输数据，很快发展到4Mb/s以及16Mb/s的速率。其优点是体积小，功率低，传输速率可达16Mbps，成本低。目前它的软硬件技术都很成熟，在小型移动设备，如PDA、手机，笔记本上都有广泛使用。IrDA是一种视距传输技术，两个相互通信的设备之间必须对准，之间不能有阻挡物，因而该技术只能用于2台设备之间的连接。IrDA目前的研究方向是如何解决视距传输问题及提高数据传输率。,IrDA,蓝牙技术诞生于1994年，Ericsson当时决定开发一种低功耗、低成本的无线接口，以建立手机及其附件间的通信。1998年，蓝牙技术协议由Ericsson、IBM、Intel、Nokia、Toshiba等5家公司达成一致。BlueTooth技术是一种用于数字化设备之间的低成本、近距离的无线通信连接技术。其程序写在一个9mm*9mm的微型芯片上，可以方便的嵌入到设备之中。BlueTooth技术工作在2.4GHz ISM频段上。采用跳频技术，理想连接范围为10cm-10m。BlueTooth协议是电路交换与分组交换的结合，可以支持异步数据信道和多达三个同时进行话音信道。每个话音信到64kbps。数据信道为一端72kbps而另一端为57.6kbps的不对称连接，或43.2kbps的对称连接。,BlueTooth,WiFi(Wireless Fidelity),正式名称是IEEE802.11b,随即先后推出802.11a和802.11g，统称为IEEE 802.11，是如今无线局域网通用的标准，它是由IEEE所定义的无线网络通信的标准。最初的IEEE802.11规范是在1997年提出的，称为802.11b，主要目的是提供WLAN接入，它的工作频率也是2.4GHz，与无绳电话、蓝牙等许多不需频率使用许可证的无线设备共享同一频段。随着Wi-Fi协议新版本802.11a和802.11g的先后推出，Wi-Fi的应用越来越广泛，速度更快的802.11g与802.11b使用相同的正交频分多路复用调制技术，速率达54Mb/s。为了在不同的通讯环境下取得良好的通讯品质，采用 CSMA/CA(Carrier Sense Multi Access/Collision Avoidance)硬件沟通方式。WLAN主要应用在SOHO、家庭无线网络以及不便安装电缆的建筑物或场所，比如 机场、酒店、商场等公共热点场所。Wi-Fi技术可将Wi-Fi与基于XML或Java的Web服务融合起来，可以大幅度减少企业的成本。,WiFi(802.11),其他近距无线技术,目前使用较广泛的近距无线通信技术是Bluetooth，802.11(Wi-Fi)和IrDA，同时还有一些具有发展潜力的近距无线技术标准，它们分别是：ZigBee、超宽频(Ultra WideBand)、短距通信(NFC)、WiMedia、GPS、DECT、无线1394和专用无线系统等。NFC（Near Field Communication，近距离无线传输）是由Philips、NOKIA和Sony主推的一种类似于RFID(非接触式射频识别)的短距离无线通信技术标准。和RFID不同，NFC采用了双向的识别和连接。在20cm距离内工作于13.56MHz频率范围。ZigBee主要应用在短距离范围之内并且数据传输速率不高的各种电子设备之间。ZigBee名字来源于蜂群使用的赖以生存和发展的通信方式，蜜蜂通过跳ZigZag形状的舞蹈来分享新发现的食物源的位置、距离和方向等信息。超宽带技术UWB（Ultra Wideband）是一种无线载波通信技术，它不采用正弦载波，而是利用纳秒级的非正弦波窄脉冲传输数据，因此其所占的频谱范围很宽。它们都有其立足的特点，或基于传输速度、距离、耗电量的特殊要求；或着眼于功能的扩充性；或符合某些单一应用的特别要求；或建立竞争技术的差异化等。但是没有一种技术可以完美到足以满足所有的需求。,电磁波的影响：手机打电话时间讲长,我们就会出现头痛、头昏，脸部发烫的感觉,这是电磁波对我们造成的可见的影响.其它不可见的影响:例如损害人体内包含遗传基因的DNA，杀死脑细胞,损坏神经系统，危害用户乃至他们下一代的健康，导致癌症等。客户端：手持式对讲机高达5瓦,GPRS上网卡是GSM频段的设备，它的发射功率最高值会达到，平均在毫瓦左右。联通CDMA的发射功率为200mW左右.小灵通其最高发射功率大约80mW。Wi-Fi无线网卡的发射功率40mW左右，IEEE802.11规定发射功率不可超过100mW,蓝牙设备的发射功率不超过20mW.信号发射点:基站的发射功率取决服务范围的大小和移动电话用户的容量.手机基站发射功率从几瓦到上百瓦不等，目前国内厂商生产的无线Wi-Fi设备发射点的功率也在100-500毫瓦之间。,无线设备功率情况,GO,IEEE 802.11协议,IEEE 802.11标准,IEEE 802 LAN标准系列,PHY,MAC,OSI层2,OSI层1,802.11：1997年，原始标准(2Mbit/s，工作在2.4GHz)802.11a：1999年，物理层补充(54Mbit/s，工作在5GHz)802.11b：1999年，物理层补充(11Mbit/s，工作在2.4GHz)802.11c：2001年，符合802.1d的媒体接入控制层桥接(MACLayerBridging)802.11d：2001年，根据各国无线电规定做的调整，增加跨国自适应机制802.11e：2005年，支持服务等级(QualityofService)，主要用于流媒体服务802.11f：2003年，基站互连性(IAPP,Inter-AccessPointProtocol)，2006年撤销 802.11g：2003年，物理层补充(54Mbit/s，工作在2.4GHz)802.11h：2004年，专为欧洲设计，动态频率选择和传输功率控制机制802.11i：2004年，无线网络的安全方面的补充802.11j：2004年，专为日本设计，按照日本无线规则所做无线覆盖半径的调整802.11k：2007年，无线资源管理，灵活调整频段频道载波等，提高频段利用效率802.11l：预留及准备不使用802.11m：2007年，修订和维护上述标准的细节 802.11n：2008年，草案，更高传输速率的改善，采用多进多出(MIMO)和频道绑定（CB）的正交频分复用（OFDM）技术,802.11的发展进程,802.11a/b/g协议,WLAN工作频段,需执照频段：FCC:17GHz,61GHz ETST:17GHz,18GHz,24GHz 不需执照频段：FCC:902-928MHz,2.400-2.4835GHz,5.725-5.825GHz(ISM)1.890-1.930GHz(PCS)ETST:1.880-1.900GHz(DECT),2.445-2.475(WLAN)中国：336-344MHz,2.400-2.4835GHz,5.725-5.850GHz(扩频设备),2.4GHz频段中，同一个信号覆盖范围内最多容纳3个互不重叠的信（1、6、11），以此类推！每信道占用22 MHz的频带；11b采用DSSS扩频和CCK的调制方式最高提供11Mbps的速率，11g采用OFDM的扩频方式，可提供54Mbps的速率；,2.4GHz频段划分图,5GHz频段分配,5.8GHz有8个互不干扰的信道,中国频段中,可提供5个互不干扰的信道 每信道占用20MHz频带带宽;提供6/9/12/18/24/36/48/54Mbps 数据传输速率;采用OFDM调制方式;,5.8GHz频段划分图,5.8GHz频段信道分配表,802.11与OSI模型,跳频扩频(Frequency Hopping Spread Spectrum，简称FHSS)就是载波可以在一个很宽的频带上按照伪随机码的定义从一个频率跳变到另一个频率。使用FHSS技术，2.4G频道被划分成75个1MHz的子频道，接受方和发送方协商一个调频的模式，数据则按照这个序列在各个子频道上进行传送，每次在802.11网络上进行的会话都可能采用了一种不同的跳频模式，采用这种跳频方式主要是为了避免两个发送端同时采用同一个子频段。,FHSS,直接序列扩频(Direct Sequence Spread Spectrum，简称DSSS)就是使用具有高码率的扩频序列，在发射端扩展信号的频谱，而在接收端用相同的扩频码序列进行解扩，把展开的扩频信号还原成原来的信号。直接序列扩频技术将2.4Ghz的频宽划分成14个22MHz的通道(Channel)，临近的通道互相重叠，在14个频段内，只有3个频段是互相不覆盖的，数据就是从这14个频段中的一个进行传送而不需要进行频道之间的跳跃。,DSSS,正交频分复用(Orthogonal Frequency Division Multiplexing,简称OFDM)技术是一种多载波发射技术，它将可用频谱划分为许多载波，每一个载波都用低速率数据流进行调制。它获取高数据传输率的诀窍就是，把高速数据信息分开为几个交替的、并行的Bit流，分别调制到多个分离的子载频上，从而使信道频谱被分到几个独立的、非选择的频率子信道上，在AP与无线网卡之间进行传送，实现高频谱利用率。,OFDM,802.11MAC层负责客户端与AP之间的通讯。主要功能包括：扫描、接入、认证、加密、漫游和同步。802.11MAC 报文分类：-数据帧 用户的数据报文-控制帧 协助发送数据帧的控制报文，例如：RTS、CTS，ACK等-管理帧 负责STA和AP之间的能力级的交互，认证、关联等管理工作，例如：Beacon，Probe，Association，Authentication等,802.11 MAC层工作原理概述,AP用户接入管理过程,802.11MAC 使用Scanning功能来完成Discovery-寻找和加入一个网络-当STA漫游时寻找一个新的APPassive Scanning 通过侦听AP定期发送的Beacon帧来发现网络，Beacon帧中包含该AP所 属的BSS的基本信息以及AP的基本能力级，包括：BSSID(AP的MAC地 址)、SSID、支持的速率、支持的认证方式，加密算法、Beacons帧发送 间隔，使用的信道等。当未发现包含期望的SSID的BSS时，STA可以工作 于IBSS状态Active Scanning 在每个信道上发送Probe request报文，从Probe Response中获取BSS的 基本信息，Probe Response包含的信息和Beacon帧类似,Scanning扫描,802.11支持两种基本的认证方式：-Open System Authentication 等同于不需要认证，没有任何安全防护能 力。通过其他方式来保证用户接入网络的 安全性，例如Address filter、用户报文中 的SSID。-Shared Key Authentication 采用WEP加密算法Attacker可以通过监听 AP发送的明文Challenge text和STA回复的 密文Challenge text计算出WEP KEY。STA和AP均可通过Deauthentication来终结 认证关系 预置,Authentication认证,Association STA通过Association和一个AP建立 联系，后续的数据报文的收发只能 和建立Association关系的AP进行。Reassociation STA在从一个老的AP移动到新AP时 通过Reassociation和新AP建立关 联。Reassociation 前必须经 历 Authentication过程。Deassociation STA和AP均可通过 Deassociation 和AP解除关联关系。,Association关联,Wireless漫游的概念 STA可以在属于同一个ESS的AP接入点接入，可以使用同一信道或不同信道；STA可以在网络中任意移动，同时保证已有业务不中断，用户标 识不改变。Wireless漫游的分类 二层漫游 在同一个子网内的AP间漫游 由于不涉及子网的变化，因此只需保证用户在AP间切换时访问网络的权限不 变即可。为了保证快速的切换，通常都会利用STA在原有AP上使用的资源。三层漫游 在不同子网内的AP间漫游 除了要实现二层漫游中提到的内容以外，通常会采用一些特殊手段来保证用户业务的不中断。目前较流行的做法有：Mobile IP（RFC3344/Mobile IPv4,RFC3375/Mobile IPv6）、VLAN二层透传、GRE(RFC2784)、IP in IP(RFC1853)三层隧道等。（IP encapsulation within IP/RFC 2003）,漫游和同步,认证和协商过程,AP B,AP A,初始化连接到一个AP,漫游(再协商)的过程,AP B,AP A,初始化连接到一个新AP,GO,WLAN设备,无线AP(Access Point，无线访问节点)是一个包含很广的名称，它不仅包含单纯性无线接入点，也同样是无线路由器、无线网关等类设备的统称。无线AP主要是提供无线终端对有线局域网和从有线局域网对无线终端的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。在无线网络中，AP就相当于有线网络的集线器，它能够把各个无线终端连接起来，无线终端所使用的网卡是无线网卡，传输介质是空气。,无线AP,无线网桥是为使用无线进行远距离传输的点对点网间互联而设计。它是一种在链路层实现LAN互联的存储转发设备，可用于固定数字设备与其他固定数字设备之间的远距离、高速无线组网。无线网桥有三种工作方式，点对点，点对多点，中继连接。无线网桥可以用于连接两个或多个独立的网络段，这些独立的网络段通常位于不同的建筑内，相距几百米到几十公里。所以说它可以广泛应用在不同建筑物间的互联。同时，根据协议不同，无线网桥又可以分为2.4GHz频段和5.8GHz频段的无线网桥。,无线网桥,GO,WLAN组网应用,Ad-Hoc 也叫对等网络，是指安装有无线网络适配器（无线网卡）的多台计算机组成的局域网，它们通过无线适配器进行彼此的通讯。对等模式下的所有无线终端必须使用相同的工作信道。,Ad-Hoc,基础网络结构模式中，网络中任意一台无线网络终端均可通过AP接入有线网络。此模式可作为有线网络的延伸和补充。由于无线带宽为共享带宽，通常建议一个AP可以接入2030个无线客户端，以获取满意的访问数率。,Infrastructure,漫游模式中，用户可随意在两个基础结构网络中无线漫游，从而给移动办公带来了极大的方便。,Roaming,WDS（Wireless Distribution System）模式是利用无线电波作为传输介质将物理上分开的局域网连接起来，使用高增益的定向天线，可以将无线网络的传输距离扩展到20公里以上。与有线网络相比，采用无线方式，不但架设方便，而且无需月租费，维护费用低廉。,WDS,GO,WLAN网络规划,了解覆盖区域的面积，信号覆盖质量要求，不同的地点有不同的 覆盖要求。考察覆盖区域的现有信号分布情况，了解信号的盲点、热点和信 号碰撞区域。考察覆盖区域建筑物的构成，对信号的阻挡情况。信号的接入位置与方式。考察设备可以安装的位置。,无线网络覆盖规划,对于高密度无线用户接入区域,需要考虑在同一区域内布放多个AP。尽量保证单个AP的接入用户不超过20个。无线信道的使用应考虑蜂窝式覆盖的方式。适当调整AP的发射功率。,无线网络资源规划,AP的传输距离,室内100mW AP在理想的情况下可以覆盖半径为200米的范围，室内500mW的AP可以覆盖半径为500米的范围。但是具体的覆盖范围要看信号经过现场障碍物的衰减情况。,建筑无线传输损耗穿透损耗中值偏差慢衰落余量,WLAN速率取决的因素,现阶段WLAN建设中通常使用的是802.11g协议，该协议规定的物理传输速率为54Mbps,理论上的吞吐量可以达到24.4Mbps.一般设定每个AP所能带的用户数为20个，为了满足每个用户的带宽需求。,POE供电,电压在4457V之间，典型值为48V。允许最大电流为550mA，最大启动电流为500mA。典型工作电流为10350mA，超载检测电流为350500mA。在空载条件下，最大需要电流为5mA。在八根线里面1、2、3、6为信号线，4、5、7、8为电源线，其中4、5为正极,根据无线网络覆盖规划，资源规划，加密及认证规划，确定所建议 AP型号，数量，外配天线型号及馈线等。根据实际情况确定数据线连线方式，供电方式等。根据实际环境确定无线网络附属设备，如交换机或认证服务器等输出AP物理布放示意图，逻辑连接网络图，及设备清单等,无线网络产品规划,无线交换机+瘦AP网络,常用网络架构,运营商瘦AP架构校园网案例,目前产品及技术介绍,GO,GO,无线交换机+瘦AP产品及技术介绍,BS-WAS-WS-1,BS-WAS-WS,无线交换机（AC）,室内小功率型,室内大功率型,室外普通型,室内双频三模a/b/g型,瘦AP产品,瘦AP+AC架构的特点,AC对AP的深入管理:AC对AP进行的是底层信令交互，能方便地通过软件升级向网管开放更多管理和性能数据，而FAT AP则只能逐个升级实现2.AC主要完成用户验证、安全管理、移动管理，RF管理等通过，不仅可以通过更强的硬件平台实现更复杂算法，并使得多AP协同的优化算法实现成为可能，可以有效提高系统的功能和性能；3.AC不仅能提供完善的AP管理功能，还可以通过灵活的配置文件方式来实现可即插即用的大批量AP管理 4.管理节点上移后，运维数据采集将针对AC而非AP，网管系统受限于AP处理能力和性能的问题得以解决，更复杂的管理逻辑成为可能5.网络分层部署：AC相当于基站控制器，而轻量级AP相当于基站。两级计算体系，不仅在性能上更加优化，部署时即可通过升级AC提高系统性能，又可通过增加AP逐步增加覆盖，部署灵活且有较强扩展性,无线交换机工作原理,无线交换机系统由无线交换机与瘦AP组成，用户只要通过配置无线交换机就可以达到配置所有AP的目的。把无线交换机比作一个AP，那么瘦AP就像它的天线一样分布在各个位置。无线交换机与瘦AP的数据交互有两种类型：1）控制报文数据，目前有LWAPP、SLAPP、CAPWAP、WiCoP等协议，一般分为client与server两个进程来发送,采用TCP连接，用来配置瘦AP的参数与获得瘦AP的信息。2）数据报文数据，由内核隧道模块发送，采用UDP连接，用来转发从无线交换机WAN端进来的报文与从瘦AP无线端进来的报文。数据传输过程：有STA连上瘦AP要访问外网时，STA发出的数据报文首先会到达瘦AP的无线端口，瘦AP会将报文进行重新封装，然后发送到无线交换机的接受线程中去，无线交换机收到数据报文后进行解封装，然后发送到AC所连接的外网中去；在AC从外网收到数据时，也会经过上面一样的过程。,瘦AP从启动到运行的过程,为了大家能够进一步理解瘦AP的部署，我们先谈谈瘦AP的工作原理。简单的来说，瘦AP从启动到正常运行大致可以分为四个步骤:第一步.AP从AC或者DHCP Server那里获得一个IP地址。既然AP是一个无线信号接入点，是一个网络设备，要在LAN中进行正常的数据传送，必然需要一个合法的IP地址。为此在启动的时候，瘦AP需要从DHCP服务器中获得一个合法的IP地址。第二步.与AC建立联系。瘦AP在启动过程中，会通过广播的方式获取AC下发的IP地址，从此把AP与AC绑定在一起。第三步.策略代码的比较与更新。AP在绑定了AC之后，就会把其代码印象版本与本地存储的代码映像版本进行比较。如果在连接之前，AC中的某些策略发生了变更，则AP将会从AC中下载并启用最新的印象代码,也就是我们说的模板。不过要生效的话，瘦AP必须重新启动。第四步.隧道的建立。当以上三个步骤完成之后，瘦AP与无线控制器之间会建立起两条隧道，分别为传送管理信息的控制报文隧道与传送用户数据的数据报文隧道。这两个隧道并不能够用来实现数据负载均衡，而是各有各的用途。即使在客户端数据交换频繁的时候，用来传输控制报文的隧道也不能用来传递数据报文。,（1）用户与无线接入点AP实现关联；（2）控制器通过隧道协议获取用户的MAC地址信息；（3）将用户的MAC地址信息作为Radius Access_Request的用户名和Password字段发往Radius；（4）Radius 服务器对该用户名和Password进行验证，如果成功则发送Radius Access-Accept消息，如果失败则发送Radius Access-Reject消息，用户如果数次尝试失败无线控制器会通知AP发送Dis-Association消息，与用户断开空口连接；（5）控制器收到Radius Access-Accept消息后用户就可以根据赋予的权限访问网络资源，同时无线控制器会发出Radius Accounting-start的消息开始计费流程；（6）当用户与AP无线关联中断后，无线控制器会检测到该用户状态并发送Radius Accounting-Stop消息，结束流程。,MAC认证流程,无线交换机（AC）产品特性,集中的RF管理,安全和接入控制,自动信道选择功率自动调节负载均衡（可以按用户数或按流量进行均衡）Multi-BSSID（最多可支持8个Virtual AP）,WEP、WPA(2)WAPIVLAN与SSID的绑定无线终端隔离AAA（Radius Client）非法AP检测,WMM（QoS）统计和日志信息集中管理：瘦AP固件自动升级，瘦AP即插即用，零配置管理,网络管理,瘦AP,主要特性分析,集中的网络管理：大部分胖AP的功能被移到无线交换机上。用户不必再对单个瘦AP进行繁琐的设定。和瘦AP相关的配置，在瘦AP连接无线交换机时，被自动下载到瘦AP中。,物理层,RF层,网络层,应用层,802.11 MAC层,无线交换机,自动RF规划：自动信道选择。自动功率调节。,负载均衡：按终端用户数量均衡。按流量均衡。,无缝漫游无线交换机和瘦AP之间采用隧道机制，所有无线终端就像直接连接在无线交换机上。增减无线终端无须改变有线网络配置。无线终端在AP间漫游时不再受限于有线网络。,VLAN和网络设定会跟随无线终端一起移动，而不必对有线网络作任何变更。,192.168.1.2255.255.255.0,192.168.1.2255.255.255.0,1,1,1,1,2,2,2,2,3,3,3,非法AP检测：能够检测出不在无线交换机识别范围内的AP。,瘦AP零配置安装：在DNS Server上添加无线交换机的名称（和瘦AP中保存的无线交换机的名称相同，最好为缺省值）到其IP地址的映射。,差别化服务最多8个虚拟AP设定。不同的Virtual AP可以有不同的VLAN设定，认证方式，以及安全级别。,1,2,1,1,VAP1,VAP1,VAP2,VAP2,2,2,PPPOE认证,WEB认证,PPPOE server,其它特性,可扩展性:当瘦AP的数量超过512或1024时，可以布置两个以上的AC，所有的瘦AP均匀分布在这些无线交换机上。所有AC的出口在同一个网段内。因而所有的无线终端就像处在同一网段一样。,无线交换机,其它特性,无线交换机,GO,无线交换机+瘦AP常用网络架构,GO,常用架构类型,架构一：基于VLAN的无线桥接网络的构建 架构二：基于VLAN的无线路由网络的构建,基于VLAN的无线桥接网络的构建,应用背景：利用无线交换机和数量众多的无线接入点组建一定规模的无线接入网络，作为有线网络的无线延伸。通过VLAN来对不同类别的无线终端所能访问的资源进行限制。优点：隧道：无线终端的报文经过隧道直接到达无线交换机网络端口后面的网关/路由器，不对途经的有线网络产生任何影响或依赖。集中管理：通过无线交换机来集中管理数量庞大的瘦AP，包括固件升级、配置管理、状态监测、无线网络规划等。,1、由无线交换机和多台瘦AP组成的无线接入网络中，每台瘦AP都提供两个无线接入标识：Test1和Test2。接入无线接入标识为Test1的无线网络的无线终端只能访问Internet，而接入无线接入标识为Test2的无线网络的无线终端只能访问共享服务器阵列。2、所有的无线终端都不能访问内网服务器阵列。,需求说明,Internet,内网服务器阵列,共享服务器阵列,ESSID:Test1VLAN 100,ESSID:Test2VLAN 200,192.168.0.1,192.168.0.2,192.168.1.1,192.168.1.2,Gateway:192.168.0.193,Serial:117.134.32.29,网络结构,基于VLAN的无线路由网络的构建,应用背景：利用无线交换机提供的基于虚拟端口的路由功能，使处于不同VLAN的无线和有线终端相互之间的通信成为可能。关键词：路由：通过绑定在各个VLAN上的虚端口（VIF，VirtualInterface），无线交换机为处于不同VLAN的终端提供报文转发-即路由-服务。,Internet,内网服务器阵列,共享服务器阵列,ESSID:Test1VLAN 100,ESSID:Test2VLAN 200,192.168.0.1,192.168.0.2,192.168.1.1,192.168.1.2,Gateway:192.168.0.193,Serial:117.134.32.29,.,.,网络结构,1、VLAN 和VLAN 在网络端口1中，VLAN 5在网络端口2 中。2、分别为VLAN2、VLAN3、VLAN5创建虚拟端口。在VLAN5对应的虚拟端口上启用NAT。3、VLAN2中的终端能访问Internet和VLAN5中的共享服务器，而VLAN3中的终端只能访问共享服务器阵列。,需求说明,常用认证方式,方式一：基于WEB认证的无线安全网络的构建方式二：基于PPPOE认证的无线安全网络的构建,基于WEB认证的无线安全网络的构建,应用背景：不论是桥接网络，还是路由网络，都可以利用WEB认证机制对无线终端的接入请求进行身份鉴别，以提升整个网络的安全性。关键词：WEB认证：WEB认证无需无线终端安装额外的终端软件，直接利用IE等WEB浏览软件即可完成身份鉴别的过程。用户连上指定SSID后，通过DHCP申请IP地址，然后打开WEB浏览器，访问任意可以被访问的网址，如，对于未成功认证过的无线终端用户，无线交换机将会向其返回一个认证页面，用户在认证页面中输入用户名、密码即可完成认证。网络架构：和上面建议的桥接网络、路由网络一样，启用WEB认证不会对网络架构产生任何影响。,基于PPPOE认证的无线安全网络的构建,应用背景：目前大多数操作系统都支持PPPoE拨号。PPPoE认证操作简单、易于使用，但对系统资源占用较多，建议在无线终端数量不多的环境下使用。网络架构：PPPoE既是一种认证机制，也是一种点到点连接协议（即我们常说的PPP、Point to Point），在无线交换机应用中，PPP连接的起点在无线终端，终点则在无线交换机。因此，必须利用无线交换机提供的路由机制，才能够让使用PPPoE认证、连接的无线终端能够和连接在无线交换机网络端口的其它终端进行通信。也就是说，PPPoE只能在路由网络中使用。,GO,运营商瘦AP架构校园网案例,GO,校园WLAN的特点,1.校园WLAN用户密集，而且上网时间固定。一般为晚上还有中午时段。,2.校园WLAN数据流量大，学生一般通过网络观看流媒体电视，及玩各种游戏。,3.校园WLAN网络覆盖的区域大，一般的校园WLAN覆盖所有的学生宿舍，及公共区域。,移动校园网案例,虚接口应用,瘦AP架构采用集中转发方式。下面先介绍下虚接口：AC上一个实实在在的千兆口+TAP的SSID以及SSID绑定的VLAN构成一个虚接口。虚接口的概念在瘦AP架构的集中转发中非常重要。,启用NAT,1、在只有一个虚接口可以进入公网时，其他的虚接口可以通过NAT来进入公网，NAT也解决了公网地址不够的问题。2、要在可以进公网的虚接口开NAT。,案例分析,业务VLAN有3个：第一个VLAN100为校园网，对应的SSID为CMedu，在AC上启用DHCP服务器，分配地址范围，190.168.100.0192.168.199.254/16。第二个VLAN200为移动网，对应的SSID为CMCC，在AC上启用DHCP服务器，分配地址范围，190.169.100.0192.169.199.254/16.第三个为VLAN300是有线网。，在思科设备上启用DHCP服务器，分配地址：190.170.100.0192.170.199.254/16,该地址必须和校园服务器的子网在一个网段。,外网的认证：学生登录到CMCC，业务VLAN打VLAN200，AP通过隧道传送到AC，AC的WAN接口和另外台AC的认证模块相连接，由AC的认证模块对用户鉴权、认证。用户的出口换在思科设备上打VLAN200，和移动城域网连接，提供用户上网服务。,校园网：学生登录到CMdu，业务数据打VLAN100，采用本地转发模式，通话汇聚交换机思科设备上连接到校园服务器上，学生登录校园网，由校园网服务器进行认证。,有线网：学生通过有线连接到ONU，为有线用户打VLAN300，该业务VLAN300通过OLT连接到汇聚交换机思科设备上，而有线采用移动租用宽带，在校园内部的认证服务器对学生进行认证计费，为学生用户提供上网业务。,AC分工：一台AC负责对AP进行管理，对AC分配公网IP地址，另外一台负责对移动的用户认证鉴权计费。,DHCP服务池的分配：AC有两个DHCP池，VLAN100DHCP服务器，VLAN200 DHCP服务器，汇聚交换机6509上有一个DHCP池，VLAN300 DHCP服务器。,Protal/Radius,CMNET,AC(1+1),Transmission Network,AAA Server,Web Server,DHCP Server,NM Server,Antenna,AP,Switches,Aggregation switches,Core switches,WLAN覆盖示意图,AAA Server,城域网解决方案,描述：在本网络架构中，无线终端的数据报文在到达AP后，被AP以隧道封装后送达无线交换机的LAN端口，解封后丢到WAN端口。无线终端同样需要经过Bras的接入认证后才能访问Internet。特点：无需对现有网络做任何变更 无线网络和有线网络完全隔离 可以通过VLAN对无线用户进行隔离。,路由器,BRAS,交换机,Internet,以太网,交换机,无线交换机,路由器,运营商 AAA Server,校园网解决方案,交换机,Internet,交换机,校园网,无线交换机,交换机,描述：校园网目前遇到的主要问题是双重认证的问题：用户访问校园网要认证，但不收费，用户访问外网要认证，要收费。特点：支持WEB和802.1x双重认证。可以定义需要进行WEB认证的目的IP地址的黑白名单。用户首先进行802.1x认证，以访问无线网络。当用户访问的IP不在白名单内时，会弹出WEB登陆界面。,BRAS,学校 AAA Server,访问外网,访问校园网,GO,需要注意的技术问题,GO,提请注意的问题,虚拟局域网的问题 瘦AP与无线控制器的关联方式 隧道安全机制的不同,虚拟局域网的问题,出于安全的考虑，目前以AP为单位划分了VLAN，那么这对于瘦AP与无线控制器的通信是否会造成影响?如通过DHCP服务器，瘦AP与AC设备的IP地址分属于不同的局域网。此时这两个设备虽然通过路由器仍然可以进行通信，但是对于其传递的管理信息是否会造成不利的影响呢?通常情况下是不会造成不利影响的，或者说，其不利影响可以忽略不计。这主要是因为隧道封装的原因：在AC与瘦AP进行数据传送时，隧道会将他们之间需要传送的数据封装到IP分组中，从而可以跨越虚拟局域网交换或者路由这些信息。如果此时需要通过路由器来进行路由，那么在传送的环节中就多出了一环，速率会稍微受到了一些影响，不过除非这个路由器是企业网络中的瓶颈资源，否则的话，这个不利影响可以忽略不计。,不过如果部署在不同的VLAN中，对于后续故障的排查也会产生不利的影响。比如说当AC与瘦AP无法正常通信的话，那么造成这个故障的原因还需要考虑路由器路由信息的原因，遇到故障的时候，就必须多测试几个地方。所以虽然AC与瘦AP可以分属于不同VLAN，但是，为了后续工作的方便，尽量不要这么做，尽量部署在相同的VLAN中，把他们部署在不同的VLAN中只是不得已而为之的做法。比如企业中有三个AP，分属于三个不同的VLAN，此时，为他们分别配制三个不同的无线局域网控制器则显然是不合理的。在遇到这种情况时，只需要配备一个无线局域网控制器。对它们进行统一管理。,瘦AP与AC的关联方式,从上面的工作原理我们可以看到，瘦AP主动与AC进行联系，如果无线网络比较复杂，有多台AC的话，AP会与哪个无线局域网控制器进行绑定的?这个主动权主要在瘦AP，而不在于AC上。通常情况下，瘦AP会发送广播信息，以获得其周边的所有无线局域网控制器的IP地址，根据得到IP地址时间的先后顺序，依次进行连接请求，并自动绑定第一个允许其连接请求的AC。但是，这往往会造成管理上的混乱。出于负载均衡或者安全的需要，需要将AP能够绑定到特定的AC上去。,隧道安全机制的不同,在瘦AP与AC进行通信时，会采用两条隧道，分别用来传送控制信息与数据信息。通常情况下，控制报文在传送的过程中是不加密的，而数据报文在传送的过程中是加密的。虽然有隧道的保护，但是其管理信息在隧道中进行明文传输则仍然会有一定的安全隐患。为此需要通过IPSec等安全策略，来保障其信息传输的安全性。否则的话，非法供给者就可以通过窃听等手段来获取管理信息，并进行伪造，从而让一些非法的客户端可以通过其认证，连接到这个无线局域网中。所以，需要通过IP安全策略等手段来加密管理信息仍然是非常有必要的。不过在采用这些额外的安全手段时，需要进行仔细的测试，以判断能否与目前实施的安全策略兼容。,现场问题简单分析举例,PPPOE认证问题 中间人攻击,PPPOE认证问题,1 终端用户有时能拨上去，有时拨不上去2 已经登陆上去的用户注销，再次登陆也登不上去，显示的用户名密码错误解决方法：到客户现场，先看设备的整体配置情况，再查看连接设备的核心交换机配置，都没问题，用户上网用的是公网地址！达到高峰期时,在本机拨号上网，果然提示用户名和密码错误，这时抓包，连同登陆过程抓下来分析，发现异常：当拨号进行到