目錄WLAN組件介紹1WLAN網絡架構分析2WLAN安全技術

3WLAN網管監控知識4目錄WLAN相關性能統計指標監控

5WLAN設備日常值班監控方法

6

7WLAN熱點告警分析和告警處理WLAN故障處理的思路和方法

8WLAN測試工具使用方法

9第一部分

WLAN組網產品介紹WLAN基本產品無線上網卡WLAN組網產品無線控制器ACPOE無線交換機APWLAN產品講義AC無線控制器（ACconsle），主要用于搭配瘦AP構建無線網絡。具有管理AP的功能,可以為AP下發模板配置，規劃AP的信道、功率等。AP無線接入點（ACCESSPoint）主要和AC關聯，放出SSID信號為用戶提供無線接入訪問POE具有POE模塊的供電交換機，可以為AP提供電源，也可以實現普通交換機的所有數據功能京信AC2400,F512簡介AC2400,F512前面板簡要圖如下二層接口，默認屬于vlan1，IP地址是192.168.0.1。三層接口（電口）三層接口（光口）注意：1．默認二層口數據走交換芯片轉發，可以給VLAN接口啟用高級路由模式使數據經過CPU轉發。2．三層電口和光口默認為三層接口，數據默認走CPU轉發。3．三層電口和光口為互斥接口。AC2400,F1024前面板簡要圖如下主控板主控板10/100/1000M自適應電口控板1000M光口控制臺接口四個業務插槽雙電源插口模塊,可選交流(220V)直流(-48V)京信AC2400,F1024簡介AP（無線接入點產品）AP2600-I雙頻室內系列AP2600-O雙頻室外系列AP2400-O單頻室外系列AP2400-I單頻室內系列室內版室外版AP2x00-I【新外觀】AP與無線網絡產品京信802.11n產品概述AP2400/AP2600系列無線接入點產品特點采用高性能處理器高吞吐量及強勁的負載能力支持胖瘦AP模式轉換支持802.11n，向下兼容802.11a/b/g搭配不同網卡，支持不同無線模式1×1/2×2天線配置10/100/1000M自適應以太網支持802.3af/802.3atPoE規范

基站外置天線支持四個扇區天線射頻電纜接口每個扇區2個N型接口水平束寬（3dB)每個扇區70°覆蓋規劃4扇區360°覆蓋天線增益14dBi（Max.)重量7.8kg（基站+天線）天線尺寸670×112×65mm下傾角±20°/Max.±30°示意圖安裝圖基本參數京信四扇區智能天線基站基站外置天線多波束天線陣列射頻電纜接口8個N型接口水平束寬（3dB)每個陣列75°覆蓋規劃單車列100°覆蓋天線增益19dBi（Max.)重量7.8kg尺寸878×385×104mm下傾角14°示意圖安裝圖基本參數京信單扇區智能天線基站京信交換機系列標準配置24個10/100MRJ-45MDI/MDI-X自適應口4個千兆光電復用口1個Console口內存容量32MB背板帶寬32Gbps功率最大400W，其中系統功耗30W，POE對外供電功率370WComba24口POE交換機京信交換機系列Comba8口POE交換機標準配置8口百兆+1口千兆全網管以太網交換機(1個CONSOLE口，8個10/100M以太網電口，1個千兆光電復用口，支持POE供電）內存容量32MB交換能力8Gbps第三部分

WLAN網絡架構分析組網方式瘦AP在AC上注冊流程瘦AP為零配置，必須在AC上注冊，從AC獲得配置后才可以工作瘦AP在AC注冊有兩種情況：瘦AP與AC直連和二層組網注冊流程手動指定AC地址廣播發現AC地址

DHCP的option43屬性獲取AC的地址

DNS解析獲取AC的地址瘦AP與AC三層網絡連接注冊流程手動指定AC地址

DHCP的option43屬性獲取AC的地址

DNS解析獲取AC的地址注冊流程方式優先級的對比瘦AP與AC直連和二層組網注冊流程1.獲取ip地址2.二層廣播發現請求3.AC回復AP的請求響應4.配置下發5.數據傳遞DHCPserverAPAC廣播發現AP通過DHCPserver獲取IP地址

AP二層廣播，尋找AC

AC回應AP尋求

AP從AC獲取正確的配置

AP正常工作，和AC交互數據瘦AP與AC直連和二層組網注冊流程瘦AP與AC三層組網注冊流程—option43方式1.獲取ip地址,option屬性帶有AC地址2.AP單播發現請求3.AC回復AP的請求響應4.配置下發5.數據傳遞DHCPserverAPAP通過DHCPserver獲取IP地址，option43屬性攜帶AC的IP地址

AP從option43屬性中獲取AC的地址，然后向AC發單播請求

AC接到請求后響應AP的請求

AP從AC獲取正確的配置

AP正常工作，和AC交互數據瘦AP與AC三層組網注冊流程—option43方式瘦AP與AC三層組網注冊流程—option43方式數據轉發架構——本地轉發利用瘦AP本地轉發方式進行大規模組網，可以完全代替目前主要采用的集中轉發方式，在本地轉發方式下，網管、安全、漫游、QOS、負載均衡、流控、二層隔離等功能還是由AC統一控制，再由AP具體實施；只是業務數據不通過隧道傳送到AC，再經由AC解封后統一轉發，而是由AP本地轉發。AC采用旁掛的方式，用戶的流量無需經過AC。此組網方式的優勢主要體現在，將業務數據轉發任務分散到AP,降低AC壓力，輕松應對帶寬挑戰，徹底解決AC瓶頸問題，提高網絡整體吞吐率，順利迎接11n時代本地轉發數據流向圖,業務數據經過AC進行處理，一般由局方的bras分配IP地址、認證等業務處理數據轉發架構——本地轉發集中轉發組網，AP和AC之間單獨建立一條隧道傳輸數據業務，所有的數據業務都通過AC轉發出去，所以AC的負荷比較大。集中轉發所有的數據包都要走隧道，所以對鏈路的帶寬要求較高，并且對AC接口的帶寬要求也較高。由于集中轉發的數據包要封裝到隧道里再轉發走，所以對AP的CPU消耗比本地轉發更大。由于對帶寬要求較高，所以集中轉發的AC可管理的AP數量也會受到一定限制。這樣對于規模較大的網絡通常有熱備份的要求，會增加成本。此外，當隧道轉發出現不通或者丟包現象時，查找網絡故障難度比本地轉發高。集中轉發的優點是對于現網改動較小。數據轉發架構——集中轉發集中轉發數據流向圖,業務數數據封裝在AP與AC建立的隧道鏈路上由AC進行統一的解封裝進行處理及數據轉發.數據轉發架構——集中轉發本地轉發和集中轉發對比列表本地轉發集中轉發AC位置一般旁掛BAS上，也可做BAS一般做BASAC性能壓力低高AP性能壓力低略高業務隔離、熱點區分需要把無線用戶和有線用戶統一考慮從接入層開始的轉發路徑規劃，一般跟AC對AP的管理路徑是分離的。無線用戶從AP到AC的轉發路徑跟AC對AP的管理路徑一致無線加解密AP完成，老AP無法支持新加密類型，另一方面能充分利用AP的加解密引擎提高網絡整體吞吐率AP或AC完成，可以支持功能較弱的AP，另一方面對AC的加解密能力要求提高，性能壓力較大整體網絡性能高低PORTAL的概念Portal在英語中是入口的意思。Portal認證通常也稱為Web認證，一般將Portal認證網站稱為門戶網站。通常用來提供個性化、單次登錄、聚集各個信息源的內容，并作為信息系統表現層的宿主。未認證用戶上網時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時，必須在門戶網站進行認證，只有認證通過后才可以使用互聯網資源1*1備份介紹AC主AC備APCMNET心跳線VRRP：1*1采用VRRP虛擬路由冗余協議，當主AC出現故障的時候，備AC通過心跳線的檢測，取代主AC的地位工作。具有反應快、用戶無感知等優勢產生背景在傳統的組網環境中，用戶只要能接入局域網設備，就可以訪問網絡中的設備或資源，為加強網絡資源的安全控制和運營管理，很多情況下需要對用戶的訪問進行控制。例如，在一些公共場合、小區或公司的網絡接入點，提供接入服務的供應商希望只允許付費的合法用戶接入，所以供應商為每個用戶提供一個接入網絡的賬號和密碼。另外，一些企業會提供一些內部關鍵資源給外部用戶訪問，并且希望經過有效認證的用戶才可以訪問這些資源。技術優點不需要部署客戶端，直接使用WEB頁面認證，使用方便；可以基于VLAN/SSID/WTPid粒度級別的個性化認證頁面，同時可以在Portal頁面上開展廣告業務、服務選擇和信息發布等內容，進行業務拓展，實現IP網絡的運營；并采用Portalserver和Portalclient之間，BAS和Portalclient之間定期發送握手報文的方式來進行斷網檢測；可以跨越網絡層對用戶作認證，可以在企業網絡出口或關鍵數據的入口作訪問控制；詳細認證流程圖Portal交互過程分析1、用戶訪問網站，經過AC重定向到PortalServer；2、Portalserver推送統一的認證頁面；3、用戶填入用戶名、密碼，提交頁面，向PortalServer發起連接請求4、Portal向Radius發出用戶信息查詢請求，由Radius驗證用戶密碼、查詢用戶信息，并向Portal返回查詢結果及系統配置的單次連接最大時長、手機用戶及卡用戶的套餐剩余時長信息；5、如果查詢失敗，Portal結束認證流程，并直接返回提示信息給用戶，指導用戶開戶及正確使用Portal交互過程分析6、如果查詢成功，PortalServer向AC請求Challenge；7、AC分配Challenge給PortalServer；8、PortalServer向AC發起認證請求；Portal交互過程分析Challenge報文分析注意：如果抓包沒有收到challenge報文，則需要portalsevver查明原因Portal交互過程分析Radius認證計費過程分析9、AC攜帶用戶名和密碼發起認證請求；10、radius返回認證結果；11、在次發起計費請求；12、radius回應計費請求；Radish報文分析：access-requestRadius認證計費過程分析Radish報文分析：access-acceptRadius認證計費過程分析Radish報文分析：access-reject(拒絕報文)注意：如果收到此種報文，需由radius端給出說明Radius認證計費過程分析Radish報文分析：accounting-requestRadius認證計費過程分析Radish報文分析：accounting-responseRadius認證計費過程分析13、AC向PortalServer送認證結果14、PortalServer根據編碼規則判斷帳戶的歸屬地，推送歸屬地定制的個性化頁面，并將認證結果、系統配置的單次連接最大時長、套餐剩余時長、自服務選項填入頁面，和門戶網站一起推送給客戶,同時啟動正計時提醒15、PortalServer回應確認收到認證結果的報文Radius認證計費過程分析用戶下線過程分析下線過程分為三種情況：1、主動發起下線請求（即點擊下線按鈕）2、強制顯現流程（即直接關閉portal頁面）3、異常下線流程（AC自己偵測到用戶下線）主動下線過程：（1）用戶發起下線請求到PortalServer；（2）PortalServer向AC請求下線；（3）AC回應PortalServer下線請求；（4）PortalServer推送下線結果頁面給用戶用戶下線過程分析強制下線過程：（1）AC偵測到用戶的本次連接最大允許接入時間結束，向PortalServer請求下線；（2）PortalServer回應下線成功，并向用戶推送下線結果頁面。用戶下線過程分析異常下線過程：（1）AC偵測到用戶下線，向PortalServer請求下線；（2）PortalServer回應下線成功；用戶下線過程分析用戶下線停止計費報文分析：用戶下線過程分析以上過程為中國移動wlan業務portal協議規范。第四部分

WLAN安全技術

無線局域網的安全問題一、存在的威脅由無線局域網的傳輸介質的特殊性，使得信息在傳輸過程中具有更多的不確定性，受到影響更大，主要表現在：竊聽。任何人都可以用一臺帶無線網卡的PC機或者廉價的無線掃描器進行竊聽，但是發送者和預期的接收者無法知道傳輸是否被竊聽，且無法檢測竊聽。修改替換。在無線局域網中，較強節點可以屏蔽較弱節點，用自已的數據取代，甚至會代替其他節點作出反應。傳遞信任。當公司網絡包括一部分無線局域網時，就會為攻擊者提供一個不需要物理安裝的接口用于網絡入侵。因此，參與通信的雙方都應該能相互認證。無線網絡面臨的安全問題基礎結構攻擊。基礎結構攻擊是基于系統中存在的漏洞如軟件臭蟲、錯誤配置、硬件故障等。但是針對這種攻擊進行的保護幾乎是不可能的，所能做的就是盡可能地降低破壞所造成的損失。拒絕服務。無線局域網存在一種比較特殊的拒絕服務攻擊，攻擊者可以發送與無線局域網相同頻率的干擾信號來干擾網絡的正常運行，從而導致正常的用戶無法使用網絡。置信攻擊。通常情況下，攻擊者可以將自己偽造成基站。當攻擊者擁有一個很強的發送設備時，就可以讓移動設備嘗試登錄到他的網絡，通過分析竊取密鑰和口令，以便發動針對性的攻擊。無線局域網安全技術1.物理地址過濾每個無線工作站的網卡都有唯一的物理地址，應用媒體訪問控制（MAC）技術，可在無線局域網的每一個AP設置一個許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點將拒絕其接入請求。但媒體訪問控制只適合于小型網絡規模。這是因為：MAC地址在網上是明碼模式傳送，只要監聽網絡便可從中截取或盜用該MAC地址，進而偽裝使用者潛入企業或組織內部偷取機密資料。部分無線網卡允許通過軟件來更改其MAC地址，可通過編程將想用的地址寫入網卡就可以冒充這個合法的MAC地址，因此可通過訪問控制的檢查而獲取訪問受保護網絡的權限。媒體訪問控制屬于硬件認證，而不是用戶認證。無線局域網安全技術2.有線對等保密有線等效保密（WEP）是常見的資料加密措施，WEP安全技術源自于名為RC4的RSA數據加密技術，以滿足用戶更高層次的網絡安全需求。在鏈路層采用RC4對稱加密技術，當用戶的加密密鑰與AP的密鑰相同時才能獲準存取網絡的資源，從而防止非授權用戶的監聽以及非法用戶的訪問。WEP的工作原理是通過一組40位或128位的密鑰作為認證口令，當WEP功能啟動時，每臺工作站都使用這個密鑰，將準備傳輸的資料加密運算形成新的資料，并透過無線電波傳送，另一工作站在接收到資料時，也利用同一組密鑰來確認資料并做解碼動作，以獲得原始資料。無線局域網安全技術WEP目的是向無線局域網提供與有線網絡相同級別的安全保護，它用于保障無線通信信號的安全，即保密性和完整性。但WEP提供了40位長度的密鑰機制存在許多缺陷，表現在：40位的密鑰現在很容易破解。密鑰是手工輸入與維護，更換密鑰費時和困難，密鑰通常長時間使用而很少更換，若一個用戶丟失密鑰，則將危及到整個網絡。WEP標準支持每個信息包的加密功能，但不支持對每個信息包的驗證。現在針對WEP的不足之處，對WEP加以擴展，提出了動態安全鏈路技術（DSL）。DSL采用了128位動態分配的密鑰，每一個會話都自動生成一把密鑰，并且在同一個會話期間，對于每256個數據包，密鑰將自動改變一次。

無線局域網安全技術3.Wi-Fi保護接入Wi-Fi保護性接入（WPA）是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。其原理為根據通用密鑰，配合表示電腦MAC地址和分組信息順序號的編號，分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數據將由各不相同的密鑰加密而成。WPA還具有防止數據中途被篡改的功能和認證功能。WPA標準采用了TKIP、EAP和802.1X等技術，在保持Wi-Fi認證產品硬件可用性的基礎上，解決802.11在數據加密、接入認證和密鑰管理等方面存在的缺陷。無線網絡的安全技術4.國家標準WAPI國家標準WAPI（WAPI），即無線局域網鑒別與保密基礎結構，它是針對IEEE802.11中WEP協議安全問題，在中國無線局域網國家標準GB15629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰密碼體制的分組密碼算法，分別用于WLAN設備的數字證書、密鑰協商和傳輸數據的加解密，從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。WAPI的主要特點是采用基于公鑰密碼體系的證書機制，真正實現了移動終端（MT）與無線接入點（AP）間雙向鑒別。另外，它充分考慮了市場應用，從應用模式上可分為單點式和集中式。采用WAPI可以徹底扭轉目前WLAN多種安全機制并存且互不兼容的現狀，從而根本上解決安全和兼容性問題。無線網絡的安全技術5.端口訪問控制技術端口訪問控制技術(802.1x)是由IEEE定義的，用于以太網和無線局域網中的端口訪問與控制。該協議定義了認證和授權，可以用于局域網，也可以用于城域網。802.1x引入了PPP協議定義的擴展認證協議EAP。EAP采用更多的認證機制，如MD5、一次性口令等等，從而提供更高級別的安全。802.1x是運行在無線網設備關聯，其認證層次包括兩方面：客戶端到認證端，認證端到認證服務器。802.1x定義客戶端到認證端采用EAPoverLAN協議，認證端到認證服務器采用EAPoverRADIUS協議。無線網絡的安全技術802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問站點要內嵌802.1x認證代理，同時它還作為Radius客戶端，將用戶的認證信息轉發給Radius服務器。當無線工作站STA與無線訪問點AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統及計費，特別適合于公共無線接入解決方案。但是802.1x采用的用戶認證信息僅僅是用戶名與口令，在存儲、使用和認證信息傳遞中可能泄漏、丟失，存在很大安全隱患。加上無線接入點AP與RADIUS服務器之間用于認認證的共享密鑰是靜態的，且是手工管理，也存在一定的安全隱患。無線網絡的安全技術7.虛擬專用網絡虛擬專用網絡（VPN，VirtualPrivateNetwork）指使用互聯網連接物理上分散的系統來模擬單一專用網的安全方式，通過隧道和加密技術保證專用數據的網絡安全性。保護內部網免遭公共互聯網攻擊的技術是VPN防火墻。同樣無線LAN，也可以采用該安全框架，即安裝兩道防火墻：一個作為進入內部網的網關，另一個處于無線LAN和內部網之間，無線防火墻只允VPN通信，如圖8.22所示。無線用戶可以向無線基礎設施認證自己。實際上，把無線網絡和有線網絡隔離，只允許VPN通信經過，是利用了緩沖區的辦法來增強網絡安全性。此外，基于IPsec的VPN技術采用的IP層加密協議，可以防止通信被竊聽。無線網絡的安全技術

無線虛擬專用網安全框架無線網絡的安全技術VPN可以替代無線對等加密解決方案和物理地址過濾解決方案，也可以與WEP協議互補使用。但是VPN技術應用于無線網絡也有其局限性，具體表現在：運行脆弱。因突發干擾或AP間越區切換等因素導致的無線鏈路質量波動或短時中斷是很常見的。吞吐量小。在一個VPN網絡里進行的任何交換必須經過一個VPN服務器，一臺典型的VPN服務器能夠達到30-50Mbps的數據吞吐量。通用性差。VPN技術在國內、甚至在國際上沒有一個統一的開發標準。擴展性差。改變一個VPN網絡的拓撲結構或內容，用戶將不得不重新規劃并進行網絡配置。成本高。上述3個問題實際在不同程度上直接導致了用戶網絡架設的成本攀升。另外，VPN產品價格就很高。第五部分

WLAN網管監控知識Snmp介紹SNMP（SimpleNetworkManagedProtocol）是簡單網絡管理協議的簡稱，首先是由工程任務組織IETF研究小組為了解決Internet上的路由管理問題而提出的，屬于應用層協議。由于其簡單易用，是事實上的網絡管理工業標準。目前有SNMPv1、SNMPv2、SNMPv3三種正式版本SNMP網絡管理模型SNMP網絡管理模型有4個組成部分：被管理節點（ManagementNode）：運行SNMP代理程序（SNMPagent），維護一個本地數據庫，描述節點的狀態和歷史，并影響節點的運行管理站（ManagementStation）：運行專門的網絡管理軟件（manager），使用管理協議與被管理節點上的SNMP代理通信，維護管理信息庫管理信息庫（ManagementInformationBase）：每個站點使用一個或多個變量描述自己的狀態，這些變量稱為“對象（objects）”，所有的對象組成管理信息庫MIB（ManagementInformationBase）管理協議（ManagementProtocol）：管理協議用于管理工作站查詢和修改被管理節點的狀態，被管理節點可以使用管理協議向管理站點產生“陷阱（trap）”報告SNMP處理流程

SNMP管理協議的5種消息類型（1）get–request

操作：從代理進程處提取一個或多個參數值。（2）get-next-request

操作：從代理進程處提取一個或多個參數的下一個參數值。（3）set-request

操作：設置代理進程的一個或多個參數值。（4）get-response

操作：返回的一個或多個參數值。這個操作是由代理進程發出的。它是前面3中操作的響應操作。（5）trap

操作：代理進程主動發出的報文，通知管理進程有某些事情發生。SNMP消息類型SNMP配置登陸ac的web頁面，點擊snmp默認snmp和trap關閉緩存周期是發給snmp服務器的數據，在周期內不會改變。摘要信息共同體信息默認共同體public為讀，匹配所有地址默認共同體private為讀寫，匹配所有地址注：可以添加、刪除和修改共同體，以精確匹配條件。添加TRAP告警服務器第六部分

WLAN相關性能統計指標監控

性能參數類別系統性能統計連接信息統計接口性能統計SSID性能統計終端性能統計WAPI性能統計QoS性能統計WLAN性能統計WLAN性能統計指標參數（名/組）說明AC在線用戶數當前連接到AC的AP數量CPU利用率有平均、實時值之分，目前用的是平均，可選的還有峰值內存利用率有平均、實時值之分，目前用的是平均，可選的還有峰值認證請求數/認證成功數DHCP請求次數/DHCP請求成功數集團要求按AC提供，廣東移動要求每個DHCP地址池都提供接口性能統計核心是各接口的發送/接口字節數，廣東移動要求的有：端口接收單播包數端口接收非單播包數端口接收的總字節數端口丟棄接收到的包數端口接收到的錯誤包數端口發送單播包數端口發送非單播包數端口發送的總字節數端口丟棄要發送的包數端口發送錯誤的包數端口updown次數WLAN性能統計指標參數（名/組）說明AP關聯用戶數AP在線用戶數用戶異常掉線的總次數CPU利用率有平均、實時值之分，目前用的是平均，可選的還有峰值內存利用率有平均、實時值之分，目前用的是平均，可選的還有峰值關聯總次數/關聯失敗總次數認證請求數/認證成功數AC和AP上都有過要求，移動集團提的是AC上的AP有線接口性能統計主要包括：端口發送/接收的總字節數端口發送/接收的數據字節數（總字節和數據字節數差異較大）AP無線接口性能統計主要包括：端口發送/接收的總字節數端口發送/接收的數據字節數（總字節和數據字節數差異較大）終端信息應包括各AP上關聯終端的相關信息，主要包括：終端的MAC地址終端連接時長AP接收到的終端的當前信號強度發送到終端的總包數發送到終端的總字節數從終端收到的總包數從終端收到的總字節數用戶信息應包括各AP上在線用戶的相關信息，主要包括：用戶的MAC地址用戶的IP地址用戶登錄賬號用戶上線時間用戶在線時長性能計算方法－－非直觀參數像網元名稱、信道號等參數都比較直觀，從設備上查詢到的值很容易明白。但有不少參數需要結合MIB庫中的描述或設備廠家提供的說明、或者要對一段時間的數據進行計算才能得到有意義的顯示值。非直觀參數的值如何讓人明白，這是網管軟件通常做的事情。對于網管接口測試時，一定要明白這些基本的轉換或計算方法。性能計算方法－－非直觀參數結合單位來理解如“實時采集周期”查詢到的值為5，需要知道其單位是秒還是分鐘。有的參數如“在線時長”的單位還用1/100秒（即SNMP中的TimeTicks數據類型）表示結合值含義對照表來理解如“接口當前狀態”查詢到的值為1，就需要知道1表示“up”還是表示“down”。當然如果利用已編譯好完整MIB庫的MIB瀏覽器軟件來查詢，結果一般都能把原始數字和英文含義反映出來。性能計算方法－－非直觀參數對不同時間段取到的計數器值求差值對于性能統計參數，有些可以表示瞬時狀態，如“當前關聯的終端數”、“當前在線用戶數”。但有不少參數無法用瞬時值表示，只能采取計數器的形式來表示，每次有變化就進行累加，如“端口發送字節數”、“用戶認證次數”、“終端關聯次數”、“DHCP請求成功數”等。對這些計數值就要從一個時間段來觀察其變化情況，如求AP無線端口5分鐘內的發送數據字節數（也即下載流量），就應該在5分鐘開始和結束兩個時間點采集到“AP無線端口發送數據字節數”后，對兩者求差值。

由于計數器存在數值歸零和越界的情況，這也是各廠家設備常常處理不好的問題，容易造成網管上統計出錯。性能計算方法－－AC每小時流量計算AC的上行流量（AC的WAN口當前流出字節數-AC的WAN口1小時前流出字節數）AC的下行流量（AC的WAN口當前流入字節數-AC的WAN口1小時前流入字節數）AC的上行峰值流速前1小時內每5分鐘取一次AC的WAN口流出字節數，計算出每5分鐘的流速，最后從12個點中取最大的值AC的下行峰值流速前1小時內每5分鐘取一次AC的WAN口流入字節數，計算出每5分鐘的流速，最后從12個點中取最大的值性能計算方法－－AP每小時流量計算AP的上行流量（AP的無線口當前流入字節數-AP的無線口1小時前流入字節數）AP的下行流量（AP的無線口當前流出字節數-AP的無線口1小時前流出字節數）AP的上行峰值流速前1小時內每5分鐘取一次AP的無線口流入字節數，計算出每5分鐘的流速，最后從12個點中取最大的值AP的下行峰值流速前1小時內每5分鐘取一次AP的無線口流出字節數，計算出每5分鐘的流速，最后從12個點中取最大的值熱點的流量將熱點中所有AP的流量相加性能計算方法－－AP關聯成功率計算

“AP關聯成功率”設備上一般不直接提供，成功率需要結合一段時間才能計算得出來，需要在網管上處理。設備上提供“關聯失敗總次數”和“關聯總次數”，兩者都是計數器類型參數。這樣前一小時的AP關聯成功率計算公式為：（AP當前關聯失敗總次數-AP1小時前關聯失敗總次數）/（AP當前關聯總次數-AP1小時前關聯總次數）×100%通常情況下，像關聯次數這種核心性能數據，一般網管上的采集頻率比較高，可以每5分鐘采集一次。這樣計算前一小時的AP關聯成功率可以對前一小時每5分鐘求關聯成功率，最后對12項成功率數值求平均，得到一小時的平均關聯成功率。第七部分

WLAN設備日常值班監控方法

WLAN維護管理概述WLAN故障分類WLAN維護管理的基本任務保證設備的完好，設備的電氣性能、機械性能、維護技術指標及各項服務指標符合標準。搞好全網的協作配合，迅速準確地排除各種通信故障，保證全網的運行質量。確保網絡層的可靠性，完善組網結構，設置合理的備用路由和備份方式。做好業務層的維護和網間配合工作，實現業務的可靠性。搞好網絡優化，提高通信質量。做好網絡安全的管理。負責新設備、擴容設備的入網質量把關。保證設備清潔，機房環境條件良好。建立健全必要的系統技術資料和維護資料的檔案。WLAN維護職責認真貫徹執行有關維護管理的各項管理制度、維護規程和安全措施，完成各項通信任務和質量指標。組織制定維護作業計劃，定期檢查和分析設備、網絡及系統的運行情況，保證設備完好，系統運行正常。負責本地AP、AC及輔助設備的現場維護。監視AP、AC及輔助設備的各種告警，發現問題積極與相關部門和廠家聯系，完成本地故障的檢查、定位、測試和修復工作，并積極向各省（區、市）公司網絡部門報告設備情況，事后認真總結，制定防范措施。負責處理WLAN系統與本地數據網節點的故障，定期檢查WLAN系統與本地數據節點間網絡連通性，主動和相關部門協調排除故障。負責WLAN系統軟硬件版本管理及關鍵數據的備份，包括：設備軟硬件版本升級、軟硬件技術資料的管理、系統數據庫、文件系統的備份等。負責受理本地業務部門的申告，并及時處理。負責上報現場維護質量統計報表和數據統計報表。具體維護測試項目序號測試范圍測試項目測試周期備注1機房環境機房空調、溫濕度檢查及記錄日

2系統狀態硬件系統檢查日3AP的監控網管到AP可達性監控日

4AP工作狀態的監控日5AP到AC可達性的監控日6AP覆蓋區域信噪比月7AP覆蓋區域場強測試月8AC的監控

網管到AC的可達性監控日9AC工作狀態的監控日10AC到認證服務系統的可達性監控日11AC工作進程的狀態監控日12AC工作端口的狀態監控日13定期察看系統日志日14其它相關系統監控其它相關系統可用性測試日15性能分析忙時接入響應分析日

16其它

傳輸資料的檢查核對月

17設備清潔、除塵月

18定期修改設備密碼季

19備品備件的清理核對季

具體維護測試項目（續）WLAN維護管理概述

WLAN故障分類WLAN故障分類凡線路在承擔業務期間，不論何種原因造成中斷或質量降低至用戶反映無法使用，稱線路故障。凡介入通信的主備用設備，在規定的運行時間內不能正常運行者，稱設備故障。由于管理、聯系或操作錯誤等原因造成通信故障或不良后果的為人為故障。由于WLAN系統服務質量低下，業務無法正常使用而造成大量用戶投訴的，稱為業務故障。

WLAN故障級別系統或關鍵設備發生下列現象稱全網嚴重故障。WLAN系統BRAS、RADIUS或PORTAL服務器宕機導致WLAN業務全阻超過30分鐘；WLAN認證計費系統與CMNet骨干網IP通路及與七號信令網通路中斷導致WLAN業務全阻超過30分鐘；其它故障為一般故障。

系統或關鍵設備發生下列現象稱省內嚴重故障。WLAN認證系統與本省（區、市）IP通路及與七號信令網通路中斷導致該省（區、市）WLAN業務全阻超30分鐘。嚴重故障發生后必須立即匯報,嚴重故障在24小時內向上級主管部門書面匯報。嚴重故障發生后,當地網絡部應立即查清故障原因,落實防范措施,確定故障性質和責任。當事班組應填寫故障報告,由主管領導填寫意見,于故障發生后三天內報上級主管部門。故障處理的傳報故障處理中的牽頭單位和部門有關中國移動通信計費認證的故障處理由省公司網絡部牽頭，其他單位和部門配合。與當地GSM網之間的故障處理，按GSM故障處理流程處理。AC和AP之間的故障處理，由基站室負責處理，其他單位和部門配合。中心交換機、匯聚設備、傳輸設備故障，由交換室負責處理，其他單位和部門配合。設備故障統計WLAN系統的各類設備出現故障，都應做好詳細的記錄，并定期對故障現象和處理情況進行匯總統計。設備故障記錄內容應包括故障現象、故障類型、故障起始時間、故障修復時間、故障歷時、故障原因分析及解決情況、故障處理情況及責任分析、故障處理人等。匯總統計時應根據故障類型，對各類問題進行匯總。對涉及設備質量方面的問題，應及時向有關部門報告。全網嚴重故障應立即上報集團公司。WLAN故障處理流程故障排除一般流程第八部分

WLAN熱點告警分析和告警處理故障管理（FaultManagement）對系統中主要是網元設備故障情況的管理，包括故障的檢測、診斷、定位和恢復等，軟件上表現的一般為告警記錄相關概念：告警級別：一般可將告警分為嚴重、重要、次要、輕微等不同級別當前告警和歷史告警：告警有時產生后又恢復了正常，所以存在當前告警（目前正呈現的告警）和歷史告警（曾經出現過的告警）兩種告警屏蔽：有些告警產生可以是因為相關接口沒接信號，并不嚴重，可以在設備側或網管側對其進行屏蔽WLAN告警分析和處理移動規范中的告警和通告指的是由設備主動上報給網管的信息，一般不提供網管端直接查詢。“通告”指的是一種事件的通知，即一瞬間產生的，不存在告警清除，如“IP地址變更通告”“告警”則一般有對應“告警清除”，如“內存利用率過高告警”和“內存利用率過高告警清除”WLAN告警分析和處理告警和通告類別系統告警及通告認證服務器告警無線相關告警終端通告WAPI安全相關告警信息AC系統告警及通告電源掉電告警電源掉電告警清除CPU利用率過高告警CPU利用率過高告警清除內存利用率過高告警內存利用率過高告警清除AC發生主備切換告警AC的DHCP可分配地址耗盡告警AC的DHCP可分配地址耗盡告警清除AC與AP間系統時鐘同步失敗通告系統冷啟動通告系統熱啟動通告心跳周期通告IP地址變更通告WLAN告警－－AC告警和通告認證服務器告警Radius認證服務器不可達/不可用/無法連接告警Radius認證服務器不可達/不可用/無法連接告警清除Radius計費服務器不可達/不可用/無法連接告警Radius計費服務器不可達/不可用/無法連接告警清除Portal服務器不可達告警Portal服務器不可達告警清除WLAN告警－－AC告警和通告AP系統告警及通告CPU利用率過高告警CPU利用率過高告警清除內存利用率過高告警內存利用率過高告警清除AP下線告警AP上線通告AP無線監視工作模式變更通告WLAN告警－－瘦AP告警和通告無線相關告警同頻AP干擾告警同頻AP干擾告警清除鄰頻AP干擾告警鄰頻AP干擾告警清除終端干擾告警終端干擾告警清除其他設備干擾告警其他設備干擾告警清除無線鏈路中斷告警無線鏈路中斷告警清除AP無法增加新的移動用戶告警AP無法增加新的移動用戶告警清除無線信道變更通告WLAN告警－－瘦AP告警和通告終端通告終端鑒權失敗通告終端關聯失敗通告WAPI安全相關告警信息非法證書用戶侵入網絡通告客戶端重放攻擊通告篡改攻擊通告安全等級降低攻擊通告地址重定向攻擊通告WLAN告警－－瘦AP告警和通告Trap索引WLAN網絡設備維護一、有線端設備維護與檢測二、無線端設備維護與檢測有線端設備維護與檢測無線控制器（AC)AC是否正常工作，有無死機現象？檢測：各指示燈是否正常顯示，風扇是否停止轉動AC與核心設備（交換機，路由器，服務器等）連接是否正確？檢測：AC的WAN口接上級出口的設備接口，LAN口接下行到熱點區域交換機連接的端口有線端設備維護與檢測無線控制器（AC）AC是否對AP和用戶的數據分開處理？檢測：AC上是否對AP開啟DHCP服務，對AP和用戶劃分不同的VLANAC是否對AP下發配置信息，讓AP能夠工作？檢測：用筆記本在AP覆蓋范圍內進行無線網絡搜索，能否搜索到SSID、信道等（AC里需對AP作配置模板）有線端設備維護與檢測交換機匯聚交換機到AC與匯聚交換機到熱點接入交換機的鏈路是否已通？檢測：在熱點交換機上PING其連接的AC及匯聚交換機相應端口的IP，檢查是否已通；查看各交換機的命令是否正確配置（按照規劃的VLAN及IP地址配置）；使用traceroute命令查找鏈路上已通的設備，可查找出不通一段鏈路，進行排除故障有線端設備維護與檢測POE模塊POE模塊對AP供電，AP不起來？檢測：POE模塊連接AP的線路是否有錯誤，正確如下圖所示APPOE交換機交流電220VDATEDATE+POWER有線端設備維護與檢測POE模塊POE模塊中連AP的網線不能大于90米，連接交換機的網線不能超過100米，注：POE交換機是直接連AP，網線不超過90米有線端設備維護與檢測光纖收發器光纖收發器之間鏈路是否已通？檢測：查看光纖收發器正常狀態下的3個指示燈亮：POWER、TX、RX，如果有一個指示燈不亮都說明設備工作不正常。無線端設備維護與檢測無線APAP在AC上沒有上線？檢測：首先檢查AP到交換機的線路通不通，不通的檢查網線的線序有無做錯，如果POE供電的話，還得看線路有沒有超過90米；然后查交換機的配置是否正確，交換機上能否PING通網關及AC；AP是否有干擾？檢測：用軟件搜索該AP的SSID，信道，看是否與旁邊的AP設置的是一個信道？如果是，剛在AC里更改配置模板，將信道更改第九部分

WLAN故障處理的思路和方法

常見的AP關聯失敗問題和解決方法AP在線無信號的解決方法用戶獲取不了IP地址的解決方法用戶連接或下載慢的解決方法用戶能上網但不能打開網頁的解決方法AC插上光模塊連接尾纖后，光口指示燈不亮的解決方法使用抓包工具，分析故障原因

常見故障排查一、AP關聯失敗的問題

排除版本和型號不匹配的原因影響后，開始排查網絡原因排查步驟：1、將筆記本有線網卡改成自動獲取IP地址，連接poe交換機，看是否能獲取地址。是，轉到16步；否，轉到第2步。2、手動給筆記本設置IP地址、網關與AP同一網段，pingACLAN口IP，是否通。是，到11步；否，到第三步。3、ping筆記本網關是否通。是，到13步；否，到第4步。4、檢查網關地址是否有誤。否，到第5步。5、登陸poe交換機查看是否能學習到AP的MAC。是，到第6步；否，到第19步。6、登陸poe、交換機，觀察AP管理vlan到網關是否透傳。是，到第10步。否，到第7步。7、修改vlan使其透傳。8、登陸poe交換機，ping其他poe交換機的管理地址來判斷poe上行鏈路的連通性。9、重做傳輸鏈路。10、按5-7的步驟往上排查，使鏈路導通。11、AP網關所在設備的DHCP-RELAY地址是否正確。否，到下一步；是，到第13步。12、修改DHCP-RELAY地址到ACLAN口。13、遠程或串口登陸AC是否能ping通AP的網關。14、檢查AC是否設定靜態路由條目指向AP所在網段。15、要求運營商做通中間鏈路的路由。16、登錄AP查看是否為胖AP；是，轉成瘦；否，下一步。17、對站點AP側及ACLAN口側分別進行上下行抓包，觀察AP的UDP報文是否發出，AC

是否接收到對應AP的發出的UDP包。是，到19步結束。否，到18步。18、協調運營商檢查鏈路是否做策略。19、AP與AC報文格式之間的匹配問題，需聯系總部工程師反饋情況。20、重新激活交換機接口。21、對AP進行復位操作。22、對AP進行升級操作。23、更換AP。

排除版本和型號匹配的原因影響后，開始排查網絡原因一、AP關聯失敗的問題二、AP在線無信號的解決方法1、AP處于quit狀態2、radio接口處于disable或shutdown狀態3、APradio卡可能處于11a模式，部分筆記本無線網卡不支持11a，從而無法搜索信號處理方法：1、showwtplist查看AP的狀態，run狀態表示AP正常在線。

以下原因可能導致AP沒信號：

二、AP在線無信號的解決方法處理方法：2、showradiolist查看APradio的狀態，enable狀態表示正常狀態。同時可觀察到radiotype列顯示的AP工作模式。修改模式的方法見“AC常用配置命令”。3、showrun命令查看radio接口的配置，下圖為正常狀態，如出現shutdown字樣則radio接口處于關閉狀態，所以沒信號。

二、AP在線無信號的解決方法處理方法：5、重啟radio接口、重啟AP、交換機端口斷電、把網線等方法可讓AP重新正常工作。

三、用戶獲取不了地址的解決方法1、如果是本地轉發，交換機可能沒有正確的配置業務vlan2、DHCP服務器故障,如地址空間較少已分配完畢3、筆記本無線網卡靈敏度較高，導致在信號接近的AP之間來回切換處理方法：1、cmd窗口運行“ipconfig/release”再重新連接。2、確認DHCP服務器發送數據是否帶有VLANtag。3、如果不帶vlantag，可用筆記本有線接入DHCP服務器連接口，看是否能獲取地址，能獲取則檢查下方的網絡配置，不能，則進行第3步。4、手動設置IP地址（與DHCP-Server同一網段），能否ping通DHCP-Server的IP，ping通，則DHCP-Server故障，ping不通，則是鏈路的原因導致。5、檢查交換機的VLAN標記有沒配錯，本地轉發要交換機連接AP端口配置成trunk模式，業務vlan帶tag。6、把AP降功率，使其信號穩定或調整無線網卡的漫游靈敏度。AP降功率配置詳見“AC常用配置命令”。

以下原因可能用戶獲取不了地址：

四、用戶連接或下載慢的解決方法1、鏈路原因導致時延大或丟包2、受廣播風暴影響，帶寬利用率下降3、同頻干擾和發射功率過大處理方法：1、分別在無線和有線側，用長、短包ping網關觀察時延和丟包率，例：ping10.15.0.1–l1450–t（長包）和ping10.15.0.1–t（短包）。判斷故障發生在無線端還是有線端。2、通過在交換機劃分多個vlan或配置隧道模式，隔離廣播。3、調整AP的信號避免信號重疊，調低發射功率降提高信號質量。

以下原因可能用戶下載慢或不能連接：

五、用戶能上網但不能打開網頁的解決方法1、瀏覽器是否設置proxy2、DNS解析和Hosts文件設置是否正常3、系統是否正常處理方法：1、IE瀏覽器-工具-連接-局域網設置-代理服務器，把勾取消

以下原因可能用戶下載慢或不能連接：五、用戶能上網但不能打開網頁的解決方法處理方法：2、cmd窗口運行，ipconfig/flushdns;查看hosts文件是否正常，下圖為正常顯示五、用戶能上網但不能打開網頁的解決方法處理方法：3、用360安全衛士修復IE瀏覽器，用殺毒軟件掃描系統是否中毒或必要時重裝系統。六、AC插上光模塊連接尾纖后，光口指示燈不亮的解決方法處理方法：1、檢查光模塊兩端參數（單模、多模、波長）是否匹配，不匹配則更換成匹配。2、檢查接口雙工和協商速率，部分AC只支持自適應速率，因此對端必須調為自適應。3、查看端口參數是否有誤。七、使用抓包工具，分析故障原因使用抓包工具是網絡工程師排查故障的重要手段，對于疑難雜癥及未知故障通常需要抓包分析原因。常用的抓包工具有：tcpdump、Omnipeek、