WLAN概述數(shù)據(jù)網(wǎng)組建與維護(hù)主講教師：劉曉君CONTENTS目錄1無線網(wǎng)絡(luò)分類2無線局域網(wǎng)WLAN3WLAN與WiFi4無線協(xié)議標(biāo)準(zhǔn)WLAN的安全問題AP1AP2非法APSTAAttackACSSID：Huawei認(rèn)證方式：開放加密方式：開放SSID：Huawei認(rèn)證方式：開放加密方式：開放SSID：HuaweiWLAN以無線信道作為傳輸媒介，利用電磁波在空氣中收發(fā)數(shù)據(jù)實(shí)現(xiàn)了傳統(tǒng)有線局域網(wǎng)的功能。然而由于WLAN傳輸媒介的特殊性和其固有的安全缺陷，用戶的數(shù)據(jù)面臨被竊聽和篡改的威脅，WLAN網(wǎng)絡(luò)常見的安全威脅有以下幾個(gè)方面。未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)非法AP數(shù)據(jù)安全拒絕服務(wù)攻擊無線網(wǎng)絡(luò)分類無線網(wǎng)絡(luò)根據(jù)應(yīng)用范圍可分為WPAN、WLAN、WMAN、WWAN。WPAN(WirelessPersonalAreaNetwork)：個(gè)人無線網(wǎng)絡(luò)，常用技術(shù)有：Bluetooth、Zigbee、NFC。WLAN(WirelessLocalAreaNetwork)：無線局域網(wǎng)，常用技術(shù)有：Wi-Fi。WMAN(WirelessMetropolitanAreaNetwork)：無線城域網(wǎng)，常用技術(shù)有：WiMax。WWAN(WirelessWideAreaNetwork)：無線廣域網(wǎng)，常用技術(shù)有：GSM、CDMA、WCDMA、TD-SCDMA、LTE、5G。無線局域網(wǎng)WLANWLAN即WirelessLAN（無線局域網(wǎng)），是指通過無線技術(shù)構(gòu)建的無線局域網(wǎng)絡(luò)。WLAN廣義上是指以無線電波、激光、紅外線等無線信號(hào)來代替有線局域網(wǎng)中的部分或全部傳輸介質(zhì)所構(gòu)成的網(wǎng)絡(luò)。通過WLAN技術(shù)，用戶可以方便地接入到無線網(wǎng)絡(luò)，并在無線網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)自由移動(dòng)，徹底擺脫有線網(wǎng)絡(luò)的束縛。有線網(wǎng)絡(luò)SwitchSwitchRouterPCAccessPoint無線信號(hào)無線網(wǎng)絡(luò)WLAN與WiFiWLAN：是計(jì)算機(jī)網(wǎng)絡(luò)和無線通信技術(shù)(Wi-Fi)相結(jié)合的產(chǎn)物，是有線網(wǎng)絡(luò)的無線化延伸。Wi-Fi：是一種基于IEEE802.11標(biāo)準(zhǔn)的無線局域網(wǎng)技術(shù)。在日常生活中，常會(huì)將Wi-Fi當(dāng)做802.11的同義詞。Wi-Fi在辦公場(chǎng)景的發(fā)展趨勢(shì)1990年代初期1990年代晚期現(xiàn)在移動(dòng)1.0移動(dòng)2.0移動(dòng)3.0固定辦公時(shí)代臺(tái)式機(jī)數(shù)據(jù)業(yè)務(wù)初級(jí)移動(dòng)辦公時(shí)代便攜機(jī)：語音業(yè)務(wù)+數(shù)據(jù)業(yè)務(wù)802.11b/a/g無線作為有線的補(bǔ)充無線辦公時(shí)代手機(jī)、Pad、超級(jí)本：視頻業(yè)務(wù)+語音業(yè)務(wù)+數(shù)據(jù)業(yè)務(wù)大量實(shí)時(shí)業(yè)務(wù)802.11n->11ac有線無線一體化全無線時(shí)代多樣化終端:精細(xì)化在線服務(wù)802.11ax/ad……VR/4K視頻VR/AR4K……全無線辦公，以無線為中心Wi-Fi在辦公場(chǎng)景的發(fā)展趨勢(shì)初級(jí)移動(dòng)辦公時(shí)代無線辦公時(shí)代全無線時(shí)代第一階段：初級(jí)移動(dòng)辦公時(shí)代，無線作為有線的補(bǔ)充。WaveLAN技術(shù)的應(yīng)用可以被認(rèn)為是最早的企業(yè)WLAN雛形，無線熱點(diǎn)開始出現(xiàn)在咖啡店、機(jī)場(chǎng)和酒店。Wi-Fi也在這一時(shí)期誕生，隨著標(biāo)準(zhǔn)的演進(jìn)和遵從標(biāo)準(zhǔn)產(chǎn)品的普及，人們往往將Wi-Fi等同于802.11標(biāo)準(zhǔn)。802.11標(biāo)準(zhǔn)是眾多WLAN技術(shù)中的一種，只是802.11標(biāo)準(zhǔn)已成為業(yè)界的主流技術(shù)，所以人們提到WLAN時(shí)，通常是指使用Wi-Fi技術(shù)的WLAN。這是WLAN應(yīng)用的第一階段，主要是解決“無線接入”的問題，核心價(jià)值是擺脫有線的束縛，設(shè)備在一定范圍內(nèi)可以自用移動(dòng)，用無線網(wǎng)絡(luò)延伸了有線網(wǎng)絡(luò)。Wi-Fi在辦公場(chǎng)景的發(fā)展趨勢(shì)初級(jí)移動(dòng)辦公時(shí)代無線辦公時(shí)代全無線時(shí)代第二階段：有線無線一體化，和有線網(wǎng)絡(luò)一樣不可或缺。WLAN作為網(wǎng)絡(luò)的一部分，還需要為企業(yè)訪客提供網(wǎng)絡(luò)接入。在辦公場(chǎng)景下，存在大量視頻、語音等大帶寬業(yè)務(wù)，對(duì)WLAN的帶寬有更大的需求。從2012年開始，802.11ac標(biāo)準(zhǔn)趨于成熟，對(duì)工作頻段、信道帶寬、調(diào)制與編碼方式等做出了諸多改進(jìn)，與以往的Wi-Fi標(biāo)準(zhǔn)相比，其具有更高的吞吐率、更少的干擾，能夠允許更多的用戶接入。Wi-Fi在辦公場(chǎng)景的發(fā)展趨勢(shì)初級(jí)移動(dòng)辦公時(shí)代無線辦公時(shí)代全無線時(shí)代第三階段：全無線辦公時(shí)代，以無線為中心。在辦公環(huán)境中，使用無線網(wǎng)絡(luò)徹底替代有線網(wǎng)絡(luò)。辦公區(qū)采用全Wi-Fi覆蓋，辦公位不再提供有線網(wǎng)口，辦公環(huán)境更為開放和智能。未來，云桌面辦公、智真會(huì)議、4K視頻等大帶寬業(yè)務(wù)將從有線網(wǎng)絡(luò)遷移至無線網(wǎng)絡(luò)，而VR/AR等新技術(shù)將直接基于無線網(wǎng)絡(luò)部署。新的應(yīng)用場(chǎng)景對(duì)WLAN的設(shè)計(jì)與規(guī)劃提出更高的要求。2018年，新一代Wi-Fi標(biāo)準(zhǔn)Wi-Fi6(IEEE命名為802.11ax，Wi-Fi6是Wi-Fi聯(lián)盟的命名)發(fā)布，這是Wi-Fi發(fā)展史上的又一重大里程碑，Wi-Fi6的核心價(jià)值是容量的進(jìn)一步提升，引領(lǐng)無線通信進(jìn)入10Gbit/s時(shí)代。無線協(xié)議標(biāo)準(zhǔn)協(xié)議兼容性頻率理論最高速率IEEE802.11b

2.4GHz11Mbit/sIEEE802.11a

5.8GHz54Mbit/sIEEE802.11g兼容IEEE802.11b2.4GHz54Mbit/sIEEE802.11n兼容IEEE802.11a/b/g2.4GHz或5.8GHz600Mbit/sIEEE802.11ac兼容IEEE802.11a/n5.8GHz6.9Gbit/sIEEE802.11ax兼容IEEE802.11a/b/g/n/ac2.4GHz或5.8GHz9.6Gbit/s內(nèi)容小結(jié)無線網(wǎng)絡(luò)網(wǎng)絡(luò)分類01無線局域網(wǎng)WLAN02WLAN與WiFi03無線協(xié)議標(biāo)準(zhǔn)04WLAN基本概念數(shù)據(jù)網(wǎng)組建與維護(hù)主講教師：劉曉君CONTENTS目錄1WLAN組網(wǎng)概念2CAPWAP協(xié)議3AC+AP組網(wǎng)中的VLANBSS/SSID/BSSID基本服務(wù)集BSS(BasicServiceSet)：一個(gè)AP所覆蓋的范圍。在一個(gè)BSS的服務(wù)區(qū)域內(nèi)，STA可以相互通信。基本服務(wù)集標(biāo)識(shí)符BSSID(BasicServiceSetIdentifier)：是無線網(wǎng)絡(luò)的一個(gè)身份標(biāo)識(shí)，用AP的MAC地址表示。服務(wù)集標(biāo)識(shí)符SSID(ServiceSetIdentifier)：是無線網(wǎng)絡(luò)的一個(gè)身份標(biāo)識(shí)，用字符串表示。為了便于用戶辨識(shí)不同的無線網(wǎng)絡(luò)，用SSID代替BSSID。發(fā)現(xiàn)“guest”SSID:guestBSSID:00e0.fc45.24a0AP發(fā)現(xiàn)“guest”發(fā)現(xiàn)“guest”BSSVAP早期的AP只支持1個(gè)BSS，如果要在同一空間內(nèi)部署多個(gè)BSS，則需要安放多個(gè)AP，這不但增加了成本，還占用了信道資源。為了改善這種狀況，現(xiàn)在的AP通常支持創(chuàng)建出多個(gè)虛擬AP(VirtualAccessPoint,VAP)。虛擬接入點(diǎn)VAP：VAP就是在一個(gè)物理實(shí)體AP上虛擬出的多個(gè)AP。每一個(gè)被虛擬出的AP就是一個(gè)VAP。每個(gè)VAP提供和物理實(shí)體AP一樣的功能。每個(gè)VAP對(duì)應(yīng)1個(gè)BSS。這樣1個(gè)AP，就可以提供多個(gè)BSS，可以再為這些BSS，設(shè)置不同的SSID。BSS1：VAP1SSID:guestBSSID:00e0.fc45.24a0BSS2：VAP2SSID:internalBSSID:00e0.fc45.24a9發(fā)現(xiàn)“guest”和“internal”發(fā)現(xiàn)“guest”和“internal”發(fā)現(xiàn)“guest”和“internal”APESS為了滿足實(shí)際業(yè)務(wù)的需求，需要對(duì)BSS的覆蓋范圍進(jìn)行擴(kuò)展。同時(shí)用戶從一個(gè)BSS移動(dòng)到另一個(gè)BSS時(shí)，不能感知到SSID的變化，則可以通過擴(kuò)展服務(wù)集ESS實(shí)現(xiàn)。擴(kuò)展服務(wù)集ESS(ExtendServiceSet)：由多個(gè)使用相同SSID的BSS組成，是采用相同的SSID的多個(gè)BSS組成的更大規(guī)模的虛擬BSS。AP1SSID=“huawei”BSSID：00e0.fc45.24a0BSSAP2SSID=“huawei”BSSID：00e0.fc45.3100BSSESSCAPWAP協(xié)議什么是CAPWAP隧道CAPWAP（ControlAndProvisioningofWirelessAccessPointsProtocolSpecification，無線接入點(diǎn)控制和配置協(xié)議）：該協(xié)議定義了如何對(duì)AP進(jìn)行管理、業(yè)務(wù)配置，即AC通過CAPWAP隧道來實(shí)現(xiàn)對(duì)AP的集中管理和控制。AP與AC間的狀態(tài)維護(hù)。AC通過CAPWAP隧道對(duì)AP進(jìn)行管理、業(yè)務(wù)配置下發(fā)。當(dāng)采用隧道轉(zhuǎn)發(fā)模式時(shí)，AP將STA發(fā)出的數(shù)據(jù)通過CAPWAP隧道實(shí)現(xiàn)與AC之間的交互。CAPWAP隧道的功能園區(qū)網(wǎng)絡(luò)CAPWAP隧道AC移動(dòng)用戶AP1移動(dòng)用戶移動(dòng)用戶……AP2APnCAPWAP隧道CAPWAP隧道傳遞控制信息用戶數(shù)據(jù)AC+AP組網(wǎng)中的VLAN無線管理VLAN：用來實(shí)現(xiàn)AC和AP直接的通信，主要是AP的DHCP報(bào)文、APARP報(bào)文、APCAPWAP報(bào)文（含控制報(bào)文和數(shù)據(jù)報(bào)文）。二層組網(wǎng)時(shí)，AP和AC在同一管理VLAN上三層組網(wǎng)時(shí)，AC和AP在不同的管理VLAN上，甚至不同的AP是在不同的管理VLAN上，需要正確配置IP網(wǎng)絡(luò)的VLAN間路由使得AC和AP可以通信。配置WLAN時(shí)，沒有正確配置有線網(wǎng)絡(luò)的路由會(huì)造成管理VLAN之間無法通信，以及DHCP服務(wù)器或者DHCP代理配置不正確會(huì)導(dǎo)致AP發(fā)現(xiàn)不了AC，這是最常見的錯(cuò)誤。AC+AP組網(wǎng)中的VLAN業(yè)務(wù)VLAN：主要負(fù)責(zé)傳輸WLAN用戶上網(wǎng)時(shí)的數(shù)據(jù)，它就是WLAN用戶接入后用戶所在的VLAN。在直接轉(zhuǎn)發(fā)模式下，業(yè)務(wù)VLAN是AP為用戶的數(shù)據(jù)所加的VLAN標(biāo)簽。圖中AP1和S1之間的鏈路為Trunk鏈路，AP1收到PC1的數(shù)據(jù)后，將加上VLAN1的標(biāo)簽發(fā)往S1；AP2收到PC2的數(shù)據(jù)后，將加上VLAN2的標(biāo)簽發(fā)往S1。在隧道轉(zhuǎn)發(fā)模式下，業(yè)務(wù)VLAN是CAPWAP協(xié)議隧道內(nèi)用戶報(bào)文的VLAN標(biāo)簽。AP1收到PC1的數(shù)據(jù)后，將加上VLAN1的標(biāo)簽，再把數(shù)據(jù)封裝在CAPWAP報(bào)文發(fā)送到AC，AC解封CAPWAP后得到帶VLAN1標(biāo)簽的數(shù)據(jù)報(bào)文后再轉(zhuǎn)發(fā)到目的網(wǎng)絡(luò)。PC1業(yè)務(wù)VLAN1PC2業(yè)務(wù)VLAN2內(nèi)容小結(jié)WLAN組網(wǎng)概念01CAPWAP協(xié)議02AC+AP組網(wǎng)中的VLAN03WLAN組網(wǎng)方式主講教師：劉曉君數(shù)據(jù)網(wǎng)組建與維護(hù)CONTENTS目錄1常見無線網(wǎng)絡(luò)設(shè)備2WLAN組網(wǎng)應(yīng)用3AP與AC組網(wǎng)方式4胖AP與瘦AP比較常見無線網(wǎng)絡(luò)設(shè)備工作站STA(Station)：支持802.11標(biāo)準(zhǔn)的終端設(shè)備。例如帶無線網(wǎng)卡的電腦、支持WLAN的手機(jī)等。常見無線網(wǎng)絡(luò)設(shè)備無線接入點(diǎn)(AP,AccessPoint)AP是WLAN中的重要組成部分，工作機(jī)制類似于有線網(wǎng)絡(luò)中的集線器，無線終端（Station，STA）可以通過AP進(jìn)行終端之間的數(shù)據(jù)傳輸，也可以通過AP的“WAN”口與有線網(wǎng)絡(luò)互通。AP從功能上可以分為“胖”AP（FatAP）和“瘦”AP（FitAP）FATAP：適用于家庭，獨(dú)立工作，需單獨(dú)配置，功能較為單一，成本低。FITAP：適用于大中型企業(yè)，需要配合AC使用，由AC統(tǒng)一管理和配置，功能豐富。常見無線網(wǎng)絡(luò)設(shè)備無線接入控制器(AC,AccessController)無線控制器是一種網(wǎng)絡(luò)設(shè)備，用來集中化控制無線AP，是一個(gè)無線網(wǎng)絡(luò)的核心，負(fù)責(zé)管理無線網(wǎng)絡(luò)中的所有無線AP。對(duì)AP的管理包括下發(fā)配置、修改相關(guān)配置參數(shù)、射頻智能管理、接入安全控制等。一般位于整個(gè)網(wǎng)絡(luò)的匯聚層，提供高速、安全、可靠的WLAN業(yè)務(wù)。WLAN在家庭網(wǎng)絡(luò)中的應(yīng)用家庭Wi-Fi路由器：通過把有線網(wǎng)絡(luò)信號(hào)轉(zhuǎn)換成無線信號(hào)，供家庭電腦、手機(jī)等設(shè)備接收，實(shí)現(xiàn)無線上網(wǎng)功能。WLAN在企業(yè)網(wǎng)中的應(yīng)用FATAP(胖AP)架構(gòu)在企業(yè)網(wǎng)絡(luò)或者其他大型場(chǎng)所中，所需要的無線覆蓋范圍比較大，若采用胖AP組網(wǎng)，則可以將AP接入到接入交換機(jī)端，數(shù)據(jù)通過交換機(jī)的轉(zhuǎn)發(fā)，到達(dá)企業(yè)核心網(wǎng)。當(dāng)部署單個(gè)AP時(shí)，F(xiàn)ATAP具備較好的獨(dú)立性，不需要另外部署集中控制設(shè)備，部署起來很方便，成本較低廉。在企業(yè)中，隨著WLAN覆蓋面積增大，接入用戶增多，需要部署的FATAP數(shù)量也會(huì)增多。而每個(gè)FATAP又是獨(dú)立工作的，缺少統(tǒng)一的控制設(shè)備，因此管理、維護(hù)這些FATAP就變得十分麻煩。AP……STA匯聚交換機(jī)企業(yè)核心網(wǎng)接入交換機(jī)接入交換機(jī)APAPSTASTAIP網(wǎng)絡(luò)WLAN在企業(yè)網(wǎng)中的應(yīng)用AC+FITAP(瘦AP)架構(gòu)這種架構(gòu)中，AC負(fù)責(zé)WLAN的接入控制、轉(zhuǎn)發(fā)和統(tǒng)計(jì)、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制；FITAP負(fù)責(zé)802.11報(bào)文的加解密、802.11的物理層功能、接受AC的管理等簡(jiǎn)單功能。適用范圍：大中型企業(yè)。很多廠商的企業(yè)級(jí)AP可以在胖（Fat）、瘦（Fit）模式之間進(jìn)行切換。特點(diǎn)：AP需要配合AC使用，由AC統(tǒng)一管理和配置，功能豐富，對(duì)網(wǎng)絡(luò)運(yùn)維人員的技能要求高。ACInternetAPAC+瘦AP組網(wǎng)方式AP1AC二層網(wǎng)絡(luò)APn……二層組網(wǎng)AP1AC三層網(wǎng)絡(luò)APn……三層組網(wǎng)二層組網(wǎng)：AP與AC之間的網(wǎng)絡(luò)為直連或者二層網(wǎng)絡(luò)。由于二層組網(wǎng)比較簡(jiǎn)單，適用于簡(jiǎn)單臨時(shí)的組網(wǎng)，能夠進(jìn)行比較快速的組網(wǎng)配置，但不適用于大型組網(wǎng)架構(gòu)。三層組網(wǎng)：AP與AC之間的網(wǎng)絡(luò)為三層網(wǎng)絡(luò)。在實(shí)際組網(wǎng)中，一臺(tái)AC可以連接幾十甚至幾百臺(tái)AP，組網(wǎng)一般比較復(fù)雜，在大型組網(wǎng)中一般采用三層組網(wǎng)。AC的連接方式直連式組網(wǎng)旁掛式組網(wǎng)直連式組網(wǎng)可以認(rèn)為AP、AC與上層網(wǎng)絡(luò)串聯(lián)在一起，所有數(shù)據(jù)必須通過AC到達(dá)上層網(wǎng)絡(luò)。直連式組網(wǎng)中AC同時(shí)扮演AC和匯聚交換機(jī)的功能，AP的數(shù)據(jù)業(yè)務(wù)和管理業(yè)務(wù)都由AC集中轉(zhuǎn)發(fā)和處理。旁掛式組網(wǎng)，AC旁掛在AP與上行網(wǎng)絡(luò)的直連網(wǎng)絡(luò)中，不再直接連接AP。旁掛式組網(wǎng)，AC旁掛在AP與上行網(wǎng)絡(luò)的直連網(wǎng)絡(luò)上，AP的業(yè)務(wù)數(shù)據(jù)可以不經(jīng)AC而直接到達(dá)上行網(wǎng)絡(luò)。AP1ACIP網(wǎng)絡(luò)APn……核心網(wǎng)絡(luò)AP1IP網(wǎng)絡(luò)APn……核心網(wǎng)絡(luò)AC胖AP與瘦AP比較AC+瘦AP胖AP投資AP成本較低，易管理；AC成本高。AP成本較高，但是無AC投入。WLAN組網(wǎng)AP不能單獨(dú)工作，需要由AC集中代理維護(hù)管理；AP本身零配置，適合大規(guī)模組網(wǎng)；存在多廠商兼容性問題，AC和AP間為私有協(xié)議，必須為同廠家設(shè)備；每個(gè)AC管理AP容量較少。需要對(duì)AP下發(fā)配置文件；有網(wǎng)管情況下可以支持大規(guī)模網(wǎng)絡(luò)部署和海量規(guī)模用戶管理;不存在兼容性問題：基于AP和網(wǎng)管系統(tǒng)之間采用標(biāo)準(zhǔn)的IP層協(xié)議互通；網(wǎng)管可以實(shí)現(xiàn)海量AP統(tǒng)一集中管理和維護(hù)，并實(shí)現(xiàn)與現(xiàn)有寬帶網(wǎng)絡(luò)融合管理。業(yè)務(wù)能力二層、三層漫游；可擴(kuò)展語音等豐富業(yè)務(wù)；可以通過AC增強(qiáng)業(yè)務(wù)QoS、安全等功能。二層漫游；實(shí)現(xiàn)簡(jiǎn)單數(shù)據(jù)接入。內(nèi)容小結(jié)常見無線網(wǎng)絡(luò)設(shè)備01WLAN組網(wǎng)應(yīng)用02AP與AC組網(wǎng)方式03胖AP與瘦AP比較04WLAN安全技術(shù)數(shù)據(jù)網(wǎng)組建與維護(hù)主講教師：劉曉君CONTENTS目錄1WLAN的安全問題2WLAN的安全對(duì)策3WLAN的安全標(biāo)準(zhǔn)WLAN的安全對(duì)策STAAuthenticationResponseAuthenticationRequest開放系統(tǒng)認(rèn)證開放系統(tǒng)認(rèn)證不對(duì)用戶身份做任何驗(yàn)證，整個(gè)認(rèn)證過程中，通信雙方僅需交換兩個(gè)認(rèn)證幀：站點(diǎn)向AP發(fā)送一個(gè)認(rèn)證幀，AP以此幀的源MAC地址作為發(fā)送端的身份證明，AP隨即返回一個(gè)認(rèn)證幀，并建立AP和客戶端的連接。開放系統(tǒng)認(rèn)證主要用于公共區(qū)域或熱點(diǎn)區(qū)域（如機(jī)場(chǎng)、酒店等）為用戶提供無線接入服務(wù)，適合用戶眾多的運(yùn)營(yíng)商部署大規(guī)模的WLAN網(wǎng)絡(luò)。WLAN的安全對(duì)策STAAP發(fā)起認(rèn)證請(qǐng)求明文質(zhì)詢消息加密質(zhì)詢消息認(rèn)證結(jié)果共享密鑰認(rèn)證共享密鑰認(rèn)證要求用戶設(shè)備必須支持有線等效加密，用戶設(shè)備與AP必須配置匹配的靜態(tài)WEP密鑰。共享密鑰認(rèn)證過程中，采用共享密鑰認(rèn)證的無線接口之間需要交換質(zhì)詢與響應(yīng)消息，通信雙方總共需要交換4個(gè)認(rèn)證幀。WLAN的安全對(duì)策SSID隱藏SSID隱藏，可將無線網(wǎng)絡(luò)的邏輯名隱藏起來。AP啟用SSID隱藏后，信標(biāo)幀中的SSID字段被置為空SSID隱藏適用于某些企業(yè)或機(jī)構(gòu)需要支持大量訪客接入的場(chǎng)景。企業(yè)園區(qū)無線網(wǎng)絡(luò)可能存在多個(gè)SSID，如員工、財(cái)務(wù)、訪客等。為減少訪客連錯(cuò)網(wǎng)絡(luò)的問題，園區(qū)通常會(huì)隱藏員工、財(cái)務(wù)的SSID，同時(shí)廣播訪客SSID，此時(shí)訪客嘗試連接無線網(wǎng)絡(luò)時(shí)只能看到訪客SSID，從而減少了連接到員工和財(cái)務(wù)人員網(wǎng)絡(luò)的情況。WLAN的安全對(duì)策合法MAC地址列表MAC10116.0116.1111MAC20116.0116.2222MAC30116.0116.3333MAC：0116.0116.1111MAC：0116.0116.2222MAC：0116.0116.4444STA1STA2STA3AP黑白名單認(rèn)證（MAC地址認(rèn)證）白名單的概念與“黑名單”相對(duì)應(yīng)。黑名單啟用后，被列入黑名單的用戶不能通過。設(shè)立了白名單，則在白名單中的用戶會(huì)允許通過，沒有在白名單列出的用戶將被拒絕訪問。WLAN的安全對(duì)策PSK=huawei123PSK=huawei123SSID=huaweiPSK（Pre-sharedKey，PSK）認(rèn)證要求用戶使用一個(gè)簡(jiǎn)單的ASCII字符串（8～63個(gè)字符長(zhǎng)度，稱為密碼短語）作為密鑰。客戶端和服務(wù)端通過能否成功解密協(xié)商的消息來確定本端配置的預(yù)共享密鑰是否和對(duì)端配置的預(yù)共享密鑰相同，從而完成服務(wù)端和客戶端的相互認(rèn)證。WLAN的安全標(biāo)準(zhǔn)有線等效加密WEP（WiredEquivalentPrivacy）RC4算法加密密鑰長(zhǎng)度有64位和128位兩種WEP安全策略包括：鏈路認(rèn)證機(jī)制、數(shù)據(jù)加密機(jī)制鏈路認(rèn)證分為開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。如果選擇開放系統(tǒng)認(rèn)證方式，鏈路認(rèn)證過程不需要WEP加密。如果選擇共享密鑰認(rèn)證方式，鏈路認(rèn)證過程中完成了密鑰協(xié)商。WLAN的安全對(duì)策WPA（Wi-FiProtectedAccess）/WPA2鏈路認(rèn)證階段，WPA/WPA2僅支持開放式系統(tǒng)認(rèn)證。接入認(rèn)證階段，WPA/WPA2分為企業(yè)版和個(gè)人版。WPA/WPA2支持TKIP和CCMP兩種加密算法。TKIP加密算法：動(dòng)態(tài)密鑰協(xié)商、信息完整性校驗(yàn)機(jī)制，CCMP加密算法：高級(jí)加密標(biāo)準(zhǔn)AES（AdvancedEncryptionStandard）WLAN的安全對(duì)策無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI（WLANAuthenticationandPrivacyInfrastructure）是中國(guó)提出的、以IEEE802.11無線協(xié)議為基礎(chǔ)的無線安全標(biāo)準(zhǔn)。無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI（WLANAuthenticationInfrastructure）：用于無線局域網(wǎng)中身份鑒別和密鑰管理的安全方案；無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI（WLANPrivacyInfrastructure）：用于無線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能。內(nèi)容小結(jié)WLAN的安全問題01WLAN的安全對(duì)策02WLAN的安全標(biāo)準(zhǔn)03WLAN基本配置主講教師：劉曉君數(shù)據(jù)網(wǎng)組建與維護(hù)1WLAN工作流程2WLAN配置命令CONTENTS目錄WLAN工作流程WLAN工作流程AP獲取IP地址并發(fā)現(xiàn)AC，與AC建立連接AP上線1AC將WLAN業(yè)務(wù)配置下發(fā)到AP生效WLAN業(yè)務(wù)配置下發(fā)2STA搜索到AP發(fā)射的SSID并連接、上線，接入網(wǎng)絡(luò)STA接入3WLAN網(wǎng)絡(luò)開始轉(zhuǎn)發(fā)業(yè)務(wù)數(shù)據(jù)WLAN業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)4ACDHCPServer園區(qū)網(wǎng)絡(luò)APAPWLAN配置命令—配置AP上線[AC]wlan[AC-wlan-view]1.創(chuàng)建域管理模板，并配置國(guó)家碼進(jìn)入WLAN視圖。[AC-wlan-view]regulatory-domain-profilenameprofile-name

[AC-wlan-regulate-domain-profile-name]創(chuàng)建域管理模板，并進(jìn)入模板視圖，若模板已存在則直接進(jìn)入模板視圖。[AC-wlan-regulate-domain-profile-name]country-code

country-code配置設(shè)備的國(guó)家碼標(biāo)識(shí)。[AC-wlan-view]ap-groupnamegroup-name[AC-wlan-ap-group-group-name]創(chuàng)建AP組，并進(jìn)入AP組視圖，若AP組已存在則直接進(jìn)入AP組視圖。[AC-wlan-ap-group-group-name]regulatory-domain-profile

profile-name將指定的域管理模板引用到AP或AP組。WLAN配置命令—配置AP上線2.配置源接口或源地址[AC]capwapsourceinterface{loopbackloopback-number|

vlanif

vlan-id}配置AC與AP建立CAPWAP隧道的源接口。[AC]capwapsourceip-addressip-address配置AC的源IP地址。WLAN配置命令—配置AP上線[AC-wlan-view]apauth-mode{mac-auth|sn-auth}3.添加AP設(shè)備–離線導(dǎo)入AP配置AP認(rèn)證模式為MAC地址認(rèn)證，或SN認(rèn)證，缺省為MAC地址認(rèn)證。[AC-wlan-view]ap-id

ap-id[[type-id

type-id|ap-type

ap-type]{ap-mac

ap-mac|ap-sn

ap-sn|ap-mac

ap-mac

ap-sn

ap-sn}][AC-wlan-ap-ap-id]ap-name

ap-name離線增加AP設(shè)備或進(jìn)入AP視圖，并配置單個(gè)AP的名稱。[AC-wlan-view]ap-id

0[AC-wlan-ap-0]ap-group

ap-group配置AP所加入的組。[AC]displayap{all|ap-group

ap-group}}4.檢查AP上線結(jié)果查看AP信息。WLAN配置命令—配置射頻[AC-wlan-view]ap-id

0[AC-wlan-ap-0]radio

radio-id[AC-wlan-radio-0]進(jìn)入射頻視圖[AC-wlan-radio-0/0]channel{20mhz|40mhz-minus|40mhz-plus|80mhz|160mhz}channelWarning:Thisactionmaycauseserviceinterruption.Continue?[Y/N]y配置指定射頻的工作帶寬和信道配置AP組中所有AP或單個(gè)AP指定射頻的工作帶寬和信道。[AC-wlan-radio-0/0]channel80+80mhzchannel1channel2Warning:Thisactionmaycauseserviceinterruption.Continue?[Y/N]yWLAN配置命令—配置射頻[AC-wlan-view]radio-2g-profilenameprofile-name3.創(chuàng)建射頻模板創(chuàng)建2G射頻模板，并進(jìn)入模板視圖，若模板已存在則直接進(jìn)入模板視圖。[AC-wlan-view]ap-groupnamegroup-name[AC-wlan-ap-group-group-name]radio-2g-profileprofile-nameradio{radio-id|all}4.引用射頻模板在AP組中，將指定的2G射頻模板引用到2G射頻。WLAN配置命令—配置VAP[AC-wlan-view]vap-profilenameprofile-name[AC-wlan-vap-prof-profile-name]創(chuàng)建VAP模板創(chuàng)建VAP模板，并進(jìn)入模板視圖，若模板已存在則直接進(jìn)入模板視圖。[AC-wlan-vap-prof-profile-name]forward-mode{direct-forward|tunnel}配置數(shù)據(jù)轉(zhuǎn)發(fā)方式配置VAP模板下的數(shù)據(jù)轉(zhuǎn)發(fā)方式，可以是直接轉(zhuǎn)發(fā)或隧道轉(zhuǎn)發(fā)。[AC-wlan-vap-prof-profile-name]service-vlan

{vlan-idvlan-id|

vlan-poolpool-name}配置業(yè)務(wù)VLAN配置VAP的業(yè)務(wù)VLAN。WLAN配置命令—配置VAP[AC-wlan-view]security-profilenameprofile-name[AC-wlan-sec-prof-profile-name]配置安全模板創(chuàng)建安全模板