項目12企業網無線網絡構建項目描述項目相關知識項目規劃設計項目實踐項目驗證項目拓展目錄項目描述項目描述隨著某公司的持續壯大，員工數量不斷增加，移動辦公的需求也日益凸顯，但公司在建設初期只進行了有線網絡的部署，無法滿足員工現有的移動辦公需求，這在很大程度上限制了員工的辦公靈活性和效率。因此，為了滿足員工日益增長的移動辦公需求，提升整體工作效率，必須對辦公室進行全面的無線網絡覆蓋。此外，為了安全考慮，還需要確保公司內部員工能夠順暢、安全地訪問網絡資源，同時防止外部未經授權的人員接入我司的無線網絡。對此，公司希望采取一系列的安全管理措施，包括但不限于設置復雜的密碼、啟用加密通信、實施嚴格的訪問控制等，以確保公司網絡的安全穩定。項目描述其網絡拓撲如圖12-1所示。圖12-1項目拓撲項目相關知識12.1IEEE802.11標準的幀結構WLAN由STA、無線AP等組成。IEEE802.11MAC層負責客戶端與無線AP之間的通信，包括掃描、認證、接入、加密、漫游等。針對幀的不同功能，可將IEEE802.11中的MAC幀細分為以下3類。控制幀：用于競爭期間的握手通信和正向確認、結束非競爭期等。管理幀：主要用于STA與無線AP之間的協商、關系的控制，如關聯、認證、同步等。數據幀：用于在競爭期和非競爭期傳輸數據。12.1IEEE802.11標準的幀結構IEEE802.11通用幀格式如圖12-2所示。可以看出，IEEE802.11幀共有如下幾個字段：FrameControl（幀控制）、DurationID（持續時間標識）、Address1、Address2、Address3、SeqControl（序列控制）、Address4、FrameBody（幀主體）、FCS（幀校驗序列）。下面對每個字段進行解析。圖12-2IEEE802.11通用幀格式12.1IEEE802.11標準的幀結構（1）幀控制報文的結構如圖12-3所示。①ProtocolVersion：協議版本，通常為0。②Type與SubType：類型與次類型，用來制定所使用的幀類型，即上文提到的控制幀、管理幀、數據幀。Type值的定義如下：00表示管理幀；01表示控制幀；10表示數據幀；11表示保留。圖12-3幀控制報文的結構12.1IEEE802.11標準的幀結構③ToDS與FromDS：用于表示是由工作站發起的數據幀還是由工作站接收的數據幀。00表示所有管理幀與控制幀（非基礎型數據幀）；01表示基礎網絡中無線工作站所接收的數據幀；10表示基礎網絡中無線工作站所發送的數據幀；11表示無線橋接器上的數據幀。12.1IEEE802.11標準的幀結構④MoreFragment：用于說明長幀被分段的情況，如果還有其他幀，則該位被置1。⑤Retry：重傳幀位，重傳的幀會將此位置1。⑥PowerManagement：為了延長電池的使用壽命，通常可以關閉網卡以節省電力。此位用來指定傳送端在完成目前的基本幀交換之后是否進入省電模式，1代表工作站即將進入省電模式，而0代表工作站一直保持為清醒狀態。由基站發送出去的幀，該位必為0。⑦MoreData：服務處于省電模式的工作站，基站會暫存由“傳輸系統”接收而來的幀。如果基站設定此位，則代表至少有一個幀待傳送給休眠的工作站。12.1IEEE802.11標準的幀結構⑧ProtectedFrame：如果幀受到數據鏈路層安全協議的保護，則該位置1。⑨Order：序號域，在長幀分段傳輸時，該位置1，表示接收者應該嚴格按照順序處理該幀，否則該位置0。12.1IEEE802.11標準的幀結構（2）持續時間標識：表明該幀和其確認幀將會占用信道多長時間，Duration值用于網絡分配向量計算。（3）Address部分：一個IEEE802.11幀最多可以包含4個地址，幀類型不同，這些地址也有所差異，基本上，Address1代表接收端地址，Address2代表傳輸端地址，Address3代表接收端取出的過濾地址，Address4一般不使用。（4）序列控制：用來過濾重復幀，即用來重組幀片段及丟棄重復幀。12.1IEEE802.11標準的幀結構（5）幀主體：又稱數據位，負責在工作站間傳輸上層數據。在最初指定的規格中，IEEE802.11幀最多可以傳輸2034字節的數據。IEEE802.2LLC報頭有8字節，所以其最多可以傳輸2296字節的數據。（6）幀校驗序列：通常采用循環冗余校驗（CyclicRedundancyCheck，CRC）。幀校驗序列計算范圍涵蓋MAC標頭中的所有位及幀主體。如果幀校驗序列有誤，則將其丟棄，且不進行應答。12.2MAC層的工作原理IEEE802.11的MAC協議與IEEE802.3相似，考慮到WLAN中，無線電波傳輸距離受限，不是所有的節點都能監聽到信號，且無線網卡工作在半雙工模式，一旦發生碰撞，重新發送數據會降低吞吐量，因此，IEEE802.11對CSMA/CD進行了一些修改，采用了CSMA/CA來避免有沖突的發送。12.2MAC層的工作原理1.CSMA/CA的工作原理（1）檢測信道是否有STA在使用，如果信道空閑，則等待分配的幀間空隙（DistributedInter-frameSpac，DIFS）時間間隔后，發送數據。（2）如果檢測到信道正在使用，則根據CSMA/CA退避算法，STA將凍結退避計時器。經過DIFS時間間隔后，繼續監聽，只要信道空閑，退避計時器就進行倒計時，當退避計時器減少到零時（此時信道可能是空閑的），STA就發送幀并等待確認。（3）

如果目標STA正確接收到該幀，則經過短的幀間空隙（ShortInter-FrameSpace，SIFS）時間間隔后，向源STA發送ACK幀；如果源STA收到ACK幀，則確定數據正確傳輸，經過DIFS時間間隔后，會出現一段空閑時間，叫作爭用窗口，各STA開始爭用信道，重復步驟（1）。12.2MAC層的工作原理（4）

如果源STA沒有收到ACK幀，則需要重新發送原數據幀，直到收到ACK幀或經過若干次重傳失敗后放棄發送為止。補充說明：SIFS：短的幀間空隙，用來分隔屬于一次對話的各幀，長度一般為9μs或20μs。DIFS：分配的幀間空隙，用來發送數據幀和管理幀，長度為SIFS+(2×SlotTime)。SlotTime：時隙，不同廠商對其規定不同，是一個非常短的時間。12.2MAC層的工作原理2.IEEE802.11MAC層的功能MAC層是IEEE802.11的主要部分，其主要功能如下。（1）信道管理：包括信道掃描、信道測量、信道切換等。（2）連接管理：包括認證、斷開認證、建立連接、重新連接、斷開連接、點對點連接請求、直接連接管理等。（3）QoS：包括交通流管理接口、QoS調度變更通知等。（4）功率控制：包括電源管理、發送功率通知等。12.2MAC層的工作原理2.IEEE802.11MAC層的功能MAC層是IEEE802.11的主要部分，其主要功能如下。（5）安全：包括密鑰管理、局域網上的可擴展協議（ExtensibleAuthenticationProtocoloverLANs，EAPoL）、幀密鑰錯誤丟棄通知等。（6）時間同步：包括時間同步、高層同步支持等。（7）特性：包括合并ACK幀管理、信息庫管理等。12.2WLAN組網模式WLAN有兩種組網模式，分別為胖AP組網、瘦AP+AC組網，這兩種模式各自具有不同的特點和應用場景。胖AP組網模式中，AP（AccessPoint，接入點）負責無線信號的發射和接收，同時承擔了數據傳輸和用戶認證的功能。在這種模式下，AP直接連接到交換機或路由器，形成一個簡單的無線局域網。這種組網方式的優點是部署簡單、成本較低，適用于中小型企業和家庭用戶。然而，隨著無線網絡規模的擴大，胖AP組網的缺點也逐漸顯現出來，如管理復雜、擴展性差、安全性較低等。12.2WLAN組網模式瘦AP+AC組網中，AP僅負責無線信號的發射和接收，不再承擔數據傳輸和用戶認證的功能。AC（Controller，控制器）負責對整個無線網絡進行集中管理和控制，包括用戶認證、安全策略、流量控制等。瘦AP+AC組網的優點在于易于管理、擴展性強、安全性高，適用于大型企業、園區和公共場所。然而，這種組網方式的缺點是成本較高，部署過程相對復雜。12.2WLAN組網模式瘦AP+AC的連接方式如圖12-4所示。圖12-4AC+AP組網12.3CAPWAP隧道技術在FitAP組網方式中，AC負責AP的管理與配置，那么AC和AP如何相互發現和通信呢？在以AC+FitAP為架構的WLAN下，AP與AC通信接口的定義,成為整個無線網絡的關鍵。國際標準化組織以及部分廠商為統一AP與AC的接口制定了一些規范，目前普遍使用的是CAPWAP協議。CAPWAP協議定義了AP與AC之間如何通信，為實現AP和AC之間的互通提供了一個通用封裝和傳輸機制。12.3CAPWAP隧道技術1.CAPWAP協議基本概念CAPWAP協議用于AP和AC之間的通信交互，實現AC對其所關聯的AP的集中管理和控制。該協議主要包括以下內容。（1）AP對AC的自動發現及AP和AC的狀態機運行、維護。AP啟動后將通過DHCP自動獲取IP地址，并基于用戶數據報協議（UserDatagramProtocol，UDP）主動聯系AC，AP運行后將接受AC的管理與監控。12.3CAPWAP隧道技術1.CAPWAP協議基本概念CAPWAP協議用于AP和AC之間的通信交互，實現AC對其所關聯的AP的集中管理和控制。該協議主要包括以下內容。（2）AC對AP進行管理、業務配置下發。AC負責AP的配置管理，包括SSID、VLAN、信道、功率等內容。（3）Sta數據封裝后通過CAPWAP隧道進行轉發。在隧道轉發模式下，Sta發送的數據將被AP封裝成CAPWAP報文，然后通過CAPWAP隧道發送到AC，由AC負責轉發。12.3CAPWAP隧道技術2.CAPWAP的本地轉發與隧道轉發從Sta數據報文轉發的角度出發，FitAP的架構進一步劃分為兩種：隧道轉發模式和本地轉發模式。（1）隧道轉發模式。在隧道轉發模式里，所有Sta數據報文和AP的控制報文都是通過CAPWAP隧道轉發到AC，再由AC集中交換和處理，如圖12-5所示。因此，AC不但要對AP進行管理，還要作為AP流量的轉發中樞。圖12-5隧道轉發示意圖12.3CAPWAP隧道技術（2）本地轉發模式。在本地轉發模式里，AC只對AP進行管理，業務數據都由本地直接轉發，即AP管理流封裝在CAPWAP隧道中，轉發給AC，由AC負責處理，如圖12-6所示。AP的業務流不加CAPWAP封裝，而直接由AP轉發給上聯交換設備，然后交換機進行轉發。因此，對于用戶的數據，其對應的VLAN對于AP不再透明，AP需要根據用戶所處的VLAN添加相應的802.1q標簽，然后轉發給上聯交換機，交換機則按802.1q規則直接轉發該數據報。圖12-6本地轉發示意圖12.3CAPWAP隧道技術對比兩種模式可以發現，隨著Sta傳輸速率的不斷提高，AC的轉發壓力也不斷增大。如果采用隧道轉發，對于AC的包處理能力和原有有線網絡的數據轉發都是較大的挑戰。而采用本地轉發后，AC只對AP與Sta進行管理和控制，不負責Sta業務數據的轉發，這既減輕了AC的負擔，也降低了有線網絡的網絡流量。12.3CAPWAP隧道技術3.本地轉發與隧道轉發的典型案例（1）本地轉發的典型案例。在校園網基于無線網絡開展互動教學場景中，教師計算機和學生平板電腦在課室內部有大量的數據交互，以橫向流量為主。如果采用隧道轉發，這些數據都需要從課室經由骨干網發送到數據中心AC，然后經由骨干網轉發回課室的各設備，這些數據相當于都必須由課室到數據中心AC轉一個來回，既耗費有線網絡和無線AC的資源，同時數據延遲也比較大。如果采用本地轉發，這些交互數據將直接通過課室本地交換機進行處理，不僅降低骨干網負載，還有效解決了數據延遲的問題。12.3CAPWAP隧道技術3.本地轉發與隧道轉發的典型案例（2）隧道轉發的典型案例。在酒店無線應用場景中，用戶的上網流量幾乎都是訪問外網的，以縱向流量為主，因此幾乎所有的流量都是先發送到數據中心，再轉發到外網。綜合考慮用戶的上網安全和網絡流量特征，如果采用本地轉發，在增加接入交換機和AP的包處理工作量基礎上并不能提升網絡性能；而采用隧道轉發，則有利于保證用戶數據安全，同時充分利用AC的包處理能力提升網絡性能。12.4CAPWAP隧道建立過程AP啟動后先要找到AC，然后和AC建立CAPWAP隧道，它需要經歷AP通過DHCP獲得IP地址（DHCP）、AP通過“發現”機制尋找AC（Discover）、AP和AC建立DTLS連接（DTLSConnect）、在AC中注冊AP（Join）、固件升級（ImageData）、AP配置請求（Configure）、AP狀態事件響應（StateEvent）、AP工作（Run）、AP配置更新管理（UpdateConfig）等過程和狀態，如圖12-7所示。圖12-7CAPWAP隧道建立過程12.3CAPWAP隧道技術1.AP通過DHCP獲得IP（DHCP）AP啟動后，它首先將作為一個DHCPClient（客戶端）尋找DHCPServer（服務器）。當它找到DHCPServer后將最終獲得IP地址、租約、DNS、Option字段信息等配置信息，其中Option字段信息包含了AC的地址列表，AP獲取IP后將通過Option字段信息里面的地址聯系AC。12.3CAPWAP隧道技術AP和DHCPServer通信并獲取IP地址的過程包括Discover(發現)、Offer（提供）、Request（請求）、Ack（確認），如圖12-8所示。圖12-8AP獲取IP地址的4個步驟12.3CAPWAP隧道技術2.AP通過“發現”機制尋找AC（Discover）在AP通過DHCP獲得IP的過程中，AP是從DHCP的Option信息中獲取AC的IP地址列表的。但如果網絡原有的DHCP服務器并沒有提供這項配置，那么工程師可以預先對AP配置ACIP地址列表，這樣AP啟動后就可以基于ACIP地址列表中的地址尋找AC了，AP尋找AC的過程如圖12-9所示。圖12-9AP尋找AC的過程12.3CAPWAP隧道技術AP可以通過單播或廣播尋找AC，具體情形如下。單播尋找AC：如果AP存在ACIP地址列表，則通過單播發送報文給AC。廣播尋找AC：如果AP不存在ACIP地址列表或單播沒有回應時，則通過廣播發送報文尋找AC。12.3CAPWAP隧道技術AP會給ACIP地址列表的所有AC發送DiscoverRequest（發現請求）報文，當AC收到后會發送一個單播DiscoverResponse（發現響應）給AP。因此，AP可能收到多個AC的DiscoverResponse，AP將根據AC響應數據報中的AC優先級或者其他策略（如AP個數等）來確定與哪個AC建立CAPWAP隧道。12.3CAPWAP隧道技術3.AP和AC建立DTLS連接（DTLSConnect）DTLS提供了UDP傳輸場景下的安全解決方案，能防止消息被竊聽、篡改及身份冒充等問題。在AP通過“發現”機制尋找AC的過程中，AP接收到AC的響應報文后，它開始與AC建立CAPWAP隧道。由于從下一步在AC中注冊AP開始的CAPWAP控制報文都必須經過DTLS加密傳輸，因此在本階段AP和AC將通過協商建立DTLS連接，過程如圖12-10所示。圖12-10AC和AP建立DTLS連接12.3CAPWAP隧道技術4.在AC中注冊AP（Join）在AC中注冊AP，前提是AC和AP工作在相同的工作機制上，包括系統版本號、控制報文優先級等信息。在AC中注冊AP的過程如圖12-11所示。圖12-11在AC中注冊AP的過程12.3CAPWAP隧道技術AP和AC建立CAPWAP隧道后，AC與AP開始建立控制通道。在建立控制通道的過程中，AP通過發送JoinRequest（加入請求）報文將AP的相關信息（如AP版本信息、胖瘦模式信息等）發送給AC。AC收到該報文后，將校驗AP是否在黑白名單中，通過校驗則AC會檢查AP的當前版本。如果AP的版本與AC要求的版本不匹配，AP和AC會進入ImageData狀態進行固件升級，并更新AP的版本；如果AP的版本符合要求，則發送JoinResponse（加入響應）報文（主要包括用戶配置的升級版本號、握手報文間隔/超時時間、控制報文優先級等信息）給AP，然后進入Configure狀態進行AP配置請求。12.3CAPWAP隧道技術5.固件升級（ImageData）AP比對AC的版本信息，如果AP版本號較舊，則AP通過ImageDataRequest（映像數據請求）和ImageDataResponse（映像數據響應）報文在CAPWAP隧道上開始更新軟件版本，如圖12-12所示。AP在軟件更新完成后會重新啟動，重新進行AC發現、建立CAPWAP隧道等過程。圖12-12AP固件升級過程12.3CAPWAP隧道技術6.AP配置請求（Configure）AP在AC中注冊成功且固件版本信息檢測通過后，AP將發送ConfigurationStatusRequest（配置狀態請求）報文給AC，報文包括AC名稱、AP當前配置狀態等信息。AC收到AP的配置請求報文后，將進行AP的現有配置和AC設定配置的匹配檢查，如果不匹配，AC會通過ConfigurationStatusResponse（配置狀態響應）報文將最新的AP配置信息發送給AP，AC對AP的配置進行覆蓋。12.3CAPWAP隧道技術AP配置請求過程如圖12-13所示。圖12-13AP配置請求過程12.3CAPWAP隧道技術7.AP狀態事件響應（StateEvent）AP完成配置更新后，AP將會發送ChangeStateEventRequest（更改狀態事件請求）報文，其中包含Radio、Result、Code等配置信息。AC接收到ChangeStateEventRequest報文后，會對AP配置信息進行數據檢測，如果不匹配，則重新進行AP配置請求;如果檢測通過,AP將進入Run（工作）狀態，開始提供無線接入服務。AP除了在完成第一次配置更新時會發送ChangeStateEventRequest報文外，AP自身工作狀態發生變化時也會通過發送ChangeStateEventRequest報文告知AC。12.3CAPWAP隧道技術AP狀態事件響應過程如圖12-14所示。圖12-14AP狀態事件響應過程12.3CAPWAP隧道技術8.AP工作（Run）AP開始工作后，需要與AC保持互聯，它通過發送兩種報文給AC來維護AC和AP的數據隧道和控制隧道。

（1）數據隧道。Keep-alive（保持連接）數據通信用于AP和AC雙方確認CAPWAP中數據隧道的工作狀態，確保數據隧道保持暢通。12.3CAPWAP隧道技術AP與AC間的Keep-alive數據隧道周期性檢測機制如圖12-15所示。AP周期性發送Keep-alive報文到AC，AC收到后將確認數據隧道狀態，如果正常，AC也將回應Keep-alive報文，AP保持當前狀態繼續工作，定時器重新開始計時；如果不正常，AC則會根據故障類型進行自動排障或警告。圖12-15AP與AC間的Keep-alive數據隧道周期性檢測機制12.3CAPWAP隧道技術（2）控制隧道。AP與AC間的Echo控制隧道周期性檢測機制如圖12-16所示。圖12-16AP與AC間的Echo控制隧道周期性檢測機制12.3CAPWAP隧道技術（2）控制隧道。AP周期性發送EchoRequest（回顯請求）報文給AC，并希望得到AC的回復以確定控制隧道的工作狀態，該報文包括AP與AC間控制隧道的相關狀態信息。AC收到EchoRequest報文后，將檢測控制隧道的狀態，沒有異常則回應EchoResponse（回顯響應）報文給AP，并重置隧道超時定時器；如果有異常，AC則會進入自檢程序或警告。12.3CAPWAP隧道技術9.AP配置更新管理（UpdateConfig）當AC在運行狀態中需要對AP進行配置更新操作時，AC發送ConfigureUpdateRequest（配置更新請求）給AP，AP收到該消息后將發送ConfigureUpdateResponse（配置更新響應）給AC，并進入配置更新過程，如圖12-17所示。圖12-17AC更新AP配置過程12.5WLAN主要安全手段IEEE802.11無線網絡一般作為連接IEEE802.3有線網絡的入口。為保護入口的安全，確保只有授權用戶才能通過無線AP訪問網絡資源，必須采用有效的認證技術。在WLAN用戶通過認證并被賦予訪問權限后，網絡必須保護用戶所傳送的數據不被泄露，其主要方法是對數據報文進行加密。目前，WLAN的安全技術有有線等效保密（WiredEquivalentPrivacy，WEP）、Wi-Fi保護接入(Wi-FiProtectedAccess，WPA)、WPA2、WPA3、無線局域網鑒別與保密基礎結構（WLANAuthenticationandPrivacyInfrastructure，WAPI）等，都是通過加密手段和認證手段來提高網絡的安全性。12.5WLAN主要安全手段1.WEP用來保護無線局域網中的授權用戶所傳輸的數據的安全性，防止這些數據被竊聽。WEP的加密手段則是采用里維斯特密碼4（RivestCipher4，RC4）算法對傳輸的數據進行加密，加密密鑰長度有64位和128位兩種，其中有24bit的IV（初始向量）是由系統產生的，所以AP和Sta上配置的密鑰長度是40位或104位，這個密鑰就是在接入網絡時所需要輸入的Wi-Fi密碼。WEP加密采用靜態的密鑰，接入同一SSID下的所有Sta使用相同的密鑰訪問無線網絡。12.5WLAN主要安全手段WEP采用的認證手段有開放認證和密鑰認證兩種。開放認證：用戶不經過認證即可接入網絡；密鑰認證：用戶需要輸入密碼才能接入網絡。12.5WLAN主要安全手段密鑰認證要求Sta必須支持WEP，Sta與AP必須配置匹配的靜態WEP密鑰。如果雙方的靜態WEP密鑰不匹配，Sta就無法通過認證。共享密鑰認證過程中，采用共享密鑰認證的無線接口之間需要交換質詢消息，通信雙方總共需要交換4個認證幀，如圖12-18所示。圖12-18共享密鑰認證過程12.5WLAN主要安全手段（1）Sta向AP發送認證請求認證幀。（2）AP向Sta返回包含明文質詢消息的第2個認證幀，質詢消息長度為128字節，由WEP密鑰流生成器利用隨機密鑰和初始向量產生。（3）Sta使用靜態WEP密鑰將質詢消息加密，并通過認證幀發給AP，即第3個認證幀。（4）AP收到第3個認證幀后，將使用靜態WEP密鑰對其中的質詢消息進行解密，并與原始質詢消息進行比較。若兩者匹配，AP將會向Sta發送第4個也是最后一個認證幀，確認Sta成功通過認證；若兩者不匹配或AP無法解密質詢消息，AP將拒絕Sta的認證請求。12.5WLAN主要安全手段Sta成功通過共享密鑰認證后，將采用同一靜態WEP密鑰加密隨后的802.11數據幀與AP通信。共享密鑰認證看似安全性比開放系統認證要高，但是實際上存在著巨大的安全漏洞。如果入侵者截獲AP發送的明文質詢消息以及Sta返回的加密質詢消息，就可能從中提取出靜態WEP密鑰。入侵者一旦掌握靜態WEP密鑰，就可以解密所有數據幀，網絡對入侵者將再無秘密可言。因此，WEP共享密鑰認證方式難以為企業WLAN提供有效保護。目前已經不再使用。12.5WLAN主要安全手段2.WPA/WPA2起初制定WPA時，在WEP的基礎上提出了臨時密鑰完整性協議（TemporalKeyIntegrityProtocol，TKIP），該協議的核心加密算法還是采用RC4。而WPA2作為WPA的第2版，提出了計數器模式密碼塊鏈信息認證碼協議（CounterModewithCipher-BlockChainingMessageAuthenticationCodeProtocol，CCMP），核心加密算法引入了高級加密標準（AdvancedEncryptionStandard，AES），Wi-Fi產品需要采用AES的芯片組來支持WPA2。如今，為了實現更好的兼容性，WPA和WPA2都可以使用TKIP或CCMP，它們之間的不同主要表現在協議報文格式上，在安全性上幾乎沒有差別。12.5WLAN主要安全手段WPA/WPA2認證手段采用的認證手段相同。都是預共享密鑰（Pre-SharedKey，PSK）認證和可擴展認證協議（ExtensibleAuthenticationProtocol，EAP）認證兩種認證手段。PSK認證：用戶通過輸入預共享密鑰即可接入網絡；在不同的終端設備上對該認證方式稱呼不一，有WPA/WPA2個人版、WPA/WPA2-Personal、WPA/WPA2-Passphrase等。EAP認證：需要使用遠程用戶撥號認證系統（RemoteAuthenticationDialInUserService，RADIUS）服務器對用戶進行認證，在不同的終端設備上對該認證方式稱呼不一，有WPA/WPA2企業版、WPA/WPA2企業AES、WPA/WPA2Enterprise認證、WPA/WPA2802.1X認證、WPA/WPA2RADIUS認證。12.5WLAN主要安全手段WPA/WPA2定義的PSK認證方法是一種弱認證方法，很容易受到暴力字典(通過大量猜測和窮舉的方式來嘗試獲取用戶口令的攻擊方式)的攻擊。雖然這種簡單的PSK認證是為小型無線網絡設計的，但實際上很多企業也使用WPA/WPA2。由于所有Sta上的PSK都是相同的，如果用戶不小心將PSK泄露，WLAN的安全性將受到威脅。為保證安全，所有Sta就必須重新配置一個新的PSK。目前WPA2已經成為一種強制性的標準，基本所有的Wi-Fi產品都支持WPA2，家庭所使用的Wi-Fi產品基本都是WPA2PSK認證。12.5WLAN主要安全手段3.WPA3WPA2在2017年被發現存在安全漏洞，采用WPA2進行加密的Wi-Fi網絡可能會遭受密鑰重裝攻擊（KeyReinstallationAttacks，KRACK），攻擊者利用這個漏洞誘導用戶重新安裝已使用過的密鑰，并通過一系列手段破解用戶密鑰，從而實現用戶網絡的完全訪問。為了應對這一安全漏洞，Wi-Fi聯盟組織于2018年1月8日新發布的Wi-Fi加密協議WPA3，是WPA2技術的后續版本。WPA3在WPA2的基礎上進行改進，增加了許多新功能，提供了更強大的加密保護。根據Wi-Fi網絡的用途和安全需求不同，WPA3分為WPA3個人版、WPA3企業版以及針對開放性Wi-Fi網絡的機會性無線加密（OpportunisticWirelessEncryption，OWE）認證。12.5WLAN主要安全手段（1）WPA3個人版：WPA3個人版使采用了更加安全的對等實體同時驗證（SimultaneousAuthenticationofEquals，SAE）取代了WPA2個人版采用預先設置共享密鑰的PSK認證方式。SAE協議在密鑰認證的四次握手前增加了SAE握手，使得每次協商的PMK都是不同的，也就保證了密鑰的隨機性，有效的防止KRACK攻擊。同時，SAE協議會直接拒絕服務多次嘗試發起連接的終端，有效的防止暴力字典的攻擊。（2）WPA3企業版：WPA3企業版在WPA2企業版的基礎上，添加了一種更加安全的可選模式——WPA3-Enterprise192bit，該模式提供了更高的安全保護。12.5WLAN主要安全手段（3）OWE認證：在開放性無線網絡中，用戶無需輸入密碼即可接入網絡，用戶與Wi-Fi網絡的數據傳輸也是未加密的，這增加了非法攻擊者接入網絡的風險。WPA3在開放認證方式的基礎上，提出了一種增強型開放網絡認證方式。該認證方式下，用戶仍然無需輸入密碼即可接入網絡，保留了開放式Wi-Fi網絡用戶接入的便利性。同時，OWE采用密鑰交換算法（Diffie-Hellman）在用戶和Wi-Fi設備之間交換密鑰，為用戶與Wi-Fi網絡的數據傳輸進行加密，保護用戶數據的安全性。12.5WLAN主要安全手段4.WAPIWAPI是中國提出的、以802.11無線協議為基礎的無線安全標準。WAPI能夠提供比WEP和WPA更強的安全性，WAPI協議由以下兩部分構成：無線局域網鑒別基礎結構（WLANAuthenticationInfrastructure，WAI）：用于無線局域網中身份鑒別和密鑰管理的安全方案；無線局域網保密基礎結構（WLANPrivacyInfrastructure，WPI）：用于無線局域網中數據傳輸保護的安全方案，包括數據加密、數據鑒別和重放保護等功能。項目規劃設計項目規劃設計在本案例中，公司使用1臺交換機、1臺AC和2臺FitAP來構建企業無線網絡，AC與AP接入SW1進行管理，銷售部和研發部的終端則分別接入各自的無線網絡中，其網絡拓撲如圖12-19所示。

圖12-19網絡拓撲圖項目規劃設計根據圖12-19所示拓撲圖進行項目的業務規劃，項目12的VLAN規劃、端口互聯規劃、IP規劃、WLAN規劃、AP-Group規劃、黑白名單規劃見表12-1~表12-6。表12-1項目12VLAN規劃VLAN-IDVLAN命名網段用途VLAN10User-market192.168.10.0/24無線用戶網段VLAN11User-develop192.168.11.0/24無線用戶網段VLAN99GW-AP192.168.99.0/24AP管理網段VLAN100GW-SW192.168.100.0/24設備管理網段項目規劃設計根據圖12-19所示拓撲圖進行項目的業務規劃，項目12的VLAN規劃、端口互聯規劃、IP規劃、WLAN規劃、AP-Group規劃、黑白名單規劃見表12-1~表12-6。表12-2項目12端口互聯規劃本端設備本端端口端口配置對端設備對端端口SW1G0/1TrunkAP1G0/1G0/2TrunkAP2G0/1G0/24TrunkAC1G0/1AC1G0/1TrunkSW1G0/24AP1G0/1TrunkSW1G0/1AP2G0/1TrunkSW1G0/2項目規劃設計根據圖12-19所示拓撲圖進行項目的業務規劃，項目12的VLAN規劃、端口互聯規劃、IP規劃、WLAN規劃、AP-Group規劃、黑白名單規劃見表12-1~表12-6。表12-3項目12IP規劃設備接口IP地址用途SW1VLAN10192.168.10.254/24無線用戶網段網關192.168.10.1-253/24DHCP分配給無線用戶VLAN11192.168.11.254/24無線用戶網段網關192.168.11.1-253/24DHCP分配給無線用戶VLAN99192.168.99.254/24AP管理網關VLAN100192.168.100.254/24設備管理網關AC1VLAN100192.168.100.1/24設備管理地址Loopback01.1.1.1CAPWAP隧道項目規劃設計根據圖12-19所示拓撲圖進行項目的業務規劃，項目12的VLAN規劃、端口互聯規劃、IP規劃、WLAN規劃、AP-Group規劃、黑白名單規劃見表12-1~表12-6。表12-4項目12WLAN規劃WLAN-IDSSID加密方式密鑰是否廣播用途1Jan16-marketWPA2Jan16@123是無線用戶連接SSID以加入網絡2Jan16-developWPA2Jan16@456是無線用戶連接SSID以加入網絡項目規劃設計根據圖12-19所示拓撲圖進行項目的業務規劃，項目12的VLAN規劃、端口互聯規劃、IP規劃、WLAN規劃、AP-Group規劃、黑白名單規劃見表12-1~表12-6。表12-5項目12AP-Group規劃AP-GroupWLAN-IDVLANID用途Jan16-market110銷售部無線用戶從VLAN10獲取地址Jan16-develop211研發部無線用戶從VLAN11獲取地址項目規劃設計根據圖12-19所示拓撲圖進行項目的業務規劃，項目12的VLAN規劃、端口互聯規劃、IP規劃、WLAN規劃、AP-Group規劃、黑白名單規劃見表12-1~表12-6。表12-6項目12黑白名單規劃黑白名單啟用最大數量MAC地址列表白名單是2000C.29D2.C475000C.292D.74F4項目實踐任務12-1配置基礎網絡任務12-1配置基礎網絡任務描述本任務中，要實現企業局域網的基礎網絡配置，實現網段內的互聯，任務的配置包括以下內容。1.VLAN配置：根據拓撲圖創建VLAN。2.IP地址配置：根據項目規劃設計表為交換機及AC配置IP地址。3.端口配置：根據項目規劃設計表配置互聯端口，并配置端口默認VLAN。4.路由配置：在AC上配置默認路由。任務12-1配置基礎網絡任務操作1.VLAN配置（1）在SW1上創建VLAN。Ruijie>enable//進入特權模式Ruijie#configterminal//進入全局模式Ruijie(config)#hostnameSW1//將交換機名稱更改為SW1SW1(config)#vlan10//創建VLAN10SW1(config-vlan)#nameUser-market//VLAN命名為User-marketSW1(config-vlan)#exit//退出任務12-1配置基礎網絡任務操作1.VLAN配置（1）在SW1上創建VLAN。SW1(config)#vlan11//創建VLAN11SW1(config-vlan)#nameUser-develop//VLAN命名為User-developSW1(config-vlan)#exit//退出SW1(config)#vlan99//創建VLAN99SW1(config-vlan)#nameGW-AP//VLAN命名為GW-APSW1(config)#vlan100//創建VLAN100SW1(config-vlan)#nameGW-SW//VLAN命名為GW-SWSW1(config-vlan)#exit//退出任務12-1配置基礎網絡任務操作1.VLAN配置（2）在AC1上創建VLAN。Ruijie>enable//進入特權模式Ruijie#configterminal//進入全局模式Ruijie(config)#hostnameAC1//將交換機名稱更改為AC1AC1(config)#vlan10//創建VLAN10AC1(config-vlan)#nameUser-market//VLAN命名為User-marketAC1(config-vlan)#exit//退出任務12-1配置基礎網絡任務操作1.VLAN配置（2）在AC1上創建VLAN。AC1(config)#vlan11//創建VLAN11AC1(config-vlan)#nameUser-develop//VLAN命名為User-developAC1(config-vlan)#exit//退出AC1(config)#vlan99//創建VLAN99AC1(config-vlan)#nameGW-AP//VLAN命名為GW-APAC1(config-vlan)#exit//退出AC1(config)#vlan100//創建VLAN100AC1(config-vlan)#nameGW-SW//VLAN命名為GW-SWAC1(config-vlan)#exit//退出任務12-1配置基礎網絡任務操作2.IP地址配置（1）在SW1上配置IP地址。SW1(config)#interfacevlan10//進入VLAN10接口SW1(config-if-VLAN10)#ipaddress192.168.10.254255.255.255.0//配置IP地址SW1(config-if-VLAN10)#exit//退出SW1(config)#interfacevlan11//進入VLAN11接口SW1(config-if-VLAN11)#ipaddress192.168.11.254255.255.255.0//配置IP地址SW1(config-if-VLAN11)#exit//退出任務12-1配置基礎網絡任務操作2.IP地址配置（1）在SW1上配置IP地址。SW1(config)#interfacevlan99//進入VLAN99接口SW1(config-if-VLAN99)#ipaddress192.168.99.254255.255.255.0//配置IP地址SW1(config-if-VLAN99)#exit//退出SW1(config)#interfacevlan100//進入VLAN100接口SW1(config-if-VLAN100)#ipaddress192.168.100.254255.255.255.0//配置IP地址SW1(config-if-VLAN100)#exit//退出任務12-1配置基礎網絡任務操作2.IP地址配置（2）在AC1上配置IP地址。AC1(config)#interfacevlan100//進入VLAN100接口AC1(config-if-VLAN100)#ipaddress192.168.100.1255.255.255.0//配置IP地址AC1(config-if-VLAN100)#exit//退出AC1(config)#interfaceloopback0//進入環回接口0AC1(config-if-Loopback0)#ipaddress1.1.1.1255.255.255.255//配置IP地址AC1(config-if-Loopback0)#exit//退出任務12-1配置基礎網絡任務操作3.端口配置（1）在SW1上配置與AP和AC互聯的端口。SW1(config)#interfacerangegigabitEthernet0/1-2//批量進入端口SW1(config-if-range)#switchportmodetrunk//修改端口模式為TrunkSW1(config-if-range)#switchporttrunknativevlan99//配置接口默認VLAN為99SW1(config-if-range)#exit//退出SW1(config)#interfacegigabitEthernet0/24//進入G0/24端口SW1(config-if-GigabitEthernet0/24)#

switchportmodetrunk//修改端口模式為TrunkSW1(config-if-GigabitEthernet0/24)#exit//退出任務12-1配置基礎網絡任務操作3.端口配置（2）在AC1上配置與AP互聯的端口。AC1(config)#interfacegigabitEthernet0/1//進入G0/1端口AC1(config-if-GigabitEthernet0/1)#

switchportmodetrunk//修改端口模式為TrunkAC1(config-if-GigabitEthernet0/1)#exit//退出任務12-1配置基礎網絡任務操作4.路由配置（1）在SW1上配置路由協議。（2）在AC1上配置路由協議。SW1(config)#

iproute1.1.1.1255.255.255.255192.168.100.1//配置默認路由AC1(config)#

iproute0.0.0.00.0.0.0192.168.100.254//配置默認路由任務12-1配置基礎網絡任務驗證（1）在SW1上使用【showipinterfacebrief】命令查看接口的配置信息，如下所示。可以看到接口上配置的IP地址信息。SW1#showipinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolVLAN1noaddressnoaddressupdownVLAN10192.168.10.254/24noaddressupupVLAN11192.168.11.254/24noaddressupupVLAN99192.168.99.254/24noaddressupupVLAN100192.168.100.254/24noaddressupup任務12-1配置基礎網絡任務驗證（2）在AC1上使用【showipinterfacebrief】命令查看接口的配置信息，如下所示。可以看到接口上配置的IP地址信息。AC1#showipinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolLoopback01.1.1.1/32noaddressupupVLAN1noaddressnoaddressupdownVLAN100192.168.100.1/24noaddressupup任務12-2配置無線局域網任務12-2配置無線局域網任務描述本任務中，要實現兩個部門的終端能夠連接企業無線網絡。任務的配置包括以下內容。1.DHCP配置：建立無線用戶地址池。2.無線網絡配置：在AC上配置WLAN功能。任務12-2配置無線局域網任務操作1.DHCP配置（1）在SW1上配置DHCP地址池。SW1(config)#servicedhcp//開啟DHCP服務SW1(config)#ipdhcppoolGW-AP//設置DHCP地址池的名稱為GW-APSW1(dhcp-config)#

option138ip1.1.1.1//配置分配的138選項字段指向AC的Loopback接口SW1(dhcp-config)#

network192.168.99.0255.255.255.0//配置DHCP地址池分配的地址為192.168.99.0/24網段SW1(dhcp-config)#dns-server8.8.8.8//配置DNS地址為8.8.8.8任務12-2配置無線局域網任務操作1.DHCP配置（1）在SW1上配置DHCP地址池。SW1(dhcp-config)#

default-router192.168.99.254//配置DHCP地址池分配的網關地址為192.168.99.254SW1(dhcp-config)#exit//退出SW1(config)#ipdhcppoolmarket//設置DHCP地址池的名稱為marketSW1(dhcp-config)#network192.168.10.0255.255.255.0//配置DHCP地址池分配的地址為192.168.10.0/24網段SW1(dhcp-config)#dns-server8.8.8.8//配置DNS地址為8.8.8.8任務12-2配置無線局域網任務操作1.DHCP配置（1）在SW1上配置DHCP地址池。SW1(dhcp-config)#default-router192.168.10.254//配置DHCP地址池分配的網關地址為192.168.10.254SW1(dhcp-config)#exit//退出SW1(config)#ipdhcppooldevelop//設置DHCP地址池的名稱為developSW1(dhcp-config)#network192.168.11.0255.255.255.0//配置DHCP地址池分配的地址為192.168.11.0/24網段SW1(dhcp-config)#dns-server8.8.8.8//配置DNS地址為8.8.8.8任務12-2配置無線局域網任務操作1.DHCP配置（1）在SW1上配置DHCP地址池。SW1(dhcp-config)#default-router192.168.11.254//配置DHCP地址池分配的網關地址為192.168.11.254SW1(dhcp-config)#exit//退出任務12-2配置無線局域網任務操作2.無線網絡配置（1）創建SSID。AC1(config)#

wlan-config1Jan16-market//創建WLAN1的SSID為Jan16-marketAC1(config-wlan)#exit//退出AC1(config)#

wlan-config2Jan16-develop//創建WLAN2的SSID為Jan16-developAC1(config-wlan)#exit//退出任務12-2配置無線局域網任務操作2.無線網絡配置（2）創建AP-Group，并關聯WLAN和VLAN。AC1(config)#ap-groupJan16-market//創建名為Jan16-market的AP-GroupAC1(config-group)#interface-mapping110//配置WLAN1關聯VLAN10AC1(config-group)#exit//退出AC1(config)#ap-groupJan16-develop//創建名為Jan16-develop的AP-GroupAC1(config-group)#interface-mapping211//配置WLAN2關聯VLAN11AC1(config-group)#exit//退出任務12-2配置無線局域網任務操作2.無線網絡配置（3）在AC1上對AP進行配置。AC1(config)#ap-config5869.6c2f.dc7e//進入AP1的配置模式AC1(config-ap)#ap-groupJan16-market//將AP1加入AP-GroupJan16-marketAC1(config-ap)#ap-nameAP1//修改AP名稱AC1(config-ap)#exit//退出AC1(config)#ap-config5869.6c2f.dc96//進入AP2的配置模式AC1(config-ap)#ap-groupJan16-develop//將AP2加入AP-GroupJan16-developAC1(config-ap)#ap-nameAP2//修改AP名稱AC1(config-ap)#exit//退出任務12-2配置無線局域網任務驗證（1）在AC1上使用【showap-configsummary】命令查看AP狀態信息，如下所示。AC1#showap-configsummary=========showapstatus=========Radio:RadioIDorBand:2.4G=0#,5G=2#E=enabled,D=disabled,N=NotexistCurrentStanumberChannel:*=GlobalPowerLevel=PercentOnlineAPnumber:2OfflineAPnumber:0任務12-2配置無線局域網任務驗證（1）在AC1上使用【showap-configsummary】命令查看AP狀態信息，如下所示。可以看到兩臺AP已經在AC上線并且處于Run狀態。AC1#showap-configsummary=========showapstatus=========APNameIPAddressMacAddressRadioRadioUp/OfftimeState--------------------------------------------------------------------------------------------------------AP1192.168.99.15869.6c2f.dc7e1E011002E0149*1000:01:32:51RunAP2192.168.99.25869.6c2f.dc961E16*1002E0153*1000:01:30:58Run任務12-2配置無線局域網任務驗證（1）在AC1上使用【showwlan-configsummary】命令查看WLAN的配置信息，如下所示。可以看到創建了“Jan16-market”和“Jan16-develop”兩個SSID。AC1#showwlan-configsummaryTotalWlanNum:2WlanidProfileNameSSIDSTANUM--------------------------------------------------------1Jan16-market02Jan16-develop0任務12-3配置無線安全任務12-3配置無線安全任務描述在本任務中，要對公司無線網絡進行加密處理，設置預共享密鑰，并配置白名單允許合法用戶接入，任務的配置包括以下內容。1.無線加密配置：對無線網絡進行WPA2共享密鑰認證配置。2.無線黑白名單配置：對PC1、PC2進行白名單配置。任務12-3配置無線安全任務操作1.無線加密配置（1）在AC1上對兩個部門的無線網絡進行加密。AC1(config)#wlansec1//進入WLAN1的安全配置模式AC1(config-wlansec)#securityrsnenable//開啟無線加密功能AC1(config-wlansec)#securityrsnciphersaesenable//無線啟用AES加密AC1(config-wlansec)#securityrsnakmpskenable//無線開啟共享密鑰認證方式AC1(config-wlansec)#securityrsnakmpskset-keyasciiJan16@123//配置無線密碼AC1(config-wlansec)#exit//退出任務12-3配置無線安全任務操作1.無線加密配置（1）在AC1上對兩個部門的無線網絡進行加密。AC1(config)#wlansec2//進入WLAN2的安全配置模式AC1(config-wlansec)#securityrsnenable//開啟無線加密功能AC1(config-wlansec)#securityrsnciphersaesenable//無線啟用AES加密AC1(config-wlansec)#securityrsnakmpskenable//無線開啟共享密鑰認證方式AC1(config-wlansec)#securityrsnakmpskset-keyasciiJan16@456//配置無線密碼AC1(config-wlansec)#exit//退出任務12-3配置無線安全任務操作2.無線黑白名單配置（1）在AC1上配置無線黑白名單功能。AC1(config)#wids//進入WIDS模式AC1(config-wids)#whitelistmax40//調整白名單容量AC1(config-wids)#whitelistmac-address000C.29D2.C475//允許接入無線網絡的MAC地址AC1(config-wids)#whitelistmac-address000C.292D.74F4//允許接入無線網絡的MAC地址AC1(config-wids)#exit//退出任務12-3配置無線安全任務驗證（1）在SW1上使用【showipdhcpbinding】命令查看IP地址分配情況，如下所示。可以看到192.168.10.0/24和192.168.11.0/24均已分配了IP地址給終端。SW1#showipdhcpbindingTotalnumberofclients:2Expiredclients:0Runningclients:2IPaddressHardwareaddressLeaseexpirationType192.168.10.2000c.29d2.c475000days19hours06minsAutomatic192.168.11.2000c.292d.74f4000days22hours12minsAutomatic任務12-3配置無線安全任務驗證（2）在AC1上使用【showwidswhitelist】命令查看白名單，如下所示。可以看到白名單內已經添加PC1、PC2的的MAC地址。AC1#showwidswhitelist-------------WhitelistInformation---------------NUMMAC-ADDRESS1000c.292d.74f42000c.29d2.c475項目驗證項目驗證（1）在銷售部PC1上使用【ipconfig/all】命令查看IP地址配置信息，如下所示。WindowsIP配置

主機名.............:PC1

主DNS后綴...........:

節點類型............:混合IP路由已啟用..........:否WINS代理已