无线网络培训资料

WirelessSwitch培训资料,www.huawei-,Contents,Wireless基础概念Wireless组网方式介绍Wirelessswitch功能分析Wirelessswitch产品介绍,WLAN技术标准情况,AdHoc模式包括:Stations(STA)任何的wireless设备设备之间相互点对点对等通信IndependentBasicServiceSet(IBSS)通过唯一的SSID来标识网络中没有AP设备，也没有公共连接连到DS有线网络,802.11网络配置Adhoc模式,IBSS,STA1,STA2,STA3,Servicesetidentify(SSID),Infrastructure模式包括:Stations(STA)任何的wireless设备AccessPoint(AP)将BSS连接到DS负责STA间的数据转发BasicServiceSet(BSS)一个AP所控制的的区域通过BSSID（AP的MAC地址）来唯一标识终端在一个BSS内可以相互通信ExtendedServiceSet(ESS)采用相同的SSID的多个BSS形成的更大规模的虚拟BSS终端在同一ESS内可以通信并且可以在下属的多个BSS间移动ESS通过SSID来唯一标识DistributionService(DS)连接多个BSS的网络以及有线网络可以采用无线或有线技术，通常采用以太网技术,DS,802.11网络配置Infrastructure模式,基于CSMA/CA原理，属于最基本的接入方式STA传送数据报文的基本过程当检测到媒体busy时不发送报文当检测到媒体空闲IFS时间长度以后启动一个定时器back-offtimer，该定时器的尺寸为Contentionwindow（尺寸有限制的随机数），当定时器到时后开始发送报文当本次发送失败需要重传时，随着重传次数的增加Contentionwindow的尺寸逐渐加大当本次发送成功或者达到重传次数上限需要丢弃报文时，resetContentionwindow的尺寸为初始值,802.11MACaccessDCF（distributedcoordinationfunction）方式,IFS,IFS,推迟发送直到媒体空闲IFS时间长度,Busy,Frame,Contentionwindow,back-off定时启动,Mediumbusy,Sendframe,Time,DCF模式下利用RTS/CTS进行数据传输的典型过程：,802.11MACaccessDCF方式（续2）,STA1,AP,STA2,RTS请求发送,CTS同意发送,数据,ACK发送确认,RTS请求发送,CTS同意发送,数据,ACK发送确认,RAAP，TASTA1,RASTA1,RASTA1,RAAP，TASTA1,DA=STA2,SA=STA1,RASTA2，TAAP,RAAP,RASTA2，TAAP,DA=STA2,SA=STA1,RAAP,RA:ReceiverAddressTA:TransmitterAddressSA:SourceAddressDA:DestinationAddress,802.11管理功能用户接入过程,STA,AP,802.11MAC使用Scanning功能来完成Discovery寻找和加入一个网络当STA漫游时寻找一个新的APPassiveScanning通过侦听AP定期发送的Beacon帧来发现网络，Beacon帧中包含该AP所属的BSS的基本信息以及AP的基本能力级，包括：BSSID（AP的MAC地址）、SSID、支持的速率、支持的认证方式，加密算法、Beacons帧发送间隔，使用的信道等当未发现包含期望的SSID的BSS时，STA可以工作于IBSS状态ActiveScanning在每个信道上发送Proberequest报文，从ProbeResponse中获取BSS的基本信息，ProbeResponse包含的信息和Beacon帧类似,802.11管理功能-Discovery,802.11支持两种基本的认证方式Open-systemAuthentication等同于不需要认证，没有任何安全防护能力通过其他方式来保证用户接入网络的安全性，例如Addressfilter、用户报文中的SSIDSharedKeyAuthentication采用WEP加密算法Attacker可以通过监听AP发送的明文Challengetext和STA回复的密文Challengetext计算出WEPKEYSTA可以通过Deauthentication来终结认证关系,802.11管理功能-Authentication,STA,AP,Authenticationrequest,AuthenticationResponse(success),STA,AP,Authenticationrequest,Plaintextchallenge,Ciphertextchallenge,AuthenticationResponse(success),预置Key,用Key加密明文,密文解密和明文比较,预置Key,AssociationSTA通过Association和一个AP建立关联，后续的数据报文的收发只能和建立Association关系的AP进行ReassociationSTA在从一个老的AP移动到新AP时通过Reassociation和新AP建立关联Reassociation前必须经历Authentication过程DeassociationSTA通过Deassociation和AP解除关联关系,802.11管理功能-Association,Associationrequest(SSID),AssociationResponse(AssociationID),STA,NewAP,数据,OldAP,Reassociation请求(oldAPaddress),Reassociation应答,采用基于RC4对称流加密算法的WEP加密STA和AP需要预先配置相同的静态Key，Key的长度为40bit或104bit每次对数据加密的Key静态Key24bit的IV值（IV值为动态生成）所有的STA共用相同的静态Key造成：当用户的STA丢失或者用户离职时需要对所有用户STA重新配置新的静态Key。静态Key泄漏被发现前，网络存在安全隐患24bit的IV值太短造成：Attacker可以在分析侦听到的1M-4M用户报文后破解加密Key,802.11管理功能-Encryption,加密报文IV值,IV,静态Key,Key生成器,Key流,XOR,用户数据明文,加密报文,IV,静态Key,Key生成器,Key流,XOR,用户数据明文,加密报文,存在严重的安全隐患，不适合企业用户使用认证体制不完善，认证功能形同虚设缺乏双向认证手段STA无法识别非法的AP加密Key易被破译，用户数据易被窃听802.11i解决上述问题对于QOS支持能力差，不适合Voice业务对于DCF模式：在无线空口，所有用户数据平等地竞争无线资源数据报文没有划分的优先级，在AP无法分类处理802.11e(WMM)解决上述问题,802.11协议的主要缺陷和演进,引入RSNA(robustsecuritynetworkassociation)概念增强了STA和AP的认证机制支持802.1x认证，并采用双向认证方式有效的防止非法AP的使用增加了Key的生成、管理以及传递的机制每用户使用独立的Key通过非对称密钥算法生成和传递用户数据加密使用的Key增加了两类对称加密算法，加密强度大大增强TKIP：核心仍然是RC4算法CCMP：核心为AES算法,802.11i协议安全认证和加密,802.11e协议QOS保证（续）,EDCA调度模式,优先级队列1,优先级队列2,优先级队列3,优先级队列4,Busy,Time,AIFS4,CW4,AIFS3,CW3,Frame,AIFS2,CW2,Frame,AIFS1,CW1,Frame,HCCA调度模式,STA1,STA2,STA3,AP,Time,优先级协商,AP对STA报文的调度,优先级高,优先级中,优先级低,Frame,Frame,Frame,Frame,Frame,Frame,Wireless网络的漫游（Roaming）,Wireless漫游的概念STA可以在属于同一个ESS的AP接入点接入STA可以在Wireless网络中任意移动，同时保证已有的业务不中断，用户的标识（IP地址）不改变Wireless漫游的分类二层漫游在同一个子网内的AP间漫游由于不涉及子网的变化，因此只需保证用户在AP间切换时访问网络的权限不变即可。三层漫游在不同子网内的AP间漫游,Wireless相关组织和协议IEEE,PHY,802.11(1/2Mbps),802.11b(5.5/11Mbps),802.11k无线资源管理,802.11a(54Mbps),802.11h动态频率选择和功能控制(欧洲标准),MAC,802.11MAC,802.11f-漫游和切换,802.11e-QoS,802.11i安全增强,802.11g(54Mbps),802.11j日本标准,Wireless其他相关组织和协议,Wi-Fi联盟成立于1999年的Wi-Fi联盟是一个非牟利国际协会，旨在认证基于IEEE802.11规格的无线局域网产品的互操作性和推动wireless新标准的制定目前已知的相关标准WPA：802.11i的子集，支持802.1x认证以及TKIP加密算法WPA2：802.11iWMM：802.1e的子集，支持EDCA方式WAPI中国无线网络产品国标中安全机制的标准，包括无线局域网鉴别（WAI）和保密基础结构（WPI）两部分。核心技术由西安捷通公司掌握。由于其加密算法未公开，只能购买指定公司的加密芯片，因此遭到国外大多数公司的抵制。未来是否以及何时会强制执行目前还不太明朗。,Contents,Wireless基础概念Wireless组网方式介绍Wirelessswitch功能分析Wirelessswitch产品介绍,Wireless组网方式一AutonomousWLANArchitecture,实现厂商华为、Cisco、3com等网络组成可以由AP独立组网或者由AP普通Lanswitch组建更大规模的网络该组网方案中的AP接入节点俗称FatAPWireless功能实现由AP来完成所有的802.11定义的服务和功能AP支持本地和远程配置，并在本地保存系统配置适合应用场所家庭中小型网络主要缺陷当组建大型网络时对于大批量AP的配置工作量巨大AP设备的丢失可造成系统配置的泄露，存在安全隐患对于RogueAP检测等需要AP间协同工作的支持能力差对于三层漫游或不支持或通过其他辅助设备配合支持AP成本高,STA1,STA2,STA3,AP1,AP1,APn,STAs,Wire网络,AP独立组网,APLanswitch组网,Wireless组网方式二CentralizedWLANArchitecture,网络组成由APWirelessswitch组成该组网方案中的AP接入节点俗称ThinAP和FitAP，Wirelessswitch被称为AccessController（AC）Wireless功能实现由AP所完成的802.11MAC功能的不同又分为LocalMAC、SplitMAC模式由Wirelessswitch通过控制协议来控制AP的行为，用户不能直接配置AP，AP的配置信息保存在Wirelessswitch上适合应用场所中大型企业网,AP1,APn,STAs,Wirelessswitch,数据隧道,数据隧道,Wire网络,控制信息,CentralizedWLANArchitectureFeature比较,Wireless组网方式三DistributedMeshArchitecture,区域3,区域1,区域2,Server,区域4,802.11adhoc连接,网络组成Mesh节点用户设备适合应用场所不适合有线网络的场所，例如高速公路上的网络摄像头特点数据网络不用布线，只供电；一般Mesh网络具有多个网络出口；规模由10到100左右，组建大网时，采用多个Mesh网络进行操作；MeshAP都可以做到0配置；自愈能力：网络路径快速自愈主要缺点受802.11的带宽限制无法组成较大规模的网络，不能支持太多的跳数，否则延迟很大标准部成熟，厂商设备不能互通,PC,监控设备,Contents,Wireless基础概念Wireless组网方式介绍Wirelessswitch功能分析Wirelessswitch产品介绍,Wirelessswitch功能分析连接方式,Wirelessswitch和AP支持以下三种连接方式：,AP1,AP2,Wirelessswitch,直连模式,AP1,AP1,Wirelessswitch,二层网络连接模式,L2,AP2,AP2,Wirelessswitch,三层网络连接模式,L3/Router,Wirelessswitch功能分析用户权限控制,支持多种认证方式:802.1x,MAC认证,portal认证用户VLAN的支持基于认证结果的用户VLAN基于SSID的缺省VLAN,支持guest用户接入基于认证结果的用户ACL基于认证结果的用户漫游权限,Wirelessswitch功能分析设备安全,Wirelessswitch和AP的关联和认证AP软件版本的管理和下发AP配置文件的管理和下发,Wirelessswitch功能分析RF安全,RogueAP或Rogue用户的鉴别RogueAP的发现Adhoc网络的发现RogueAP或Rogue用户的物理位置定位发现RogueAP、RogueUser、Attacker以后的动作策略在RogueAP附近的AP模仿RogueAP向RogueAP下的用户发Disassociation在Attacker连接的AP上将其Disassociation，并将其列入黑名单，禁止再次接入,Wirelessswitch功能分析RF安全(续),RogueAP和Adhoc网络的发现,定期发送Probe,Proberesponse,新节点信息报告,分析发现RougeAP或Adhoc网络,RogueAP和Adhoc网络的物理位置定位,信号强度1,AP1,AP2,AP,RogueAP,AC,AP3,信号强度2,信号强度3,位置信息1,位置信息2,位置信息3,通过不同AP反馈的位置信息定位RougeAP的位置,RogueAP,Wirelessswitch无线网管网络规划,集成RF网络规划基于建筑CAD图进行RF衰减计算和规划网络覆盖能力的规划图形话的覆盖示意图根据用户数量和使用带宽计算部署AP的数量自动计算和部属AP摆放的位置自动选择AP的信道和发射功率根据AP的放置位置和附近的障碍物动态刷新覆盖情况规划方案图形报表,RF拓朴显示非法用户或AP检测和定位APAd-hoc用户用户统计目前所在AP的位置用户漫游历史记录性能统计Byuser,radio,APs,WirelessSwitch,VLAN表格、图形、文件输出配置文件管理和软件加载配置、软件集中加载加载错误回退功能,Wirelessswitch无线网管部署和管理,AP1,AP2,L3网络,无线交换机,无线交换机,L3网络,L3网络,语音电话系统,WMM服务类型7,语音数据,隧道headerIPtos0 xe0,语音数据,用户数据header802.1P7,语音数据,用户数据header802.1P7,语音数据,隧道headerIPtos0 xe0,语音数据,WMM服务类型7,语音数据,用户1,用户2,Wirelessswitch功能分析QOS,Wirelessswitch功能分析冗余和可靠性,在一个漫游域中存在一个主Wirelessswitch，主Wirelessswitch掌握漫游域中其他Wirelessswitch的信息，当主Wirelessswitch故障时应该支持选举新的主Wirelessswitch对于每个AP都支持两个Wirelessswitch上行互为备份，当其中一个发生故障时快速切换到另外一个Wirelessswitch，保证用户数据不丢失支持双以太网上行接口，正常工作时，主接口收发报文，备接口阻塞，当主接口发生故障时，备接口接替主接口开始工作支持双以太网上行接口的POE供电选择,AC,AP物理端口故障的切换,AC,AC,POE,AP在Wirelessswitch故障以后的切换,LSW,LSW,3comWirelessswitch本地数据转发,Server,网络拓扑图,STA和Server通信的处理时续图,VLAN1,VLAN1,VLAN1,VLAN1IP:,IP:,IP:,IP:,STA,AC,L2,SASTAMACDAServerMACSIPDIP,SAAPMACDAACMACVLANVLAN1SIPDIP二层隧道封装,AP,SASTAMACDAServerMACVLANVLAN1SIPDIP,Server,AP,AC,SASTAMACDAServerMACVLANVLAN1SIPDIP,SASTAMACDAServerMACSIPDIP,L2,STA和其他用户的通信都必须通过Wirelessswitch，即使是本地用户,加隧道封装,解隧道封装，交换,3comWirelessswitch三层漫游,Server,网络拓扑图,VLAN1,VLAN1IP:,IP:,IP:,IP:,AC1,AP,VLAN1,IP:,AC2,IP:,3comWirelessswitch三层漫游(续),STA和Server通信的处理时续图,STA,SASTAMACDAServerMACSIPDIP,SIPDIP二层隧道封装,SASTAMACDAServerMACVLANVLAN1SIPDIP,Server,AP,AC1,SASTAMACDAServerMACVLANVLAN1SIPDIP,SASTAMACDAServerMACSIPDIP,L2,AC2,加隧道封装,解隧道封装交换加隧道封装,SIPDIP二层隧道封装,SASTAMACDAServerMACVLANVLAN1SIPDIP,解隧道封装交换,Contents,Wireless基础概念Wireless组网方式介绍Wirelessswitch功能分析Wirelessswitch产品介绍,Wirelessswitch产品分类,按功能和形态分为：Wirelesscontroller端口密度低,有线特性很少，主要处理无线终端和外界通信的报文一般旁路在有线交换机旁边价格昂贵Unifiedswitch端口密度高，有线特性丰富，同时作为有线和无线的交换设备由于业界还没有集成有线和无线功能的交换芯片，目前业界的做法一般是采用有线ASIC处理无线的NPU目前的价格很贵，未来应该和现有的有线设备价格接近按网络位置分Campus级：接入的AP数量一般都在100个以上，产品形态：独立的controller一般为GE接口，不支持POE供电，Unifiedswitch一般是交换机上的单臂控制器业务板Building级接入的AP数量一般在24-48个，产品形态：独立的controller一般为FE+GE口，支持少量的POE供电端口，Unifiedswitch一般是GE交换机Office级