互联网知识一点通

1、1123112311231123互联网知识一点通互联网知识一点通2014.62014.6张娜张娜-2-互联网基础知识互联网基础知识目录目录网络安全介绍网络安全介绍安徽移动网络介绍安徽移动网络介绍宽带投诉及故障处理宽带投诉及故障处理2-3-pOSI七层模型的目的：让不同厂家的设备拥有共通的通信协议3TCP/IP协议pTCP/IP协议栈具有简单的分层设计，与OSI参考模型有清晰的对应关系应用层表示层会话层传输层网络层数据链路层物理层应 用 层传输层网络层7654321物理层数据链路层OSI参考模型TCP/IP协议*网络接口层网际层-4-TCP/IPTCP/IP协议协议5432154321主机 1A

2、P2AP1主机 2应用进程数据先传送到应用层加上应用层首部，成为应用层 PDU应用层 PDU 再传送到传输层加上传输层首部，成为传输层报文传输层报文再传送到网络层加上网络层首部，成为 IP 数据报（或分组）IP 数据报再传送到数据链路层加上链路层首部和尾部，成为数据链路层帧数据链路层帧再传送到物理层最下面的物理层把比特流传送到物理媒体4-5-TCP/IPTCP/IP协议协议5432154321物理传输媒体主机 1AP2AP1电信号（或光信号）在物理媒体中传播从发送端物理层传送到接收端物理层主机 2物理层接收到比特流，上交给数据链路层数据链路层剥去帧首部和帧尾部取出数据部分，上交给网络层网络层剥

3、去首部，取出数据部分上交给传输层传输层剥去首部，取出数据部分上交给应用层应用层剥去首部，取出应用程序数据上交给应用进程我收到了 AP1 发来的应用程序数据！5-6- 我们采用上图对数据的封装和转发过程进行分析。我们采用上图对数据的封装和转发过程进行分析。当主机向其他的设备跨网络传输数据时，数据要进行封装，就是在OSI模型的每一层加上协议信息。每一层只与接收设备上相应的对等层进行通信。数据包封装和转发*6-7-数据封装 在上图中当在上图中当A A公司的公司的PC1PC1向向B B公司的公司的PC1PC1发送数据时，数据的封装过发送数据时，数据的封装过程如下：程如下： 当当B B公司的公司的PC1

4、PC1接收数据时，按上图相反的过程拆除封装，最终得接收数据时，按上图相反的过程拆除封装，最终得到到A A公司公司PC1PC1发来的用户数据。发来的用户数据。*数据包封装和转发7-8-从A公司PC1到B公司PC1的数据转发过程如下：1、A公司PC1把数据封装后，以比特流的方式发送到交换机A。2、交换机A把比特流还原数据帧，根据目标MAC地址把数据帧转发到路由器A。3、路由器A把数据帧还原数据包，根据数据包的目标IP地址转发到路由器B。4、路由器B根据数据包的的目标IP地址经ARP协议查出对应的MAC地址转发到交换机B。5、交换机B根据MAC地址把数据转发到B公司的PC1。数据转发整个转发过程中源

5、和目的IP都不会变化，但源和目的MAC会随着不同广播域而变更。数据包封装和转发8-9-传输层协议概述应用层传输层网络层网络接入层TCP:面向连接UDP：面向无连接*9-10-VLAN的帧格式DASATYPEDATACRCDASATAGTYPEDATACRC标准以太网帧带有IEEE802.1Q标记的以太网帧0 x8100PRICFIVLAN ID(12bit)TPIDTCIVLAN技术原理*10-11-VLAN的产生原因广播风暴广 播 域VLAN技术原理*广播域广播域广播域广播域Port 1 : VLAN-1Port 2 : VLAN-211-12-VLAN表:基于端口的VLAN端口所属VLAN

6、Port1VLAN5Port2VLAN10Port3VLAN5Port4VLAN10VLAN技术原理VLAN表:基于MAC地址的VLANMAC地址所属VLANMAC AVLAN5MAC BVLAN10MAC CVLAN5MAC DVLAN10VLAN表:基于协议的VLAN协议类型所属VLANIPX协议VLAN5IP协议VLAN10VLAN表：基于子网VLANIP网络所属VLANIP 1.1.1.0/24VLAN5IP 1.1.2.0/24VLAN10主机A主机B主机C主机DPort 1Port 2Port 3Port 4VLAN的划分方法*12-13-以太网交换机的端口分类Access端口：一

7、般用于接用户计算机的端口，access端口只能属于1个VLAN。Trunk端口：一般用于交换机之间连接的端口，trunk端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。Hybrid端口：可以用于交换机之间连接，也可以用于接用户的计算机，hybrid端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。端口缺省IDPVIDAccess端口只属于一个VLAN，所以它的缺省ID就是它所在的VLAN，不用设置。Hybrid端口和Trunk端口属于多个VLAN， 所以需要设置缺省VLAN ID，缺省情况下为VLAN 1。VLAN技术原理*13-14-802.1Q的转发原则Access-

8、Link当Access端口收到帧时如果该帧不包含VLAN header，将打上端口的PVID(即配置的该端口所在VLAN)；如果该帧包含802.1Q tag header，交换机不作处理，直接丢弃。当Access端口发送帧时剥离VLAN header，发出的帧为普通以太网帧接收方向Access发送方向AccessPVID:10VLAN技术原理*14-15-802.1Q的转发原则Trunk-Link当Trunk端口收到帧时如果该帧不包含802.1Q tag header，将打上端口的PVID；如果该帧包含802.1Q tag header，则不改变。当Trunk端口发送帧时当该帧的VLAN ID

9、与端口的PVID不同时，直接透传(透传至允许的端口)；当该帧的VLAN ID与端口的PVID相同时，则剥离802.1Q tag header Trunk接收方向发送方向TrunkPVID:1PVID:2VLAN技术原理*15-16-互联网基础知识互联网基础知识目录目录网络安全介绍网络安全介绍安徽移动网络介绍安徽移动网络介绍宽带投诉及故障处理宽带投诉及故障处理16-17-安全的基本原则安全的基本原则 可用性（可用性（availabilityavailability） 保证经过认证的用户能够保证经过认证的用户能够对数据和资源进行适时和可靠的访问。对数据和资源进行适时和可靠的访问。完整性（完整性（i

10、ntegrityintegrity） 是指保证信息和系统的准确是指保证信息和系统的准确性和可靠性，并禁止对数据的非授权的修改。性和可靠性，并禁止对数据的非授权的修改。机密性（机密性（confidentialityconfidentiality） 提供了保证在每一个提供了保证在每一个数据处理和防止未经授权的信息泄漏的交叉点上都数据处理和防止未经授权的信息泄漏的交叉点上都能够加强必要的安全级别的能力。能够加强必要的安全级别的能力。17-18-攻击的步骤攻击的步骤 1 1）被动的侦察）被动的侦察2 2）主动的侦察）主动的侦察3 3）入侵系统）入侵系统4 4）上传程序）上传程序5 5）下载数据）下载数

11、据6 6）保持访问）保持访问7 7）隐藏踪迹）隐藏踪迹（注意并不是每一步都会执行）（注意并不是每一步都会执行）18-19-常用攻击方法常用攻击方法 欺骗欺骗 会话劫持会话劫持 拒绝服务攻击（拒绝服务攻击（DoSDoS）、分布式拒绝服务攻击（）、分布式拒绝服务攻击（DDoSDDoS） 缓冲区溢出攻击缓冲区溢出攻击19-20-欺骗欺骗如果攻击者能让计算机或者网络相信他是别人（信任方），他如果攻击者能让计算机或者网络相信他是别人（信任方），他可能能够获得正常情况下不能得到的信息。可能能够获得正常情况下不能得到的信息。欺骗的类型：欺骗的类型：IPIP欺骗欺骗 : :公司使用其他计算机的公司使用其他计算

12、机的IPIP地址来获得信息或者得到特权。地址来获得信息或者得到特权。电子邮件欺骗电子邮件欺骗 : :电子邮件发送方地址的欺骗。电子邮件发送方地址的欺骗。 Web Web欺骗欺骗 : :假冒假冒WebWeb网站。如假工商银行网站。网站。如假工商银行网站。1.1.非非IT IT技术类欺骗技术类欺骗 : :这些类型的攻击把精力集中在攻击公司的人力这些类型的攻击把精力集中在攻击公司的人力资源上。如社会工程。资源上。如社会工程。 20-21-会话劫持会话劫持 会话劫持就是接管一个现存的动态会话过程。劫持会会话劫持就是接管一个现存的动态会话过程。劫持会话最主要的原因之一就是通过授权过程可以获得进入系统话最

13、主要的原因之一就是通过授权过程可以获得进入系统的机会，因为就会话劫持而言，此时用户已经通过提供用的机会，因为就会话劫持而言，此时用户已经通过提供用户户IDID和密码，在授权的情况下登录到服务器上。在用户通和密码，在授权的情况下登录到服务器上。在用户通过了身份验证并获得进入服务器的权利后，只要他与服务过了身份验证并获得进入服务器的权利后，只要他与服务器动态连接着，就不再需要重新通过验证。黑客们可以使器动态连接着，就不再需要重新通过验证。黑客们可以使用各种方式使用户下线然后再代替这个用户，此时他不再用各种方式使用户下线然后再代替这个用户，此时他不再需要任何登录行为就可以进入系统了。需要任何登录行为

14、就可以进入系统了。 21-22-会话劫持会话劫持小李攻击者服务器服务器验证小李小李登录服务器Die！你好，我是小李22-23-拒绝服务攻击拒绝服务攻击DOSDOS DoSDoS是是Denial of ServiceDenial of Service的简称，即拒绝服务，造成的简称，即拒绝服务，造成DoSDoS的攻击的攻击行为被称为行为被称为DoSDoS攻击，其目的是使计算机或网络无法提供正常的攻击，其目的是使计算机或网络无法提供正常的服务。服务。 最常见的最常见的DoSDoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所

15、有可用网络资源都被消耗击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。耗殆尽，最终计算机无法再处理合法用户的请求。 拒绝服务攻击是目前互联网上一种主流攻击方法，其分类主要包拒绝服务攻击是目前互联网上一种主流攻击方法，其分类主要包括括syn floodsyn flood、udp floodudp flood、ping of

16、deathping of death等，也是互联网上最等，也是互联网上最难以防范的攻击之一。难以防范的攻击之一。举例：举例：安全事件的攻击方法采用模拟安全事件的攻击方法采用模拟ping of deathping of death的攻击手段进行演练，此攻击方法会通过发送大量的攻击手段进行演练，此攻击方法会通过发送大量的的ICMPICMP数据报文造成主机或服务器的负担，数据报文造成主机或服务器的负担，CPUCPU占用率增高，从而达到拒绝服务的目的。占用率增高，从而达到拒绝服务的目的。23-24-分布式拒绝服务攻击分布式拒绝服务攻击DDOSDDOS 分布式拒绝服务分布式拒绝服务(DDoS:Distr

17、ibuted Denial of Service)(DDoS:Distributed Denial of Service)攻击指借助于客户攻击指借助于客户/ /服务器技术，将多个计算机联合起来服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动作为攻击平台，对一个或多个目标发动DoSDoS攻击，从而成攻击，从而成倍地提高拒绝服务攻击的威力。倍地提高拒绝服务攻击的威力。 通常，攻击者使用一个偷窃帐号将通常，攻击者使用一个偷窃帐号将DDoSDDoS主控程序安装在主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代

18、理程序已经被安装在理程序通讯，代理程序已经被安装在InternetInternet上的许多计上的许多计算机上。代理程序收到指令时就发动攻击。利用客户算机上。代理程序收到指令时就发动攻击。利用客户/ /服服务器技术，主控程序能在几秒钟内激活成百上千次代理务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。程序的运行。 24-25-25分布式拒绝服务攻击分布式拒绝服务攻击DDOSDDOS攻击者受害者傀儡机远程控制发起攻击25-26-26缓冲区溢出攻击缓冲区溢出攻击 攻击者试图在一个不够大的接受器里存储过量的信息就是一次攻击者试图在一个不够大的接受器里存储过量的信息就是一次缓冲区溢出攻击。例

19、如，如果一个程序只能接受缓冲区溢出攻击。例如，如果一个程序只能接受5050个字符，而个字符，而用户却输入了用户却输入了100100个字符，这样由于过多的数据输入到了一个个字符，这样由于过多的数据输入到了一个不够大的接受器，该程序将不能控制它，多出部分将写入内存。不够大的接受器，该程序将不能控制它，多出部分将写入内存。 26-27-缓冲区溢出攻击缓冲区溢出攻击内存底部内存顶部填充方向缓冲1（局部变量1）返回指针函数调用的参数内存底部内存顶部填充方向缓冲1（局部变量1）返回指针函数调用的参数机器代码：exec(/bin/sh)缓冲2（局部变量2）指向exec代码的新指针缓冲1空间被覆盖返回指针被覆

20、盖缓冲2（局部变量2）正常情况缓冲区溢出27-28-网络安全防护体系网络安全防护体系各阶段网络安全的防护各阶段网络安全的防护 事前：网络防火墙、系统漏洞检测、安全配置合规、病毒事前：网络防火墙、系统漏洞检测、安全配置合规、病毒防范、网页防篡改等防范、网页防篡改等 事中：预警、入侵检测、日志取证系统事中：预警、入侵检测、日志取证系统 事后：应急响应、事故恢复事后：应急响应、事故恢复 安全管理支撑手段：安全管控平台（安全管理支撑手段：安全管控平台（4A4A）28-29-29网络防火墙网络防火墙- -事前防护事前防护防火墙是在两个网络之间执行控制策略的系统，目的是不被非法用户侵入。防火墙是在两个网络

21、之间执行控制策略的系统，目的是不被非法用户侵入。防火墙是内部与外部网连接中的第一道屏障。防火墙是内部与外部网连接中的第一道屏障。在内部网络和外部网络之间合理有效地使用防火墙是网络安全的关键。在内部网络和外部网络之间合理有效地使用防火墙是网络安全的关键。 访问访问控制控制 认证认证 NAT 加密加密 防病毒、内容防病毒、内容过滤过滤 流量管理流量管理29-30-系统漏洞扫描和检测系统漏洞扫描和检测- -事前防护事前防护系统漏洞检测要求：系统漏洞检测要求：定期分析有关网络设备的安全性，检查配置文件和日志文件；定期分析有关网络设备的安全性，检查配置文件和日志文件；定期分析系统和应用软件，一旦发现安全

22、漏洞，应该及时修补；定期分析系统和应用软件，一旦发现安全漏洞，应该及时修补；检测的方法主要采用安全扫描工具，测试网络系统是否具有安全漏洞和是否抵检测的方法主要采用安全扫描工具，测试网络系统是否具有安全漏洞和是否抵抗攻击，从而判定系统的安全风险。抗攻击，从而判定系统的安全风险。主机/端口扫描 漏洞扫描 检查本地或者远程主机、设备、应用的安全漏洞确定系统存活状态：ping针对目标系统端口，了解端口的分配及提供的服务、软件版本主机/设备Web数据库-31-入侵检测入侵检测- -事中防护事中防护 入侵检测系统是实时的网络违规自动识别和响应系统。入侵检测系统是实时的网络违规自动识别和响应系统。 当发现网

23、络违规模式和未授权的网络访问尝试时，入侵检测系统能够根据系统安全当发现网络违规模式和未授权的网络访问尝试时，入侵检测系统能够根据系统安全策略作出反应并报警。策略作出反应并报警。31-32-安全管控平台安全管控平台安全管控平台系统，又称为安全管控平台系统，又称为4A4A系统是指：认证系统是指：认证AuthenticationAuthentication、账号、账号AccountAccount、授权、授权AuthorizationAuthorization、审计、审计AuditAudit，中文名称为安全管理平台，中文名称为安全管理平台解决方案。解决方案。32-33-互联网基础知识互联网基础知识网络

24、安全介绍网络安全介绍安徽移动网络介绍安徽移动网络介绍宽带投诉及故障处理宽带投诉及故障处理33Page 33全网结构图全网结构图-34-地市网络情况地市网络情况网络结构网络结构 城域网是CMNET在城域内的延伸，提供多种业务在城域内的互联，并且保证各种业务的安全性和服务质量； 采用“核心层+业务控制层+业务汇聚层”的三层架构； 承载着专线、家庭客户、WLAN三种业务；核心层业务控制层汇聚层网络架构优化-传输网、数据网一体化规划市区组网示意图PTNPTN汇聚汇聚/ /接入层接入层OTNOTN核心汇聚层核心汇聚层OTNOTN波分环波分环10GE PTN10GE PTN汇聚环汇聚环OLT1OLT1OL

25、T2OLT2园区园区新区新区综合楼综合楼桐芳巷桐芳巷南门南门苏嘉杭指挥中心苏嘉杭指挥中心 一体化规划原则1、传输在每个传输汇接区域内，至少有两个传输核心汇聚点。城域网节点采用在传输核心汇聚点同址设置城域网节点的方式，保证OLT能够通过PTN汇聚环同时到达两个城域网节点，无需跨环；2、对全区所有BRAS和OLT进行对接调整。 城域网节点早期2008年前主要采用光收发器和协转等用户接入手段，节点设置体现为分散就近设置；随着用户接入转由PON/PTN网络承载，城域网节点主要功能转化为OLT接入，城域网节点设置规划原则需要进行调整。交换机协议转换器城域网节点SDH裸光纤OLTONUPTN城域网节点早期

26、城域网接入方式目前城域网接入方式-36-网络情况网络情况网络变革网络变革2009200920102010201120112012201220142014技术变革 城域网开始建设，IP城域网翻起新篇章 WLAN WLAN发展萌芽期WLANWLAN高速发展期，流量、用户数增加迅猛 专线发展萌芽期需求变革20132013WLANWLAN顶峰时期，流量、用户数达到历史最高专线高速发展期，专线建设如火如荼家宽发展萌芽期W L A NW L A N 转 型 期 ，WLAN企业付费模式大规模开展专线平稳发展期家宽高速发展期，家宽进入爆发式增长阶段三层架构的确定，明确了IP城域网三层架构和分层网元设备的定位主

27、流技术的支持，明确了城域网具备MPLS VPN能力、QoS能力以及组播能力WLANWLAN认证优化，高速发展后出现认证不稳定等问题，WLAN开始边建设边优化阶段PONPON网络成主流，光进铜退工作大范围实施，PON网络成 为 接 入 主 流 ，SDH进入改造阶段业务差异化显现，三种业务，多种协议，业务差异化需求显现，引入Cach、第三方出口分流进入10GE10GE阶段，城 域 网 核 心 链 路10GE改造完成提升服务质量，城域网引入QOS，专线热备技术，CR集群模式等-37-无线局域网37-38-无线接入点无线接入点FAT AP方案FIT AP方案技术模式传统主流传统主流新生方式，新生方式，

28、增强管理增强管理安全性传统加密、认证方式，普传统加密、认证方式，普通安全性通安全性增加射频环境监控，基于用户增加射频环境监控，基于用户位置安全策略，位置安全策略，高安全性高安全性网络管理对每对每AP下发配置文件下发配置文件无线控制器上配置好文件，无线控制器上配置好文件，AP本身零配置，本身零配置，维护简单维护简单用户管理类似有线，根据类似有线，根据AP接入的接入的有线端口区分权限有线端口区分权限无线专门虚拟专用组方式，根无线专门虚拟专用组方式，根据用户名区分权限，据用户名区分权限，使用灵活使用灵活WLAN组网规模L2漫游，适合小规模组网漫游，适合小规模组网L2、L3漫游，漫游，拓扑无关性拓扑无

29、关性，适，适合大规模组网合大规模组网增值业务能力实现简单数据接入实现简单数据接入可扩展语音等丰富业务可扩展语音等丰富业务38-39-IEEE 802.11 IEEE 802.11 协议协议802.11b802.11b802.11g802.11g802.11a802.11aRatifiedRatified199919992003200319991999Data Rates (Mbps)Data Rates (Mbps)1, 2, 5.5, 1, 2, 5.5, 11111 ,2, 5.5, 1 ,2, 5.5, 11 and 6, 9, 11 and 6, 9, 12, 18, 24,12, 1

30、8, 24,36, 48, 5436, 48, 546, 9, 12, 18, 24, 36, 48, 6, 9, 12, 18, 24, 36, 48, 5454Number Number of Non-Overlapping of Non-Overlapping ChannelsChannels3 33 3Up to 19 in Certain Up to 19 in Certain Regulatory DomainsRegulatory DomainsFrequency Range Frequency Range (GHz)(GHz)2.4022.4832.4022.4835.155.

31、35, 5.475.8255.155.35, 5.475.825Interference Interference Probability/ImpactProbability/ImpactHighHighLowLow802.11n802.11n2007/Draft2.02007/Draft2.06, 9, 12, 18, 24, 6, 9, 12, 18, 24, 36, 48, 36, 48, 54,13,65,150,30054,13,65,150,300Up to 22 in Up to 22 in Certain Certain Regulatory Regulatory Domain

32、sDomains2.4022.483, 2.4022.483, 5.155.35, 5.155.35, 5.475.8255.475.825LowLow39-40-AP类型 室内无线接入点（独立放置）室内无线接入点（独立放置） 室外环境及室分合路方式（合路方式）室外环境及室分合路方式（合路方式）40-41-无线接入点供电模式以太网供电以太网供电（推荐模式部署简便快捷）（推荐模式部署简便快捷）无线接入点无线接入点电源注入器电源注入器电源线电源线电源适配器电源适配器Option 1Option 2支持以太网供电支持以太网供电的交换机的交换机不支持以太网供电不支持以太网供电的交换机的交换机41-42

33、- Channel 11Channel 6Channel 111st Floor2nd FloorChannel 1Channel 1Channel 6典型的 802.11b/g 覆盖设计42-43- 频点布局是频点布局是WLANWLAN设计的有设计的有效组成部分效组成部分目标是同频最小化重叠目标是同频最小化重叠 2.4GHz 2.4GHz 频谱只有频谱只有3 3个互相不个互相不重叠的频点，管理分配相对重叠的频点，管理分配相对困难困难 5GHz5GHz互相不重叠的频点数互相不重叠的频点数量较多，管理分配相对容易量较多，管理分配相对容易3 & 118 & 18 & 15

34、& 63 & 111 & 65 & 11 & 65 & 117 & 61 & 63 & 111 & 63 & 118 & 13 & 111 & 18 & 6802.11a802.11b/g111116666661111111111116611802.11b/g388531515713138318802.11a无线覆盖设计43-44-抗干扰措施：抗干扰措施：在进行设备选型时，选择抗干扰较强设备。在进行设备选型时，选择抗干扰较强设备。对于使用对于使用3 3个以上个以上APAP采用

35、空间间隔频率复用方法覆盖的开阔空间，若出现同频干扰，采用空间间隔频率复用方法覆盖的开阔空间，若出现同频干扰，对对发射功率进行调整，使得同频发射功率进行调整，使得同频APAP时间有足够的空间时间有足够的空间及功率间隔。及功率间隔。对于其他非对于其他非WLANWLAN设备的干扰可采取以下措施：设备的干扰可采取以下措施：通过网管系统，及时发现受干扰的通过网管系统，及时发现受干扰的APAP，分析潜在的，分析潜在的RFRF干扰。干扰。阻止干扰，采用协商或行政手段关闭相应设备。阻止干扰，采用协商或行政手段关闭相应设备。室外覆盖采用多个定向天线，代替全向天线覆盖。室外覆盖采用多个定向天线，代替全向天线覆盖。

36、正确选择配置参数，改变信道频率。使用正确选择配置参数，改变信道频率。使用5GHZ5GHZ频段频段无线覆盖设计44-45-无线控制器的数据转发原理无线控制器的数据转发原理l 无线控制器和无线控制器和AP间数据转发的核心思想间数据转发的核心思想 在无线控制器和AP之间建立IPinIP隧道，无线控制器将这些隧道看做虚拟物理端口； 无线客户端STA的任何数据报文都将由AP通过IPinIP隧道交给无线控制器，由无线控制器统一转发； 无线控制器从IPinIP隧道接收到用户的数据后先解隧道封装，然后做数据交换，如果出接口为隧道则对数据报文再次加上隧道封装，直到交换到最远端。VLAN 1IP:1.0.0.1V

37、LAN 2IP:2.0.0.1核心交换机核心交换机STAServer无线控制器无线控制器Fit AP隧道口隧道口隧道口隧道口IP:3.0.0.1接入交换机接入交换机Fit AP隧道口隧道口STAVLAN 1IP:1.0.0.245-46-用户数据流用户数据流WSM网管服务器 APAPME60ME60SRSRIAGIAGACAC心跳线OSPFIAGIAGACAC热备线WSM网管服务器 S85S85用户数据流Vlan 1403Vlan 1400Vlan 1403用户上网的业务请求数据封装在AP与AC之间的隧道中，通过隧道转发给AC，再由AC将请求转发给BRAS，最后出城域网，服务器对用户请求数据包

38、的响应数据通过BRAS转发给AC，再由AC通过AP与AC之间的隧道转发给用户46-47-WLANWLAN：下一个五年已成定局：下一个五年已成定局 3G 3G时代，时代，WLANWLAN扮演了重要角色。然而，进入后扮演了重要角色。然而，进入后3G3G时代，尤其是时代，尤其是4G4G规模商用之后，运营商多网并存共营的局面将不可避免，面对日益复杂的规模商用之后，运营商多网并存共营的局面将不可避免，面对日益复杂的网络环境，网络环境，WLANWLAN在新时代的价值何以体现？市场将给在新时代的价值何以体现？市场将给WLANWLAN发展带来哪发展带来哪些机遇？些机遇？WLANWLAN又将如何帮助运营商突破传

39、统商业模式的枷锁？又将如何帮助运营商突破传统商业模式的枷锁？1 1、看市场变局：消费驱动变，重要性更显看市场变局：消费驱动变，重要性更显 ：中国移动更是将：中国移动更是将WLANWLAN作为其四作为其四网协同的重要组成部分，与网协同的重要组成部分，与2G2G、3G3G、4G4G提到了同一高度。提到了同一高度。2 2、透析运营模式：从个人转向企业透析运营模式：从个人转向企业 ：如果运营商能够深入挖掘企业的潜在需：如果运营商能够深入挖掘企业的潜在需求，并针对性的开发出一些创新的业务为其提供服务，求，并针对性的开发出一些创新的业务为其提供服务，wlanwlan给运营商带来给运营商带来的不再会是困扰，

40、而是业务创收。的不再会是困扰，而是业务创收。47-48-家庭宽带基础知识家庭宽带基础知识一、家庭宽带分类一、家庭宽带分类n 移动自建移动自建GPONGPON小区宽带小区宽带n 广电合作广电合作EOC(GPON)EOC(GPON)小区宽带小区宽带 48-49-移动自建移动自建GPONGPON小区宽带组网小区宽带组网 对于移动自建对于移动自建GPONGPON家庭宽带家庭宽带小区小区，一般在小区选择合适位置安放分光器通过，一般在小区选择合适位置安放分光器通过GEGE链链路与路与OLTOLT对接，楼道对接，楼道ONUONU为每个用户分配独立的为每个用户分配独立的CVLANCVLAN标签，透传至标签，透

41、传至OLTOLT打上相应的打上相应的SVLANSVLAN标签，透传至标签，透传至BRASBRAS，由，由BRASBRAS对用户的内外层对用户的内外层VLANVLAN进行终结。进行终结。49-50-广电合作广电合作EOC(GPON)EOC(GPON)小区宽带小区宽带n 广电合作EOC（GPON）小区宽带组网目前淮南移动与广电合作，采用的是GPON+EOC承载的方式，ONU放到小区楼道与EOC头端设备对接通过广电同轴电缆覆盖至用户，用户侧使用EOC终端分离有线电视信号和以太网信号。50-51-宽带用户上网简易流程宽带用户上网简易流程RADIUSServersRouterInternetGPON网络

42、网络汇聚交换机汇聚交换机RADIUS ReviewDNSServersBRAS设备设备新浪新浪WEB服务器服务器IP:221.179.180.821.用户输入帐号密码进行认证2.BRAS响应并将认证信息送到Radius进行合法性检验3.RADIUS认证服务器完成对用户帐号、密码的认证并反馈给BRAS4.用户输入访问新浪网站，到DNS解析新浪网站域名对应的IP地址5.DNS响应用户的域名解析请求并反馈结果给用户6.用户根据DNS返回的的结果发起访问51-52-家庭宽带业务的核心网元家庭宽带业务的核心网元 RADIUS（ Remote Authentication Dial-In User Ser

43、vice）服务器提供拨入用户远程身份验证服务。为分布式拨号网络提供身份认证、授权和计账服务。 DNS（Domain Name System）：实现将用户上网域名解析成IP地址的功能。目前家庭宽带共使用CMNET DNS（211.138.180.2）为主用DNS。 BRAS-宽带接入服务器（Broadband Remote Access Server,简称BRAS）是面向宽带网络应用的新型接入网关，它位于骨干网的边缘层，可以完成用户宽带的IP网的数据接入，实现商业楼宇及小区住户的宽带上网业务等应用。52-53-互联网基础知识互联网基础知识目录目录网络安全介绍网络安全介绍安徽移动网络介绍安徽移动网

44、络介绍宽带投诉及故障处理宽带投诉及故障处理53-54-宽带投诉-拨号认证不成功拨号认证不成功，系统会返回一个错误代码，根据不同的错误代码来判断是哪拨号认证不成功，系统会返回一个错误代码，根据不同的错误代码来判断是哪类故障，常见的错误代码有：类故障，常见的错误代码有：691691、678678、651651、796796、797797 1 1、错误代码错误代码691691( (用户名错误、密码错误、绑定校验错、限制用户数错、用户用户名错误、密码错误、绑定校验错、限制用户数错、用户状态错状态错) )（1）用户名错处理方法：用户在用户名（即上网账号）输入错误时，在联创系统中查询不到用户认证错误信息，

45、这时请用户再次确认输入的用户名是否正确，如正确则考虑是否是其他非691错误。（2）密码错处理方法：用户的拨号连接中的密码输入错误，请用户重新输入正确的密码，如用户忘记密码，可以通过网上营业厅、短信” kdmmcz发送至10086”、持有效身份证件去移动营业厅等方式进行宽带密码重置。（3）限制用户数错处理方法：用户同一账号在多台电脑上同时宽带拨号，或者用户非正常下线造成用户账号仍在线。在联创系统综合查询用户在线情况查询宽带在线用户查询，查询到用户在线后，将在线用户进行强行下线。并告知用户不能两台电脑同时拨号。54-55-宽带投诉-拨号认证不成功拨号认证不成功，系统会返回一个错误代码，根据不同的错

46、误代码来判断是哪拨号认证不成功，系统会返回一个错误代码，根据不同的错误代码来判断是哪类故障，常见的错误代码有：类故障，常见的错误代码有：691691、678678、651651、796796、797797 1 1、错误代码错误代码691691( (用户名错误、密码错误、绑定校验错、限制用户数错、用户用户名错误、密码错误、绑定校验错、限制用户数错、用户状态错状态错) )（4）用户状态错 处理方法：在联创系统业务受理DSL业务受理信息查询，查询用户状态是否正常，是否已到期停机。若是“限额停机”，可直接告知用户到营业厅进行宽带续费即可；若用户表示续费后仍无法上网，看宽带有效期是否正常，如有异常客户可持有效身份证件去营业厅查询所办理的宽带套餐业务。（5）绑定校验错处理方法：用户的上网账号的绑定VLAN错误，有用户擅自移动宽带账号至别处使用造成，有设备割接刷新VLAN造成。在联创系统业务受理DSL业务受理用户端口操作进行绑定信息清除。55-56-宽带投诉-拨号认证不成功2 2、错误代码错误代码678678、651651：