中国黄金无线精准营销方案建议书

中国黄金无线精准营销方案建议书锐捷网络有限公司2014年9月目录中国黄金无线精准营销方案建议书 页概述互联网发展推动了终端设备的形态发生变革，智能手机、平板电脑和智能电视等以应用为主的终端大规模出现，智能手机和平板电脑更加便捷的用户体验已将我们带入移动互联网时代！WLAN迅速实现了大规模部署，已经完完全全渗透到我们生活工作的方方面面，影响着人们的工作、生活、社交方式、获得资讯的方式。在这种情况下，无线营销正成为新兴的广告营销模式。移动媒体从资讯型发展到生活型，个性化推送、结合O2O的营销方式层出不穷，今天中国网民上网的主流行为已偏向移动化，用户的媒体消费形态也逐渐向移动端转移。据中国互联网络信息中心(CNNIC)《第32次中国互联网络发展状况调查统计报告》显示，截至20一三年6月底，我国网民数量达到5.91亿，手机网民规模达4.64亿，网民中使用手机上网的人群占比提升至78.5%。智能手机作为载体的移动媒体已经没有在线和离线的区别，品牌也在挖掘用户基于移动互联网的个性化需求。反观传统线下营销手段仅为电视媒体、固定广告位、纸质宣传页等，不仅投入成本高昂，广告信息变更的时效性差，实际有效的关注率低，无法获取到客户真正的消费习惯，广告主的声音被淹没在大量的广告环境下，很难脱颖而出。移动设备作为信息接收终端，带来了媒体体验的变化：一是屏幕更小，信息整合性加强，原来以版位为逻辑的内容+广告形式受到挑战；二是个性化加强，比如不同用户群体的终端设备获取到的信息，不论是内容、形式、还是传播方式上，都不尽相同；三是内容的响应性加强，与用户的位置信息、用户主动请求更有相关性。基于以上行业发展及应用发展趋势，搭建一套系统的WiFi广告营销体系，抓住庞大的移动智能终端用户群体，提高广告营销效率，最终实现丰厚的广告营销收益。中国黄金无线营销平台需求分析搭建良好的WIFI使用体验中国黄金计划对柳北区大润发营业点和荣军路大润发营业点进行无线的全覆盖。用户使用移动终端通过中国黄金提供的WIFI进行免费互联网访问。规划并合理设计无线网络，让接入无线网络的用户有良好的使用体验，是吸引用户接入使用的基础，而庞大的使用用户接入数量是中国黄金实现广告营销推送、提高数据采样率、提供有效数据分析统计的基础。良好的WIFI使用体验具体体现在如下几个方面。满足各类终端接入无线网络必须满足各类用户接入终端的多样化要求。不同的终端类型、不同的用户操作系统均能够支持，弹送内容能够与终端的屏幕大小进行自适应配置。同时提供多样化的认证接入方式，符合大众使用需求和使用习惯，保障在任何时候都有一种方式可以保障用户可认证，可用网，认证过程人性化，保障安全机制得以推广。IPAD4、Ipone5、三星GALAXY3等以上等都支持5G，为更好的分流，将尽可能支持5G的终端自动连接到5G射频卡上，来减轻2.4G的压力，即在部署无线网络时，当1台AP上连接人数较多时，能够实现5G优先，因此要求AP为支持双频双流的设备。无处不在的信号覆盖无线网络覆盖区域包含柳北区大润发营业点和荣军路大润发营业点。覆盖区域要求无死角全覆盖，信号强度不低于-65dbi。大用户数量的AP并发使用要求单个室内AP的并发使用用户数量不少50（非AP带机数量），优先选择更大并发使用用户数的产品和方案。中国黄金上述要求无线覆盖区域并发使用用户数数量不低于600人。负载均衡，保障上网体验在用户密集区域，可能出现大量客户端都加入同一个AP时，使这台AP的负载就会很高，而另一台AP则处于空闲的状态，使得AP资源没有很好的得到运用，客户端的效率也受到限制。所以在无线网络规划和部署时，必须建立负载均衡的机制，提高终端用户的体验度，提高无线AP使用效率。灵活流控，保障用户各类应用流畅开展随着用户和应用的不断增多，特别是P2P、在线视频等应用的不断涌现，用户对于带宽的需求量逐渐增大。再大的带宽，如果没有很好的管理机制那么也会出现网络使用效果非常差的情况。所以需要在整个网络出口建立科学的流量控制机制，识别迅雷、BT、在线视频、Email、HTTP等等关键应用，通过流量策略的控制能够进行分时段控制不同用户不同应用的带宽和优先级，合理规划带宽，保障关键性业务，提高用户体验。不同场合下、不同用户上网不中断无线网络必须具有强大的漫游能力，保障用户移动上网时的用户体验。同时需要针对不同区域的特点，比如根据用户密集程度，设计不同规模的无线容量，保障各个用户体验。同时需考虑突然用户量、小片段盲区等特殊情况，采取优化措施，保障用户体验。7X24稳定运行无线网络主要为用户提供高质量的互联网服务，为了提供卓越的客户体验，无线网络必须具备高可靠的无线网络服务，提供完美的覆盖效果，以及完善的安全防护措施，保障无线网络7X24稳定运行。搭建安全的WIFI环境作为独立搭建的WIFI环境，为庞大的用户群体提供互联网接入服务，首先必须保障网络合法、合规，其次必须保障WIFI用户群及网络所有者的信息安全，同时必须保障用于营销的广告内容安全，才能保障WIFI营销平台能够持续良好的运营。无线网络为用户提供免费的网络访问服务，要能够保证整个无线网络安全性，防止用户遭受常见的网络攻击、网络欺骗、病毒、木马等，保障无线用户用网安全！无线网络主要是为用户提供互联网服务，为了符合公安部颁发的82号令及网监部门的法令要求，无线网络必须具备身份鉴别技术、网络行为审计等功能，同时记录地址转换记录，以便事后能够追查定责到人！无线信号容易被窃听、干扰，无线用户之间也可能发生攻击现象，因此必须通过多种技术手段保证无线网络自身安全。应充分考虑wifi使用与认证的安全、防泄密、审计、追查等因素，使用的认证方式能够收集到用户信息，在此基础上能根据该信息推送广告也作为一种二次营销的关键手段。灵活、有针对性的广告发布平台基于无线应用场景的内容化原生营销，这种新形态区别于横幅、插屏、BANNER等展示类营销方式，是非打断式的信息推荐。就是平台可以整合开发者场景、大数据，把广告信息融入到无线应用场景中，不限于图文、视频、音频等等，只要用户喜欢，营销需求方能够提供。这就需要保障的的营销基础平台能够支撑越来越庞大的广告营销体系，比如广告的受众群体，能更加精准，更加有效！广告成本相比较其他媒体，价格更低，质量更高，同时相对传统广告更加丰富多彩等等。广告营销基础平台需要具备以下几点：能够提供丰富的可编辑可定制的的广告页面，且主题内容页面可灵活开发制作，广告内容丰富多彩。广告推送必须能够针对不同地理位置，推送不同的广告界面。根据时间为单位，提供不同时间段的不同资讯投放提高广告推送的有效性。可设定多个投放页，由商户选择投放。可设置多个资讯投放页，可一次性或认证先后等方式轮循。掌握咨询投放效果，比如显示已使用资讯的应用情况，如投放时间、时长、主题等；需具备灵活、全面的统计功能，能够清楚的了解到用户对广告内容的关注情况、实时在线用户等，为商场经营层提供决策分析的数据依据。便捷直观的管理平台集中式的无线部署方式无线控制器通过旁路部署在核心交换旁边。无线控制器集对AP配置、管理、安全策略控制、通信控制等功能与一身，负责无线网络的接入控制，转发和统计、AP的配置和监控、漫游管理、AP的网管代理、安全控制；控制器AC与AP之间采用国际标准协议CAPWAP进行加密通信，既实现了与有线网络的隔离，又保证了AC与AP之间实时通信的保密性。集中式的身份认证系统全网络的统一的认证方式和无缝漫游，接入用户进行统一认证，对于跨区域的账号能通过统一的SSID接入到网络中，实现全网化跨AP的统一认证和无缝漫游。无线覆盖规划设计设计参考覆盖规划原则1.系统的覆盖规划应主要考虑为保证AP无线信号的有效覆盖，对AP天线进行选址与相关配置。通常有综合分布式系统和独立AP覆盖方式，设计时应根据覆盖场点的实际情况进行选择。2.对于有多个WLAN网络存在的区域，AP的布放应尽量避免频率的干扰，扩容增加的AP可以通过扫频的方法检测原有AP的频率再进行频率设计。3.一般情况下室内天线接口处的输出功率的最大值为20dBm，在用户数较多，AP数量较多的区域，可以通过降低发射功率来减少覆盖范围，以达到减少同频干扰的目的。4.覆盖方案设计中选择AP时，应综合考虑设备性能、系统整体成本统间干扰等因素。频率规划与干扰控制1.在一个AP覆盖区内直序扩频技术最多可以提供3个不重叠的信道同时工作。考虑到制式的兼容性，相邻区域频点配置时宜选用1，6，11信道。2.频点配置时首先应对目标区域现场进行频率检测，对于覆盖区域内已有AP采用的信道，应尽量避免采用。3.对于室外区域干扰宜采用调整(定向)天线方向角，避免天线主瓣对准干扰源的方式或调整功率。4.对于室内区域存在多套室内覆盖系统的情况，应充分考虑其他通信系统使用的频段，设计时预留必要的保护频带，以满足干扰保护比的要求。5.室外AP覆盖区频点配置时，为了实现AP的有效覆盖，避免信道间的相互干扰，在信道分配时宜引入移动通信系统的蜂窝覆盖原理。对1，6，11信道进行复用，如下图：6.室内AP覆盖区频点配置时应充分利用建筑物内部结构，从平层和相邻楼层的角度尽量避免每一个AP所覆盖的区域对横向和纵向相邻区域可能存在的干扰。7.系统设计时应注意避免干扰源的影响。8.WLAN规划设计时结合现场勘察和测试之后，应指定覆盖区域的每个AP的工作频率，可通过无线控制器实施AP自动频率调整。无线网络覆盖质量指标覆盖指标为能够提供优质的无线服务，校区所有房间（面板AP除外）内要求无线信号在室内任何空间信号强度2.4GHz、5GHz同时不低于-65dBm，丢包率小于1%。室外环境无线信号在无线蜂窝覆盖边缘信号强度2.4GHz、5GHz同时不低于-75dBm。同时为了达到信号稳定，同频率、同信道的干扰信号强度不得高于-75dBm。信号质量目标覆盖区域内95%以上位置，用户终端接收到的下行信号S/N值>10dB。速率指标在目标覆盖区内，单用户接入最大下行业务速率≥AP上联中继带宽的90%。信号外泄室内WLAN信号泄露到室外10m处的强度不高于-75dBm。无线网络容量设计并发用户数WLAN网络在进行多终端接入设计时，按照每个802.11NAP的并发50个用户。吞吐量要求WLAN的数据业务吞吐量是容量设计的重要因素。在设计中应充分考虑各类数据业务特点和带宽的需求。在目标覆盖区域内仅有一个终端，满足设计质量指标的情况下，系统吞吐量设计按照如下要求：在802.11b模式下，上行或下行单向吞吐量应不低于5Mbps(不加密)；在802.11g模式下，上行或下行单向吞吐量应不低于一八Mbps(不加密)；在802.11n模式下，上行或下行单向吞吐量应不低于54Mbps(不加密)。容量估算WLAN容量计算方式：每用户速率＝（每AP连接速率X传输效率）/（用户数量X忙时用户激活比例）。其中，每AP基本802.11b每个AP的最大连接速率为11Mbps，802.11g每个AP的最大连接速率为54Mbps，802.11n每个AP的最大连接速率为300Mbps，802.11ac每个AP的最大连接速率为1Gbps；传输效率：表示总开销效率因子，包括MAC效率和纠错开销，取50%；用户数量X忙时用户激活比例：得到同时使用无线网络资源的实际用户数量。1.系统的覆盖规划应主要考虑为保证AP无线信号的有效覆盖，对AP天线进行选址与相关配置。通常有综合分布式系统和独立AP覆盖方式，设计时应根据覆盖场点的实际情况进行选择。2.对于有多个WLAN网络存在的区域，AP的布放应尽量避免频率的干扰，扩容增加的AP可以通过扫频的方法检测原有AP的频率再进行频率设计。3.一般情况下室内天线接口处的输出功率的最大值为20dBm，在用户数较多，AP数量较多的区域，可以通过降低发射功率来减少覆盖范围，以达到减少同频干扰的目的。4.覆盖方案设计中选择AP时，应综合考虑设备性能、系统整体成本统间干扰等因素。物料清单和中国黄金的点位图说明：以下物料清单根据图纸初步规划，后续还需现场场勘才能明确点位图。物料清单楼信息楼层信息AP型号数量天线型号数量馈线型号数量柳北区大润发营业点AP330-I8小计：8荣军路大润发营业点1FAP330-I6小计：6合计：14室内AP数量总计：14中国黄金区域AP部署点位图现场场勘后提供无线网络安全设计整个无线网络为用户提供免费的网络访问服务，要能够保证整个无线网络安全性，防止用户遭受常见的网络攻击、网络欺骗、病毒、木马等，保障无线用户用网安全！无线网络主要是为用户提供互联网服务，为了符合公安部颁发的82号令及网监部门的法令要求，无线网络必须具备身份鉴别技术、网络行为审计等功能，实现实名制上网的目的，同时记录地址转换记录，以便事后能够追查定责到人！对比目前较为成熟的身份认证方式，方案设计从短信认证、微信认证两种方式，保障所有用户均能很便捷的通过身份认证。无线信号容易被窃听、干扰，无线用户之间也可能发生攻击现象，因此必须通过多种技术手段保证无线网络自身安全。无线网络安全是一个端到端的全程概念，单纯提高某一层面的安全性并不能对网络整体的安全性有很大改善。因此，无线网络安全最终要从无线链路层安全、无线网络层安全等层次进行安全保证，无线网络具备无线安全攻击防范的能力。无线链路层加密无线链路层加密方式有WEP、WPA、WPA2、WAPI等方式。用户隔离通过限制相同SSID下的接入用户互访，可以保证终端用户无法在AP上做互访，而不同SSID下的用户所对应的是不同的VLAN，因此所有的数据流量必须上行到AC，由AC统一进行转发、交换和策略控制，从而防止信息进行本地交换，而造成网络性能下降或病毒泛滥等安全事件。入网身份认证，确保事后追查定责到人定制化的短信认证配合短信网关，身份认证系统实现认证Portal页面的推送后采用短信认证的功能，当用户搜索到无线信号点击连接，接入成功后打开浏览器输入任意网址，这时接入交换机检查匹配表象判断该用户是否通过认证，如果没有在匹配列表里面找到匹配项那么交换机将使用户的访问网址重定向到我们的Portal服务器及身份认证系统中，由身份认证系统推送我们已经预制好的认证页面，当用户输入了正确的用户名密码认证成功身份认证系统会返回给用户认证成功页面并同时自动推送广告主页等。1.用户搜索到WIFI热点；2.认证网关系统返回即时的认证页面（包含广告、品牌、促销信息），并提示用户输入手机号码，以获取上网验证码；3.用户输入正确的手机号码，点击“获取验证码”；4.认证网关系统将根据预定的规则生成验证码；5.认证网关系统通知“短信网关”，给此手机号码下发一条短信息；6.信息内容直接调用预定义的格式，如“欢迎使用XXX无线网络，你的无线上网验证码为XXXX。”7.客户的手机即时收到含验证码的短信；8.在对应位置输入验证码，并提交；9.网关校验通过，对此用户设备授权上网，用户即可通过WIFI畅游互联网。以上的业务流程描述比较细致，对用户来说，只需要进行简单三步操作即可畅游互联网：连接WIFI输入手机号码输入验证码，上网特色化的微信认证商户建立微信公共账号后，可以作为顾客免费上网的入口。用户要免费上网，需要先关注微信公共账号后，才能获取到上网链接，点击后自动认证上网，跳转到认证首页。1.打开微信客户端2.扫描二维码，关注微信公众号，收到SSID、链接、密码等微信消息；3.关联商家无线SSID，点击微信消息内的上网链接，输入密码即可完成认证；4.（可选择设置）后续使用，无需再次认证即可上网；上网行为审计，过滤敏感内容，符合网监部门要求用户的上网记录都可以通过系统完成记录，并可以对应客户需求，过滤敏感内容，整个记录信息全部符合网监部门的要求。NAT日志记录，便于事后追查，符合公安部82号令要求公安部发布的《互联网安全保护技术措施规定（公安部令第82号）》中，也明确要求了，各网络运维单位，要在发生非法网络行为时，对责任人进行IP定位，并进行实名审计。所以互联网出口需要有日志记录的功能，能够记录用户的NAT转换记录，以满足公安部的安全要求。在网络出口部署日志记录系统，与出口网关联动，可详细记录用户NAT日志、流日志、URL日志等。结合实名认证及营销云平台，所有日志均可定位到具体用户，不仅仅是IP地址。无线攻击防范，防止私设非法AP，影响用户使用非法AP、终端的入侵检测隔离无线网络由于使用空中的无线电射频信道工作，因此基于无线网络的入侵防护显得尤为重要。这其中包括非法无线接入点的防范与非法用户连接访问的防范。非法无线接入点可能侵占合法无线接入点的正常信道工作，这样不但会对合法的无线接入点产生干扰，由于非法设备往往不具备安全功能，还会将非法用户之间带进有线网络中。采用智能无线AP，能够支持两种模式来对非法电磁信号进行监测：一种方式为AP在做DataAP的同时，每隔一段时间主动进行ActiveScan；另一种方式可以将AP设为监听模式（称之为SentryScan），与前一种方式不同的是，此种方式为连续监控。智能无线AP通过上述两种方式，采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址，Channel类型及SSID等，自动识别并警告未授权的AP或Ad-Hoc网络，以避免潜在的干扰或与无线入侵者。另外，对于某些重点区域，还可以部署专用AP不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。当系统发现非法AP或者非法信号后，可以根据管理策略，手动或自动将非法AP加入系统的黑名单中。当发现有无线客户端尝试链接该非法AP时，系统可以主动向该无线客户端发出IEEE802.11disassociation信号，强制将该终端与非法AP断开，从而让终端始终连接上合法的无线网络上，保证了用户的数据安全。另一种重要威胁是非法无线用户对合法无线接入点的入侵。互联网上可以轻易地下载到很多无线入侵和攻击工具，而原先传统的无线接入点设备均都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击将会导致用户的无线连接断线，但网管人员却无法在第一时间得到报警。利用网络的智能无线网络架构技术，智能无线交换机本身内置无线入侵模式库，可以实时检测异常的无线数据包，当无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应和报警，并提醒网管人员注意并提示相应的解决措施。病毒与攻击安全锐捷提供的无线解决方案通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如IP/MAC/WLAN多元素绑定、硬件ACL控制、基于数据流的带宽限速等，满足大楼无线网加强对访问者进行控制、限制非授权用户通信的需求。ARP欺骗的防护ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网。无论在动态分配IP环境下，还是静态分配IP环境下，均可实现自动绑定工作，大大的节省了人力成本，降低了管理开销。而配合ARP速率监控控制ARP报文发送的速率，防止恶意利用扫描工具进行ARP泛洪占据网络带宽，导致网络拥塞的攻击行为。DHCP安全支持DHCPsnooping，只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCPServer，扰乱IP地址的分配和管理，影响用户的正常上网的行为；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗。广告营销平台设计模版（模版库、自定义模版）主要应用于用户在入网认证页及认证成功后所推送的自定义主页，提供多个文本、图片、视频等格式的模块化设计，客户可以根据实际情况和需求，快速填充完成广告页面的的自定义设计与发布。广告制作效果广告可编辑内容强制看广告1、设置强制看广告时间为一五秒(可自定义时间)：2、终端关联ssid后跳转到认证页面，强制看广告一五秒：看完广告才可以点击上网：按地理位置推送以AP为单元，设置WIFI热点群组，通过定义热点组策略来对热点或热点组进行推送资讯的投放管理，例如连锁企业不同门店内可自定义推送不同广告信息、或者同一商场内不同区域可推送关联周边店铺的商品和打折信息等，每个门店或不同区域的租户都能管理自己的账号，并实现广告内容的快速编辑、更新和发放。根据位置推送广告示意图租户信息微信托管为了能更好的结合用户常用的互联网应用软件，可以采用微信认证的方式进行WiFi网络的接入，而且认证后还能对商场或连锁企业的微信服务号或订阅号进行智能托管，实现对用户微信回复中关键字进行智能应答和日常信息发布等，如用户在微信中回复打折，后台托管若提前对关键字编辑回复内容如：提供链接地址XXX或说明，则企业服务号会将该链接地址或说明进行实时反馈。托管内容展示投放资讯管理（使用时间表、 投放统计）支持计数统计功能，实现广告投放时长、展示率、在线用户数等广告投放时长统计：以图表方式呈现当前所投放广告使用情况广告展示率：以图表方式呈现各投放广告主页被访问信息数据，包括不同时间、不同区域等维度的统计在线用户统计：实时呈现不同区域中，在线用户及带宽使用情况。“链接点击次数统计报表”“上网历史记录”顾客注册数统计（含历史统计）广告展示率：以图表方式呈现各投放广告主页被访问信息数据，包括不同时间、不同区域等维度的统计在线用户统计：实时呈现不同区域中，在线用户及带宽使用情况。用户数据管理结合认证方式选择来收集用户手机号、微信号、终端MAC地址等相关信息，为二次精准营销提供用户数据支撑手机号：采用短信认证模块，将验证码通过短信发送到用户终端来完成验证，以此对手机号进行采集，同时通过短信策略对用户组或用户进行短信营销二次推广微信号：随着微信应用的快速普及，微信已成为社区交友的主流通讯工具之一，同时商户纷纷通过建立微官网、服务号、订阅号等窗口来展示品牌形象和特色产品。在入网认证时以主动关注商家来完成验证，从而快速扩大商家微信粉丝。终端MAC地址收集：通过MAC确定出用户终端机型，从而进一步分析出用户消费能力、性别、年龄等信息网络管理系统设计锐捷无线控制器自带的SmartWeb网管功能是锐捷网络为精确进行网络管理,便于解决客户实际问题而设计的网络管理软件。SmartWeb专注于设备信息获取、无线AP监视、用户信息查询、无线配置管理，采用纯B/S友好的全中文Web浏览器界面，可以远程协同维护和管理，采用非代理模式，避免了传统的“Agent”模式的繁琐和重复性劳动，而且便于实施和后期维护，极大地节省了工作时间和工作繁杂度。产品提供图形化的配置界面，实现对设备配置修改,从而大大降低管理员的维护强度和难度。设备基本信息获取通过SmartWeb的监控状态功能，能够实时获取AC、AP信息，了解系统信息及系统状态走势，掌握对无线网络的主动权。无线AP监视可以通过多种方式查询AP信息，实时了解AP的CPU、内存占用情况，此外还可以查看AP当前流量及当前用户数，为后期无线规划提供参考。用户信息查询通过查询用户信息，可以了解用户相关状态信息，并可对每个用户进行控制。无线配置管理从整体上了解当前无线配置信息，包含VLANID、SSID、关联用户数等锐捷无线方案特点和优势业界最强劲的无线性能X-speed大幅提升干扰环境下的用户体验在多用户的场景下，为了提供WLAN服务，不得不在同一区域内部署多台AP，甚至多家运营商会部署多套无线设备，设备间的同频干扰加剧，无线数据竞争发送时冲突增多，而且部分低速用户大量占用无线链路进行数据传输，无线网络的实际吞吐性能大幅下降，用户体验极差。目前传统无线厂商的优化方法主要分为以下三种：调整AP的发射功率，降低同频信号的重叠覆盖范围，在一定程度上减少数据冲突；优化AP的部署位置，尽量利用环境中的阻挡物来减少干扰；通过禁止低速率终端发送数据来提高无线链路利用率。而锐捷网络在有效实现上述优化方法的前提下，又创新的推出了X-speed加速技术，它主要有两大功能特点：自适应优先级开启X-speed技术的AP能够迅速感知Radio上下行流量的差别，实现自适应优先级控制，自动调整Radio和Client的EDCA参数，在多厂商AP的环境下，极大的提升了AP的下行发包能力和抗干扰能力，相比于环境下其他AP的无线用户，接入我司AP的无线用户终端能够获得更高的数据传输性能。图自适应优先级公平调度X-speed技术的另一大功能就是公平调度，它主要根据终端流量的实时信息，预测终端流量，然后计算并调整AP和终端的空口带宽，然后利用令牌桶原理进行流量整线来实现无线空口资源的公平占用。这就为802.11g、802.11n等不同类型的终端提供相同的访问时间，极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，有效的提升了低速终端的性能，保证用户无论使用何种类型的终端，都将在相同的位置上获得同样良好的无线上网体验。图公平调度原理图图公平调度效果图X-sense，会思考的灵动天线锐捷网络的下一代AP将全部搭载全新自主研发的X-sense灵动天线。该天线也属于智能天线的一种，它综合了交换波束天线和自适应阵列天线的优点，在对于简单环境下的用户接入，使用近似于交换波束的天线选择方式去完成用户快速高性能接入，而在复杂和干扰环境下，又能够通过强大的软件算法，控制多天线的组合来达到更好的效果，同时锐捷的智能天线技术还增加了对移动终端无线接入的识别和优化，这些都是锐捷网络在AP智能天线技术上巨大创新，所以，锐捷网络的X-sense也被称为会思考的的灵动天线。图X-sense灵动天线1．1677万种天线路径选择，覆盖无死角锐捷网络创新研发的X-sense灵动天线矩阵架构，能够动态选择不同的天线组合，支持最高多达1677万种组合方案，彻底解决传统天线存在覆盖盲区的弱点。无论在任何角落，X-sense都能定制出一条最适合移动智能终端当前位置的天线天线路径，真正实现全面覆盖，绝无死角。图信号覆盖对比2．全自动调节，让信号随你而“动”无论终端如何移动，都有最佳的信号路径跟随，这是X-sense灵动天线技术带来的革命性改变。无需人工干预，X-sense凭借其强大的运算性能，可以在1毫秒内完成300次指向终端的信号路径切换，即便在快速奔跑状态下也能保证时刻都有最佳的信号与终端同“行”。图X-sense信号追踪示意图3．功率不变，却有3倍的信号提升X-sense能够精确计算终端的位置，并通过动态组合的天线模式，针对每个终端位置来提升不同的信号强度，最大可以提升到普通AP的3倍，这使得覆盖范围内无论远近的各个点都能接收最佳信号。而且完全不用担心由此带来的辐射增加，因为增强的信号强度都全部被用来抵消传输路径和穿透墙壁的损耗，AP的发射功率都是完全符合国家标准。图X-sense信号强度提升4．终端接入优化设计，更适合手机和平板电脑用户当移动智能终端接入无线网络时，X-sense会快速、准确的识别到终端的类型，如果是使用功率较低的手机、平板电脑等移动终端时，X-sense能够通过动态信号补偿技术，针对移动终端提升接收灵敏度、增加重传，保证所有的终端都能获得最优的接入效果。图X-sense针对不同终端的补偿示意5．干扰降低30%，部署更轻松干扰是无线网络的最大难题，特别是当在狭小的空间部署大量AP时，干扰影响会尤为明显，X-sense根据使用者位置自动调整无线信号的输出方向，当受到干扰时，能够自适应选择更优的路径避开干扰，这项技术经测试可以将干扰的影响有效降低30%以上！图干扰对比图独特的功能确保整体方案的先进性业务流量全面分流的本地转发架构传统的“无线交换机＋瘦无线接入点”结构，是一种流量集中式转发的架构，即AP上行的所有流量均需通过无线控制器进行集中式转发。这种架构可以满足所有的无线接入点全部受到无线交换机的统一控管，这种组网架构和相应产品的出现，使得无线网络的整体管理能力、安全防御能力得到完全的改善，使得无线网络的组网变得轻松、易管理。到了这一阶段，可以说无线网络的解决方案已经上升到了一个新的台阶。虽然这种架构解决了对无线网络的管理和控制的问题，但是依然存在缺陷。这种缺陷在802.11g标准或者规模较小的无线网络下并不会构成隐患，但是随着802.11n技术的全面普及和802.11ac技术的新兴应用，尤其是各行业越来越多在组建大规模的无线网络时（1000台无线接入点以上），在这种解决方案架构会导致无线交换机成为大流量数据汇聚的中心。业内通常一台最大可200台AP的无线交换机的数据处理与吞吐能力不会超过4Gbps，如果按照每台802.11n无线接入点的真实包吞吐能力在100-120Mbps计算，实际上每台无线交换机最大能够负载的AP数量不超过40台。集中式转发架构在802.11n时代遇到了不可逾越的障碍。图本地转发架构锐捷网络推出的本地转发架构，从架构上解决了无线控制器的流量瓶颈问题。本地转发架构即AP上行到无线控制器的数据无需经过控制器，而直接在接入交换机上进行转发。通过无线控制器的配合，可灵活预配置AP产品的数据转发模式，例如根据SSID名称或者用户VLAN以决定是否需要经过无线控制器转发，或直接进入有线网络进行数据交换。本地转发技术可以将延迟敏感、传输要求实时性高的数据分类通过有线网络转发，可以大大缓解无线控制器的流量压力，更好的适应802.11n、甚至是802.11ac网络高流量传输的要求。 基于用户、流量、频段的智能负载均衡某个共同区域内，可能发生这样的问题：大部分终端全部接入某个AP，而相邻的AP则很少用户选择，这就造成了AP之间的负载不均衡，部分AP过载，部分AP空载的情况。所以WLAN网络需要一种方法来实现在网络中（多个AP间）均衡地分担无线用户的负载，这是保证无线接入的性能和Qos的关键。这种技术一般被称为WLAN网络负载均衡技术。针对这种情况，锐捷网络提出了智能负载均衡功能，该功能首先能够区分相邻AP之间共同覆盖区域，实时准确地发现负载均衡组，其次利用准确的负载均衡的算法，最后有效的控制“过载”无线用户的离开。从而实现共同区域内AP之间接入负载均衡，不让某个AP出现过载情况。锐捷网络基于对802.11标准和客户需求的深入理解，创新地提出了智能负载均衡专利技术，如下介绍的关键技术，可以准确有效地在WLAN网络中平衡用户的负载，充分地保证每个无线用户的性能和带宽。主要的技术特点如下：基于集中式无线架构每个AP通过CAPWAP协议建立与AC间的控制和数据隧道，智能负载均衡算法在AC侧进行集中控制。集中控制的方法，可以让AC实时完整地了解每个AP当前的负荷，从而对网络中的负载进行有效均衡。频谱导航技术(BandSelect)AP支持检测客户端是否自带双频网卡，如果是，AP会拒绝客户端连接2.4G一定次数，优先将客户端接入5.8G，再计算当前2.4G和5.8G接入用户数量差异，当超过一定差异时，启动频段间负载均衡，防止5.8G和2.4G接入用户数量差异过大。随着双频终端越来越多，除了传统的迅驰笔记本外，iPad2、NewiPad、iPhone5都已经使用双频网卡，频谱导航技术能够讲负载引导到较少人使用，较少干扰的5GHz频段上，大幅度降低2.4GHz压力，提升AP使用效率。支持基于用户会话数、流量、用户数的负载均衡算法一般地，许多厂商只支持基于用户会话数的负载均衡。锐捷网络的智能负载均衡技术可以让用户灵活地选择基于用户会话数、用户数或流量的负载均衡，满足用户不同的WLAN应用需求。用户还可以灵活地选择是否使能负载均衡。智能地隐藏高负载AP当一些AP的负载过高时，通过锐捷网络的智能负载均衡技术可以维持已存在的无线用户会话，而把这些AP对新的接入用户进行隐藏，从而让新的接入用户只能够发现和接入到负载较小的AP上。这样可以平滑地进行负载均衡控制，而又可以保证用户快速地接入到网络中。一个有效的WLAN网络负载均衡方法必须系统化地综合了如下的关键技术：实时准确地发现负载均衡组；负载均衡的算法；能够有效地控制无线用户的离开或接入到AP其过程及原理如下：1．实时准确发现负载均衡组 锐捷网络AP能够实时跟踪无线客户端位置，当一个AP听到来自某个无线用户的扫描信号，将向AC通告自己发现了某个无线用户。AC将以该无线用户的MAC地址为索引，纪录哪些AP听到了该用户的信号。为了保证这些信息的实时准确，通过老化机制，系统可以将过期的纪录老化掉。有了这样的信息，根据某个无线用户的MAC地址查询到的AP列表，就对应了在特定时刻和特定位置下，能够为该用户提供WLAN接入服务的AP。由于无线客户端的扫描过程是非常频繁的，所以很自然地确保系统可以实时地跟踪无线用户的位置变化，根据特定用户MAC地址查询到的AP列表就是实时动态的负载均衡组。整个过程完全是自动的，不需要用户手工配置负载均衡组。为了保证系统的性能，减少AP和AC间的通讯负荷，AP还可以只在自己听到的无线用户信息发生变化时，才通知AC刷新信息。2．负载均衡条件判断当无线用户确定了自己要关联到某个AP后，将向该AP发起关联请求，该请求将被AP发送到AC上进行集中处理。运行在AC上的负载均衡算法首先要判断是否需要进行负载均衡控制。负载均衡要求：当前AP的负载超出用户预设置的阈值并且负载均衡组的负载不均衡。用户可以选择设置是按照用户流量还是用户数进行负载均衡控制，只有负载超出了一定阈值，系统才启动负载均衡控制。此外，只有负载均衡组成员的负载不均衡时，系统才进行负载均衡。这时系统会根据预先实时学习的用户信息，动态地计算出当前的负载均衡组成员，即当前哪些AP可以为该用户提供接入服务。然后比较这些AP当前的负载，如果当前AP的负载超出均衡组中负载最轻的AP，并且满足了指定值，那么就意味着当前AP的负载过高，需要设法把新的接入用户平衡到其他AP中，而不是在本AP上提供接入服务。图智能负载均衡效果图灵活便捷的访客系统锐捷网络将最前沿的移动互联网应用和精细化的用户管理系统进行深度融合，创新的使用二维码访客接待系统和用户短信自助认证系统，为访客高效快捷的提供了安全的无线网络服务。二维码认证访客使用移动智能终端访问无线网络后，锐捷网络的认证系统将生成专用的二维码推送到访客的终端上负责接待的员工使用自己的已认证通过的合法终端对访客的二维码进行扫描并自动反馈到认证系统认证系统记录下访客和对应接待者的身份信息并确认临时开户，访客和接待者收到反馈后即可直接访问网络短信自助认证用户使用移动智能终端连接公共区域开启用户短信自助认证功能的WLAN后，该WLAN会在用户进行HTTP访问后推送出一个WEBPortal页面，页面上会需要用户输入自己的手机号码作为用户名认证系统获取到该信息后通过短信网关向该手机发送随机登陆密码并设上一定的失效时间用户最终在认证页面上输入手机短信上的密码即可完成接入认证，并可进行无线网络访问访客在通过不同的快捷认证方式完成无线网络的接入认证的过程中，后台的认证系统会实现访客信息的记录，如访客的终端类型、访客的对应接待者、访客的手机号码、访客的终端MAC等。对于不同类型的访客还能设置不同的用户访问控制策略，如可使用网络的有效时间、可访问的网络资源、无线网络的带宽及优先级等，做到了真正精细化的访客管理。而且访客的访问网络的每个操作都能通过远端的锐捷日志服务器进行记载，整个访客系统实现了前沿应用、快捷服务、安全使用的最佳融合。仅需“扫一扫”或者一个短信，就可便捷的为访客提供无线网络服务，这是锐捷网络为提升用户体验的又一次创新。逐级深入的安全防护1．全面的准入认证锐捷网络的无线支持软证书、硬证书、802.1X、WEB等多种用户接入认证方式。全面的准入认证方式，用户按需使用，为整个WLAN的安全构建了第一道护城门。图STYLEREF1\s7SEQ图示：\*ARABIC\s11全面的认证方式2．用户信息的多元组绑定为了保证账号口令、终端和接入网络的有效性与安全性，锐捷网络的WLAN支持用户信息的多维度绑定，最多可将用户的帐号与接入的SSID、关联AP/AC的IP和MAC地址、数字证书、甚至是用户终端的硬盘序列号进行用户信息的捆绑，实现无线安全的全面的监控、定位、追溯。一旦出现问题，能够快速定位事发用户、终端甚至位置，让非法操作无处遁形！图多维度信息绑定3．由始至终的无线数据加密保护从终端到AP再到AC的整个链路中，锐捷网络的WLAN产品可采用最高级别的加密方式。移动终端和AC间的无线链路上，所有数据采用AES加密，每个无线数据包都会采用逐包加密后进行传输，目前暂无破解手段；而从AP到AC的有线链路上，所有数据均在CAPWAP的加密隧道中进行传输，数据能够得到全面的保护，这是真正的安全与数据同行！图无线数据传输过程4．用户权限的灵活控制可实现精细化的无线用户管理，能够不同用户类型、不同的登陆区域、针织不同的终端类型等进行灵活的访问权限控制，保证不同用户只能访问自身权限下的目标网络，达到全局安全，灵活易控的无线网络建设目标。图基于用户的安全策略5．非法AP及用户的防御反制无线网络在正式使用后，经常会受到非法AP的干扰、攻击，而且也有非法用户或者合法用户的非法终端（携带病毒等）接入引起的Flooding攻击、WeakIV攻击、Spoof攻击等，导致整个无线网络极不稳定，甚至是合法用户或机密信息被窃取等，网络安全得不到最根本的保障。锐捷网络采用基于有线、无线的一体化防御反制体系，对于非法AP盗接合法用户，可通过我司AP启用射频防御反制功能，通过对非法AP进行解关联攻击，让非法AP上关联的终端下线，并关联至合法的AP上；对于非法AP直接连接锐捷交换机上，可直接关闭交换机端口将非法AP进行阻断；当感知到非法用户在进行无线攻击时，可从AP侧将非法用户踢下线，并保持一段时间不然其再次进行关联。这些安全措施强有力的打击了非法AP及用户，全力构建了和谐稳定的无线网络。图无线WIDS功能坚若磐石的可靠网络1．无线网络永不中断——边缘智能感知技术（RIPT）传统“瘦AP+无线控制器”的集中式网络体系架构，无线数据流经AP再到无线控制器进行集中转发，这就会存在当无线控制器发生故障宕机后，AP无法正常工作的问题，导致整个无线网络瘫痪。锐捷网络最新的边缘智能感知技术，使RG-AP330-I能够智能的进行链路感知，当发现无线控制器故障宕机后，AP快速切换为智能模式继续进行数据转发，而且能够继续进行新用户的认证接入，实现了无线网络的高可用性，真正的做到了无线用户永不掉线。图边缘智能感知功能示意图全面支持IPv6的无线网络随着以IPv4为核心技术的Internet获得巨大成功，IP技术取得广泛应用，但IPv4地址资源紧张直接限制了IP技术应用的进一步发展。IETF在20世纪90年代提出下一代互联网协议-IPv6被公认为IPv4未来的升级版本，地址长度将由32位增加到128位，从本质上改善地址资源紧缺问题。在物联网和移动互联网成为未来发展趋势的当下，无线部署方案不仅要考虑在普通IPv4网络中的应用，更需要同时支持在IPv6网络中的应用，为未来预留下充足的成长空间。首先需要了解当前主流的无线应用架构。当前主流的应用架构方式为无线控制器AC＋FitAP的集中式无线局域网部署，其中无线控制器负责无线网络的接入控制，转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FitAP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。锐捷网络的IPv6实现方式当前主要包括透传及CAPWAP隧道方式两种：透传方式，即无线控制器和FitAP对于IPv6报文不做额外的处理，直接按照二层转发的模式处理；这种情况下，无线控制器和FitAP仍然使用IPV4地址建立CAPWAP隧道，管理和转发仍然是基于IPv4地址，无线控制器和FitAP组成的无线局域网在网络的架构中只是充当了二层交换机交换机的角色，对IPV6报文没有任何处理，在只支持IPv6协议栈的纯IPv6环境中无法正常工作。目前所有的WLAN产品都支持这种方式；CAPWAP隧道方式，则是AP和AC支持IPv6和IPv4双协议栈，AP和AC可以使用IPv4地址建立CAPWAP隧道，也可以使用IPv6地址建立CAPWAP隧道；这种情况下AP和AC要全面支持IPv6协议栈，能够直接处理IPv6报文，因此可以在IPv4I组网中工作，也可以在IPv6环境下工作，还可以在IPv4/IPv6混合组网的环境下工作，具有很大的灵活性。因此只有支持IPv6CAPWAP方式的设备，才能真正实现对IPv6真实环境的全面支持。锐捷网络的无线设备能够全面支持IPv6CAPWAP方式，结合该性能以及AC+AP的无线应用架构优势，不但在现有的IPv4网络中可以随意建立WLAN网络，提供WLAN接入服务，更可以便捷满足未来发展需要。如后续有任何关于IPv4向IPv6升级的网络改造，所有的接入点和接入控制器不需要替换，不需要升级，甚至不需要修改配置，就可以继续提供WLAN接入服务，极大方便了网络建设和维护。专业制胜的原厂技术服务支持锐捷网络致力于为用户提供专业高效的原厂商技术服务，保障用户业务高效稳定运行，提升用户满意度。原厂专业地勘测试支持原厂工程师进行现场的勘察测试，进行科学的无线部署规划，达到用户使用要求。3年保修期内7*24小时服务支持锐捷网络为用户提供3年的免费保修服务。保修期内提供7*24小时立即响应及支持服务。我方会在1小时内给予响应提供直接的技术支持。如远程无法快速解决，将安排专人与客户确认具体到场时间，到场配合解决故障问题。本地化服务支持，快速到达用户现场锐捷网络在柳州市设有办事机构，有常驻技术工程师两位，以确保对用户服务需求的快速响应。锐捷网络在南宁市设有技术服务中心和备件库，可确保备品备件快速送达用户现场。热线服务客户可以通过热线电话、传真、电子邮件得到我公司的技术服务。值班工程师可以实时对客户请求进行处理，需要持续跟踪解决，公司内部也会同步开一个Case记录，并有专人跟进故障处理直至问题完满解决。售后服务热线x4008-111-000（5×8小时有效）售后服务E-MAIL：servicesxruijiexx远程支持服务远程终端的实时对话功能，管理人员可以通过点对点的通信功能，和终端使用人员进行互动，及时的沟通问题、定位问题、解决问题。远程终端的文件传送功能，方便管理人员将一些其它应用使用的文件传送到客户端，也可以将客户端的一些文件传送到管理员使用的终端。保修期满后承诺若用户希望继续由我司提供服务，可由双方协商，并另行签订有偿售后服务合同。我司保证以优惠价格提供优质服务。售后服务联络方式省份地址邮编x传真北京北京市海淀区复兴路29号中意鹏奥大厦东塔11层100036010-517一五999010-514一三399南宁南宁市青秀区金湖路佳得鑫水晶城C座2101室5300220771-55854060771-2826640柳州柳州市三中路市委8栋1单元801室545000一八589962838设备清单序号设备名称产品型号产品说明数量1室内放装APRG-AP320-I室内灵动天线型无线接入点，内置X-sense灵动天线，双路双频，支持2条空间流，整机最大接入速率600Mbps，可支持802.11a/n和802.11b/g/n同时工作，胖/瘦模式切换、WAPI、千兆电口上联、PoE和本地供电（PoE和本地电源适配器需单独选购）142无线控制器RG-WS5302千兆无线控制器，2个10/100/1000M自适应电口和2个复用的千兆SFP接口，默认支持32个AP，可通过扩展License最大控制128个AP13核心交换机RG-S5750-24GT/8SFP-E增强型24端口10/100/1000M自适应电口交换机，8个复用的SFP接口（SFP为千兆/百兆口），2个扩展槽14POE接入交换机RG-S2928G-12P24口10/100/1000M自适应电口(最多支持12口PoE供电或6口PoE+远程供电)，4口SFP非复用端口，每端口最大PoE功率输出30W，整机输出最大PoE功率为一八5W25千兆单模光模块Mini-GBIC-LX1000BASE-LXminiGBIC转换模块（一三10nm）46MCP平台RG-MCP标准版用于基于AP的无线页面推送，后台平台分析功能，配置1000永不并发使用授权。17出口网关RG-EG2000GE锐捷网络RG-EG2000系列下一代网关是适用于多个行业的业务加速类网关产品。设备配以高性能的MIPS多核硬件体系架构，拥有业务加速通道、精准流控、上网行为管理、可视化VPN、智能选路、防火墙、高性能的NAT、Web认证等多个功能。凭借着丰富的功能，RG-EG系列能够极有效的优化用户网络，规范上网行为，全方位的加速关键业务开展，提高业务系统使用体验。在总分型网络中更有网关的智能管理平台SNC-RAC系统，可提供全网可视化的管理工具及零配置上线解决方案，使得总分型网络更容易管理，业务开展更顺畅。1DATE\@"M.d.yyyy"8.27.2022DATE\@"HH:mm"DATE\@"M.d.yyyy"8.27.2022DATE\@"HH:mm"19:49DATE\@"HH:mm:ss"19:49:37TIME\@"yy.M.d"22.8.27TIME\@"h时m分"19时49分TIME\@"h时m分s秒"19时49分37秒DATE\@"MMM.d,yy"Aug.27,22DATE\@"dMMMMyyyy"27August2022DATE\@"h:mm:ssam/pm"7:49:37PMDATE\@"HH:mm:ss"19:49:37TIME\@"yyyy年M月d日星期W"2022年8月27日星期六DATE\@"HH:mm:ss"19:49:37附录资料：不需要的可以自行删除超全ARP知识什么是ARPARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（也就是相当于OSI的第三层）地址解析为数据链路层（也就是相当于OSI的第二层）的物理地址(注:此处物理地址并不一定指MAC地址)。ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。（读者注：某机器A利用其它某机器B的IP地址和一个事实上并不存在的MAC地下向另一台机器C发出ARP请求，导致C中的ARP缓存表的错误映射，称为ARP欺骗）ARP协议的工作原理在每台装有tcp/ip协议的电脑里都有一个ARP缓存表，表里的ip地址与mac地址是一一对应的，如图。arp缓存表以主机A（）向主机B（）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标的MAC地址，直接把目标的MAC地址写入帧里面发送就可以了；如果在ARP缓存表里面没有目标的IP地址，主机A就会在网络上发送一个广播,目标MAC地址是“ff-ff-ff-ff-ff-ff”，这表示向同一网段的所有主机发出这样的询问：“的mac地址是什么呀？”网络上的其他主机并不回应这一询问，只有主机B接受到这个帧时才向A作出回应：“的MAC地址是00-aa-0-62-c6-09。（如上表）”这样，主机A就知道了主机B的MAC地址，就可以向主机B发送信息了。同时，它还更新了自己的ARP缓存表，下次再向B发送数据时，直接在ARP缓存表找就可以了。ARP缓存表采用老化的机制，在一段时间里表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询的速度。如何查看ARP缓存表ARP缓存表示可以查看的，也可以添加和修改。在命令提示符下，输入“arp-a”就可以查看arp缓存表的内容了。用“arp-d”可以删除arp缓存表里的所有内容。用“arp-s“可以手动在arp表中制定ip地址与MAC地址的对应关系。ARP欺骗的种类ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。arp欺骗－网络执法官的原理在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。修改MAC地址突破网络执法官的封锁根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Class/子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel21041basedEthernetController），在这里假设你的网卡在0000子键。在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定NetworkAddress的描述，其值可为"MACAddress"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MACAddress的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MACAddress的高级设置项，用于直接修改MAC地址。MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP-a命令得到网关的MAC地址，最后用ARP-sIP网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。找到使你无法上网的对方解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller（图2），然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP（图3），单击"开始检测"就可以了。检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。局域网ARP欺骗的应对一、故障现象及原因分析情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者正常上网。情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。关于APR欺骗的具体原理请看我收集的资料ARP欺骗的原理二、故障诊断如果用户发现以上疑似情况，可以通过如下操作进行诊断：点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。注：arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。三、故障处理1、中毒者：建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。2、被害者：(1)绑定网关mac地址。具体方法如下：1）首先，获得路由器的内网的MAC地址（例如网关地址54的MAC地址为0022aa0022aa）。2）编写一个批处理文件AntiArp.bat内容如下：@echooffarp-darp-s5400-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.bat文件拖到“windows--开始--程序--启动”中。这样开机时这个批处理就被执行了。(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。AntiArp软件会在提示框内出现病毒主机的MAC地址四，找出ARP病毒源第一招：使用Sniffer抓包在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送ARPRequest请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。第二招：使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了86的这个IP，则可以断定86这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的86）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert48。假定设置的缺省网关为，在跟踪一个外网地址时，第一跳却是86，那么，86就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·（ARP欺骗的更容易理解的解析）最近在论坛上经常看到关于ARP病毒的问题，于是在Google上搜索ARP关键字，结果出来很多关于这类问题的讨论。我的求知欲很强，想再学习ARP下相关知识，所以对目前网络中常见的ARP问题进行了一个总结。1.ARP概念咱们谈ARP之前，还是先要知道ARP的概念和工作原理，理解了原理知识，才能更好去面对和分析处理问题。1.1ARP概念知识ARP，全称AddressResolutionProtocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。1.2ARP工作原理首先，每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。例如：A的地址为：IP：MAC:AA-AA-AA-AA-AA-AAB的地址为：IP：MAC:BB-BB-BB-BB-BB-BB根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP请求广播（谁是，请告诉），当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答（在BB-BB-BB-BB-BB-BB）。1.3ARP通讯模式通讯模式（PatternAnalysis）：在网络分析中，通讯模式的分析是很重要的，不同的协议和不同的应用都会有不同的通讯模式。更有些时候，相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是：请求->应答->请求->应答，也就是应该一问一答。2.常见ARP攻击类型个人认为常见的ARP攻击为两种类型：ARP扫描和ARP欺骗。2.1ARP扫描（ARP请求风暴）通讯模式（可能）：请求->请求->请求->请求->请求->请求->应答->请求->请求->请求...描述：网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源；ARP扫描一般为ARP攻击的前奏。出现原因（可能）：*病毒程序，侦听程序，扫描程序。*如果网络分析软件部署正确，可能是我们只镜像了交换机上的部分端口，所以大量ARP请求是来自与非镜像口连接的其它主机发出的。*如果部署不正确，这些ARP请求广播包是来自和交换机相连的其它主机。2.2ARP欺骗ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。这可能就是协议设计者当初没考虑到的！2.2.1欺骗原理假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述：A的地址为：IP：MAC:AA-AA-AA-AA-AA-AAB的地址为：IP：MAC:BB-BB-BB-BB-BB-BBC的地址为：IP：MAC:CC-CC-CC-CC-CC-CC正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四（A的IP地址），MAC地址是BB-BB-BB