华为WLAN技术基础培训教材课件

Page1WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page1WLAN的总体技术发展Page2WLAN标准演进IEEE802.11-Theoriginal1Mbit/sand2Mbit/s,2.4GHzRFandIRstandard(1999)IEEE802.11a-54Mbit/s,5GHzstandard(1999,shippingproductsin2001)IEEE802.11b-Enhancementsto802.11tosupport5.5and11Mbit/s(1999)IEEE802.11c-Bridgeoperationprocedures;standard(2001)IEEE802.11d-International(country-to-country)roamingextensions(2001)IEEE802.11e-Enhancements:QoS,(2005)IEEE802.11F-Inter-AccessPointProtocol(2003)WithdrawnFebruary2006IEEE802.11g-54Mbit/s,2.4GHzstandard(backwardscompatiblewithb)(2003)IEEE802.11h-SpectrumManaged802.11a(5GHz)forEuropeancompatibility(2004)IEEE802.11i-Enhancedsecurity(2004)IEEE802.11k-RadioresourcemeasurementenhancementsIEEE802.11m-Maintenanceofthestandard;oddsandends.IEEE802.11n-HigherthroughputimprovementsusingMIMO（Draft2.0）IEEE802.11p-WAVE-WirelessAccessfortheVehicularEnvironmentIEEE802.11r-FastroamingWorkingIEEE802.11s-ESSMeshNetworkingIEEE802.11T-WirelessPerformancePrediction(WPP)IEEE802.11u-Interworkingwithnon-802networks(forexample,cellular)IEEE802.11v-WirelessnetworkmanagementIEEE802.11w-ProtectedManagementFramesPage2WLAN标准演进IEEE802.11-TPage3WLAN相关组织WIFI联盟基本与802.11一致，但对应用和业务感受考虑更细致一些制定WPA/WPA2、WMM/WMMPS/WMMAC、SSC、MESH、视频、语音、切换等标准联盟关注和加强产品和功能的认证测试WAPI联盟2006年3月7日，在国家发改委、科技部、信息产业部三部委指导下，WAPI产业联盟成立，包括4大运营商在内的22家单位成为首批会员2003年5月，以WAPI为安全方案的两项国家标准GB15629.11/1102颁布2006年1月，无线局域网国家标准GB15629.11第1号修改单以及3项扩展子项国家标准颁布

IEEE非营利性科技学会，全球最大的专业学术组织，设有IEEE标准协会IEEE-SA（IEEEStandardAssociation），负责标准化工作。负责制定802.11系列标准

IETFInternet工程任务组

负责制定集中控制型AC+AP标准，形成RFC文档Page3WLAN相关组织WIFI联盟Page4WLAN技术发展趋势（1/3）Infrastructure小范围室内覆盖802.11s大范围热区覆盖WLANAP模式802.11b802.11a/g802.11n11Mbps54Mbps300Mbps自主管理小规模网络轻量级管理大规模网络安全WEP802.11iWAPIPage4WLAN技术发展趋势（1/3）InfrastruPage5WLAN技术发展趋势（2/3）WLAN标准的演进有如下四条主线：速率提升：802.11（2Mbps）

802.11b（11Mbps）

802.11g/a（54Mbps）

802.11n（320Mbps）安全提升：WEPWPAWPA2802.11iWAPI应用优化：包含一系列针对应用的标准：802.11e（QoS）、802.11r（快速漫游）、802.11f（无缝漫游）、802.11h（自动频率选择和发送功率控制）等AP管理：自主管理集中管理Page5WLAN技术发展趋势（2/3）WLAN标准的演进Page6WLAN技术发展（3/3）从标准制定的历程可看出其WLAN技术演进的特点：WLAN技术持续演进。一项技术逐渐成熟过程中，后续技术就已开展研发无线带宽不断增加，通过物理层的调制编码技术的更新换代，向宽带无线网络演进无线网络的可管理性继续增强。设备配置管理，网络安全，终端平滑切换等特性相继引入，有利于构建可营运网络另一方面，由于WLAN技术越来越复杂，参与厂商增多。WIFI标准化的周期显著增长。例如802.11s和802.11v标准都大大延长了标准制定周期Page6WLAN技术发展（3/3）从标准制定的历程可看出Page7WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page7WLAN的总体技术发展Page8“瘦”AP技术“胖”AP“瘦”AP集中控制器AC802.11a/b/g/n天线策略移动性转发加密认证管理加密认证安全的透明的隧道集中式的管理丰富的功能容易部署的“AP”Page8“瘦”AP技术“胖”AP“瘦”AP集中控制器APage9“胖”AP与“瘦”AP组网技术对比胖AP组网：每个AP都是一个单独的节点，独立配置其信道和功率；安装简便每个AP独立工作，较难扩展到大型、连续、协调的无线局域网和增加高级应用每个AP都需要独立配置安全策略，如果AP数量增加，将会给网络管理、维护及升级带来较大的困难很难进行无线网络质量的优化数据的采集瘦AP组网：通过AC对AP群组进行自动信道分配和选择，及自动调整发射功率，降低AP之间的互干扰，提高网络动态覆盖特性支持二层/三层漫游切换容易实现非法AP检测和处理管理节点上移后，运维数据采集针对AC而非AP，解决了网管系统受限于AP处理能力和性能的问题Page9“胖”AP与“瘦”AP组网技术对比胖AP组网：Page10AAAWEBWLAN网管ME60BAS华为认证计费系统IP骨干网城域汇聚网APAPAPAPWLAN终端家庭用户商业用户采用华为统一网管通过SNMP或TR069远程管理控制AP由BAS提供宽带用户接入认证鉴权、计费无线信道管理、无线接入安全由AP控制胖AP接入组网方案Page10AAAWEBWLAN网管MEPage11城域汇聚网AAAWEBIP骨干网WLAN统一网管HuaweiAC用户认证计费一般由功能强大的BAS负责Wlan用户关联，无线接入控制和安全由AC集中管理通过SNMP网管、telnet、WEB直接管理AC对AP，通过AC间接管理减少管理维护工作量AP、AC间建立管理通道；AC对AP集中配置管理；AP监测无线信息汇集到ACAC对无线信道集中智能管理；无线信道数据加密、解密由AP完成瘦AP+AC组网方案Page11城域汇聚网AAAWEBIP骨Page12室内热点覆盖（办公场所，会议室，图书馆等）办公场所覆盖：提供企业内部的语音、多媒体（比如视频会议、演示等）应用，并推动企业内部的移动办公。会议室、图书馆的WLAN简易快速覆盖：AP放装在室内空间的适当位置适用AP：WA601、WA602AP发射功率：100mW/20dBm覆盖距离：30~50米Page12室内热点覆盖（办公场所，会议室，图书馆等）办公Page13

将WLAN无线信号通过合路器馈入原有GSM/CDMA/3G/PHS室内覆盖系统天馈，对原有天馈系统进行扩频改造，以实现二网共用天馈。室内分布式覆盖（可共享2G/3G/PHS室内分布天线）滤波合路器功分器/耦合器功分器/耦合器功分器/耦合器室内分布系统WA631/WA632GSM/CDMA/PHS适用AP：WA631,WA632AP发射功率：500mW/27dBm采用室内分布天线时，通常每天线覆盖半径在10～15米内。由于天线发射功率较小,对大的室内空间，天线应按一定距离连续布设。Page13 将WLAN无线信号通过合路器馈入原有GSPage14无线城市利用住宅区、楼宇、街区路口、树干、路灯等场所挂上AP接入点，组成城域WLAN网络，提供警务（比如实时交通和安全视频监视、巡警高速数据接入、现场调查人员提供移动宽带接入）、政务（比如市政办公移动接入互联网）、企业/市民/访客移动接入等应用。适用AP：WA651,WA652AP发射功率：500mW/27dBm覆盖距离：500米可通过提高天线增益扩大覆盖距离Page14无线城市利用住宅区、楼宇、街区路口、树干、路灯Page15园区覆盖“小区入户难，无入户线缆”：对于某些被对手占据的小区，小区内部布线资源不可用，可以采用无线方式接入小区内用户克服天然或人为的对光纤的障碍，避免光纤挖沟敷设所需的时间和花费快速扩展进入新的市场和增加运营收入适用AP：WA651,WA652,WA656Page15园区覆盖“小区入户难，无入户线缆”：Page16WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page16WLAN的总体技术发展Page17无线接入过程三个阶段STA（工作站）启动初始化、开始正式使用AP传送数据帧前，要经过三个阶段才能够接入：扫描阶段（SCAN）认证阶段(Authentication)关联（Association）Page17无线接入过程三个阶段STA（工作站）启动初始化Page18无线接入过程–扫描阶段无线接入第一阶段：扫描（SCAN）阶段若无线站点STA设成infrastructure模式：802.11MAC使用Scanning来搜索AP,有两种方式主动扫描方式（特点：能迅速找到）STA依次在11个信道发出ProbeRequest帧，寻找与STA所属有相同SSID的AP,若找不到相同SSID的AP，则一直扫描下去..被动扫描方式（特点：找到时间较长，但STA节电）STA被动等待AP每隔一段时间定时送出的Beacon信标帧，该帧提供了AP及所在BSS相关信息：“我在这里”…Page18无线接入过程–扫描阶段无线接入第一阶段：扫Page19无线接入过程–认证阶段无线接入第二阶段：认证（Authentication）阶段当STA找到与其有相同SSID的AP,在SSID匹配的AP中，根据收到的AP信号强度，选择一个信号最强的AP,然后进入认证阶段。只有身份认证通过的站点才能进行无线接入访问。华为的AP提供如下认证方法(后续胶片会逐一讲解每种认证方法)，包括：开放系统身份认证(open-systemauthentication)共享密钥认证(shared-keyauthentication）WPAPSK认证（Pre-sharedkey）802.1XEAP认证Page19无线接入过程–认证阶段无线接入第二阶段：认Page20无线接入过程–关联阶段无线接入第三阶段：关联（Association）阶段

当AP向STA返回认证响应信息，身份认证获得通过后，进入关联阶段。1.STA向AP发送关联请求2.AP向STA返回关联响应至此，接入过程才完成，STA初始化完毕，可以开始向AP传送数据帧。Page20无线接入过程–关联阶段无线接入第三阶段：关Page21无线接入过程示意图Page21无线接入过程示意图Page22WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page22WLAN的总体技术发展Page23WLAN网络安全WLAN网络安全包括两个方面用户身份验证，防止未授权访问网络资源。数据加密，以保护数据完整性和数据传输私密性。Page23WLAN网络安全WLAN网络安全包括两个方面Page24WLAN网络安全相关标准WPA(Wi-FiProtectedAccess)IEEE802.11i标准致力于无线安全的各个方面,在制定IEEE802.11i标准期间，无线局域网厂家已经走在前头，在尽可能多地实现该标准指定的功能，因为Wi-Fi联盟根据802.11草案的内容开发了Wi-Fi受保护的接入WPA2Wi-Fi受保护的接入第2版（WPA2）是基于最终的802.11i标准的802.11iIEEE802.11i的新一代安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（RobustSecurityNetwork）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。WAPI

中国在无线局域网国家标准GB15629.11-2003中提出了WAPI机制来实现无线局域网的安全之前使用的加密机制和认证机制加密机制：802.11WEP

也是IEEE提供的第一代用于无线认证和加密的安全解决方案认证机制：

无线局域网802.11标准定义了两种验证无线局域网客户端的机制：开放式认证共享密钥认证还有其他两个常用的机制：基于SSID的认证MAC地址认证802.11i和WAPI是认证和加密算法的重点，也是目前运营商最关注的两种安全解决方案，将在本章节重点介绍。Page24WLAN网络安全相关标准WPA(Wi-FiPage25WPA，WPA2&802.11iPage25WPA，WPA2&802.11iPage26IEEE802.11i标准致力于无线安全的各个方面。在制定IEEE802.11i标准期间，无线局域网厂家已经走在前头，在尽可能多地实现该标准指定的功能，因为Wi-Fi联盟根据802.11草案的一内容开发了Wi-Fi受保护的接入（Wi-FiProtectedAccess，WPA）。WPA提供了下述无线局域网安全措施：通过PSK(Pre-sharedkey)进行用户验证或进行802.1x(EAP)基于服务器的认证；客户端和服务器之间的双向认证；使用暂时密钥完整性协议（TemporalKeyIntegrityProtocol，TKIP）或者PPK(Per-PacketKeying，每报文密钥)确保数据隐秘性；使用消息完整性校验（MessageIntegrityCheck，MIC）确保数据完整性支持WPA并不需要进行硬件升级，只要进行固件和软件升级即可。WPAPSK（Pre-sharedkey）认证方式该方式要求在STA侧预先配置Key，AP通过4次握手Key协商协议来验证STA侧Key的合法性。对没有什么重要数据的小型网络而言，可以使用WPA－PSK的预设共享密钥模式。主要把预设共享密钥方式的WPA-PSK应用于小型、风险低的网络以及不需太多保护的网络用户。对大企业而言，安全性要求较高，更多的使用802.1X。Page26IEEE802.11i标准致力于无线安全的各Page27TKIP利用无线客户端和AP嵌入的现有WEP加密硬件。WEP加密过程与以前相同，但WEP密钥的生成频率更高，而不是像使用基于EAP的认证方法时那样在每次重新认证是生成WEP密钥。实际上，TKIP为每个分组生成新的WEP密钥。客户适用于基本EAP的方法对客户端进行认证（或重新认证）时，将生成一个初始密钥。该密钥是通过混合发送方（客户端或AP)的MAC地址和一个序列号生成的。发送每个分组时，都将更新该WEP密钥。客户端被重新认证时，将生成一个全新的WEP密钥，然后再每个分组时更新该密钥。如果没有使用或不需要外部认证服务器，WPA可以使用预共享密钥进行认证。在这种情况下，客户端和AP相互进行认证时将只适用该预共享密钥。数据隐秘性（加密）根本不使用预共享密钥，而由TKIP负责进行加速加密密钥更新，以便用于进行WEP加密。WPATKIP加密算法Page27TKIP利用无线客户端和AP嵌入的现有WEP加Page28WPA2(802.11i)Wi-Fi受保护的接入第2版（WPA2）是基于最终的802.11i标准的，从这个角度来说WPA2的标准其实与802.11i一致，与WPA相比，主要是改进措施是：使用AES(AdvancedEncryptionStandard，高级加密标准)进行加密。AES是一种健壮，可扩展的加密方法。WPA2也支持使用TKIP对数据进行加密，以便向后同WPA兼容。使用WPA和其他基于EAP的认证方法时，无线客户端必须向要访问的每个AP进行认证。如果客户端从一个AP移到另一个AP,将需要不断进行认证，这很麻烦。WPA2使用主动密钥缓存（proactivekeycaching，PKC）解决了这个问题，客户端只需认证一次—向它遇到的第一个AP认证。只要客户端访问的其他AP的都支持WPA2,且被配置为属于一个逻辑组，就将自动传递缓存的认证信息和密钥。使用IDS（IntrusionDetectionSystem，入侵检测系统）来识别并防范攻击。由于使用AES加密，所以WPA2比WPA更消耗CPU资源，通常需要硬件升级。Page28WPA2(802.11i)Wi-Fi受保护的接Page29增强了STA和AP的认证机制支持802.1x认证方式支持Pre-sharedkey认证方式增加了Key的生成、管理以及传递的机制每用户使用独立的Key

通过安全的传递方法传递用户数据加密使用的Key增加了两类对称加密算法，加密强度大大增强

TKIP（临时密钥完整性协议）：其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的

CCMP（计数器模式CBC-MAC协议）：核心为AES（AdvancedEncryptionStandard，先进加密标准）算法，由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的基础上进行升级实现。WRAP:WRAP机制基于AES加密算法和OCB（OffsetCodebook），是一种可选的加密机制。802.11i协议—安全认证和加密IEEE802.11i的新一代安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（RobustSecurityNetwork）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。Page29增强了STA和AP的认证机制802.11i协议Page30WPA,WPA2&802.11i技术总结802.11i协议的核心内容包括：基于802.1x进行身份认证基于TKIP、CCMP等加密算法实现数据加密基于4次握手实现用户会话密钥的动态协商WiFi联盟参考802.11i草案的子集，制定了WPA（Wi-FiProtectedAccess）规范。WPA核心内容包括了：基于802.1x进行身份认证基于PSK（Pre-SharedKey）进行身份认证基于TKIP实现数据加密基于4次握手实现用户会话密钥的动态协商完整的802.11i支持则称为WPA2，主要增加了AES-CCM加密算法支持等。Page30WPA,WPA2&802.11i技术总结8Page31WAPIPage31WAPIPage32基于WAPI的无线局域网国家标准体系Page32基于WAPI的无线局域网国家标准体系Page33WAPI协议技术原理Page33WAPI协议技术原理Page34全IP架构下的接入网三元结构Page34全IP架构下的接入网三元结构Page35WAPI构筑三元安全架构Page35WAPI构筑三元安全架构Page36WAPI协议的核心内容WAPI协议的核心内容：WAI（无线局域网鉴别基础结构）：确定安全策略；完成双向鉴别（包括：基于证书；预共享密钥两种形式）；单播和组播密钥协商。WPI（无线局域网保密基础结构）：主要解决所有已知的WEP问题Page36WAPI协议的核心内容WAPI协议的核心内容：Page37WAPI安全协议流程STA通过被动侦听信标帧或主动探询获得AP的安全策略。如果AP使用的是WAI证书鉴别和密钥管理机制，AP发送鉴别激活分组启动证书鉴别过程，证书鉴别过程成功结束后，AP和STA进行单播密钥协商过程和组播密钥通告过程。如果AP使用的是预共享密钥机制，AP和STA直接进行单播密钥协商过程和组播密钥通告过程。STA和AP之间的单播数据利用单播密钥协商过程所协商推导出的单播加密密钥、单播完整性校验密钥进行保护；AP利用自己通告的组播密钥保护发送广播/组播数据，STA接收时采用AP通告的组播密钥进行解密。Page37WAPI安全协议流程STA通过被动侦听信标帧或Page38WAPI安全协议流程APACPage38WAPI安全协议流程APACPage39WAPI&802.11i之比较Page39WAPI&802.11iPage40WAPI和802.11i的技术比较两者的协议流程结构基本是一致的，涉及的各个实体也仅仅是命名上不同。两者的主要区别：用户鉴别一般安全体制只能实现WLAN设备对无线客户端的单向鉴别802.11i和WAPI都支持数字证书形式认证，可以实现WLAN接入设备和无线客户端的双向鉴别。在WAPI安全体制下，实现的是三元组认证，即WLAN接入设备和AS是独立的两个实体，AS作为公信的第三方，需同时鉴别WLAN接入设备和无线客户端的合法性在802.11i安全机制下，无线客户端无法区分WLAN接入设备和AS/AAAServer鉴别协议在WAPI中，特别保证了鉴别信息的完整性；在IEEE802.11i等其它安全体制中，鉴别成功信息不包含完整性校验，鉴别消息易被篡改对网络构成安全威胁Page40WAPI和802.11i的技术比较两者的协议流Page41WAPI和802.11i的技术比较（续）加密方式WAPI强制使用数字证书作为身份凭证，既方便了安全管理，同时还提升了安全性802.11i支持多种加密方式，在互通时要采用相同的加密方式，而且在多种加密方式并存的接入环境中，广播/组播包只能采用较低安全等级的加密算法传输，容易产生安全漏洞中国电信WLAN网络安全现网部署策略：同时支持WAPI和802.11i安全策略积极引入试点WAPI，直至规模布署Page41WAPI和802.11i的技术比较（续）加密方Page42以前的认证&加密机制Page42以前的认证&加密机制Page43开放系统认证(open-systemauthentication

)(一)开放系统身份认证应用场景 开放式认证也叫明文接入既不关心客户端/用户认证问题，也不关心无线客户端 与网络之间所交换数据的加密问题，这种类型的认证方式主要用于公共区域 或热点区域，如机场酒店、大堂等为客人提供的无线接入（如接入互联网）服务。开放系统身份认证的原理

开放系统是802.11要求必备的方式。在开放系统身份认证中，AP并未验证移动式工作站的真实身份。任何客户端都可以加入网络，而无需提供任何凭证。如果没有加密功能，任何知道无线局域网SSID的设备都可以进入该网络。如果在AP上启用了有线对等加密协议(WEP)，WEP密钥则成为一种访问控制的手段。没有正确的WEP密钥的设备即使认证成功也不能通过AP传输数据，同时这样的设备也不能解密由AP发出的数据。STAAPAuthenticationrequestAuthenticationResponse(success)Page43开放系统认证(open-systemauthPage44开放系统认证(open-systemauthentication

)(二)开放认证中客户端关联AP的步骤 1.客户端发送一个探测请求。 2.周边的AP回复探测响应。 3.客户端评估AP的响应并选择信号最好的AP。 4.客户端发送一个验证请求给选定的AP。 5.该AP确认该认证并注册客户端。 6.客户端然后发送一个关联请求给AP。 7.AP确认该关联并注册客户端。开放认证的优点和缺点

优点：开放认证是一个基本的验证机制，你可以使用不支持复杂的认证算法无线设备。802.11规范中认证的是面向连接的。对于需要验证允许设备得以快速进入网络的设计，在这种情况下，您可以使用开放式身份验证。 缺点：开放认证没办法检验是否客户端是一个有效的客户端，而不是黑客客户端。如果你使用不带WEP加密的开放验证，任何知道无线局域网SSID的用户都可以访问网络。Page44开放系统认证(open-systemauthPage45

MAC地址认证 虽然802.11标准没有指定MAC地址认证，但无线局域网普遍使用该 认证技术。因此，大多数的无线设备厂商（包括华为）均支持MAC地址验证。AP上维护了一份经过授权的MAC地址清单，不在名单上的工作站。网管人员可以键入一组经过授权的工作站地址，只要是表上有名的工作站就可以跟网络连接。MAC地址认证MAC地址认证与其说是一种认证方式，更应该是一种访问控制方式。华为的AP都支持Page45MAC地址认证MAC地址认证MAC地址认证与Page46共享密钥认证(shared-keyauthentication）(一)STAAPAuthenticationrequestPlaintextchallengeCiphertextchallengeAuthenticationResponse(success)预置Key用Key加密明文密文解密和明文比较预置Key共享密钥认证(shared-keyauthentication）的原理 共享密钥认证与开放验证有一个主要的区别。当你使用带WEP加密密钥的开放认证时，WEP密钥是用来加密和解密数据，但在认证的步骤中却不使用。在共享密钥认证中，WEP加密被用于验证。共享密钥身份认证必须使用WEP密钥，因此只能用于实现了WEP的产品上。客户端要加入WLAN时，AP向它发送一个挑战短语，客户端使用挑战短语和WEP密钥计算出一个可公开共享的值，并将其发回给AP.AP使用自己的WEP密钥计算一个类似的值，如果这两个值相同，客户端便通过了认证。Page46共享密钥认证(shared-keyauthePage47共享密钥认证(shared-keyauthentication）(二)共享密钥认证中客户端关联到AP的步骤 1.客户端发送一个探测请求 2.周边的AP回复探测响应 3.客户端评估AP的响应并选择信号最好的AP 4.客户端发送一个验证请求给选定的AP。 5.该AP发送一个包含未加密挑战文本的认证响应。 6.客户端利用WEP密钥加密挑战文本，并将加密后的文件回复给该AP 7.AP比较未加密的挑战文本和加密的挑战文本。如果验证可以解密和恢复原始的挑战文本，则该认证是成功的 共享密钥认证在客户端关联过程中使用WEP加密共享密钥认证中的缺点 使用共享密钥（常被称为静态WEP密钥）认证时，WEP密钥也被用做加密密钥，通过WLAN发送每个分组时，将把分组的内容和WEP密钥提供给加密进程，远端收到分组后，经使用相同的WEP密钥对其进行解密。共享密钥认证比开放认证安全，但存在两个缺点

1.可扩展性不佳，因为必须在每台设备上配置一个很长的密钥字符串； 2.不是很安全 静态密钥的使用时间非常长，直到手工重新配置了新密钥为止。密钥的使用时间越长，恶意用户便有更长的时间来收集从它派生而来的数据，并最终通过逆向工程破解密钥。静态WEP密钥是可以破解的， 因此不推荐使用这种认证方法。802.11WEP也是IEEE提供的第一代用于无线认证和加密的安全解决方案。Page47共享密钥认证(shared-keyauthePage48WEP加密STAAP加密报文＋IV值IV静态KeyKey生成器Key流XOR用户数据明文发送的加密报文IV静态KeyKey生成器Key流XOR用户数据明文接收的加密报文IV：initializationVender

初始向量WEP：WiredEquivalentPrivacy

有线对等私有协议Page48WEP加密STAAP加密报文＋IV值IV静态KPage49802.1x是基于端口的网络接入控制协议,它提供了一个认证过程框架，支持多种认证协议在802.1x中，不同的认证协议统一使用EAP封装格式。也就是说：802.1x只是对认证进行控制，是接入认证的手段，具体认证还需要其它认证协议。在WLAN网络中，802.1x协议的框架需要以下三个逻辑实体来验证设备:802.1x认证1.请求端—该请求端驻留在在无线局域网客户端，也称为EAP客户端。2.认证端—认证端驻留在AP。3.认证服务器—认证服务器驻留在RADIUS服务器802.1x是一种基于端口的网络接入控制：是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于物理连接被断开。Page49802.1x是基于端口的网络接入控制协议,它Page50802.1x认证EAP的类型包括:802.1x认证框架能够使用以下任意EAP变种1.EAP-TLS–基于传输层安全的可扩展认证协议，是一种基于证书的认证方式，它是对用户端和认 证服务器端进行双向证书认证的认证方式2.EAP-FAST-基于隧道的灵活认证协议3.EAP-SIM–基于客户识别模块的可扩展认证协议4.CiscoLEAP–思科轻量级可扩展认证协议5.EAP-PEAP–受保护的扩展认证协议，是一种基于证书的认证方式，服务器侧采用证书认证，客 户端侧采用用户名密码认证6.EAP-MD5–基于MD5的扩展认证协议，最早的EAP认证类型。它是基于用户名，密码方式的认 证，认证过程与CHAP认证过程基本相同。7.EAP-OTP–基于一次性密码扩展认证协议8.EAP-TTLS–基于隧道传输层安全的扩展认证协议其中EAP-TLS是WLAN认证中常用的认证协议。Page50802.1x认证EAP的类型包括:Page51802.1x认证EAP-TLSEAP-TLS(ExtensibleAuthenticationProtocol–TransportLayerSecurity,可扩展认证协议-传送层安全）使用TLS(TransportLayerSecurity，传送层安全）协议，TLS是一种替代SSL(SecureSocketLayer，安全套接层）协议的IETF标准协议，TLS可以提供公共域上的安全通信和数据传送服务，并能防范窃听和报文篡改等攻击行为。EAP-TLS使用PKI,因而必须满足以下3方面需求：客户端必须获得证书，这样网络才能对其进行认证AAA服务器需要一个证书，这样客户端才能确认服务器的真实性CA(CertificationAuthority，证书认证机构）服务器必须为AAA服务器和客户端发放证书。EAP-TLS认证进程，无线客户端使用开放式认证与AP建立关联。在Radius服务器认证通过之前，AP会限制（或拒绝）除EAP流量之外的所有流量。Page51802.1x认证EAP-TLSEAP-TLSPage52基于EAP-TLS的802.1x认证接入过程

STAAPOpen-systemAuthenticationAssociationEAPOLstartEAPOL-Request/UserIdentityEAPOL-Response/UserIdentity服务器证书/公钥STA证书/用公钥加密的Masterkey认证成功4次握手Key协商加密数据报文RadiusServerUserIdentity服务器证书/公钥STA证书/用公钥加密的Masterkey认证成功/PMK验证服务器证书用公钥加密MasterKey生成PMK验证STA证书用私钥解密MasterKey生成PMKPMK一致性检查生成其他KeyPMK一致性检查生成其他Key1234589127101161314ACPage52基于EAP-TLS的802.1x认证接入过程Page53WLAN安全应用界面Page53WLAN安全应用界面Page54WLAN安全应用方式下面是WLAN常用的认证方式和加密方式，包括802.11标准，WPA标准定义的。无线客户端接入认证WLAN数据加密备注开放系统认证WEP、NONE开放系统认证仅作为认证，数据加密采用WEP或者采用明文方式，数据不加密共享密钥身份认证WEP共享密钥身份认证必须采用WEP加密算法WPAPSK认证WPATKIPWPA2AESWPA标准规定了认证方式和加密方式，规定了两种认证方式PSK和802.1x，所以WPAPSK认证方式时，加密方式是WPATKIP加密算法或者WPA2AES算法802.1xEAP认证WPATKIPWPA2AESWPA标准规定了两种认证方式PSK和802.1x，所以WPAPSK认证方式时，加密方式是WPATKIP或者WPA2AESPage54WLAN安全应用方式下面是WLAN常用的认证方Page55参考：WLAN安全配置界面(胖AP)（一）安全配置场景一：当AP上面的认证类型选择开放式系统，加密启用时，加密类型则对应为WEP.无线客户端侧的配置一致。

安全配置场景二：当AP上面的认证类型选择共享密钥，加密类型对应为WEP.无线客户端配置一致。认证方式加密方式认证方式加密方式Page55参考：WLAN安全配置界面(胖AP)（一）安全Page56参考：WLAN安全配置界面(胖AP)（二）安全应用场景三：当选择WPA，认证类型为802.1XEAP，加密类型为WPATKIP.此时无线客户端必需使用802.1x.加密类型配置一致。认证方式加密方式认证方式加密方式安全应用场景四：当选择WPA-PSK，认证类型为WPA-PSK，加密类型为TKIP.此时无线客户端配置一致。Page56参考：WLAN安全配置界面(胖AP)（二）安全Page57参考：WLAN安全配置界面(胖AP)（三）安全应用场景五：当选择WPA2,认证类型为

802.1xEAP，加密类型对应为AES.此时无线客户端配置一致。认证方式加密方式安全应用场景六：当选择WPA2PSK，认证类型为PSK,加密类型对应为AES.此时无线客户端配置一致。认证方式加密方式Page57参考：WLAN安全配置界面(胖AP)（三）安全Page58参考：WLAN安全配置界面(胖AP)（四）当类型选择WPA-WPA2-PSK混合，认证类型是PSK，加密类型对应为AES-TKIP.此时无线客户端配置一致。同理，当类型选择WPA-WPA2-混合，认证类型是802.1xEAP，加密类型为AES-TKIP.认证方式加密方式Page58参考：WLAN安全配置界面(胖AP)（四）当类Page59WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page59WLAN的总体技术发展Page60预配静态AC列表无AC列表瘦AP发现AC-流程图AP在成功加入连接一个AC前，将重复执行以下的AC发现流程。开始L2发现暂停选中AC加入连接找不到AC找不到AC选中AC重新开始发现过程L3发现Page60预配静态AC列表无AC列表瘦AP发现AC-流程Page61瘦AP发现AC-L2发现当AP启动时，它会发送一个DHCP发现数据包，以获取一个IP地址（是否必需？）AP广播一个以太网“discoveryrequest（发现请求）”帧AC收到该广播帧后，根据AP的MAC地址反馈“DiscoveryResponse(发现响应)”信息AP收到响应信息后就建立于AC的管理连接如果AP长时间（多长？）没有收到AC的响应，则将启动L3发现流程HuaweiAPHuaweiAC路由器L2交换机IP城域网广播L2LWAPP发现请求发回发现响应信息到AP的MAC地址建立与AC的连接，开始接受AC管理Page61瘦AP发现AC-L2发现当AP启动时，它会发送Page62瘦AP发现AC-L3发现1（预配置静态AC列表）当AP启动时，它会发送一个DHCP发现数据包，以获取一个IP地址AP可以在命令行预配置静态AC的IP地址列表，包括主AC和备ACAP发送L3LWAPP发现请求数据包到所有预配置的AC列表IP地址如果主AC有返回发现响应，则AP自动与该AC建立管理连接当只有备AC返回发现响应时，AP才与备AC建立管理连接如果没有收到任何AC的响应，则AP等候30秒后重新开始该发现流程HuaweiAPHuaweiAC1路由器L2交换机IP城域网L3LWAPP发现请求发回发现响应信息到AP的IP地址建立与主AC的连接，开始接受AC管理L2交换机DHCP服务器HuaweiAC2Page62瘦AP发现AC-L3发现1（预配置静态AC列表Page63瘦AP发现AC-L3发现2（自动获得ACIP地址）当AP启动时，它会发送一个DHCP发现数据包，以获取一个IP地址AP发送L3LWAPP发现请求数据包到：子网广播地址以获取本地AC的IPs上次连接的AC的IP从DHCP服务器通过Option43获得AC的IP地址列表从DNS服务器通过域名解析获得AC的IP地址列表根据上步的响应建立AC候选列表如果上次连接的AC有响应，则建立与之的连接否则，连接到AC候选列表中可用license最多的AC。HuaweiAPHuaweiAC1路由器L2交换机IP城域网L3LWAPP发现请求发回发现响应信息到AP的IP地址建立与AC的连接，开始接受AC管理L2交换机DHCP/DNS服务器HuaweiAC2ACIP地址列表Page63瘦AP发现AC-L3发现2（自动获得ACIPPage64WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page64WLAN的总体技术发展Page65漫游概念（一）802.11只提到漫游（roaming）这个字眼。但对实现过程没有作具体的规定，一般而言，多数人都认为漫游就是终端从一个AP转换到另一个AP即无线终端从一个BSS服务集移动接入到另外一个服务集的过程。如下图：便携机从AP1（BSS1）的位置向AP2(BSS2)移动，在业务不间断的情况下，接入到AP2。STAAP2AP1移动ESSSTAPage65漫游概念（一）802.11只提到漫游（roaPage66漫游概念（二）漫游过程完全是由无线客户端驱动程序（而不是AP）驱动的，无线客户端根据各种条件案确定漫游的时机。802.11标准没有解决这个问题，因此使用的漫游算法随着厂商而异。另外漫游算法通常使用的是“秘密配方”，因此无法知道精确的阈值和条件。由于不同客户端使用不同的阈值，因此在蜂窝的同一个位置，有些客户端可能尝试进行漫游，而有些不这样做。如图，客户端移动位置B附件时，在各种信道中发送802.11探针请求帧。AP2在信道6中收到探针请求后，通过在信道6中发送探针应答来进行响应。客户端收到探针应答后，对其进行评估，以确定同哪个AP关联最合适。现在客户端必须进行漫游，并切换关联。首先删除现有的关联，因为每个客户端不能同时与多个AP关联。客户端通过信道1（AP1使用的信道）向AP1发送802.11解除关联信息，然后客户端可以通过信道6向AP2发送关联请求，接下来AP2使用关联响应来做出应答。Page66漫游概念（二）漫游过程完全是由无线客户端驱动程Page67AssociationSTA通过Association和一个AP建立关联，后续的数据报文的收发只能和建立Association关系的AP进行ReassociationSTA在从一个老的AP移动到新AP时通过Reassociation和新AP建立关联，Reassociation前必须经历Authentication过程DeassociationSTA通过Deassociation和AP解除关联关系检测到NewAP信号强Reassociation请求(oldAPaddress)DeassociationReassociation应答漫游概念（三）STAOldAPNewAP切换过程：Page67Association检测到NewReassoPage68WLAN漫游的分类二层漫游在同一个子网内的AP间漫游三层漫游在不同子网内的AP间漫游，目前我司（WS6001/6002）还没有实现。VLAN1IP:VLAN1APAPVLAN1L2网络STA移动二层漫游VLAN1IP:VLAN1APAPVLAN2L3网络STA移动三层漫游Page68WLAN漫游的分类二层漫游VLAN1VLAN1Page69同一个AC下不同AP间漫游华为无线漫游解决方案支持同一AC下AP之间，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。同一AC下用户漫游原理图IPnetworkACIntra-ACroamingAssociationIntra-ACroamassociationAP1AP2SSID：HuaweiSSID：Huawei需要注意：AP1和AP2提供的蜂窝都使用SSIDHuawei，这让客户端能够在他们之间漫游AP1和AP2连接的是同一个控制器AC这种漫游很简单，因为控制器AC只需更新其表，以便使用连接到AP2的LWAPP隧道、来找到客户端即可。在控制器内，很容易、将旧关联缓存的数据移交给新关联。Page69同一个AC下不同AP间漫游华为无线漫游解决方案Page70快速漫游技术－KeyCachingKeycaching过程：STA第一次接入时（接入OldAP）采用正常的802.1x认证过程认证通过后STA把使用的PMK信息保存在Cache中STA向NewAP发起Reassociation时协商使用PMKCache方式做认证STA利用在Cache中保存的在OldAP中使用的PMK和NewAP发起4次握手协商过程协商成功，STA开始传送数据报文STAAPPMKCacheXXXXXXXNewAPOldAPSTA1PMKCacheXXXXXXXSTA1PMKCacheXXXXXXXSTA在切换AP以后不必在进行烦琐的802.1x认证和Key交换，加快了切换速度Page70快速漫游技术－KeyCachingKeycPage71WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page71WLAN的总体技术发展Page72对于华为WLAN产品而言，这一领域包括两个方面：在AP与无线客户端之间支持负载均衡的机制，目前做到基于用户数目的负载均衡。目前的WS6002和WS6001不支持备份方式。华为WLAN产品负载均衡和冗余备份支撑特性Page72对于华为WLAN产品而言，这一领域包括两个方面Page73负载均衡的目的是，通过增加覆盖同一区域的AP数量来提高密集用户区域的用户的带宽性能。华为FITAP的负载均衡是按照用户数量，即设置一定的用户数量阈值，当超过阈值时，负载均衡开始生效，将用户分配到同一组的负载不同AP上的。华为FITAP之间的负载均衡Page73负载均衡的目的是，通过增加覆盖同一区域的AP数Page74WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page74WLAN的总体技术发展Page75WLAN无线QOSAP调度模式优先级队列1优先级队列2优先级队列3优先级队列4BusyFrameTimeAIFS4CW4AIFS3CW3FrameAIFS2CW2FrameAIFS1CW1FrameAP支持WMM定义的8个业务优先级报文标记，可被映射到4个输出队列；高优先级的报文通过设置较短的IFS和Contentionwindow来优先获取无线空口的访问能力；WMM（Wi-FiMultimedia）提供对时间敏感的应用如语音和数据的QoS能力，属于802.11e。Page75WLAN无线QOSAP调度模式优先级队列1优先Page76目前我司的WLAN产品做到基于整体SSID的限速。WLAN的用户带宽限制Page76目前我司的WLAN产品做到基于整体SSID的限Page77WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page77WLAN的总体技术发展Page78瘦AP的组网方案瘦AP的组网方案，归纳起来有六种：AC位于城域网，BRAS之上AC旁挂于BRASAC集成于BRASAC旁挂于汇聚交换机AC替代汇聚交换机AC位于汇聚交换机下其中对于WS6002，建议采用第四种组网方式，AC旁挂于汇聚交换机,对于自研的AC，推荐第三种组网方式，AC集成与BRAS.Page78瘦AP的组网方案瘦AP的组网方案，归纳起来有六Page79瘦AP的组网方案–AC位于城域网数据通道

AP配置通道

AC配置通道FITAP用户层接入层/城域以太本地城域网FITAPAC城域网业务管理层运营商网管BRAS汇聚交换机特点：在这种组网模式下，AC位于本地城域网，整个城域网AP共同AC，AP与AC之间三层组网。BRAS启动DHCPserver或者DCHPRelay至AC，给AP分配IP地址。AP通过DHCPoption43或DNS的方式发现AC（全城所有BRAS都要配置到AC的路由，并部署DHCPoption43等功能）。3.这种组网模式适合于WLAN部署初期，AP热点非常分散，数量不多，希望AC集中部署，减少设备投资，简化维护的场景。优点：快速部署，无须对BRAS和BRAS之下的网络进行改造缺点：此场景一般要求数据流独立转发模式，若采用AC集中转发则数据流会有很大的迂回。而作为数据流独立转发时，不支持无线客户端漫游切换。此种方式只适用于建网初期，随着AP规模部署后，该种组网方式很少场合适用Page79瘦AP的组网方案–AC位于城域网数据通道Page80瘦AP的组网方案–AC旁挂于BRASFITAPFITAPAC城域网运营商网管BRAS汇聚交换机用户层接入层/城域以太本地城域网业务管理层数据通道

AP配置通道

AC配置通道特点：在这种组网模式下，AC位于BRAS侧，AP与AC之间三层组网。要求城域网中每台BRAS旁挂一台AC，BRAS管辖区域内的瘦AP都有旁挂的AC管理，BRAS要预留与AC连接的端口，BRAS启动DHCPserver或者DHCPRelay至AC，给AP分配IP地址。AP通过DHCPoption43或DNS的方式发现AC.3.这种组网模式适合于AC部署相对集中，适用于AP部署比较分散（例如全城热点部署）的情况。优点：相比城域骨干部署方式，AC管理AP的区域范畴缩小，支撑相对密集的AP快速部署，无须对BRAS之下的网络进行改造缺点：此场景一般要求数据流独立转发模式，若采用AC集中转发则会导致流量瓶颈和网络带宽浪费。而作为数据流独立转发时，不支持无线客户端漫游切换。采用集中转发模式，存在流量瓶颈和带宽的限制，不适宜支撑非常密集的AP部署Page80瘦AP的组网方案–AC旁挂于BRASFITPage81瘦AP的组网方案–AC集成于BRAS特点：在这种组网模式下，AC集成在BRAS内，AP与AC之间二层组网。BRAS管辖区域内的瘦AP都由集成的AC管理，BRAS启动DHCPserver功能，给AP分配IP地址。AP通过DHCPoption43或DNS的方式或二层发现协议发现AC.FITAPFITAP城域网运营商网管BRAS集成AC汇聚交换机用户层接入层/城域以太本地城域网业务管理层数据通道

AP配置通道

AC配置通道在电信级BRAS（ME60）上提供AC功能，共享ME60成熟、高可靠硬件平台，提供强大的业务处理能力。彻底克服基于传统以太网交换机的AC的性能和业务能力瓶颈。同时满足AC集中转发型组网、AP本地转发组网的要求。为WLAN与固定宽带、3G网络融合打下基础。AC模块以太网交换机AC功能电信级BRAS既可作为独立的电信级、大容量AC，又支持将BRAS和AC功能合一，满足不同应用场景需求！Page81瘦AP的组网方案–AC集成于BRAS特点：FPage82瘦AP的组网方案–AC旁挂于汇聚交换机FITAPFITAPAC城域网运营商网管BRAS汇聚交换机用户层接入层/城域以太本地城域网业务管理层数据通道

AP配置通道

AC配置通道特点：在这种组网模式下，AC位于汇聚LSW，AP与AC之间二层组网。BRAS管辖区域内的汇聚LSW都有旁挂的AC管理，AC启动DHCPserver功能，给AP分配IP地址。AP通过DHCPoption43或DNS的方式或二层发现协议发现AC.3.这种组网模式数据可以支持集中转发，但存在数据迂回。优点：如果BAS厂家没有集成AC的功能，而又希望建设大规模集中的WLAN网络，无需改动汇聚交换机。缺点：数据存在迂回。建设成本高于BAS集成AC方案。当前我司AC主要采用此组网方式Page82瘦AP的组网方案–AC旁挂于汇聚交换机FITPage83瘦AP的组网方案–AC替代汇聚交换机FITAPFITAPAC城域网运营商网管BRAS用户层接入层/城域以太本地城域网业务管理层数据通道

AP配置通道

AC配置通道特点：在这种组网模式下，AC具有很强的转发能力，能胜任汇聚层功能。AP与AC之间二层组网。AC启动DHCPserver功能，给AP分配IP地址。AP通过DHCPoption43或DNS的方式或二层发现协议发现AC.3.这种组网模式数据可以支持集中转发，没有瓶颈。优点：如果BAS厂家没有集成AC的功能，而又希望建设大规模集中的WLAN网络，可以直接用AC替代汇聚交换机，新建成本较低。缺点：如果现有网络比较成熟，需要替换整改。建设成本仍然高于BAS集成AC方案。Page83瘦AP的组网方案–AC替代汇聚交换机FITPage84瘦AP的组网方案–AC位于汇聚交换机下特点：AP与AC之间二层组网，BRAS启动DHCPserver功能，给AP分配IP地址。AP通过二层发现协议发现ACAC集中管理少量规模AP，对AC性能要求不高，可以采用基于LSW架构的AC，低CAPEX，快速部署数据转发模式可采用集中转发或者独立转发模式数据通道

AP配置通道

AC配置通道用户层接入层/城域以太本地城域网业务管理层FITAPFITAPAC城域网BAS汇聚交换机运营商网管比较适合校园网、企业网等AP部署区域相对集中，且相对独立的组网应用。AC数量多，管理不便。Page84瘦AP的组网方案–AC位于汇聚交换机下特点：Page85AC组网—数据AC集中转发HuaweiAPHuaweiAP汇聚交换机L2交换机HuaweiBRAS集成AC核心路由器IP城域网VLAN：800VLAN：800VLAN：800VLAN：800内层业务VLAN:101隧道VLAN:800内层业务VLAN:102隧道VLAN:800数据VLAN:101数据VLAN:102管理VLAN:800+TVLAN800APBRAS&ACL2SWSWAP上电AC管理APUNTAG+TVLAN800内层SVLAN101、102STAWLAN业务+TVLAN800BRAS&ACBRAS&AC后续我司BRAS化AC主要采用此组网方式Page85AC组网—数据AC集中转发HuaweiAPPage86AC组网—数据AP本地转发HuaweiAPHuaweiAP汇聚交换机L2交换机HuaweiACBRASIP城域网VLAN：800VLAN：800VLAN：800VLAN：800数据VLAN:101管理VLAN:800数据VLAN:102管理VLAN:800管理VLAN:800数据VLAN:101数据VLAN:102STASTA+TVLAN800APACL2SWSWAP上电AC管理APUNTAG+TVLAN800+SVLAN101、102ACBRASSTAWLAN业务当前我司AC主要采用此组网方式Page86AC组网—数据AP本地转发HuaweiAPPage87VLAN的部署建议在上述的六种组网场景下，可以根据业务的部署需要灵活地部署VLAN方案，华为的组网方案支撑1:1/1:N/N:1/N:N多种的VLAN部署方式。SSID:VLAN=1:1部署：例如对上海黄浦区“南京路步行街”和“黄埔公园”进行WLAN覆盖，都是中