版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
目录WLAN组件介绍1WLAN网络架构分析2WLAN安全技术
3WLAN网管监控知识4目录WLAN相关性能统计指标监控
5WLAN设备日常值班监控方法
6
7WLAN热点告警分析和告警处理WLAN故障处理的思路和方法
8WLAN测试工具使用方法
9第一部分
WLAN组网产品介绍WLAN基本产品无线上网卡WLAN组网产品无线控制器ACPOE无线交换机APWLAN产品讲义AC无线控制器(ACconsle),主要用于搭配瘦AP构建无线网络。具有管理AP的功能,可以为AP下发模板配置,规划AP的信道、功率等。AP无线接入点(ACCESSPoint)主要和AC关联,放出SSID信号为用户提供无线接入访问POE具有POE模块的供电交换机,可以为AP提供电源,也可以实现普通交换机的所有数据功能京信AC2400,F512简介AC2400,F512前面板简要图如下二层接口,默认属于vlan1,IP地址是192.168.0.1。三层接口(电口)三层接口(光口)注意:1.默认二层口数据走交换芯片转发,可以给VLAN接口启用高级路由模式使数据经过CPU转发。2.三层电口和光口默认为三层接口,数据默认走CPU转发。3.三层电口和光口为互斥接口。AC2400,F1024前面板简要图如下主控板主控板10/100/1000M自适应电口控板1000M光口控制台接口四个业务插槽双电源插口模块,可选交流(220V)直流(-48V)京信AC2400,F1024简介AP(无线接入点产品)AP2600-I双频室内系列AP2600-O双频室外系列AP2400-O单频室外系列AP2400-I单频室内系列室内版室外版AP2x00-I【新外观】AP与无线网络产品京信802.11n产品概述AP2400/AP2600系列无线接入点产品特点采用高性能处理器高吞吐量及强劲的负载能力支持胖瘦AP模式转换支持802.11n,向下兼容802.11a/b/g搭配不同网卡,支持不同无线模式1×1/2×2天线配置10/100/1000M自适应以太网支持802.3af/802.3atPoE规范
基站外置天线支持四个扇区天线射频电缆接口每个扇区2个N型接口水平束宽(3dB)每个扇区70°覆盖规划4扇区360°覆盖天线增益14dBi(Max.)重量7.8kg(基站+天线)天线尺寸670×112×65mm下倾角±20°/Max.±30°示意图安装图基本参数京信四扇区智能天线基站基站外置天线多波束天线阵列射频电缆接口8个N型接口水平束宽(3dB)每个阵列75°覆盖规划单车列100°覆盖天线增益19dBi(Max.)重量7.8kg尺寸878×385×104mm下倾角14°示意图安装图基本参数京信单扇区智能天线基站京信交换机系列标准配置24个10/100MRJ-45MDI/MDI-X自适应口4个千兆光电复用口1个Console口内存容量32MB背板带宽32Gbps功率最大400W,其中系统功耗30W,POE对外供电功率370WComba24口POE交换机京信交换机系列Comba8口POE交换机标准配置8口百兆+1口千兆全网管以太网交换机(1个CONSOLE口,8个10/100M以太网电口,1个千兆光电复用口,支持POE供电)内存容量32MB交换能力8Gbps第三部分
WLAN网络架构分析组网方式瘦AP在AC上注册流程瘦AP为零配置,必须在AC上注册,从AC获得配置后才可以工作瘦AP在AC注册有两种情况:瘦AP与AC直连和二层组网注册流程手动指定AC地址广播发现AC地址
DHCP的option43属性获取AC的地址
DNS解析获取AC的地址瘦AP与AC三层网络连接注册流程手动指定AC地址
DHCP的option43属性获取AC的地址
DNS解析获取AC的地址注册流程方式优先级的对比瘦AP与AC直连和二层组网注册流程1.获取ip地址2.二层广播发现请求3.AC回复AP的请求响应4.配置下发5.数据传递DHCPserverAPAC广播发现AP通过DHCPserver获取IP地址
AP二层广播,寻找AC
AC回应AP寻求
AP从AC获取正确的配置
AP正常工作,和AC交互数据瘦AP与AC直连和二层组网注册流程瘦AP与AC三层组网注册流程—option43方式1.获取ip地址,option属性带有AC地址2.AP单播发现请求3.AC回复AP的请求响应4.配置下发5.数据传递DHCPserverAPAP通过DHCPserver获取IP地址,option43属性携带AC的IP地址
AP从option43属性中获取AC的地址,然后向AC发单播请求
AC接到请求后响应AP的请求
AP从AC获取正确的配置
AP正常工作,和AC交互数据瘦AP与AC三层组网注册流程—option43方式瘦AP与AC三层组网注册流程—option43方式数据转发架构——本地转发利用瘦AP本地转发方式进行大规模组网,可以完全代替目前主要采用的集中转发方式,在本地转发方式下,网管、安全、漫游、QOS、负载均衡、流控、二层隔离等功能还是由AC统一控制,再由AP具体实施;只是业务数据不通过隧道传送到AC,再经由AC解封后统一转发,而是由AP本地转发。AC采用旁挂的方式,用户的流量无需经过AC。此组网方式的优势主要体现在,将业务数据转发任务分散到AP,降低AC压力,轻松应对带宽挑战,彻底解决AC瓶颈问题,提高网络整体吞吐率,顺利迎接11n时代本地转发数据流向图,业务数据经过AC进行处理,一般由局方的bras分配IP地址、认证等业务处理数据转发架构——本地转发集中转发组网,AP和AC之间单独建立一条隧道传输数据业务,所有的数据业务都通过AC转发出去,所以AC的负荷比较大。集中转发所有的数据包都要走隧道,所以对链路的带宽要求较高,并且对AC接口的带宽要求也较高。由于集中转发的数据包要封装到隧道里再转发走,所以对AP的CPU消耗比本地转发更大。由于对带宽要求较高,所以集中转发的AC可管理的AP数量也会受到一定限制。这样对于规模较大的网络通常有热备份的要求,会增加成本。此外,当隧道转发出现不通或者丢包现象时,查找网络故障难度比本地转发高。集中转发的优点是对于现网改动较小。数据转发架构——集中转发集中转发数据流向图,业务数数据封装在AP与AC建立的隧道链路上由AC进行统一的解封装进行处理及数据转发.数据转发架构——集中转发本地转发和集中转发对比列表本地转发集中转发AC位置一般旁挂BAS上,也可做BAS一般做BASAC性能压力低高AP性能压力低略高业务隔离、热点区分需要把无线用户和有线用户统一考虑从接入层开始的转发路径规划,一般跟AC对AP的管理路径是分离的。无线用户从AP到AC的转发路径跟AC对AP的管理路径一致无线加解密AP完成,老AP无法支持新加密类型,另一方面能充分利用AP的加解密引擎提高网络整体吞吐率AP或AC完成,可以支持功能较弱的AP,另一方面对AC的加解密能力要求提高,性能压力较大整体网络性能高低PORTAL的概念Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。通常用来提供个性化、单次登录、聚集各个信息源的内容,并作为信息系统表现层的宿主。未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源1*1备份介绍AC主AC备APCMNET心跳线VRRP:1*1采用VRRP虚拟路由冗余协议,当主AC出现故障的时候,备AC通过心跳线的检测,取代主AC的地位工作。具有反应快、用户无感知等优势产生背景在传统的组网环境中,用户只要能接入局域网设备,就可以访问网络中的设备或资源,为加强网络资源的安全控制和运营管理,很多情况下需要对用户的访问进行控制。例如,在一些公共场合、小区或公司的网络接入点,提供接入服务的供应商希望只允许付费的合法用户接入,所以供应商为每个用户提供一个接入网络的账号和密码。另外,一些企业会提供一些内部关键资源给外部用户访问,并且希望经过有效认证的用户才可以访问这些资源。技术优点不需要部署客户端,直接使用WEB页面认证,使用方便;可以基于VLAN/SSID/WTPid粒度级别的个性化认证页面,同时可以在Portal页面上开展广告业务、服务选择和信息发布等内容,进行业务拓展,实现IP网络的运营;并采用Portalserver和Portalclient之间,BAS和Portalclient之间定期发送握手报文的方式来进行断网检测;可以跨越网络层对用户作认证,可以在企业网络出口或关键数据的入口作访问控制;详细认证流程图Portal交互过程分析1、用户访问网站,经过AC重定向到PortalServer;2、Portalserver推送统一的认证页面;3、用户填入用户名、密码,提交页面,向PortalServer发起连接请求4、Portal向Radius发出用户信息查询请求,由Radius验证用户密码、查询用户信息,并向Portal返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息;5、如果查询失败,Portal结束认证流程,并直接返回提示信息给用户,指导用户开户及正确使用Portal交互过程分析6、如果查询成功,PortalServer向AC请求Challenge;7、AC分配Challenge给PortalServer;8、PortalServer向AC发起认证请求;Portal交互过程分析Challenge报文分析注意:如果抓包没有收到challenge报文,则需要portalsevver查明原因Portal交互过程分析Radius认证计费过程分析9、AC携带用户名和密码发起认证请求;10、radius返回认证结果;11、在次发起计费请求;12、radius回应计费请求;Radish报文分析:access-requestRadius认证计费过程分析Radish报文分析:access-acceptRadius认证计费过程分析Radish报文分析:access-reject(拒绝报文)注意:如果收到此种报文,需由radius端给出说明Radius认证计费过程分析Radish报文分析:accounting-requestRadius认证计费过程分析Radish报文分析:accounting-responseRadius认证计费过程分析13、AC向PortalServer送认证结果14、PortalServer根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户,同时启动正计时提醒15、PortalServer回应确认收到认证结果的报文Radius认证计费过程分析用户下线过程分析下线过程分为三种情况:1、主动发起下线请求(即点击下线按钮)2、强制显现流程(即直接关闭portal页面)3、异常下线流程(AC自己侦测到用户下线)主动下线过程:(1)用户发起下线请求到PortalServer;(2)PortalServer向AC请求下线;(3)AC回应PortalServer下线请求;(4)PortalServer推送下线结果页面给用户用户下线过程分析强制下线过程:(1)AC侦测到用户的本次连接最大允许接入时间结束,向PortalServer请求下线;(2)PortalServer回应下线成功,并向用户推送下线结果页面。用户下线过程分析异常下线过程:(1)AC侦测到用户下线,向PortalServer请求下线;(2)PortalServer回应下线成功;用户下线过程分析用户下线停止计费报文分析:用户下线过程分析以上过程为中国移动wlan业务portal协议规范。第四部分
WLAN安全技术
无线局域网的安全问题一、存在的威胁由无线局域网的传输介质的特殊性,使得信息在传输过程中具有更多的不确定性,受到影响更大,主要表现在:窃听。任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听,但是发送者和预期的接收者无法知道传输是否被窃听,且无法检测窃听。修改替换。在无线局域网中,较强节点可以屏蔽较弱节点,用自已的数据取代,甚至会代替其他节点作出反应。传递信任。当公司网络包括一部分无线局域网时,就会为攻击者提供一个不需要物理安装的接口用于网络入侵。因此,参与通信的双方都应该能相互认证。无线网络面临的安全问题基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软件臭虫、错误配置、硬件故障等。但是针对这种攻击进行的保护几乎是不可能的,所能做的就是尽可能地降低破坏所造成的损失。拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击,攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行,从而导致正常的用户无法使用网络。置信攻击。通常情况下,攻击者可以将自己伪造成基站。当攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录到他的网络,通过分析窃取密钥和口令,以便发动针对性的攻击。无线局域网安全技术1.物理地址过滤每个无线工作站的网卡都有唯一的物理地址,应用媒体访问控制(MAC)技术,可在无线局域网的每一个AP设置一个许可接入的用户的MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。但媒体访问控制只适合于小型网络规模。这是因为:MAC地址在网上是明码模式传送,只要监听网络便可从中截取或盗用该MAC地址,进而伪装使用者潜入企业或组织内部偷取机密资料。部分无线网卡允许通过软件来更改其MAC地址,可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址,因此可通过访问控制的检查而获取访问受保护网络的权限。媒体访问控制属于硬件认证,而不是用户认证。无线局域网安全技术2.有线对等保密有线等效保密(WEP)是常见的资料加密措施,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。在链路层采用RC4对称加密技术,当用户的加密密钥与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP的工作原理是通过一组40位或128位的密钥作为认证口令,当WEP功能启动时,每台工作站都使用这个密钥,将准备传输的资料加密运算形成新的资料,并透过无线电波传送,另一工作站在接收到资料时,也利用同一组密钥来确认资料并做解码动作,以获得原始资料。无线局域网安全技术WEP目的是向无线局域网提供与有线网络相同级别的安全保护,它用于保障无线通信信号的安全,即保密性和完整性。但WEP提供了40位长度的密钥机制存在许多缺陷,表现在:40位的密钥现在很容易破解。密钥是手工输入与维护,更换密钥费时和困难,密钥通常长时间使用而很少更换,若一个用户丢失密钥,则将危及到整个网络。WEP标准支持每个信息包的加密功能,但不支持对每个信息包的验证。现在针对WEP的不足之处,对WEP加以扩展,提出了动态安全链路技术(DSL)。DSL采用了128位动态分配的密钥,每一个会话都自动生成一把密钥,并且在同一个会话期间,对于每256个数据包,密钥将自动改变一次。
无线局域网安全技术3.Wi-Fi保护接入Wi-Fi保护性接入(WPA)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。WPA标准采用了TKIP、EAP和802.1X等技术,在保持Wi-Fi认证产品硬件可用性的基础上,解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。无线网络的安全技术4.国家标准WAPI国家标准WAPI(WAPI),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。WAPI的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。另外,它充分考虑了市场应用,从应用模式上可分为单点式和集中式。采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状,从而根本上解决安全和兼容性问题。无线网络的安全技术5.端口访问控制技术端口访问控制技术(802.1x)是由IEEE定义的,用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权,可以用于局域网,也可以用于城域网。802.1x引入了PPP协议定义的扩展认证协议EAP。EAP采用更多的认证机制,如MD5、一次性口令等等,从而提供更高级别的安全。802.1x是运行在无线网设备关联,其认证层次包括两方面:客户端到认证端,认证端到认证服务器。802.1x定义客户端到认证端采用EAPoverLAN协议,认证端到认证服务器采用EAPoverRADIUS协议。无线网络的安全技术802.1x要求无线工作站安装802.1x客户端软件,无线访问站点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。但是802.1x采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中可能泄漏、丢失,存在很大安全隐患。加上无线接入点AP与RADIUS服务器之间用于认认证的共享密钥是静态的,且是手工管理,也存在一定的安全隐患。无线网络的安全技术7.虚拟专用网络虚拟专用网络(VPN,VirtualPrivateNetwork)指使用互联网连接物理上分散的系统来模拟单一专用网的安全方式,通过隧道和加密技术保证专用数据的网络安全性。保护内部网免遭公共互联网攻击的技术是VPN防火墙。同样无线LAN,也可以采用该安全框架,即安装两道防火墙:一个作为进入内部网的网关,另一个处于无线LAN和内部网之间,无线防火墙只允VPN通信,如图8.22所示。无线用户可以向无线基础设施认证自己。实际上,把无线网络和有线网络隔离,只允许VPN通信经过,是利用了缓冲区的办法来增强网络安全性。此外,基于IPsec的VPN技术采用的IP层加密协议,可以防止通信被窃听。无线网络的安全技术
无线虚拟专用网安全框架无线网络的安全技术VPN可以替代无线对等加密解决方案和物理地址过滤解决方案,也可以与WEP协议互补使用。但是VPN技术应用于无线网络也有其局限性,具体表现在:运行脆弱。因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是很常见的。吞吐量小。在一个VPN网络里进行的任何交换必须经过一个VPN服务器,一台典型的VPN服务器能够达到30-50Mbps的数据吞吐量。通用性差。VPN技术在国内、甚至在国际上没有一个统一的开发标准。扩展性差。改变一个VPN网络的拓扑结构或内容,用户将不得不重新规划并进行网络配置。成本高。上述3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另外,VPN产品价格就很高。第五部分
WLAN网管监控知识Snmp介绍SNMP(SimpleNetworkManagedProtocol)是简单网络管理协议的简称,首先是由工程任务组织IETF研究小组为了解决Internet上的路由管理问题而提出的,属于应用层协议。由于其简单易用,是事实上的网络管理工业标准。目前有SNMPv1、SNMPv2、SNMPv3三种正式版本SNMP网络管理模型SNMP网络管理模型有4个组成部分:被管理节点(ManagementNode):运行SNMP代理程序(SNMPagent),维护一个本地数据库,描述节点的状态和历史,并影响节点的运行管理站(ManagementStation):运行专门的网络管理软件(manager),使用管理协议与被管理节点上的SNMP代理通信,维护管理信息库管理信息库(ManagementInformationBase):每个站点使用一个或多个变量描述自己的状态,这些变量称为“对象(objects)”,所有的对象组成管理信息库MIB(ManagementInformationBase)管理协议(ManagementProtocol):管理协议用于管理工作站查询和修改被管理节点的状态,被管理节点可以使用管理协议向管理站点产生“陷阱(trap)”报告SNMP处理流程
SNMP管理协议的5种消息类型(1)get–request
操作:从代理进程处提取一个或多个参数值。(2)get-next-request
操作:从代理进程处提取一个或多个参数的下一个参数值。(3)set-request
操作:设置代理进程的一个或多个参数值。(4)get-response
操作:返回的一个或多个参数值。这个操作是由代理进程发出的。它是前面3中操作的响应操作。(5)trap
操作:代理进程主动发出的报文,通知管理进程有某些事情发生。SNMP消息类型SNMP配置登陆ac的web页面,点击snmp默认snmp和trap关闭缓存周期是发给snmp服务器的数据,在周期内不会改变。摘要信息共同体信息默认共同体public为读,匹配所有地址默认共同体private为读写,匹配所有地址注:可以添加、删除和修改共同体,以精确匹配条件。添加TRAP告警服务器第六部分
WLAN相关性能统计指标监控
性能参数类别系统性能统计连接信息统计接口性能统计SSID性能统计终端性能统计WAPI性能统计QoS性能统计WLAN性能统计WLAN性能统计指标参数(名/组)说明AC在线用户数当前连接到AC的AP数量CPU利用率有平均、实时值之分,目前用的是平均,可选的还有峰值内存利用率有平均、实时值之分,目前用的是平均,可选的还有峰值认证请求数/认证成功数DHCP请求次数/DHCP请求成功数集团要求按AC提供,广东移动要求每个DHCP地址池都提供接口性能统计核心是各接口的发送/接口字节数,广东移动要求的有:端口接收单播包数端口接收非单播包数端口接收的总字节数端口丢弃接收到的包数端口接收到的错误包数端口发送单播包数端口发送非单播包数端口发送的总字节数端口丢弃要发送的包数端口发送错误的包数端口updown次数WLAN性能统计指标参数(名/组)说明AP关联用户数AP在线用户数用户异常掉线的总次数CPU利用率有平均、实时值之分,目前用的是平均,可选的还有峰值内存利用率有平均、实时值之分,目前用的是平均,可选的还有峰值关联总次数/关联失败总次数认证请求数/认证成功数AC和AP上都有过要求,移动集团提的是AC上的AP有线接口性能统计主要包括:端口发送/接收的总字节数端口发送/接收的数据字节数(总字节和数据字节数差异较大)AP无线接口性能统计主要包括:端口发送/接收的总字节数端口发送/接收的数据字节数(总字节和数据字节数差异较大)终端信息应包括各AP上关联终端的相关信息,主要包括:终端的MAC地址终端连接时长AP接收到的终端的当前信号强度发送到终端的总包数发送到终端的总字节数从终端收到的总包数从终端收到的总字节数用户信息应包括各AP上在线用户的相关信息,主要包括:用户的MAC地址用户的IP地址用户登录账号用户上线时间用户在线时长性能计算方法--非直观参数像网元名称、信道号等参数都比较直观,从设备上查询到的值很容易明白。但有不少参数需要结合MIB库中的描述或设备厂家提供的说明、或者要对一段时间的数据进行计算才能得到有意义的显示值。非直观参数的值如何让人明白,这是网管软件通常做的事情。对于网管接口测试时,一定要明白这些基本的转换或计算方法。性能计算方法--非直观参数结合单位来理解如“实时采集周期”查询到的值为5,需要知道其单位是秒还是分钟。有的参数如“在线时长”的单位还用1/100秒(即SNMP中的TimeTicks数据类型)表示结合值含义对照表来理解如“接口当前状态”查询到的值为1,就需要知道1表示“up”还是表示“down”。当然如果利用已编译好完整MIB库的MIB浏览器软件来查询,结果一般都能把原始数字和英文含义反映出来。性能计算方法--非直观参数对不同时间段取到的计数器值求差值对于性能统计参数,有些可以表示瞬时状态,如“当前关联的终端数”、“当前在线用户数”。但有不少参数无法用瞬时值表示,只能采取计数器的形式来表示,每次有变化就进行累加,如“端口发送字节数”、“用户认证次数”、“终端关联次数”、“DHCP请求成功数”等。对这些计数值就要从一个时间段来观察其变化情况,如求AP无线端口5分钟内的发送数据字节数(也即下载流量),就应该在5分钟开始和结束两个时间点采集到“AP无线端口发送数据字节数”后,对两者求差值。
由于计数器存在数值归零和越界的情况,这也是各厂家设备常常处理不好的问题,容易造成网管上统计出错。性能计算方法--AC每小时流量计算AC的上行流量(AC的WAN口当前流出字节数-AC的WAN口1小时前流出字节数)AC的下行流量(AC的WAN口当前流入字节数-AC的WAN口1小时前流入字节数)AC的上行峰值流速前1小时内每5分钟取一次AC的WAN口流出字节数,计算出每5分钟的流速,最后从12个点中取最大的值AC的下行峰值流速前1小时内每5分钟取一次AC的WAN口流入字节数,计算出每5分钟的流速,最后从12个点中取最大的值性能计算方法--AP每小时流量计算AP的上行流量(AP的无线口当前流入字节数-AP的无线口1小时前流入字节数)AP的下行流量(AP的无线口当前流出字节数-AP的无线口1小时前流出字节数)AP的上行峰值流速前1小时内每5分钟取一次AP的无线口流入字节数,计算出每5分钟的流速,最后从12个点中取最大的值AP的下行峰值流速前1小时内每5分钟取一次AP的无线口流出字节数,计算出每5分钟的流速,最后从12个点中取最大的值热点的流量将热点中所有AP的流量相加性能计算方法--AP关联成功率计算
“AP关联成功率”设备上一般不直接提供,成功率需要结合一段时间才能计算得出来,需要在网管上处理。设备上提供“关联失败总次数”和“关联总次数”,两者都是计数器类型参数。这样前一小时的AP关联成功率计算公式为:(AP当前关联失败总次数-AP1小时前关联失败总次数)/(AP当前关联总次数-AP1小时前关联总次数)×100%通常情况下,像关联次数这种核心性能数据,一般网管上的采集频率比较高,可以每5分钟采集一次。这样计算前一小时的AP关联成功率可以对前一小时每5分钟求关联成功率,最后对12项成功率数值求平均,得到一小时的平均关联成功率。第七部分
WLAN设备日常值班监控方法
WLAN维护管理概述WLAN故障分类WLAN维护管理的基本任务保证设备的完好,设备的电气性能、机械性能、维护技术指标及各项服务指标符合标准。搞好全网的协作配合,迅速准确地排除各种通信故障,保证全网的运行质量。确保网络层的可靠性,完善组网结构,设置合理的备用路由和备份方式。做好业务层的维护和网间配合工作,实现业务的可靠性。搞好网络优化,提高通信质量。做好网络安全的管理。负责新设备、扩容设备的入网质量把关。保证设备清洁,机房环境条件良好。建立健全必要的系统技术资料和维护资料的档案。WLAN维护职责认真贯彻执行有关维护管理的各项管理制度、维护规程和安全措施,完成各项通信任务和质量指标。组织制定维护作业计划,定期检查和分析设备、网络及系统的运行情况,保证设备完好,系统运行正常。负责本地AP、AC及辅助设备的现场维护。监视AP、AC及辅助设备的各种告警,发现问题积极与相关部门和厂家联系,完成本地故障的检查、定位、测试和修复工作,并积极向各省(区、市)公司网络部门报告设备情况,事后认真总结,制定防范措施。负责处理WLAN系统与本地数据网节点的故障,定期检查WLAN系统与本地数据节点间网络连通性,主动和相关部门协调排除故障。负责WLAN系统软硬件版本管理及关键数据的备份,包括:设备软硬件版本升级、软硬件技术资料的管理、系统数据库、文件系统的备份等。负责受理本地业务部门的申告,并及时处理。负责上报现场维护质量统计报表和数据统计报表。具体维护测试项目序号测试范围测试项目测试周期备注1机房环境机房空调、温湿度检查及记录日
2系统状态硬件系统检查日3AP的监控网管到AP可达性监控日
4AP工作状态的监控日5AP到AC可达性的监控日6AP覆盖区域信噪比月7AP覆盖区域场强测试月8AC的监控
网管到AC的可达性监控日9AC工作状态的监控日10AC到认证服务系统的可达性监控日11AC工作进程的状态监控日12AC工作端口的状态监控日13定期察看系统日志日14其它相关系统监控其它相关系统可用性测试日15性能分析忙时接入响应分析日
16其它
传输资料的检查核对月
17设备清洁、除尘月
18定期修改设备密码季
19备品备件的清理核对季
具体维护测试项目(续)WLAN维护管理概述
WLAN故障分类WLAN故障分类凡线路在承担业务期间,不论何种原因造成中断或质量降低至用户反映无法使用,称线路故障。凡介入通信的主备用设备,在规定的运行时间内不能正常运行者,称设备故障。由于管理、联系或操作错误等原因造成通信故障或不良后果的为人为故障。由于WLAN系统服务质量低下,业务无法正常使用而造成大量用户投诉的,称为业务故障。
WLAN故障级别系统或关键设备发生下列现象称全网严重故障。WLAN系统BRAS、RADIUS或PORTAL服务器宕机导致WLAN业务全阻超过30分钟;WLAN认证计费系统与CMNet骨干网IP通路及与七号信令网通路中断导致WLAN业务全阻超过30分钟;其它故障为一般故障。
系统或关键设备发生下列现象称省内严重故障。WLAN认证系统与本省(区、市)IP通路及与七号信令网通路中断导致该省(区、市)WLAN业务全阻超30分钟。严重故障发生后必须立即汇报,严重故障在24小时内向上级主管部门书面汇报。严重故障发生后,当地网络部应立即查清故障原因,落实防范措施,确定故障性质和责任。当事班组应填写故障报告,由主管领导填写意见,于故障发生后三天内报上级主管部门。故障处理的传报故障处理中的牵头单位和部门有关中国移动通信计费认证的故障处理由省公司网络部牵头,其他单位和部门配合。与当地GSM网之间的故障处理,按GSM故障处理流程处理。AC和AP之间的故障处理,由基站室负责处理,其他单位和部门配合。中心交换机、汇聚设备、传输设备故障,由交换室负责处理,其他单位和部门配合。设备故障统计WLAN系统的各类设备出现故障,都应做好详细的记录,并定期对故障现象和处理情况进行汇总统计。设备故障记录内容应包括故障现象、故障类型、故障起始时间、故障修复时间、故障历时、故障原因分析及解决情况、故障处理情况及责任分析、故障处理人等。汇总统计时应根据故障类型,对各类问题进行汇总。对涉及设备质量方面的问题,应及时向有关部门报告。全网严重故障应立即上报集团公司。WLAN故障处理流程故障排除一般流程第八部分
WLAN热点告警分析和告警处理故障管理(FaultManagement)对系统中主要是网元设备故障情况的管理,包括故障的检测、诊断、定位和恢复等,软件上表现的一般为告警记录相关概念:告警级别:一般可将告警分为严重、重要、次要、轻微等不同级别当前告警和历史告警:告警有时产生后又恢复了正常,所以存在当前告警(目前正呈现的告警)和历史告警(曾经出现过的告警)两种告警屏蔽:有些告警产生可以是因为相关接口没接信号,并不严重,可以在设备侧或网管侧对其进行屏蔽WLAN告警分析和处理移动规范中的告警和通告指的是由设备主动上报给网管的信息,一般不提供网管端直接查询。“通告”指的是一种事件的通知,即一瞬间产生的,不存在告警清除,如“IP地址变更通告”“告警”则一般有对应“告警清除”,如“内存利用率过高告警”和“内存利用率过高告警清除”WLAN告警分析和处理告警和通告类别系统告警及通告认证服务器告警无线相关告警终端通告WAPI安全相关告警信息AC系统告警及通告电源掉电告警电源掉电告警清除CPU利用率过高告警CPU利用率过高告警清除内存利用率过高告警内存利用率过高告警清除AC发生主备切换告警AC的DHCP可分配地址耗尽告警AC的DHCP可分配地址耗尽告警清除AC与AP间系统时钟同步失败通告系统冷启动通告系统热启动通告心跳周期通告IP地址变更通告WLAN告警--AC告警和通告认证服务器告警Radius认证服务器不可达/不可用/无法连接告警Radius认证服务器不可达/不可用/无法连接告警清除Radius计费服务器不可达/不可用/无法连接告警Radius计费服务器不可达/不可用/无法连接告警清除Portal服务器不可达告警Portal服务器不可达告警清除WLAN告警--AC告警和通告AP系统告警及通告CPU利用率过高告警CPU利用率过高告警清除内存利用率过高告警内存利用率过高告警清除AP下线告警AP上线通告AP无线监视工作模式变更通告WLAN告警--瘦AP告警和通告无线相关告警同频AP干扰告警同频AP干扰告警清除邻频AP干扰告警邻频AP干扰告警清除终端干扰告警终端干扰告警清除其他设备干扰告警其他设备干扰告警清除无线链路中断告警无线链路中断告警清除AP无法增加新的移动用户告警AP无法增加新的移动用户告警清除无线信道变更通告WLAN告警--瘦AP告警和通告终端通告终端鉴权失败通告终端关联失败通告WAPI安全相关告警信息非法证书用户侵入网络通告客户端重放攻击通告篡改攻击通告安全等级降低攻击通告地址重定向攻击通告WLAN告警--瘦AP告警和通告Trap索引WLAN网络设备维护一、有线端设备维护与检测二、无线端设备维护与检测有线端设备维护与检测无线控制器(AC)AC是否正常工作,有无死机现象?检测:各指示灯是否正常显示,风扇是否停止转动AC与核心设备(交换机,路由器,服务器等)连接是否正确?检测:AC的WAN口接上级出口的设备接口,LAN口接下行到热点区域交换机连接的端口有线端设备维护与检测无线控制器(AC)AC是否对AP和用户的数据分开处理?检测:AC上是否对AP开启DHCP服务,对AP和用户划分不同的VLANAC是否对AP下发配置信息,让AP能够工作?检测:用笔记本在AP覆盖范围内进行无线网络搜索,能否搜索到SSID、信道等(AC里需对AP作配置模板)有线端设备维护与检测交换机汇聚交换机到AC与汇聚交换机到热点接入交换机的链路是否已通?检测:在热点交换机上PING其连接的AC及汇聚交换机相应端口的IP,检查是否已通;查看各交换机的命令是否正确配置(按照规划的VLAN及IP地址配置);使用traceroute命令查找链路上已通的设备,可查找出不通一段链路,进行排除故障有线端设备维护与检测POE模块POE模块对AP供电,AP不起来?检测:POE模块连接AP的线路是否有错误,正确如下图所示APPOE交换机交流电220VDATEDATE+POWER有线端设备维护与检测POE模块POE模块中连AP的网线不能大于90米,连接交换机的网线不能超过100米,注:POE交换机是直接连AP,网线不超过90米有线端设备维护与检测光纤收发器光纤收发器之间链路是否已通?检测:查看光纤收发器正常状态下的3个指示灯亮:POWER、TX、RX,如果有一个指示灯不亮都说明设备工作不正常。无线端设备维护与检测无线APAP在AC上没有上线?检测:首先检查AP到交换机的线路通不通,不通的检查网线的线序有无做错,如果POE供电的话,还得看线路有没有超过90米;然后查交换机的配置是否正确,交换机上能否PING通网关及AC;AP是否有干扰?检测:用软件搜索该AP的SSID,信道,看是否与旁边的AP设置的是一个信道?如果是,刚在AC里更改配置模板,将信道更改第九部分
WLAN故障处理的思路和方法
常见的AP关联失败问题和解决方法AP在线无信号的解决方法用户获取不了IP地址的解决方法用户连接或下载慢的解决方法用户能上网但不能打开网页的解决方法AC插上光模块连接尾纤后,光口指示灯不亮的解决方法使用抓包工具,分析故障原因
常见故障排查一、AP关联失败的问题
排除版本和型号不匹配的原因影响后,开始排查网络原因排查步骤:1、将笔记本有线网卡改成自动获取IP地址,连接poe交换机,看是否能获取地址。是,转到16步;否,转到第2步。2、手动给笔记本设置IP地址、网关与AP同一网段,pingACLAN口IP,是否通。是,到11步;否,到第三步。3、ping笔记本网关是否通。是,到13步;否,到第4步。4、检查网关地址是否有误。否,到第5步。5、登陆poe交换机查看是否能学习到AP的MAC。是,到第6步;否,到第19步。6、登陆poe、交换机,观察AP管理vlan到网关是否透传。是,到第10步。否,到第7步。7、修改vlan使其透传。8、登陆poe交换机,ping其他poe交换机的管理地址来判断poe上行链路的连通性。9、重做传输链路。10、按5-7的步骤往上排查,使链路导通。11、AP网关所在设备的DHCP-RELAY地址是否正确。否,到下一步;是,到第13步。12、修改DHCP-RELAY地址到ACLAN口。13、远程或串口登陆AC是否能ping通AP的网关。14、检查AC是否设定静态路由条目指向AP所在网段。15、要求运营商做通中间链路的路由。16、登录AP查看是否为胖AP;是,转成瘦;否,下一步。17、对站点AP侧及ACLAN口侧分别进行上下行抓包,观察AP的UDP报文是否发出,AC
是否接收到对应AP的发出的UDP包。是,到19步结束。否,到18步。18、协调运营商检查链路是否做策略。19、AP与AC报文格式之间的匹配问题,需联系总部工程师反馈情况。20、重新激活交换机接口。21、对AP进行复位操作。22、对AP进行升级操作。23、更换AP。
排除版本和型号匹配的原因影响后,开始排查网络原因一、AP关联失败的问题二、AP在线无信号的解决方法1、AP处于quit状态2、radio接口处于disable或shutdown状态3、APradio卡可能处于11a模式,部分笔记本无线网卡不支持11a,从而无法搜索信号处理方法:1、showwtplist查看AP的状态,run状态表示AP正常在线。
以下原因可能导致AP没信号:
二、AP在线无信号的解决方法处理方法:2、showradiolist查看APradio的状态,enable状态表示正常状态。同时可观察到radiotype列显示的AP工作模式。修改模式的方法见“AC常用配置命令”。3、showrun命令查看radio接口的配置,下图为正常状态,如出现shutdown字样则radio接口处于关闭状态,所以没信号。
二、AP在线无信号的解决方法处理方法:5、重启radio接口、重启AP、交换机端口断电、把网线等方法可让AP重新正常工作。
三、用户获取不了地址的解决方法1、如果是本地转发,交换机可能没有正确的配置业务vlan2、DHCP服务器故障,如地址空间较少已分配完毕3、笔记本无线网卡灵敏度较高,导致在信号接近的AP之间来回切换处理方法:1、cmd窗口运行“ipconfig/release”再重新连接。2、确认DHCP服务器发送数据是否带有VLANtag。3、如果不带vlantag,可用笔记本有线接入DHCP服务器连接口,看是否能获取地址,能获取则检查下方的网络配置,不能,则进行第3步。4、手动设置IP地址(与DHCP-Server同一网段),能否ping通DHCP-Server的IP,ping通,则DHCP-Server故障,ping不通,则是链路的原因导致。5、检查交换机的VLAN标记有没配错,本地转发要交换机连接AP端口配置成trunk模式,业务vlan带tag。6、把AP降功率,使其信号稳定或调整无线网卡的漫游灵敏度。AP降功率配置详见“AC常用配置命令”。
以下原因可能用户获取不了地址:
四、用户连接或下载慢的解决方法1、链路原因导致时延大或丢包2、受广播风暴影响,带宽利用率下降3、同频干扰和发射功率过大处理方法:1、分别在无线和有线侧,用长、短包ping网关观察时延和丢包率,例:ping10.15.0.1–l1450–t(长包)和ping10.15.0.1–t(短包)。判断故障发生在无线端还是有线端。2、通过在交换机划分多个vlan或配置隧道模式,隔离广播。3、调整AP的信号避免信号重叠,调低发射功率降提高信号质量。
以下原因可能用户下载慢或不能连接:
五、用户能上网但不能打开网页的解决方法1、浏览器是否设置proxy2、DNS解析和Hosts文件设置是否正常3、系统是否正常处理方法:1、IE浏览器-工具-连接-局域网设置-代理服务器,把勾取消
以下原因可能用户下载慢或不能连接:五、用户能上网但不能打开网页的解决方法处理方法:2、cmd窗口运行,ipconfig/flushdns;查看hosts文件是否正常,下图为正常显示五、用户能上网但不能打开网页的解决方法处理方法:3、用360安全卫士修复IE浏览器,用杀毒软件扫描系统是否中毒或必要时重装系统。六、AC插上光模块连接尾纤后,光口指示灯不亮的解决方法处理方法:1、检查光模块两端参数(单模、多模、波长)是否匹配,不匹配则更换成匹配。2、检查接口双工和协商速率,部分AC只支持自适应速率,因此对端必须调为自适应。3、查看端口参数是否有误。七、使用抓包工具,分析故障原因使用抓包工具是网络工程师排查故障的重要手段,对于疑难杂症及未知故障通常需要抓包分析原因。常用的抓包工具有:tcpdump、Omnipeek、
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 企业间融资借款合同范本
- 酒店物资采购销售合同
- 土工材料订购协议模板在线
- 政府单位采购合同中的保密条款
- 快餐配送协议样式
- 瓦工班组分包劳务规定
- 永州市房产买卖协议范例
- 建筑拆除合同样本
- 空调故障及时告知
- 木材供应订购协议
- 消防安全重点单位规范化管理手册
- 【拓展阅读】类文阅读《王羲之吃墨》
- 热电厂机组A级检修策划书
- 浙教版数学八年级下册全册优质课件
- 第三讲:苏联模式兴衰
- GB/T 5623-2008产品电耗定额制定和管理导则
- GB/T 41002-2022儿童箱包通用技术规范
- 光学5(光的偏振)
- GB/T 20833-2007旋转电机定子线棒及绕组局部放电的测量方法及评定导则
- 2023年企业法律顾问服务进度月报
- GA/T 1133-2014基于视频图像的车辆行驶速度技术鉴定
评论
0/150
提交评论