工作任務(wù)使用二層隔離保護(hù)無線網(wǎng)絡(luò)

1、工作任務(wù)10：使用(shyng)二層隔離保護(hù)無線網(wǎng)絡(luò)無線網(wǎng)絡(luò)組建(z jin)項(xiàng)目教程中國(guó)水利水電出版社共七十五頁(yè)項(xiàng)目學(xué)習(xí)(xux)目標(biāo)知識(shí)(zh shi)目標(biāo)了解無線網(wǎng)絡(luò)的安全措施掌握無線網(wǎng)絡(luò)中的WEP加密了解基于端口的訪問控制標(biāo)準(zhǔn)IEEE 802.1x，理解遠(yuǎn)程驗(yàn)證撥號(hào)用戶服務(wù)（RADIUS）掌握無線網(wǎng)絡(luò)中EAP（可擴(kuò)展驗(yàn)證協(xié)議）應(yīng)用掌握無線網(wǎng)絡(luò)中WPA（Wi-Fi保護(hù)訪問）應(yīng)用了解WPA2標(biāo)準(zhǔn)掌握無線網(wǎng)絡(luò)故障檢查基本方法掌握無線網(wǎng)絡(luò)故障分析共七十五頁(yè)項(xiàng)目(xingm)學(xué)習(xí)目標(biāo)技能目標(biāo)(mbio)能根據(jù)用戶的需求進(jìn)行網(wǎng)絡(luò)狀況的安全分析能夠在中小型企業(yè)網(wǎng)中進(jìn)行安全的部署無線網(wǎng)絡(luò)掌握中小型企業(yè)

2、無線網(wǎng)絡(luò)故障排除的方法共七十五頁(yè)項(xiàng)目(xingm)學(xué)習(xí)目標(biāo)素質(zhì)目標(biāo)形成良好的合作觀念，會(huì)進(jìn)行(jnxng)業(yè)務(wù)洽談形成嚴(yán)格按操作規(guī)范進(jìn)行操作的習(xí)慣形成嚴(yán)謹(jǐn)細(xì)致的工作態(tài)度和追求完美的工作精神學(xué)會(huì)自我展示的能力和查閱資料的能力共七十五頁(yè)項(xiàng)目(xingm)描述某IT集成公司經(jīng)常為其客戶建設(shè)無線網(wǎng)絡(luò)項(xiàng)目，其系統(tǒng)集成部無線網(wǎng)絡(luò)工程師小趙需要根據(jù)不同項(xiàng)目、不同客戶需求構(gòu)建安全的無線網(wǎng)絡(luò)。小趙經(jīng)常根據(jù)不同的需求分別(fnbi)采用無線二層隔離、基于MAC的認(rèn)證、WEB認(rèn)證、802.1x認(rèn)證及采用WEP加密，保障無線網(wǎng)絡(luò)的安全，具體拓?fù)鋱D如下所示：共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN安全標(biāo)準(zhǔn)WLAN基本

3、的安全概念(ginin)有哪些認(rèn)證 （Authenticity）：確保訪問網(wǎng)絡(luò)資源的用戶身份是合法的；加密 （Confidentiality）：確保所傳遞的信息即使被截獲了，截獲者也無法獲得原始的數(shù)據(jù)；完整性 （Integrity）：如果所傳遞的信息被篡改，接收者能夠檢測(cè)到共七十五頁(yè)任務(wù)準(zhǔn)備(zhnbi)-WLAN安全標(biāo)準(zhǔn)IEEE 802.11-1999安全標(biāo)準(zhǔn)(biozhn)IEEE802.11-1999把WEP機(jī)制作為安全的核心內(nèi)容，包括了：身份認(rèn)證采用了Open system認(rèn)證和共享密鑰認(rèn)證數(shù)據(jù)加密采用RC4算法完整性校驗(yàn)采用了ICV密鑰管理不支持動(dòng)態(tài)協(xié)商，密鑰只能靜態(tài)配置，完全不適合

4、在企業(yè)等大規(guī)模部署場(chǎng)景。共七十五頁(yè)任務(wù)準(zhǔn)備(zhnbi)-WLAN安全標(biāo)準(zhǔn)IEEE 802.11i標(biāo)準(zhǔn)IEEE802.11i工作組針對(duì)802.11標(biāo)準(zhǔn)的安全缺陷，進(jìn)行了如下的改進(jìn)：認(rèn)證基于成熟的802.1x、Radius體系其他部分在IEEE802.11i協(xié)議中進(jìn)行了定義，包括了：數(shù)據(jù)加密采用TKIP和AES-CCM完整性校驗(yàn)采用了Michael和CBC算法?；?次握手過程實(shí)現(xiàn)了密鑰的動(dòng)態(tài)(dngti)協(xié)商。共七十五頁(yè)任務(wù)準(zhǔn)備-WLAN安全(nqun)標(biāo)準(zhǔn)中國(guó)WAPI安全標(biāo)準(zhǔn)WAPI是中國(guó)制定自己的WLAN安全標(biāo)準(zhǔn)。與其它WLAN安全體制相比，WAPI認(rèn)證的優(yōu)越性集中體現(xiàn)在以下幾個(gè)方面：支持

5、雙向鑒別使用數(shù)字證書從認(rèn)證等方面看，WAPI標(biāo)準(zhǔn)主要內(nèi)容包括：認(rèn)證基于WAPI獨(dú)有的WAI協(xié)議，使用證書作為身份憑證；數(shù)據(jù)加密采用SMS4算法(sun f)；完整性校驗(yàn)采用了SMS4算法；基于3次握手過程完成單播密鑰協(xié)商，兩次握手過程完成組播密鑰協(xié)商。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-有效等效加密(WEP)無線網(wǎng)絡(luò)通信架構(gòu)有線等效加密（Wired Equivalent Privacy），又稱無線加密協(xié)議（Wireless Encryption Protocol），簡(jiǎn)稱WEP，是個(gè)保護(hù)無線網(wǎng)絡(luò)（Wi-Fi)信息安全的體制。WEP 是1999年9月通過(tnggu)的 IEEE 802.11標(biāo)準(zhǔn)的

6、一部分，使用 RC4 (Rivest Cipher) 串流加密技術(shù)達(dá)到機(jī)密性，并使用 CRC-32 驗(yàn)和達(dá)到資料正確性。對(duì)WEP安全問題最廣為推薦的解法是換到WPA或WPA2，不論哪個(gè)都比WEP安全。有些古老的WiFi取用點(diǎn)(access point)可能需要汰換或是把它們內(nèi)存中的操作系統(tǒng)升級(jí)才行，不過替換費(fèi)用相對(duì)而言并不貴。另一種方案是用某種穿隧協(xié)定，如IPsec。共七十五頁(yè)任務(wù)準(zhǔn)備-有效等效(dn xio)加密(WEP)Wi-Fi保護(hù)接入(WPA)WPA全名為Wi-Fi Protected Access，有WPA和WPA2兩個(gè)標(biāo)準(zhǔn)，是一種保護(hù)無線計(jì)算機(jī)網(wǎng)絡(luò)（Wi-Fi）安全的系統(tǒng)，它是應(yīng)研

7、究者在前一代的系統(tǒng)有線等效(dn xio)加密（WEP）中找到的幾個(gè)嚴(yán)重的弱點(diǎn)而產(chǎn)生的。共七十五頁(yè)任務(wù)準(zhǔn)備-有效(yuxio)等效加密(WEP)802.1X協(xié)議802.1x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制（Port Based Network Access Control）協(xié)議?！盎诙丝诘木W(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口級(jí)別(jbi)對(duì)所接入的設(shè)備進(jìn)行認(rèn)證和控制。如果連接到端口上的設(shè)備能夠通過認(rèn)證，則端口就被開放，終端設(shè)備就被允許訪問局域網(wǎng)中的資源；如果連接到端口上的設(shè)備不能通過認(rèn)證，則端口就相當(dāng)于被關(guān)閉，使終端設(shè)備無法訪問局域網(wǎng)中的資源。共七十五頁(yè)任務(wù)準(zhǔn)備(zhnbi)-有效等效加

8、密(WEP)802.1x認(rèn)證(rnzhng)體系IEEE 802.1x標(biāo)準(zhǔn)定義了一個(gè)Client/Server（客戶端/服務(wù)器）的體系結(jié)構(gòu)，用來防止非授權(quán)的設(shè)備接入到局域網(wǎng)中。802.1x體系結(jié)構(gòu)中包括三個(gè)組件：懇求者系統(tǒng)（Supplicant System）、認(rèn)證系統(tǒng)（Authenticator System）和認(rèn)證服務(wù)器系統(tǒng)（Authentication Server System）。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-有效等效加密(WEP)802.1x工作機(jī)制802.1x認(rèn)證(rnzhng)使用了EAP協(xié)議在懇求者與認(rèn)證服務(wù)器之間交互身份認(rèn)證信息。在客戶端與交換機(jī)之間，EAP協(xié)議報(bào)文直接被

9、封裝到LAN協(xié)議中（如Ethernet），即EAPoL報(bào)文如圖共七十五頁(yè)任務(wù)準(zhǔn)備-有效等效(dn xio)加密(WEP)802.1x工作機(jī)制在交換機(jī)與RADIUS服務(wù)器之間，EAP協(xié)議報(bào)文被封裝到RADIUS報(bào)文中，即EAPoRADIUS報(bào)文。此外，在交換機(jī)與RADIUS服務(wù)器之間還可以使用RADIUS協(xié)議交互PAP和CHAP報(bào)文。交換機(jī)在整個(gè)認(rèn)證過程中不參與認(rèn)證，所有的認(rèn)證工作都由RADIUS服務(wù)器完成。RADIUS可以使用不同的認(rèn)證方式對(duì)客戶端進(jìn)行認(rèn)證，例如EAP-MD5、PAP、CHAP、EAP-TLS、LEAP、PEAP等。當(dāng)RADIUS服務(wù)器對(duì)客戶端身份進(jìn)行認(rèn)證后，將認(rèn)證結(jié)果（接受或

10、拒絕）返回給交換機(jī)，交換機(jī)根據(jù)認(rèn)證結(jié)果決定(judng)受控端口的狀態(tài)共七十五頁(yè)任務(wù)準(zhǔn)備(zhnbi)-有效等效加密(WEP)802.1x認(rèn)證過程802.1x支持兩種認(rèn)證模式，EAP中繼模式和EAP終結(jié)模式，兩種模式的報(bào)文交互過程略有不同。EAP中繼模式的認(rèn)證方式EAP-MD5EAP-TLS（Transport Layer Security，傳輸層安全）EAP-TTLS（EAP-Tunneled TLS擴(kuò)展認(rèn)證協(xié)議-隧道(sudo)傳輸層安全）PEAP（Protected EAP，受保護(hù)的EAP）共七十五頁(yè)任務(wù)準(zhǔn)備(zhnbi)-有效等效加密(WEP)802.1x認(rèn)證(rnzhng)過程EAP

11、中繼模式的EAP-MD5認(rèn)證過程共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-有效等效加密(WEP)802.1x認(rèn)證(rnzhng)過程EAP中繼模式的EAP-MD5認(rèn)證過程客戶端啟動(dòng)802.1x客戶端程序，向交換機(jī)發(fā)送一個(gè)EAPoL報(bào)文，表示開始進(jìn)行802.1x接入認(rèn)證。如果交換機(jī)端口啟用了802.1x認(rèn)證，將向客戶端發(fā)送EAP-Request/Identity報(bào)文，要求客戶端發(fā)送其使用的用戶名（ID信息）。客戶端響應(yīng)交換機(jī)發(fā)送的請(qǐng)求，向交換機(jī)發(fā)送EAP-Response/Identity報(bào)文，報(bào)文中包含客戶端使用的用戶名。共七十五頁(yè)任務(wù)準(zhǔn)備(zhnbi)-有效等效加密(WEP)802.1x認(rèn)證過程EA

12、P中繼模式的EAP-MD5認(rèn)證過程交換機(jī)將EAP-Response/Identity報(bào)文封裝到RADIUS 的Access-Request報(bào)文中，通過網(wǎng)絡(luò)發(fā)送給RADIUS服務(wù)器。RADIUS服務(wù)器收到交換機(jī)發(fā)送的RADIUS報(bào)文后，使用報(bào)文中的用戶名信息在本地用戶數(shù)據(jù)庫(kù)中查找到對(duì)應(yīng)的密碼后，用隨機(jī)生成的挑戰(zhàn)值（MD5 Challenge）與密碼進(jìn)行(jnxng)MD5運(yùn)算，產(chǎn)生一個(gè)128bit的散列值。同時(shí)RADIUS服務(wù)器也將此挑戰(zhàn)值通過RADIUS的Access-Challenge報(bào)文發(fā)送給交換機(jī)。交換機(jī)從RADIUS報(bào)文中提取出EAP信息（其中包括挑戰(zhàn)值），封裝到EAP-Request

13、/MD5 Challenge報(bào)文中發(fā)送給客戶端。共七十五頁(yè)任務(wù)準(zhǔn)備-有效(yuxio)等效加密(WEP)802.1x認(rèn)證過程EAP中繼模式的EAP-MD5認(rèn)證過程客戶端使用報(bào)文中的挑戰(zhàn)值與本地的密碼也進(jìn)行MD5運(yùn)算，產(chǎn)生一個(gè)128bit的散列值，封裝到EAP-Response/MD5 Challenge報(bào)文中發(fā)送給交換機(jī)。交換機(jī)將EAP-Response/MD5 Challenge信息(xnx)封裝到RADIUS Access-Request報(bào)文中發(fā)送給RADIUS服務(wù)器。RADIUS通過將收到的客戶端的散列值與自己計(jì)算的散列值進(jìn)行比較，如果相同則表示用戶合法，認(rèn)證通過，并返回RADIUS A

14、ccept報(bào)文，其中包含EAP-Success信息。共七十五頁(yè)任務(wù)準(zhǔn)備-有效等效(dn xio)加密(WEP)802.1x認(rèn)證過程EAP中繼模式的EAP-MD5認(rèn)證過程交換機(jī)收到認(rèn)證通過的信息后，將連接客戶端的端口“開放”，并發(fā)送EAP-Success報(bào)文給客戶端，以通知(tngzh)客戶端驗(yàn)證通過。客戶端可以通過發(fā)送EAP-Logoff報(bào)文通知交換機(jī)主動(dòng)下線，終止認(rèn)證狀態(tài)。交換機(jī)收到EAP-Logoff報(bào)文后將端口“關(guān)閉”。從EAP中繼模式的認(rèn)證過程可以看出，交換機(jī)在整個(gè)認(rèn)證中扮演著一個(gè)中間人的較色，對(duì)EAP報(bào)文進(jìn)行透?jìng)鞴财呤屙?yè)任務(wù)準(zhǔn)備-有效等效(dn xio)加密(WEP)802.1x認(rèn)

15、證過程EAP終結(jié)模式EAP終結(jié)模式即交換機(jī)將EAP信息終結(jié)，交換機(jī)與RADIUS服務(wù)器之間無需交互EAP信息，也就是說RADIUS服務(wù)器無需支持EAP屬性。如果網(wǎng)絡(luò)中的RADIUS服務(wù)器不支持EAP屬性，可以使用這種認(rèn)證模式。在EAP終結(jié)模式中可以使用PAP與CHAP認(rèn)證方式，并且(bngqi)推薦使用CHAP認(rèn)證方式，因?yàn)镻AP使用明文傳送用戶名和密碼信息共七十五頁(yè)任務(wù)準(zhǔn)備-有效(yuxio)等效加密(WEP)802.1x認(rèn)證過程EAP終結(jié)模式從上圖中可以看出在EAP終結(jié)模式中，MD5挑戰(zhàn)值是由交換機(jī)生成的，隨后交換機(jī)會(huì)將客戶端的用戶名、MD5挑戰(zhàn)值和客戶端計(jì)算(j sun)的散列值一同發(fā)送

16、給RADIUS服務(wù)器，再由RADIUS服務(wù)器進(jìn)行認(rèn)證。對(duì)于EAP終結(jié)模式，交換機(jī)與RADIUS服務(wù)器之間只交換兩條消息，減少了其之間的信息交互量，減輕了RADIUS服務(wù)器的壓力。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WAPI技術(shù)WAPI技術(shù)產(chǎn)生背景WLAN技術(shù)已經(jīng)廣泛地應(yīng)用于企業(yè)和運(yùn)營(yíng)商網(wǎng)絡(luò)。由于無線通信使用開放性的無線信道資源作為傳輸媒質(zhì)，導(dǎo)致非法用戶很容易發(fā)起對(duì)WLAN網(wǎng)絡(luò)的攻擊或竊取用戶的機(jī)密信息。如何保證WLAN網(wǎng)絡(luò)的安全性一直是WLAN技術(shù)應(yīng)用所面臨的最大難點(diǎn)之一。IEEE標(biāo)準(zhǔn)組織及Wi-Fi聯(lián)盟為此一直在進(jìn)行著努力，先后推出了WEP、802.11i(WPA、WPA2)等安全標(biāo)準(zhǔn)，逐步(

17、zhb)實(shí)現(xiàn)了WLAN網(wǎng)絡(luò)安全性的提升。但802.11i并不是WLAN安全標(biāo)準(zhǔn)的終極，針對(duì)802.11i標(biāo)準(zhǔn)的不完善之處，比如缺少對(duì)WLAN設(shè)備身份的安全認(rèn)證，中國(guó)在無線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11-2003中提出了安全等級(jí)更高的WAPI(Wireless Area Network Authentication and Privacy Infrastructure)安全機(jī)制來實(shí)現(xiàn)無線局域網(wǎng)的安全。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WAPI技術(shù)技術(shù)優(yōu)勢(shì)WAPI采用了國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公鑰密碼體制的橢圓曲線密碼算法和對(duì)稱密碼體制的分組密碼算法，分別用于無線設(shè)備的數(shù)字證書、證書鑒別

18、、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)(zhungti)下的加密保護(hù)。與其他無線局域網(wǎng)安全機(jī)制（如802.11i）相比，WAPI 的優(yōu)越性集中體現(xiàn)在以下幾個(gè)方面：雙向身份鑒別基于數(shù)字證書確保安全性完善的鑒別協(xié)議共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WAPI技術(shù) WAPI基本功能無線客戶端首先和WLAN設(shè)備(shbi)進(jìn)行802.11鏈路協(xié)商WLAN設(shè)備觸發(fā)對(duì)無線客戶端的鑒別處理鑒別服務(wù)器進(jìn)行證書鑒別無線客戶端和WLAN設(shè)備進(jìn)行密鑰協(xié)商共七十五頁(yè)任務(wù)準(zhǔn)備(zhnbi)-WAPI技術(shù) WAPI基本功能完整的WAPI鑒別協(xié)議(xiy)交互過程共七

19、十五頁(yè)任務(wù)準(zhǔn)備(zhnbi)-WLAN 認(rèn)證鏈路認(rèn)證(rnzhng)開放系統(tǒng)認(rèn)證（Open system authentication）共享密鑰認(rèn)證（Shared key authentication）共七十五頁(yè)任務(wù)準(zhǔn)備(zhnbi)-WLAN 認(rèn)證用戶(yngh)接入認(rèn)證PSK認(rèn)證MAC接入認(rèn)證共七十五頁(yè)任務(wù)準(zhǔn)備(zhnbi)-WLAN 認(rèn)證用戶(yngh)接入認(rèn)證802.1x認(rèn)證共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN IDSWLAN IDS簡(jiǎn)介WIDS（Wireless Intrusion Detection System）可以對(duì)有惡意( y)的用戶攻擊和入侵行為進(jìn)行早期檢測(cè)，保護(hù)企業(yè)

20、網(wǎng)絡(luò)和用戶不被無線網(wǎng)絡(luò)上未經(jīng)授權(quán)的設(shè)備訪問。WIDS可以在不影響網(wǎng)絡(luò)性能的情況下對(duì)無線網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)各種攻擊的實(shí)時(shí)防范。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN IDSWLAN IDS簡(jiǎn)介WLAN IDS涉及的常用術(shù)語(yǔ)Rogue AP：網(wǎng)絡(luò)中未經(jīng)授權(quán)或者有惡意的AP，它可以是私自(sz)接入到網(wǎng)絡(luò)中的AP、未配置的AP、鄰居AP或者攻擊者操作的AP。如果在這些AP上存在安全漏洞，黑客就有機(jī)會(huì)危害無線網(wǎng)絡(luò)安全。Rogue Client：非法客戶端，網(wǎng)絡(luò)中未經(jīng)授權(quán)或者有惡意的客戶端，類似于Rogue AP。Rogue Wireless Bridge：非法無線網(wǎng)橋，網(wǎng)絡(luò)中未經(jīng)授權(quán)或者有惡

21、意的網(wǎng)橋。Monitor AP：這種AP在無線網(wǎng)絡(luò)中通過掃描或監(jiān)聽無線介質(zhì)，檢測(cè)無線網(wǎng)絡(luò)中的Rogue設(shè)備。一個(gè)AP可以同時(shí)做接入AP和Monitor AP，也可以只做Monitor AP。Ad-hoc mode：把無線客戶端的工作模式設(shè)置為Ad-hoc模式，Ad-hoc終端可以不需要任何設(shè)備支持而直接進(jìn)行通訊。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN QoSWLAN QoS簡(jiǎn)介802.11網(wǎng)絡(luò)提供了基于競(jìng)爭(zhēng)的無線接入服務(wù)，但是不同的應(yīng)用(yngyng)需求對(duì)于網(wǎng)絡(luò)的要求是不同的，而原始的網(wǎng)絡(luò)不能為不同的應(yīng)用(yngyng)提供不同質(zhì)量的接入服務(wù)，所以已經(jīng)不能滿足實(shí)際應(yīng)用(yngyng)的需

22、要。IEEE 802.11e為基于802.11協(xié)議的WLAN體系添加了QoS特性，這個(gè)協(xié)議的標(biāo)準(zhǔn)化時(shí)間很長(zhǎng)，在這個(gè)過程中，Wi-Fi組織為了保證不同WLAN廠商提供QoS的設(shè)備之間可以互通，定義了WMM（Wi-Fi Multimedia，Wi-Fi多媒體）標(biāo)準(zhǔn)。WMM標(biāo)準(zhǔn)使WLAN網(wǎng)絡(luò)具備了提供QoS服務(wù)的能力。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)WLAN 排錯(cuò)原則當(dāng)一個(gè)(y )無線網(wǎng)絡(luò)發(fā)生問題時(shí)，應(yīng)該首先從幾個(gè)關(guān)鍵問題入手進(jìn)行排錯(cuò)。射頻環(huán)境AP、無線客戶端配置硬件共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)無線客戶端檢測(cè)不到(b do)信號(hào)拍錯(cuò)當(dāng)無線客戶端無法檢測(cè)到信號(hào)共七十

23、五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)無線客戶端檢測(cè)不到信號(hào)排錯(cuò)排錯(cuò)思路：?jiǎn)蝹€(gè)用戶(yngh)報(bào)錯(cuò)查看報(bào)錯(cuò)無線客戶端處是否有無線信號(hào)?？墒褂靡恍I(yè)的器材或軟件。批量用戶報(bào)錯(cuò)查看報(bào)錯(cuò)無線客戶端處是否有無線信號(hào)?？墒褂靡恍I(yè)的器材。檢查相關(guān)軟硬件是否正確安裝。包括AP電源、網(wǎng)卡、驅(qū)動(dòng)等。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)無線客戶端檢測(cè)不到信號(hào)排錯(cuò)解決方案：確認(rèn)報(bào)錯(cuò)無線客戶端網(wǎng)卡是否正確安裝，包括有無適配的驅(qū)動(dòng)程序?？梢允褂肗etwork Stumbler等軟件或?qū)I(yè)的信號(hào)強(qiáng)度測(cè)試(csh)儀器查看報(bào)錯(cuò)無線客戶端周圍是否有無線信號(hào)，并將無線客戶端放置到WLAN信號(hào)較好處。注意家

24、具的移動(dòng)，金屬文件柜的移動(dòng)，微波爐的安裝或其它使用無線的家電出現(xiàn)。 共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)無線客戶端檢測(cè)不到信號(hào)排錯(cuò)解決方案：靠近AP，并使用Network Stumbler等軟件或?qū)I(yè)的信號(hào)強(qiáng)度測(cè)試儀器確定(qudng)AP在正常工作。如果在AP周圍查看到的信號(hào)強(qiáng)度較弱，可查看天線安裝是否正確。如果在AP周圍沒有查看到信號(hào)，可先查看AP是否正常啟動(dòng)，如電源是否安裝、無線接口是否正常工作等。如AP工作正常，可查看天線安裝是否正確?？蓢L試將AP回復(fù)出廠配置后再次配置或重啟AP。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)有信號(hào)無法連接(linji)上AP解決方案：當(dāng)

25、客戶端檢測(cè)到無線信號(hào)，但無法連接到AP上共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)有信號(hào)無法連接上AP解決方案：排錯(cuò)思路單個(gè)用戶報(bào)錯(cuò)查看無線客戶端檢測(cè)到的WLAN信號(hào)強(qiáng)度?？赏ㄟ^查看無線客戶端自帶的信號(hào)強(qiáng)度查看程序。查看無線客戶端是否做出相應(yīng)配置。如是否配置SSID、認(rèn)證加密方式是否正確。查看無線客戶端處是否有干擾?？赏ㄟ^專業(yè)(zhuny)器材或軟件查看。批量用戶報(bào)錯(cuò)查看無線客戶端處是否有干擾?？赏ㄟ^專業(yè)器材或軟件查看。查看AP是否工作正常?？赏ㄟ^專業(yè)器材或軟件查看附近是否有“非法”AP。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)有信號(hào)無法連接上AP解決方案：解決方案確認(rèn)報(bào)錯(cuò)無線客

26、戶端網(wǎng)卡是否正確安裝，包括有無適配的驅(qū)動(dòng)程序?？梢允褂肗etwork Stumbler等軟件或?qū)I(yè)的信號(hào)強(qiáng)度測(cè)試儀器查看(chkn)報(bào)錯(cuò)無線客戶端周圍信號(hào)強(qiáng)度是否足夠?？梢允褂肗etwork Stumbler等軟件或?qū)I(yè)的信號(hào)強(qiáng)度測(cè)試儀器查看報(bào)錯(cuò)無線客戶端周圍是否有ISM設(shè)備的射頻干擾。如相鄰WLAN設(shè)備、微波爐、對(duì)講機(jī)等。檢查報(bào)錯(cuò)無線客戶端是否配置正確的SSID信息和認(rèn)證加密方式。如果此處配置與欲連接AP配置不符，無法進(jìn)行連接。測(cè)試從AP上是否可以與網(wǎng)關(guān)通信?？蓢L試將AP回復(fù)出廠配置后再次配置或重啟AP。查找出是否有“非法”AP配置與“合法”AP相同的SSID。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)

27、備-WLAN 排錯(cuò)連接上后無線客戶端無法(wf)正常工作當(dāng)客戶端能連接到AP上，但客戶端無法正常工作共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)連接上后無線客戶端無法正常工作排錯(cuò)思路：?jiǎn)蝹€(gè)用戶(yngh)報(bào)錯(cuò)查看無線客戶端檢測(cè)到的WLAN信號(hào)強(qiáng)度，并做評(píng)估?？赏ㄟ^查看無線客戶端自帶的信號(hào)強(qiáng)度查看程序。查看無線客戶端是否做出相應(yīng)配置。如認(rèn)證加密方式是否正確。查看無線客戶端處是否有干擾。可通過專業(yè)器材或軟件查看。客戶端是否配置靜態(tài)IP地址，此靜態(tài)IP地址是否合法。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)連接上后無線客戶端無法正常工作批量用戶報(bào)錯(cuò)查看無線客戶端處是否有干擾。可通過專業(yè)器材

28、或軟件查看。查看AP是否工作正常。主網(wǎng)絡(luò)的DHCP等功能是否工作正常。AP是否開啟用戶隔離功能。是否有很多用戶連接在同一AP上。是否用用戶在使用P2P等會(huì)占用(zhn yn)大量帶寬的應(yīng)用程序。是否有網(wǎng)絡(luò)病毒或黑客攻擊?？赏ㄟ^專業(yè)器材或軟件查看附近是否有“非法”AP。共七十五頁(yè)任務(wù)(rn wu)準(zhǔn)備-WLAN 排錯(cuò)連接上后無線客戶端無法正常工作解決方案確認(rèn)無線客戶端是否獲得正確的IP地址。如沒有，可查看主網(wǎng)絡(luò)DHCP等功能是否工作正?；驘o線客戶端設(shè)置的靜態(tài)IP地址是否正確。查看無線客戶端所檢測(cè)到的WLAN信號(hào)強(qiáng)弱，如較弱，可將無線客戶端放置到WLAN信號(hào)較好處。查看無線客戶端認(rèn)證加密方法是否與

29、AP匹配。查看AP是否配置了用戶隔離功能?？蓢L試將AP回復(fù)出廠配置后再次配置或重啟AP。查找出是否有“非法”AP配置與“合法(hf)”AP相同的SSID。共七十五頁(yè)工作任務(wù)(rn wu)10：利用二層隔離保護(hù)企業(yè)無線網(wǎng)絡(luò)任務(wù)分析無線網(wǎng)絡(luò)工程師小趙在所建設(shè)的無線網(wǎng)絡(luò)項(xiàng)目中，進(jìn)行無線網(wǎng)絡(luò)試運(yùn)行測(cè)試(csh)時(shí)，有企業(yè)員工反應(yīng)無線網(wǎng)絡(luò)的速度非常慢，然后小趙就在網(wǎng)管上查看，發(fā)現(xiàn)無線網(wǎng)絡(luò)內(nèi)的流量很大，而企業(yè)網(wǎng)出口的流量不是很大，據(jù)此小趙推斷是有些員工在利用無線網(wǎng)絡(luò)相互之間傳輸大量的數(shù)據(jù)。為了增加無線網(wǎng)絡(luò)的利用率，減少無線網(wǎng)絡(luò)帶寬在局域網(wǎng)內(nèi)的浪費(fèi)，小趙決定把無線網(wǎng)絡(luò)內(nèi)的用戶做個(gè)二層隔離。那么如何降低無線局

30、域網(wǎng)內(nèi)無線帶寬的浪費(fèi)，小趙采用智能無線局域網(wǎng)的二層隔離功能將用戶隔離開，不允許無線網(wǎng)用戶使用無線網(wǎng)絡(luò)互相訪問和傳輸數(shù)據(jù)。共七十五頁(yè)工作(gngzu)任務(wù)10：利用二層隔離保護(hù)企業(yè)無線網(wǎng)絡(luò)項(xiàng)目設(shè)備2臺(tái)安裝(nzhung)Windows XP系統(tǒng)的電腦、1塊RG-WG54U無線網(wǎng)卡、1臺(tái)智能無線AP、1臺(tái)智能無線交換機(jī)、RingMaster服務(wù)器1臺(tái)。共七十五頁(yè)工作任務(wù)10：利用(lyng)二層隔離保護(hù)企業(yè)無線網(wǎng)絡(luò)網(wǎng)絡(luò)拓?fù)涔财呤屙?yè)任務(wù)(rn wu)實(shí)施配置無線交換機(jī)的基本參數(shù)無線交換機(jī)的默認(rèn)(mrn)IP地址是/24，因此將STA-1的IP地址配置為/24，并打開瀏覽器登陸到，彈出以下界面：選擇

31、“是”。共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置無線交換機(jī)的基本參數(shù)系統(tǒng)的默認(rèn)(mrn)管理用戶名是admin，密碼為空。共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置無線交換機(jī)的基本參數(shù)輸入用戶名和密碼后就進(jìn)入了無線交換機(jī)的web配置頁(yè)面，點(diǎn)擊“start”，進(jìn)入快速(kui s)配置指南。共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置無線交換機(jī)的基本參數(shù)選擇(xunz)管理無線交換機(jī)的工具-“RingMaster”。 共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置(pizh)無線交換機(jī)的基本參數(shù)配置無線交換機(jī)的IP地址，子網(wǎng)掩碼以及默認(rèn)網(wǎng)關(guān)。共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置(pizh)無線交換機(jī)的基本參數(shù)設(shè)置系統(tǒng)的管理

32、密碼。共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置(pizh)無線交換機(jī)的基本參數(shù)設(shè)置系統(tǒng)的時(shí)間以及時(shí)區(qū)。共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置無線交換機(jī)的基本參數(shù)確認(rèn)(qurn)無線交換機(jī)的基本配置。完成無線交換機(jī)的基本配置。共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置無線AP進(jìn)入(jnr)“wireless”-“Access Point”選項(xiàng)，添加AP。共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置無線AP為添加的AP進(jìn)行命名，并選擇連接(linji)方式，默認(rèn)使用“Distributed”模式。共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置無線AP將需要(xyo)添加的AP機(jī)身后面的SN號(hào)輸入對(duì)話框，用于AP與無線交換機(jī)的注

33、冊(cè)過程共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置無線AP選擇(xunz)添加AP的具體型號(hào)和傳輸協(xié)議，完成AP添加。共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置(pizh)無線交換機(jī)的DHCP服務(wù)器進(jìn)入“Syestem”-“VLANS”選項(xiàng)，選擇“default”vlan，進(jìn)入屬性配置。在。 共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置無線交換機(jī)的DHCP服務(wù)器進(jìn)入“Properties”“DHCP Server”選項(xiàng)，激活DHCP服務(wù)器，設(shè)置(shzh)地址池和DNS，并保存。在。 共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置(pizh)無線交換機(jī)的DHCP服務(wù)器進(jìn)入“System”“Port”選項(xiàng)，將無線交換機(jī)的端口P

34、OE打開，并保存。在。 共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置(pizh)網(wǎng)管軟件的二層隔離功能打開無線網(wǎng)管軟件的“Configuration”“system”“VLANs”。在。 共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置(pizh)網(wǎng)管軟件的二層隔離功能進(jìn)入“Properties”“VLAN L2 Restriction”選項(xiàng)，激活該選項(xiàng)，在方框內(nèi)打上對(duì)勾。在。 共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置網(wǎng)管軟件的二層隔離(gl)功能添加VLAN內(nèi)用戶網(wǎng)關(guān)設(shè)備的MAC地址點(diǎn)擊上圖的“Create”鍵。在。 共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置網(wǎng)管軟件的二層隔離(gl)功能添加網(wǎng)關(guān)的MACA地址，點(diǎn)擊“Finish”完成添加。在。 共七十五頁(yè)任務(wù)(rn wu)實(shí)施配置網(wǎng)管軟件的二層隔離功能添加網(wǎng)關(guān)的MACA地址，點(diǎn)擊“Finish”完成添加。點(diǎn)擊“OK”，完成操作(cozu)；把設(shè)置應(yīng)用到無線交換機(jī)上在。 共七十五頁(yè)任務(wù)(rn wu)實(shí)施使兩臺(tái)客戶端都連接上“test”的SSID，并獲得地址(dzh)查看兩臺(tái)電腦的地址。STA1:在。 共七十五頁(yè)任務(wù)(rn