Cisco CCIE R-S V5.0 課程：第三學(xué)期-擴展網(wǎng)絡(luò)-第4章 無線局域網(wǎng)

第四章:無線局域網(wǎng)

WirelessLANs第三學(xué)期：擴展網(wǎng)絡(luò)ScalingNetworks學(xué)習(xí)目標(biāo)描述無線局域網(wǎng)技術(shù)及標(biāo)準(zhǔn).描述無線局域網(wǎng)的組成.描述無線拓?fù)?描述

802.11幀結(jié)構(gòu).描述無線技術(shù)使用的介質(zhì)爭用方法.描述WLAN的信道管理.描述無線局域網(wǎng)面臨的安全威脅.描述無線局域網(wǎng)的安全機制.配置無線路由器以支持遠(yuǎn)程站點接入.配置無線客戶端以接入無線路由器.無線配置問題故障診斷.第四章無線局域網(wǎng)4.1無線概念4.2無線局域網(wǎng)工作過程4.3無線局域網(wǎng)安全4.4無線局域網(wǎng)配置4.5總結(jié)4.1無線概念

WirelessConcepts第三學(xué)期：擴展網(wǎng)絡(luò)ScalingingNetworksWLAN組成

移動支持生產(chǎn)力已經(jīng)不再局限于一個固定的工作位置或是一段規(guī)定的工作時間。人們希望不論何時何地都可進(jìn)行連接，不管是在辦公室、機場還是家中。用戶希望能無線漫游。漫游允許無線設(shè)備保持因特網(wǎng)接入而不會失去連接。WLAN組成

無線的好處在任意地點工作的靈活性減少開銷WLAN組成

無線技術(shù)WLAN組成

無線技術(shù)

(繼續(xù))Bluetooth

–

IEEE802.15WPAN標(biāo)準(zhǔn)，通過設(shè)備配對過程實現(xiàn)通信，傳輸距離可達(dá)100m(.05mile)Wi-Fi

–IEEE802.11WLAN標(biāo)準(zhǔn)，廣泛用于為家庭和公司用戶提供網(wǎng)絡(luò)接入,可包含數(shù)據(jù),語音和視頻流量,傳輸距離可達(dá)300m(0.18mile)WiMAX(WorldwideInteroperabilityforMicrowaveAccess)

–

IEEE802.16WWAN標(biāo)準(zhǔn)，提供無線寬帶接入距離可達(dá)50km(30miles)蜂窩寬帶（Cellularbroadband，移動寬帶）

–大量的公司，國家和國際組織，使用蜂窩接入服務(wù)提供商來提供移動寬帶網(wǎng)絡(luò)接入衛(wèi)星寬帶（SatelliteBroadband）

–通過定向衛(wèi)星天線向遠(yuǎn)程站點提供網(wǎng)絡(luò)接入WLAN組成

射頻頻率WLANs(2.4GHz)Bluetooth蜂窩寬帶UHF電視微波爐GPS系統(tǒng)WLANs

(5GHz)微波通信衛(wèi)星通信射電天文學(xué)WiGigWLANs(60GHz)雷達(dá)著陸系統(tǒng)射電天文學(xué)WLAN組成

802.11標(biāo)準(zhǔn)WLAN組成

Wi-Fi證書國際上，有三個組織影響了WLAN標(biāo)準(zhǔn)的制定:ITU-R

-負(fù)責(zé)分派無線頻譜和衛(wèi)星軌道IEEE

-指定射頻如何調(diào)制以承載信息Wi-Fi

聯(lián)盟

-Wi-Fi聯(lián)盟?()是一個全球的非盈利的工業(yè)貿(mào)易協(xié)會，致力于推動無線局域網(wǎng)的發(fā)展WLAN組成

WLAN與LAN對比WLAN設(shè)備

無線適配器無線部署要求:終端設(shè)備，帶有無線適配器基礎(chǔ)架構(gòu)設(shè)備,例如無線路由器或無線APWLAN設(shè)備

家用無線路由器家庭用戶典型的無線互聯(lián)設(shè)備是小型集成無線路由器。它包含以下功能:接入點（AP）以太網(wǎng)交換機路由器WLAN設(shè)備

商用無線解決方案WLAN設(shè)備

無線接入點（AccessPoint，AP）AP可分為兩類：

自治（Autonomous）AP和

受控（Controller-Based）AP。自治AP受控AP某些AP既可工作在自治模式，又可工作在受控模式.WLAN設(shè)備

小型無線部署解決方案Cisco提供以下無線自治AP解決方案:CiscoWAP4410NAP

CiscoWAP121和

WAP321AP

CiscoAP541NAPWLAN設(shè)備

小型無線部署解決方案(繼續(xù))小型企業(yè)網(wǎng)絡(luò)使用WAP4410N的簡單拓?fù)涿總€AP獨立地進(jìn)行配置和管理。當(dāng)需要多個AP時將導(dǎo)致問題。WLAN設(shè)備

小型無線部署解決方案WAP121,WAP321和AP541N支持AP的聚集而無需使用無線控制器?？刹渴鸲鄠€AP并推送單一配置。WLAN設(shè)備

大型無線部署解決方案對于需要使用大量AP的大型機構(gòu)，Cisco提供基于控制器管理的解決方案:CiscoMeraki云管理架構(gòu)。Cisco統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)。WLAN設(shè)備

大型無線部署解決方案CiscoMeraki云管理架構(gòu)需要以下組件:CiscoMR云管理無線AP

Meraki云控制器

(MCC)

基于Web的

控制板MerakiCloudController(MCC)WLAN設(shè)備

大型無線部署解決方案Cisco統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)輕（Lightweight）AP小到中型企業(yè)無線控制器Cisco2500SeriesWirelessControllersWLAN設(shè)備

天線全向

Wi-Fi天線

定向

Wi-Fi天線八木

天線802.11WLAN技術(shù)

802.11無線組網(wǎng)模式

兩種

主要的無線

組網(wǎng)模式:AdHoc模式

（點到點）Infrastructure

模式（有固定設(shè)備）AdHocInfrastructure802.11WLAN技術(shù)

AdHoc模式802.11WLAN技術(shù)

Infrastructure模式基本服務(wù)集4.2無線局域網(wǎng)工作過程

WirelessLANOperations802.11幀結(jié)構(gòu)

無線802.11幀802.11幀結(jié)構(gòu)

無線802.11幀幀控制字段

802.11幀其余字段

802.11幀結(jié)構(gòu)

無線幀類型802.11幀結(jié)構(gòu)

管理幀管理幀802.11幀結(jié)構(gòu)

控制幀控制幀無線工作過程

CSMA/CA無線工作過程

無線客戶端和AP關(guān)聯(lián)三個階段:發(fā)現(xiàn)

新的無線AP認(rèn)證AP關(guān)聯(lián)AP無線工作過程

相關(guān)參數(shù)常用無線配置參數(shù):SSID

Password

（密碼）NetworkMode（網(wǎng)絡(luò)模式）SecurityMode

（安全模式）ChannelSettings（通道設(shè)置）無線工作過程

發(fā)現(xiàn)AP主動模式

被動模式

無線工作過程

認(rèn)證認(rèn)證關(guān)聯(lián)信道管理

頻率信道飽和度直接序列擴頻(DSSS)

跳頻擴頻(FHSS)信道管理

頻率信道飽和度正交頻分多路復(fù)用(Orthogonalfrequency-divisionmultiplexing，OFDM)802.11a/g/n/ac信道管理

選擇信道信道管理

選擇信道802.11b信道非重疊信道：1,6,和

11.注意:在歐洲標(biāo)準(zhǔn)里有13條802.11b信道.信道管理

選擇信道信道管理

選擇信道信道綁定技術(shù)將兩條20MHz信道綁定成一條

40MHz信道.信道管理

規(guī)劃WLAN部署ESS內(nèi)部的BSA之間應(yīng)有

10%至15%的重疊當(dāng)各BSA之間有

15%的重疊,共用一個SSID,且使用非重疊的信道(例如,一個信道

1和一個信道

6),則可實現(xiàn)漫游功能4.3無線網(wǎng)絡(luò)安全

WirelessLANSecurityWLAN安全威脅

無線安全出于好意或惡意目的安裝的非授權(quán)AP使用無線管理軟件可以檢測到非法AP非授權(quán)用戶試圖訪問網(wǎng)絡(luò)資源

其解決方案是通過授權(quán)阻止入侵者無線數(shù)據(jù)易被竊聽者捕獲通過加密來保護客戶端和AP間的數(shù)據(jù)交換WLAN服務(wù)可被偶然或惡意

損壞對于DoS源有多種解決方案非法AP無線入侵者數(shù)據(jù)截聽拒絕服務(wù)無線威脅WLAN安全威脅

DoS攻擊無線DoS攻擊可由以下原因造成:不當(dāng)配置設(shè)備

惡意用戶故意干擾無線通信

突發(fā)干擾

WLAN安全威脅

管理幀

DoS攻擊兩種常見的管理幀攻擊:Aspoofeddisconnectattack（偽造斷開攻擊）ACTSflood（CTS泛洪）NormallyuseCSMA/CA

CTS

FloodAttackWLAN安全威脅

非法AP非法AP是指如下的AP或無線路由器：連接到公司網(wǎng)絡(luò)但

未經(jīng)明確授權(quán)

并

違反公司政策。使攻擊者連接并用于截獲客戶數(shù)據(jù)，例如客戶端MAC地址(包括有線和無線),或截獲并假冒數(shù)據(jù)包,來訪問網(wǎng)絡(luò)資源或進(jìn)行中間人攻擊。要阻止欺詐AP的安裝,需要使用監(jiān)控軟件來主動監(jiān)視非授權(quán)AP的無線頻譜.WLAN安全威脅

中間人攻擊“雙面惡魔AP”攻擊（EviltwinAP）WLAN安全

無線安全簡介兩種早期使用的安全方式:SSID隱藏MAC地址過濾加強無線網(wǎng)絡(luò)安全的最好方法是認(rèn)證并加密系統(tǒng).WLAN安全

共享秘鑰認(rèn)證方法WLAN安全

加密方法WPA及

WPA2

加密

協(xié)議:臨時密鑰完整性協(xié)議(TemporalKeyIntegrityProtocol，TKIP)

高級加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard，AES)

如果可能，建議選用

WPA2和AES。WLAN安全

認(rèn)證家庭用戶WPA和

WPA2支持兩種認(rèn)證:個人

用于家庭或小型辦公室網(wǎng)絡(luò),用戶使用預(yù)共享秘鑰(Pre-sharedkey，PSK)認(rèn)證。無需專門的認(rèn)證服務(wù)器。企業(yè)

需要一個提供遠(yuǎn)程撥入用戶認(rèn)證服務(wù)(RemoteAuthenticationDial-InUserService，RADIUS)的認(rèn)證服務(wù)器。提供額外的安全性。用戶必須使用802.1X

標(biāo)準(zhǔn)進(jìn)行認(rèn)證,認(rèn)證時采用擴展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol，EAP)。WLAN安全

企業(yè)中的認(rèn)證個人

企業(yè)4.4無線局域網(wǎng)配置

WirelessLANConfiguration無線路由器配置

配置無線路由器在無線路由器安裝之前,確定以下配置參數(shù):無線路由器配置

配置無線路由器配置無線路由器包括以下步驟:步驟1.

在單個無線客戶端上對單個AP開始

WLAN配置過程,暫不啟用無線

安全。步驟2.

確認(rèn)客戶端能夠收到DHCPIP地址且能ping通本地默認(rèn)路由器和訪問外部網(wǎng)絡(luò)。步驟3.

使用WPA2/WPA

混合個人方式配置無線安全。不要使用WEP,除非沒有其他選項存在。步驟4.

備份

配置。配置無線客戶端

連接無線客戶端在AP或無線路由器配置完畢后,客戶端的無線適配器應(yīng)切換到允許

連接至WLAN。用戶需要確認(rèn)其是否成功接入正確的無線網(wǎng)絡(luò)。特別是可能存在有多個WLAN可用于連接的情況。WLAN故障診斷問題

故障診斷方法用于解決網(wǎng)絡(luò)問題的三種主要方法:Bottom-up，自下向上

Top-down，自上向下Divide-and-conquer，分治法分治法WLAN故障診斷問題

無線客戶端無法連接電源線纜無線適配器(PC端)IP地址基本配置

(SSID,信道)安全

(Mac,驗證)接口WLAN故障診斷問題

網(wǎng)速變慢故障診斷要優(yōu)化網(wǎng)絡(luò)提高帶寬：升級無線客戶端分割流量WLAN故障診斷問題

固件升級（Firmware）升級恢復(fù)總結(jié)本章內(nèi)容WLAN常用于家庭，辦公室和校園等環(huán)境。802.11WLAN只能使用2.4GHz,5.0GHz,和60GHz頻段。ITU-R負(fù)責(zé)分派無線頻譜,IEEE提供

802.11標(biāo)準(zhǔn)，定義頻率如何在無線網(wǎng)絡(luò)的物理層和MAC子層使用。Wi-Fi聯(lián)盟證明廠商的產(chǎn)品符合行業(yè)標(biāo)準(zhǔn)和規(guī)范。STA通過無線適配器連接到組網(wǎng)設(shè)備，例如無線路由器或者無線AP。STA連接時需使用SSID。AP可作