WLAN組網(wǎng)部署及維護_第1頁
WLAN組網(wǎng)部署及維護_第2頁
WLAN組網(wǎng)部署及維護_第3頁
WLAN組網(wǎng)部署及維護_第4頁
WLAN組網(wǎng)部署及維護_第5頁
已閱讀5頁,還剩137頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

目錄WLAN組件介紹1WLAN網(wǎng)絡(luò)架構(gòu)分析2WLAN安全技術(shù)

3WLAN網(wǎng)管監(jiān)控知識4目錄WLAN相關(guān)性能統(tǒng)計指標監(jiān)控

5WLAN設(shè)備日常值班監(jiān)控方法

6

7WLAN熱點告警分析和告警處理WLAN故障處理的思路和方法

8WLAN測試工具使用方法

9第一部分

WLAN組網(wǎng)產(chǎn)品介紹WLAN基本產(chǎn)品無線上網(wǎng)卡WLAN組網(wǎng)產(chǎn)品無線控制器ACPOE無線交換機APWLAN產(chǎn)品講義AC無線控制器(ACconsle),主要用于搭配瘦AP構(gòu)建無線網(wǎng)絡(luò)。具有管理AP的功能,可以為AP下發(fā)模板配置,規(guī)劃AP的信道、功率等。AP無線接入點(ACCESSPoint)主要和AC關(guān)聯(lián),放出SSID信號為用戶提供無線接入訪問POE具有POE模塊的供電交換機,可以為AP提供電源,也可以實現(xiàn)普通交換機的所有數(shù)據(jù)功能京信AC2400,F512簡介AC2400,F512前面板簡要圖如下二層接口,默認屬于vlan1,IP地址是192.168.0.1。三層接口(電口)三層接口(光口)注意:1.默認二層口數(shù)據(jù)走交換芯片轉(zhuǎn)發(fā),可以給VLAN接口啟用高級路由模式使數(shù)據(jù)經(jīng)過CPU轉(zhuǎn)發(fā)。2.三層電口和光口默認為三層接口,數(shù)據(jù)默認走CPU轉(zhuǎn)發(fā)。3.三層電口和光口為互斥接口。AC2400,F1024前面板簡要圖如下主控板主控板10/100/1000M自適應(yīng)電口控板1000M光口控制臺接口四個業(yè)務(wù)插槽雙電源插口模塊,可選交流(220V)直流(-48V)京信AC2400,F1024簡介AP(無線接入點產(chǎn)品)AP2600-I雙頻室內(nèi)系列AP2600-O雙頻室外系列AP2400-O單頻室外系列AP2400-I單頻室內(nèi)系列室內(nèi)版室外版AP2x00-I【新外觀】AP與無線網(wǎng)絡(luò)產(chǎn)品京信802.11n產(chǎn)品概述AP2400/AP2600系列無線接入點產(chǎn)品特點采用高性能處理器高吞吐量及強勁的負載能力支持胖瘦AP模式轉(zhuǎn)換支持802.11n,向下兼容802.11a/b/g搭配不同網(wǎng)卡,支持不同無線模式1×1/2×2天線配置10/100/1000M自適應(yīng)以太網(wǎng)支持802.3af/802.3atPoE規(guī)范

基站外置天線支持四個扇區(qū)天線射頻電纜接口每個扇區(qū)2個N型接口水平束寬(3dB)每個扇區(qū)70°覆蓋規(guī)劃4扇區(qū)360°覆蓋天線增益14dBi(Max.)重量7.8kg(基站+天線)天線尺寸670×112×65mm下傾角±20°/Max.±30°示意圖安裝圖基本參數(shù)京信四扇區(qū)智能天線基站基站外置天線多波束天線陣列射頻電纜接口8個N型接口水平束寬(3dB)每個陣列75°覆蓋規(guī)劃單車列100°覆蓋天線增益19dBi(Max.)重量7.8kg尺寸878×385×104mm下傾角14°示意圖安裝圖基本參數(shù)京信單扇區(qū)智能天線基站京信交換機系列標準配置24個10/100MRJ-45MDI/MDI-X自適應(yīng)口4個千兆光電復(fù)用口1個Console口內(nèi)存容量32MB背板帶寬32Gbps功率最大400W,其中系統(tǒng)功耗30W,POE對外供電功率370WComba24口POE交換機京信交換機系列Comba8口POE交換機標準配置8口百兆+1口千兆全網(wǎng)管以太網(wǎng)交換機(1個CONSOLE口,8個10/100M以太網(wǎng)電口,1個千兆光電復(fù)用口,支持POE供電)內(nèi)存容量32MB交換能力8Gbps第三部分

WLAN網(wǎng)絡(luò)架構(gòu)分析組網(wǎng)方式瘦AP在AC上注冊流程瘦AP為零配置,必須在AC上注冊,從AC獲得配置后才可以工作瘦AP在AC注冊有兩種情況:瘦AP與AC直連和二層組網(wǎng)注冊流程手動指定AC地址廣播發(fā)現(xiàn)AC地址

DHCP的option43屬性獲取AC的地址

DNS解析獲取AC的地址瘦AP與AC三層網(wǎng)絡(luò)連接注冊流程手動指定AC地址

DHCP的option43屬性獲取AC的地址

DNS解析獲取AC的地址注冊流程方式優(yōu)先級的對比瘦AP與AC直連和二層組網(wǎng)注冊流程1.獲取ip地址2.二層廣播發(fā)現(xiàn)請求3.AC回復(fù)AP的請求響應(yīng)4.配置下發(fā)5.數(shù)據(jù)傳遞DHCPserverAPAC廣播發(fā)現(xiàn)AP通過DHCPserver獲取IP地址

AP二層廣播,尋找AC

AC回應(yīng)AP尋求

AP從AC獲取正確的配置

AP正常工作,和AC交互數(shù)據(jù)瘦AP與AC直連和二層組網(wǎng)注冊流程瘦AP與AC三層組網(wǎng)注冊流程—option43方式1.獲取ip地址,option屬性帶有AC地址2.AP單播發(fā)現(xiàn)請求3.AC回復(fù)AP的請求響應(yīng)4.配置下發(fā)5.數(shù)據(jù)傳遞DHCPserverAPAP通過DHCPserver獲取IP地址,option43屬性攜帶AC的IP地址

AP從option43屬性中獲取AC的地址,然后向AC發(fā)單播請求

AC接到請求后響應(yīng)AP的請求

AP從AC獲取正確的配置

AP正常工作,和AC交互數(shù)據(jù)瘦AP與AC三層組網(wǎng)注冊流程—option43方式瘦AP與AC三層組網(wǎng)注冊流程—option43方式數(shù)據(jù)轉(zhuǎn)發(fā)架構(gòu)——本地轉(zhuǎn)發(fā)利用瘦AP本地轉(zhuǎn)發(fā)方式進行大規(guī)模組網(wǎng),可以完全代替目前主要采用的集中轉(zhuǎn)發(fā)方式,在本地轉(zhuǎn)發(fā)方式下,網(wǎng)管、安全、漫游、QOS、負載均衡、流控、二層隔離等功能還是由AC統(tǒng)一控制,再由AP具體實施;只是業(yè)務(wù)數(shù)據(jù)不通過隧道傳送到AC,再經(jīng)由AC解封后統(tǒng)一轉(zhuǎn)發(fā),而是由AP本地轉(zhuǎn)發(fā)。AC采用旁掛的方式,用戶的流量無需經(jīng)過AC。此組網(wǎng)方式的優(yōu)勢主要體現(xiàn)在,將業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)任務(wù)分散到AP,降低AC壓力,輕松應(yīng)對帶寬挑戰(zhàn),徹底解決AC瓶頸問題,提高網(wǎng)絡(luò)整體吞吐率,順利迎接11n時代本地轉(zhuǎn)發(fā)數(shù)據(jù)流向圖,業(yè)務(wù)數(shù)據(jù)經(jīng)過AC進行處理,一般由局方的bras分配IP地址、認證等業(yè)務(wù)處理數(shù)據(jù)轉(zhuǎn)發(fā)架構(gòu)——本地轉(zhuǎn)發(fā)集中轉(zhuǎn)發(fā)組網(wǎng),AP和AC之間單獨建立一條隧道傳輸數(shù)據(jù)業(yè)務(wù),所有的數(shù)據(jù)業(yè)務(wù)都通過AC轉(zhuǎn)發(fā)出去,所以AC的負荷比較大。集中轉(zhuǎn)發(fā)所有的數(shù)據(jù)包都要走隧道,所以對鏈路的帶寬要求較高,并且對AC接口的帶寬要求也較高。由于集中轉(zhuǎn)發(fā)的數(shù)據(jù)包要封裝到隧道里再轉(zhuǎn)發(fā)走,所以對AP的CPU消耗比本地轉(zhuǎn)發(fā)更大。由于對帶寬要求較高,所以集中轉(zhuǎn)發(fā)的AC可管理的AP數(shù)量也會受到一定限制。這樣對于規(guī)模較大的網(wǎng)絡(luò)通常有熱備份的要求,會增加成本。此外,當隧道轉(zhuǎn)發(fā)出現(xiàn)不通或者丟包現(xiàn)象時,查找網(wǎng)絡(luò)故障難度比本地轉(zhuǎn)發(fā)高。集中轉(zhuǎn)發(fā)的優(yōu)點是對于現(xiàn)網(wǎng)改動較小。數(shù)據(jù)轉(zhuǎn)發(fā)架構(gòu)——集中轉(zhuǎn)發(fā)集中轉(zhuǎn)發(fā)數(shù)據(jù)流向圖,業(yè)務(wù)數(shù)數(shù)據(jù)封裝在AP與AC建立的隧道鏈路上由AC進行統(tǒng)一的解封裝進行處理及數(shù)據(jù)轉(zhuǎn)發(fā).數(shù)據(jù)轉(zhuǎn)發(fā)架構(gòu)——集中轉(zhuǎn)發(fā)本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā)對比列表本地轉(zhuǎn)發(fā)集中轉(zhuǎn)發(fā)AC位置一般旁掛BAS上,也可做BAS一般做BASAC性能壓力低高AP性能壓力低略高業(yè)務(wù)隔離、熱點區(qū)分需要把無線用戶和有線用戶統(tǒng)一考慮從接入層開始的轉(zhuǎn)發(fā)路徑規(guī)劃,一般跟AC對AP的管理路徑是分離的。無線用戶從AP到AC的轉(zhuǎn)發(fā)路徑跟AC對AP的管理路徑一致無線加解密AP完成,老AP無法支持新加密類型,另一方面能充分利用AP的加解密引擎提高網(wǎng)絡(luò)整體吞吐率AP或AC完成,可以支持功能較弱的AP,另一方面對AC的加解密能力要求提高,性能壓力較大整體網(wǎng)絡(luò)性能高低PORTAL的概念Portal在英語中是入口的意思。Portal認證通常也稱為Web認證,一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站。通常用來提供個性化、單次登錄、聚集各個信息源的內(nèi)容,并作為信息系統(tǒng)表現(xiàn)層的宿主。未認證用戶上網(wǎng)時,設(shè)備強制用戶登錄到特定站點,用戶可以免費訪問其中的服務(wù)。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時,必須在門戶網(wǎng)站進行認證,只有認證通過后才可以使用互聯(lián)網(wǎng)資源1*1備份介紹AC主AC備APCMNET心跳線VRRP:1*1采用VRRP虛擬路由冗余協(xié)議,當主AC出現(xiàn)故障的時候,備AC通過心跳線的檢測,取代主AC的地位工作。具有反應(yīng)快、用戶無感知等優(yōu)勢產(chǎn)生背景在傳統(tǒng)的組網(wǎng)環(huán)境中,用戶只要能接入局域網(wǎng)設(shè)備,就可以訪問網(wǎng)絡(luò)中的設(shè)備或資源,為加強網(wǎng)絡(luò)資源的安全控制和運營管理,很多情況下需要對用戶的訪問進行控制。例如,在一些公共場合、小區(qū)或公司的網(wǎng)絡(luò)接入點,提供接入服務(wù)的供應(yīng)商希望只允許付費的合法用戶接入,所以供應(yīng)商為每個用戶提供一個接入網(wǎng)絡(luò)的賬號和密碼。另外,一些企業(yè)會提供一些內(nèi)部關(guān)鍵資源給外部用戶訪問,并且希望經(jīng)過有效認證的用戶才可以訪問這些資源。技術(shù)優(yōu)點不需要部署客戶端,直接使用WEB頁面認證,使用方便;可以基于VLAN/SSID/WTPid粒度級別的個性化認證頁面,同時可以在Portal頁面上開展廣告業(yè)務(wù)、服務(wù)選擇和信息發(fā)布等內(nèi)容,進行業(yè)務(wù)拓展,實現(xiàn)IP網(wǎng)絡(luò)的運營;并采用Portalserver和Portalclient之間,BAS和Portalclient之間定期發(fā)送握手報文的方式來進行斷網(wǎng)檢測;可以跨越網(wǎng)絡(luò)層對用戶作認證,可以在企業(yè)網(wǎng)絡(luò)出口或關(guān)鍵數(shù)據(jù)的入口作訪問控制;詳細認證流程圖Portal交互過程分析1、用戶訪問網(wǎng)站,經(jīng)過AC重定向到PortalServer;2、Portalserver推送統(tǒng)一的認證頁面;3、用戶填入用戶名、密碼,提交頁面,向PortalServer發(fā)起連接請求4、Portal向Radius發(fā)出用戶信息查詢請求,由Radius驗證用戶密碼、查詢用戶信息,并向Portal返回查詢結(jié)果及系統(tǒng)配置的單次連接最大時長、手機用戶及卡用戶的套餐剩余時長信息;5、如果查詢失敗,Portal結(jié)束認證流程,并直接返回提示信息給用戶,指導用戶開戶及正確使用Portal交互過程分析6、如果查詢成功,PortalServer向AC請求Challenge;7、AC分配Challenge給PortalServer;8、PortalServer向AC發(fā)起認證請求;Portal交互過程分析Challenge報文分析注意:如果抓包沒有收到challenge報文,則需要portalsevver查明原因Portal交互過程分析Radius認證計費過程分析9、AC攜帶用戶名和密碼發(fā)起認證請求;10、radius返回認證結(jié)果;11、在次發(fā)起計費請求;12、radius回應(yīng)計費請求;Radish報文分析:access-requestRadius認證計費過程分析Radish報文分析:access-acceptRadius認證計費過程分析Radish報文分析:access-reject(拒絕報文)注意:如果收到此種報文,需由radius端給出說明Radius認證計費過程分析Radish報文分析:accounting-requestRadius認證計費過程分析Radish報文分析:accounting-responseRadius認證計費過程分析13、AC向PortalServer送認證結(jié)果14、PortalServer根據(jù)編碼規(guī)則判斷帳戶的歸屬地,推送歸屬地定制的個性化頁面,并將認證結(jié)果、系統(tǒng)配置的單次連接最大時長、套餐剩余時長、自服務(wù)選項填入頁面,和門戶網(wǎng)站一起推送給客戶,同時啟動正計時提醒15、PortalServer回應(yīng)確認收到認證結(jié)果的報文Radius認證計費過程分析用戶下線過程分析下線過程分為三種情況:1、主動發(fā)起下線請求(即點擊下線按鈕)2、強制顯現(xiàn)流程(即直接關(guān)閉portal頁面)3、異常下線流程(AC自己偵測到用戶下線)主動下線過程:(1)用戶發(fā)起下線請求到PortalServer;(2)PortalServer向AC請求下線;(3)AC回應(yīng)PortalServer下線請求;(4)PortalServer推送下線結(jié)果頁面給用戶用戶下線過程分析強制下線過程:(1)AC偵測到用戶的本次連接最大允許接入時間結(jié)束,向PortalServer請求下線;(2)PortalServer回應(yīng)下線成功,并向用戶推送下線結(jié)果頁面。用戶下線過程分析異常下線過程:(1)AC偵測到用戶下線,向PortalServer請求下線;(2)PortalServer回應(yīng)下線成功;用戶下線過程分析用戶下線停止計費報文分析:用戶下線過程分析以上過程為中國移動wlan業(yè)務(wù)portal協(xié)議規(guī)范。第四部分

WLAN安全技術(shù)

無線局域網(wǎng)的安全問題一、存在的威脅由無線局域網(wǎng)的傳輸介質(zhì)的特殊性,使得信息在傳輸過程中具有更多的不確定性,受到影響更大,主要表現(xiàn)在:竊聽。任何人都可以用一臺帶無線網(wǎng)卡的PC機或者廉價的無線掃描器進行竊聽,但是發(fā)送者和預(yù)期的接收者無法知道傳輸是否被竊聽,且無法檢測竊聽。修改替換。在無線局域網(wǎng)中,較強節(jié)點可以屏蔽較弱節(jié)點,用自已的數(shù)據(jù)取代,甚至會代替其他節(jié)點作出反應(yīng)。傳遞信任。當公司網(wǎng)絡(luò)包括一部分無線局域網(wǎng)時,就會為攻擊者提供一個不需要物理安裝的接口用于網(wǎng)絡(luò)入侵。因此,參與通信的雙方都應(yīng)該能相互認證。無線網(wǎng)絡(luò)面臨的安全問題基礎(chǔ)結(jié)構(gòu)攻擊?;A(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)中存在的漏洞如軟件臭蟲、錯誤配置、硬件故障等。但是針對這種攻擊進行的保護幾乎是不可能的,所能做的就是盡可能地降低破壞所造成的損失。拒絕服務(wù)。無線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊,攻擊者可以發(fā)送與無線局域網(wǎng)相同頻率的干擾信號來干擾網(wǎng)絡(luò)的正常運行,從而導致正常的用戶無法使用網(wǎng)絡(luò)。置信攻擊。通常情況下,攻擊者可以將自己偽造成基站。當攻擊者擁有一個很強的發(fā)送設(shè)備時,就可以讓移動設(shè)備嘗試登錄到他的網(wǎng)絡(luò),通過分析竊取密鑰和口令,以便發(fā)動針對性的攻擊。無線局域網(wǎng)安全技術(shù)1.物理地址過濾每個無線工作站的網(wǎng)卡都有唯一的物理地址,應(yīng)用媒體訪問控制(MAC)技術(shù),可在無線局域網(wǎng)的每一個AP設(shè)置一個許可接入的用戶的MAC地址清單,MAC地址不在清單中的用戶,接入點將拒絕其接入請求。但媒體訪問控制只適合于小型網(wǎng)絡(luò)規(guī)模。這是因為:MAC地址在網(wǎng)上是明碼模式傳送,只要監(jiān)聽網(wǎng)絡(luò)便可從中截取或盜用該MAC地址,進而偽裝使用者潛入企業(yè)或組織內(nèi)部偷取機密資料。部分無線網(wǎng)卡允許通過軟件來更改其MAC地址,可通過編程將想用的地址寫入網(wǎng)卡就可以冒充這個合法的MAC地址,因此可通過訪問控制的檢查而獲取訪問受保護網(wǎng)絡(luò)的權(quán)限。媒體訪問控制屬于硬件認證,而不是用戶認證。無線局域網(wǎng)安全技術(shù)2.有線對等保密有線等效保密(WEP)是常見的資料加密措施,WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。在鏈路層采用RC4對稱加密技術(shù),當用戶的加密密鑰與AP的密鑰相同時才能獲準存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP的工作原理是通過一組40位或128位的密鑰作為認證口令,當WEP功能啟動時,每臺工作站都使用這個密鑰,將準備傳輸?shù)馁Y料加密運算形成新的資料,并透過無線電波傳送,另一工作站在接收到資料時,也利用同一組密鑰來確認資料并做解碼動作,以獲得原始資料。無線局域網(wǎng)安全技術(shù)WEP目的是向無線局域網(wǎng)提供與有線網(wǎng)絡(luò)相同級別的安全保護,它用于保障無線通信信號的安全,即保密性和完整性。但WEP提供了40位長度的密鑰機制存在許多缺陷,表現(xiàn)在:40位的密鑰現(xiàn)在很容易破解。密鑰是手工輸入與維護,更換密鑰費時和困難,密鑰通常長時間使用而很少更換,若一個用戶丟失密鑰,則將危及到整個網(wǎng)絡(luò)。WEP標準支持每個信息包的加密功能,但不支持對每個信息包的驗證?,F(xiàn)在針對WEP的不足之處,對WEP加以擴展,提出了動態(tài)安全鏈路技術(shù)(DSL)。DSL采用了128位動態(tài)分配的密鑰,每一個會話都自動生成一把密鑰,并且在同一個會話期間,對于每256個數(shù)據(jù)包,密鑰將自動改變一次。

無線局域網(wǎng)安全技術(shù)3.Wi-Fi保護接入Wi-Fi保護性接入(WPA)是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。其原理為根據(jù)通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認證功能。WPA標準采用了TKIP、EAP和802.1X等技術(shù),在保持Wi-Fi認證產(chǎn)品硬件可用性的基礎(chǔ)上,解決802.11在數(shù)據(jù)加密、接入認證和密鑰管理等方面存在的缺陷。無線網(wǎng)絡(luò)的安全技術(shù)4.國家標準WAPI國家標準WAPI(WAPI),即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu),它是針對IEEE802.11中WEP協(xié)議安全問題,在中國無線局域網(wǎng)國家標準GB15629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰密碼體制的分組密碼算法,分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密,從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。WAPI的主要特點是采用基于公鑰密碼體系的證書機制,真正實現(xiàn)了移動終端(MT)與無線接入點(AP)間雙向鑒別。另外,它充分考慮了市場應(yīng)用,從應(yīng)用模式上可分為單點式和集中式。采用WAPI可以徹底扭轉(zhuǎn)目前WLAN多種安全機制并存且互不兼容的現(xiàn)狀,從而根本上解決安全和兼容性問題。無線網(wǎng)絡(luò)的安全技術(shù)5.端口訪問控制技術(shù)端口訪問控制技術(shù)(802.1x)是由IEEE定義的,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。該協(xié)議定義了認證和授權(quán),可以用于局域網(wǎng),也可以用于城域網(wǎng)。802.1x引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。EAP采用更多的認證機制,如MD5、一次性口令等等,從而提供更高級別的安全。802.1x是運行在無線網(wǎng)設(shè)備關(guān)聯(lián),其認證層次包括兩方面:客戶端到認證端,認證端到認證服務(wù)器。802.1x定義客戶端到認證端采用EAPoverLAN協(xié)議,認證端到認證服務(wù)器采用EAPoverRADIUS協(xié)議。無線網(wǎng)絡(luò)的安全技術(shù)802.1x要求無線工作站安裝802.1x客戶端軟件,無線訪問站點要內(nèi)嵌802.1x認證代理,同時它還作為Radius客戶端,將用戶的認證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。當無線工作站STA與無線訪問點AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認證結(jié)果。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統(tǒng)及計費,特別適合于公共無線接入解決方案。但是802.1x采用的用戶認證信息僅僅是用戶名與口令,在存儲、使用和認證信息傳遞中可能泄漏、丟失,存在很大安全隱患。加上無線接入點AP與RADIUS服務(wù)器之間用于認認證的共享密鑰是靜態(tài)的,且是手工管理,也存在一定的安全隱患。無線網(wǎng)絡(luò)的安全技術(shù)7.虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)(VPN,VirtualPrivateNetwork)指使用互聯(lián)網(wǎng)連接物理上分散的系統(tǒng)來模擬單一專用網(wǎng)的安全方式,通過隧道和加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性。保護內(nèi)部網(wǎng)免遭公共互聯(lián)網(wǎng)攻擊的技術(shù)是VPN防火墻。同樣無線LAN,也可以采用該安全框架,即安裝兩道防火墻:一個作為進入內(nèi)部網(wǎng)的網(wǎng)關(guān),另一個處于無線LAN和內(nèi)部網(wǎng)之間,無線防火墻只允VPN通信,如圖8.22所示。無線用戶可以向無線基礎(chǔ)設(shè)施認證自己。實際上,把無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)隔離,只允許VPN通信經(jīng)過,是利用了緩沖區(qū)的辦法來增強網(wǎng)絡(luò)安全性。此外,基于IPsec的VPN技術(shù)采用的IP層加密協(xié)議,可以防止通信被竊聽。無線網(wǎng)絡(luò)的安全技術(shù)

無線虛擬專用網(wǎng)安全框架無線網(wǎng)絡(luò)的安全技術(shù)VPN可以替代無線對等加密解決方案和物理地址過濾解決方案,也可以與WEP協(xié)議互補使用。但是VPN技術(shù)應(yīng)用于無線網(wǎng)絡(luò)也有其局限性,具體表現(xiàn)在:運行脆弱。因突發(fā)干擾或AP間越區(qū)切換等因素導致的無線鏈路質(zhì)量波動或短時中斷是很常見的。吞吐量小。在一個VPN網(wǎng)絡(luò)里進行的任何交換必須經(jīng)過一個VPN服務(wù)器,一臺典型的VPN服務(wù)器能夠達到30-50Mbps的數(shù)據(jù)吞吐量。通用性差。VPN技術(shù)在國內(nèi)、甚至在國際上沒有一個統(tǒng)一的開發(fā)標準。擴展性差。改變一個VPN網(wǎng)絡(luò)的拓撲結(jié)構(gòu)或內(nèi)容,用戶將不得不重新規(guī)劃并進行網(wǎng)絡(luò)配置。成本高。上述3個問題實際在不同程度上直接導致了用戶網(wǎng)絡(luò)架設(shè)的成本攀升。另外,VPN產(chǎn)品價格就很高。第五部分

WLAN網(wǎng)管監(jiān)控知識Snmp介紹SNMP(SimpleNetworkManagedProtocol)是簡單網(wǎng)絡(luò)管理協(xié)議的簡稱,首先是由工程任務(wù)組織IETF研究小組為了解決Internet上的路由管理問題而提出的,屬于應(yīng)用層協(xié)議。由于其簡單易用,是事實上的網(wǎng)絡(luò)管理工業(yè)標準。目前有SNMPv1、SNMPv2、SNMPv3三種正式版本SNMP網(wǎng)絡(luò)管理模型SNMP網(wǎng)絡(luò)管理模型有4個組成部分:被管理節(jié)點(ManagementNode):運行SNMP代理程序(SNMPagent),維護一個本地數(shù)據(jù)庫,描述節(jié)點的狀態(tài)和歷史,并影響節(jié)點的運行管理站(ManagementStation):運行專門的網(wǎng)絡(luò)管理軟件(manager),使用管理協(xié)議與被管理節(jié)點上的SNMP代理通信,維護管理信息庫管理信息庫(ManagementInformationBase):每個站點使用一個或多個變量描述自己的狀態(tài),這些變量稱為“對象(objects)”,所有的對象組成管理信息庫MIB(ManagementInformationBase)管理協(xié)議(ManagementProtocol):管理協(xié)議用于管理工作站查詢和修改被管理節(jié)點的狀態(tài),被管理節(jié)點可以使用管理協(xié)議向管理站點產(chǎn)生“陷阱(trap)”報告SNMP處理流程

SNMP管理協(xié)議的5種消息類型(1)get–request

操作:從代理進程處提取一個或多個參數(shù)值。(2)get-next-request

操作:從代理進程處提取一個或多個參數(shù)的下一個參數(shù)值。(3)set-request

操作:設(shè)置代理進程的一個或多個參數(shù)值。(4)get-response

操作:返回的一個或多個參數(shù)值。這個操作是由代理進程發(fā)出的。它是前面3中操作的響應(yīng)操作。(5)trap

操作:代理進程主動發(fā)出的報文,通知管理進程有某些事情發(fā)生。SNMP消息類型SNMP配置登陸ac的web頁面,點擊snmp默認snmp和trap關(guān)閉緩存周期是發(fā)給snmp服務(wù)器的數(shù)據(jù),在周期內(nèi)不會改變。摘要信息共同體信息默認共同體public為讀,匹配所有地址默認共同體private為讀寫,匹配所有地址注:可以添加、刪除和修改共同體,以精確匹配條件。添加TRAP告警服務(wù)器第六部分

WLAN相關(guān)性能統(tǒng)計指標監(jiān)控

性能參數(shù)類別系統(tǒng)性能統(tǒng)計連接信息統(tǒng)計接口性能統(tǒng)計SSID性能統(tǒng)計終端性能統(tǒng)計WAPI性能統(tǒng)計QoS性能統(tǒng)計WLAN性能統(tǒng)計WLAN性能統(tǒng)計指標參數(shù)(名/組)說明AC在線用戶數(shù)當前連接到AC的AP數(shù)量CPU利用率有平均、實時值之分,目前用的是平均,可選的還有峰值內(nèi)存利用率有平均、實時值之分,目前用的是平均,可選的還有峰值認證請求數(shù)/認證成功數(shù)DHCP請求次數(shù)/DHCP請求成功數(shù)集團要求按AC提供,廣東移動要求每個DHCP地址池都提供接口性能統(tǒng)計核心是各接口的發(fā)送/接口字節(jié)數(shù),廣東移動要求的有:端口接收單播包數(shù)端口接收非單播包數(shù)端口接收的總字節(jié)數(shù)端口丟棄接收到的包數(shù)端口接收到的錯誤包數(shù)端口發(fā)送單播包數(shù)端口發(fā)送非單播包數(shù)端口發(fā)送的總字節(jié)數(shù)端口丟棄要發(fā)送的包數(shù)端口發(fā)送錯誤的包數(shù)端口updown次數(shù)WLAN性能統(tǒng)計指標參數(shù)(名/組)說明AP關(guān)聯(lián)用戶數(shù)AP在線用戶數(shù)用戶異常掉線的總次數(shù)CPU利用率有平均、實時值之分,目前用的是平均,可選的還有峰值內(nèi)存利用率有平均、實時值之分,目前用的是平均,可選的還有峰值關(guān)聯(lián)總次數(shù)/關(guān)聯(lián)失敗總次數(shù)認證請求數(shù)/認證成功數(shù)AC和AP上都有過要求,移動集團提的是AC上的AP有線接口性能統(tǒng)計主要包括:端口發(fā)送/接收的總字節(jié)數(shù)端口發(fā)送/接收的數(shù)據(jù)字節(jié)數(shù)(總字節(jié)和數(shù)據(jù)字節(jié)數(shù)差異較大)AP無線接口性能統(tǒng)計主要包括:端口發(fā)送/接收的總字節(jié)數(shù)端口發(fā)送/接收的數(shù)據(jù)字節(jié)數(shù)(總字節(jié)和數(shù)據(jù)字節(jié)數(shù)差異較大)終端信息應(yīng)包括各AP上關(guān)聯(lián)終端的相關(guān)信息,主要包括:終端的MAC地址終端連接時長AP接收到的終端的當前信號強度發(fā)送到終端的總包數(shù)發(fā)送到終端的總字節(jié)數(shù)從終端收到的總包數(shù)從終端收到的總字節(jié)數(shù)用戶信息應(yīng)包括各AP上在線用戶的相關(guān)信息,主要包括:用戶的MAC地址用戶的IP地址用戶登錄賬號用戶上線時間用戶在線時長性能計算方法--非直觀參數(shù)像網(wǎng)元名稱、信道號等參數(shù)都比較直觀,從設(shè)備上查詢到的值很容易明白。但有不少參數(shù)需要結(jié)合MIB庫中的描述或設(shè)備廠家提供的說明、或者要對一段時間的數(shù)據(jù)進行計算才能得到有意義的顯示值。非直觀參數(shù)的值如何讓人明白,這是網(wǎng)管軟件通常做的事情。對于網(wǎng)管接口測試時,一定要明白這些基本的轉(zhuǎn)換或計算方法。性能計算方法--非直觀參數(shù)結(jié)合單位來理解如“實時采集周期”查詢到的值為5,需要知道其單位是秒還是分鐘。有的參數(shù)如“在線時長”的單位還用1/100秒(即SNMP中的TimeTicks數(shù)據(jù)類型)表示結(jié)合值含義對照表來理解如“接口當前狀態(tài)”查詢到的值為1,就需要知道1表示“up”還是表示“down”。當然如果利用已編譯好完整MIB庫的MIB瀏覽器軟件來查詢,結(jié)果一般都能把原始數(shù)字和英文含義反映出來。性能計算方法--非直觀參數(shù)對不同時間段取到的計數(shù)器值求差值對于性能統(tǒng)計參數(shù),有些可以表示瞬時狀態(tài),如“當前關(guān)聯(lián)的終端數(shù)”、“當前在線用戶數(shù)”。但有不少參數(shù)無法用瞬時值表示,只能采取計數(shù)器的形式來表示,每次有變化就進行累加,如“端口發(fā)送字節(jié)數(shù)”、“用戶認證次數(shù)”、“終端關(guān)聯(lián)次數(shù)”、“DHCP請求成功數(shù)”等。對這些計數(shù)值就要從一個時間段來觀察其變化情況,如求AP無線端口5分鐘內(nèi)的發(fā)送數(shù)據(jù)字節(jié)數(shù)(也即下載流量),就應(yīng)該在5分鐘開始和結(jié)束兩個時間點采集到“AP無線端口發(fā)送數(shù)據(jù)字節(jié)數(shù)”后,對兩者求差值。

由于計數(shù)器存在數(shù)值歸零和越界的情況,這也是各廠家設(shè)備常常處理不好的問題,容易造成網(wǎng)管上統(tǒng)計出錯。性能計算方法--AC每小時流量計算AC的上行流量(AC的WAN口當前流出字節(jié)數(shù)-AC的WAN口1小時前流出字節(jié)數(shù))AC的下行流量(AC的WAN口當前流入字節(jié)數(shù)-AC的WAN口1小時前流入字節(jié)數(shù))AC的上行峰值流速前1小時內(nèi)每5分鐘取一次AC的WAN口流出字節(jié)數(shù),計算出每5分鐘的流速,最后從12個點中取最大的值A(chǔ)C的下行峰值流速前1小時內(nèi)每5分鐘取一次AC的WAN口流入字節(jié)數(shù),計算出每5分鐘的流速,最后從12個點中取最大的值性能計算方法--AP每小時流量計算AP的上行流量(AP的無線口當前流入字節(jié)數(shù)-AP的無線口1小時前流入字節(jié)數(shù))AP的下行流量(AP的無線口當前流出字節(jié)數(shù)-AP的無線口1小時前流出字節(jié)數(shù))AP的上行峰值流速前1小時內(nèi)每5分鐘取一次AP的無線口流入字節(jié)數(shù),計算出每5分鐘的流速,最后從12個點中取最大的值A(chǔ)P的下行峰值流速前1小時內(nèi)每5分鐘取一次AP的無線口流出字節(jié)數(shù),計算出每5分鐘的流速,最后從12個點中取最大的值熱點的流量將熱點中所有AP的流量相加性能計算方法--AP關(guān)聯(lián)成功率計算

“AP關(guān)聯(lián)成功率”設(shè)備上一般不直接提供,成功率需要結(jié)合一段時間才能計算得出來,需要在網(wǎng)管上處理。設(shè)備上提供“關(guān)聯(lián)失敗總次數(shù)”和“關(guān)聯(lián)總次數(shù)”,兩者都是計數(shù)器類型參數(shù)。這樣前一小時的AP關(guān)聯(lián)成功率計算公式為:(AP當前關(guān)聯(lián)失敗總次數(shù)-AP1小時前關(guān)聯(lián)失敗總次數(shù))/(AP當前關(guān)聯(lián)總次數(shù)-AP1小時前關(guān)聯(lián)總次數(shù))×100%通常情況下,像關(guān)聯(lián)次數(shù)這種核心性能數(shù)據(jù),一般網(wǎng)管上的采集頻率比較高,可以每5分鐘采集一次。這樣計算前一小時的AP關(guān)聯(lián)成功率可以對前一小時每5分鐘求關(guān)聯(lián)成功率,最后對12項成功率數(shù)值求平均,得到一小時的平均關(guān)聯(lián)成功率。第七部分

WLAN設(shè)備日常值班監(jiān)控方法

WLAN維護管理概述WLAN故障分類WLAN維護管理的基本任務(wù)保證設(shè)備的完好,設(shè)備的電氣性能、機械性能、維護技術(shù)指標及各項服務(wù)指標符合標準。搞好全網(wǎng)的協(xié)作配合,迅速準確地排除各種通信故障,保證全網(wǎng)的運行質(zhì)量。確保網(wǎng)絡(luò)層的可靠性,完善組網(wǎng)結(jié)構(gòu),設(shè)置合理的備用路由和備份方式。做好業(yè)務(wù)層的維護和網(wǎng)間配合工作,實現(xiàn)業(yè)務(wù)的可靠性。搞好網(wǎng)絡(luò)優(yōu)化,提高通信質(zhì)量。做好網(wǎng)絡(luò)安全的管理。負責新設(shè)備、擴容設(shè)備的入網(wǎng)質(zhì)量把關(guān)。保證設(shè)備清潔,機房環(huán)境條件良好。建立健全必要的系統(tǒng)技術(shù)資料和維護資料的檔案。WLAN維護職責認真貫徹執(zhí)行有關(guān)維護管理的各項管理制度、維護規(guī)程和安全措施,完成各項通信任務(wù)和質(zhì)量指標。組織制定維護作業(yè)計劃,定期檢查和分析設(shè)備、網(wǎng)絡(luò)及系統(tǒng)的運行情況,保證設(shè)備完好,系統(tǒng)運行正常。負責本地AP、AC及輔助設(shè)備的現(xiàn)場維護。監(jiān)視AP、AC及輔助設(shè)備的各種告警,發(fā)現(xiàn)問題積極與相關(guān)部門和廠家聯(lián)系,完成本地故障的檢查、定位、測試和修復(fù)工作,并積極向各?。▍^(qū)、市)公司網(wǎng)絡(luò)部門報告設(shè)備情況,事后認真總結(jié),制定防范措施。負責處理WLAN系統(tǒng)與本地數(shù)據(jù)網(wǎng)節(jié)點的故障,定期檢查WLAN系統(tǒng)與本地數(shù)據(jù)節(jié)點間網(wǎng)絡(luò)連通性,主動和相關(guān)部門協(xié)調(diào)排除故障。負責WLAN系統(tǒng)軟硬件版本管理及關(guān)鍵數(shù)據(jù)的備份,包括:設(shè)備軟硬件版本升級、軟硬件技術(shù)資料的管理、系統(tǒng)數(shù)據(jù)庫、文件系統(tǒng)的備份等。負責受理本地業(yè)務(wù)部門的申告,并及時處理。負責上報現(xiàn)場維護質(zhì)量統(tǒng)計報表和數(shù)據(jù)統(tǒng)計報表。具體維護測試項目序號測試范圍測試項目測試周期備注1機房環(huán)境機房空調(diào)、溫濕度檢查及記錄日

2系統(tǒng)狀態(tài)硬件系統(tǒng)檢查日3AP的監(jiān)控網(wǎng)管到AP可達性監(jiān)控日

4AP工作狀態(tài)的監(jiān)控日5AP到AC可達性的監(jiān)控日6AP覆蓋區(qū)域信噪比月7AP覆蓋區(qū)域場強測試月8AC的監(jiān)控

網(wǎng)管到AC的可達性監(jiān)控日9AC工作狀態(tài)的監(jiān)控日10AC到認證服務(wù)系統(tǒng)的可達性監(jiān)控日11AC工作進程的狀態(tài)監(jiān)控日12AC工作端口的狀態(tài)監(jiān)控日13定期察看系統(tǒng)日志日14其它相關(guān)系統(tǒng)監(jiān)控其它相關(guān)系統(tǒng)可用性測試日15性能分析忙時接入響應(yīng)分析日

16其它

傳輸資料的檢查核對月

17設(shè)備清潔、除塵月

18定期修改設(shè)備密碼季

19備品備件的清理核對季

具體維護測試項目(續(xù))WLAN維護管理概述

WLAN故障分類WLAN故障分類凡線路在承擔業(yè)務(wù)期間,不論何種原因造成中斷或質(zhì)量降低至用戶反映無法使用,稱線路故障。凡介入通信的主備用設(shè)備,在規(guī)定的運行時間內(nèi)不能正常運行者,稱設(shè)備故障。由于管理、聯(lián)系或操作錯誤等原因造成通信故障或不良后果的為人為故障。由于WLAN系統(tǒng)服務(wù)質(zhì)量低下,業(yè)務(wù)無法正常使用而造成大量用戶投訴的,稱為業(yè)務(wù)故障。

WLAN故障級別系統(tǒng)或關(guān)鍵設(shè)備發(fā)生下列現(xiàn)象稱全網(wǎng)嚴重故障。WLAN系統(tǒng)BRAS、RADIUS或PORTAL服務(wù)器宕機導致WLAN業(yè)務(wù)全阻超過30分鐘;WLAN認證計費系統(tǒng)與CMNet骨干網(wǎng)IP通路及與七號信令網(wǎng)通路中斷導致WLAN業(yè)務(wù)全阻超過30分鐘;其它故障為一般故障。

系統(tǒng)或關(guān)鍵設(shè)備發(fā)生下列現(xiàn)象稱省內(nèi)嚴重故障。WLAN認證系統(tǒng)與本?。▍^(qū)、市)IP通路及與七號信令網(wǎng)通路中斷導致該省(區(qū)、市)WLAN業(yè)務(wù)全阻超30分鐘。嚴重故障發(fā)生后必須立即匯報,嚴重故障在24小時內(nèi)向上級主管部門書面匯報。嚴重故障發(fā)生后,當?shù)鼐W(wǎng)絡(luò)部應(yīng)立即查清故障原因,落實防范措施,確定故障性質(zhì)和責任。當事班組應(yīng)填寫故障報告,由主管領(lǐng)導填寫意見,于故障發(fā)生后三天內(nèi)報上級主管部門。故障處理的傳報故障處理中的牽頭單位和部門有關(guān)中國移動通信計費認證的故障處理由省公司網(wǎng)絡(luò)部牽頭,其他單位和部門配合。與當?shù)谿SM網(wǎng)之間的故障處理,按GSM故障處理流程處理。AC和AP之間的故障處理,由基站室負責處理,其他單位和部門配合。中心交換機、匯聚設(shè)備、傳輸設(shè)備故障,由交換室負責處理,其他單位和部門配合。設(shè)備故障統(tǒng)計WLAN系統(tǒng)的各類設(shè)備出現(xiàn)故障,都應(yīng)做好詳細的記錄,并定期對故障現(xiàn)象和處理情況進行匯總統(tǒng)計。設(shè)備故障記錄內(nèi)容應(yīng)包括故障現(xiàn)象、故障類型、故障起始時間、故障修復(fù)時間、故障歷時、故障原因分析及解決情況、故障處理情況及責任分析、故障處理人等。匯總統(tǒng)計時應(yīng)根據(jù)故障類型,對各類問題進行匯總。對涉及設(shè)備質(zhì)量方面的問題,應(yīng)及時向有關(guān)部門報告。全網(wǎng)嚴重故障應(yīng)立即上報集團公司。WLAN故障處理流程故障排除一般流程第八部分

WLAN熱點告警分析和告警處理故障管理(FaultManagement)對系統(tǒng)中主要是網(wǎng)元設(shè)備故障情況的管理,包括故障的檢測、診斷、定位和恢復(fù)等,軟件上表現(xiàn)的一般為告警記錄相關(guān)概念:告警級別:一般可將告警分為嚴重、重要、次要、輕微等不同級別當前告警和歷史告警:告警有時產(chǎn)生后又恢復(fù)了正常,所以存在當前告警(目前正呈現(xiàn)的告警)和歷史告警(曾經(jīng)出現(xiàn)過的告警)兩種告警屏蔽:有些告警產(chǎn)生可以是因為相關(guān)接口沒接信號,并不嚴重,可以在設(shè)備側(cè)或網(wǎng)管側(cè)對其進行屏蔽WLAN告警分析和處理移動規(guī)范中的告警和通告指的是由設(shè)備主動上報給網(wǎng)管的信息,一般不提供網(wǎng)管端直接查詢?!巴ǜ妗敝傅氖且环N事件的通知,即一瞬間產(chǎn)生的,不存在告警清除,如“IP地址變更通告”“告警”則一般有對應(yīng)“告警清除”,如“內(nèi)存利用率過高告警”和“內(nèi)存利用率過高告警清除”WLAN告警分析和處理告警和通告類別系統(tǒng)告警及通告認證服務(wù)器告警無線相關(guān)告警終端通告WAPI安全相關(guān)告警信息AC系統(tǒng)告警及通告電源掉電告警電源掉電告警清除CPU利用率過高告警CPU利用率過高告警清除內(nèi)存利用率過高告警內(nèi)存利用率過高告警清除AC發(fā)生主備切換告警AC的DHCP可分配地址耗盡告警AC的DHCP可分配地址耗盡告警清除AC與AP間系統(tǒng)時鐘同步失敗通告系統(tǒng)冷啟動通告系統(tǒng)熱啟動通告心跳周期通告IP地址變更通告WLAN告警--AC告警和通告認證服務(wù)器告警Radius認證服務(wù)器不可達/不可用/無法連接告警Radius認證服務(wù)器不可達/不可用/無法連接告警清除Radius計費服務(wù)器不可達/不可用/無法連接告警Radius計費服務(wù)器不可達/不可用/無法連接告警清除Portal服務(wù)器不可達告警Portal服務(wù)器不可達告警清除WLAN告警--AC告警和通告AP系統(tǒng)告警及通告CPU利用率過高告警CPU利用率過高告警清除內(nèi)存利用率過高告警內(nèi)存利用率過高告警清除AP下線告警AP上線通告AP無線監(jiān)視工作模式變更通告WLAN告警--瘦AP告警和通告無線相關(guān)告警同頻AP干擾告警同頻AP干擾告警清除鄰頻AP干擾告警鄰頻AP干擾告警清除終端干擾告警終端干擾告警清除其他設(shè)備干擾告警其他設(shè)備干擾告警清除無線鏈路中斷告警無線鏈路中斷告警清除AP無法增加新的移動用戶告警AP無法增加新的移動用戶告警清除無線信道變更通告WLAN告警--瘦AP告警和通告終端通告終端鑒權(quán)失敗通告終端關(guān)聯(lián)失敗通告WAPI安全相關(guān)告警信息非法證書用戶侵入網(wǎng)絡(luò)通告客戶端重放攻擊通告篡改攻擊通告安全等級降低攻擊通告地址重定向攻擊通告WLAN告警--瘦AP告警和通告Trap索引WLAN網(wǎng)絡(luò)設(shè)備維護一、有線端設(shè)備維護與檢測二、無線端設(shè)備維護與檢測有線端設(shè)備維護與檢測無線控制器(AC)AC是否正常工作,有無死機現(xiàn)象?檢測:各指示燈是否正常顯示,風扇是否停止轉(zhuǎn)動AC與核心設(shè)備(交換機,路由器,服務(wù)器等)連接是否正確?檢測:AC的WAN口接上級出口的設(shè)備接口,LAN口接下行到熱點區(qū)域交換機連接的端口有線端設(shè)備維護與檢測無線控制器(AC)AC是否對AP和用戶的數(shù)據(jù)分開處理?檢測:AC上是否對AP開啟DHCP服務(wù),對AP和用戶劃分不同的VLANAC是否對AP下發(fā)配置信息,讓AP能夠工作?檢測:用筆記本在AP覆蓋范圍內(nèi)進行無線網(wǎng)絡(luò)搜索,能否搜索到SSID、信道等(AC里需對AP作配置模板)有線端設(shè)備維護與檢測交換機匯聚交換機到AC與匯聚交換機到熱點接入交換機的鏈路是否已通?檢測:在熱點交換機上PING其連接的AC及匯聚交換機相應(yīng)端口的IP,檢查是否已通;查看各交換機的命令是否正確配置(按照規(guī)劃的VLAN及IP地址配置);使用traceroute命令查找鏈路上已通的設(shè)備,可查找出不通一段鏈路,進行排除故障有線端設(shè)備維護與檢測POE模塊POE模塊對AP供電,AP不起來?檢測:POE模塊連接AP的線路是否有錯誤,正確如下圖所示APPOE交換機交流電220VDATEDATE+POWER有線端設(shè)備維護與檢測POE模塊POE模塊中連AP的網(wǎng)線不能大于90米,連接交換機的網(wǎng)線不能超過100米,注:POE交換機是直接連AP,網(wǎng)線不超過90米有線端設(shè)備維護與檢測光纖收發(fā)器光纖收發(fā)器之間鏈路是否已通?檢測:查看光纖收發(fā)器正常狀態(tài)下的3個指示燈亮:POWER、TX、RX,如果有一個指示燈不亮都說明設(shè)備工作不正常。無線端設(shè)備維護與檢測無線APAP在AC上沒有上線?檢測:首先檢查AP到交換機的線路通不通,不通的檢查網(wǎng)線的線序有無做錯,如果POE供電的話,還得看線路有沒有超過90米;然后查交換機的配置是否正確,交換機上能否PING通網(wǎng)關(guān)及AC;AP是否有干擾?檢測:用軟件搜索該AP的SSID,信道,看是否與旁邊的AP設(shè)置的是一個信道?如果是,剛在AC里更改配置模板,將信道更改第九部分

WLAN故障處理的思路和方法

常見的AP關(guān)聯(lián)失敗問題和解決方法AP在線無信號的解決方法用戶獲取不了IP地址的解決方法用戶連接或下載慢的解決方法用戶能上網(wǎng)但不能打開網(wǎng)頁的解決方法AC插上光模塊連接尾纖后,光口指示燈不亮的解決方法使用抓包工具,分析故障原因

常見故障排查一、AP關(guān)聯(lián)失敗的問題

排除版本和型號不匹配的原因影響后,開始排查網(wǎng)絡(luò)原因排查步驟:1、將筆記本有線網(wǎng)卡改成自動獲取IP地址,連接poe交換機,看是否能獲取地址。是,轉(zhuǎn)到16步;否,轉(zhuǎn)到第2步。2、手動給筆記本設(shè)置IP地址、網(wǎng)關(guān)與AP同一網(wǎng)段,pingACLAN口IP,是否通。是,到11步;否,到第三步。3、ping筆記本網(wǎng)關(guān)是否通。是,到13步;否,到第4步。4、檢查網(wǎng)關(guān)地址是否有誤。否,到第5步。5、登陸poe交換機查看是否能學習到AP的MAC。是,到第6步;否,到第19步。6、登陸poe、交換機,觀察AP管理vlan到網(wǎng)關(guān)是否透傳。是,到第10步。否,到第7步。7、修改vlan使其透傳。8、登陸poe交換機,ping其他poe交換機的管理地址來判斷poe上行鏈路的連通性。9、重做傳輸鏈路。10、按5-7的步驟往上排查,使鏈路導通。11、AP網(wǎng)關(guān)所在設(shè)備的DHCP-RELAY地址是否正確。否,到下一步;是,到第13步。12、修改DHCP-RELAY地址到ACLAN口。13、遠程或串口登陸AC是否能ping通AP的網(wǎng)關(guān)。14、檢查AC是否設(shè)定靜態(tài)路由條目指向AP所在網(wǎng)段。15、要求運營商做通中間鏈路的路由。16、登錄AP查看是否為胖AP;是,轉(zhuǎn)成瘦;否,下一步。17、對站點AP側(cè)及ACLAN口側(cè)分別進行上下行抓包,觀察AP的UDP報文是否發(fā)出,AC

是否接收到對應(yīng)AP的發(fā)出的UDP包。是,到19步結(jié)束。否,到18步。18、協(xié)調(diào)運營商檢查鏈路是否做策略。19、AP與AC報文格式之間的匹配問題,需聯(lián)系總部工程師反饋情況。20、重新激活交換機接口。21、對AP進行復(fù)位操作。22、對AP進行升級操作。23、更換AP。

排除版本和型號匹配的原因影響后,開始排查網(wǎng)絡(luò)原因一、AP關(guān)聯(lián)失敗的問題二、AP在線無信號的解決方法1、AP處于quit狀態(tài)2、radio接口處于disable或shutdown狀態(tài)3、APradio卡可能處于11a模式,部分筆記本無線網(wǎng)卡不支持11a,從而無法搜索信號處理方法:1、showwtplist查看AP的狀態(tài),run狀態(tài)表示AP正常在線。

以下原因可能導致AP沒信號:

二、AP在線無信號的解決方法處理方法:2、showradiolist查看APradio的狀態(tài),enable狀態(tài)表示正常狀態(tài)。同時可觀察到radiotype列顯示的AP工作模式。修改模式的方法見“AC常用配置命令”。3、showrun命令查看radio接口的配置,下圖為正常狀態(tài),如出現(xiàn)shutdown字樣則radio接口處于關(guān)閉狀態(tài),所以沒信號。

二、AP在線無信號的解決方法處理方法:5、重啟radio接口、重啟AP、交換機端口斷電、把網(wǎng)線等方法可讓AP重新正常工作。

三、用戶獲取不了地址的解決方法1、如果是本地轉(zhuǎn)發(fā),交換機可能沒有正確的配置業(yè)務(wù)vlan2、DHCP服務(wù)器故障,如地址空間較少已分配完畢3、筆記本無線網(wǎng)卡靈敏度較高,導致在信號接近的AP之間來回切換處理方法:1、cmd窗口運行“ipconfig/release”再重新連接。2、確認DHCP服務(wù)器發(fā)送數(shù)據(jù)是否帶有VLANtag。3、如果不帶vlantag,可用筆記本有線接入DHCP服務(wù)器連接口,看是否能獲取地址,能獲取則檢查下方的網(wǎng)絡(luò)配置,不能,則進行第3步。4、手動設(shè)置IP地址(與DHCP-Server同一網(wǎng)段),能否ping通DHCP-Server的IP,ping通,則DHCP-Server故障,ping不通,則是鏈路的原因?qū)е隆?、檢查交換機的VLAN標記有沒配錯,本地轉(zhuǎn)發(fā)要交換機連接AP端口配置成trunk模式,業(yè)務(wù)vlan帶tag。6、把AP降功率,使其信號穩(wěn)定或調(diào)整無線網(wǎng)卡的漫游靈敏度。AP降功率配置詳見“AC常用配置命令”。

以下原因可能用戶獲取不了地址:

四、用戶連接或下載慢的解決方法1、鏈路原因?qū)е聲r延大或丟包2、受廣播風暴影響,帶寬利用率下降3、同頻干擾和發(fā)射功率過大處理方法:1、分別在無線和有線側(cè),用長、短包ping網(wǎng)關(guān)觀察時延和丟包率,例:ping10.15.0.1–l1450–t(長包)和ping10.15.0.1–t(短包)。判斷故障發(fā)生在無線端還是有線端。2、通過在交換機劃分多個vlan或配置隧道模式,隔離廣播。3、調(diào)整AP的信號避免信號重疊,調(diào)低發(fā)射功率降提高信號質(zhì)量。

以下原因可能用戶下載慢或不能連接:

五、用戶能上網(wǎng)但不能打開網(wǎng)頁的解決方法1、瀏覽器是否設(shè)置proxy2、DNS解析和Hosts文件設(shè)置是否正常3、系統(tǒng)是否正常處理方法:1、IE瀏覽器-工具-連接-局域網(wǎng)設(shè)置-代理服務(wù)器,把勾取消

以下原因可能用戶下載慢或不能連接:五、用戶能上網(wǎng)但不能打開網(wǎng)頁的解決方法處理方法:2、cmd窗口運行,ipconfig/flushdns;查看hosts文件是否正常,下圖為正常顯示五、用戶能上網(wǎng)但不能打開網(wǎng)頁的解決方法處理方法:3、用360安全衛(wèi)士修復(fù)IE瀏覽器,用殺毒軟件掃描系統(tǒng)是否中毒或必要時重裝系統(tǒng)。六、AC插上光模塊連接尾纖后,光口指示燈不亮的解決方法處理方法:1、檢查光模塊兩端參數(shù)(單模、多模、波長)是否匹配,不匹配則更換成匹配。2、檢查接口雙工和協(xié)商速率,部分AC只支持自適應(yīng)速率,因此對端必須調(diào)為自適應(yīng)。3、查看端口參數(shù)是否有誤。七、使用抓包工具,分析故障原因使用抓包工具是網(wǎng)絡(luò)工程師排查故障的重要手段,對于疑難雜癥及未知故障通常需要抓包分析原因。常用的抓包工具有:tcpdump、Omnipeek、

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論