《數(shù)據(jù)網(wǎng)組建與維護》課件-8.1任務(wù)1 WLAN基本配置

WLAN概述數(shù)據(jù)網(wǎng)組建與維護主講教師：劉曉君CONTENTS目錄1無線網(wǎng)絡(luò)分類2無線局域網(wǎng)WLAN3WLAN與WiFi4無線協(xié)議標準WLAN的安全問題AP1AP2非法APSTAAttackACSSID：Huawei認證方式：開放加密方式：開放SSID：Huawei認證方式：開放加密方式：開放SSID：HuaweiWLAN以無線信道作為傳輸媒介，利用電磁波在空氣中收發(fā)數(shù)據(jù)實現(xiàn)了傳統(tǒng)有線局域網(wǎng)的功能。然而由于WLAN傳輸媒介的特殊性和其固有的安全缺陷，用戶的數(shù)據(jù)面臨被竊聽和篡改的威脅，WLAN網(wǎng)絡(luò)常見的安全威脅有以下幾個方面。未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)非法AP數(shù)據(jù)安全拒絕服務(wù)攻擊無線網(wǎng)絡(luò)分類無線網(wǎng)絡(luò)根據(jù)應(yīng)用范圍可分為WPAN、WLAN、WMAN、WWAN。WPAN(WirelessPersonalAreaNetwork)：個人無線網(wǎng)絡(luò)，常用技術(shù)有：Bluetooth、Zigbee、NFC。WLAN(WirelessLocalAreaNetwork)：無線局域網(wǎng)，常用技術(shù)有：Wi-Fi。WMAN(WirelessMetropolitanAreaNetwork)：無線城域網(wǎng)，常用技術(shù)有：WiMax。WWAN(WirelessWideAreaNetwork)：無線廣域網(wǎng)，常用技術(shù)有：GSM、CDMA、WCDMA、TD-SCDMA、LTE、5G。無線局域網(wǎng)WLANWLAN即WirelessLAN（無線局域網(wǎng)），是指通過無線技術(shù)構(gòu)建的無線局域網(wǎng)絡(luò)。WLAN廣義上是指以無線電波、激光、紅外線等無線信號來代替有線局域網(wǎng)中的部分或全部傳輸介質(zhì)所構(gòu)成的網(wǎng)絡(luò)。通過WLAN技術(shù)，用戶可以方便地接入到無線網(wǎng)絡(luò)，并在無線網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)自由移動，徹底擺脫有線網(wǎng)絡(luò)的束縛。有線網(wǎng)絡(luò)SwitchSwitchRouterPCAccessPoint無線信號無線網(wǎng)絡(luò)WLAN與WiFiWLAN：是計算機網(wǎng)絡(luò)和無線通信技術(shù)(Wi-Fi)相結(jié)合的產(chǎn)物，是有線網(wǎng)絡(luò)的無線化延伸。Wi-Fi：是一種基于IEEE802.11標準的無線局域網(wǎng)技術(shù)。在日常生活中，常會將Wi-Fi當(dāng)做802.11的同義詞。Wi-Fi在辦公場景的發(fā)展趨勢1990年代初期1990年代晚期現(xiàn)在移動1.0移動2.0移動3.0固定辦公時代臺式機數(shù)據(jù)業(yè)務(wù)初級移動辦公時代便攜機：語音業(yè)務(wù)+數(shù)據(jù)業(yè)務(wù)802.11b/a/g無線作為有線的補充無線辦公時代手機、Pad、超級本：視頻業(yè)務(wù)+語音業(yè)務(wù)+數(shù)據(jù)業(yè)務(wù)大量實時業(yè)務(wù)802.11n->11ac有線無線一體化全無線時代多樣化終端:精細化在線服務(wù)802.11ax/ad……VR/4K視頻VR/AR4K……全無線辦公，以無線為中心Wi-Fi在辦公場景的發(fā)展趨勢初級移動辦公時代無線辦公時代全無線時代第一階段：初級移動辦公時代，無線作為有線的補充。WaveLAN技術(shù)的應(yīng)用可以被認為是最早的企業(yè)WLAN雛形，無線熱點開始出現(xiàn)在咖啡店、機場和酒店。Wi-Fi也在這一時期誕生，隨著標準的演進和遵從標準產(chǎn)品的普及，人們往往將Wi-Fi等同于802.11標準。802.11標準是眾多WLAN技術(shù)中的一種，只是802.11標準已成為業(yè)界的主流技術(shù)，所以人們提到WLAN時，通常是指使用Wi-Fi技術(shù)的WLAN。這是WLAN應(yīng)用的第一階段，主要是解決“無線接入”的問題，核心價值是擺脫有線的束縛，設(shè)備在一定范圍內(nèi)可以自用移動，用無線網(wǎng)絡(luò)延伸了有線網(wǎng)絡(luò)。Wi-Fi在辦公場景的發(fā)展趨勢初級移動辦公時代無線辦公時代全無線時代第二階段：有線無線一體化，和有線網(wǎng)絡(luò)一樣不可或缺。WLAN作為網(wǎng)絡(luò)的一部分，還需要為企業(yè)訪客提供網(wǎng)絡(luò)接入。在辦公場景下，存在大量視頻、語音等大帶寬業(yè)務(wù)，對WLAN的帶寬有更大的需求。從2012年開始，802.11ac標準趨于成熟，對工作頻段、信道帶寬、調(diào)制與編碼方式等做出了諸多改進，與以往的Wi-Fi標準相比，其具有更高的吞吐率、更少的干擾，能夠允許更多的用戶接入。Wi-Fi在辦公場景的發(fā)展趨勢初級移動辦公時代無線辦公時代全無線時代第三階段：全無線辦公時代，以無線為中心。在辦公環(huán)境中，使用無線網(wǎng)絡(luò)徹底替代有線網(wǎng)絡(luò)。辦公區(qū)采用全Wi-Fi覆蓋，辦公位不再提供有線網(wǎng)口，辦公環(huán)境更為開放和智能。未來，云桌面辦公、智真會議、4K視頻等大帶寬業(yè)務(wù)將從有線網(wǎng)絡(luò)遷移至無線網(wǎng)絡(luò)，而VR/AR等新技術(shù)將直接基于無線網(wǎng)絡(luò)部署。新的應(yīng)用場景對WLAN的設(shè)計與規(guī)劃提出更高的要求。2018年，新一代Wi-Fi標準Wi-Fi6(IEEE命名為802.11ax，Wi-Fi6是Wi-Fi聯(lián)盟的命名)發(fā)布，這是Wi-Fi發(fā)展史上的又一重大里程碑，Wi-Fi6的核心價值是容量的進一步提升，引領(lǐng)無線通信進入10Gbit/s時代。無線協(xié)議標準協(xié)議兼容性頻率理論最高速率IEEE802.11b

2.4GHz11Mbit/sIEEE802.11a

5.8GHz54Mbit/sIEEE802.11g兼容IEEE802.11b2.4GHz54Mbit/sIEEE802.11n兼容IEEE802.11a/b/g2.4GHz或5.8GHz600Mbit/sIEEE802.11ac兼容IEEE802.11a/n5.8GHz6.9Gbit/sIEEE802.11ax兼容IEEE802.11a/b/g/n/ac2.4GHz或5.8GHz9.6Gbit/s內(nèi)容小結(jié)無線網(wǎng)絡(luò)網(wǎng)絡(luò)分類01無線局域網(wǎng)WLAN02WLAN與WiFi03無線協(xié)議標準04WLAN基本概念數(shù)據(jù)網(wǎng)組建與維護主講教師：劉曉君CONTENTS目錄1WLAN組網(wǎng)概念2CAPWAP協(xié)議3AC+AP組網(wǎng)中的VLANBSS/SSID/BSSID基本服務(wù)集BSS(BasicServiceSet)：一個AP所覆蓋的范圍。在一個BSS的服務(wù)區(qū)域內(nèi)，STA可以相互通信?；痉?wù)集標識符BSSID(BasicServiceSetIdentifier)：是無線網(wǎng)絡(luò)的一個身份標識，用AP的MAC地址表示。服務(wù)集標識符SSID(ServiceSetIdentifier)：是無線網(wǎng)絡(luò)的一個身份標識，用字符串表示。為了便于用戶辨識不同的無線網(wǎng)絡(luò)，用SSID代替BSSID。發(fā)現(xiàn)“guest”SSID:guestBSSID:00e0.fc45.24a0AP發(fā)現(xiàn)“guest”發(fā)現(xiàn)“guest”BSSVAP早期的AP只支持1個BSS，如果要在同一空間內(nèi)部署多個BSS，則需要安放多個AP，這不但增加了成本，還占用了信道資源。為了改善這種狀況，現(xiàn)在的AP通常支持創(chuàng)建出多個虛擬AP(VirtualAccessPoint,VAP)。虛擬接入點VAP：VAP就是在一個物理實體AP上虛擬出的多個AP。每一個被虛擬出的AP就是一個VAP。每個VAP提供和物理實體AP一樣的功能。每個VAP對應(yīng)1個BSS。這樣1個AP，就可以提供多個BSS，可以再為這些BSS，設(shè)置不同的SSID。BSS1：VAP1SSID:guestBSSID:00e0.fc45.24a0BSS2：VAP2SSID:internalBSSID:00e0.fc45.24a9發(fā)現(xiàn)“guest”和“internal”發(fā)現(xiàn)“guest”和“internal”發(fā)現(xiàn)“guest”和“internal”APESS為了滿足實際業(yè)務(wù)的需求，需要對BSS的覆蓋范圍進行擴展。同時用戶從一個BSS移動到另一個BSS時，不能感知到SSID的變化，則可以通過擴展服務(wù)集ESS實現(xiàn)。擴展服務(wù)集ESS(ExtendServiceSet)：由多個使用相同SSID的BSS組成，是采用相同的SSID的多個BSS組成的更大規(guī)模的虛擬BSS。AP1SSID=“huawei”BSSID：00e0.fc45.24a0BSSAP2SSID=“huawei”BSSID：00e0.fc45.3100BSSESSCAPWAP協(xié)議什么是CAPWAP隧道CAPWAP（ControlAndProvisioningofWirelessAccessPointsProtocolSpecification，無線接入點控制和配置協(xié)議）：該協(xié)議定義了如何對AP進行管理、業(yè)務(wù)配置，即AC通過CAPWAP隧道來實現(xiàn)對AP的集中管理和控制。AP與AC間的狀態(tài)維護。AC通過CAPWAP隧道對AP進行管理、業(yè)務(wù)配置下發(fā)。當(dāng)采用隧道轉(zhuǎn)發(fā)模式時，AP將STA發(fā)出的數(shù)據(jù)通過CAPWAP隧道實現(xiàn)與AC之間的交互。CAPWAP隧道的功能園區(qū)網(wǎng)絡(luò)CAPWAP隧道AC移動用戶AP1移動用戶移動用戶……AP2APnCAPWAP隧道CAPWAP隧道傳遞控制信息用戶數(shù)據(jù)AC+AP組網(wǎng)中的VLAN無線管理VLAN：用來實現(xiàn)AC和AP直接的通信，主要是AP的DHCP報文、APARP報文、APCAPWAP報文（含控制報文和數(shù)據(jù)報文）。二層組網(wǎng)時，AP和AC在同一管理VLAN上三層組網(wǎng)時，AC和AP在不同的管理VLAN上，甚至不同的AP是在不同的管理VLAN上，需要正確配置IP網(wǎng)絡(luò)的VLAN間路由使得AC和AP可以通信。配置WLAN時，沒有正確配置有線網(wǎng)絡(luò)的路由會造成管理VLAN之間無法通信，以及DHCP服務(wù)器或者DHCP代理配置不正確會導(dǎo)致AP發(fā)現(xiàn)不了AC，這是最常見的錯誤。AC+AP組網(wǎng)中的VLAN業(yè)務(wù)VLAN：主要負責(zé)傳輸WLAN用戶上網(wǎng)時的數(shù)據(jù)，它就是WLAN用戶接入后用戶所在的VLAN。在直接轉(zhuǎn)發(fā)模式下，業(yè)務(wù)VLAN是AP為用戶的數(shù)據(jù)所加的VLAN標簽。圖中AP1和S1之間的鏈路為Trunk鏈路，AP1收到PC1的數(shù)據(jù)后，將加上VLAN1的標簽發(fā)往S1；AP2收到PC2的數(shù)據(jù)后，將加上VLAN2的標簽發(fā)往S1。在隧道轉(zhuǎn)發(fā)模式下，業(yè)務(wù)VLAN是CAPWAP協(xié)議隧道內(nèi)用戶報文的VLAN標簽。AP1收到PC1的數(shù)據(jù)后，將加上VLAN1的標簽，再把數(shù)據(jù)封裝在CAPWAP報文發(fā)送到AC，AC解封CAPWAP后得到帶VLAN1標簽的數(shù)據(jù)報文后再轉(zhuǎn)發(fā)到目的網(wǎng)絡(luò)。PC1業(yè)務(wù)VLAN1PC2業(yè)務(wù)VLAN2內(nèi)容小結(jié)WLAN組網(wǎng)概念01CAPWAP協(xié)議02AC+AP組網(wǎng)中的VLAN03WLAN組網(wǎng)方式主講教師：劉曉君數(shù)據(jù)網(wǎng)組建與維護CONTENTS目錄1常見無線網(wǎng)絡(luò)設(shè)備2WLAN組網(wǎng)應(yīng)用3AP與AC組網(wǎng)方式4胖AP與瘦AP比較常見無線網(wǎng)絡(luò)設(shè)備工作站STA(Station)：支持802.11標準的終端設(shè)備。例如帶無線網(wǎng)卡的電腦、支持WLAN的手機等。常見無線網(wǎng)絡(luò)設(shè)備無線接入點(AP,AccessPoint)AP是WLAN中的重要組成部分，工作機制類似于有線網(wǎng)絡(luò)中的集線器，無線終端（Station，STA）可以通過AP進行終端之間的數(shù)據(jù)傳輸，也可以通過AP的“WAN”口與有線網(wǎng)絡(luò)互通。AP從功能上可以分為“胖”AP（FatAP）和“瘦”AP（FitAP）FATAP：適用于家庭，獨立工作，需單獨配置，功能較為單一，成本低。FITAP：適用于大中型企業(yè)，需要配合AC使用，由AC統(tǒng)一管理和配置，功能豐富。常見無線網(wǎng)絡(luò)設(shè)備無線接入控制器(AC,AccessController)無線控制器是一種網(wǎng)絡(luò)設(shè)備，用來集中化控制無線AP，是一個無線網(wǎng)絡(luò)的核心，負責(zé)管理無線網(wǎng)絡(luò)中的所有無線AP。對AP的管理包括下發(fā)配置、修改相關(guān)配置參數(shù)、射頻智能管理、接入安全控制等。一般位于整個網(wǎng)絡(luò)的匯聚層，提供高速、安全、可靠的WLAN業(yè)務(wù)。WLAN在家庭網(wǎng)絡(luò)中的應(yīng)用家庭Wi-Fi路由器：通過把有線網(wǎng)絡(luò)信號轉(zhuǎn)換成無線信號，供家庭電腦、手機等設(shè)備接收，實現(xiàn)無線上網(wǎng)功能。WLAN在企業(yè)網(wǎng)中的應(yīng)用FATAP(胖AP)架構(gòu)在企業(yè)網(wǎng)絡(luò)或者其他大型場所中，所需要的無線覆蓋范圍比較大，若采用胖AP組網(wǎng)，則可以將AP接入到接入交換機端，數(shù)據(jù)通過交換機的轉(zhuǎn)發(fā)，到達企業(yè)核心網(wǎng)。當(dāng)部署單個AP時，F(xiàn)ATAP具備較好的獨立性，不需要另外部署集中控制設(shè)備，部署起來很方便，成本較低廉。在企業(yè)中，隨著WLAN覆蓋面積增大，接入用戶增多，需要部署的FATAP數(shù)量也會增多。而每個FATAP又是獨立工作的，缺少統(tǒng)一的控制設(shè)備，因此管理、維護這些FATAP就變得十分麻煩。AP……STA匯聚交換機企業(yè)核心網(wǎng)接入交換機接入交換機APAPSTASTAIP網(wǎng)絡(luò)WLAN在企業(yè)網(wǎng)中的應(yīng)用AC+FITAP(瘦AP)架構(gòu)這種架構(gòu)中，AC負責(zé)WLAN的接入控制、轉(zhuǎn)發(fā)和統(tǒng)計、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制；FITAP負責(zé)802.11報文的加解密、802.11的物理層功能、接受AC的管理等簡單功能。適用范圍：大中型企業(yè)。很多廠商的企業(yè)級AP可以在胖（Fat）、瘦（Fit）模式之間進行切換。特點：AP需要配合AC使用，由AC統(tǒng)一管理和配置，功能豐富，對網(wǎng)絡(luò)運維人員的技能要求高。ACInternetAPAC+瘦AP組網(wǎng)方式AP1AC二層網(wǎng)絡(luò)APn……二層組網(wǎng)AP1AC三層網(wǎng)絡(luò)APn……三層組網(wǎng)二層組網(wǎng)：AP與AC之間的網(wǎng)絡(luò)為直連或者二層網(wǎng)絡(luò)。由于二層組網(wǎng)比較簡單，適用于簡單臨時的組網(wǎng)，能夠進行比較快速的組網(wǎng)配置，但不適用于大型組網(wǎng)架構(gòu)。三層組網(wǎng)：AP與AC之間的網(wǎng)絡(luò)為三層網(wǎng)絡(luò)。在實際組網(wǎng)中，一臺AC可以連接幾十甚至幾百臺AP，組網(wǎng)一般比較復(fù)雜，在大型組網(wǎng)中一般采用三層組網(wǎng)。AC的連接方式直連式組網(wǎng)旁掛式組網(wǎng)直連式組網(wǎng)可以認為AP、AC與上層網(wǎng)絡(luò)串聯(lián)在一起，所有數(shù)據(jù)必須通過AC到達上層網(wǎng)絡(luò)。直連式組網(wǎng)中AC同時扮演AC和匯聚交換機的功能，AP的數(shù)據(jù)業(yè)務(wù)和管理業(yè)務(wù)都由AC集中轉(zhuǎn)發(fā)和處理。旁掛式組網(wǎng)，AC旁掛在AP與上行網(wǎng)絡(luò)的直連網(wǎng)絡(luò)中，不再直接連接AP。旁掛式組網(wǎng)，AC旁掛在AP與上行網(wǎng)絡(luò)的直連網(wǎng)絡(luò)上，AP的業(yè)務(wù)數(shù)據(jù)可以不經(jīng)AC而直接到達上行網(wǎng)絡(luò)。AP1ACIP網(wǎng)絡(luò)APn……核心網(wǎng)絡(luò)AP1IP網(wǎng)絡(luò)APn……核心網(wǎng)絡(luò)AC胖AP與瘦AP比較AC+瘦AP胖AP投資AP成本較低，易管理；AC成本高。AP成本較高，但是無AC投入。WLAN組網(wǎng)AP不能單獨工作，需要由AC集中代理維護管理；AP本身零配置，適合大規(guī)模組網(wǎng)；存在多廠商兼容性問題，AC和AP間為私有協(xié)議，必須為同廠家設(shè)備；每個AC管理AP容量較少。需要對AP下發(fā)配置文件；有網(wǎng)管情況下可以支持大規(guī)模網(wǎng)絡(luò)部署和海量規(guī)模用戶管理;不存在兼容性問題：基于AP和網(wǎng)管系統(tǒng)之間采用標準的IP層協(xié)議互通；網(wǎng)管可以實現(xiàn)海量AP統(tǒng)一集中管理和維護，并實現(xiàn)與現(xiàn)有寬帶網(wǎng)絡(luò)融合管理。業(yè)務(wù)能力二層、三層漫游；可擴展語音等豐富業(yè)務(wù)；可以通過AC增強業(yè)務(wù)QoS、安全等功能。二層漫游；實現(xiàn)簡單數(shù)據(jù)接入。內(nèi)容小結(jié)常見無線網(wǎng)絡(luò)設(shè)備01WLAN組網(wǎng)應(yīng)用02AP與AC組網(wǎng)方式03胖AP與瘦AP比較04WLAN安全技術(shù)數(shù)據(jù)網(wǎng)組建與維護主講教師：劉曉君CONTENTS目錄1WLAN的安全問題2WLAN的安全對策3WLAN的安全標準WLAN的安全對策STAAuthenticationResponseAuthenticationRequest開放系統(tǒng)認證開放系統(tǒng)認證不對用戶身份做任何驗證，整個認證過程中，通信雙方僅需交換兩個認證幀：站點向AP發(fā)送一個認證幀，AP以此幀的源MAC地址作為發(fā)送端的身份證明，AP隨即返回一個認證幀，并建立AP和客戶端的連接。開放系統(tǒng)認證主要用于公共區(qū)域或熱點區(qū)域（如機場、酒店等）為用戶提供無線接入服務(wù)，適合用戶眾多的運營商部署大規(guī)模的WLAN網(wǎng)絡(luò)。WLAN的安全對策STAAP發(fā)起認證請求明文質(zhì)詢消息加密質(zhì)詢消息認證結(jié)果共享密鑰認證共享密鑰認證要求用戶設(shè)備必須支持有線等效加密，用戶設(shè)備與AP必須配置匹配的靜態(tài)WEP密鑰。共享密鑰認證過程中，采用共享密鑰認證的無線接口之間需要交換質(zhì)詢與響應(yīng)消息，通信雙方總共需要交換4個認證幀。WLAN的安全對策SSID隱藏SSID隱藏，可將無線網(wǎng)絡(luò)的邏輯名隱藏起來。AP啟用SSID隱藏后，信標幀中的SSID字段被置為空SSID隱藏適用于某些企業(yè)或機構(gòu)需要支持大量訪客接入的場景。企業(yè)園區(qū)無線網(wǎng)絡(luò)可能存在多個SSID，如員工、財務(wù)、訪客等。為減少訪客連錯網(wǎng)絡(luò)的問題，園區(qū)通常會隱藏員工、財務(wù)的SSID，同時廣播訪客SSID，此時訪客嘗試連接無線網(wǎng)絡(luò)時只能看到訪客SSID，從而減少了連接到員工和財務(wù)人員網(wǎng)絡(luò)的情況。WLAN的安全對策合法MAC地址列表MAC10116.0116.1111MAC20116.0116.2222MAC30116.0116.3333MAC：0116.0116.1111MAC：0116.0116.2222MAC：0116.0116.4444STA1STA2STA3AP黑白名單認證（MAC地址認證）白名單的概念與“黑名單”相對應(yīng)。黑名單啟用后，被列入黑名單的用戶不能通過。設(shè)立了白名單，則在白名單中的用戶會允許通過，沒有在白名單列出的用戶將被拒絕訪問。WLAN的安全對策PSK=huawei123PSK=huawei123SSID=huaweiPSK（Pre-sharedKey，PSK）認證要求用戶使用一個簡單的ASCII字符串（8～63個字符長度，稱為密碼短語）作為密鑰?？蛻舳撕头?wù)端通過能否成功解密協(xié)商的消息來確定本端配置的預(yù)共享密鑰是否和對端配置的預(yù)共享密鑰相同，從而完成服務(wù)端和客戶端的相互認證。WLAN的安全標準有線等效加密WEP（WiredEquivalentPrivacy）RC4算法加密密鑰長度有64位和128位兩種WEP安全策略包括：鏈路認證機制、數(shù)據(jù)加密機制鏈路認證分為開放系統(tǒng)認證和共享密鑰認證。如果選擇開放系統(tǒng)認證方式，鏈路認證過程不需要WEP加密。如果選擇共享密鑰認證方式，鏈路認證過程中完成了密鑰協(xié)商。WLAN的安全對策WPA（Wi-FiProtectedAccess）/WPA2鏈路認證階段，WPA/WPA2僅支持開放式系統(tǒng)認證。接入認證階段，WPA/WPA2分為企業(yè)版和個人版。WPA/WPA2支持TKIP和CCMP兩種加密算法。TKIP加密算法：動態(tài)密鑰協(xié)商、信息完整性校驗機制，CCMP加密算法：高級加密標準AES（AdvancedEncryptionStandard）WLAN的安全對策無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI（WLANAuthenticationandPrivacyInfrastructure）是中國提出的、以IEEE802.11無線協(xié)議為基礎(chǔ)的無線安全標準。無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI（WLANAuthenticationInfrastructure）：用于無線局域網(wǎng)中身份鑒別和密鑰管理的安全方案；無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI（WLANPrivacyInfrastructure）：用于無線局域網(wǎng)中數(shù)據(jù)傳輸保護的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護等功能。內(nèi)容小結(jié)WLAN的安全問題01WLAN的安全對策02WLAN的安全標準03WLAN基本配置主講教師：劉曉君數(shù)據(jù)網(wǎng)組建與維護1WLAN工作流程2WLAN配置命令CONTENTS目錄WLAN工作流程WLAN工作流程AP獲取IP地址并發(fā)現(xiàn)AC，與AC建立連接AP上線1AC將WLAN業(yè)務(wù)配置下發(fā)到AP生效WLAN業(yè)務(wù)配置下發(fā)2STA搜索到AP發(fā)射的SSID并連接、上線，接入網(wǎng)絡(luò)STA接入3WLAN網(wǎng)絡(luò)開始轉(zhuǎn)發(fā)業(yè)務(wù)數(shù)據(jù)WLAN業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)4ACDHCPServer園區(qū)網(wǎng)絡(luò)APAPWLAN配置命令—配置AP上線[AC]wlan[AC-wlan-view]1.創(chuàng)建域管理模板，并配置國家碼進入WLAN視圖。[AC-wlan-view]regulatory-domain-profilenameprofile-name

[AC-wlan-regulate-domain-profile-name]創(chuàng)建域管理模板，并進入模板視圖，若模板已存在則直接進入模板視圖。[AC-wlan-regulate-domain-profile-name]country-code

country-code配置設(shè)備的國家碼標識。[AC-wlan-view]ap-groupnamegroup-name[AC-wlan-ap-group-group-name]創(chuàng)建AP組，并進入AP組視圖，若AP組已存在則直接進入AP組視圖。[AC-wlan-ap-group-group-name]regulatory-domain-profile

profile-name將指定的域管理模板引用到AP或AP組。WLAN配置命令—配置AP上線2.配置源接口或源地址[AC]capwapsourceinterface{loopbackloopback-number|

vlanif

vlan-id}配置AC與AP建立CAPWAP隧道的源接口。[AC]capwapsourceip-addressip-address配置AC的源IP地址。WLAN配置命令—配置AP上線[AC-wlan-view]apauth-mode{mac-auth|sn-auth}3.添加AP設(shè)備–離線導(dǎo)入AP配置AP認證模式為MAC地址認證，或SN認證，缺省為MAC地址認證。[AC-wlan-view]ap-id

ap-id[[type-id

type-id|ap-type

ap-type]{ap-mac

ap-mac|ap-sn

ap-sn|ap-mac

ap-mac

ap-sn

ap-sn}][AC-wlan-ap-ap-id]ap-name

ap-name離線增加AP設(shè)備或進入AP視圖，并配置單個AP的名稱。[AC-wlan-view]ap-id

0[AC-wlan-ap-0]ap-group

ap-group配置AP所加入的組。[AC]displayap{all|ap-group

ap-group}}4.檢查AP上線結(jié)果查看AP信息。WLAN配置命令—配置射頻[AC-wlan-view]ap-id

0[AC-wlan-ap-0]radio

radio-id[AC-wlan-radio-0]進入射頻視圖[AC-wlan-radio-0/0]channel{20mhz|40mhz-minus|40mhz-plus|80mhz|160mhz}channelWarning:Thisactionmaycauseserviceinterruption.Continue?[Y/N]y配置指定射頻的工作帶寬和信道配置AP組中所有AP或單個AP指定射頻的工作帶寬和信道。[AC-wlan-radio-0/0]channel80+80mhzchannel1channel2Warning:Thisactionmaycauseserviceinterruption.Continue?[Y/N]yWLAN配置命令—配置射頻[AC-wlan-view]radio-2g-profilenameprofile-name3.創(chuàng)建射頻模板創(chuàng)建2G射頻模板，并進入模板視圖，若模板已存在則直接進入模板視圖。[AC-wlan-view]ap-groupnamegroup-name[AC-wlan-ap-group-group-name]radio-2g-profileprofile-nameradio{radio-id|all}4.引用射頻模板在AP組中，將指定的2G射頻模板引用到2G射頻。WLAN配置命令—配置VAP[AC-wlan-view]vap-profilenameprofile-name[AC-wlan-vap-prof-profile-name]創(chuàng)建VAP模板創(chuàng)建VAP模板，并進入模板視圖，若模板已存在則直接進入模板視圖。[AC-wlan-vap-prof-profile-name]forward-mode{direct-forward|tunnel}配置數(shù)據(jù)轉(zhuǎn)發(fā)方式配置VAP模板下的數(shù)據(jù)轉(zhuǎn)發(fā)方式，可以是直接轉(zhuǎn)發(fā)或隧道轉(zhuǎn)發(fā)。[AC-wlan-vap-prof-profile-name]service-vlan

{vlan-idvlan-id|

vlan-poolpool-name}配置業(yè)務(wù)VLAN配置VAP的業(yè)務(wù)VLAN。WLAN配置命令—配置VAP[AC-wlan-view]security-profilenameprofile-name[AC-wlan-sec-prof-profile-name]配置安全模板創(chuàng)建安全模板