无线整理笔记091219Word格式文档下载.docx
《无线整理笔记091219Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《无线整理笔记091219Word格式文档下载.docx(31页珍藏版)》请在冰豆网上搜索。
DSSS/CCK
支持12个不重叠的信道
5Ghz
802.11g
50-100
三个不重叠的信道
802.11n
300-600M
MIMO,OFDM
12+3个不重叠信道,兼容abg
2.4/5.8Ghz
注:
因为11g和11b都工作在2.4GHZ频段,所以11g向下兼容11b
802.11b,g设备受微波炉,蓝牙,无线电话等设备影响
1.6无线客户端认证过程
1.客户端在每个信道上广播探测请求帧(这个过程主要用于发现无线AP)
2.信号范围内的AP回应一个探测响应帧
3.客户端决定采用哪个AP接入,并发送认证请求(这个就是我们通常在pc上点查看无线网络时,有时候会有多个无线AP可供选择,然后我们自己决定连接哪一个AP)
4.AP发送认证回应
5.认证成功后,客户端向AP发送一个关联请求
6.AP回应一个关联请求
7.开始通信
无线数据加密机制
1.不加密
2.WEP有线对等保密
静态WEP,动态WEP,与802.1x认证方式协同工作
支持64位或128位加密,密码输入方式可以选择为ASII(5位或13位)码或16(10位或26位)进制数。
因为64或128位加密,前面有24位的方向矢量,故实际密钥为40或104位,即(5或13位ASII码,5x8=40,13x8=104.
3.TKIP临时密钥完整性协议
WPA认证
802.1x认证或与共享密钥两种方式
4.AES高级加密标准
WPA2认证
认证方式:
开放系统认证:
用户仅仅通过SSID与AP进行关联匹配,不需要其他任何认证信息,但是数据仍然可以通过WEP进行加密,或者选择不加密。
WEP认证:
即双方通过预共享密钥进行认证。
此方式对应于用户PC上验证方式中的共享式。
在此方式中,数据加密方式也是可选的,即可以进行WEP加密或者不加密,加密密钥和认证密钥是同一个。
●概述
Ø
wiredequivalentprivacy有线等效加密
采用RC4算法对用户数据进行加密
●密钥长度
40bit(5位字符、10位HEX、40位BIN)
104bit(13位字符、26位HEX、104位BIN)
●缺点
密钥容易被破解
WPA-PSK
认证方式为预共享密钥,加密方式为AES或TKIP。
WPA
Wi-FiProtectedAccess
为了提高安全性,IEEE过去曾一直致力于制定IEEE802.11i标准
WPA是802.11i标准的安全特性的一个子集
加密算法
•TKIP
•AES
输入8-63个字符或64个十六进制数
天线的三个特性
●增益
功率增加的度量标准,思科规定用dBi来度量增益,这是选择天线的最主要的一个参数,它指的是天线在一定方向上天线辐射电磁波的强度,很直接影响到天线的覆盖范围和发射频率的强度。
●方向
全向天线:
360度覆盖辐射RF能量
定向天线:
集中在一个方向上
●极化
是实际发射RF能量的天线上分子的物理排列方向
线性极化:
包括垂直极化、水平极化
环形极化:
包括顺时针极化、反时针极化
Poe设备
标准:
802.3af
Poe交换机:
3250P-24,5750p-24GT/12SFP
单口poe模块
Poe-MIDSPAN
WLAN中使用的主要单位:
dB是功率增益的单位,表示一个相对值,当计算A的功率比B大多少dB时,可以按公
10lgA/B计算。
dBi也是功率增益的单位,和dB的区别在于它的参考基准为全向天线,实际可理解和dB是一个东西。
dBm是考量功率绝对值的值,计算公式为:
10lgP(功率值/1mw)
[例1]如果发射功率P为1mw,折算为dBm后为0dBm。
[例2]对于100mw的功率,按dBm单位进行折算后的值应为:
10lg(100mw/1mw)=10lg100=10*2=20dBm
二.无线局域网安全机制
2.1SSID过滤(禁止广播)
2.2MAC地址过滤
2.3协议端口过滤
2.4访问认证机制(开放系统验证,共享密钥验证)
2.4.1开放系统认证
使用明文传输,包括两个通信步骤。
1.发起认证的STA首先发送一个管理帧表明自己身份并提出认证请求,该管理帧的认证算法码字段值为“0”,表示使用开放系统认证。
2.随后,AP对STA作出响应。
2.4.2共享密钥认证
基于客户端是否具有共享密钥的“请求/响应”机制。
通常使用WEP密钥作为共享密钥,而WEP密钥是人工设定的,所以又称为静态WEP。
通常与WEP技术相结合,形成完整的IEEE802.11无线安全体系。
STA和AP之间进行四次交互,使用经WEP加密的密文传输。
第一步:
发起认证的STA首先发送一个管理帧表明自己身份并提出认证请求。
第二步和第三步是个“握手”过程:
第二步AP作出响应,同时该帧中还包含一个由WEP算法产生的随机挑战信息(challengetext)。
之后的第三步,STA对随机挑战信息用共享密钥进行加密后发回给AP。
第四步:
AP对STA的加密结果进行解密,并返回认证结果,如果解密后的challengetext与第二步发送的原challengetext相匹配,STA可以通过认证加入无线网络;
反之,STA不能加入网络。
2.5数据加密机制(WEP与WPA)
WEP加密:
WEP支持64位128位加密,对于64位加密,加密密钥为10个十六进制字符(0-9和A-F)或5个ASCII字符;
对于128位加密,加密密钥为26个十六进制字符或13个ASCII字符。
64位加密有时称为40位加密(包含24位初始化向量);
128位加密有时称为104位加密。
152位加密不是标准WEP技术,没有受到客户端设备的广泛支持。
WEP依赖通信双方共享的密钥来保护所传的加密数据帧。
其数据的加密过程如下。
1、计算校验和(CheckSumming)。
(1)对输入数据进行完整性校验和计算。
(2)把输入数据和计算得到的校验和组合起来得到新的加密数据,也称之为明文,明文作为下一步加密过程的输入。
2、加密。
在这个过程中,将第一步得到的数据明文采用算法加密。
对明文的加密有两层含义:
明文数据的加密,保护未经认证的数据。
(1)将24位的初始化向量和40位的密钥连接进行校验和计算,得到64位的数据。
(2)将这个64位的数据输入到虚拟随机数产生器中,它对初始化向量和密钥的校验和计算值进行加密计算。
(3)经过校验和计算的明文与虚拟随机数产生器的输出密钥流进行按位异或运算得到加密后的信息,即密文。
3、传输。
将初始化向量和密文串接起来,得到要传输的加密数据帧,在无线链路上传输。
(如图所示)
WPA:
Wi-Fi保护接入(WPA)
WPA支持通过802.1X(称作WPAEnterprise)或结合预共享密钥(称作WPAPersonal)的身份验证、一种称为临时密钥完整性协议(TKIP)的新型加密算法、以及一种称为Michael的新型完整性算法。
WPA采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。
802.1x是一种基于端口的访问控制标准,用户必须通过了认证并获得授权之后,才能通过端口使用网络资源。
TKIP虽然与WEP同样都是基于RC4加密算法,但却引入了4个新算法:
◇扩展的48位初始化向量(IV)和IV顺序规则(IVSequencingRules);
◇每包密钥构建机制(per-packetkeyconstruction);
◇Michael(MessageIntegrityCode,MIC)消息完整性代码;
◇密钥重新获取和分发机制。
WPA系统在工作的时候,先由AP向外公布自身对WPA的支持,在Beacons、ProbeResponse等报文中使用新定义的WPA信息元素(InformationElement),这些信息元素中包含了AP的安全配置信息(包括加密算法和安全配置等信息)。
无线工作站(STA)根据收到的信息选择相应的安全配置,并将所选择的安全配置表示在其发出的AssociationRequest和Re-AssociationRequest报文中。
WPA通过这种方式来实现STA与AP之间的加密算法以及密钥管理方式的协商。
支持WPA的AP工作需要在开放系统认证方式下,STA以WPA模式与AP建立关联之后,如果网络中有RADIUS服务器作为认证服务器,那么STA就使用802.1x方式进行认证;
如果网络中没有RADIUS,STA与AP就会采用预共享密钥(PSK,Pre-SharedKey)的方式。
在WPA中,AP支持WPA和WEP无线客户端的混合接入。
在STA与AP建立关联时,AP可以根据STA的AssociationRequest中是否带有WPA信息元素来确定哪些客户端支持使用WPA。
但是在混合接入的时候,所有WPA客户端所使用的加密算法都得使用WEP,这就降低了无线局域网的整体安全性。
WPA2是Wi-Fi联盟发布的第二代WPA标准,与WPA第一代标准兼容。
WPA2和802.11i特性基本上是相同的,它们的最重要特性是预验证:
在用户对延迟毫无查觉的情况下实现安全快速漫游,以及采用CCMP加密包来替代TKIP。
CCMP是一种基于AES的加密机制。
AES可以产生某些企业、政府部门和其他机构所需要的高水平数据隐私能力。
CCMP支持在802.11i和WPA2中是强制性的,预验证则是可选内容。
三.我司无线产品与功能介绍
3.1我司无线产品一览
无线接入点
RG-P-780
双路双频三模室外型无线接入点
RG-P-720
双路双频无线室内型无线接入点
PoE供电适配器
RG-E-120
单端口POE适配器(配合RG-P-720/780产品专用)
天线与馈线
RG-A-811
2.4/5.8GHz双频室外定向板状天线(8.5/10.5dBi,SMA接口)
TDJ-2400I1
2.4GHz室外板状定向天线(14dBi,90°
,N型接口)
TDJ-5800SPL4
5.8GHz室外栅状抛物面天线(24dBi,9°
RG-N-SMA
N-SMA转接馈线(1米,用于连接RG-P-780与RG-A-811)
RG-TPINC-SMA
TPINC-SMA转接馈线(1米,用于连接RG-P-720与RG-A-811)
SYV-50-7-150CM-NJ/NJ
NJ-NJ转接馈线(1.5米,用于连接RG-P-780与室外N型接口天线,如TDJ-2400I1和TDJ-5800SPL4)
避雷器
CA-23RP
2.4GHz避雷器
●RG-P-720
协议支持:
802.11b/g/a
射频数量:
双路
应用场合:
室内型
●RG-P-780
室外型
●RG-WGP500
802.11b/g
单路
其他:
大功率
当RG-P-720/RG-P-780工作在网桥模式下时,设备支持802.11aTurbo模式,理论传输速率为108Mbps。
关于天线:
TQJ:
吸顶天线。
TQJ-2400AT:
室外全向天线。
RG-A811:
室外吸顶天线。
2.4/5.8GSMA接口。
TDJ5800:
5.8G抛物面定向天线。
TDJ2400A:
2.4G抛物面定向天线
TDJ2400L1:
2.4G全向天线
智能无线交换机产品
●MXR-2
2个10/100M快速以太网口,1个支持PoE
支持4个MP产品的控制权
●MX-8
8个10/100M快速以太网口,6个支持PoE
支持12个无线接入点
●MX-200R
2个千兆SFP口
最大支持192个无线接入点(默认32个授权)
双冗余电源
●MP-71
天线:
自带柱状全向
●MP-422
自带吸顶天线
双冗余以太端口
●MP-620
N型天线接口
●MP-432
802.11n/b/g/a
MP与MX的协商过程
MP与MX的正常工作条件
MP正确获悉到MX的地址
MP与MX三层可达
MX存在正确的MP序列号
MP与MX协商成功后
MP下载IOS
MP下载配置
MP与MX进行keepalive
MX策略发生改变时,重新下传配置至MP
四.智能无线交换产品FAQ
4.1产品知识
1.2我司无线交换机可管理AP的数量是多少
目前无线交换机有以下几个型号:
MXR-2:
最大支持4个AP的管理
MX-8:
最大支持12个AP的管理
MX-200R:
初始支持32个AP管理,通过license升级,最大支持192的AP管理
3种型号的MX无线交换机只有性能和AP管理数的区别,功能无区别
1.5MP-71、MP-372/422、MP-620各支持多少个SSID?
MP-71支持32个ESSID,MP-372/422、MP-620支持64个ESSID。
1.6MP-71、MP-372/422、MP-620能支持多少用户?
MP-71是单路设备,推荐最大不超过25个用户。
MP-372/422、MP-620是双路设备,即每路都能支持25个用户,所以双路同时开启的话
每台设备最大支持50个用户。
1.7MP-71和MP-372/422的最大功率是多少?
这两款产品的最大工作功率都是100mW。
MP-71可以支持PoE供电模式和本地供电模式两种。
PoE模式下,可以使用外置的PoE适配器或PoE交换机供电,供电电压是标准的48VDC,电流是0.2A;
本地供电模式下,MP-71是具备本地供电口的,需要外接电压5V、电流>
2A(不超过3A)的变压器即可,不过,由于我们不提倡本地供电模式,因此MP-71随机并不提供这种变压器,如果在项目中需要,可以建议客户或集成商自行采购变压器即可;
国家无委会规定,室内设备的工作功率都不得超过100mW.
1.8室外瘦AP产品MP-620为啥比胖AP贵很多,如何解释?
MP-620是一款室外型智能无线接入点产品
MP-620采用了双路双频三模架构,可同时支持802.11a和802.11b/g同时使用,才同类产品里
1.9MP-71的两根天线是什么用处
MP-71是单路射频的AP(有别于P-720的双路双天线AP),随机自带2根天线是因为
采用了天线分集技术,能够消除信号多径干扰,提高信号接收和发送质量。
由于采用了天线分集技术,所以如果需要外接多个天线来增大覆盖范围的话,只能使用
MP-71上的一个天线接口(靠近电源口那个),再通过功分器分出两路天线来,而不能
直接在MP的两个天线接口上一边接一个。
并且需要将MP-71的天线分集技术取消。
取消天线分集的命令参考:
setap1radio1radio-profileXXXmodeenableantenna-locationoutdoors
antennatypeANT1060
取消天线分集后,只有靠近电源口的那根天线会进行信号的收发。
1.13MP-71/372/422的指示灯分别代表什么意思
MP-71有4个指示灯,分别是11b/g、100M、link、power四个灯。
当AP上电或者接入POE交换机时,Power灯亮,然后link和100M灯开始闪亮,表示此时AP已经开始启动;
AP完成启动后,当有无线用户连接的时候,11b/g的开始闪亮。
MP-372/422有3个指示灯,分别是左、中、右三灯,左灯表示11a指示灯,中间灯表示工作灯,右灯表示11b/g指示灯。
当AP上电时,3灯均为琥珀色,当AP开始启动时候,中间灯为绿色与琥珀色交替闪烁。
AP启动完毕后,中间灯为常绿色,左右亮灯熄灭,只有在有11a、11b/g用户连接的时候,左右两灯才会闪烁绿色。
1.14无线交换机能与SAM进行对接进行统一认证吗?
目前无线交换机7.0的版本可以与SAM3.1的版本能够实现以下功能:
进行有线无线统一SU和账号的802.1x认证。
有线无线同一账号的web-portla认证。
1.15做一个项目,配置设备的过程是什么?
1.确定AP的数量及型号:
2.确定controller的数量及型号:
3.配置Ringmaster:
1.16MX支持的MP数、用户数各是多少?
目前无线交换机MX各型号支持的MP、用户数为:
配置的MP数为MX里可以写入MP序列号配置的AP个数。
型号激活的MP配置的MP用户会话数
MXR-241675
MX-81248300
MX-200R192(32个为单位升级)7684800
Ringmaster支持多少个用户的管理?
RingMaster只有对AP数的限制,软件支持最大1000个AP的管理。
Ringmaster是否支持第三方AP的管理?
RingMaster只支持将第三方的胖AP的管理页面链接地址写入到里面,点击该链接,
会跳转到胖AP的WEB管理页面。
RingMaster是否支持用户登录的历史详细信息日志?
不支持,RingMaster只能查看当前在线用户的详细信息,例如用户的MAC、从哪
个AP进来的、用户的认证方式、用户名等
P-780是否支持本地供电?
不支持,P780只能通过PoE供电。
4.2理论基础
2.1无线交换机+瘦AP架构,对比胖AP有什么优势
“
全局的统一管理
全局的统一安全
全局的统一认证
设备自身的安全性。
无配置
全网漫游
2.2瘦AP的几种启动过程?
二层的广播,MSS7.0通过UDP端口5000,5001FindMX.(6.0只使用5000端口)
1.AP静态配置,APbootconfigurge
可以配静态的IP地址网关MX地址
2.通过DHCP的Option43启动,Option43里写入MX的IP地址,最多5个IP。
AP
启动看Option43的IP时只看到第五个,超过之后AP不会再往后看。
3.通过DNS启动,AP找两个前缀字头的或wlan-
2.3智能无线系统有几种配置方法?
三种方法:
1.RingMaster网管软件:
可以统一配置所有设备。
直观、形象,适合给客户演示。
2.CLI(命令行配置)
3.Web页面,但是Web页面配置不能把配置统一化,就像胖AP一样,每个无线交换机要单个配置,通过地址单个登陆,这样就容易出错。
Web页面只可以配置一些简单的功能。
2.6什么是移动域(MobilityDomain)
一句话来说就是MX的集群技术。
带来的好处是AP的冗余灾备、用户跨MX的无缝漫
游(见2.9)等。
AP可以优先附属于MX-A当其故障时可以切换到MX-B等其他域成
员上类似于OSPF中广播型的拓扑,每个域成员必须知道自己的域名。
每个域中必须手动指
定类似于DR的角色我们称之为种子(Seed),还可以选择配置次种子(SecondSeed)类似于BDR。
但区别于OSPF,一个新成员加入域时他会向种子通报,而后和所有域成员分别独立的交换信息而不是由DR来做中转。
这样带来的好处在于,如果种子MX故障,域中其他成员彼此间不会发生同步和漫游障碍,只是此域由于缺少种子无法新加入成员
2.7跨MX的三层漫游是如何实现的
图示说明:
1.AP-1注册到MX-200-1,AP-2注册到MX-200-2上。
广播相同SSID且起用keepinitial-
vlan特性,但映射到不同的用户VLAN
2.两个MX-200由于隶属于同一MobilityDomain中,从而保证两台MX会同步彼此的SESSION表等信息
3.当用户重关联到AP--2时,MX-200-2已经知道该用户的SESSION,并且由于起用了keep-initial-vlan特性,该用户会话始终保持在原有VLAN中(本例为VLAN401)
4.如果MX-200-2存在VLAN401则用户流量会通过其与核心交换机相连的trunk链路到达有线网络如果MX-200-2不存在VLAN401,