无线整理笔记091219Word格式文档下载.docx

1、DSSS/CCK支持12个不重叠的信道5Ghz802.11g50100三个不重叠的信道802.11n300-600MMIMO,OFDM123个不重叠信道，兼容abg2.4/5.8Ghz注：因为11g和11b都工作在2.4GHZ频段，所以11g向下兼容11b802.11b，g设备受微波炉，蓝牙，无线电话等设备影响1.6无线客户端认证过程1. 客户端在每个信道上广播探测请求帧（这个过程主要用于发现无线AP）2. 信号范围内的AP回应一个探测响应帧3. 客户端决定采用哪个AP接入，并发送认证请求（这个就是我们通常在pc上点查看无线网络时，有时候会有多个无线AP可供选择，然后我们自己决定连接哪一个AP

2、）4. AP发送认证回应5. 认证成功后，客户端向AP发送一个关联请求6. AP回应一个关联请求7. 开始通信无线数据加密机制1. 不加密2 .WEP 有线对等保密 静态WEP，动态WEP，与802.1x认证方式协同工作支持64位或128位加密，密码输入方式可以选择为ASII（5位或13位）码或16（10位或26位）进制数。因为64或128位加密，前面有24位的方向矢量，故实际密钥为40或104位，即（5或13位ASII码，5x8=40，13x8=104.3.TKIP 临时密钥完整性协议 WPA认证 802.1x认证或与共享密钥两种方式4.AES 高级加密标准 WPA2认证认证方式：开放系统认

3、证：用户仅仅通过SSID与AP进行关联匹配，不需要其他任何认证信息，但是数据仍然可以通过WEP进行加密，或者选择不加密。WEP认证：即双方通过预共享密钥进行认证。此方式对应于用户PC上验证方式中的共享式。在此方式中，数据加密方式也是可选的，即可以进行WEP加密或者不加密，加密密钥和认证密钥是同一个。 概述 wired equivalent privacy 有线等效加密 采用RC4算法对用户数据进行加密 密钥长度 40bit（5位字符、10位HEX、40位BIN） 104bit （13位字符、26位HEX、104位BIN） 缺点 密钥容易被破解WPA-PSK认证方式为预共享密钥，加密方式为AES

4、或TKIP。WPA Wi-Fi Protected Access 为了提高安全性，IEEE过去曾一直致力于制定IEEE 802.11i标准 WPA是802.11i标准的安全特性的一个子集 加密算法 TKIP AES 输入863个字符或64个十六进制数天线的三个特性 增益 功率增加的度量标准，思科规定用dBi来度量增益，这是选择天线的最主要的一个参数，它指的是天线在一定方向上天线辐射电磁波的强度，很直接影响到天线的覆盖范围和发射频率的强度。 方向 全向天线：360度覆盖辐射RF能量 定向天线：集中在一个方向上 极化 是实际发射RF能量的天线上分子的物理排列方向 线性极化：包括垂直极化、水平极化

5、环形极化：包括顺时针极化、反时针极化Poe设备标准：802.3afPoe交换机：3250P-24，5750p-24GT/12SFP单口poe模块Poe-MIDSPANWLAN中使用的主要单位：dB 是功率增益的单位，表示一个相对值，当计算A的功率比B大多少dB时，可以按公10 lg A/B计算。dBi 也是功率增益的单位，和dB的区别在于它的参考基准为全向天线，实际可理解和dB是一个东西。dBm 是考量功率绝对值的值，计算公式为：10lgP（功率值/1mw）例1 如果发射功率P为1mw，折算为dBm后为0dBm。例2 对于100mw的功率，按dBm单位进行折算后的值应为：10lg（100mw/

6、1mw）=10lg100=10*2=20dBm二无线局域网安全机制2.1 SSID过滤（禁止广播）2.2 MAC地址过滤2.3 协议端口过滤2.4 访问认证机制（开放系统验证，共享密钥验证）2.4.1 开放系统认证使用明文传输，包括两个通信步骤。1.发起认证的STA首先发送一个管理帧表明自己身份并提出认证请求，该管理帧的认证算法码字段值为“0”，表示使用开放系统认证。2. 随后，AP对STA作出响应。2.4.2 共享密钥认证基于客户端是否具有共享密钥的 “请求/响应”机制。通常使用WEP密钥作为共享密钥，而WEP密钥是人工设定的，所以又称为静态WEP。通常与WEP技术相结合，形成完整的IEEE

7、 802.11无线安全体系。STA和AP之间进行四次交互，使用经WEP加密的密文传输。第一步：发起认证的STA首先发送一个管理帧表明自己身份并提出认证请求。第二步和第三步是个“握手”过程：第二步AP作出响应，同时该帧中还包含一个由WEP算法产生的随机挑战信息（challenge text）。之后的第三步，STA对随机挑战信息用共享密钥进行加密后发回给AP。第四步：AP对STA的加密结果进行解密，并返回认证结果，如果解密后的challenge text与第二步发送的原challenge text相匹配，STA可以通过认证加入无线网络；反之，STA不能加入网络。2.5 数据加密机制（WEP与WPA

8、）WEP加密：WEP支持64位128位加密，对于64位加密，加密密钥为10个十六进制字符（0-9和A-F）或5个 ASCII 字符;对于128位加密，加密密钥为26个十六进制字符或13个ASCII字符。64位加密有时称为40位加密（包含24位初始化向量）;128位加密有时称为104位加密。152位加密不是标准WEP技术，没有受到客户端设备的广泛支持。WEP依赖通信双方共享的密钥来保护所传的加密数据帧。其数据的加密过程如下。1、计算校验和（Check Summing）。（1）对输入数据进行完整性校验和计算。（2）把输入数据和计算得到的校验和组合起来得到新的加密数据，也称之为明文，明文作为下一步加

9、密过程的输入。2、加密。在这个过程中，将第一步得到的数据明文采用算法加密。对明文的加密有两层含义：明文数据的加密，保护未经认证的数据。（1）将24位的初始化向量和40位的密钥连接进行校验和计算，得到64位的数据。（2）将这个64位的数据输入到虚拟随机数产生器中，它对初始化向量和密钥的校验和计算值进行加密计算。（3）经过校验和计算的明文与虚拟随机数产生器的输出密钥流进行按位异或运算得到加密后的信息，即密文。3、传输。将初始化向量和密文串接起来，得到要传输的加密数据帧，在无线链路上传输。（如图所示） WPA：Wi-Fi保护接入（WPA）WPA 支持通过 802.1X（称作 WPA Enterpri

10、se）或结合预共享密钥（称作 WPA Personal）的身份验证、一种称为临时密钥完整性协议 （TKIP） 的新型加密算法、以及一种称为 Michael 的新型完整性算法。WPA采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。802.1x是一种基于端口的访问控制标准，用户必须通过了认证并获得授权之后，才能通过端口使用网络资源。TKIP虽然与WEP同样都是基于RC4加密算法，但却引入了4个新算法：扩展的48位初始化向量（IV）和IV顺序规则（IV Sequencing Rules）;每包密钥构建机制（per-packet key construction）;Micha

11、el（Message Integrity Code，MIC）消息完整性代码;密钥重新获取和分发机制。WPA系统在工作的时候，先由AP向外公布自身对WPA的支持，在Beacons、Probe Response等报文中使用新定义的WPA信息元素（Information Element），这些信息元素中包含了AP的安全配置信息（包括加密算法和安全配置等信息）。无线工作站（STA）根据收到的信息选择相应的安全配置，并将所选择的安全配置表示在其发出的Association Request和Re-Association Request报文中。WPA通过这种方式来实现STA与AP之间的加密算法以及密钥管理方

12、式的协商。支持WPA的AP工作需要在开放系统认证方式下，STA以WPA模式与AP建立关联之后，如果网络中有RADIUS服务器作为认证服务器，那么STA就使用802.1x方式进行认证；如果网络中没有RADIUS，STA与AP就会采用预共享密钥（PSK，Pre-Shared Key）的方式。在WPA中，AP支持WPA和WEP无线客户端的混合接入。在STA与AP建立关联时，AP可以根据STA的Association Request中是否带有WPA信息元素来确定哪些客户端支持使用WPA。但是在混合接入的时候，所有WPA客户端所使用的加密算法都得使用WEP，这就降低了无线局域网的整体安全性。WPA2是W

13、i-Fi联盟发布的第二代WPA标准，与WPA第一代标准兼容。WPA2和802.11i特性基本上是相同的，它们的最重要特性是预验证：在用户对延迟毫无查觉的情况下实现安全快速漫游，以及采用CCMP加密包来替代TKIP。CCMP是一种基于AES的加密机制。AES可以产生某些企业、政府部门和其他机构所需要的高水平数据隐私能力。CCMP支持在802.11i和WPA2中是强制性的，预验证则是可选内容。三. 我司无线产品与功能介绍3.1 我司无线产品一览无线接入点 RG-P-780 双路双频三模室外型无线接入点 RG-P-720 双路双频无线室内型无线接入点 PoE供电适配器 RG-E-120 单端口POE

14、适配器（配合RG-P-720/780产品专用） 天线与馈线 RG-A-811 2.4/5.8GHz双频室外定向板状天线（8.5/10.5dBi,SMA接口） TDJ-2400I1 2.4GHz室外板状定向天线（14dBi，90，N型接口） TDJ-5800SPL4 5.8GHz室外栅状抛物面天线（24dBi，9RG-N-SMA N-SMA转接馈线（1米，用于连接RG-P-780与RG-A-811） RG-TPINC-SMA TPINC-SMA转接馈线（1米，用于连接RG-P-720与RG-A-811） SYV-50-7-150CM-NJ/NJ NJ-NJ转接馈线 （1.5米，用于连接RG-P-

15、780与室外N型接口天线，如TDJ-2400I1和TDJ-5800SPL4） 避雷器 CA-23RP 2.4GHz避雷器 RG-P-720 协议支持： 802.11b/g/a 射频数量：双路 应用场合：室内型 RG-P-780室外型 RG-WGP500 802.11b/g单路 其他：大功率当RG-P-720/RG-P-780工作在网桥模式下时，设备支持802.11a Turbo模式，理论传输速率为108Mbps。关于天线：TQJ： 吸顶天线。TQJ-2400AT：室外全向天线。RG-A811:室外吸顶天线。2.4/5.8G SMA接口。TDJ5800：5.8G 抛物面定向天线。TDJ2400A

16、：2.4G抛物面定向天线TDJ2400L1： 2.4G全向天线智能无线交换机产品 MXR-2 2个10/100M快速以太网口，1个支持PoE 支持4个MP产品的控制权 MX-8 8个10/100M快速以太网口，6个支持PoE 支持12个无线接入点 MX-200R 2个千兆SFP口 最大支持192个无线接入点（默认32个授权） 双冗余电源 MP-71 天线：自带柱状全向 MP-422自带吸顶天线双冗余以太端口 MP-620N型天线接口 MP-432 802.11n/b/g/aMP与MX的协商过程MP与MX的正常工作条件 MP正确获悉到MX的地址 MP与MX三层可达 MX存在正确的MP序列号MP与

17、MX协商成功后 MP下载IOS MP下载配置 MP与MX进行keepalive MX策略发生改变时，重新下传配置至MP四. 智能无线交换产品FAQ41产品知识1.2 我司无线交换机可管理AP的数量是多少目前无线交换机有以下几个型号：􀁺 MXR-2：最大支持4 个AP 的管理 MX-8：最大支持12 个AP 的管理 MX-200R：初始支持32 个AP 管理，通过license 升级，最大支持192 的AP 管理􀀮 3 种型号的MX 无线交换机只有性能和AP 管理数的区别，功能无区别1.5 MP-71、MP-372/422、MP-620各支持多少个SSID？M

18、P-71 支持32 个ESSID，MP-372/422、MP-620 支持64 个ESSID。1.6 MP-71、MP-372/422、MP-620能支持多少用户？MP-71 是单路设备，推荐最大不超过25 个用户。MP-372/422、MP-620 是双路设备，即每路都能支持25 个用户，所以双路同时开启的话每台设备最大支持50 个用户。1.7 MP-71和MP-372/422的最大功率是多少？这两款产品的最大工作功率都是100mW。MP-71 可以支持PoE 供电模式和本地供电模式两种。PoE 模式下，可以使用外置的PoE 适配器或PoE 交换机供电，供电电压是标准的48V DC，电流是0

19、.2A；本地供电模式下，MP-71 是具备本地供电口的，需要外接电压5V、电流 2A（不超过3A）的变压器即可，不过，由于我们不提倡本地供电模式，因此MP-71 随机并不提供这种变压器，如果在项目中需要，可以建议客户或集成商自行采购变压器即可； 国家无委会规定，室内设备的工作功率都不得超过100mW.1.8 室外瘦AP产品MP-620为啥比胖AP贵很多，如何解释？MP620 是一款室外型智能无线接入点产品MP-620 采用了双路双频三模架构，可同时支持802.11a 和802.11b/g 同时使用，才同类产品里1.9 MP-71的两根天线是什么用处MP-71 是单路射频的AP（有别于P-720

20、 的双路双天线AP），随机自带2 根天线是因为采用了天线分集技术，能够消除信号多径干扰，提高信号接收和发送质量。由于采用了天线分集技术，所以如果需要外接多个天线来增大覆盖范围的话，只能使用MP-71 上的一个天线接口（靠近电源口那个），再通过功分器分出两路天线来，而不能直接在MP 的两个天线接口上一边接一个。并且需要将MP-71 的天线分集技术取消。取消天线分集的命令参考：set ap 1 radio 1 radio-profile XXX mode enable antenna-location outdoorsantennatype ANT1060 取消天线分集后，只有靠近电源口的那根天线

21、会进行信号的收发。1.13 MP-71/372/422的指示灯分别代表什么意思MP-71 有4 个指示灯，分别是11b/g、100M、link、power 四个灯。当AP 上电或者接入POE 交换机时，Power 灯亮，然后link 和100M 灯开始闪亮，表示此时AP 已经开始启动；AP 完成启动后，当有无线用户连接的时候，11b/g 的开始闪亮。MP-372/422 有3 个指示灯，分别是左、中、右三灯，左灯表示11a 指示灯，中间灯表示工作灯，右灯表示11b/g 指示灯。当AP 上电时，3 灯均为琥珀色，当AP 开始启动时候，中间灯为绿色与琥珀色交替闪烁。AP 启动完毕后，中间灯为常绿色

22、，左右亮灯熄灭，只有在有11a、11b/g 用户连接的时候，左右两灯才会闪烁绿色。1.14 无线交换机能与SAM进行对接进行统一认证吗？目前无线交换机7.0 的版本可以与SAM3.1 的版本能够实现以下功能： 进行有线无线统一SU 和账号的802.1x 认证。 有线无线同一账号的web-portla 认证。1.15 做一个项目，配置设备的过程是什么？1. 确定AP 的数量及型号：2. 确定controller 的数量及型号：3. 配置Ringmaster：1.16 MX支持的MP数、用户数各是多少？目前无线交换机MX 各型号支持的MP、用户数为：配置的MP 数为MX 里可以写入MP 序列号配置

23、的AP 个数。型号激活的MP 配置的MP 用户会话数MXR-2 4 16 75MX-8 12 48 300MX-200R 1 9 2（32个为单位升级） 768 4800Ringmaster支持多少个用户的管理？RingMaster 只有对AP 数的限制，软件支持最大1000 个AP 的管理。Ringmaster是否支持第三方AP的管理？RingMaster 只支持将第三方的胖AP 的管理页面链接地址写入到里面，点击该链接，会跳转到胖AP 的WEB 管理页面。RingMaster是否支持用户登录的历史详细信息日志？不支持，RingMaster 只能查看当前在线用户的详细信息，例如用户的MAC、

24、从哪个AP 进来的、用户的认证方式、用户名等P-780是否支持本地供电？不支持，P780 只能通过PoE 供电。4.2理论基础2.1 无线交换机+瘦AP架构,对比胖AP有什么优势“全局的统一管理全局的统一安全全局的统一认证设备自身的安全性。无配置全网漫游2.2 瘦AP的几种启动过程？二层的广播，MSS 7.0 通过UDP 端口5000,5001 Find MX. （6.0 只使用5000 端口）1. 静态配置， AP boot configurge可以配静态的IP 地址网关MX 地址2. 通过DHCP 的Option 43 启动，Option43 里写入MX 的IP 地址，最多5个IP。AP启

25、动看Option43 的IP 时只看到第五个，超过之后AP 不会再往后看。3. 通过DNS启动，AP 找两个前缀字头的 或wlan-2.3 智能无线系统有几种配置方法？三种方法：1. RingMaster 网管软件：可以统一配置所有设备。直观、形象，适合给客户演示。2. CLI（命令行配置）3. Web页面，但是Web页面配置不能把配置统一化，就像胖AP一样，每个无线交换机要单个配置，通过地址单个登陆，这样就容易出错。Web 页面只可以配置一些简单的功能。2.6 什么是移动域（Mobility Domain）一句话来说就是MX 的集群技术。带来的好处是AP 的冗余灾备、用户跨MX 的无缝漫游（

26、见2.9）等。AP 可以优先附属于MX-A 当其故障时可以切换到MX-B 等其他域成员上类似于OSPF 中广播型的拓扑，每个域成员必须知道自己的域名。每个域中必须手动指定类似于DR 的角色我们称之为种子（Seed），还可以选择配置次种子（Second Seed）类似于BDR。但区别于OSPF，一个新成员加入域时他会向种子通报，而后和所有域成员分别独立的交换信息而不是由DR 来做中转。这样带来的好处在于，如果种子MX 故障，域中其他成员彼此间不会发生同步和漫游障碍，只是此域由于缺少种子无法新加入成员2.7 跨MX的三层漫游是如何实现的图示说明：1. AP-1 注册到MX-200-1，AP-2 注册到MX-200-2 上。广播相同SSID 且起用keepinitial-vlan 特性，但映射到不同的用户VLAN2. 两个MX-200 由于隶属于同一Mobility Domain 中，从而保证两台MX 会同步彼此的SESSION 表等信息3. 当用户重关联到AP-2 时，MX-200-2 已经知道该用户的SESSION，并且由于起用了keep-initial-vlan 特性，该用户会话始终保持在原有VLAN 中（本例为VLAN401）4. 如果MX-200-2存在VLAN401则用户流量会通过其与核心交换机相连的trunk链路到达有线网络如果MX-200-2 不存在VLAN401，