WLAN基础知识教材.

《WLAN基础知识教材.》由会员分享，可在线阅读，更多相关《WLAN基础知识教材.（71页珍藏版）》请在金锄头文库上搜索。

1、WLAN根底知识介绍开展演进开展演进和有线和有线LAN的不同点的不同点网络架构网络架构关键技术关键技术WLANWIRELESS LOCAL AREA NETWORK)无线局域网无线局域网 无线局域网是计算机网络与无线通信技术相结合的产物，它无线局域网是计算机网络与无线通信技术相结合的产物，它以无线多址信道作为传输媒介，利用电磁波完成数据交互，实现传以无线多址信道作为传输媒介，利用电磁波完成数据交互，实现传统有线局域网的功能。统有线局域网的功能。WLAN技术和协议从业务类型来分类，有面向连接的业务和面向非技术和协议从业务类型来分类，有面向连接的业务和面向非连接的业务两类。连接的业务两类。面向连接

2、的业务主要用于传输语音等实时性较强的业务，一般采用面向连接的业务主要用于传输语音等实时性较强的业务，一般采用基于基于TDMA和和ATM的技术，主要标准有的技术，主要标准有HiperLAN2和和BIueTooth(蓝牙蓝牙)等。等。面向非连接的业务主要用于高速数据传输，通常采用基于分组和面向非连接的业务主要用于高速数据传输，通常采用基于分组和IP的技术，这类的技术，这类W LAN以以IEEE802.11 X最为典型。最为典型。无线局域网技术无线局域网技术IrDA：一种利用红外线进行点到点通讯的技术。其特点是视距无障碍传输，：一种利用红外线进行点到点通讯的技术。其特点是视距无障碍传输，传输速率可达

3、传输速率可达16M；本钱低、寿命短。；本钱低、寿命短。Blue Tooth：工作于频段上，理想连接范围：工作于频段上，理想连接范围10cm10m，支持的不对称连，支持的不对称连接或的对称连接接或的对称连接HomeRF：家庭无线网络，是与：家庭无线网络，是与DECT数字无绳数字无绳 标准的结合，工作在标准的结合，工作在频段，频段，100m内提供最大接入速率尾内提供最大接入速率尾2MWi-Fi：无线高保真：无线高保真Wireless Fidelity，使用无线技术即、，使用无线技术即、802.11a 或或802.11g 为局域网提供无线连接为局域网提供无线连接多数情况下，多数情况下，WLAN即指即

4、指Wi-FiWLAN相关组织相关组织WIFI联盟联盟根本与一致，但对应用和业务感受考虑更细致一些根本与一致，但对应用和业务感受考虑更细致一些制定制定WPA/WPA2、WMM/WMM PS/WMM AC、SSC、MESH、视频、视频、语音、切换等标准语音、切换等标准联盟关注和加强产品和功能的认证测试联盟关注和加强产品和功能的认证测试WAPI联盟联盟2006年年3月月7日，在国家发改委、科技部、信息产业部三部委指导下，日，在国家发改委、科技部、信息产业部三部委指导下，WAPI产业联盟成立，包括产业联盟成立，包括4大运营商在内的大运营商在内的22家单位成为首批会员家单位成为首批会员2003年年5月，

5、以月，以WAPI为平安方案的两项国家标准公布为平安方案的两项国家标准公布 2006年年1月，无线局域网国家标准第月，无线局域网国家标准第1号修改单以及号修改单以及3项扩展子项国家标准项扩展子项国家标准公布公布 IEEE非营利性科技学会，全球最大的专业学术组织非营利性科技学会，全球最大的专业学术组织 ，设有，设有IEEE标准协会标准协会IEEE-SAIEEE Standard Association，负责标准化工作。，负责标准化工作。负责制定系列标准负责制定系列标准 IETFInternet 工工 程程 任任 务务 组组 负责制定集中控制型负责制定集中控制型AC+AP标准，形成标准，形成RFC文

6、档文档WLAN标准演进标准演进IEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999) IEEE 802.11a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001) IEEE 802.11b - Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999) IEEE 802.11c - Bridge operation procedures; standard

7、 (2001) IEEE 802.11d - International (country-to-country) roaming extensions (2001) IEEE 802.11e - Enhancements: QoS, (2005) IEEE 802.11F - Inter-Access Point Protocol (2003) Withdrawn February 2006 IEEE 802.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003) IEEE 802.11h - Spectr

8、um Managed 802.11a (5 GHz) for European compatibility (2004) IEEE 802.11i - Enhanced security (2004) IEEE 802.11k - Radio resource measurement enhancements IEEE 802.11m - Maintenance of the standard; odds and ends. IEEE 802.11n - Higher throughput improvements using MIMO IEEE 802.11p - WAVE - Wirele

9、ss Access for the Vehicular Environment IEEE 802.11r - Fast roaming Working IEEE 802.11s - ESS Mesh Networking IEEE 802.11T - Wireless Performance Prediction (WPP) IEEE 802.11u - Interworking with non-802 networks (for example, cellular) IEEE 802.11v - Wireless network management IEEE 802.11w - Prot

10、ected Management Frames 室外室外高速车辆高速车辆步行步行静止静止室内室内步行步行静止静止/桌面桌面0.1Mbps 1Mbps 10Mbps 100Mbps 400Mbps移动性3G3GWLANWLANUWBUWBWiMAXWiMAX4G?WLAN在无线网络中的位置在无线网络中的位置数据速率WLANWLAN定位于慢速移动的定位于慢速移动的无线接入技术无线接入技术GPRSGPRS、CDMA1x CDMA1x 等无线方式无法满足对带宽需求较高的用户需求等无线方式无法满足对带宽需求较高的用户需求(GPRS(GPRS拨号速率仅为拨号速率仅为54Kbps54Kbps，CDMA1xC

11、DMA1x速率为速率为144Kbps144Kbps，3G3G速率也仅为速率也仅为2Mbps) 2Mbps) ，WiMAX WiMAX 主要是针对城域网范围的接入覆盖。主要是针对城域网范围的接入覆盖。20002000202120212004200420212021技术演进时间技术演进时间第一代WLAN：11 b单射频模块接入，11Mbps, WEP加密第二代WLAN适合家庭、热点接入: 11a /11g双射频模块，54Mbps，Qos，平安第三代WLAN智能WLAN，与WiMax/3G融合:11n多射频模块，高带宽和广覆盖范围，与WiMax/3G 融合，Mesh组网，更高平安系统性能系统性能高带

12、宽、广覆盖，高带宽、广覆盖，智能化智能化简单接入、低带宽简单接入、低带宽更高更高带宽：速率到达：速率到达54Mbps54Mbps，可达，可达600Mbps600Mbps采用采用MIMOMIMO技技术，目前，目前处于草案版本。于草案版本。更广覆盖范更广覆盖范围：从的：从的100m100m到的到的5001000m5001000m。更更强的障碍物穿透能力：可以使用于多堵的障碍物穿透能力：可以使用于多堵墙壁的商壁的商务住宅、复住宅、复杂房房间结构的写字楼等构的写字楼等环境中。境中。11n 11n 产品化品化产业链已先于已先于标准市准市场应用成熟用成熟11n Draft11n Draft预计在在2021

13、2021年初将年初将标准化准化) )WLAN技术开展演进技术开展演进InfrastructureInfrastructure小范围室内覆盖802.11s大范围热区覆盖WLANWLANAP 模式802.11b802.11a/g802.11n11Mbps54Mbps300Mbps自主管理小规模网络轻量级管理大规模网络安全WEP802.11iWAPIWLAN技术开展趋势技术开展趋势1/3WLAN标准的演进有如下四条主线：标准的演进有如下四条主线：速率提升：速率提升：2Mbps 11Mbps 54Mbps 320Mbps平安提升：平安提升：WEP WPA WPA2 WAPI应用优化：包含一系列针对应用

14、的标准：应用优化：包含一系列针对应用的标准：QoS、快、快速漫游、无缝漫游、自动频率选择和发送功率控速漫游、无缝漫游、自动频率选择和发送功率控制等制等AP管理：自主管理管理：自主管理集中管理集中管理WLAN技术开展趋势技术开展趋势2/3从标准制定的历程可看出其从标准制定的历程可看出其WLAN技术演进的特点：技术演进的特点：WLAN技术持续演进。一项技术逐渐成熟过程中，后续技术技术持续演进。一项技术逐渐成熟过程中，后续技术就已开展研发就已开展研发无线带宽不断增加，通过物理层的调制编码技术的更新换代，无线带宽不断增加，通过物理层的调制编码技术的更新换代，向宽带无线网络演进向宽带无线网络演进无线网络

15、的可管理性继续增强。设备配置管理，网络平安，无线网络的可管理性继续增强。设备配置管理，网络平安，终端平滑切换等特性相继引入，有利于构建可营运网络终端平滑切换等特性相继引入，有利于构建可营运网络另一方面，由于另一方面，由于WLAN技术越来越复杂，参与厂商增多。技术越来越复杂，参与厂商增多。WIFI标准化的周期显著增长。例如和标准都大大延长了标标准化的周期显著增长。例如和标准都大大延长了标准制定周期准制定周期WLAN技术开展趋势技术开展趋势3/3 频率划分频率划分PHY标准准频段段中心中心频率率间距距载波波数数载波波调制制数字数字调制制备注信息注信息802.11b2.42.4835G5M/Ch14

16、DSSSBPSK 1Mbps QPSK 2MbpsCCK 5.5/11MDSSS:直接序列直接序列扩频技技术OFDM:正交正交频率率划分多路复用的划分多路复用的多多载波波调制制CCK:补码键控控PBCC:调制分制分组二二进制卷制卷积码802.11g2.42.4835G5M/Ch14DSSSOFDMPBCC 22Mbps 64QAM 54Mbps802.11a5.155.25G5.255.35G5.7285.825G20M/Ch20M/Ch20M/Ch555OFDMBPSK-64QAM 54Mbps 信道划分信道划分 将的频段分成将的频段分成13个相邻的子信道。个相邻的子信道。子信道间交叠的局部

17、造成信号干扰，因此规划子信道间交叠的局部造成信号干扰，因此规划中对任意相邻中对任意相邻AP选用互不交叠的子信道以防止选用互不交叠的子信道以防止互相干扰，蜂窝式无线覆盖实现无交叉频率重互相干扰，蜂窝式无线覆盖实现无交叉频率重复使用。复使用。使用频段使用频段兼容性兼容性理论速率理论速率实测速率实测速率商用情况商用情况802.11a5GHZNA54Mbps22Mbps左右左右实际运用较少实际运用较少802.11b2.4GHZNA11Mbps5Mbps左右左右早期的标准，目早期的标准，目前产品均支持前产品均支持802.11g2.4GHZ兼容兼容802.11b54Mbps22Mbps左右左右目前大规模商

18、用目前大规模商用802.11n2.4GHz5GHZ兼容兼容802.11a/b/g300Mbps80220Mbps左右左右只有标准草案，只有标准草案，未来的商用标准未来的商用标准标准比照标准比照 开展演进和有线LAN的不同点网络架构关键技术目的地址不等同于目的位置目的地址不等同于目的位置在有线局域网中，一个在有线局域网中，一个address等价与一个物理的位等价与一个物理的位置，但是在无线局域网中，可设置地址的单元是一个置，但是在无线局域网中，可设置地址的单元是一个无线站点无线站点(STA).。STA是一个消息的目的地，但是通是一个消息的目的地，但是通常不是一个固定的位置。常不是一个固定的位置。

19、传输媒介的影响传输媒介的影响一个一个station所使用的媒介没有一个绝对的或者是可分所使用的媒介没有一个绝对的或者是可分辨的边界，在接收边界之外收不到信号。辨的边界，在接收边界之外收不到信号。受外界信号的干扰。受外界信号的干扰。无线通讯可信度低于有线传输。无线通讯可信度低于有线传输。拓扑动态变化。拓扑动态变化。连通性不充分，通常假设不是所有的连通性不充分，通常假设不是所有的STA都能可以互都能可以互相相“听见。听见。有随时间变化及不对称传播的属性。有随时间变化及不对称传播的属性。手持终端的影响手持终端的影响的一个需求就是处理手持的移动设备，手持设备和便携设备的一个需求就是处理手持的移动设备，

20、手持设备和便携设备有所不同，编写设备是可以从一个地点移到另外一个地点，有所不同，编写设备是可以从一个地点移到另外一个地点，但是使用的时候一般是在一个固定的位置，而手持设备是处但是使用的时候一般是在一个固定的位置，而手持设备是处于运动之中。于运动之中。由于很多手持设备是电池供电的，所以还要考虑电源管理，由于很多手持设备是电池供电的，所以还要考虑电源管理，不能保证收发器一直处于上电状态。不能保证收发器一直处于上电状态。与其它逻辑子层的互操作性与其它逻辑子层的互操作性因为要求和当前的因为要求和当前的802局域网一样，最高层涉及到局域网一样，最高层涉及到LLC，这就，这就要求能够灵活的处理要求能够灵活

21、的处理MAC子层，特别是处理好那些非传统的子层，特别是处理好那些非传统的MAC子层。子层。WLAN与与LAN传输速度比照传输速度比照发送等量数据时，发送等量数据时，10BASE-T只需只需1230微秒，而那么需微秒，而那么需1882微秒，微秒，最终导致无线最终导致无线LAN和以太网的通信速度的差异。和以太网的通信速度的差异。 使用常见的免费通信速度测定工具对和使用常见的免费通信速度测定工具对和10BASE-T两者的通信速度两者的通信速度进行了测试。结果显示，的通信速度为秒。而进行了测试。结果显示，的通信速度为秒。而10BASE-T那么为秒。那么为秒。也就是说也就是说11兆无线兆无线LAN的通信

22、速度只有的通信速度只有10兆以太网的一半左右。兆以太网的一半左右。开展演进和有线LAN的不同点网络架构关键技术“瘦瘦AP技术技术“胖”AP“瘦” AP集中控制器AC802.11a/b/g/n天线策略移动性转发加密认证管理加密认证平安的透明的隧道集中式的管理丰富的功能容易部署的“APFAT AP和和FIT AP无线交换机无线交换机AC的横空出世，引入了的横空出世，引入了“瘦瘦AP的概念，关于的概念，关于“瘦瘦AP的说法，大多倾向于的解释是的说法，大多倾向于的解释是“代表自身不能单独配置或者使用的无线代表自身不能单独配置或者使用的无线AP产品，这种产品仅仅是一个产品，这种产品仅仅是一个WLAN交换

23、系统的一局部，负责管理安装和操交换系统的一局部，负责管理安装和操作。作。在无线交换机应用之前，在无线交换机应用之前，WLAN通过通过AP连接有线网络，使用平安软件、管连接有线网络，使用平安软件、管理软件和其他数据来管理无线的网络，称为智能，或者理软件和其他数据来管理无线的网络，称为智能，或者 “胖胖AP 。天线加密认证，802.11e QoS网管，二层漫游，平安Internet天线加密认证，802.11e QoS网管，二层漫游，平安InternetFAT APFIT APACFAT VS FITAC + 瘦AP 网管 + 胖AP 投资APAP成本较低，易管理成本较低，易管理ACAC成本高成本高

24、APAP成本较高成本较高，但是无，但是无ACAC投入投入WLAN组网APAP不能单独工作，需要由不能单独工作，需要由ACAC集中代集中代理维护管理，理维护管理，APAP本身零配置本身零配置，适合，适合大规模组网大规模组网1.1.存在多厂商兼容性问题存在多厂商兼容性问题，ACAC和和APAP间为私有协议，必须为同厂家设备间为私有协议，必须为同厂家设备2.2.每个每个ACAC管理管理APAP容量较少容量较少需要对需要对APAP下发配置文件下发配置文件，有网管情况下有网管情况下可以支持大规模网络部署和海量规模用可以支持大规模网络部署和海量规模用户管理户管理1 1、不存在兼容性问题不存在兼容性问题：基

25、于：基于APAP和网管系和网管系统之间采用标准的统之间采用标准的IPIP层协议互通（层协议互通（SNMPSNMP或或TR069) TR069) ；2 2、网管可以实现海量网管可以实现海量APAP统一集中管理维统一集中管理维护，并实现与现有宽带网络融合管理；护，并实现与现有宽带网络融合管理；业务能力L2L2、L3L3漫游。漫游。可扩展语音等丰富业务。可扩展语音等丰富业务。可以通过可以通过ACAC增强业务增强业务QoSQoS、安全等功、安全等功能能L2L2漫游漫游。实现简单数据接入实现简单数据接入AAA WEB AAA WEB WLAN网管网管ME60BAS华为认证计费系系统IP骨干网骨干网城域会

26、聚网城域会聚网APAPAPAPWLAN终端端家庭用家庭用户商商业用用户采用华为统一网管通过SNMP或TR069远程管理控制AP由BAS提供宽带用户接入认证鉴权、计费无线信道管理、无线接入平安由AP控制胖胖AP接入组网方案接入组网方案瘦瘦AP的组网方案的组网方案瘦瘦APAP的组网方案，归纳起来有六种：的组网方案，归纳起来有六种：ACAC位于城域网，位于城域网，BRASBRAS之上之上ACAC旁挂于旁挂于BRASBRASACAC集成于集成于BRASBRASACAC旁挂于会聚交换机旁挂于会聚交换机ACAC替代会聚交换机替代会聚交换机ACAC位于会聚交换机下位于会聚交换机下其中对于其中对于WS6002

27、WS6002，建议采用第四种组网方式，建议采用第四种组网方式，ACAC旁挂于会聚交换机旁挂于会聚交换机, ,对于自研的对于自研的ACAC，推荐第三种组网方式，推荐第三种组网方式，ACAC集成与集成与BRAS.BRAS.瘦瘦AP的组网方案的组网方案 1 AC位于城域网位于城域网数据通道 AP配置通道 AC配置通道FIT APFIT AP用户层接入层/城域以太本地城域网FIT APFIT APACAC 城域网城域网业务管理层运营商网管BRASBRAS会聚交换机会聚交换机特点：特点：在这种组网模式下，在这种组网模式下，ACAC位于本地城域网，位于本地城域网，整个城域网整个城域网APAP共同共同ACA

28、C，APAP与与ACAC之间之间三层组网。三层组网。BRASBRAS启动启动DHCP serverDHCP server或者或者DCHP RelayDCHP Relay至至ACAC，给，给APAP分配分配IPIP地址。地址。APAP通过通过DHCP option43DHCP option43或或DNSDNS的方式发现的方式发现ACAC全城所有全城所有BRASBRAS都要配置到都要配置到ACAC的路的路由，并部署由，并部署DHCP option43DHCP option43等功能等功能。3. 3. 这种组网模式适合于这种组网模式适合于WLANWLAN部署部署初期，初期，APAP热点非常分散，数量

29、不多，热点非常分散，数量不多，希望希望ACAC集中部署，减少设备投资，集中部署，减少设备投资，简化维护的场景。简化维护的场景。优点：快速部署，无须对优点：快速部署，无须对BRASBRAS和和BRASBRAS之下的网络进行改造之下的网络进行改造缺点：此场景一般要求数据流独立转发模式，假设采用缺点：此场景一般要求数据流独立转发模式，假设采用ACAC集中转发那么数据流会有很大的迂回。而作为集中转发那么数据流会有很大的迂回。而作为数数 据流独立转发时，不支持无线客户端漫游切换。据流独立转发时，不支持无线客户端漫游切换。此种方式只适用于建网初期，随着此种方式只适用于建网初期，随着APAP规模部署后，该种

30、组网方式很少场适宜用规模部署后，该种组网方式很少场适宜用FIT APFIT APAC城城 域域 网网运营商网管BRAS会聚交会聚交换机机用户层接入层/城域以太本地城域网业务管理层数据通道 AP配置通道 AC配置通道特点：特点：在这种组网模式下，在这种组网模式下，ACAC位于位于BRASBRAS侧，侧，APAP与与ACAC之间三层组网。要求城域网中之间三层组网。要求城域网中每台每台BRASBRAS旁挂一台旁挂一台ACAC，BRASBRAS管辖区管辖区域内的瘦域内的瘦APAP都有旁挂的都有旁挂的ACAC管理，管理，BRASBRAS要预留与要预留与ACAC连接的端口，连接的端口，BRASBRAS启动

31、启动DHCP serverDHCP server或者或者DHCP RelayDHCP Relay至至ACAC，给，给APAP分配分配IPIP地址。地址。APAP通过通过DHCP DHCP option43 option43 或或DNSDNS的方式发现的方式发现AC.AC.3. 3. 这种组网模式适合于这种组网模式适合于ACAC部署相部署相对集中，适用于对集中，适用于APAP部署比较分散部署比较分散例如全城热点部署的情况。例如全城热点部署的情况。优点：相比城域骨干部署方式，优点：相比城域骨干部署方式，ACAC管理管理APAP的区域范畴缩小，支撑相对密集的的区域范畴缩小，支撑相对密集的APAP快速

32、部署，无须对快速部署，无须对BRAS BRAS 之下的网络进行改造之下的网络进行改造缺点：此场景一般要求数据流独立转发模式，假设采用缺点：此场景一般要求数据流独立转发模式，假设采用ACAC集中转发那么会导致流量瓶颈和网络带宽浪费。集中转发那么会导致流量瓶颈和网络带宽浪费。而作为数据流独立转发时，不支持无线客户端漫游切换。而作为数据流独立转发时，不支持无线客户端漫游切换。采用集中转发模式，存在流量瓶颈和带宽的限制，不适宜支撑非常密集的采用集中转发模式，存在流量瓶颈和带宽的限制，不适宜支撑非常密集的APAP部署部署瘦瘦AP的组网方案的组网方案2 AC旁挂于旁挂于BRAS瘦瘦AP的组网方案的组网方案

33、3 AC集成于集成于BRAS特点：特点：1.在这种组网模式下，AC集成在BRAS内，AP与AC之间二层组网。BRAS管辖区域内的瘦AP都由集成的AC管理，2.BRAS启动DHCP server功能，给AP分配IP地址。AP通过DHCP option43 或DNS的方式或二层发现协议发现AC.FIT APFIT AP城城 域域 网网运营商网管BRAS集成集成AC会聚交会聚交换机机用户层接入层/城域以太本地城域网业务管理层数据通道 AP配置通道 AC配置通道在电信级在电信级BRASBRASME60ME60上提供上提供ACAC功能，共享功能，共享ME60ME60成熟、高可靠硬件平台，提供强大的业务处

34、理能成熟、高可靠硬件平台，提供强大的业务处理能力。力。彻底克服基于传统以太网交换机的彻底克服基于传统以太网交换机的ACAC的性能和业的性能和业务能力瓶颈。务能力瓶颈。同时满足同时满足ACAC集中转发型组网、集中转发型组网、APAP本地转发组网的本地转发组网的要求。要求。为为WLANWLAN与固定宽带、与固定宽带、3G3G网络融合打下根底。网络融合打下根底。AC模块以太网交换机AC功能电信级BRAS既可作为独立的电信级、大容量既可作为独立的电信级、大容量ACAC，又支持将，又支持将BRASBRAS和和ACAC功能合一，满足不同应用场景需求！功能合一，满足不同应用场景需求！瘦瘦AP的组网方案的组网

35、方案4 AC旁挂于会聚交换机旁挂于会聚交换机FIT APFIT APAC城城 域域 网网运营商网管BRAS会聚交会聚交换机机用户层接入层/城域以太本地城域网业务管理层数据通道 AP配置通道 AC配置通道特点：特点：在这种组网模式下，在这种组网模式下，ACAC位于会聚位于会聚LSWLSW，APAP与与ACAC之间二层组网。之间二层组网。BRASBRAS管辖区管辖区域内的会聚域内的会聚LSWLSW都有旁挂的都有旁挂的ACAC管理，管理，ACAC启动启动DHCP serverDHCP server功能，给功能，给APAP分配分配IPIP地址。地址。APAP通过通过DHCP option43 DHCP

36、 option43 或或DNSDNS的方式或二层发现协议发现的方式或二层发现协议发现AC.AC.3. 3. 这种组网模式数据可以支持集这种组网模式数据可以支持集中转发，但存在数据迂回。中转发，但存在数据迂回。优点：如果优点：如果BASBAS厂家没有集成厂家没有集成ACAC的功能，而又希望建设大规模集中的的功能，而又希望建设大规模集中的WLANWLAN网络，无需改动会聚交换机。网络，无需改动会聚交换机。缺点：数据存在迂回。缺点：数据存在迂回。建设本钱高于建设本钱高于BASBAS集成集成ACAC方案。方案。当前华为公司当前华为公司ACAC主要采用此组网方式主要采用此组网方式瘦瘦AP的组网方案的组网

37、方案5 AC替代会聚交换机替代会聚交换机FIT APFIT APAC城城 域域 网网运营商网管BRAS用户层接入层/城域以太本地城域网业务管理层数据通道 AP配置通道 AC配置通道特点：特点：在这种组网模式下，在这种组网模式下，ACAC具有很强的转发具有很强的转发能力，能胜任会聚层功能。能力，能胜任会聚层功能。APAP与与ACAC之间二层组网。之间二层组网。ACAC启动启动DHCP serverDHCP server功能，给功能，给APAP分配分配IPIP地址。地址。APAP通过通过DHCP option43 DHCP option43 或或DNSDNS的方式或二层发现协议发现的方式或二层发现

38、协议发现AC.AC.3. 3. 这种组网模式数据可以支持集这种组网模式数据可以支持集中转发，没有瓶颈。中转发，没有瓶颈。优点：如果优点：如果BASBAS厂家没有集成厂家没有集成ACAC的功能，而又希望建设大规模集中的的功能，而又希望建设大规模集中的WLANWLAN网络，可以直接用网络，可以直接用ACAC替代会聚替代会聚交换机，新建本钱较低。交换机，新建本钱较低。缺点：如果现有网络比较成熟，需要替换整改。缺点：如果现有网络比较成熟，需要替换整改。建设本钱仍然高于建设本钱仍然高于BASBAS集成集成ACAC方案。方案。瘦瘦AP的组网方案的组网方案6 AC位于会聚交换机下位于会聚交换机下特点：1.A

39、P与AC之间二层组网， BRAS启动DHCP server功能，给AP分配IP地址。AP通过二层发现协议发现AC2.AC 集中管理少量规模AP，对AC性能要 求不高，可以采用基于LSW 架构的AC，低CAPEX，快速部署3.数据转发模式可采用集中转发或者独立转发模式数据通道 AP配置通道 AC配置通道用户层接入层/城域以太本地城域网业务管理层FIT APFIT APAC城城 域域 网网BAS汇聚交聚交换机机运营商网管比较适合校园网、企业网等比较适合校园网、企业网等APAP部署区域相对集中，且相对独立的组网应用。部署区域相对集中，且相对独立的组网应用。ACAC数量多，管理不便。数量多，管理不便。

40、Huawei AP Huawei AP Huawei AP Huawei AP 会聚交换机会聚交换机 L2L2交换机交换机 Huawei BRASHuawei BRAS集成集成AC AC 核心路由器核心路由器 IP城域网城域网VLAN：800VLAN：800VLAN：800VLAN：800内层业务VLAN:101隧道VLAN: 800内层业务VLAN:102隧道VLAN: 800数据VLAN: 101数据VLAN: 102管理VLAN: 800+ T VLAN800APBRAS&ACL2 SWSWAP上上电AC管理管理APUNTAG+ T VLAN800+ T VLAN800BRAS&ACBR

41、AS&AC后续我司后续我司BRASBRAS化化ACAC主要采用此组网方式主要采用此组网方式AC组网组网数据数据AC集中转发集中转发STAWLAN业务AC组网组网数据数据AP本地转发本地转发Huawei AP Huawei AP Huawei AP Huawei AP 会聚交换机会聚交换机 L2L2交换机交换机 Huawei ACHuawei ACBRAS BRAS IP城域网城域网VLAN：800VLAN：800VLAN：800VLAN：800数据VLAN: 101管理VLAN: 800数据VLAN: 102管理VLAN: 800管理VLAN: 800数据VLAN: 101数据VLAN: 10

42、2STA STA STA STA + T VLAN800APACL2 SWSWAP上上电AC管理管理APUNTAG+ T VLAN800+ S VLAN101、102ACBRASSTA当前我司当前我司ACAC主要采用此组网方式主要采用此组网方式STAWLAN业务无线局域网结构无中心对等网无线局域网结构无中心对等网Ad HocSTASTASTASTASTA由无线工作站组成，用于一台无线工作站和另一台或多台其他无线工作站的直接通讯，由无线工作站组成，用于一台无线工作站和另一台或多台其他无线工作站的直接通讯，该网络无法接入到有线网络中，只能独立使用。无需该网络无法接入到有线网络中，只能独立使用。无需

43、AP，平安由各个客户端自行维护。，平安由各个客户端自行维护。采用这种拓扑结构的网络，各站点竞争公用信道，但站点数过多时，信道竞争成为限制采用这种拓扑结构的网络，各站点竞争公用信道，但站点数过多时，信道竞争成为限制网络性能的要害，因此，这种拓扑结构比较适合小规模、小范围的网络性能的要害，因此，这种拓扑结构比较适合小规模、小范围的WLAN系统组网。系统组网。点对点模式中的一个节点必需能同时点对点模式中的一个节点必需能同时“看到网络中的其他节点，否那么就认为网络中看到网络中的其他节点，否那么就认为网络中断，因此对等网络只能用于少数用户的组网环境，比方断，因此对等网络只能用于少数用户的组网环境，比方4

44、至至8个用户。个用户。无线局域网结构单接入点无线局域网结构单接入点BSS由无线访问点由无线访问点(AP)、无线工作站、无线工作站(STA)以及分布式系统以及分布式系统(DSS)构成，覆盖的区域称做构成，覆盖的区域称做根本效劳区根本效劳区(BSS)。无线访问点也称无线。无线访问点也称无线hub，用于在无线，用于在无线STA和有线网络之间接收、和有线网络之间接收、缓存和转发数据，所有的无线通讯都经过缓存和转发数据，所有的无线通讯都经过AP完成。无线访问点通常能够覆盖几十至完成。无线访问点通常能够覆盖几十至几百用户，覆盖半径达上百米。几百用户，覆盖半径达上百米。AP可以连接到有线网络，实现无线网络和

45、有线网络可以连接到有线网络，实现无线网络和有线网络的互联。的互联。STASTASTAServerSTALSWAPInternetInternet无线局域网结构多接入点无线局域网结构多接入点ESS由多个由多个AP以及连接它们的分布式系统以及连接它们的分布式系统(DS)组成的根底架构模式网络，也称组成的根底架构模式网络，也称为扩展效劳区为扩展效劳区(ESS)。扩展效劳区内的每个。扩展效劳区内的每个AP都是一个独立的无线网络根都是一个独立的无线网络根本效劳区本效劳区(BSS)，所有，所有AP共享同一个扩展效劳区标示符共享同一个扩展效劳区标示符(ESSID)。分布式系。分布式系统统(DS)在标准中并没

46、有定义，但是目前大都是指以太网。相同在标准中并没有定义，但是目前大都是指以太网。相同ESSID的无的无线网络间可以进行漫游，不同线网络间可以进行漫游，不同ESSID的无线网络形成逻辑子网。的无线网络形成逻辑子网。STASTASTAServerSTALSWAPInternetInternetAPSTABSS1BSS2开展演进和有线LAN的不同点网络架构关键技术WLAN关键技术关键技术 WLAN的无线接入过程的无线接入过程 WLAN网络平安网络平安 瘦瘦AP发现发现AC的机制的机制无线接入过程三个阶段STASTA工作站启动初始化、开始正式使用工作站启动初始化、开始正式使用APAP传送数据帧前传送数

47、据帧前，要经过三个阶段才能够接入：，要经过三个阶段才能够接入：扫描阶段扫描阶段SCANSCAN认证阶段认证阶段 (Authentication) (Authentication)关联关联AssociationAssociation无线接入过程无线接入过程 扫描阶段扫描阶段无线接入第一阶段：扫描无线接入第一阶段：扫描SCAN阶段阶段假设无线站点假设无线站点STA设成设成infrastructure模式：模式：802.11 MAC 使用使用Scanning来搜索来搜索AP, 有两种方式有两种方式主动扫描方式主动扫描方式 特点：能迅速找到特点：能迅速找到STA依次在依次在11个信道发出个信道发出Pr

48、obe Request帧，寻找与帧，寻找与STA所属有相所属有相同同SSID的的AP,假设找不到相同假设找不到相同SSID的的AP，那么一直扫描下去，那么一直扫描下去.被动扫描方式特点：找到时间较长，但被动扫描方式特点：找到时间较长，但STA节电节电STA被动等待被动等待AP每隔一段时间定时送出的每隔一段时间定时送出的Beacon信标帧，该帧提信标帧，该帧提供了供了AP及所在及所在BSS相关信息：相关信息：“我在这里我在这里无线接入过程无线接入过程 认证阶段认证阶段无线接入第二阶段：认证无线接入第二阶段：认证Authentication阶段阶段当当STA找到与其有相同找到与其有相同SSID的的

49、AP,在在SSID匹配的匹配的AP中，中，根据收到的根据收到的AP信号强度，选择一个信号最强的信号强度，选择一个信号最强的AP,然后然后进入认证阶段。只有身份认证通过的站点才能进行无线进入认证阶段。只有身份认证通过的站点才能进行无线接入访问。华为的接入访问。华为的AP提供如下认证方法提供如下认证方法(后续胶片会逐后续胶片会逐一讲解每种认证方法一讲解每种认证方法)，包括：，包括：开放系统身份认证开放系统身份认证(open-system authentication)共享密钥认证共享密钥认证(shared-key authenticationWPA PSK认证认证 Pre-shared key80

50、2.1X EAP认证认证无线接入过程无线接入过程 关联阶段关联阶段无线接入第三阶段：关联无线接入第三阶段：关联Association阶段阶段当当AP向向STA返回认证响应信息，身份认证获得通过后，进入返回认证响应信息，身份认证获得通过后，进入关联阶段。关联阶段。1. STA向向AP发送关联请求发送关联请求2. AP 向向STA返回关联响应返回关联响应至此，接入过程才完成，至此，接入过程才完成，STA初始化完毕，可以开始向初始化完毕，可以开始向AP传送数传送数据帧。据帧。无线接入过程示意图无线接入过程示意图WLAN关键技术关键技术 WLAN的无线接入过程的无线接入过程 WLAN网络平安网络平安

51、瘦瘦AP发现发现AC的机制的机制WLAN网络平安网络平安WLAN网络平安包括两个方面：网络平安包括两个方面：用户身份验证，防止未授权访问网络资源。用户身份验证，防止未授权访问网络资源。数据加密，以保护数据完整性和数据传输私密性。数据加密，以保护数据完整性和数据传输私密性。WLAN网络平安相关标准网络平安相关标准标准致力于无线平安的各个方面标准致力于无线平安的各个方面,在制定标准期间，无线局域网厂家已经走在前在制定标准期间，无线局域网厂家已经走在前头，在尽可能多地实现该标准指定的功能，因为头，在尽可能多地实现该标准指定的功能，因为Wi-Fi联盟根据草案的内容开发联盟根据草案的内容开发了了Wi-F

52、i受保护的接入受保护的接入WPA2 - Wi-Fi受保护的接入第受保护的接入第2版版WPA2是基于最终的标准的是基于最终的标准的的新一代平安标准为了增强的新一代平安标准为了增强WLAN的数据加密和认证性能，定义了的数据加密和认证性能，定义了RSNRobust Security Network的概念，并且针对的概念，并且针对WEP加密机制的各种缺陷做了多加密机制的各种缺陷做了多方面的改进。方面的改进。WAPI - 中国在无线局域网国家标准中提出了中国在无线局域网国家标准中提出了WAPI机制来实现无线局域网的机制来实现无线局域网的平安平安之前使用的加密机制和认证机制之前使用的加密机制和认证机制加密

53、机制：加密机制：802.11WEP - 也是也是IEEE提供的第一代用于无线认证和加密的平安解决提供的第一代用于无线认证和加密的平安解决方案方案认证机制：认证机制：无线局域网标准定义了两种验证无线局域网客户端的机制：无线局域网标准定义了两种验证无线局域网客户端的机制：开放式认证开放式认证共享密钥认证共享密钥认证还有其他两个常用的机制：还有其他两个常用的机制：基于基于SSID的认证的认证MAC地址认证地址认证和和WAPI是是认证和加密算法的重点，也是目前运和加密算法的重点，也是目前运营商最关注的两种平安解决方案，将商最关注的两种平安解决方案，将在本章在本章节重点介重点介绍。 。之前使用的加密和认

54、证机制开放系统认证之前使用的加密和认证机制开放系统认证(open-system authentication )(一一)p开放系统身份认证应用场景p开放式认证也叫明文接入既不关心客户端/用户认证问题，也不关心无线客户端p与网络之间所交换数据的加密问题，这种类型的认证方式主要用于公共区域p或热点区域，如机场酒店、大堂等为客人提供的无线接入如接入互联网效劳。p开放系统身份认证的原理p开放系统是802.11 要求必备的方式。在开放系统身份认证中，AP并未验证移动式工作站的真实身份。任何客户端都可以参加网络，而无需提供任何凭证。如果没有加密功能，任何知道无线局域网SSID 的设备都可以进入该网络。如果

55、在AP 上启用了有线对等加密协议( WEP )，WEP 密钥那么成为一种访问控制的手段。没有正确的WEP密钥的设备即使认证成功也不能通过AP 传输数据，同时这样的设备也不能解密由AP 发出的数据。STAAPAuthentication requestAuthentication Response (success)之前使用的加密和认证机制开放系统认之前使用的加密和认证机制开放系统认证证(open-system authentication )(二二)p开放认证中客户端关联开放认证中客户端关联APAP的步骤的步骤p1. 1. 客户端发送一个探测请求客户端发送一个探测请求 。p2. 2. 周边的周

56、边的AP AP 回复探测响应。回复探测响应。p3. 3. 客户端评估客户端评估AP AP 的响应并选择信号最好的的响应并选择信号最好的APAP。p4. 4. 客户端发送一个验证请求给选定的客户端发送一个验证请求给选定的APAP。p5. 5. 该该AP AP 确认该认证并注册客户端。确认该认证并注册客户端。p6. 6. 客户端然后发送一个关联请求给客户端然后发送一个关联请求给APAP。p7. AP 7. AP 确认该关联并注册客户端。确认该关联并注册客户端。p开放认证的优点和缺点开放认证的优点和缺点p优点：开放认证是一个根本的验证机制，你可以使用不支持复杂的认证算优点：开放认证是一个根本的验证机

57、制，你可以使用不支持复杂的认证算法无线设备。法无线设备。802.11 802.11 标准中认证的是面向连接的。对于需要验证允许设备得标准中认证的是面向连接的。对于需要验证允许设备得以快速进入网络的设计，在这种情况下，您可以使用开放式身份验证。以快速进入网络的设计，在这种情况下，您可以使用开放式身份验证。p缺点：开放认证没方法检验是否客户端是一个有效的客户端，而不是黑客缺点：开放认证没方法检验是否客户端是一个有效的客户端，而不是黑客客户端。如果你使用不带客户端。如果你使用不带WEP WEP 加密的开放验证，任何知道无线局域网加密的开放验证，任何知道无线局域网SSID SSID 的的用户都可以访问

58、网络。用户都可以访问网络。 MAC地址认证虽然802.11 标准没有指定MAC 地址认证，但无线局域网普遍使用该认证技术。因此，大多数的无线设备厂商包括华为均支持MAC 地址验证。AP上维护了一份经过授权的MAC 地址清单，不在名单上的工作站。网管人员可以键入一组经过授权的工作站地址，只要是表上有名的工作站就可以跟网络连接。之前使用的加密和认证机制之前使用的加密和认证机制 MAC地址认证MAC地址认证与其说是一种认证方式，更应该是一种访问控制方式。 华为的AP都支持之前使用的加密和认证机制共享密钥认证之前使用的加密和认证机制共享密钥认证(shared-key authentication(一一

59、)STAAPAuthentication requestPlain text challengeCipher text challengeAuthentication Response (success)预置Key用Key加密明文密文解密和明文比较预置Keyn共享密钥认证(shared-key authentication的原理n共享密钥认证与开放验证有一个主要的区别。当你使用带WEP加密密钥的开放认证时，WEP 密钥是用来加密和解密数据，但在认证的步骤中却不使用。在共享密钥认证中，WEP 加密被用于验证。共享密钥身份认证必须使用WEP密钥，因此只能用于实现了WEP的产品上。客户端要参加WLA

60、N时，AP向它发送一个挑战短语，客户端使用挑战短语和WEP密钥计算出一个可公开共享的值，并将其发回给AP. AP使用自己的WEP密钥计算一个类似的值，如果这两个值相同，客户端便通过了认证。之前使用的加密和认证机制共享密钥认证之前使用的加密和认证机制共享密钥认证之前使用的加密和认证机制共享密钥认证之前使用的加密和认证机制共享密钥认证(shared-key authentication(shared-key authentication( (二二二二) )n共享密钥认证中客户端关联到AP的步骤n1. 客户端发送一个探测请求 n2. 周边的AP 回复探测响应n3. 客户端评估AP 的响应并选择信号最

61、好的APn4. 客户端发送一个验证请求给选定的AP。n5. 该AP 发送一个包含未加密挑战文本的认证响应。n6. 客户端利用WEP 密钥加密挑战文本，并将加密后的文件回复给该APn7. AP 比较未加密的挑战文本和加密的挑战文本。如果验证可以解密和恢复原始的挑战文本，那么该认证是成功的n共享密钥认证在客户端关联过程中使用WEP 加密n共享密钥认证中的缺点n使用共享密钥常被称为静态WEP密钥认证时，WEP密钥也被用做加密密钥，通过WLAN发送每个分组时，将把分组的内容和WEP密钥提供给加密进程，远端收到分组后，经使用相同的WEP密钥对其进行解密。共享密钥认证比开放认证平安，但存在两个缺点n1.

62、可扩展性不佳，因为必须在每台设备上配置一个很长的密钥字符串；n2. 不是很平安n静态密钥的使用时间非常长，直到手工重新配置了新密钥为止。密钥的使用时间越长，恶意用户便有更长的时间来收集从它派生而来的数据，并最终通过逆向工程破解密钥。静态WEP密钥是可以破解的，因此不推荐使用这种认证方法。802.11WEP 也是IEEE提供的第一代用于无线认证和加密的平安解决方案。STAAP加密报文IV值IV静态KeyKey生成器Key流XOR用户数据明文发送的加密报文IV静态KeyKey流XOR用户数据明文接收的加密报文IV：initialization Vender 初始向量WEP：Wired Equiva

63、lent Privacy 有线对等私有协议之前使用的加密和认证机制之前使用的加密和认证机制之前使用的加密和认证机制之前使用的加密和认证机制WEPWEP加密加密加密加密标准致力于无线平安的各个方面。在制定标准期间，无线局域网厂标准致力于无线平安的各个方面。在制定标准期间，无线局域网厂家已经走在前头，在尽可能多地实现该标准指定的功能，因为家已经走在前头，在尽可能多地实现该标准指定的功能，因为Wi-Fi联盟根据草案的一联盟根据草案的一内容开发了内容开发了Wi-Fi受保护的接入受保护的接入Wi-Fi Protected Access，WPA。WPA提供了下述无线局域网平安措施：提供了下述无线局域网平安

64、措施：通过通过PSK( Pre-shared key)进行用户验证或进行进行用户验证或进行802.1x(EAP)基于效劳器的认证；基于效劳器的认证；客户端和效劳器之间的双向认证；客户端和效劳器之间的双向认证；使用暂时密钥完整性协议使用暂时密钥完整性协议Temporal Key Integrity Protocol，TKIP或者或者PPK (Per-Packet Keying，每报文密钥，每报文密钥)确保数据隐秘性；确保数据隐秘性；使用消息完整性校验使用消息完整性校验Message Integrity Check，MIC确保数据完整性确保数据完整性支持支持WPA并不需要进行硬件升级，只要进行固件

65、和软件升级即可。并不需要进行硬件升级，只要进行固件和软件升级即可。目前及今后使用的加密机制目前及今后使用的加密机制目前及今后使用的加密机制目前及今后使用的加密机制WPAWPAPSKPSK Pre-shared key Pre-shared key认证方式认证方式该方式要求在该方式要求在STASTA侧预先配置侧预先配置KeyKey，APAP通过通过4 4次握手次握手KeyKey协商协议来验证协商协议来验证STASTA侧侧KeyKey的合法性。的合法性。对没有什么重要数据的小型网络而言，可以使用对没有什么重要数据的小型网络而言，可以使用WPAWPAPSK PSK 的预设共享密钥模式。主要把预设共享

66、密钥方式的的预设共享密钥模式。主要把预设共享密钥方式的WPA-WPA-PSK PSK 应用于小型、风险低的网络以及不需太多保护的网络用户。应用于小型、风险低的网络以及不需太多保护的网络用户。对大企业而言，平安性要求较高，更多的使用。对大企业而言，平安性要求较高，更多的使用。TKIP利用无线客户端和利用无线客户端和AP嵌入的现有嵌入的现有WEP加密硬件。加密硬件。WEP加密过程与以前相同，加密过程与以前相同，但但WEP密钥密钥的生成频率更高，而不是像使用基于的生成频率更高，而不是像使用基于EAP的认证方法时那样在每次重新认证是生的认证方法时那样在每次重新认证是生成成WEP密钥。密钥。实际上，实际

67、上，TKIP为每个分组生成新的为每个分组生成新的WEP密钥。客户适用于根本密钥。客户适用于根本EAP的方法对客户的方法对客户端进行认证端进行认证或重新认证时，将生成一个初始密钥。该密钥是通过混合发送方客户端或或重新认证时，将生成一个初始密钥。该密钥是通过混合发送方客户端或AP)的的MAC地地址和一个序列号生成的。发送每个分组时，都将更新该址和一个序列号生成的。发送每个分组时，都将更新该WEP密钥。客户端被重新密钥。客户端被重新认证时，将生认证时，将生成一个全新的成一个全新的WEP密钥，然后再每个分组时更新该密钥。密钥，然后再每个分组时更新该密钥。如果没有使用或不需要外部认证效劳器，如果没有使用

68、或不需要外部认证效劳器，WPA可以使用预共享密钥进行认证。在可以使用预共享密钥进行认证。在这种情况下，这种情况下，客户端和客户端和AP相互进行认证时将只适用该预共享密钥。数据隐秘性加密根本不相互进行认证时将只适用该预共享密钥。数据隐秘性加密根本不使用预共享使用预共享密钥，而由密钥，而由TKIP负责进行加速加密密钥更新，以便用于进行负责进行加速加密密钥更新，以便用于进行WEP加密。加密。WPA TKIPWPA TKIP加密算法加密算法加密算法加密算法目前及今后使用的加密机制目前及今后使用的加密机制目前及今后使用的加密机制目前及今后使用的加密机制WPA2(802.11i)WPA2(802.11i)

69、Wi-FiWi-Fi受保护的接入第受保护的接入第2 2版版WPA2WPA2是基于最终的标准的，从这个角度来说是基于最终的标准的，从这个角度来说WPA2WPA2的的标准其实与一致，与标准其实与一致，与WPAWPA相比，主要是改进措施是：相比，主要是改进措施是：使用使用AES (Advanced Encryption StandardAES (Advanced Encryption Standard，高级加密标准，高级加密标准) )进行加密。进行加密。AESAES是一种是一种健壮，可扩展的加密方法。健壮，可扩展的加密方法。WPA2WPA2也支持使用也支持使用TKIPTKIP对数据进行加密，以便向后

70、同对数据进行加密，以便向后同WPAWPA兼容。使用兼容。使用WPAWPA和其他基于和其他基于EAPEAP的认证方法时，无线客户端必须向要访问的的认证方法时，无线客户端必须向要访问的每个每个APAP进行认证。如果客户端从一个进行认证。如果客户端从一个APAP移到另一个移到另一个AP,AP,将需要不断进行认证，将需要不断进行认证，这很麻烦。这很麻烦。WPA2WPA2使用主动密钥缓存使用主动密钥缓存proactive key cachingproactive key caching，PKCPKC解决了这解决了这个问题，客户端只需认证一次个问题，客户端只需认证一次向它遇到的第一个向它遇到的第一个APA

71、P认证。只要客户端访问的认证。只要客户端访问的其他其他APAP的都支持的都支持WPA2,WPA2,且被配置为属于一个逻辑组，就将自动传递缓存的认证且被配置为属于一个逻辑组，就将自动传递缓存的认证信息和密钥。信息和密钥。使用使用IDSIDSIntrusion Detection SystemIntrusion Detection System，入侵检测系统来识别并防范攻击。，入侵检测系统来识别并防范攻击。由于使用由于使用AESAES加密，所以加密，所以WPA2WPA2比比WPAWPA更消耗更消耗CPUCPU资源，通常需要硬件升级。资源，通常需要硬件升级。技术总结技术总结协议的核心内容包括：协议的

72、核心内容包括：基于进行身份认证基于进行身份认证基于基于TKIP、CCMP等加密算法实现数据加密等加密算法实现数据加密基于基于4次握手实现用户会话密钥的动态协商次握手实现用户会话密钥的动态协商WiFi联盟参考草案的子集，制定了联盟参考草案的子集，制定了WPAWi-Fi Protected Access标准。标准。WPA核心内容包括了：核心内容包括了：基于进行身份认证基于进行身份认证基于基于PSKPre-Shared Key进行身份认证进行身份认证基于基于TKIP实现数据加密实现数据加密基于基于4次握手实现用户会话密钥的动态协商次握手实现用户会话密钥的动态协商完整的支持那么称为完整的支持那么称为W

73、PA2，主要增加了，主要增加了AES-CCM加密算法支持加密算法支持等。等。目前及今后使用的加密机制目前及今后使用的加密机制WPAI基于WAPI的无线局域网国家标准体系增强了STA和AP的认证机制 支持认证方式 支持Pre-shared key认证方式增加了 Key的生成、管理以及传递的机制 每用户使用独立的Key 通过平安的传递方法传递用户数据加密使用的Key增加了两类对称加密算法，加密强度大大增强 TKIP临时密钥完整性协议：其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法到达提高WLAN平安的目的 CCMP计数器模式CBC-MAC 协议

74、：核心为AESAdvanced Encryption Standard，先进加密标准算法，由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的根底上进行升级实现。WRAP: WRAP机制基于AES加密算法和OCBOffset Codebook，是一种可选的加密机制。协议 平安认证和加密的新一代平安标准为了增强WLAN的数据加密和认证性能，定义了RSNRobust Security Network的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。WAPI协议技术原理全IP架构下的接入网三元结构WAPI构筑三元平安架构WAPI协议的核心内容协议的核心内容WAPI协议的核心内容：协议

75、的核心内容：WAI无线局域网鉴别根底结构：无线局域网鉴别根底结构：确定平安策略；确定平安策略；完成双向鉴别包括：基于证书；预共享密钥两种形式完成双向鉴别包括：基于证书；预共享密钥两种形式；单播和组播密钥协商。单播和组播密钥协商。WPI无线局域网保密根底结构：主要解决所有的无线局域网保密根底结构：主要解决所有的WEP问题问题WAPI平安协议流程STA通过被动侦听信标帧或主动探询获得通过被动侦听信标帧或主动探询获得AP的平安策略。的平安策略。如果如果AP使用的是使用的是WAI证书鉴别和密钥管理机制，证书鉴别和密钥管理机制，AP发送发送鉴别激活分组启动证书鉴别过程，证书鉴别过程成功结鉴别激活分组启动

76、证书鉴别过程，证书鉴别过程成功结束后，束后，AP和和STA进行单播密钥协商过程和组播密钥通告进行单播密钥协商过程和组播密钥通告过程。如果过程。如果AP使用的是预共享密钥机制，使用的是预共享密钥机制，AP和和STA直接直接进行单播密钥协商过程和组播密钥通告过程。进行单播密钥协商过程和组播密钥通告过程。STA和和AP之间的单播数据利用单播密钥协商过程所协商之间的单播数据利用单播密钥协商过程所协商推导出的单播加密密钥、单播完整性校验密钥进行保护；推导出的单播加密密钥、单播完整性校验密钥进行保护；AP利用自己通告的组播密钥保护发送播送利用自己通告的组播密钥保护发送播送/组播数据，组播数据，STA接收时

77、采用接收时采用AP通告的组播密钥进行解密。通告的组播密钥进行解密。WAPI平安协议流程WAPI和的技术比较和的技术比较两者的协议流程结构根本是一致的，涉及的各个实体也仅仅两者的协议流程结构根本是一致的，涉及的各个实体也仅仅是命名上不同。是命名上不同。两者的主要区别：两者的主要区别：用户鉴别用户鉴别一般平安体制只能实现一般平安体制只能实现WLAN设备对无线客户端的单向鉴别设备对无线客户端的单向鉴别和和WAPI都支持数字证书形式认证，可以实现都支持数字证书形式认证，可以实现WLAN接入设接入设备和无线客户端的双向鉴别。备和无线客户端的双向鉴别。在在WAPI平安体制下，实现的是三元组认证，即平安体制

78、下，实现的是三元组认证，即WLAN接入接入设备和设备和AS是独立的两个实体，是独立的两个实体，AS作为公信的第三方，需同作为公信的第三方，需同时鉴别时鉴别WLAN接入设备和无线客户端的合法性接入设备和无线客户端的合法性在平安机制下，无线客户端无法区分在平安机制下，无线客户端无法区分WLAN接入设备和接入设备和AS / AAA Server鉴别协议鉴别协议在在WAPI中，特别保证了鉴别信息的完整性；中，特别保证了鉴别信息的完整性；在等其它平安体制中，鉴别成功信息不包含完整性校验，鉴在等其它平安体制中，鉴别成功信息不包含完整性校验，鉴别消息易被篡改对网络构成平安威胁别消息易被篡改对网络构成平安威胁

79、WAPI和的技术比较续和的技术比较续加密方式加密方式WAPI强制使用数字证书作为身份凭证，既方便了平安管理，同强制使用数字证书作为身份凭证，既方便了平安管理，同时还提升了平安性时还提升了平安性支持多种加密方式，在互通时要采用相同的加密方式，而且在支持多种加密方式，在互通时要采用相同的加密方式，而且在多种加密方式并存的接入环境中，播送多种加密方式并存的接入环境中，播送 / 组播包只能采用较低组播包只能采用较低平安等级的加密算法传输，容易产生平安漏洞平安等级的加密算法传输，容易产生平安漏洞中国电信中国电信WLAN网络平安现网部署策略：网络平安现网部署策略：同时支持同时支持WAPI和平安策略和平安策

80、略积极引入试点积极引入试点WAPI，直至规模布署，直至规模布署WLAN关键技术关键技术 WLAN的无线接入过程的无线接入过程 WLAN网络平安网络平安 瘦瘦AP发现发现AC的机制的机制预配静态预配静态AC列表列表无无AC列表列表瘦瘦AP发现发现AC-流程图流程图AP在成功参加连接一个AC前，将重复执行以下的AC发现流程。开始L2 发现暂停选中选中AC参加连接找不到找不到AC找不到找不到AC选中选中ACL3 发现重新开始发重新开始发现过程现过程Huawei AP Huawei AP Huawei AC Huawei AC 路由器路由器 L2L2交换机交换机 IP城域网城域网播送L2 LWAPP

81、发现请求建立与AC的连接，开始接受AC管理当AP启动时，它会发送一个DHCP发现数据包，以获取一个IP地址是否必需？AP播送一个以太网“discovery request发现请求帧AC收到该播送帧后，根据AP的MAC地址反响“ Discovery Response(发现响应)信息AP收到响应信息后就建立于AC的管理连接如果AP长时间多长？没有收到AC的响应，那么将启动L3发现流程瘦瘦AP发现发现AC-L2发现发现Huawei AP Huawei AP Huawei AC1 Huawei AC1 路由器路由器 L2L2交换机交换机 IP城域网城域网L3 LWAPP 发现请求L2L2交换机交换机

82、DHCPDHCP效劳器效劳器 Huawei AC2 Huawei AC2 发回发现响应信息到AP的IP地址建立与主AC的连接，开始接受AC管理当当AP启动时，它会发送一个启动时，它会发送一个DHCP发现数据包，以获取一个发现数据包，以获取一个IP地址地址AP可以在命令行预配置静态可以在命令行预配置静态AC的的IP地址列表，包括主地址列表，包括主AC和备和备ACAP发送发送L3 LWAPP发现请求数发现请求数据包到所有预配置的据包到所有预配置的AC列表列表IP地址地址如果主如果主AC有返回发现响应，那有返回发现响应，那么么AP自动与该自动与该AC建立管理连接建立管理连接当只有备当只有备AC返回发

83、现响应时，返回发现响应时，AP才与备才与备AC建立管理连接建立管理连接如果没有收到任何如果没有收到任何AC的响应，的响应，那么那么AP等候等候30秒后重新开始该秒后重新开始该发现流程发现流程瘦AP发现AC-L3发现1预配置静态AC列表Huawei AP Huawei AP Huawei AC1 Huawei AC1 路由器路由器 L2L2交换机交换机 IP城域网城域网L3 LWAPP 发现请求发回发现响应信息到AP的IP地址建立与AC的连接，开始接受AC管理L2L2交换机交换机 DHCP/DNSDHCP/DNS效劳器效劳器 Huawei AC2 Huawei AC2 AC IP地址列表当当AP

84、启动时，它会发送一个启动时，它会发送一个DHCP发现数据包，以获取一个发现数据包，以获取一个IP地址地址AP发送发送L3 LWAPP发现请求数据发现请求数据包到：包到：子网播送地址以获取本地子网播送地址以获取本地AC的的IPs上次连接的上次连接的AC的的IP从从DHCP效劳器通过效劳器通过Option 43获获得得AC的的IP地址列表地址列表从从DNS效劳器通过域名解析获得效劳器通过域名解析获得AC的的IP地址列表地址列表根据上步的响应建立根据上步的响应建立AC候选列表候选列表如果上次连接的如果上次连接的AC有响应，那么有响应，那么建立与之的连接建立与之的连接否那么，连接到否那么，连接到AC候选列表中可候选列表中可用用license最多的最多的AC。瘦瘦AP发现发现AC-L3发现发现2自动获得自动获得AC IP地址地址