WLAN及WiMAX介绍打印稿_戴浩_part2

11广东邮电职业技术学院802.1X认证流程（下页图）申请者发起认证请求给APAP发出请求帧给申请者要求用户名申请者将用户名通过数据帧给AP,AP封包处理后转给认证服务器认证服务器找到用户名对应的口号信息，用随机生成的加密字对口号进行加密，同时将加密字通过AP传给申请者客户端用加密字对口号进行加密，通过AP转给认证服务器认证服务器对两个加密后的口令信息进行对比，如果相同就认为是合法用户，反馈认证通过的信息，并向AP发出打开端口的指令，容许申请者通过端口访问网络22广东邮电职业技术学院33广东邮电职业技术学院WAPIWAPI是WLANauthenticationandprivacyinfrastructure（无线局域网络鉴别与保密基础构架）的英文缩写。WAPI是我国自主研发的，拥有自主知识产权的无线局域网安全技术标准。2003.12.01，质检总局、认监委发布[2003]第113号公告，宣布对无线局域网产品实施强制性产品认证（WAPI认证）。2004年6月1日宣布将延期强制实施WAPI标准。44广东邮电职业技术学院WAPI技术背景：“合法用户接入合法网络”基于三元结构和对等鉴别的访问控制方法可普遍适用于无线、有线网络WAPI目的——合法用户接入合法网络”用户网络55广东邮电职业技术学院WAPI—三元安全架构WEPWEP/TKIP、802.1x+EAP(802.11i)WAPI二元安全架构对应二物理实体单向鉴别无法保证安全三元安全架构对应三物理实体AP有独立身份完整双向认证有效保证安全“元”在网络安全接入领域指具有认证功能的功能体二元安全架构对应三物理实体AP无独立身份，易被攻击仍无法保证安全66广东邮电职业技术学院WLAN各种安全技术对比WEP802.1xIEEE802.11iWAPI认证特征＊单向认证＊共享密钥认证＊单向认证＊AP和RADIUS手工共享密钥＊无线用户和RADIUS服务器的认证＊双向认证＊无线用户身份通常为用户名和口令＊无线用户和无线接入点的认证＊双向认证＊身份凭证为公钥数字证书性能＊认证简单＊认证简单＊认证过程复杂＊RADIUS服务器不易扩充＊认证过程简单＊客户端可以支持多证书，方便用户多处使用，充分保证其漫游功能＊认证服务器单元易于扩充，支持用户的异地接入安全漏洞＊鉴别易于伪造降低了总安全性＊认证协议存在缺陷＊用户身份凭证简单，易被盗取，且被盗取后可任意使用＊共享密钥管理存在安全隐患无算法＊共享密钥认证EAPEAP(可扩展认证协议,ExtensibleAuthenticationProtocol)192/224/256/位的椭圆曲线签名算法安全强度低较高较高最高扩展性低低低高加密算法RC4＊128位的WEP\AES流加密认证的分组加密密钥静态动态（基于用户、基于认证、通信过程中动态更新）动态（基于用户、基于认证、通信过程中动态更新）安全强度低较高高最高中国法规不符合不符合不符合符合77广东邮电职业技术学院无线局域网部署-信道分配为了避免信道间干扰，同一区域内的AP的工作信道不能重叠，中心频率间隔最少为25MHz，因此最多只能有3个工作在不同信道的AP11个信道：每个信道占用22MHz，有且只有1个信道集合中有3个互不重叠的信道{1,6,11}14信道：每个信道占用22MHz，可划分为4个具有3个互不重叠信道的信道集合{1,6,11},{2,7,12},{3,8,13},{4,9,14}，但每次只能使用一个信道集合88广东邮电职业技术学院无线局域网部署-AP覆盖范围1Mbps5.5Mbps11Mbps2Mbps为保证传输速率，应选择尽量小的AP覆盖范围99广东邮电职业技术学院无线局域网部署-AP部署规划两种部署方法面向覆盖面向容量根据实际应用的需求选择部署方法1010广东邮电职业技术学院无线局域网部署-面向覆盖的AP规划目标：用最少的AP提供最大的覆盖应用特征：突发性、低速率应用举例：仓库或者零售商店，小型或者中等规模部门的办公室1111广东邮电职业技术学院无线局域网部署-面向容量的AP规划目标：为每个用户提供尽量大的吞吐量应用特征：高速率、低延迟、用户密集度高应用举例：流媒体应用1212广东邮电职业技术学院WLAN设备什么是FAT（胖）AP什么是无线网桥什么是无线交换机和FIT（瘦）AP天线工作原理及参数介绍1313广东邮电职业技术学院FATAP设备功能1414广东邮电职业技术学院FATAP设备的典型组网1515广东邮电职业技术学院802.11无线网桥无线网桥是一种采用无线技术进行网络互连的特殊功能的AP。无线网桥根据传输距离的不同可分为工作组网桥和长距专业网桥。为了防止信号大幅度衰减，网桥组网时两个网桥之间通常不能有障碍物的阻挡。以室外作为主要应用环境的无线网桥一般在设计时都会考虑适应一些恶劣的应用环境。1616广东邮电职业技术学院802.11无线网桥——视距问题视距问题点对点无线网传输必须保证两点可视。造成不可视的原因包括地球曲率、地理特征如山脉、建筑物和树木等。远距离通信时，还必须考虑地球曲率的影响，当两人相距9km时，将不能相视，无线信号也无法传输1717广东邮电职业技术学院Fresnel效应Fresnel区是指在视距的路径中形成的一个椭圆区域。它随着可视距离和信号频率的改变而改变。在Fresnel区中的任何障碍物都有可能影响网络的通信，最好给予清除，60%的Fresnel区被视为有效的。一般可以根据经验值确定Fresnel区的范围。解决视距问题和Fresnel区问题可以通过以下办法：（1）选择高性能天线，可以解决“部分不可视”问题；（2）提升天线的高度；（3）清除Fresnel区内的障碍物，如砍掉树木；（4）选择一台良好的中继设备。802.11无线网桥——Fresnel效应1818广东邮电职业技术学院802.11无线网桥的典型组网1919广东邮电职业技术学院FATAP组网的局限性FATAP组网更适合在家庭和中小型网络中使用，无法满足大型的无线企业网络的需求，这是由于FATAP自身的特点所决定的。当需要组建大型无线网络或需要更多的增值服务时：无线交换机和FITAP因此应运而生2020广东邮电职业技术学院无线交换机和FITAP的功能2121广东邮电职业技术学院无线交换机+FitAP系统构成特点主要由无线交换机和FitAP在有线网的基础上构成的。AP零配置，硬件主要由CPU＋内存＋RF构成，配置和软件都要从无线交换机上下载。所有AP和无线客户端的管理都在无线交换机上完成。AP和无线交换机之间的流量被私有协议加密；无线客户端的MAC只出现在无线交换机端口，而不会出现在AP的端口。可以在任何现有的二层或三层LAN拓扑上部署H3C的通用无线解决方案，而无需重新配置主干或硬件。无线交换机以及管理型接入点AP可以位于网络中的任何位置。2222广东邮电职业技术学院无线交换机和FITAP的典型连接2323广东邮电职业技术学院AP直连或通过二层网络连接时的注册流程2424广东邮电职业技术学院AP通过三层网络连接时的注册流程_option43方式2525广东邮电职业技术学院AP通过三层网络连接时的注册流程_DNS方式2626广东邮电职业技术学院无线交换机的数据转发原理无线交换机和AP间数据转发的核心思想在无线交换机和AP之间建立IPinIP隧道，无线交换机将这些隧道看做虚拟物理端口；无线客户端STA的任何数据报文都将由AP通过IPinIP隧道交给无线交换机，由无线交换机统一转发；无线交换机从IPinIP隧道接收到用户的数据后先解隧道封装，然后做数据交换，如果出接口为隧道则对数据报文再次加上隧道封装，直到交换到最远端。2727广东邮电职业技术学院2828广东邮电职业技术学院2929广东邮电职业技术学院3030广东邮电职业技术学院3131广东邮电职业技术学院3232广东邮电职业技术学院3333广东邮电职业技术学院3434广东邮电职业技术学院胖瘦对比3535广东邮电职业技术学院胖瘦对比3636广东邮电职业技术学院WLANMesh技术3737广东邮电职业技术学院Mesh组网技术要求3838广东邮电职业技术学院组网原则3939广东邮电职业技术学院Mesh组网的应用场景4040广东邮电职业技术学院技术特点4141广东邮电职业技术学院集中控制型Mesh组网拓扑图4242广东邮电职业技术学院路由型Mesh组网拓扑图4343广东邮电职业技术学院不同类型AP应用场景4444广东邮电职业技术学院主要无线技术指标4545广东邮电职业技术学院功率计量单位：dB,dbm,dbw4646广东邮电职业技术学院天线的工作频率4747广东邮电职业技术学院天线的方向性——全向天线4848广东邮电职业技术学院天线的方向性——定向天线4949广东邮电职业技术学院天线增益5050广东邮电职业技术学院波束宽度