Cisco CCIE R-S V5.0 課程：第三學(xué)期-擴(kuò)展網(wǎng)絡(luò)-第4章 無(wú)線局域網(wǎng)

第四章:無(wú)線局域網(wǎng)

WirelessLANs第三學(xué)期：擴(kuò)展網(wǎng)絡(luò)ScalingNetworks學(xué)習(xí)目標(biāo)描述無(wú)線局域網(wǎng)技術(shù)及標(biāo)準(zhǔn).描述無(wú)線局域網(wǎng)的組成.描述無(wú)線拓?fù)?描述

802.11幀結(jié)構(gòu).描述無(wú)線技術(shù)使用的介質(zhì)爭(zhēng)用方法.描述WLAN的信道管理.描述無(wú)線局域網(wǎng)面臨的安全威脅.描述無(wú)線局域網(wǎng)的安全機(jī)制.配置無(wú)線路由器以支持遠(yuǎn)程站點(diǎn)接入.配置無(wú)線客戶端以接入無(wú)線路由器.無(wú)線配置問(wèn)題故障診斷.第四章無(wú)線局域網(wǎng)4.1無(wú)線概念4.2無(wú)線局域網(wǎng)工作過(guò)程4.3無(wú)線局域網(wǎng)安全4.4無(wú)線局域網(wǎng)配置4.5總結(jié)4.1無(wú)線概念

WirelessConcepts第三學(xué)期：擴(kuò)展網(wǎng)絡(luò)ScalingingNetworksWLAN組成

移動(dòng)支持生產(chǎn)力已經(jīng)不再局限于一個(gè)固定的工作位置或是一段規(guī)定的工作時(shí)間。人們希望不論何時(shí)何地都可進(jìn)行連接，不管是在辦公室、機(jī)場(chǎng)還是家中。用戶希望能無(wú)線漫游。漫游允許無(wú)線設(shè)備保持因特網(wǎng)接入而不會(huì)失去連接。WLAN組成

無(wú)線的好處在任意地點(diǎn)工作的靈活性減少開銷WLAN組成

無(wú)線技術(shù)WLAN組成

無(wú)線技術(shù)

(繼續(xù))Bluetooth

–

IEEE802.15WPAN標(biāo)準(zhǔn)，通過(guò)設(shè)備配對(duì)過(guò)程實(shí)現(xiàn)通信，傳輸距離可達(dá)100m(.05mile)Wi-Fi

–IEEE802.11WLAN標(biāo)準(zhǔn)，廣泛用于為家庭和公司用戶提供網(wǎng)絡(luò)接入,可包含數(shù)據(jù),語(yǔ)音和視頻流量,傳輸距離可達(dá)300m(0.18mile)WiMAX(WorldwideInteroperabilityforMicrowaveAccess)

–

IEEE802.16WWAN標(biāo)準(zhǔn)，提供無(wú)線寬帶接入距離可達(dá)50km(30miles)蜂窩寬帶（Cellularbroadband，移動(dòng)寬帶）

–大量的公司，國(guó)家和國(guó)際組織，使用蜂窩接入服務(wù)提供商來(lái)提供移動(dòng)寬帶網(wǎng)絡(luò)接入衛(wèi)星寬帶（SatelliteBroadband）

–通過(guò)定向衛(wèi)星天線向遠(yuǎn)程站點(diǎn)提供網(wǎng)絡(luò)接入WLAN組成

射頻頻率WLANs(2.4GHz)Bluetooth蜂窩寬帶UHF電視微波爐GPS系統(tǒng)WLANs

(5GHz)微波通信衛(wèi)星通信射電天文學(xué)WiGigWLANs(60GHz)雷達(dá)著陸系統(tǒng)射電天文學(xué)WLAN組成

802.11標(biāo)準(zhǔn)WLAN組成

Wi-Fi證書國(guó)際上，有三個(gè)組織影響了WLAN標(biāo)準(zhǔn)的制定:ITU-R

-負(fù)責(zé)分派無(wú)線頻譜和衛(wèi)星軌道IEEE

-指定射頻如何調(diào)制以承載信息Wi-Fi

聯(lián)盟

-Wi-Fi聯(lián)盟?()是一個(gè)全球的非盈利的工業(yè)貿(mào)易協(xié)會(huì)，致力于推動(dòng)無(wú)線局域網(wǎng)的發(fā)展WLAN組成

WLAN與LAN對(duì)比WLAN設(shè)備

無(wú)線適配器無(wú)線部署要求:終端設(shè)備，帶有無(wú)線適配器基礎(chǔ)架構(gòu)設(shè)備,例如無(wú)線路由器或無(wú)線APWLAN設(shè)備

家用無(wú)線路由器家庭用戶典型的無(wú)線互聯(lián)設(shè)備是小型集成無(wú)線路由器。它包含以下功能:接入點(diǎn)（AP）以太網(wǎng)交換機(jī)路由器WLAN設(shè)備

商用無(wú)線解決方案WLAN設(shè)備

無(wú)線接入點(diǎn)（AccessPoint，AP）AP可分為兩類：

自治（Autonomous）AP和

受控（Controller-Based）AP。自治AP受控AP某些AP既可工作在自治模式，又可工作在受控模式.WLAN設(shè)備

小型無(wú)線部署解決方案Cisco提供以下無(wú)線自治AP解決方案:CiscoWAP4410NAP

CiscoWAP121和

WAP321AP

CiscoAP541NAPWLAN設(shè)備

小型無(wú)線部署解決方案(繼續(xù))小型企業(yè)網(wǎng)絡(luò)使用WAP4410N的簡(jiǎn)單拓?fù)涿總€(gè)AP獨(dú)立地進(jìn)行配置和管理。當(dāng)需要多個(gè)AP時(shí)將導(dǎo)致問(wèn)題。WLAN設(shè)備

小型無(wú)線部署解決方案WAP121,WAP321和AP541N支持AP的聚集而無(wú)需使用無(wú)線控制器。可部署多個(gè)AP并推送單一配置。WLAN設(shè)備

大型無(wú)線部署解決方案對(duì)于需要使用大量AP的大型機(jī)構(gòu)，Cisco提供基于控制器管理的解決方案:CiscoMeraki云管理架構(gòu)。Cisco統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)。WLAN設(shè)備

大型無(wú)線部署解決方案CiscoMeraki云管理架構(gòu)需要以下組件:CiscoMR云管理無(wú)線AP

Meraki云控制器

(MCC)

基于Web的

控制板MerakiCloudController(MCC)WLAN設(shè)備

大型無(wú)線部署解決方案Cisco統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)輕（Lightweight）AP小到中型企業(yè)無(wú)線控制器Cisco2500SeriesWirelessControllersWLAN設(shè)備

天線全向

Wi-Fi天線

定向

Wi-Fi天線八木

天線802.11WLAN技術(shù)

802.11無(wú)線組網(wǎng)模式

兩種

主要的無(wú)線

組網(wǎng)模式:AdHoc模式

（點(diǎn)到點(diǎn)）Infrastructure

模式（有固定設(shè)備）AdHocInfrastructure802.11WLAN技術(shù)

AdHoc模式802.11WLAN技術(shù)

Infrastructure模式基本服務(wù)集4.2無(wú)線局域網(wǎng)工作過(guò)程

WirelessLANOperations802.11幀結(jié)構(gòu)

無(wú)線802.11幀802.11幀結(jié)構(gòu)

無(wú)線802.11幀幀控制字段

802.11幀其余字段

802.11幀結(jié)構(gòu)

無(wú)線幀類型802.11幀結(jié)構(gòu)

管理幀管理幀802.11幀結(jié)構(gòu)

控制幀控制幀無(wú)線工作過(guò)程

CSMA/CA無(wú)線工作過(guò)程

無(wú)線客戶端和AP關(guān)聯(lián)三個(gè)階段:發(fā)現(xiàn)

新的無(wú)線AP認(rèn)證AP關(guān)聯(lián)AP無(wú)線工作過(guò)程

相關(guān)參數(shù)常用無(wú)線配置參數(shù):SSID

Password

（密碼）NetworkMode（網(wǎng)絡(luò)模式）SecurityMode

（安全模式）ChannelSettings（通道設(shè)置）無(wú)線工作過(guò)程

發(fā)現(xiàn)AP主動(dòng)模式

被動(dòng)模式

無(wú)線工作過(guò)程

認(rèn)證認(rèn)證關(guān)聯(lián)信道管理

頻率信道飽和度直接序列擴(kuò)頻(DSSS)

跳頻擴(kuò)頻(FHSS)信道管理

頻率信道飽和度正交頻分多路復(fù)用(Orthogonalfrequency-divisionmultiplexing，OFDM)802.11a/g/n/ac信道管理

選擇信道信道管理

選擇信道802.11b信道非重疊信道：1,6,和

11.注意:在歐洲標(biāo)準(zhǔn)里有13條802.11b信道.信道管理

選擇信道信道管理

選擇信道信道綁定技術(shù)將兩條20MHz信道綁定成一條

40MHz信道.信道管理

規(guī)劃WLAN部署ESS內(nèi)部的BSA之間應(yīng)有

10%至15%的重疊當(dāng)各BSA之間有

15%的重疊,共用一個(gè)SSID,且使用非重疊的信道(例如,一個(gè)信道

1和一個(gè)信道

6),則可實(shí)現(xiàn)漫游功能4.3無(wú)線網(wǎng)絡(luò)安全

WirelessLANSecurityWLAN安全威脅

無(wú)線安全出于好意或惡意目的安裝的非授權(quán)AP使用無(wú)線管理軟件可以檢測(cè)到非法AP非授權(quán)用戶試圖訪問(wèn)網(wǎng)絡(luò)資源

其解決方案是通過(guò)授權(quán)阻止入侵者無(wú)線數(shù)據(jù)易被竊聽者捕獲通過(guò)加密來(lái)保護(hù)客戶端和AP間的數(shù)據(jù)交換WLAN服務(wù)可被偶然或惡意

損壞對(duì)于DoS源有多種解決方案非法AP無(wú)線入侵者數(shù)據(jù)截聽拒絕服務(wù)無(wú)線威脅WLAN安全威脅

DoS攻擊無(wú)線DoS攻擊可由以下原因造成:不當(dāng)配置設(shè)備

惡意用戶故意干擾無(wú)線通信

突發(fā)干擾

WLAN安全威脅

管理幀

DoS攻擊兩種常見的管理幀攻擊:Aspoofeddisconnectattack（偽造斷開攻擊）ACTSflood（CTS泛洪）NormallyuseCSMA/CA

CTS

FloodAttackWLAN安全威脅

非法AP非法AP是指如下的AP或無(wú)線路由器：連接到公司網(wǎng)絡(luò)但

未經(jīng)明確授權(quán)

并

違反公司政策。使攻擊者連接并用于截獲客戶數(shù)據(jù)，例如客戶端MAC地址(包括有線和無(wú)線),或截獲并假冒數(shù)據(jù)包,來(lái)訪問(wèn)網(wǎng)絡(luò)資源或進(jìn)行中間人攻擊。要阻止欺詐AP的安裝,需要使用監(jiān)控軟件來(lái)主動(dòng)監(jiān)視非授權(quán)AP的無(wú)線頻譜.WLAN安全威脅

中間人攻擊“雙面惡魔AP”攻擊（EviltwinAP）WLAN安全

無(wú)線安全簡(jiǎn)介兩種早期使用的安全方式:SSID隱藏MAC地址過(guò)濾加強(qiáng)無(wú)線網(wǎng)絡(luò)安全的最好方法是認(rèn)證并加密系統(tǒng).WLAN安全

共享秘鑰認(rèn)證方法WLAN安全

加密方法WPA及

WPA2

加密

協(xié)議:臨時(shí)密鑰完整性協(xié)議(TemporalKeyIntegrityProtocol，TKIP)

高級(jí)加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard，AES)

如果可能，建議選用

WPA2和AES。WLAN安全

認(rèn)證家庭用戶WPA和

WPA2支持兩種認(rèn)證:個(gè)人

用于家庭或小型辦公室網(wǎng)絡(luò),用戶使用預(yù)共享秘鑰(Pre-sharedkey，PSK)認(rèn)證。無(wú)需專門的認(rèn)證服務(wù)器。企業(yè)

需要一個(gè)提供遠(yuǎn)程撥入用戶認(rèn)證服務(wù)(RemoteAuthenticationDial-InUserService，RADIUS)的認(rèn)證服務(wù)器。提供額外的安全性。用戶必須使用802.1X

標(biāo)準(zhǔn)進(jìn)行認(rèn)證,認(rèn)證時(shí)采用擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol，EAP)。WLAN安全

企業(yè)中的認(rèn)證個(gè)人

企業(yè)4.4無(wú)線局域網(wǎng)配置

WirelessLANConfiguration無(wú)線路由器配置

配置無(wú)線路由器在無(wú)線路由器安裝之前,確定以下配置參數(shù):無(wú)線路由器配置

配置無(wú)線路由器配置無(wú)線路由器包括以下步驟:步驟1.

在單個(gè)無(wú)線客戶端上對(duì)單個(gè)AP開始

WLAN配置過(guò)程,暫不啟用無(wú)線

安全。步驟2.

確認(rèn)客戶端能夠收到DHCPIP地址且能ping通本地默認(rèn)路由器和訪問(wèn)外部網(wǎng)絡(luò)。步驟3.

使用WPA2/WPA

混合個(gè)人方式配置無(wú)線安全。不要使用WEP,除非沒有其他選項(xiàng)存在。步驟4.

備份

配置。配置無(wú)線客戶端

連接無(wú)線客戶端在AP或無(wú)線路由器配置完畢后,客戶端的無(wú)線適配器應(yīng)切換到允許

連接至WLAN。用戶需要確認(rèn)其是否成功接入正確的無(wú)線網(wǎng)絡(luò)。特別是可能存在有多個(gè)WLAN可用于連接的情況。WLAN故障診斷問(wèn)題

故障診斷方法用于解決網(wǎng)絡(luò)問(wèn)題的三種主要方法:Bottom-up，自下向上

Top-down，自上向下Divide-and-conquer，分治法分治法WLAN故障診斷問(wèn)題

無(wú)線客戶端無(wú)法連接電源線纜無(wú)線適配器(PC端)IP地址基本配置

(SSID,信道)安全

(Mac,驗(yàn)證)接口WLAN故障診斷問(wèn)題

網(wǎng)速變慢故障診斷要優(yōu)化網(wǎng)絡(luò)提高帶寬：升級(jí)無(wú)線客戶端分割流量WLAN故障診斷問(wèn)題

固件升級(jí)（Firmware）升級(jí)恢復(fù)總結(jié)本章內(nèi)容WLAN常用于家庭，辦公室和校園等環(huán)境。802.11WLAN只能使用2.4GHz,5.0GHz,和60GHz頻段。ITU-R負(fù)責(zé)分派無(wú)線頻譜,IEEE提供

802.11標(biāo)準(zhǔn)，定義頻率如何在無(wú)線網(wǎng)絡(luò)的物理層和MAC子層使用。Wi-Fi聯(lián)盟證明廠商的產(chǎn)品符合行業(yè)標(biāo)準(zhǔn)和規(guī)范。STA通過(guò)無(wú)線適配器連接到組網(wǎng)設(shè)備，例如無(wú)線路由器或者無(wú)線AP。STA連接時(shí)需使用SSID。AP可作