【正文】 5. AP從無線控制器下載最新軟件版本6. AP從無線控制器下載最新配置7. AP開始正常工作和無線控制器交換用戶數(shù)據(jù)報(bào)文長時(shí)間無響應(yīng)DNSServer獲取無線交換機(jī)的 IP地址無線控制器發(fā)現(xiàn)請(qǐng)求無線控制器發(fā)現(xiàn)響應(yīng)FIT AP的無線控制器的管理的無線控制器的管理 88胖瘦對(duì)比胖瘦對(duì)比FAT AP FIT AP功能分配 AP自身功能 強(qiáng) 大，主要功能都在AP內(nèi) 實(shí)現(xiàn) ， AP成本 較 高自身功能弱，主要功能集中在 AC上實(shí)現(xiàn) ， AP成本 較 低組 網(wǎng)模式 通 過 三 層 交 換 機(jī)，用 戶 數(shù)據(jù)直接接入到網(wǎng) 絡(luò)用 戶 數(shù)據(jù)通 過 AC接入到網(wǎng) 絡(luò) ，也可以直接接入網(wǎng) 絡(luò)業(yè)務(wù)類 型 適合 業(yè)務(wù)簡單 ，分散 組 網(wǎng)，用戶 分散密集部署，用 戶 集中，從而分 攤 AC成本認(rèn)證終結(jié)點(diǎn)對(duì) 于 規(guī) 模 組 網(wǎng)， 終結(jié) 點(diǎn)通常 選擇 交 換 機(jī)或者 BAS上除 FAT AP的模式外，同 時(shí) 支持在AC上 認(rèn)證終結(jié)認(rèn)證 方式 等同于有 線認(rèn)證 方式 可以支持無 線 特有的 強(qiáng) 安全 認(rèn)證 方式， WIDS/WIPS無法 進(jìn) 行射 頻 管理，因此不支持WIDS/WIPS射 頻 集中管理，因此可以支持很好WIDS/WIPS用 戶 數(shù)據(jù)保密支持 簡單 共享密 鑰 加密方式，密鑰 在數(shù)據(jù) 傳輸過 程中不能 變 化，安全性弱支持 商密 鑰 方式加密，密鑰 在 傳輸過 程中通 過協(xié) 商不斷 i變化，安全性 強(qiáng) 89胖瘦對(duì)比胖瘦對(duì)比FAT AP FIT AP網(wǎng) 絡(luò) 管理 一個(gè) AP一個(gè) License，網(wǎng)管成本高，一個(gè)網(wǎng)元， 對(duì) 網(wǎng)管服 務(wù)器性能要求高，管理數(shù)據(jù)占用大量的用 戶 數(shù)據(jù)出口 帶寬AC為 一個(gè)網(wǎng)元， AP是 邏輯 管理 單元，沒有 License問題 ，管理數(shù)據(jù)基本不占用用 戶 數(shù)據(jù)出口 帶寬業(yè)務(wù) 部署 部署需要改 變現(xiàn) 有網(wǎng) 絡(luò) ，開展新 業(yè)務(wù)時(shí) ，需要每個(gè) AP都進(jìn) 行重新配置，新增 AP時(shí) ，對(duì) 每個(gè) AP的 IP地址都需要 進(jìn)行 標(biāo)識(shí) ，便于網(wǎng)管 針對(duì)這 個(gè)AP下 發(fā) 配置可以不改 變現(xiàn) 有網(wǎng) 絡(luò) 就部署，開展新 業(yè)務(wù)時(shí) ，只需要在 AC上 進(jìn) 行配置，新增 AP，不需要 進(jìn) 行配置， 僅僅輸 入 AP序列號(hào)業(yè)務(wù) 能力 不支持跨三 層 和跨 BAS的 業(yè)務(wù) 漫游二三 層 和跨 AC漫游功能都能 夠 很好的支持 90Wireless 漫游無線控制器無線控制器AP1 無線控制器AP2 91FIT AP實(shí)時(shí)無線資源管理采集 分析執(zhí)行 決策CA BDAP實(shí)時(shí)收集 RF環(huán)境信息并定期上報(bào)給 AC AC對(duì) AP收集的數(shù)據(jù)進(jìn)行分析評(píng)估AP執(zhí)行 AC設(shè)置的配置，進(jìn)行射頻資源調(diào)優(yōu) AC統(tǒng)籌安排每個(gè) Radio應(yīng)當(dāng)使用的發(fā)送功率，信道等 92FIT AP信道自動(dòng)選擇 BSS 4BSS1 BSS 2 BSS 5 BSS 3 BSS 3BSS 5BSS 1BSS 2BSS 4 CHANNEL 1 CHANNEL 6 CHANNEL 11調(diào)整前 調(diào)整后基本原則l　網(wǎng)絡(luò)中的關(guān)鍵 AP優(yōu)先獲得最佳的信道，l　避免使用存在雷達(dá)等干擾的信道；l　統(tǒng)計(jì)信道狀態(tài)，包括信道利用率，干擾等；l　避免 Cochannel干擾；l　避免其它網(wǎng)絡(luò)中 AP的信道干擾； 93FIT AP發(fā)射功率自動(dòng)調(diào)整基本原則l　保證合理的信號(hào)覆蓋，過大的覆蓋將影響吞吐和網(wǎng)絡(luò)性能；l　保證一定的信號(hào)重疊，防止出現(xiàn)覆蓋黑洞；l　逐個(gè)調(diào)整 AP的發(fā)射功率，使其第Ｎ個(gè)鄰居可以聽到足夠強(qiáng)的信號(hào)，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)　　形成完整的覆蓋；l　支持修復(fù)鄰居 AP離線造成的信號(hào)覆蓋黑洞；調(diào)整前 調(diào)整后 94H3C FIT AP專利特性 ：智能負(fù)載均衡AP1 AP2?拒絕關(guān)聯(lián)接受關(guān)聯(lián)負(fù)載均衡原理AP1 AP2智能負(fù)載均衡技術(shù)啟動(dòng)負(fù)載分擔(dān)的重疊覆蓋區(qū)不啟動(dòng)負(fù)載分擔(dān)的區(qū)域n 無線控制器可以設(shè)定 AP間對(duì)接入用戶進(jìn)行負(fù)載分擔(dān)n 負(fù)載分擔(dān)的策略可以是基于 AP接入的用戶數(shù)量， AP流量負(fù)載情況n 當(dāng)無線控制器發(fā)現(xiàn) AP的負(fù)載超過設(shè)定的門限值以后，對(duì)于新接入的用戶無線控制器會(huì)自動(dòng)計(jì)算此用戶周圍是否還有負(fù)載較輕的 AP可供用戶接入，如果有則 AP會(huì)拒絕用戶的關(guān)聯(lián)請(qǐng)求，用戶會(huì)轉(zhuǎn)而接入其他負(fù)載較輕的 APn H3C公司創(chuàng)新性地支持智能負(fù)載均衡技術(shù)，保證只對(duì)處于 AP覆蓋重疊區(qū)的無線用戶才啟動(dòng) AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)杭州華三通信技術(shù)有限公司。 FIT APAC（ Access Controller）無線控制器AP管理非法無線入侵檢測位置檢測網(wǎng)絡(luò)自愈每用戶的安全策略RF管理“胖 ”AP“瘦 ”AP天線加密移動(dòng) IP,VPN, TKIP, Qos, 權(quán)限控制策略控制三層漫游天線加密移動(dòng)權(quán)限控制策略控制漫游 87AP DHCPServer 無線控制器獲取 IP地址、DNS Server、域名無線控制器發(fā)現(xiàn)請(qǐng)求版本下載配置下載用戶數(shù)據(jù)傳遞1. AP通過 DHCP server獲取 IP地址、 DNS server、域名2. AP發(fā)出二層廣播的發(fā)現(xiàn)請(qǐng)求報(bào)文試圖聯(lián)系一個(gè)無線控制器3. AP在多次嘗試發(fā)現(xiàn)請(qǐng)求無回應(yīng)的情況下：216。Mesh的缺陷也很明顯，報(bào)文經(jīng)過無線多跳時(shí)，報(bào)文時(shí)延明顯增大，另外，路由負(fù)載占用過多的無線空口的帶寬，標(biāo)準(zhǔn)不成熟等使得 Mesh技術(shù)的應(yīng)用一直受到很大的限制。? ；針對(duì) Mesh網(wǎng)絡(luò)數(shù)據(jù)安全，包括 mesh link鏈路安全保護(hù)，mesh link密鑰協(xié)商等內(nèi)容，在 。u 除了監(jiān)視功能， WIDS還可以對(duì)非法 AP或 station進(jìn)行攻擊。 H3C進(jìn) 行了私有 擴(kuò) 展，可以 將WAPI 承 載 在 Radius報(bào) 文 75Part 4: 安全應(yīng)用和標(biāo)準(zhǔn)n無線安全應(yīng)用場景n WIDS（無線 IDS)n管理報(bào)文安全標(biāo)準(zhǔn)n 參考文獻(xiàn) 76安全標(biāo)準(zhǔn)應(yīng)用場景安全標(biāo)準(zhǔn)應(yīng)用場景No WEP 和 Broadcast ModePublic Access開放接入 40bit 和 128bit靜態(tài) WEP keyPSKSOHO基本安全WPA /WPA2/ WAPIMidMarket and Enterprise增強(qiáng)安全 77WIDSMonitor APAccess PointsWireless StationsHackerRogue Access PointMonitor APHackeru ，但不能主動(dòng)發(fā)現(xiàn)安全隱患，無法抵抗非法設(shè)備發(fā)起的干擾攻擊等。 對(duì)于 FAT AP, 該 WLAN接入設(shè)備指 FAT AP?？蛻舳耸盏巾憫?yīng)報(bào)文后，如果發(fā)現(xiàn)報(bào)文被篡改或 WLAN接入設(shè)備為非法的 (ASE已經(jīng)在報(bào)文中指出了 WLAN接入設(shè)備是否合法 )，將中止無線連接。4. 當(dāng) WLAN接入設(shè)備收到響應(yīng)報(bào)文后，如果發(fā)現(xiàn)報(bào)文被篡改（通過檢查數(shù)字簽名合法性）或無線客戶端身份非法 (ASE已經(jīng)在響應(yīng)報(bào)文中指出了無線客戶端身份是否合法 )，將中斷該無線客戶端的無線連接。2. ASE對(duì) WLAN接入設(shè)備和客戶端的身份進(jìn)行認(rèn)證，并首先把他們的身份驗(yàn)證結(jié)果通過認(rèn)證響應(yīng)報(bào)文發(fā)給 WLAN接入設(shè)備，再由 WLAN接入設(shè)備發(fā)給客戶端。 v3 必須采用的是橢圓曲線 不必須使用證書，如果用， V3就可 73WAPI協(xié)議過程協(xié)議過程ASE(認(rèn)證服務(wù)器）只對(duì) ASUE（ AP or AC)和 AE (client)做身份認(rèn)證，并不參與 BK (base key)，會(huì)話密鑰等協(xié)商過程 74WAPI協(xié)議過程協(xié)議過程 (續(xù)）續(xù)）最關(guān)鍵的步驟是： 由認(rèn)證服務(wù)器通過證書鑒別無線客戶端和 WLAN接入設(shè)備身份1. 無線客戶端在發(fā)起接入鑒別后， WLAN接入設(shè)備會(huì)向遠(yuǎn)端的 ASE發(fā)起證書鑒別，鑒別請(qǐng)求消息中同時(shí)包含有無線客戶端和 WLAN接入設(shè)備的證書信息。 67 68中國 WAPI標(biāo)準(zhǔn)介紹nWAPI概述n WAPI認(rèn)證實(shí)體n WAPI和 n WAPI和 n WAPI協(xié)議過程n WAPI配置應(yīng)用 69WAPI標(biāo)準(zhǔn)概述標(biāo)準(zhǔn)概述基于端口實(shí)現(xiàn)了對(duì)用戶的身份認(rèn)證，為 key等 key材料 . WLAN authentication infrastructure完成身份鑒別和密鑰管理，系 統(tǒng) 技 術(shù)層 次WAIWPI WLAN privacy infrastructure完成數(shù)據(jù)的加密保護(hù)等。由于 TKIP和 WEP都是基于 RC4算法的，所以可以通過固件升級(jí)來實(shí)現(xiàn)現(xiàn)網(wǎng)設(shè)備支持 WPA。為了保證廠家的互通， WIFI聯(lián)盟參考 ，制定了 WPA（ WiFi Protected Access）規(guī)范。為了破壞加密結(jié)果的規(guī)律性， CCM采用了 counter mode: 首先計(jì)算得到一個(gè) counter (初始值隨機(jī)，然后累加 1), AES后得到加密值，和被加密的 block XOR。u 將 IV size 從 24 bits 增加到 48 bits，減少了 IV重用避免了重放攻擊（ replay attacks） ；u 使用了 PerPacket Key Mixing 方式來增加 key的安全性。u 使用 Michael來實(shí)現(xiàn)