【正文】 所以，目前運(yùn)營(yíng)商 WLAN的發(fā)展政策給我們創(chuàng)造了更多機(jī)會(huì)。一般情況下，大家都會(huì)選擇固定場(chǎng)所來(lái)使用 WLAN網(wǎng)絡(luò)，而移動(dòng)狀態(tài)下使用 3G上網(wǎng)。當(dāng)然， WLAN也有自己的弊端，那就滿足不了用戶的“ Mobile”業(yè)務(wù)需求，這大大制約了它的發(fā)展。其他運(yùn)營(yíng)商的 3G網(wǎng)絡(luò)下行速度也在 3 Mbps左右。按照消費(fèi)者使用高速上網(wǎng)的習(xí)慣，3G上網(wǎng)的費(fèi)用會(huì)大于使用 WLAN上網(wǎng)。 WLAN相對(duì)于 3G的優(yōu)勢(shì)在于上網(wǎng)費(fèi)用比較便宜。 *分析 Nmap下的各種 TCP， UDP， ICMP,掃描技術(shù) ,分析 HTTP,TELNET,DNS，F(xiàn)TP,RIPV1,RIPV2,OSPF,VRRP等常見協(xié)議 。 *分析 HTTP Tunnel下偽裝正常提供服務(wù)器的端口進(jìn)行防火墻穿越 。 *搭建 DHCP服務(wù)器并分析 DHCP在本地應(yīng)用及開啟 DHCP中繼的不同 。 *PPPOE, RBAS與后臺(tái) RADIUS交互的 RADIUS認(rèn)證計(jì)費(fèi)報(bào)文分析 。網(wǎng)絡(luò)中默認(rèn)用戶開機(jī)登陸時(shí)會(huì)自動(dòng)獲取一個(gè)地址，而 PPPOE成功后又獲得一個(gè)地址，這樣一個(gè)用戶就有兩個(gè)地址，而公網(wǎng)地址池僅僅能維持一臺(tái) PC一個(gè) IP，在接入服務(wù)器上做了 PPPOE下不響應(yīng) DHCP請(qǐng)求的設(shè)置后，問(wèn)題解決。不過(guò)在采用這些額外的安全手段時(shí)，需要進(jìn)行仔細(xì)的測(cè)試，以判斷能否與目前實(shí)施的安全策略兼容。否則的話，非法供給者就可以通過(guò)竊聽等手段來(lái)獲取管理信息，并進(jìn)行偽造，從而讓一些非法的客戶端可以通過(guò)其認(rèn)證，連接到這個(gè)無(wú)線局域網(wǎng)中。雖然有隧道的保護(hù)，但是其管理信息在隧道中進(jìn)行明文傳輸則仍然會(huì)有一定的安全隱患。 隧道安全機(jī)制的不同 在瘦 AP與 AC進(jìn)行通信時(shí)，會(huì)采用兩條隧道，分別用來(lái)傳送控制信息與數(shù)據(jù)信息。但是，這往往會(huì)造成管理上的混亂。 瘦 AP與 AC的關(guān)聯(lián)方式 從上面的工作原理我們可以看到，瘦 AP主動(dòng)與 AC進(jìn)行聯(lián)系，如果無(wú)線網(wǎng)絡(luò)比較復(fù)雜，有多臺(tái) AC的話， AP會(huì)與哪個(gè)無(wú)線局域網(wǎng)控制器進(jìn)行綁定的 ? 這個(gè)主動(dòng)權(quán)主要在瘦 AP，而不在于 AC上。在遇到這種情況時(shí)，只需要配備一個(gè)無(wú)線局域網(wǎng)控制器。所以雖然 AC與瘦 AP可以分屬于不同 VLAN，但是，為了后續(xù)工作的方便，盡量不要這么做，盡量部署在相同的 VLAN中，把他們部署在不同的 VLAN中只是不得已而為之的做法。 不過(guò)如果部署在不同的 VLAN中，對(duì)于后續(xù)故障的排查也會(huì)產(chǎn)生不利的影響。這主要是因?yàn)樗淼婪庋b的原因：在 AC與瘦 AP進(jìn)行數(shù)據(jù)傳送時(shí)，隧道會(huì)將他們之間需要傳送的數(shù)據(jù)封裝到 IP分組中，從而可以跨越虛擬局域網(wǎng)交換或者路由這些信息。 BRAS 學(xué)校 AAA Server 訪問(wèn)外網(wǎng) 訪問(wèn)校園網(wǎng) GO 需要注意的技術(shù)問(wèn)題 提請(qǐng)注意的問(wèn)題 虛擬局域網(wǎng)的問(wèn)題 瘦 AP與無(wú)線控制器的關(guān)聯(lián)方式 隧道安全機(jī)制的不同 虛擬局域網(wǎng)的問(wèn)題 出于安全的考慮，目前以 AP為單位劃分了 VLAN，那么這對(duì)于瘦 AP與無(wú)線控制器的通信是否會(huì)造成影響 ? 如通過(guò) DHCP服務(wù)器 ，瘦 AP與 AC設(shè)備的 IP地址分屬于不同的局域網(wǎng)。 用戶首先進(jìn)行 認(rèn)證，以訪問(wèn)無(wú)線網(wǎng)絡(luò)。 特點(diǎn)： 支持 WEB和 重認(rèn)證。 特點(diǎn)： 無(wú)需對(duì)現(xiàn)有網(wǎng)絡(luò)做任何變更 無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)完全隔離 可以通過(guò) VLAN對(duì)無(wú)線用戶進(jìn)行隔離。 Protal/Radius CMNET AC(1+1) Transmission Network AAA Server Web Server DHCP Server NM Server Antenna AP Switches Aggregation switches Core switches WLAN覆蓋示意圖 AAA Server 城域網(wǎng)解決方案 描述： 在本網(wǎng)絡(luò)架構(gòu)中，無(wú)線終端的數(shù)據(jù)報(bào)文在到達(dá)AP后，被 AP以隧道封裝后送達(dá)無(wú)線交換機(jī)的 LAN端口，解封后丟到WAN端口。 AC分工： 一臺(tái) AC負(fù)責(zé)對(duì) AP進(jìn)行管理，對(duì) AC分配公網(wǎng) IP地址，另外一臺(tái)負(fù)責(zé)對(duì)移動(dòng)的用戶認(rèn)證鑒權(quán)計(jì)費(fèi)。 校園網(wǎng)： 學(xué)生登錄到 CMCCEDU，業(yè)務(wù)數(shù)據(jù)打 VLAN100，采用本地轉(zhuǎn)發(fā)模式，通話匯聚交換機(jī)思科設(shè)備上連接到校園服務(wù)器上，學(xué)生登錄校園網(wǎng)，由校園網(wǎng)服務(wù)器進(jìn)行認(rèn)證。 外網(wǎng)的認(rèn)證： 學(xué)生登錄到 CMCC，業(yè)務(wù) VLAN打 VLAN200， AP通過(guò)隧道傳送到 AC， AC的 WLAN接口和另外臺(tái) AC的認(rèn)證模塊相連接，由 AC的認(rèn)證模塊對(duì)用戶鑒權(quán)、認(rèn)證。 第二個(gè) VLAN200為移動(dòng)網(wǎng)，對(duì)應(yīng)的 SSID為 CMCC，在 AC上啟用 DHCP服務(wù)器，分配地址范圍， ~ 第三個(gè)為 VLAN300是有線網(wǎng)。 要在可以進(jìn)公網(wǎng)的虛接口開 NAT。 虛接口的概念在瘦 AP架構(gòu)的集中轉(zhuǎn)發(fā)中非常重要。 移動(dòng)校園網(wǎng)案例 虛接口應(yīng)用 L i n k s y s 二層 交 換 機(jī)無(wú) 線 交 換機(jī)A PS T AW A N 口 V F 1 , V F 2 打 開 ， V F 2口 開 啟 N A T 功 能V F 1 : V L A N 1 0 , V F 2 : V L A N 3 0S S I D ： t e s t 2V L A N 3 0瘦 AP架構(gòu)采用集中轉(zhuǎn)發(fā)方式。模板包括信道、數(shù)據(jù)傳輸速率、我們還可以根據(jù)需要給不同區(qū)域的 AP實(shí)行個(gè)性化的配置。 管理流程 無(wú) 線 交 換機(jī)O L TB A SO N UO N U O N U AP通過(guò) ONU、 OLT、BAS、 7450到達(dá) AC的LAN口。 AP以靜態(tài) IP指向 AC。 ? 局端設(shè)備 OLT對(duì)用戶進(jìn)行匯聚，透?jìng)?vlan， BRAS為 PPPoE認(rèn)證用戶接入服務(wù)器，對(duì)接入用戶進(jìn)行認(rèn)證計(jì)費(fèi)。 BARS上有相應(yīng)的 vlan信息從而保證每個(gè) AP的業(yè)務(wù)端的隔離。 3. 校園 WLAN網(wǎng)絡(luò)覆蓋的區(qū)域大，一般的校園 WLAN覆蓋所有的學(xué)生宿舍，及公共區(qū)域。一般為晚上還有中午時(shí)段。 也就是說(shuō)， PPPoE只能在路由網(wǎng)絡(luò)中使用。 網(wǎng)絡(luò)架構(gòu)： PPPoE既是一種認(rèn)證機(jī)制，也是一種點(diǎn)到點(diǎn)連接協(xié)議（即我們常說(shuō)的 PPP、 Point to Point），在無(wú)線交換機(jī)應(yīng)用中， PPP連接的起點(diǎn)在無(wú)線終端，終點(diǎn)則在無(wú)線交換機(jī)。 基于 PPPOE認(rèn)證的無(wú)線安全網(wǎng)絡(luò)的構(gòu)建 應(yīng)用背景： 目前大多數(shù)操作系統(tǒng)都支持 PPPoE撥號(hào)。用戶連上指定 SSID后，通過(guò) DHCP申請(qǐng) IP地址，然后打開 WEB瀏覽器，訪問(wèn)任意可以被訪問(wèn)的網(wǎng)址，如 .，對(duì)于未成功認(rèn)證過(guò)的無(wú)線終端用戶，無(wú)線交換機(jī)將會(huì)向其返回一個(gè)認(rèn)證頁(yè)面，用戶在認(rèn)證頁(yè)面中輸入用戶名、密碼即可完成認(rèn)證。 需求說(shuō)明 常用認(rèn)證方式 方式一：基于 WEB認(rèn)證的無(wú)線安全網(wǎng)絡(luò)的構(gòu)建 方式二：基于 PPPOE認(rèn)證的無(wú)線安全網(wǎng)絡(luò)的構(gòu)建 基于 WEB認(rèn)證的無(wú)線安全網(wǎng)絡(luò)的構(gòu)建 應(yīng)用背景： 不論是橋接網(wǎng)絡(luò)，還是路由網(wǎng)絡(luò)，都可以利用 WEB認(rèn)證機(jī)制對(duì)無(wú)線終端的接入請(qǐng)求進(jìn)行身份鑒別，以提升整個(gè)網(wǎng)絡(luò)的安全性。 在 VLAN5００ 對(duì)應(yīng)的虛擬端口上啟用 NAT。 Inter 內(nèi)網(wǎng)服務(wù)器陣列 共享服務(wù)器陣列 ESSID: Test1 VLAN 100 ESSID: Test2 VLAN 200 Gateway: Serial: ＶＬＡＮ１００ １９２ .１６８ .０ .Ｘ ＶＬＡＮ２００ １９２ .１６８ .１ .Ｘ ＶＬＡＮ５００ 網(wǎng)絡(luò)結(jié)構(gòu) VLAN １００ 和 VLAN ２００在網(wǎng)絡(luò)端口 1中，VLAN 5００在 網(wǎng)絡(luò)端口 2 中。 需求說(shuō)明 Inter 內(nèi)網(wǎng)服務(wù)器陣列 共享服務(wù)器陣列 ESSID: Test1 VLAN 100 ESSID: Test2 VLAN 200 Gateway: Serial: 網(wǎng)絡(luò)結(jié)構(gòu) 基于 VLAN的無(wú)線路由網(wǎng)絡(luò)的構(gòu)建 應(yīng)用背景： 利用無(wú)線交換機(jī)提供的基于虛擬端口的路由功能，使處于不同VLAN的無(wú)線和有線終端相互之間的通信成為可能。接入無(wú)線接入標(biāo)識(shí)為 Test1的無(wú)線網(wǎng)絡(luò)的無(wú)線終端只能訪問(wèn)Inter，而接入無(wú)線接入標(biāo)識(shí)為 Test2的無(wú)線網(wǎng)絡(luò)的無(wú)線終端只能訪問(wèn)共享服務(wù)器陣列。 集中管理：通過(guò)無(wú)線交換機(jī)來(lái)集中管理數(shù)量龐大的瘦 AP，包括固件升級(jí)、配置管理、狀態(tài)監(jiān)測(cè)、無(wú)線網(wǎng)絡(luò)規(guī)劃等。 通過(guò) VLAN來(lái)對(duì)不同類別的無(wú)線終端所能訪問(wèn)的資源進(jìn)行限制。因而所有的無(wú)線終端就像處在同一網(wǎng)段一樣。 1 2 1 1 VAP1 VAP1 VAP2 VAP2 2 2 PPPOE認(rèn)證 WEB認(rèn)證 PPPOE server 其它特性 可擴(kuò)展性 :當(dāng)瘦 AP的數(shù)量超過(guò) 512或 1024時(shí)，可以布置兩個(gè)以上的 AC，所有的瘦 AP均勻分布在這些無(wú)線交換機(jī)上。 差別化服務(wù) ? 最多 8個(gè)虛擬 AP設(shè)定。 1 1 1 1 2 2 2 2 3 3 3 非法 AP檢測(cè)： ? 能夠檢測(cè)出不在無(wú)線交換機(jī)識(shí)別范圍內(nèi)的 AP。無(wú)線終端在 AP間漫游時(shí)不再受限于有線網(wǎng)絡(luò)。 無(wú)縫漫游 ? 無(wú)線交換機(jī)和瘦 AP之間采用隧道機(jī)制，所有無(wú)線終端就像直接連接在無(wú)線交換機(jī)上。 負(fù)載均衡： ? 按終端用戶數(shù)量均衡。 物理層 RF層 網(wǎng)絡(luò)層 應(yīng)用層 MAC層 無(wú)線交換機(jī) 自動(dòng) RF規(guī)劃： ? 自動(dòng)信道選擇。 ? 用戶不必再對(duì)單個(gè)瘦 AP進(jìn)行繁瑣的設(shè)定。 （ 1）用戶與無(wú)線接入點(diǎn) AP實(shí)現(xiàn)關(guān)聯(lián)； （ 2）控制器通過(guò)隧道協(xié)議獲取用戶的 MAC地址信息； （ 3）將用戶的 MAC地址信息作為 Radius Access_Request的用戶名和 Password字段發(fā)往 Radius； （ 4） Radius 服務(wù)器對(duì)該用戶名和 Password進(jìn)行驗(yàn)證，如果成功則發(fā)送 Radius AccessAccept消息，如果失敗則發(fā)送 Radius AccessReject消息，用戶如果數(shù)次嘗試失敗無(wú)線控制器會(huì)通知 AP發(fā)送 DisAssociation消息，與用戶斷開空口連接； （ 5）控制器收到 Radius AccessAccept消息后用戶就可以根據(jù)賦予的權(quán)限訪問(wèn)網(wǎng)絡(luò)資源