【正文】 AC綁定在一起。 AP在綁定了 AC之后，就會把其代碼印象版本與本地存儲的代碼映像版本進行比較。不過要生效的話，瘦 AP必須重新啟動。當以上三個步驟完成之后，瘦 AP與無線控制器之間會建立起兩條隧道，分別為傳送管理信息的控制報文隧道與傳送用戶數(shù)據(jù)的數(shù)據(jù)報文隧道。即使在客戶端數(shù)據(jù)交換頻繁的時候，用來傳輸控制報文的隧道也不能用來傳遞數(shù)據(jù)報文。 MAC認證流程 無線交換機（ AC） 產(chǎn)品特性 集中的 RF管理 安全和接入控制 自動信道選擇 功率自動調節(jié) 負載均衡（可以按用戶數(shù)或按流量進行均衡） MultiBSSID（最多可支持 8個 Virtual AP） WEP、 WPA(2) WAPI VLAN與 SSID的綁定 無線終端隔離 AAA（ Radius Client） 非法 AP檢測 WMM（ QoS） 統(tǒng)計和 日志 信息 集中管理：瘦 AP固件自動升級， 瘦 AP即插即用，零配置管理 網(wǎng)絡管理 瘦 AP 主要特性分析 集中的網(wǎng)絡管理： ? 大部分胖 AP的功能被移到無線交換機上。 ? 和瘦 AP相關的配置，在瘦 AP連接無線交換機時，被自動下載到瘦 AP中。 ? 自動功率調節(jié)。 ? 按流量均衡。 ? 增減無線終端無須改變有線網(wǎng)絡配置。 VLAN和網(wǎng)絡設定會跟隨無線終端一起移動，而不必對有線網(wǎng)絡作任何變更。 瘦 AP零配置安裝： ? 在 DNS Server上添加無線交換機的名稱（和瘦 AP中保存的無線交換機的名稱相同，最好為缺省值）到其 IP地址的映射。 ? 不同的 Virtual AP可以有不同的 VLAN設定，認證方式，以及安全級別。所有 AC的出口在同一個網(wǎng)段內(nèi)。 無線交換機 其它特性 無線交換機 GO 無線交換機 +瘦 AP常用網(wǎng)絡架構 常用架構類型 架構一：基于 VLAN的無線橋接網(wǎng)絡的構建 架構二：基于 VLAN的無線路由網(wǎng)絡的構建 基于 VLAN的無線橋接網(wǎng)絡的構建 應用背景： 利用無線交換機和數(shù)量眾多的無線接入點組建一定規(guī)模的無線接入網(wǎng)絡，作為有線網(wǎng)絡的無線延伸。 優(yōu)點： 隧道：無線終端的報文經(jīng)過隧道直接到達無線交換機網(wǎng)絡端口后面的網(wǎng)關 /路由器，不對途經(jīng)的有線網(wǎng)絡產(chǎn)生任何影響或依賴。 由無線交換機和多臺瘦 AP組成的無線接入網(wǎng)絡中，每臺瘦 AP都提供兩個無線接入標識： Test1和 Test2。 所有的無線終端都不能訪問內(nèi)網(wǎng)服務器陣列。 關鍵詞： 路由：通過綁定在各個 VLAN上的虛端口（ VIF， Virtual Interface），無線交換機為處于不同 VLAN的終端提供報文轉發(fā) 即路由 服務。 分別為 VLAN2００ 、 VLAN3００ 、 VLAN5００ 創(chuàng)建虛擬端口。 VLAN2００ 中的終端能訪問 Inter和 VLAN5００中的共享服務器，而 VLAN3００ 中的終端只能訪問共享服務器陣列。 關鍵詞： WEB認證： WEB認證無需無線終端安裝額外的終端軟件，直接利用IE等 WEB瀏覽軟件即可完成身份鑒別的過程。 網(wǎng)絡架構： 和上面建議的橋接網(wǎng)絡、路由網(wǎng)絡一樣，啟用 WEB認證不會對網(wǎng)絡架構產(chǎn)生任何影響。 PPPoE認證操作簡單、易于使用，但對系統(tǒng)資源占用較多，建議在無線終端數(shù)量不多的環(huán)境下使用。 因此，必須利用無線交換機提供的路由機制，才能夠讓使用 PPPoE認證、連接的無線終端能夠和連接在無線交換機網(wǎng)絡端口的其它終端進行通信。 GO 運營商瘦 AP架構校園網(wǎng)案例 校園 WLAN的特點 1. 校園 WLAN用戶密集，而且上網(wǎng)時間固定。 2. 校園 WLAN數(shù)據(jù)流量大，學生一般通過網(wǎng)絡觀看流媒體電視，及玩各種游戲。 聯(lián)通校園 WLAN建設案例 zzzzzzz 管理 VLAN在 TAP內(nèi)設定，并在 ONU上讓 VLAN200透傳。 AP和 AP間的信道相互隔離，選擇 11信道。 AC旁掛在 BARS上對AP進行集中控制。 組網(wǎng)運營實現(xiàn) 業(yè)務流程： 無 線 交 換機O L TB A SO N UO N U O N U? 業(yè)務 VLAN在 ONU上設置， STA連接到指定的 SSID后，數(shù)據(jù)流經(jīng)過 ONU打上 VLAN標識，通過 OLT的透傳，經(jīng)過 BAS的設置的相應 VLAN進入公網(wǎng) ? 武漢聯(lián)通瘦 AP架構采用的是本地轉發(fā)方式。 在 AP內(nèi)起管理VLAN200，在 7450的AC端口起管理VLAN200， AP關聯(lián)到AC， AC給 AP下發(fā)模板。 AP獲得了AC下發(fā)的模就正常工作了。 下面先介紹下虛接口：AC上一個實實在在的千兆口 +TAP的 SSID以及 SSID綁定的VLAN構成一個虛接口。 啟用 NAT 在只有一個虛接口可以進入公網(wǎng)時，其他的虛接口可以通過 NAT來進入公網(wǎng)， NAT也解決了公網(wǎng)地址不夠的問題。 案例分析 業(yè)務 VLAN有 3個： 第一個 VLAN100為校園網(wǎng)，對應的 SSID為 CMedu，在 AC上啟用 DHCP服務器，分配地址范圍， ~。在思科設備上啟用 DHCP服務器，分配地址： ～ ,該地址必須和校園服務器的子網(wǎng)在一個網(wǎng)段。用戶的出口換在思科設備上打 VLAN200，和移動城域網(wǎng)連接，提供用戶上網(wǎng)服務。 有線網(wǎng)： 學生通過有線連接到 ONU，為有線用戶打 VLAN300，該業(yè)務VLAN300通過 OLT連接到匯聚交換機思科設備上，而有線采用移動租用寬帶，在校園內(nèi)部的認證服務器對學生進行認證計費，為學生用戶提供上網(wǎng)業(yè)務。 DHCP服務池的分配： AC有兩個 DHCP池， VLAN100DHCP服務器，VLAN200 DHCP服務器，匯聚交換機 6509上有一個 DHCP池， VLAN300 DHCP服務器。 無線終端同樣需要經(jīng)過 Bras的接入認證后才能訪問 Inter。 路由器 BRAS 交換機 Inter 以太網(wǎng) 交換機 城域網(wǎng) 無線交換機 路由器 運營商 AAA Server 校園網(wǎng)解決方案 交換機 Inter 交換機 校園網(wǎng) 無線交換機 交換機 描述： 校園網(wǎng)目前遇到的主要問題是雙重認證的問題：用戶訪問校園網(wǎng)要認證，但不收費，用戶訪問外網(wǎng)要認證，要收費。可以定義需要進行 WEB認證的目的 IP地址的黑白名單。 當用戶訪問的 IP不在白名單內(nèi)時，會彈出 WEB登陸界面。此時這兩個設備雖然通過 路由器 仍然可以進行通信，但是對于其傳遞的管理信息是否會造成不利的影響呢 ? 通常情況下是不會造成不利影響的，或者說，其不利影響可以忽略不計。如果此時需要通過路由器來進行路由，那么在傳送的環(huán)節(jié)中就多出了一環(huán)，速率會稍微受到了一些影響，不過除非這個路由器是企業(yè)網(wǎng)絡中的瓶頸資源，否則的話，這個不利影響可以忽略不計。比如說當 AC與瘦 AP無法正常通信的話，那么造成這個故障的原因還需要考慮路由器路由信息的原因，遇到故障的時候，就必須多測試幾個地方。比如企業(yè)中有三個 AP，分屬于三個不同的 VLAN，此時，為他們分別配制三個不同的無線局域網(wǎng)控制器則顯然是不合理的。對它們進行統(tǒng)一管理。通常情況下，瘦 AP會發(fā)送廣播信息，以獲得其周邊的所有無線局域網(wǎng)控制器的 IP地址，根據(jù)得到 IP地址時間的先后順序，依次進行連接請求，并自動綁定第一個允許其連接請求的 AC。出于負載均衡或者安全的需要，需要將 AP能夠綁定到特定的 AC上去。通常情況下，控制報文在傳送的過程中是不加密的，而數(shù)據(jù)報文在傳送的過程中是加密的。為此需要通過 IPSec等安全策略，來保障其信息傳輸?shù)陌踩?。所以，需要通過 IP安全策略等手段來加密管理信息仍然是非常有必要的。 現(xiàn)場問題簡單分析舉例 PPPOE認證問題 中間人攻擊 PPPOE認證問題 1． 終端用戶有時能撥上去，有時撥不上去 2． 已經(jīng)登陸上去的用戶注銷，再次登陸也登不上去，顯示的用戶名密碼錯誤 解決方法：到客戶現(xiàn)場，先看設備的整體配置情況，再查看連接設備的核心交換機配置，都沒問題，用戶上網(wǎng)用的是公網(wǎng)地址！ 達到高峰期時 ,在本機撥號上網(wǎng)，果然提示用戶名和密碼錯誤，這時抓包，連同登陸過程抓下來分析，發(fā)現(xiàn)異常：當撥號進行到 PPP驗證階段 ,服務器響應給客戶機的信息中包含 “DHCP NO IP”，原來是服務器可分配的地址池已經(jīng)用完了，這時登陸服務器查看，果然如此。 偽造 AP 的攻擊方式示意 后臺 AS 合法 AP 偽造 AP 用戶（終端） 攻擊者利用偽造 AP進行中間人攻擊： 偽造 AP對于用戶（終端）相當于合法 AP；對于合法 AP相當于用戶（終端） 能力需求 1．基本的網(wǎng)絡常識 2．熟練使用各種工具軟件 3*．抓包分析各種協(xié)議報文 構建協(xié)議環(huán)境 ,對不同包進行分析 : *HTTP會話截持 ,ids旁路控制原理 ,ipass會話包分析 。 *LINUX搭建 SNMP服務器，抓包分析 SNMPv2的各種報文 。 *HTTP代理及 SOCKET代理的原理 ,配置 IPSEC,PPTP,L2TP服務器 ,分析用戶在撥號過程中的交互報文及 NATT情況下查看報文的變化 ,并且在同時配置了 VPN與 NAT后判斷 IOS的處理機制 。 *IPV6下的鄰居發(fā)現(xiàn)機制及路由原理 。 *PIX防火墻對 TCP序列號的擾亂 ,強制修改 MSS及對分片的處理機制 *Tiny fragment攻擊 *TCP/IP協(xié)議本身的分析 3*．抓包分析各種協(xié)議報文 GO WLAN發(fā)展 WLAN發(fā)展 運營商：加速 3G+WLAN發(fā)展 WLAN作為 3G業(yè)務的良好補充，兩種技術擁有不同的便利性。以 CMCC為例，它提供的筆記本 WLAN業(yè)務每分鐘收費，而目前 3G業(yè)務 TD流量費為 /KB。此外， WLAN目前使用的技術理論下行速度在11MB/S左右，而捆綁了 HSDPA的 TD技術的理論下行速度則為 Mbps。消費者在有 WLAN網(wǎng)絡覆蓋范圍內(nèi)使用無線局域網(wǎng)上網(wǎng)的效果明顯會好于 3G上網(wǎng)。 3G在用戶移動使用時會自動切換基站，而 WLAN卻無法保證消費者在移動狀態(tài)下長時間穩(wěn)定的上網(wǎng)。 當然，對于運營商不僅僅需要考慮 3G與 WLAN兩種網(wǎng)絡的快速搭建完善，更多的是如何平衡兩種網(wǎng)絡的發(fā)展，使其互相補充又不互相排擠。 Thank u. 服務無限延伸