华为WLAN技术基础培训教材资料

1、WLAN关键技术点培训胶片V1.02022/8/25WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page 2WLAN标准演进IEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999) IEEE 802.11a - 54 Mbit/s, 5 GHz standard

2、(1999, shipping products in 2001) IEEE 802.11b - Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999) IEEE 802.11c - Bridge operation procedures; standard (2001) IEEE 802.11d - International (country-to-country) roaming extensions (2001) IEEE 802.11e - Enhancements: QoS, (2005) IEEE 802.11F -

3、Inter-Access Point Protocol (2003) Withdrawn February 2006 IEEE 802.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003) IEEE 802.11h - Spectrum Managed 802.11a (5 GHz) for European compatibility (2004) IEEE 802.11i - Enhanced security (2004) IEEE 802.11k - Radio resource measureme

4、nt enhancements IEEE 802.11m - Maintenance of the standard; odds and ends. IEEE 802.11n - Higher throughput improvements using MIMO （Draft 2.0）IEEE 802.11p - WAVE - Wireless Access for the Vehicular Environment IEEE 802.11r - Fast roaming Working IEEE 802.11s - ESS Mesh Networking IEEE 802.11T - Wir

5、eless Performance Prediction (WPP) IEEE 802.11u - Interworking with non-802 networks (for example, cellular) IEEE 802.11v - Wireless network management IEEE 802.11w - Protected Management Frames Page 3WLAN相关组织WIFI联盟基本与802.11一致，但对应用和业务感受考虑更细致一些制定WPA/WPA2、WMM/WMM PS/WMM AC、SSC、MESH、视频、语音、切换等标准联盟关注和加强产

6、品和功能的认证测试WAPI联盟2006年3月7日，在国家发改委、科技部、信息产业部三部委指导下，WAPI产业联盟成立，包括4大运营商在内的22家单位成为首批会员2003年5月，以WAPI为安全方案的两项国家标准GB 15629.11/1102颁布 2006年1月，无线局域网国家标准GB 15629.11第1号修改单以及3项扩展子项国家标准颁布 IEEE非营利性科技学会，全球最大的专业学术组织 ，设有IEEE标准协会IEEE-SA（IEEE Standard Association），负责标准化工作。负责制定802.11系列标准 IETFInternet 工 程 任 务 组 负责制定集中控制型A

7、C+AP标准，形成RFC文档Page 4WLAN技术发展趋势（1/3）Infrastructure小范围室内覆盖802.11s大范围热区覆盖WLANAP 模式802.11b802.11a/g802.11n11Mbps54Mbps300Mbps自主管理小规模网络轻量级管理大规模网络安全WEP802.11iWAPIPage 5WLAN技术发展趋势（2/3）WLAN标准的演进有如下四条主线：速率提升：802.11（2Mbps） 802.11b（11Mbps） 802.11g/a（54Mbps） 802.11n（320Mbps）安全提升：WEP WPA WPA2 802.11iWAPI应用优化：包含一

8、系列针对应用的标准：802.11e（QoS）、802.11r（快速漫游）、802.11f（无缝漫游）、802.11h（自动频率选择和发送功率控制）等AP管理：自主管理集中管理Page 6WLAN技术发展（3/3）从标准制定的历程可看出其WLAN技术演进的特点：WLAN技术持续演进。一项技术逐渐成熟过程中，后续技术就已开展研发无线带宽不断增加，通过物理层的调制编码技术的更新换代，向宽带无线网络演进无线网络的可管理性继续增强。设备配置管理，网络安全，终端平滑切换等特性相继引入，有利于构建可营运网络另一方面，由于WLAN技术越来越复杂，参与厂商增多。WIFI标准化的周期显著增长。例如802.11s和

9、802.11v标准都大大延长了标准制定周期Page 7WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page 8“瘦”AP技术“胖”AP“瘦” AP集中控制器AC802.11a/b/g/n天线策略移动性转发加密认证管理加密认证安全的透明的隧道集中式的管理丰富的功能容易部署的“AP”Page 9“胖”AP与“瘦”AP组网技术对比胖AP组网：每个AP都是一个单独的节点 ，独立配

10、置其信道和功率；安装简便每个AP独立工作，较难扩展到大型、连续、协调的无线局域网和增加高级应用 每个AP都需要独立配置安全策略，如果AP数量增加，将会给网络管理、维护及升级带来较大的困难很难进行无线网络质量的优化数据的采集瘦AP组网：通过AC对AP群组进行自动信道分配和选择，及自动调整发射功率，降低AP之间的互干扰，提高网络动态覆盖特性 支持二层/三层漫游切换容易实现非法AP检测和处理 管理节点上移后，运维数据采集针对AC而非AP，解决了网管系统受限于AP处理能力和性能的问题Page 10AAA WEB WLAN网管ME60BAS华为认证计费系统IP骨干网城域汇聚网APAPAPAPWLAN终端

11、家庭用户商业用户采用华为统一网管通过SNMP或TR069远程管理控制AP由BAS提供宽带用户接入认证鉴权、计费无线信道管理、无线接入安全由AP控制胖AP接入组网方案Page 11城域汇聚网AAA WEB IP骨干网WLAN统一网管Huawei AC用户认证计费一般由功能强大的BAS负责Wlan用户关联，无线接入控制和安全由AC集中管理通过SNMP网管、telnet、WEB直接管理AC对AP，通过AC间接管理减少管理维护工作量AP、AC间建立管理通道；AC对AP集中配置管理；AP监测无线信息汇集到ACAC对无线信道集中智能管理；无线信道数据加密、解密由AP完成瘦AP+AC组网方案Page 12室

12、内热点覆盖（办公场所，会议室，图书馆等）办公场所覆盖：提供企业内部的语音、多媒体（比如视频会议、演示等）应用，并推动企业内部的移动办公。会议室、图书馆的WLAN简易快速覆盖：AP放装在室内空间的适当位置适用AP：WA601、WA602AP发射功率：100mW /20dBm覆盖距离：3050米Page 13将 WLAN 无线信号通过合路器馈入原有GSM/CDMA/3G/PHS 室内覆盖系统天馈，对原有天馈系统进行扩频改造，以实现二网共用天馈。室内分布式覆盖（可共享2G/3G/PHS室内分布天线）滤波合路器功分器/耦合器功分器/耦合器功分器/耦合器室内分布系统WA631/ WA632GSM/CDM

13、A/PHS适用AP：WA631,WA632AP发射功率：500mW /27dBm采用室内分布天线时，通常每天线覆盖半径在1015米内。由于天线发射功率较小,对大的室内空间，天线应按一定距离连续布设。 Page 14无线城市利用住宅区、楼宇、街区路口、树干、路灯等场所挂上AP接入点，组成城域WLAN网络，提供警务（比如实时交通和安全视频监视、巡警高速数据接入、现场调查人员提供移动宽带接入）、政务（比如市政办公移动接入互联网）、企业/市民/访客移动接入等应用。适用AP：WA651,WA652AP发射功率：500mW /27dBm覆盖距离：500米可通过提高天线增益扩大覆盖距离Page 15园区覆盖

14、“小区入户难，无入户线缆”：对于某些被对手占据的小区，小区内部布线资源不可用，可以采用无线方式接入小区内用户克服天然或人为的对光纤的障碍，避免光纤挖沟敷设所需的时间和花费快速扩展进入新的市场和增加运营收入适用AP：WA651,WA652,WA656Page 16WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page 17无线接入过程三个阶段STA（工作站）启动初始化、开始正

15、式使用AP传送数据帧前，要经过三个阶段才能够接入：扫描阶段（SCAN）认证阶段 (Authentication)关联（Association）Page 18无线接入过程 扫描阶段无线接入第一阶段：扫描（SCAN）阶段若无线站点STA设成infrastructure模式：802.11 MAC 使用Scanning来搜索AP, 有两种方式主动扫描方式 （特点：能迅速找到）STA依次在11个信道发出Probe Request帧，寻找与STA所属有相同SSID的AP,若找不到相同SSID的AP，则一直扫描下去.被动扫描方式（特点：找到时间较长，但STA节电）STA被动等待AP每隔一段时间定时送出的Be

16、acon信标帧，该帧提供了AP及所在BSS相关信息：“我在这里”Page 19无线接入过程 认证阶段无线接入第二阶段：认证（Authentication）阶段当STA找到与其有相同SSID的AP,在SSID匹配的AP中，根据收到的AP信号强度，选择一个信号最强的AP,然后进入认证阶段。只有身份认证通过的站点才能进行无线接入访问。华为的AP提供如下认证方法(后续胶片会逐一讲解每种认证方法)，包括：开放系统身份认证(open-system authentication)共享密钥认证(shared-key authentication）WPA PSK认证（ Pre-shared key）802.1X

17、 EAP认证Page 20无线接入过程 关联阶段无线接入第三阶段：关联（Association）阶段当AP向STA返回认证响应信息，身份认证获得通过后，进入关联阶段。1. STA向AP发送关联请求2. AP 向STA返回关联响应至此，接入过程才完成，STA初始化完毕，可以开始向AP传送数据帧。Page 21无线接入过程示意图Page 22WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配

18、置智能天线Page 23WLAN网络安全WLAN网络安全包括两个方面用户身份验证，防止未授权访问网络资源。数据加密，以保护数据完整性和数据传输私密性。Page 24WLAN网络安全相关标准WPA (Wi-Fi Protected Access) IEEE 802.11i标准致力于无线安全的各个方面,在制定IEEE802.11i标准期间，无线局域网厂家已经走在前头，在尽可能多地实现该标准指定的功能，因为Wi-Fi联盟根据802.11草案的内容开发了Wi-Fi受保护的接入WPA2 Wi-Fi受保护的接入第2版（WPA2）是基于最终的802.11i标准的802.11i IEEE 802.11i的新一

19、代安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。WAPI 中国在无线局域网国家标准GB15629.11-2003中提出了WAPI机制来实现无线局域网的安全之前使用的加密机制和认证机制加密机制：802.11WEP 也是IEEE提供的第一代用于无线认证和加密的安全解决方案认证机制：无线局域网802.11标准定义了两种验证无线局域网客户端的机制：开放式认证共享密钥认证还有其他两个常用的机制：基于SSID的认证MAC地址认证802.11i和WAPI是认证和加密算法的重点，也是目前运营

20、商最关注的两种安全解决方案，将在本章节重点介绍。Page 25WPA，WPA2 & 802.11iPage 26IEEE 802.11i标准致力于无线安全的各个方面。在制定IEEE802.11i标准期间，无线局域网厂家已经走在前头，在尽可能多地实现该标准指定的功能，因为Wi-Fi联盟根据802.11草案的一内容开发了Wi-Fi受保护的接入（Wi-Fi Protected Access，WPA）。WPA提供了下述无线局域网安全措施：通过PSK( Pre-shared key)进行用户验证或进行802.1x(EAP)基于服务器的认证；客户端和服务器之间的双向认证；使用暂时密钥完整性协议（Tempo

21、ral Key Integrity Protocol，TKIP）或者PPK (Per-Packet Keying，每报文密钥)确保数据隐秘性；使用消息完整性校验（Message Integrity Check，MIC）确保数据完整性支持WPA并不需要进行硬件升级，只要进行固件和软件升级即可。WPAPSK（ Pre-shared key）认证方式该方式要求在STA侧预先配置Key，AP通过4次握手Key协商协议来验证STA侧Key的合法性。对没有什么重要数据的小型网络而言，可以使用WPAPSK 的预设共享密钥模式。主要把预设共享密钥方式的WPA-PSK 应用于小型、风险低的网络以及不需太多保护的

22、网络用户。对大企业而言，安全性要求较高，更多的使用802.1X。Page 27TKIP利用无线客户端和AP嵌入的现有WEP加密硬件。WEP加密过程与以前相同，但WEP密钥的生成频率更高，而不是像使用基于EAP的认证方法时那样在每次重新认证是生成WEP密钥。实际上，TKIP为每个分组生成新的WEP密钥。客户适用于基本EAP的方法对客户端进行认证（或重新认证）时，将生成一个初始密钥。该密钥是通过混合发送方（客户端或AP)的MAC地址和一个序列号生成的。发送每个分组时，都将更新该WEP密钥。客户端被重新认证时，将生成一个全新的WEP密钥，然后再每个分组时更新该密钥。如果没有使用或不需要外部认证服务器

23、，WPA可以使用预共享密钥进行认证。在这种情况下，客户端和AP相互进行认证时将只适用该预共享密钥。数据隐秘性（加密）根本不使用预共享密钥，而由TKIP负责进行加速加密密钥更新，以便用于进行WEP加密。WPA TKIP加密算法Page 28WPA2(802.11i)Wi-Fi受保护的接入第2版（WPA2）是基于最终的802.11i标准的，从这个角度来说WPA2的标准其实与802.11i一致，与WPA相比，主要是改进措施是：使用AES (Advanced Encryption Standard，高级加密标准)进行加密。AES是一种健壮，可扩展的加密方法。WPA2也支持使用TKIP对数据进行加密，以

24、便向后同WPA兼容。使用WPA和其他基于EAP的认证方法时，无线客户端必须向要访问的每个AP进行认证。如果客户端从一个AP移到另一个AP,将需要不断进行认证，这很麻烦。WPA2使用主动密钥缓存（proactive key caching，PKC）解决了这个问题，客户端只需认证一次向它遇到的第一个AP认证。只要客户端访问的其他AP的都支持WPA2,且被配置为属于一个逻辑组，就将自动传递缓存的认证信息和密钥。使用IDS（Intrusion Detection System，入侵检测系统）来识别并防范攻击。由于使用AES加密，所以WPA2比WPA更消耗CPU资源，通常需要硬件升级。Page 29增强

25、了STA和AP的认证机制 支持802.1x认证方式 支持Pre-shared key认证方式增加了 Key的生成、管理以及传递的机制 每用户使用独立的Key 通过安全的传递方法传递用户数据加密使用的Key增加了两类对称加密算法，加密强度大大增强 TKIP（临时密钥完整性协议）：其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的 CCMP（计数器模式CBC-MAC 协议）：核心为AES（Advanced Encryption Standard，先进加密标准）算法，由于AES对硬件要求比较高，因此CCMP无法通过在现有设备

26、的基础上进行升级实现。WRAP: WRAP机制基于AES加密算法和OCB（Offset Codebook），是一种可选的加密机制。802.11i协议 安全认证和加密IEEE 802.11i的新一代安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。Page 30WPA,WPA2 & 802.11i技术总结802.11i协议的核心内容包括：基于802.1x进行身份认证基于TKIP、CCMP等加密算法实现数据加密基于4次握手实现用户会话密钥的动态协商WiFi联盟参考802.11i草案的

27、子集，制定了WPA（Wi-Fi Protected Access）规范。WPA核心内容包括了：基于802.1x进行身份认证基于PSK（Pre-Shared Key）进行身份认证基于TKIP实现数据加密基于4次握手实现用户会话密钥的动态协商完整的802.11i支持则称为WPA2，主要增加了AES-CCM加密算法支持等。Page 31WAPIPage 32基于WAPI的无线局域网国家标准体系Page 33WAPI协议技术原理Page 34全IP架构下的接入网三元结构Page 35WAPI构筑三元安全架构Page 36WAPI协议的核心内容WAPI协议的核心内容：WAI（无线局域网鉴别基础结构）：确

28、定安全策略；完成双向鉴别（包括：基于证书；预共享密钥两种形式）；单播和组播密钥协商。WPI（无线局域网保密基础结构）：主要解决所有已知的WEP问题Page 37WAPI安全协议流程STA通过被动侦听信标帧或主动探询获得AP的安全策略。如果AP使用的是WAI证书鉴别和密钥管理机制，AP发送鉴别激活分组启动证书鉴别过程，证书鉴别过程成功结束后，AP和STA进行单播密钥协商过程和组播密钥通告过程。如果AP使用的是预共享密钥机制，AP和STA直接进行单播密钥协商过程和组播密钥通告过程。STA和AP之间的单播数据利用单播密钥协商过程所协商推导出的单播加密密钥、单播完整性校验密钥进行保护；AP利用自己通告

29、的组播密钥保护发送广播/组播数据，STA接收时采用AP通告的组播密钥进行解密。Page 38WAPI安全协议流程APACPage 39WAPI & 802.11i之比较Page 40WAPI和802.11i的技术比较两者的协议流程结构基本是一致的，涉及的各个实体也仅仅是命名上不同。两者的主要区别：用户鉴别一般安全体制只能实现WLAN设备对无线客户端的单向鉴别802.11i和WAPI都支持数字证书形式认证，可以实现WLAN接入设备和无线客户端的双向鉴别。在WAPI安全体制下，实现的是三元组认证，即WLAN接入设备和AS是独立的两个实体，AS作为公信的第三方，需同时鉴别WLAN接入设备和无线客户端

30、的合法性在802.11i安全机制下，无线客户端无法区分WLAN接入设备和AS / AAA Server鉴别协议在WAPI中，特别保证了鉴别信息的完整性；在IEEE 802.11i等其它安全体制中，鉴别成功信息不包含完整性校验，鉴别消息易被篡改对网络构成安全威胁Page 41WAPI和802.11i的技术比较（续）加密方式WAPI强制使用数字证书作为身份凭证，既方便了安全管理，同时还提升了安全性802.11i支持多种加密方式，在互通时要采用相同的加密方式，而且在多种加密方式并存的接入环境中，广播 / 组播包只能采用较低安全等级的加密算法传输，容易产生安全漏洞中国电信WLAN网络安全现网部署策略：

31、同时支持WAPI和802.11i安全策略积极引入试点WAPI，直至规模布署Page 42以前的认证&加密机制Page 43开放系统认证(open-system authentication )(一)开放系统身份认证应用场景开放式认证也叫明文接入既不关心客户端/用户认证问题，也不关心无线客户端与网络之间所交换数据的加密问题，这种类型的认证方式主要用于公共区域或热点区域，如机场酒店、大堂等为客人提供的无线接入（如接入互联网）服务。开放系统身份认证的原理开放系统是802.11 要求必备的方式。在开放系统身份认证中，AP并未验证移动式工作站的真实身份。任何客户端都可以加入网络，而无需提供任何凭证。如果

32、没有加密功能，任何知道无线局域网SSID 的设备都可以进入该网络。如果在AP 上启用了有线对等加密协议( WEP )，WEP 密钥则成为一种访问控制的手段。没有正确的WEP密钥的设备即使认证成功也不能通过AP 传输数据，同时这样的设备也不能解密由AP 发出的数据。STAAPAuthentication requestAuthentication Response (success)Page 44开放系统认证(open-system authentication )(二)开放认证中客户端关联AP的步骤1. 客户端发送一个探测请求 。2. 周边的AP 回复探测响应。3. 客户端评估AP 的响应并选

33、择信号最好的AP。4. 客户端发送一个验证请求给选定的AP。5. 该AP 确认该认证并注册客户端。6. 客户端然后发送一个关联请求给AP。7. AP 确认该关联并注册客户端。开放认证的优点和缺点优点：开放认证是一个基本的验证机制，你可以使用不支持复杂的认证算法无线设备。802.11 规范中认证的是面向连接的。对于需要验证允许设备得以快速进入网络的设计，在这种情况下，您可以使用开放式身份验证。缺点：开放认证没办法检验是否客户端是一个有效的客户端，而不是黑客客户端。如果你使用不带WEP 加密的开放验证，任何知道无线局域网SSID 的用户都可以访问网络。Page 45 MAC地址认证虽然802.11

34、 标准没有指定MAC 地址认证，但无线局域网普遍使用该认证技术。因此，大多数的无线设备厂商（包括华为）均支持MAC 地址验证。AP上维护了一份经过授权的MAC 地址清单，不在名单上的工作站。网管人员可以键入一组经过授权的工作站地址，只要是表上有名的工作站就可以跟网络连接。MAC地址认证MAC地址认证与其说是一种认证方式，更应该是一种访问控制方式。 华为的AP都支持Page 46共享密钥认证(shared-key authentication）(一)STAAPAuthentication requestPlain text challengeCipher text challengeAuthen

35、tication Response (success)预置Key用Key加密明文密文解密和明文比较预置Key共享密钥认证(shared-key authentication）的原理共享密钥认证与开放验证有一个主要的区别。当你使用带WEP加密密钥的开放认证时，WEP 密钥是用来加密和解密数据，但在认证的步骤中却不使用。在共享密钥认证中，WEP 加密被用于验证。共享密钥身份认证必须使用WEP密钥，因此只能用于实现了WEP的产品上。客户端要加入WLAN时，AP向它发送一个挑战短语，客户端使用挑战短语和WEP密钥计算出一个可公开共享的值，并将其发回给AP. AP使用自己的WEP密钥计算一个类似的值，如

36、果这两个值相同，客户端便通过了认证。Page 47共享密钥认证(shared-key authentication）(二)共享密钥认证中客户端关联到AP的步骤1. 客户端发送一个探测请求 2. 周边的AP 回复探测响应3. 客户端评估AP 的响应并选择信号最好的AP4. 客户端发送一个验证请求给选定的AP。5. 该AP 发送一个包含未加密挑战文本的认证响应。6. 客户端利用WEP 密钥加密挑战文本，并将加密后的文件回复给该AP7. AP 比较未加密的挑战文本和加密的挑战文本。如果验证可以解密和恢复原始的挑战文本，则该认证是成功的共享密钥认证在客户端关联过程中使用WEP 加密共享密钥认证中的缺点

37、使用共享密钥（常被称为静态WEP密钥）认证时，WEP密钥也被用做加密密钥，通过WLAN发送每个分组时，将把分组的内容和WEP密钥提供给加密进程，远端收到分组后，经使用相同的WEP密钥对其进行解密。共享密钥认证比开放认证安全，但存在两个缺点1. 可扩展性不佳，因为必须在每台设备上配置一个很长的密钥字符串；2. 不是很安全静态密钥的使用时间非常长，直到手工重新配置了新密钥为止。密钥的使用时间越长，恶意用户便有更长的时间来收集从它派生而来的数据，并最终通过逆向工程破解密钥。静态WEP密钥是可以破解的，因此不推荐使用这种认证方法。802.11WEP 也是IEEE提供的第一代用于无线认证和加密的安全解决

38、方案。Page 48WEP加密STAAP加密报文IV值IV静态KeyKey生成器Key流XOR用户数据明文发送的加密报文IV静态KeyKey生成器Key流XOR用户数据明文接收的加密报文IV：initialization Vender 初始向量WEP：Wired Equivalent Privacy 有线对等私有协议Page 49802.1x是基于端口的网络接入控制协议, 它提供了一个认证过程框架，支持多种认证协议在802.1x中，不同的认证协议统一使用EAP封装格式。也就是说：802.1x只是对认证进行控制，是接入认证的手段，具体认证还需要其它认证协议。在WLAN 网络中，802.1x 协议

39、的框架需要以下三个逻辑实体来验证设备:802.1x认证1. 请求端该请求端驻留在在无线局域网客户端，也称为EAP 客户端。2. 认证端认证端驻留在AP。3. 认证服务器认证服务器驻留在RADIUS 服务器802.1x是一种基于端口的网络接入控制：是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源相当于物理连接被断开。Page 50802.1x认证EAP的类型包括:802.1x认证框架能够使用以下任意EAP变种1. EAP-TLS 基于传输层安全的可扩展认证协议，是一种基于证

40、书的认证方式，它是对用户端和认 证服务器端进行双向证书认证的认证方式2. EAP-FAST - 基于隧道的灵活认证协议3. EAP-SIM 基于客户识别模块的可扩展认证协议4. Cisco LEAP 思科轻量级可扩展认证协议5. EAP-PEAP 受保护的扩展认证协议，是一种基于证书的认证方式，服务器侧采用证书认证，客 户端侧采用用户名密码认证6. EAP-MD5 基于MD5 的扩展认证协议，最早的EAP认证类型。它是基于用户名，密码方式的认 证，认证过程与CHAP认证过程基本相同。 7. EAP-OTP 基于一次性密码扩展认证协议8. EAP-TTLS 基于隧道传输层安全的扩展认证协议其中E

41、AP-TLS是WLAN认证中常用的认证协议。Page 51802.1x认证 EAP-TLSEAP-TLS (Extensible Authentication Protocol Transport Layer Security, 可扩展认证协议- 传送层安全）使用TLS (Transport Layer Security，传送层安全）协议， TLS是一种替代SSL (Secure Socket Layer，安全套接层）协议的IETF标准协议，TLS可以提供公共域上的安全通信和数据传送服务，并能防范窃听和报文篡改等攻击行为。EAP-TLS使用PKI, 因而必须满足以下3方面需求：客户端必须获得证

42、书，这样网络才能对其进行认证AAA服务器需要一个证书，这样客户端才能确认服务器的真实性CA (Certification Authority，证书认证机构）服务器必须为AAA服务器和客户端发放证书。EAP-TLS认证进程，无线客户端使用开放式认证与AP建立关联。在Radius服务器认证通过之前，AP会限制（或拒绝）除EAP流量之外的所有流量。Page 52基于EAP-TLS的802.1x认证接入过程 STAAPOpen-system AuthenticationAssociationEAPOL startEAPOL-Request/User IdentityEAPOL-Response/Use

43、r Identity服务器证书/公钥STA证书/用公钥加密的Master key认证成功4次握手Key协商加密数据报文Radius ServerUser Identity服务器证书/公钥STA证书/用公钥加密的Master key认证成功/PMK验证服务器证书用公钥加密Master Key生成PMK验证STA证书用私钥解密Master Key生成PMKPMK一致性检查生成其他KeyPMK一致性检查生成其他Key1234589127101161314ACPage 53WLAN安全应用界面Page 54WLAN安全应用方式下面是WLAN常用的认证方式和加密方式，包括802.11标准，WPA标准定义

44、的。无线客户端接入认证WLAN数据加密备注开放系统认证WEP、NONE开放系统认证仅作为认证，数据加密采用WEP或者采用明文方式，数据不加密共享密钥身份认证WEP共享密钥身份认证必须采用WEP加密算法WPA PSK认证WPA TKIPWPA2 AESWPA标准规定了认证方式和加密方式，规定了两种认证方式PSK和802.1x，所以WPA PSK认证方式时，加密方式是WPA TKIP加密算法或者WPA2 AES算法802.1x EAP认证WPA TKIPWPA2 AESWPA标准规定了两种认证方式PSK和802.1x，所以WPA PSK认证方式时，加密方式是WPA TKIP或者WPA2 AESPa

45、ge 55参考：WLAN安全配置界面(胖AP)（一）安全配置场景一：当AP上面的认证类型选择开放式系统，加密启用时，加密类型则对应为WEP. 无线客户端侧的配置一致。 安全配置场景二：当AP上面的认证类型选择共享密钥，加密类型对应为WEP. 无线客户端配置一致。认证方式加密方式认证方式加密方式Page 56参考：WLAN安全配置界面(胖AP)（二）安全应用场景三：当选择WPA ，认证类型为802.1X EAP，加密类型为WPA TKIP. 此时无线客户端必需使用802.1x. 加密类型配置一致。认证方式加密方式认证方式加密方式安全应用场景四：当选择WPA-PSK，认证类型为WPA-PSK，加密

46、类型为TKIP. 此时无线客户端配置一致。Page 57参考：WLAN安全配置界面(胖AP)（三）安全应用场景五：当选择 WPA2, 认证类型为 802.1x EAP，加密类型对应为AES. 此时无线客户端配置一致。认证方式加密方式安全应用场景六：当选择WPA2 PSK，认证类型为PSK, 加密类型对应为AES. 此时无线客户端配置一致。认证方式加密方式Page 58参考：WLAN安全配置界面(胖AP)（四）当类型选择WPA-WPA2-PSK混合，认证类型是PSK，加密类型对应为AES-TKIP. 此时无线客户端配置一致。同理，当类型选择WPA-WPA2-混合，认证类型是802.1x EAP，

47、加密类型为AES-TKIP.认证方式加密方式Page 59WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page 60预配静态AC列表无AC列表瘦AP发现AC-流程图AP在成功加入连接一个AC前，将重复执行以下的AC发现流程。开始L2 发现暂停选中AC加入连接找不到AC找不到AC选中AC重新开始发现过程L3 发现Page 61瘦AP发现AC-L2发现当AP启动时，它会发送一

48、个DHCP发现数据包，以获取一个IP地址（是否必需？）AP广播一个以太网“discovery request（发现请求）”帧AC收到该广播帧后，根据AP的MAC地址反馈“ Discovery Response(发现响应)”信息AP收到响应信息后就建立于AC的管理连接如果AP长时间（多长？）没有收到AC的响应，则将启动L3发现流程Huawei AP Huawei AC 路由器 L2交换机 IP城域网广播L2 LWAPP 发现请求发回发现响应信息到AP的MAC地址建立与AC的连接，开始接受AC管理Page 62瘦AP发现AC-L3发现1（预配置静态AC列表）当AP启动时，它会发送一个DHCP发现数

49、据包，以获取一个IP地址AP可以在命令行预配置静态AC的IP地址列表，包括主AC和备ACAP发送L3 LWAPP发现请求数据包到所有预配置的AC列表IP地址如果主AC有返回发现响应，则AP自动与该AC建立管理连接当只有备AC返回发现响应时，AP才与备AC建立管理连接如果没有收到任何AC的响应，则AP等候30秒后重新开始该发现流程Huawei AP Huawei AC1 路由器 L2交换机 IP城域网L3 LWAPP 发现请求发回发现响应信息到AP的IP地址建立与主AC的连接，开始接受AC管理L2交换机 DHCP服务器 Huawei AC2 Page 63瘦AP发现AC-L3发现2（自动获得AC

50、 IP地址）当AP启动时，它会发送一个DHCP发现数据包，以获取一个IP地址AP发送L3 LWAPP发现请求数据包到：子网广播地址以获取本地AC的IPs上次连接的AC的IP从DHCP服务器通过Option 43获得AC的IP地址列表从DNS服务器通过域名解析获得AC的IP地址列表根据上步的响应建立AC候选列表如果上次连接的AC有响应，则建立与之的连接否则，连接到AC候选列表中可用license最多的AC。Huawei AP Huawei AC1 路由器 L2交换机 IP城域网L3 LWAPP 发现请求发回发现响应信息到AP的IP地址建立与AC的连接，开始接受AC管理L2交换机 DHCP/DNS

51、服务器 Huawei AC2 AC IP地址列表Page 64WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page 65漫游概念（一）802.11 只提到漫游（roaming）这个字眼。但对实现过程没有作具体的规定，一般而言，多数人都认为漫游就是终端从一个AP转换到另一个AP即无线终端从一个BSS服务集移动接入到另外一个服务集的过程。如下图：便携机从AP1（BSS1）的位

52、置向AP2(BSS2)移动，在业务不间断的情况下，接入到AP2。STAAP2AP1移动ESSSTAPage 66漫游概念（二）漫游过程完全是由无线客户端驱动程序（而不是AP）驱动的，无线客户端根据各种条件案确定漫游的时机。802.11标准没有解决这个问题，因此使用的漫游算法随着厂商而异。 另外漫游算法通常使用的是“秘密配方”，因此无法知道精确的阈值和条件。由于不同客户端使用不同的阈值，因此在蜂窝的同一个位置，有些客户端可能尝试进行漫游，而有些不这样做。如图，客户端移动位置B附件时，在各种信道中发送802.11探针请求帧。AP2在信道6中收到探针请求后，通过在信道6中发送探针应答来进行响应。客户

53、端收到探针应答后，对其进行评估，以确定同哪个AP关联最合适。现在客户端必须进行漫游，并切换关联。首先删除现有的关联，因为每个客户端不能同时与多个AP关联。客户端通过信道1（AP1使用的信道）向AP1发送802.11解除关联信息，然后客户端可以通过信道6向AP2发送关联请求，接下来AP2使用关联响应来做出应答。Page 67AssociationSTA通过Association和一个AP建立关联，后续的数据报文的收发只能和建立Association关系的AP进行ReassociationSTA在从一个老的AP移动到新AP时通过Reassociation和新AP建立关联，Reassociation

54、前必须经历Authentication过程DeassociationSTA通过Deassociation和AP解除关联关系检测到New AP信号强Reassociation请求(old AP address)DeassociationReassociation应答漫游概念（三）STAOld APNew AP切换过程：Page 68WLAN漫游的分类二层漫游在同一个子网内的AP间漫游三层漫游在不同子网内的AP间漫游，目前我司（WS6001/6002）还没有实现。VLAN1IP:VLAN1APAPVLAN1L2网络STA移动二层漫游VLAN1IP:VLAN1APAPVLAN2L3网络STA移动三层

55、漫游Page 69同一个AC下不同AP间漫游华为无线漫游解决方案支持同一AC下AP之间，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。同一AC下用户漫游原理图IP networkACIntra-AC roamingAssociationIntra-AC roam associationAP1AP2SSID：HuaweiSSID：Huawei需要注意：AP1和AP2提供的蜂窝都使用SSID Huawei，这让客户端能够在他们之间漫游AP1和AP2连接的是同一个控制器AC这种漫游很简单，因为控制器AC只需更新其表，以便使用连接到

56、AP2的LWAPP隧道、来找到客户端即可。在控制器内，很容易、将旧关联缓存的数据移交给新关联。Page 70快速漫游技术Key CachingKey caching过程：STA第一次接入时（接入Old AP）采用正常的802.1x认证过程认证通过后STA把使用的PMK信息保存在Cache中STA向New AP发起Reassociation时协商使用PMK Cache方式做认证STA利用在Cache中保存的在Old AP中使用的PMK和New AP发起4次握手协商过程协商成功，STA开始传送数据报文STAAPPMK CacheXXXXXXXNew APOld APSTA1PMK CacheXXX

57、XXXXSTA1PMK CacheXXXXXXXSTA在切换AP以后不必在进行烦琐的802.1x认证和Key交换，加快了切换速度Page 71WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page 72对于华为WLAN产品而言，这一领域包括两个方面：在AP与无线客户端之间支持负载均衡的机制，目前做到基于用户数目的负载均衡。目前的WS6002和WS6001不支持备份方式。华为

58、WLAN产品负载均衡和冗余备份支撑特性Page 73负载均衡的目的是，通过增加覆盖同一区域的AP数量来提高密集用户区域的用户的带宽性能。华为FIT AP的负载均衡是按照用户数量，即设置一定的用户数量阈值，当超过阈值时，负载均衡开始生效，将用户分配到同一组的负载不同AP上的。华为 FIT AP之间的负载均衡Page 74WLAN的总体技术发展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page

59、75WLAN无线QOSAP调度模式优先级队列1优先级队列2优先级队列3优先级队列4BusyFrameTimeAIFS4CW4AIFS3CW3FrameAIFS2CW2FrameAIFS1CW1FrameAP 支持WMM定义的8个业务优先级报文标记，可被映射到4个输出队列；高优先级的报文通过设置较短的IFS和Contention window来优先获取无线空口的访问能力；WMM（Wi-Fi Multimedia）提供对时间敏感的应用如语音和数据的QoS能力，属于802.11e。Page 76目前我司的WLAN产品做到基于整体SSID的限速。WLAN的用户带宽限制Page 77WLAN的总体技术发

60、展WLAN设备类型简介及应用场景WLAN的关键技术点介绍WLAN无线接入过程WLAN网络安全瘦AP发现AC的机制WLAN漫游WLAN负载均衡和冗余备份WLAN用户带宽控制&QoS不同应用场景下BRAS,AC,AP业务流程AC组网、VLAN配置智能天线Page 78瘦AP的组网方案瘦AP的组网方案，归纳起来有六种：AC位于城域网，BRAS之上AC旁挂于BRASAC集成于BRASAC旁挂于汇聚交换机AC替代汇聚交换机AC位于汇聚交换机下其中对于WS6002，建议采用第四种组网方式，AC旁挂于汇聚交换机,对于自研的AC，推荐第三种组网方式，AC集成与BRAS.Page 79瘦AP的组网方案 AC位于