WLAN培训材料一：WLAN技术及组网20090323.ppt

1、无线局域网（WLAN）培训-WLAN技术及组网,高波 手机中国电信股份有限公司上海研究院 宽带互联网部 二00九年三月,目录,WLAN技术演进 WLAN设备状况 WLAN组网技术 WLAN安全技术 PHS基站叠加WLAN方案,WLAN标准演进,IEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999) IEEE 802.11a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001) IEEE 8

2、02.11b - Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999) IEEE 802.11c - Bridge operation procedures; standard (2001) IEEE 802.11d - International (country-to-country) roaming extensions (2001) IEEE 802.11e - Enhancements: QoS, (2005) IEEE 802.11F - Inter-Access Point Protocol (2003) Withd

3、rawn February 2006 IEEE 802.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003) IEEE 802.11h - Spectrum Managed 802.11a (5 GHz) for European compatibility (2004) IEEE 802.11i - Enhanced security (2004) IEEE 802.11k - Radio resource measurement enhancements IEEE 802.11m - Maintenan

4、ce of the standard; odds and ends. IEEE 802.11n - Higher throughput improvements using MIMO （Draft 2.0） IEEE 802.11p - WAVE - Wireless Access for the Vehicular Environment IEEE 802.11r - Fast roaming Working IEEE 802.11s - ESS Mesh Networking IEEE 802.11T - Wireless Performance Prediction (WPP) IEEE

5、 802.11u - Interworking with non-802 networks (for example, cellular) IEEE 802.11v - Wireless network management IEEE 802.11w - Protected Management Frames,WLAN相关组织,WIFI联盟 基本与802.11一致，但对应用和业务感受考虑更细致一些 制定WPA/WPA2、WMM/WMM PS/WMM AC、SSC、MESH、视频、语音、切换等标准 联盟关注和加强产品和功能的认证测试 WAPI联盟 2006年3月7日，在国家发改委、科技部、信息产

6、业部三部委指导下，WAPI产业联盟成立，包括4大运营商在内的22家单位成为首批会员 2003年5月，以WAPI为安全方案的两项国家标准GB 15629.11/1102颁布 2006年1月，无线局域网国家标准GB 15629.11第1号修改单以及3项扩展子项国家标准颁布 IEEE 非营利性科技学会，全球最大的专业学术组织 ，设有IEEE标准协会IEEE-SA（IEEE Standard Association），负责标准化工作。 负责制定802.11系列标准 IETF Internet 工 程 任 务 组 负责制定集中控制型AC+AP标准，形成RFC文档,WLAN技术发展趋势（1/3）,WLAN

7、技术发展趋势（2/3）,WLAN标准的演进有如下四条主线： 速率提升：802.11（2Mbps） 802.11b（11Mbps） 802.11g/a（54Mbps） 802.11n（320Mbps） 安全提升： WEP WPA WPA2 802.11i WAPI 应用优化：包含一系列针对应用的标准：802.11e（QoS）、802.11r（快速漫游）、802.11f（无缝漫游）、802.11h（自动频率选择和发送功率控制）等 AP管理：自主管理集中管理,WLAN技术发展（3/3）,从标准制定的历程可看出其WLAN技术演进的特点： WLAN技术持续演进。一项技术逐渐成熟过程中，后续技术就已开展研

8、发 无线带宽不断增加，通过物理层的调制编码技术的更新换代，向宽带无线网络演进 无线网络的可管理性继续增强。设备配置管理，网络安全，终端平滑切换等特性相继引入，有利于构建可营运网络 另一方面，由于WLAN技术越来越复杂，参与厂商增多。WIFI标准化的周期显著增长。例如802.11s和802.11v标准都大大延长了标准制定周期,目录,WLAN技术演进 WLAN设备状况 WLAN组网技术 WLAN安全技术 PHS基站叠加WLAN方案,WLAN设备分类,根据WLAN设备应用方式来分： 室内型： 室内放装型 室内分布型 集中控制室内放装型 集中控制室内分布型,室外型： 普通室外型 回传室外型 集中控制室

9、外普通型 集中控制室外回传型 WLAN Mesh室外型,根据WLAN设备的实现方式来分： 桥接型WLAN设备 路由型WLAN设备 集中控制型WLAN设备,WLAN设备能力,基本功能： 54Mbps传输速率的接收灵敏度在7379dBm范围之内，11Mbps传输速率的接收灵敏度在8792dBm范围之内 同时支持4个以上业务SSID以及1个管理SSID（一般总数为816个） 安全性：同时支持WAPI和802.11i安全技术 增强功能： 支持上行链路完整性（AP上行接口断开） 支持POE功能（大功率AP较难支持此项功能） 性能： 明文接入，要求802.11b模式AP上、下行吞吐量达到5Mbps以上；

10、802.11g模式AP上、下行吞吐量均达到18Mbps以上 本地网管： 支持telnet和WEB二种登陆方式 支持基本查询、配置操作，支持热启动、软件升级功能、Trap功能 支持通过管理SSID “management”接入无线网络登陆和配置AP ，不支持接入业务SSID登陆并管理和配置AP 远程管理。支持远程网管的查询、配置、信息统计（空口、用户、全局等）功能,目录,WLAN技术演进 WLAN设备状况 WLAN组网技术 无线频谱规划 传统AP（“胖”AP）组网技术 集中控制型AC+AP组网技术 WLAN Mesh组网技术 WLAN安全技术 PHS基站叠加WALN方案,802.11b/g工作频

11、段划分图,蜂窝式无线覆盖,任意相邻区域使用无频率交叉的频道，如：1、6、11频道 。 适当调整发射功率，避免跨区域同频干扰。 蜂窝式无线覆盖实现无交叉频率重复使用。,“胖”AP组网方案,“瘦”AP技术,“胖”AP,安全的透明的隧道,集中式的管理 丰富的功能,容易部署的“AP”,集中控制型AC+AP组网方案-方案建议,本地网WLAN集中接入几台专用BRAS，AC布署方案： 方案一：AC位于汇聚交换机下的场点型方案。AC位于大型场点（如高校），或位于电信机房管理下联各场点瘦AP 方案二：AC旁挂BRAS。管理同一BRAS下同一厂家瘦AP 本地网WLAN分散就近接入BRAS，AC布署方案： 方案三：

12、AC布署在城域网汇聚层，就近连接BRAS。可管理不同BRAS下的瘦AP，AC将用户的流量集中转发到就近一台BRAS，由该BRAS为用户终端分配IP地址、并对用户进行管理 注：在早期试点时，可采用方案一,AC+瘦AP组网方案之一-场点型,AC位于大型场点；或位于电信机房，下联多个场点的AP AP通过DHCP获得AC分配的管理地址和AC的地址 AP与AC建立加密隧道 根据用户无线报文的BSSID字段和瘦AP的位置，映射为相应的业务VLAN，不同场点可映射为不同VLAN BRAS终结用户VLAN，并对用户进行地址分配、认证和计费 特点：一台AC可管理一台BRAS下同一厂家瘦AP；对现网不需要改动,瘦

13、AP组网方案之一-场点型,AC部署位置： AC部署在大型场点内，如:高校；或AC部署在电信机房，下联多个瘦AP场点 AP配置： AC作DHCP Server，负责为AP分配私网地址；对于不同子网，需分配不同网段的地址 AP发起DHCP请求，获得AC分配的私网地址和AC设备地址 AP与AC建立加密隧道 VLAN规划 AC配静态IP公网地址，及AC管理VLAN，BRAS作ACL，允许AC与AC网管平台相互访问 场点业务VLAN，由AC发起终结在BRAS 需规划AC管理VLAN和场点业务VLAN 用户终端 由BRAS分配公网地址；由BRAS负责对用户认证、分配地址和管理,AC+瘦AP组网方案之二 -

14、旁挂BRAS(路由模式，DNS方式),AC旁挂在BRAS上 在AP上配置AC的域名；在DNS服务器上配置AC的地址及相应的域名 AP通过DHCP从BRAS获得管理地址；AP通过地址解析（DNS）获得AC地址，并与AC建立加密隧道 AC根据用户无线报文的BSSID字段及AP位置，映射为相应的业务VLAN，不同场点可映射为不同业务VLAN AC转发用户流量到BRAS BRAS终结用户VLAN，并对用户进行地址分配、认证和计费 特点：一台AC可管理一台BRAS下同一厂家瘦AP；对现网不需要改动,AC+瘦AP组网方案之二 -旁挂BRAS(路由模式，DNS方式),AC部署位置：AC旁挂BRAS DNS服

15、务器配置：配置AC的域名及相应的地址 BRAS配置: BRAS作DHCP Server，规划一段IP地址段为AP分配公网地址/私网地址 BRAS作ACL：允许AP直接与AC建立隧道；充许AP访问DNS服务器；允许AC与AC网管平台相互访问 AP配置： AP根据规划，配置AC的域名；通过域名解析，获得AC的地址 AP与AC建立加密隧道 VLAN规划： 下联AP的交换机，配置AP的管理VLAN，终结在BRAS AC管理VLAN，由AC发起终结在BRAS 场点业务VLAN，由AC发起终结在BRAS 需规划：AP管理VLAN、AC管理VLAN、场点业务VLAN 用户终端： 由BRAS分配公网地址；由B

16、RAS负责对用户认证、分配地址和管理 用户业务流量经隧道穿过BRAS到AC，由AC集中转发到BRAS上公网,AC+瘦AP组网方案之三 -AC位于城域网（DNS方式）,BRAS2,BRAS3,BRAS1,AC,汇聚交换机,switch,switch,大型场点,瘦AP,交换机,汇聚交换机,switch,switch,大型场点,瘦AP,交换机,加密隧道,AC管理VLAN,场点VLAN,AC+瘦AP组网方案之三 -AC位于城域网(DNS方式),AC部署位置：AC位于城域网，靠近AC接入的BRAS1 DNS服务器配置：配置AC的域名及相应的地址 BRAS配置: 场点所在的BRAS2、BRAS3：作DHC

17、P Server，各规划一段IP地址段为AP分配公网地址；并作ACL，充许AP访问DNS服务器，充许AP直接与AC建立隧道 接入AC的BRAS1：作DHCP Server，负责为用户终端分配公网IP地址 AP配置： AP根据规划，配置AC的域名；通过域名解析，获得AC的地址 AP与AC建立加密隧道 VLAN规划： 下联AP的交换机，配置AP的管理VLAN，终结在场点所在的BRAS AC管理VLAN，由AC发起终结在接入AC的BRAS 场点业务VLAN，由AC发起终结在接入AC的BRAS 需规划：AP管理VLAN、AC管理VLAN、场点业务VLAN 用户终端： 由接入AC的BRAS集中进行公网地

18、址分配；由该BRAS负责对用户认证、分配地址和管理 用户业务流量经隧道穿过场点所在的BRAS、城域网到达AC，由AC集中转发到指定的BRAS集中上公网,AC冗余备份方案,1+1冗余备份 N+1冗余备份 主用+主用冗余备份 二层网络VRRP快速冗余倒换 负载均衡冗余备份,注：不同厂家AC采用的冗余备份方案不同,AC三种组网方案比较,“胖”AP与“瘦”AP组网技术对比,胖AP组网： 每个AP都是一个单独的节点 ，独立配置其信道和功率；安装简便 每个AP独立工作，较难扩展到大型、连续、协调的无线局域网和增加高级应用 每个AP都需要独立配置安全策略，如果AP数量增加，将会给网络管理、维护及升级带来较大

19、的困难 很难进行无线网络质量的优化数据的采集 瘦AP组网： 通过AC对AP群组进行自动信道分配和选择，及自动调整发射功率，降低AP之间的互干扰，提高网络动态覆盖特性 支持二层/三层漫游切换 容易实现非法AP检测和处理 管理节点上移后，运维数据采集针对AC而非AP，解决了网管系统受限于AP处理能力和性能的问题,目录,WLAN技术演进 WLAN设备状况 WLAN组网技术 无线频谱规划 传统AP（“胖”AP）组网技术 集中控制型AC+AP组网技术 WLAN Mesh组网技术 WLAN安全技术 PHS基站叠加WALN方案,WLAN Mesh技术,WLAN Mesh设备根据无线路由算法，自动选择最佳路由

20、，组成WLAN Mesh网络 当上行回传路由不可用时，将重新寻找最佳的无线回传路由，保证Mesh网络的完整性,LAN / WAN,Mesh组网技术要求,Mesh接入设备射频模块应具有无线接入与无线回传功能，并可灵活设置其工作在2.4G或5.8G频段；2.4G频点（802.11b/g）负责接入，5.8G频点（802.11a）负责回传，可选支持5.8G频点负责接入 可选支持802.11n ,提升接入或回传带宽 支持双载频调制（载频=2）或多载频调制（载频2），首选多载频调制 具备多跳无线回传能力，最大支持跳数不应超过35跳,组网原则,尽量使用有线传输方式作为AP传输，仅在无法采用有线方式或存在极大

21、困难时使用无线回传作为传输。 5.8GHz频段用作无线回传，建议采用多射频模块 良好的覆盖效果应依托网络规划和网络优化，自适应算法可以用于网络日常运行的微调优化，但不能过分依赖其自组织和恢复能力实现组网 回传信道应尽可能保证视距传播条件 Mesh网络需控制跳数，最大跳数建议不超过3-5跳 存在的问题： 设备开发先于标准，各厂家Mesh设备都不能互通 目前，Mesh设备只支持一条主用路由，不能实现负载分担 有些设备只支持双载频，一跳后带宽就急剧下降,Mesh组网应用场景,局部区域有线资源缺乏，采用混合组网模式（AC+纯瘦AP+Mesh AP）： 在有线资源丰富的区域，采用纯瘦AP布署 在有线资源

22、有限的局部区域，采用基于瘦AP的Mesh AP布署，通过有限的几个Mesh网关与AC相连 大范围内缺乏有限资源的城区、或用户密集区域（如高校），采用桥接型Mesh AP或路由型Mesh AP组网： 利用桥接型Mesh AP组网，承载业务灵活，可以根据多SSID与多VLAN映射区别不同的业务，但在组网时需要考虑广播风暴 利用路由型Mesh AP组网，承载接入业务会使组网技术复杂，需要在三层Mesh网络开通二层VPN以支持不同的接入业务，组网时不需要考虑广播风暴,技术特点,适合大面积室外组网 对于缺乏类似移动网的网络规划和优化环节的wlan大面积室外组网，目前做广覆盖只能依赖于AP具备强大的自组织

23、和自恢复特性 类似集中控制系统的零配置组网，使得运营组网变得更方便 结合RF检测和管理能力，无线mesh能比较快速对网络变化，例如覆盖空洞的修补、根节点或中继节点故障恢复等 网络5.8G无线回传信道目前较为干净，合理部署的mesh节点可以较好完成空旷区域的广覆盖 无线mesh在无线管理能力方面，融合集中控制型的优势，在安全性和可管理性上教传统胖AP有很大提高 无线mesh使得无线热点覆盖能扩展为热区覆盖,集中控制型Mesh组网拓朴图,路由型Mesh组网拓朴图,不同类型AP应用场景,室外区域部署：业务量高、AP站点密度高的区域（比如商务区域、校园、步行街、中心广场等），建议以AC+瘦AP（含ME

24、SH功能更好）组网为主；较为偏远、面积较大，或有线光纤确实难以施工的区域，且有一定业务量需求的街道、港口、矿山、化工等厂区，也可选择胖AP（含MESH功能更好）独立组网。 室内热点部署：场馆较大、用户集中的室内目标覆盖区域（会展/会议中心、酒店大的会议厅）组网建议以AC+瘦AP（2.4/5.8G双载频)信号直接延伸覆盖为主；新建的目标覆盖区域较小的室内热点（小咖啡馆、茶馆、休闲场所等），原则上优先选用胖/瘦类型可转换的AP或利旧为主。 零星场所部署：初期以利旧（现网原先部署的天翼通胖AP）为主，后期建设也可优先选用胖瘦类型可转换的AP，便于今后的信号成片联网、相互补点覆盖。 临时应急部署：在一

25、些临时、应急通信场合（临时施工工地、水利监测、污染监测、应急通信、大型演出），室外信号覆盖，建议优先选择多载频胖AP（含MESH功能更好）组网，室内信号覆盖建议优先选择AC+瘦AP（含MESH功能更好）组网。,目录,WLAN技术演进 WLAN设备状况 WLAN组网技术 WLAN安全技术 PHS基站叠加WALN方案,WLAN网络安全,无线局域网（WLAN）特点 优点：安装便捷、使用灵活、经济节约、易于扩展 缺点：无线信道开放，安全性隐患 WLAN主要的安全隐患 未经授权使用网络服务 地址欺骗和会话拦截（中间人攻击） 高级入侵（企业网）,802.11i技术介绍,802.11i协议的核心内容包括：

26、基于802.1x进行身份认证 基于TKIP、CCMP等加密算法实现数据加密 基于4次握手实现用户会话密钥的动态协商 WiFi联盟参考802.11i草案的子集，制定了WPA（Wi-Fi Protected Access）规范。WPA核心内容包括了： 基于802.1x进行身份认证 基于PSK（Pre-Shared Key）进行身份认证 基于TKIP实现数据加密 基于4次握手实现用户会话密钥的动态协商 完整的802.11i支持则称为WPA2，主要增加了AES-CCM加密算法支持等。,WAPI技术介绍,中国在无线局域网国家标准GB15629.11-2003中提出了WAPI机制来实现无线局域网的安全。

27、WAPI协议的核心内容： WAI（无线局域网鉴别基础结构）： 确定安全策略； 完成双向鉴别（包括：基于证书；预共享密钥两种形式）； 单播和组播密钥协商。 WPI（无线局域网保密基础结构）：主要解决所有已知的WEP问题,WAPI和802.11i的技术比较,两者的协议流程结构基本是一致的，涉及的各个实体也仅仅是命名上不同。 两者的主要区别： 用户鉴别 一般安全体制只能实现WLAN设备对无线客户端的单向鉴别 802.11i和WAPI都支持数字证书形式认证，可以实现WLAN接入设备和无线客户端的双向鉴别。 在WAPI安全体制下，实现的是三元组认证，即WLAN接入设备和AS是独立的两个实体，AS作为公信的第三方，需同时鉴别WLAN接入设备和无线客户端的合法性 在802.11i安全机制下，无线客户端无法区分WLAN接入设备和AS / AAA Server 鉴别协议 在WAPI中，特别保证了鉴别信息的完整性； 在IEEE 802.11i等