中太数据运营商WLAN网络解读.pptVIP

防止无线Sniffer攻击 无线Sniffer攻击是在被攻击者上网时，通过具备抓包功能的无线网卡侦听被攻击者的全部网络数据包，从而得到被攻击者的上网密码、邮件密码、MSN密码或者可以复原被攻击者的IM对话以及正在阅读的网页。 对于公共运营方式提供的WLAN服务来说，只要是采用PSK模式的运营方式都无法防止此类攻击。由于PSK模式采用预计密码，而由于公共运营的需要，预设密码必须是众所周知或不设密码，因此，无法防止此类攻击。 采用SIM-WLAN方式上网由于采用Challenge方式，可以防止攻击者得到被攻击者的上网密码，但仍不能防止攻击者取得被攻击者的邮件密码、MSN会话等信息。 采用WAPI方式提供服务可以防止无线Sniffer攻击。 网络安全－对用户的攻击 PSK是指PreShare Key（预设密钥）的加密模式 采用PSK的主要加密方式为WEP、WPA以及WPA2 在PSK模式下，面向公众运营时，运营商需要向用户公布所预先设定的Key的值。 对采用静态PSK模式的WEP模式，由于PSK为公开信息，通过Sniffer可以直接看到其它用户的所有网络流量的明文数据。 网络安全－PSK模式介绍 对于WPA或WPA2中的PSK的模式，由于中间增加了动态会话密码的模式，使用将侦听的密文转换为明文有了一点障碍，但由于Key是公开的，攻击者只要在会话密钥协商时开始侦听，一样可以简单的得到全部的被攻击者的流量数据的明文，而无需采用任何其它攻击手段。即使不能在会话协商前开始侦听，只要通过注入攻击模式，引导STA主动下线后重新开始会话密钥协商过程，则同样可以简单地得到被攻击者的全部流量数据的明文。 当然，上述讨论主要的针对公开运营的PSK模式的WLAN网络，如果不公开运营，WPA、WPA2还是可以提供部分的安全保护能力的。 网络安全－PSK模式介绍（续） 培训内容 运营商WLAN业务开展情况概述 运营商WLAN网络的构成 设计运营商WLAN网络 常见技术问题详解 AP零配置：CAPWAP二层AC发现 1.AP接入网络中任意网口后， 开始receives DHCP（使用option 43规定AC地址）。 2.AP取得AC地址后，主动发起与AC的认证连接。 3.AC对AP进行验证后，与AP建立连接。 4.AP获得配置信息。 5.终端正常访问网络。 DHCP Sever Internet AP零配置：CAPWAP三层AC发现 1.AP接入网络中任意网口后,根据事先配置好的域名向DNS服务器提起解析请求。 2.AP取得AC地址后，主动发起与AC的认证连接。 3.AC对AP进行验证后，与AP建立连接。 4.AP获得配置信息。 5.终端正常访问网络。 在三层组网中，也可以使用DHCP的方式完成零配置，但需要所有开启DHCP Relay的设备都支持Option43，并保证AP可以正确获得Option43的值。 DNS Sever L2/L3 Internet RF射频管理 信道冲突 AP负载均衡 2 3 1 Keep Live AC备份切换 2/3层网络 2/3层网络 1+1备份 N+1备份 VRRP QA 谢谢！ 安宏亮中太数据通信有限公司 WWW.ZOOMTECH.COM.CN * * * * * 增加校园（宿舍及图书馆） 公共图书馆 * 颜色格式调一下，和前面匹配 * * * 表格都移到上面 * * * * * * * * * * * AC会根据AP收集上来的射频信息自动调整AP的信道和功率。 * 当AP1上负载过高时，AC会根据周围AP的负载情况，将信号重叠区的用户对AP1的连接请求拒绝掉，迫使客户端选择周围负载较低的其它AP。 * * WLAN技术本身对VOIP的限制（2） 功耗问题 CSMA/CA是比通常的GSM\WCDMA耗能的访问机制，这是因为如果有数据包需要发送或接收，WLAN移动台必须始终保持在唤醒状态。 安全性问题 目前的WLAN运营业务都是通过OPEN方式接入的，对于语音业务存在一定的安全性问题 移动性管理问题 如果VoWLAN手机不断移动，则会导致节点间的频繁切换。这需要考虑两个问题：一是保证终端IP地址不变，二是时延问题 在企业网内部，较易通过网络设置保持终端IP地址不变。对于运营运营网络，由于目前WLAN也只是区域覆盖，保持终端IP地址不变，在系统一侧的问题也不大。但关键是终端层面的支持，直接决定了业务的保持能力。但目前终端在这方面的处理能力有很大的差异性。 对于VoIP，语音分组时延的推荐标准是低于50ms，如果某个分组的时延超过了200ms，则认为该分组丢失。也就是说，VoWLAN手机从一个接入点移动到另一个接入点，其分组时延必须控制在50ms内。但对于采用了安全接入方式的 设备而