WLAN及WiMAX介绍-2.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 无线交换机和FIT AP的功能 无线交换机+Fit AP系统构成特点 主要由无线交换机和Fit AP在有线网的基础上构成的。 AP零配置，硬件主要由CPU＋内存＋RF构成，配置和软件都要从无线交换机上下载。所有AP和无线客户端的管理都在无线交换机上完成。 AP和无线交换机之间的流量被私有协议加密；无线客户端的MAC只出现在无线交换机端口，而不会出现在AP的端口。 可以在任何现有的二层或三层LAN 拓扑上部署H3C的通用无线解决方 案，而无需重新配置主干或硬件。无线交换机以及管理型接入点AP可 以位于网络中的任何位置。 无线交换机和FIT AP的典型连接 AP直连或通过二层网络连接时的注册流程 AP通过三层网络连接时的注册流程_option 43方式 AP通过三层网络连接时的注册流程_DNS方式 无线交换机的数据转发原理 无线交换机和AP间数据转发的核心思想 在无线交换机和AP之间建立IPinIP隧道，无线交换机将这些隧道看做虚拟物理端口； 无线客户端STA的任何数据报文都将由AP通过IPinIP隧道交给无线交换机，由无线交换机统一转发； 无线交换机从IPinIP隧道接收到用户的数据后先解隧道封装，然后做数据交换，如果出接口为隧道则对数据报文再次加上隧道封装，直到交换到最远端。 胖瘦对比 胖瘦对比 WLAN Mesh技术 Mesh组网技术要求 组网原则 Mesh组网的应用场景 技术特点 集中控制型Mesh组网拓扑图 路由型Mesh组网拓扑图 不同类型AP应用场景 主要无线技术指标 功率计量单位：dB,dbm,dbw 天线的工作频率 天线的方向性——全向天线 天线的方向性——定向天线 天线增益 波束宽度 * * * 广东邮电职业技术学院 * 广东邮电职业技术学院 * * 广东邮电职业技术学院 * * 广东邮电职业技术学院 问题 * * 广东邮电职业技术学院 * 802.1X认证流程（下页图） 申请者发起认证请求给AP AP发出请求帧给申请者要求用户名 申请者将用户名通过数据帧给AP,AP封包处理后转给认证服务器 认证服务器找到用户名对应的口号信息，用随机生成的加密字对口号进行加密，同时将加密字通过AP传给申请者 客户端用加密字对口号进行加密，通过AP转给认证服务器 认证服务器对两个加密后的口令信息进行对比，如果相同就认为是合法用户，反馈认证通过的信息，并向AP发出打开端口的指令，容许申请者通过端口访问网络 WAPI WAPI是WLAN authentication and privacy infrastructure （无线局域网络鉴别与保密基础构架）的英文缩写。 WAPI 是我国自主研发的，拥有自主知识产权的无线局域网安全技术标准。 2003.12.01，质检总局、认监委发布[2003]第113号公告，宣布对无线局域网产品实施强制性产品认证（WAPI认证）。 2004年6月1日宣布将延期强制实施WAPI标准。 WAPI 技术背景：“合法用户接入合法网络” 基于三元结构和对等鉴别的访问控制方法 可普遍适用于无线、有线网络 WAPI目的——合法用户接入合法网络” 用户 网络 WAPI—三元安全架构 WEP WEP/TKIP、802.1x+EAP(802.11i) WAPI 二元安全架构对应 二物理实体 单向鉴别 无法保证安全 三元安全架构对应三物理实体 AP有独立身份 完整双向认证 有效保证安全 “元”在网络安全接入领域指具有认证功能的功能体 二元安全架构对应 三物理实体 AP无独立身份， 易被攻击 仍无法保证安全 WLAN各种安全技术对比 ? ? WEP 802.1x IEEE802.11i WAPI 认证 特征 ＊单向认证 ＊共享密钥认证 ＊单向认证 ＊AP和RADIUS手工共享密钥 ＊无线用户和RADIUS服务器的认证＊双向认证＊无线用户身份通常为用户名和口令 ＊无线用户和无线接入点的认证＊双向认证＊身份凭证为公钥数字证书 性能 ＊认证简单 ＊认证简单 ＊认证过程复杂＊RADIUS服务器不易扩充 ＊认证过程简单＊客户端可以支持多证书，方便用户多处使用，充分保证其漫游功能＊认证服务器单元易于扩充，支持用户的异地接入 安全漏洞 ＊鉴别易于伪造降低了总安全性 ＊认证协议存在缺陷 ＊用户身份凭证简单，易被盗取，且被盗取后可任意使用＊共享密钥管理存在安全隐患 无 算法 ＊共享密钥认证 EAP EAP(可扩展认证协议,Extensible Authentication Protocol) 192/22