基于控制器的AP架构(瘦AP) 传统的独立AP架构(胖AP) CAPWAP control and provisioning of wireless access points,用于AP与AC之间的通信。该协议包含的内容:AP对AC的自动发现及AP&AC状态机运行维护,AC对AP进行管理,业务配置下发,STA数据封装CAPWAP隧道进行转发 CAPWAP报文格式:UDP5246控制报文(密文),UDP5247数据报文(明文) 直连,旁挂和敏捷分布式WLAN布局方式。 管理VLAN用来传送AC与AP之间的管理数据,业务VLAN用来传送WLAN用户上网时的数据,用户VLAN是基于用户权限的VLAN 创建AP组:AC进入WLAN视图模式,然后ap-group name ap-group1 配置AC的源接口(与AP建隧道):在系统模式下,capwap source interface vlanif vlan-id或者capwap source ip-address ip-address 射频调优:AC对AP进行射频调整,以使其达到优化的目的 WLAN WDS无线分布式系统是指AP之间通过无线链路连接两个或多个独立的局域网(有线和无线局域网),组建一个互通的网络来实现数据传输。 WLAN Mesh:无线Mesh网络是指利用无线链路将多个AP连接起来,并最终通过一个 或、两个Portal节点接入有线网络的一种星型动态自组织自配置的无线网路。 双机热备份(双链路热备份,VRRP热备份)双机热备份有两种基本方式:主备方式和负载分担方式 冷备份(双链路备份,N+1备份) WLAN漫游是指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为。主要解决:避免漫游过程中的认证时间过长导致丢包甚至业务中断,保证用户授权信息不变,保证用户IP地址不变 无线干扰检测系统WIDS 无线干扰防御系统WIPS 边界安全威胁:非法攻击(暴力PSK密码破解,泛洪攻击,SPOOF攻击,Weak IV攻击) AP工作在监测模式时进行信道扫描,侦听周边无线设备发送的802.11帧,根据802.11MAC帧类型是被出无线设备类型,根据非法AP&客户端检测识别出Rogue设备(rogue AP,rogue Client,Ad hoc终端,无线网桥) WEP有线等效加密,采用RC4算法,算法易被破解,采用静态密钥分发维护困难,配置开放认证后,无线用户不经认证即可接入,WEP开放认证+Web portal认证可以使用于访客接入场景,其他场景不再推荐使用WEP协议。 WPA/WPA2支持PSK认证或EAP认证支持TKIP或CCMP加密 首选WPA2。使用PSK认证,无需AAA服务器。使用EAP认证需要AAA服务器,安全性高支持PEAP,EAP0TLS等扩展认证适合大中型企业。 Portal认证也叫Web认证,客户端使用浏览器填入用户名密码信息,页面提交后,由Web服务器和设备配合完成用户的认证 WLAN认证方式:开放认证,MAC认证,Portal认证,PSK认证,802.1x认证 WLAN安全加密方式:WEP加密,TKIP加密,CCMP加密 TKIP:临时密钥完整性协议temporal key integrity protocol,将IV从24位增加到48位减少IV重用,增加Key的生成管理以及传递的机制,使用Michael来实现MIC(message integrity code)