无线AP技术文档.docx

无线AP技术文档.docx

《无线AP技术文档.docx》由会员分享，可在线阅读，更多相关《无线AP技术文档.docx（28页珍藏版）》请在冰点文库上搜索。

无线AP技术文档

无线 AP 技术文档

WLAN和GPRS有什么区别

在回答这个问题前，先让我们了解一下什么是GPRS。

GPRS是在现有的GSM系统上发展出来的一种新的分组数据承载业务。

GPRS与现有的GSM语音系统最根本的区别是，GSM是一种电路交换系统，而GPRS是一种分组交换系统。

GPRS是长期在线的，但GPRS每载频最高能提供107kbit/s的接入速率，属于窄带接入范畴。

WLAN也是长期在线的，其最基本的802.11b标准可达11Mbps，绝对属宽带范畴，如果是54M的无线网络，其速率将会更高。

如果用运输工具来作一个形象的比喻，将GPRS比作汽车，WLAN就是飞机了。

因为当然，因为GPRS在构建在GSM基础上的，因此其单点有效覆盖范围远比WLAN的AP覆盖范围要大。

但随着宽带运营商无线“热点”的安装越来越多，WLAN会得到越来越广泛的运用

无线网络中的SSID是什么

在每一个AP（AccessPoint）内都会设置一个服务区域认证ID，每当无线终端设备要连上AP时无线工作站必需出示正确的SSID（ServiceSetIdentifier,服务设置标志号），与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝他通过本服务区上网。

利用SSID，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题，因此可以认为SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全。

通常情况下SSID是广播公布的，以方便网络用户使用，但是如果我们隐藏了SSID，那么只有事先知道SSID的指定用户才能连上，不知道SSID的其他非指定用户就无法连入这个无线网络，正如黑客如果不知道我们的IP地址，是没有办法对我们进行攻击一样。

倘若黑客知道了SSID，即使XX，也很容易使用你的无线服务。

对于部署的每个无线访问点而言，你要选择很难猜中的SSID，并且禁止通过天线向外广播SSID。

这样网络仍可使用，但不会出现在可用网络列表上。

用户只有输入了SSID后才能连接，而节点的SSID在管理无线网络时可以随意更改的，因此此方法在不损失传输速度的同时也起到了“加密”的作用，有效的防止了未授权用户的入侵。

如何构建一个基于802.11g的无线网络

构建一个无线网络需要无线接入点和无线终端适配器。

无线接入点用来连接无线网络客户端和标准有线以太网络。

多个无线接入点同时使用可以延伸无线网络的覆盖范围。

安装有基于802.11g的无线适配器或者802.11b无线适配器的笔记本电脑可以通过无线接入点（AP）连接到无线网络。

只要在办公室里安装一个无线接入点，人们可以携带着安装有无线终端的笔记本电脑在办公室或办公楼中任意行走，一边工作一边接收邮件，尽情享受无线网络给用户带来的方便。

但美国网件建议使用802.11g版本的网卡使网络得到优化NETGEAR生产支持802.11g适配器和网卡如下

∙WG511802.11g54MbpsPC卡

∙WG511T802.11g108MbpsPC卡

∙WG311802.11g54MbpsPCI网卡

∙WG311T802.11g108MbpsPCI网卡

∙WG111802.11g54MbpsUSB适配器

∙WAG511802.11a/b/g108MbpsDualBandPC卡

WAG311802.11a/b/g108MbpsDualBandPCI适配器

无线网络排错

无关条件：

∙设备从未正确地安装

∙即使物理线路是连接好的，但是没有连接到Internet

∙你能够访问部分Internet程序，部分不能访问

∙你的线路有时会断开（Internet线路不断地掉线）

∙LEDs灯不正常显示（电源灯不亮，测试灯不灭，端口灯不能正常显示）。

参考状态灯手册。

1．下载和安装最新版本的软件，固件。

2．每个无线设备必须有相同的设置。

o新的的设备可能需要更改它的SSID，更改默认的”wireless”为”NETGEAR”，更改时要注意的是SSID是区分大小写的。

o无线信号的频道有1到11可用。

o无线模式必须设置为点到点或基层模式。

o你能够使用下列的加密选项

▪不进行加密

▪用WEP加密

▪用WPA-PSK加密

▪用WPA加密

▪一些设备可以使用VPN

o打开无线接入点功能

o如果默认关闭的访问控制列表是被打开的，就要检查无线适配器的MAC地址是否在路由器的访问列表里面

3．配置路由器时：

∙用户名必须是完整的用户名。

例如：

用户名是”smartsue@”,而不是”smartsue”

∙更改完成后需点击“应用”

4．如果信号指示灯是红色的，请查看如何改善无线连接，除了红色以外的指示都是正常的。

5．如果你开启了WEP加密，先关闭它。

如果问题仍然存在，再次打开WEP加密，查看如何改善无线连接

6．在Windows98和Windows95的设备管理器中查找检查NETGEAR的设备是否有黄色感叹号的标识。

按指示查看是否与Windows系统IRQ发生冲突，如果发生冲突，必须先解决冲突问题。

企业级 AP 中 802.1x 协议的应用

一、802.1x端口认证原理

为什么需要IEEE802.1x？

随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。

IEEE802.1x协议具有完备的用户认证、管理功能，可以很好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大的优势。

IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的瓶颈问题，更加适合在宽带以太网中的使用。

IEEE802.1x是IEEE在2001年6月通过的基于端口访问控制的接入管理协议标。

IEEE802系列LAN标准是目前居于主导地位的局域网络标准，传统的IEEE802协议定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如传统的LanSwitch，用户就可以访问局域网中的设备或资源，这是一个安全隐患。

对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还存在计费的需求。

因此，802.1x产生了。

IEEE802.1x是一种基于端口的网络接入控制技术，在LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LanSwitch设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，则无法访问LAN内的资源，相当于物理上断开连接。

下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。

1．IEEE802.1x体系介绍

虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：

LanSwitch的一个物理端口仅连接一个EndStation，这是基于物理端口的；IEEE802.11定义的无线LAN接入方式是基于逻辑端口的。

图1IEEE802.1x的体系结构

IEEE802.1x的体系结构中包括三个部分：

SupplicantSystem，用户接入设备；AuthenticatorSystem，接入控制单元；AuthenticationSeverSystem，认证服务器。

在用户接入层设备（如LanSwitch）实现IEEE802.1x的认证系统部分，即Authenticator；IEEE802.1x的客户端一般安装在用户PC中，典型的为WindowsXP操作系统自带的客户端，或其他第三方的免费802.1x客户端；认证服务器系统一般驻留在运营商的AAA中心。

Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议；Authenticator与AuthenticationSever间同样运行EAP协议，EAP帧中封装了认证数据，将该协议承载在其他高层次协议中，如Radius，以便穿越复杂的网络到达认证服务器。

Authenticator每个物理端口内部有受控端口（ControlledPort）和非受控端口（unControlledPort）等逻辑划分。

非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证随时接收Supplicant发出的认证EAPOL报文。

受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。

受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。

输入受控方式应用在需要桌面管理的场合，例如管理员远程唤醒一台计算机（supplicant）。

2．IEEE802.1x认证过程简介

利用IEEE802.1x可以进行身份验证，如果计算机要求在不管用户是否登录网络的情况下都访问网络资源，可以指定计算机是否尝试访问该网络的身份验证。

以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证的基本方法。

如果没有有效的身份验证密钥，AP会禁止所有的网络流量通过。

1.当一个移动节点（申请者）进入一个无线AP认证者的覆盖范围时，无线AP会向移动节点发出一个问询。

2.在受到来自AP的问询之后，移动节点做出响应，告知自己的身份。

3.AP将移动节点的身份转发给RADIUS身份验证服务器，以便启动身份验证服务。

4.RADIUS服务器请求移动节点发送它的凭据，并且指定确认移动节点身份所需凭据的类型。

5.移动节点将它的凭据发送给RADIUS。

6.在对移动节点凭据的有效性进行了确认之后，RADIUS服务器将身份验证密钥发送给AP。

该身份验证密钥将被加密，只有AP能够读出该密钥。

（在移动节点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传递，因为移动节点不能直接与RADIUS服务器建立联系。

AP不允许STA移动节点通过“受控制”端口传送数据，因为它还没有经过身份验证。

）

7.AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输--特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。

全局身份验证密钥必须被加密。

这要求所使用的EAP方法必须能够生成一个加密密钥，这也是身份验证过程的一个组成部分。

传输层安全TLS（TransportLevelSecurity）协议提供了两点间的相互身份验证、完整性保护、密钥对协商以及密钥交换。

我们可以使用EAP-TLS在EAP内部提供TLS机制。

移动节点可被要求周期性地重新认证以保持一定的安全级。

3．IEEE802.1x的特点

3.1协议实现简单

IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。

3.2认证和业务分离

IEEE802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由Radius服务器和以太网交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换；所以通过认证之后的数据包是无需封装的纯数据包。

认证系统简化了PPPOE方式中对每个数据包进行拆包和封装等繁琐的工作，所以802.1x封装效率高，消除了网络瓶颈；同时，由于IEEE802.1x认证包采用了在不可控通道中的独立处理的方式，因此认证处理容量可以很大，远远高于传统的BAS，无需购买昂贵设备，降低了建网成本。

3.3和其他认证方式的比较：

IEEE802.1x协议虽然源于IEEE802.11无线以太网（EAPOW），但是，它在以太网中的引入，解决了传统的PPPOE和WEB/PORTAL认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本。

众所周知，PPPOE是从基于ATM的窄带网引入到宽带以太网的，由此可以看出，PPPOE并不是为宽带以太网量身定做的认证技术，将其应用于宽带以太网，必然会有其局限性，虽然其方式较灵活，在窄带网中有较丰富的应用经验，但是，它的封装方式，也造成了宽带以太网的种种问题。

在PPPOE认证中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度必然跟不上，成为了网络瓶颈；其次这样大量的拆包封包过程必须由一个功能强劲同时价格昂贵的设备来完成，这个设备就是我们传统的BAS，每个用户发出的每个数据包BAS必须进行拆包识别和封装转发；为了解决瓶颈问题，厂商想出了提高BAS性能，或者采用大量分布式BAS等方式来解决问题，但是BAS的功能就决定了它是一个昂贵的设备，这样一来建设成本就会越来越高。

WEB/PORTAL认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，就用户来说较为方便。

但是由于WEB认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7层做认证，这首先不符合网络逻辑。

其次由于认证走的是7层协议，对设备必然提出更高要求，增加了建网成本。

第三，WEB是在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的DHCP对用户而言是完全裸露的，容易造成被恶意攻击，一旦受攻击瘫痪，整网就没法认证；为了解决易受攻击问题，就必须加装一个防火墙，这样一来又大大增加了建网成本。

WEB/PORTAL认证用户连接性差，不容易检测用户离线，基于时间的计费较难实现；用户在访问网络前，不管是TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证，易用性不够好；而且认证前后业务流和数据流无法区分。

所以，在以太网中，WEB/PORTAL认证目前只是限于在酒店,校园等网络环境中使用。

二、设置环境

硬件平台为：

WG102

本文基于软件版本：

4.0.16

802.1x客户端：

安腾802.1x客户端

Radius服务器：

WinRadiusv2.25

三、连接结构图：

 四、设置步骤：

第一步：

为AP设置无线网络所在的地区和IP地址，并设置所在时区，如下图所示：

注：

192.168.1.1为路由器的局域网口IP地址，DNS地址可填上ISP服务商对应的地址。

第二步：

设置802.1x相关参数，如Radius认证/计费服务器地址和端口号，具体设置如下图所示：

注：

此实验中Radius认证/计费服务器IP地址为192.168.1.112，端口号分别为1812和1813，SharedSecret为netgear。

第三步：

设置AP所使用的安全认证方式，如下图所示：

点击Security主菜单下的SecurityProfileSettings，在选择第一个Profile后点击Edit按钮，如下图所示：

填上所需的SSID，NetworkAuthentication设置为Legacy802.1X，DataEncryption设置为None

至此，AP部分已经设置好，下面将配置认证服务器。

第四步：

配置认证服务器

认证服务器IP设置如下图所示：

认证服务器上Radius服务器软件配置，此例中使用WinRadiusv2.25，配置界面如下图所示：

WinRadius需要配置帐号、认证/计费端口号和密钥：

1．点击“操作”菜单中的“添加帐号”可以添加帐号，如本例中添加帐号名为terry的帐号，如下图所示：

2．点击“设置”菜单下面的“系统”设置认证/计费端口号和密钥，如下图所示：

注：

NAS密钥跟AP配置里的SharedSecret必须一致，认证端口和计费端口分别也对应APRadiusServerSettings里的认证端口

和计费端口。

第五步：

配置802.1x客户端

说明：

XP自带的连接工具无法支持基于MD5的802.1x认证，所以此例中使用安腾的802.1xclient连接程序。

1．开启802.1x客户端。

2．点击上图中“属性”设置认证方式和选择需要的无线网络名称，如下图所示：

3．点击上图中“选择接入点”按钮，出现以下所示界面，选择所连接的SSID后再点击“确定”按钮。

4．在用户名和密码框中分别输入terry和terry后，点击“连接”按钮，即连接成功，通过认证后将出现以下界面：

设置无线安全信息

WG103支持6种无线安全类型，包括明文、WEP、802.1x、WPA、WPA2和WPA+WPA2。

具体所使用的网络验证和数据加密如下：

无线安全

网络验证

数据加密

明文

OpenSystem

None

WEP

OpenSystem

64/128/152bitWEP

SharedKey

802.1x

Legacy802.1x

None

WPA

PSK

TKIP/TKIP+AES

Radius

WPA2

PSK

AES/TKIP+AES

Radius

WPA+WPA2

PSK

TKIP+AES

Radius

要设置WG103的无线安全，先登陆到设备的管理界面，进入到Configuration---Security页面，并在左边菜单栏中点击ProfileSettings：

选择相应的Profile，然后点击Edit进行编辑。

1、设置明文方式

设置为明文方式时，接入到无线网络无需认证也不对数据传输进行加密，容易导致非法侵入和窃听，存在安全风险。

∙NetworkAuthentication选择OpenSystem，DataEncryption选择None：

∙点击Apply应用并完成配置

2、设置WEP加密方式

WEP是用来保护无线数据通信安全的一种加密机制，可使用64/128/152位密钥为传输的数据加密。

接入认证的工作模式有OpenSystem和SharedKey两种。

2.1使用OpenSystem时，无线客户端接入无需认证，直接输入安全密钥即可；

∙NetworkAuthentication选择OpenSystem，DataEncryption选择64bitWEP/128bitWEP/152bitWEP。

密钥长度越长，安全性能越高：

∙可在Passphrase里输入密码短语，然后点击GenerateKeys生成4个密钥Key1-Key4：

∙由于生成的密钥不规律，为了方便记忆可在Key1-Key4中选择其中一个手动填入十六进制数作为密钥：

∙点击Apply应用并完成配置

2.2使用SharedKey时，无线客户端先经过无线设备认证，然后使用一致的密钥接入网络；

∙在NetworkAuthentication选择SharedKey，DataEncryption选择64bitWEP/128bitWEP/152bitWEP。

密钥长度越长，安全性能越高：

∙可在Passphrase里输入密码短语，然后点击GenerateKeys生成4个密钥Key1-Key4：

∙由于生成的密钥不规律，为了方便记忆可在Key1-Key4中选择其中一个手动填入十六进制数作为密钥：

∙点击Apply应用并完成配置

3、设置802.1x认证安全方式

802.1x协议定义了基于端口的访问控制接入，具有完备的用户认证、管理功能，可以很好地支撑宽带网络的安全、计费、运营和管理的要求。

∙首先在Advanced---RadiusServerSettings里设置Radius服务器的信息，包括Radius认证服务器的IP地址，认证端口和共享密钥：

∙在NetworkAuthentication选择Legacy802.1x，DataEncryption选择None：

∙点击Apply应用并完成配置

4、设置WPA/WPA2/WPA+WPA2加密方式

WPA是基于802.11i标准的WLAN安全方式，在保护WLAN用户数据的同时，只有授权的无线客户端才能接入到网络。

WPA的安全性优于WEP加密。

WPA2时WPA加密的第二版。

WPA加密的网络认证包括PSK和Radius两种方式，数据加密包括TKIP、AES和TKIP+AES三种加密算法。

用户可根据需要进行选择。

4.1使用PSK安全模式时，用户需手动配置密钥，无线客户端也需要相同的密钥才能验证通过并接入无线网络；

∙NetworkAuthentication选择WPA-PSK，DataEncryption选择TKIP/TKIP+AES，并在WPAPassphrase（NetworkKey）里边输入无线密钥：

∙NetworkAuthentication选择WPA2-PSK，DataEncryption选择AES/TKIP+AES，并在WPAPassphrase（NetworkKey）里边输入无线密钥：

∙NetworkAuthentication选择WPA-PSK&WPA2-PSK，DataEncryption选择TKIP+AES，并在WPAPassphrase（NetworkKey）里边输入无线密钥：

∙点击Apply应用并完成配置

4.2使用Radius安全模式时，用户不需手动配置密钥，但需配置Radius认证服务器来对无线客户端的接入进行验证；

∙首先在Advanced——RadiusServerSettings里设置Radius服务器的信息，包括Radius认证服务器的IP地址，认证端口和共享密钥：

∙NetworkAuthentication选择WPAwithRadius，DataEncryption选择TKIP/TKIP+AES：

∙NetworkAuthentication选择WPA2withRadius，DataEncryption选择AES/TKIP+AES：

∙NetworkAuthentication选择WPA&WPA2withRadius，DataEncryption选择TKIP+AES：

∙点击Apply应用并完成配置

默认情况下只启用了Profile1，如想启用其他安全概况需把Enable选项框的勾打上：