一、WLAN安全
二、無線設備檢測流程
[AC-wlan-view]air-scan-profile name air-scan #創建空口掃描模板
[AC-wlan-air-scan-prof-air-scan]scan-channel-set country-channel #配置空口掃描信道集合
[AC-wlan-air-scan-prof-air-scan]scan-interval 60000 #配置空口掃描間隔時間60000ms(可選)
[AC-wlan-air-scan-prof-air-scan]scan-period 60 #配置空口掃描持續時間60ms(可選)
[AC-wlan-air-scan-prof-air-scan]quit
[AC-wlan-view]radio-5g-profile name 5G
[AC-wlan-radio-5g-prof-5G]air-scan-profile air-scan
[AC-wlan-view]wids-profile name WIDS
[AC-wlan-wids-prof-WIDS]contain-mode spoof-ssid-ap
[AC-wlan-wids-prof-WIDS]device report-interval 300 #配置上報檢測的無線設備的間隔時間爲300s
[AC-wlan-wids-prof-WIDS]device synchronization-interval 360 #配置上報全量檢測的無線設備的間隔時間360分鐘
[AC-wlan-wids-prof-WIDS]brute-force-detect interval 70 檢測週期70s
[AC-wlan-wids-prof-WIDS]brute-force-detect threshold 25 錯誤次數爲25次
[AC-wlan-wids-prof-WIDS]brute-force-detect quiet-time 700 靜默時間爲700s
[AC-wlan-wids-prof-WIDS]flood-detect interval 70
[AC-wlan-wids-prof-WIDS]flood-detect threshold 350
[AC-wlan-wids-prof-WIDS]flood-detect quiet-time 700
[AC-wlan-wids-prof-WIDS]dynamic-blacklist enable 開啓動態黑名單
[AC-wlan-wids-prof-WIDS]quit
[AC-wlan-view]ap-system-profile name ap-system
[AC-wlan-ap-system-prof-ap-system]dynamic-blacklist aging-time 200
[AC-wlan-ap-system-prof-ap-system]quit
[AC-wlan-view]wids-spoof-profile name wids-spoof
[AC-wlan-wids-spoof-prof-wids-spoof]spoof-ssid fuzzy-match regex
[AC-wlan-wids-spoof-prof-wids-spoof]quit
[AC-wlan-view] ap-group name office-group
[AC-wlan-ap-group-office-group]vap-profile VAP wlan 1 radio all
[AC-wlan-ap-group-office-group]wids-profile WIDS
[AC-wlan-ap-group-office-group]ap-system-profile ap-system
[AC-wlan-ap-group-office-group]radio 0
[AC-wlan-group-radio-group/0]wids device detect enable #開啓設備檢測
[AC-wlan-group-radio-group/0]wids contain enable 開啓非法設備反制工勘
[AC-wlan-group-radio-group/0]wids attack detect enable wap2-psk 檢測暴力破解密鑰
[AC-wlan-group-radio-group/0]wids attack detect enable flood 檢測泛洪***
有線爲單獨管理、無線爲集中管理
AP 5030雙GE口GE0支持POE、GE1不支持POE
AP 5130雙GE口GE0支持POE、GE1不支持POE
AP 7030雙GE口GE0支持POE、GE1不支持POE
交換機命名規則:
S5720S-52P-SI-AC ,S5720-52X-PWR-SI-ACF; (S5700)
S代表園區
7代表企業級
20代表下一代
20雙電源,20S代表單電源(支持RPS冗餘,主要面向分銷);
X代表萬兆上行(4個萬兆SFP+ ),P代表千兆上行(4個千兆SFP)
PWR代表POE款型;
ACF-PoE+滿供款型
DC代表直流電,特殊行業中應用
TP代表光電覆用
C代表可選配
Q代表40Gb
Li代表簡化版
Si代表標準版
Ei代表增強版
Hi代表高級版
27,37,57,97是企業級設備(中的7代表企業級)
23,33,53,93是運營商級設備(中的3代表運營商級)
產品是分銷機型價格會稍低一些,類似於促銷(帶S,也有原廠質保1年)
S5720SI的Combo口不支持堆疊
S5720SI堆疊時,同一臺設備上的堆疊成員口,要麼全部是SFP+/SFP口、要麼全部是標準以太電口
概要設計(規劃工程師)
需要澄清Checklist、工勘信息、產品型號,WLAN Planner工具
規劃報告和AP清單:主要包括AP點位、AP功率、信道、天線的基本工參和信號仿真
一個項目涉及到多個AP應該採用工具來規劃網絡(一般採購設備要預留10%,備用,預算成本是否相差太大)
售後工勘(服務工程師、客戶、建築商、集成商)
要求澄清Checklist、概要設計、和集成商一起確定安裝點、每個點走線和安裝方案
工勘信息:具體的安裝方案、走線方案
詳細設計(服務工程師、客戶、建築商、集成商)
需要澄清Checklist、概要設計、售後工勘信息
詳細設計報告主要涉及安裝、網絡配置、安全配置、業務配置等
確認現場建築圖紙是否一致,不一致區域重點標出,儘量拍照記錄、標出房間號、障礙物關注重點
部署(網絡規劃工程師、施工方)
施工部署、現場督導(最好參與一下,是否按照設計來施工,過程中有什麼問題等,可能影響後續網絡質量產生影響)
AP網口向下以免滲水到網口裏
運維(IT運維人員)
主要針對wlan設備以及交換機等網絡設備的管理,包括狀態監控告警查看等
優化
網絡信息收集(服務工程師、客戶)
客戶需求,網絡問題
需求澄清報告:包括網絡拓撲、建築物圖紙、設備型號等
網絡評估(服務工程師)
需求澄清報告、WLAN Tester工具
AP容量規劃
網絡現狀分析報告
WLAN的數據轉發工作原理
CSMA/CA:載波監聽多路訪問/衝突避免(因爲無線工作在半雙工模式下,同一個區域內同一時刻,只能一個設備發包)避免同頻信號重疊導致無法調解
CSMA/CD:載波監聽多路訪問/衝突檢測(以太網)
設備標稱功率爲100mW,指天線在芯片中100mW的能量,一但進入空中擴散就會被稀釋掉,再導線裏傳輸爲正值,進去空氣爲負值,無線的功率單位爲dBm,dB分貝它只是計數單位
建議單個AP覆蓋半徑按照20米規劃,最大發射強度的限制值,單位爲dBm
1、重點區域:用戶主要上網區域控制在-40~-65dBm,功率太強容易導致接收過載,功率太弱會導致連接速率下降
2、邊緣的選擇-75dBm以上
3、干擾場強同一區域的同頻干擾源不大於-80dBm
4、無線漫遊:需要保證AP的覆蓋邊界有其他AP的信號,一般需要保持20%的重疊區域
接收靈敏度(速率只和信號強度有關)
STA爲-75dBm、AP爲-105dBm 、WLAN的環境噪聲-95dBm
512kbps可以滿足普通視頻業務的要求,256kbps可以滿足一般業務帶寬要求
系統總帶寬=總用戶數*併發率*每用戶帶寬需求
AP數量=總帶寬需求/每個AP帶寬
安裝方式:(AP安裝位置不能被人直接接觸)
室內放裝型:壁掛、吸頂、天花板內放置 牆壁、天花板、承重柱
室內分佈型:通過饋線。功分器、耦合器等連接天線
室外型:樓頂抱杆、地面抱杆、外牆壁掛 建築物樓頂、建築物外牆、地面
室分AP通過饋線連接外置的天線發出信號
合路器:將多路輸入信號合成一路後輸出,反向再把混合信號濾波分離
功分器:將一路信號平均分成兩路三路等輸出
耦合器:從主幹線上取出所需信號能量給近端天線,而分配較多的信號能量給遠端的天線
天線增加發送功率,通過設計實現能量,匯聚到一個點
本地轉發:也稱爲直接轉發,AC只對AP進行管理,業務數據都是由本地直接轉發
集中轉發:也稱爲隧道轉發,業務數據報文由AP統一封裝後到達AC實現轉發,AC不但不進行對AP進行管理,還作爲AP流量的轉發中樞
應用場合:
本地轉發優勢用於園區網絡,AC負擔小
集中轉發優勢用於小型企業主要安全控制策略
二層漫遊是同一個地址段
三層漫遊切換不同的網段(一個終端申請與AP1發生關聯,AC會創建相關的用戶數據信息,當終端第一次過度AP2網絡中會斷開重新關聯,這次會更新數據庫信息)
有些終端無法認證,需要灌溉版本。有些POE交換機供電率不是滿配,根據實際情況部署
AP升級失敗的常見原因
1、鏈路斷開
2、AP內存不足
3、AP升級文件有誤
4、升級控制塊已滿或正在下載的AP個數已經達到FTP最大連接數
5、FTP配置有誤
6、網絡傳輸能力太低,超過最大可傳時間範圍
網速慢的原因有
1、用戶接入速率低
2、無線環境惡劣,干擾嚴重
3、用戶數過多
4、低速率用戶過多引起網絡性能差
5、有線網絡質量差
6、終端網卡性能差
有些較老的PC無法連接AP安裝最新的網卡試試,有些事網卡兼容性的問題