WLAN組網(wǎng)部署及維護(hù)

目錄WLAN組件介紹1WLAN網(wǎng)絡(luò)架構(gòu)分析2WLAN安全技術(shù)

3WLAN網(wǎng)管監(jiān)控知識(shí)4目錄WLAN相關(guān)性能統(tǒng)計(jì)指標(biāo)監(jiān)控

5WLAN設(shè)備日常值班監(jiān)控方法

6

7WLAN熱點(diǎn)告警分析和告警處理WLAN故障處理的思路和方法

8WLAN測(cè)試工具使用方法

9第一部分

WLAN組網(wǎng)產(chǎn)品介紹WLAN基本產(chǎn)品無(wú)線上網(wǎng)卡WLAN組網(wǎng)產(chǎn)品無(wú)線控制器ACPOE無(wú)線交換機(jī)APWLAN產(chǎn)品講義AC無(wú)線控制器（ACconsle），主要用于搭配瘦AP構(gòu)建無(wú)線網(wǎng)絡(luò)。具有管理AP的功能,可以為AP下發(fā)模板配置，規(guī)劃AP的信道、功率等。AP無(wú)線接入點(diǎn)（ACCESSPoint）主要和AC關(guān)聯(lián)，放出SSID信號(hào)為用戶(hù)提供無(wú)線接入訪問(wèn)POE具有POE模塊的供電交換機(jī)，可以為AP提供電源，也可以實(shí)現(xiàn)普通交換機(jī)的所有數(shù)據(jù)功能京信AC2400,F512簡(jiǎn)介AC2400,F512前面板簡(jiǎn)要圖如下二層接口，默認(rèn)屬于vlan1，IP地址是192.168.0.1。三層接口（電口）三層接口（光口）注意：1．默認(rèn)二層口數(shù)據(jù)走交換芯片轉(zhuǎn)發(fā)，可以給VLAN接口啟用高級(jí)路由模式使數(shù)據(jù)經(jīng)過(guò)CPU轉(zhuǎn)發(fā)。2．三層電口和光口默認(rèn)為三層接口，數(shù)據(jù)默認(rèn)走CPU轉(zhuǎn)發(fā)。3．三層電口和光口為互斥接口。AC2400,F1024前面板簡(jiǎn)要圖如下主控板主控板10/100/1000M自適應(yīng)電口控板1000M光口控制臺(tái)接口四個(gè)業(yè)務(wù)插槽雙電源插口模塊,可選交流(220V)直流(-48V)京信AC2400,F1024簡(jiǎn)介AP（無(wú)線接入點(diǎn)產(chǎn)品）AP2600-I雙頻室內(nèi)系列AP2600-O雙頻室外系列AP2400-O單頻室外系列AP2400-I單頻室內(nèi)系列室內(nèi)版室外版AP2x00-I【新外觀】AP與無(wú)線網(wǎng)絡(luò)產(chǎn)品京信802.11n產(chǎn)品概述AP2400/AP2600系列無(wú)線接入點(diǎn)產(chǎn)品特點(diǎn)采用高性能處理器高吞吐量及強(qiáng)勁的負(fù)載能力支持胖瘦AP模式轉(zhuǎn)換支持802.11n，向下兼容802.11a/b/g搭配不同網(wǎng)卡，支持不同無(wú)線模式1×1/2×2天線配置10/100/1000M自適應(yīng)以太網(wǎng)支持802.3af/802.3atPoE規(guī)范

基站外置天線支持四個(gè)扇區(qū)天線射頻電纜接口每個(gè)扇區(qū)2個(gè)N型接口水平束寬（3dB)每個(gè)扇區(qū)70°覆蓋規(guī)劃4扇區(qū)360°覆蓋天線增益14dBi（Max.)重量7.8kg（基站+天線）天線尺寸670×112×65mm下傾角±20°/Max.±30°示意圖安裝圖基本參數(shù)京信四扇區(qū)智能天線基站基站外置天線多波束天線陣列射頻電纜接口8個(gè)N型接口水平束寬（3dB)每個(gè)陣列75°覆蓋規(guī)劃單車(chē)列100°覆蓋天線增益19dBi（Max.)重量7.8kg尺寸878×385×104mm下傾角14°示意圖安裝圖基本參數(shù)京信單扇區(qū)智能天線基站京信交換機(jī)系列標(biāo)準(zhǔn)配置24個(gè)10/100MRJ-45MDI/MDI-X自適應(yīng)口4個(gè)千兆光電復(fù)用口1個(gè)Console口內(nèi)存容量32MB背板帶寬32Gbps功率最大400W，其中系統(tǒng)功耗30W，POE對(duì)外供電功率370WComba24口POE交換機(jī)京信交換機(jī)系列Comba8口POE交換機(jī)標(biāo)準(zhǔn)配置8口百兆+1口千兆全網(wǎng)管以太網(wǎng)交換機(jī)(1個(gè)CONSOLE口，8個(gè)10/100M以太網(wǎng)電口，1個(gè)千兆光電復(fù)用口，支持POE供電）內(nèi)存容量32MB交換能力8Gbps第三部分

WLAN網(wǎng)絡(luò)架構(gòu)分析組網(wǎng)方式瘦AP在AC上注冊(cè)流程瘦AP為零配置，必須在AC上注冊(cè)，從AC獲得配置后才可以工作瘦AP在AC注冊(cè)有兩種情況：瘦AP與AC直連和二層組網(wǎng)注冊(cè)流程手動(dòng)指定AC地址廣播發(fā)現(xiàn)AC地址

DHCP的option43屬性獲取AC的地址

DNS解析獲取AC的地址瘦AP與AC三層網(wǎng)絡(luò)連接注冊(cè)流程手動(dòng)指定AC地址

DHCP的option43屬性獲取AC的地址

DNS解析獲取AC的地址注冊(cè)流程方式優(yōu)先級(jí)的對(duì)比瘦AP與AC直連和二層組網(wǎng)注冊(cè)流程1.獲取ip地址2.二層廣播發(fā)現(xiàn)請(qǐng)求3.AC回復(fù)AP的請(qǐng)求響應(yīng)4.配置下發(fā)5.數(shù)據(jù)傳遞DHCPserverAPAC廣播發(fā)現(xiàn)AP通過(guò)DHCPserver獲取IP地址

AP二層廣播，尋找AC

AC回應(yīng)AP尋求

AP從AC獲取正確的配置

AP正常工作，和AC交互數(shù)據(jù)瘦AP與AC直連和二層組網(wǎng)注冊(cè)流程瘦AP與AC三層組網(wǎng)注冊(cè)流程—option43方式1.獲取ip地址,option屬性帶有AC地址2.AP單播發(fā)現(xiàn)請(qǐng)求3.AC回復(fù)AP的請(qǐng)求響應(yīng)4.配置下發(fā)5.數(shù)據(jù)傳遞DHCPserverAPAP通過(guò)DHCPserver獲取IP地址，option43屬性攜帶AC的IP地址

AP從option43屬性中獲取AC的地址，然后向AC發(fā)單播請(qǐng)求

AC接到請(qǐng)求后響應(yīng)AP的請(qǐng)求

AP從AC獲取正確的配置

AP正常工作，和AC交互數(shù)據(jù)瘦AP與AC三層組網(wǎng)注冊(cè)流程—option43方式瘦AP與AC三層組網(wǎng)注冊(cè)流程—option43方式數(shù)據(jù)轉(zhuǎn)發(fā)架構(gòu)——本地轉(zhuǎn)發(fā)利用瘦AP本地轉(zhuǎn)發(fā)方式進(jìn)行大規(guī)模組網(wǎng)，可以完全代替目前主要采用的集中轉(zhuǎn)發(fā)方式，在本地轉(zhuǎn)發(fā)方式下，網(wǎng)管、安全、漫游、QOS、負(fù)載均衡、流控、二層隔離等功能還是由AC統(tǒng)一控制，再由AP具體實(shí)施；只是業(yè)務(wù)數(shù)據(jù)不通過(guò)隧道傳送到AC，再經(jīng)由AC解封后統(tǒng)一轉(zhuǎn)發(fā)，而是由AP本地轉(zhuǎn)發(fā)。AC采用旁掛的方式，用戶(hù)的流量無(wú)需經(jīng)過(guò)AC。此組網(wǎng)方式的優(yōu)勢(shì)主要體現(xiàn)在，將業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)任務(wù)分散到AP,降低AC壓力，輕松應(yīng)對(duì)帶寬挑戰(zhàn)，徹底解決AC瓶頸問(wèn)題，提高網(wǎng)絡(luò)整體吞吐率，順利迎接11n時(shí)代本地轉(zhuǎn)發(fā)數(shù)據(jù)流向圖,業(yè)務(wù)數(shù)據(jù)經(jīng)過(guò)AC進(jìn)行處理，一般由局方的bras分配IP地址、認(rèn)證等業(yè)務(wù)處理數(shù)據(jù)轉(zhuǎn)發(fā)架構(gòu)——本地轉(zhuǎn)發(fā)集中轉(zhuǎn)發(fā)組網(wǎng)，AP和AC之間單獨(dú)建立一條隧道傳輸數(shù)據(jù)業(yè)務(wù)，所有的數(shù)據(jù)業(yè)務(wù)都通過(guò)AC轉(zhuǎn)發(fā)出去，所以AC的負(fù)荷比較大。集中轉(zhuǎn)發(fā)所有的數(shù)據(jù)包都要走隧道，所以對(duì)鏈路的帶寬要求較高，并且對(duì)AC接口的帶寬要求也較高。由于集中轉(zhuǎn)發(fā)的數(shù)據(jù)包要封裝到隧道里再轉(zhuǎn)發(fā)走，所以對(duì)AP的CPU消耗比本地轉(zhuǎn)發(fā)更大。由于對(duì)帶寬要求較高，所以集中轉(zhuǎn)發(fā)的AC可管理的AP數(shù)量也會(huì)受到一定限制。這樣對(duì)于規(guī)模較大的網(wǎng)絡(luò)通常有熱備份的要求，會(huì)增加成本。此外，當(dāng)隧道轉(zhuǎn)發(fā)出現(xiàn)不通或者丟包現(xiàn)象時(shí)，查找網(wǎng)絡(luò)故障難度比本地轉(zhuǎn)發(fā)高。集中轉(zhuǎn)發(fā)的優(yōu)點(diǎn)是對(duì)于現(xiàn)網(wǎng)改動(dòng)較小。數(shù)據(jù)轉(zhuǎn)發(fā)架構(gòu)——集中轉(zhuǎn)發(fā)集中轉(zhuǎn)發(fā)數(shù)據(jù)流向圖,業(yè)務(wù)數(shù)數(shù)據(jù)封裝在AP與AC建立的隧道鏈路上由AC進(jìn)行統(tǒng)一的解封裝進(jìn)行處理及數(shù)據(jù)轉(zhuǎn)發(fā).數(shù)據(jù)轉(zhuǎn)發(fā)架構(gòu)——集中轉(zhuǎn)發(fā)本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā)對(duì)比列表本地轉(zhuǎn)發(fā)集中轉(zhuǎn)發(fā)AC位置一般旁掛BAS上，也可做BAS一般做BASAC性能壓力低高AP性能壓力低略高業(yè)務(wù)隔離、熱點(diǎn)區(qū)分需要把無(wú)線用戶(hù)和有線用戶(hù)統(tǒng)一考慮從接入層開(kāi)始的轉(zhuǎn)發(fā)路徑規(guī)劃，一般跟AC對(duì)AP的管理路徑是分離的。無(wú)線用戶(hù)從AP到AC的轉(zhuǎn)發(fā)路徑跟AC對(duì)AP的管理路徑一致無(wú)線加解密AP完成，老AP無(wú)法支持新加密類(lèi)型，另一方面能充分利用AP的加解密引擎提高網(wǎng)絡(luò)整體吞吐率AP或AC完成，可以支持功能較弱的AP，另一方面對(duì)AC的加解密能力要求提高，性能壓力較大整體網(wǎng)絡(luò)性能高低PORTAL的概念Portal在英語(yǔ)中是入口的意思。Portal認(rèn)證通常也稱(chēng)為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱(chēng)為門(mén)戶(hù)網(wǎng)站。通常用來(lái)提供個(gè)性化、單次登錄、聚集各個(gè)信息源的內(nèi)容，并作為信息系統(tǒng)表現(xiàn)層的宿主。未認(rèn)證用戶(hù)上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶(hù)登錄到特定站點(diǎn)，用戶(hù)可以免費(fèi)訪問(wèn)其中的服務(wù)。當(dāng)用戶(hù)需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門(mén)戶(hù)網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過(guò)后才可以使用互聯(lián)網(wǎng)資源1*1備份介紹AC主AC備APCMNET心跳線VRRP：1*1采用VRRP虛擬路由冗余協(xié)議，當(dāng)主AC出現(xiàn)故障的時(shí)候，備AC通過(guò)心跳線的檢測(cè)，取代主AC的地位工作。具有反應(yīng)快、用戶(hù)無(wú)感知等優(yōu)勢(shì)產(chǎn)生背景在傳統(tǒng)的組網(wǎng)環(huán)境中，用戶(hù)只要能接入局域網(wǎng)設(shè)備，就可以訪問(wèn)網(wǎng)絡(luò)中的設(shè)備或資源，為加強(qiáng)網(wǎng)絡(luò)資源的安全控制和運(yùn)營(yíng)管理，很多情況下需要對(duì)用戶(hù)的訪問(wèn)進(jìn)行控制。例如，在一些公共場(chǎng)合、小區(qū)或公司的網(wǎng)絡(luò)接入點(diǎn)，提供接入服務(wù)的供應(yīng)商希望只允許付費(fèi)的合法用戶(hù)接入，所以供應(yīng)商為每個(gè)用戶(hù)提供一個(gè)接入網(wǎng)絡(luò)的賬號(hào)和密碼。另外，一些企業(yè)會(huì)提供一些內(nèi)部關(guān)鍵資源給外部用戶(hù)訪問(wèn)，并且希望經(jīng)過(guò)有效認(rèn)證的用戶(hù)才可以訪問(wèn)這些資源。技術(shù)優(yōu)點(diǎn)不需要部署客戶(hù)端，直接使用WEB頁(yè)面認(rèn)證，使用方便；可以基于VLAN/SSID/WTPid粒度級(jí)別的個(gè)性化認(rèn)證頁(yè)面，同時(shí)可以在Portal頁(yè)面上開(kāi)展廣告業(yè)務(wù)、服務(wù)選擇和信息發(fā)布等內(nèi)容，進(jìn)行業(yè)務(wù)拓展，實(shí)現(xiàn)IP網(wǎng)絡(luò)的運(yùn)營(yíng)；并采用Portalserver和Portalclient之間，BAS和Portalclient之間定期發(fā)送握手報(bào)文的方式來(lái)進(jìn)行斷網(wǎng)檢測(cè)；可以跨越網(wǎng)絡(luò)層對(duì)用戶(hù)作認(rèn)證，可以在企業(yè)網(wǎng)絡(luò)出口或關(guān)鍵數(shù)據(jù)的入口作訪問(wèn)控制；詳細(xì)認(rèn)證流程圖Portal交互過(guò)程分析1、用戶(hù)訪問(wèn)網(wǎng)站，經(jīng)過(guò)AC重定向到PortalServer；2、Portalserver推送統(tǒng)一的認(rèn)證頁(yè)面；3、用戶(hù)填入用戶(hù)名、密碼，提交頁(yè)面，向PortalServer發(fā)起連接請(qǐng)求4、Portal向Radius發(fā)出用戶(hù)信息查詢(xún)請(qǐng)求，由Radius驗(yàn)證用戶(hù)密碼、查詢(xún)用戶(hù)信息，并向Portal返回查詢(xún)結(jié)果及系統(tǒng)配置的單次連接最大時(shí)長(zhǎng)、手機(jī)用戶(hù)及卡用戶(hù)的套餐剩余時(shí)長(zhǎng)信息；5、如果查詢(xún)失敗，Portal結(jié)束認(rèn)證流程，并直接返回提示信息給用戶(hù)，指導(dǎo)用戶(hù)開(kāi)戶(hù)及正確使用Portal交互過(guò)程分析6、如果查詢(xún)成功，PortalServer向AC請(qǐng)求Challenge；7、AC分配Challenge給PortalServer；8、PortalServer向AC發(fā)起認(rèn)證請(qǐng)求；Portal交互過(guò)程分析Challenge報(bào)文分析注意：如果抓包沒(méi)有收到challenge報(bào)文，則需要portalsevver查明原因Portal交互過(guò)程分析Radius認(rèn)證計(jì)費(fèi)過(guò)程分析9、AC攜帶用戶(hù)名和密碼發(fā)起認(rèn)證請(qǐng)求；10、radius返回認(rèn)證結(jié)果；11、在次發(fā)起計(jì)費(fèi)請(qǐng)求；12、radius回應(yīng)計(jì)費(fèi)請(qǐng)求；Radish報(bào)文分析：access-requestRadius認(rèn)證計(jì)費(fèi)過(guò)程分析Radish報(bào)文分析：access-acceptRadius認(rèn)證計(jì)費(fèi)過(guò)程分析Radish報(bào)文分析：access-reject(拒絕報(bào)文)注意：如果收到此種報(bào)文，需由radius端給出說(shuō)明Radius認(rèn)證計(jì)費(fèi)過(guò)程分析Radish報(bào)文分析：accounting-requestRadius認(rèn)證計(jì)費(fèi)過(guò)程分析Radish報(bào)文分析：accounting-responseRadius認(rèn)證計(jì)費(fèi)過(guò)程分析13、AC向PortalServer送認(rèn)證結(jié)果14、PortalServer根據(jù)編碼規(guī)則判斷帳戶(hù)的歸屬地，推送歸屬地定制的個(gè)性化頁(yè)面，并將認(rèn)證結(jié)果、系統(tǒng)配置的單次連接最大時(shí)長(zhǎng)、套餐剩余時(shí)長(zhǎng)、自服務(wù)選項(xiàng)填入頁(yè)面，和門(mén)戶(hù)網(wǎng)站一起推送給客戶(hù),同時(shí)啟動(dòng)正計(jì)時(shí)提醒15、PortalServer回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報(bào)文Radius認(rèn)證計(jì)費(fèi)過(guò)程分析用戶(hù)下線過(guò)程分析下線過(guò)程分為三種情況：1、主動(dòng)發(fā)起下線請(qǐng)求（即點(diǎn)擊下線按鈕）2、強(qiáng)制顯現(xiàn)流程（即直接關(guān)閉portal頁(yè)面）3、異常下線流程（AC自己偵測(cè)到用戶(hù)下線）主動(dòng)下線過(guò)程：（1）用戶(hù)發(fā)起下線請(qǐng)求到PortalServer；（2）PortalServer向AC請(qǐng)求下線；（3）AC回應(yīng)PortalServer下線請(qǐng)求；（4）PortalServer推送下線結(jié)果頁(yè)面給用戶(hù)用戶(hù)下線過(guò)程分析強(qiáng)制下線過(guò)程：（1）AC偵測(cè)到用戶(hù)的本次連接最大允許接入時(shí)間結(jié)束，向PortalServer請(qǐng)求下線；（2）PortalServer回應(yīng)下線成功，并向用戶(hù)推送下線結(jié)果頁(yè)面。用戶(hù)下線過(guò)程分析異常下線過(guò)程：（1）AC偵測(cè)到用戶(hù)下線，向PortalServer請(qǐng)求下線；（2）PortalServer回應(yīng)下線成功；用戶(hù)下線過(guò)程分析用戶(hù)下線停止計(jì)費(fèi)報(bào)文分析：用戶(hù)下線過(guò)程分析以上過(guò)程為中國(guó)移動(dòng)wlan業(yè)務(wù)portal協(xié)議規(guī)范。第四部分

WLAN安全技術(shù)

無(wú)線局域網(wǎng)的安全問(wèn)題一、存在的威脅由無(wú)線局域網(wǎng)的傳輸介質(zhì)的特殊性，使得信息在傳輸過(guò)程中具有更多的不確定性，受到影響更大，主要表現(xiàn)在：竊聽(tīng)。任何人都可以用一臺(tái)帶無(wú)線網(wǎng)卡的PC機(jī)或者廉價(jià)的無(wú)線掃描器進(jìn)行竊聽(tīng)，但是發(fā)送者和預(yù)期的接收者無(wú)法知道傳輸是否被竊聽(tīng)，且無(wú)法檢測(cè)竊聽(tīng)。修改替換。在無(wú)線局域網(wǎng)中，較強(qiáng)節(jié)點(diǎn)可以屏蔽較弱節(jié)點(diǎn)，用自已的數(shù)據(jù)取代，甚至?xí)嫫渌?jié)點(diǎn)作出反應(yīng)。傳遞信任。當(dāng)公司網(wǎng)絡(luò)包括一部分無(wú)線局域網(wǎng)時(shí)，就會(huì)為攻擊者提供一個(gè)不需要物理安裝的接口用于網(wǎng)絡(luò)入侵。因此，參與通信的雙方都應(yīng)該能相互認(rèn)證。無(wú)線網(wǎng)絡(luò)面臨的安全問(wèn)題基礎(chǔ)結(jié)構(gòu)攻擊?；A(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)中存在的漏洞如軟件臭蟲(chóng)、錯(cuò)誤配置、硬件故障等。但是針對(duì)這種攻擊進(jìn)行的保護(hù)幾乎是不可能的，所能做的就是盡可能地降低破壞所造成的損失。拒絕服務(wù)。無(wú)線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊，攻擊者可以發(fā)送與無(wú)線局域網(wǎng)相同頻率的干擾信號(hào)來(lái)干擾網(wǎng)絡(luò)的正常運(yùn)行，從而導(dǎo)致正常的用戶(hù)無(wú)法使用網(wǎng)絡(luò)。置信攻擊。通常情況下，攻擊者可以將自己偽造成基站。當(dāng)攻擊者擁有一個(gè)很強(qiáng)的發(fā)送設(shè)備時(shí)，就可以讓移動(dòng)設(shè)備嘗試登錄到他的網(wǎng)絡(luò)，通過(guò)分析竊取密鑰和口令，以便發(fā)動(dòng)針對(duì)性的攻擊。無(wú)線局域網(wǎng)安全技術(shù)1.物理地址過(guò)濾每個(gè)無(wú)線工作站的網(wǎng)卡都有唯一的物理地址，應(yīng)用媒體訪問(wèn)控制（MAC）技術(shù)，可在無(wú)線局域網(wǎng)的每一個(gè)AP設(shè)置一個(gè)許可接入的用戶(hù)的MAC地址清單，MAC地址不在清單中的用戶(hù)，接入點(diǎn)將拒絕其接入請(qǐng)求。但媒體訪問(wèn)控制只適合于小型網(wǎng)絡(luò)規(guī)模。這是因?yàn)椋篗AC地址在網(wǎng)上是明碼模式傳送，只要監(jiān)聽(tīng)網(wǎng)絡(luò)便可從中截取或盜用該MAC地址，進(jìn)而偽裝使用者潛入企業(yè)或組織內(nèi)部偷取機(jī)密資料。部分無(wú)線網(wǎng)卡允許通過(guò)軟件來(lái)更改其MAC地址，可通過(guò)編程將想用的地址寫(xiě)入網(wǎng)卡就可以冒充這個(gè)合法的MAC地址，因此可通過(guò)訪問(wèn)控制的檢查而獲取訪問(wèn)受保護(hù)網(wǎng)絡(luò)的權(quán)限。媒體訪問(wèn)控制屬于硬件認(rèn)證，而不是用戶(hù)認(rèn)證。無(wú)線局域網(wǎng)安全技術(shù)2.有線對(duì)等保密有線等效保密（WEP）是常見(jiàn)的資料加密措施，WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，以滿(mǎn)足用戶(hù)更高層次的網(wǎng)絡(luò)安全需求。在鏈路層采用RC4對(duì)稱(chēng)加密技術(shù)，當(dāng)用戶(hù)的加密密鑰與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶(hù)的監(jiān)聽(tīng)以及非法用戶(hù)的訪問(wèn)。WEP的工作原理是通過(guò)一組40位或128位的密鑰作為認(rèn)證口令，當(dāng)WEP功能啟動(dòng)時(shí)，每臺(tái)工作站都使用這個(gè)密鑰，將準(zhǔn)備傳輸?shù)馁Y料加密運(yùn)算形成新的資料，并透過(guò)無(wú)線電波傳送，另一工作站在接收到資料時(shí)，也利用同一組密鑰來(lái)確認(rèn)資料并做解碼動(dòng)作，以獲得原始資料。無(wú)線局域網(wǎng)安全技術(shù)WEP目的是向無(wú)線局域網(wǎng)提供與有線網(wǎng)絡(luò)相同級(jí)別的安全保護(hù)，它用于保障無(wú)線通信信號(hào)的安全，即保密性和完整性。但WEP提供了40位長(zhǎng)度的密鑰機(jī)制存在許多缺陷，表現(xiàn)在：40位的密鑰現(xiàn)在很容易破解。密鑰是手工輸入與維護(hù)，更換密鑰費(fèi)時(shí)和困難，密鑰通常長(zhǎng)時(shí)間使用而很少更換，若一個(gè)用戶(hù)丟失密鑰，則將危及到整個(gè)網(wǎng)絡(luò)。WEP標(biāo)準(zhǔn)支持每個(gè)信息包的加密功能，但不支持對(duì)每個(gè)信息包的驗(yàn)證?，F(xiàn)在針對(duì)WEP的不足之處，對(duì)WEP加以擴(kuò)展，提出了動(dòng)態(tài)安全鏈路技術(shù)（DSL）。DSL采用了128位動(dòng)態(tài)分配的密鑰，每一個(gè)會(huì)話都自動(dòng)生成一把密鑰，并且在同一個(gè)會(huì)話期間，對(duì)于每256個(gè)數(shù)據(jù)包，密鑰將自動(dòng)改變一次。

無(wú)線局域網(wǎng)安全技術(shù)3.Wi-Fi保護(hù)接入Wi-Fi保護(hù)性接入（WPA）是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過(guò)這種處理，所有客戶(hù)端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。WPA標(biāo)準(zhǔn)采用了TKIP、EAP和802.1X等技術(shù)，在保持Wi-Fi認(rèn)證產(chǎn)品硬件可用性的基礎(chǔ)上，解決802.11在數(shù)據(jù)加密、接入認(rèn)證和密鑰管理等方面存在的缺陷。無(wú)線網(wǎng)絡(luò)的安全技術(shù)4.國(guó)家標(biāo)準(zhǔn)WAPI國(guó)家標(biāo)準(zhǔn)WAPI（WAPI），即無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它是針對(duì)IEEE802.11中WEP協(xié)議安全問(wèn)題，在中國(guó)無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。WAPI采用公開(kāi)密鑰體制的橢圓曲線密碼算法和對(duì)稱(chēng)密鑰密碼體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書(shū)、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶(hù)信息在無(wú)線傳輸狀態(tài)下的加密保護(hù)。WAPI的主要特點(diǎn)是采用基于公鑰密碼體系的證書(shū)機(jī)制，真正實(shí)現(xiàn)了移動(dòng)終端（MT）與無(wú)線接入點(diǎn)（AP）間雙向鑒別。另外，它充分考慮了市場(chǎng)應(yīng)用，從應(yīng)用模式上可分為單點(diǎn)式和集中式。采用WAPI可以徹底扭轉(zhuǎn)目前WLAN多種安全機(jī)制并存且互不兼容的現(xiàn)狀，從而根本上解決安全和兼容性問(wèn)題。無(wú)線網(wǎng)絡(luò)的安全技術(shù)5.端口訪問(wèn)控制技術(shù)端口訪問(wèn)控制技術(shù)(802.1x)是由IEEE定義的，用于以太網(wǎng)和無(wú)線局域網(wǎng)中的端口訪問(wèn)與控制。該協(xié)議定義了認(rèn)證和授權(quán)，可以用于局域網(wǎng)，也可以用于城域網(wǎng)。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。EAP采用更多的認(rèn)證機(jī)制，如MD5、一次性口令等等，從而提供更高級(jí)別的安全。802.1x是運(yùn)行在無(wú)線網(wǎng)設(shè)備關(guān)聯(lián)，其認(rèn)證層次包括兩方面：客戶(hù)端到認(rèn)證端，認(rèn)證端到認(rèn)證服務(wù)器。802.1x定義客戶(hù)端到認(rèn)證端采用EAPoverLAN協(xié)議，認(rèn)證端到認(rèn)證服務(wù)器采用EAPoverRADIUS協(xié)議。無(wú)線網(wǎng)絡(luò)的安全技術(shù)802.1x要求無(wú)線工作站安裝802.1x客戶(hù)端軟件，無(wú)線訪問(wèn)站點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為Radius客戶(hù)端，將用戶(hù)的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。當(dāng)無(wú)線工作站STA與無(wú)線訪問(wèn)點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。802.1x除提供端口訪問(wèn)控制能力之外，還提供基于用戶(hù)的認(rèn)證系統(tǒng)及計(jì)費(fèi)，特別適合于公共無(wú)線接入解決方案。但是802.1x采用的用戶(hù)認(rèn)證信息僅僅是用戶(hù)名與口令，在存儲(chǔ)、使用和認(rèn)證信息傳遞中可能泄漏、丟失，存在很大安全隱患。加上無(wú)線接入點(diǎn)AP與RADIUS服務(wù)器之間用于認(rèn)認(rèn)證的共享密鑰是靜態(tài)的，且是手工管理，也存在一定的安全隱患。無(wú)線網(wǎng)絡(luò)的安全技術(shù)7.虛擬專(zhuān)用網(wǎng)絡(luò)虛擬專(zhuān)用網(wǎng)絡(luò)（VPN，VirtualPrivateNetwork）指使用互聯(lián)網(wǎng)連接物理上分散的系統(tǒng)來(lái)模擬單一專(zhuān)用網(wǎng)的安全方式，通過(guò)隧道和加密技術(shù)保證專(zhuān)用數(shù)據(jù)的網(wǎng)絡(luò)安全性。保護(hù)內(nèi)部網(wǎng)免遭公共互聯(lián)網(wǎng)攻擊的技術(shù)是VPN防火墻。同樣無(wú)線LAN，也可以采用該安全框架，即安裝兩道防火墻：一個(gè)作為進(jìn)入內(nèi)部網(wǎng)的網(wǎng)關(guān)，另一個(gè)處于無(wú)線LAN和內(nèi)部網(wǎng)之間，無(wú)線防火墻只允VPN通信，如圖8.22所示。無(wú)線用戶(hù)可以向無(wú)線基礎(chǔ)設(shè)施認(rèn)證自己。實(shí)際上，把無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)隔離，只允許VPN通信經(jīng)過(guò)，是利用了緩沖區(qū)的辦法來(lái)增強(qiáng)網(wǎng)絡(luò)安全性。此外，基于IPsec的VPN技術(shù)采用的IP層加密協(xié)議，可以防止通信被竊聽(tīng)。無(wú)線網(wǎng)絡(luò)的安全技術(shù)

無(wú)線虛擬專(zhuān)用網(wǎng)安全框架無(wú)線網(wǎng)絡(luò)的安全技術(shù)VPN可以替代無(wú)線對(duì)等加密解決方案和物理地址過(guò)濾解決方案，也可以與WEP協(xié)議互補(bǔ)使用。但是VPN技術(shù)應(yīng)用于無(wú)線網(wǎng)絡(luò)也有其局限性，具體表現(xiàn)在：運(yùn)行脆弱。因突發(fā)干擾或AP間越區(qū)切換等因素導(dǎo)致的無(wú)線鏈路質(zhì)量波動(dòng)或短時(shí)中斷是很常見(jiàn)的。吞吐量小。在一個(gè)VPN網(wǎng)絡(luò)里進(jìn)行的任何交換必須經(jīng)過(guò)一個(gè)VPN服務(wù)器，一臺(tái)典型的VPN服務(wù)器能夠達(dá)到30-50Mbps的數(shù)據(jù)吞吐量。通用性差。VPN技術(shù)在國(guó)內(nèi)、甚至在國(guó)際上沒(méi)有一個(gè)統(tǒng)一的開(kāi)發(fā)標(biāo)準(zhǔn)。擴(kuò)展性差。改變一個(gè)VPN網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或內(nèi)容，用戶(hù)將不得不重新規(guī)劃并進(jìn)行網(wǎng)絡(luò)配置。成本高。上述3個(gè)問(wèn)題實(shí)際在不同程度上直接導(dǎo)致了用戶(hù)網(wǎng)絡(luò)架設(shè)的成本攀升。另外，VPN產(chǎn)品價(jià)格就很高。第五部分

WLAN網(wǎng)管監(jiān)控知識(shí)Snmp介紹SNMP（SimpleNetworkManagedProtocol）是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的簡(jiǎn)稱(chēng)，首先是由工程任務(wù)組織IETF研究小組為了解決Internet上的路由管理問(wèn)題而提出的，屬于應(yīng)用層協(xié)議。由于其簡(jiǎn)單易用，是事實(shí)上的網(wǎng)絡(luò)管理工業(yè)標(biāo)準(zhǔn)。目前有SNMPv1、SNMPv2、SNMPv3三種正式版本SNMP網(wǎng)絡(luò)管理模型SNMP網(wǎng)絡(luò)管理模型有4個(gè)組成部分：被管理節(jié)點(diǎn)（ManagementNode）：運(yùn)行SNMP代理程序（SNMPagent），維護(hù)一個(gè)本地?cái)?shù)據(jù)庫(kù)，描述節(jié)點(diǎn)的狀態(tài)和歷史，并影響節(jié)點(diǎn)的運(yùn)行管理站（ManagementStation）：運(yùn)行專(zhuān)門(mén)的網(wǎng)絡(luò)管理軟件（manager），使用管理協(xié)議與被管理節(jié)點(diǎn)上的SNMP代理通信，維護(hù)管理信息庫(kù)管理信息庫(kù)（ManagementInformationBase）：每個(gè)站點(diǎn)使用一個(gè)或多個(gè)變量描述自己的狀態(tài)，這些變量稱(chēng)為“對(duì)象（objects）”，所有的對(duì)象組成管理信息庫(kù)MIB（ManagementInformationBase）管理協(xié)議（ManagementProtocol）：管理協(xié)議用于管理工作站查詢(xún)和修改被管理節(jié)點(diǎn)的狀態(tài)，被管理節(jié)點(diǎn)可以使用管理協(xié)議向管理站點(diǎn)產(chǎn)生“陷阱（trap）”報(bào)告SNMP處理流程

SNMP管理協(xié)議的5種消息類(lèi)型（1）get–request

操作：從代理進(jìn)程處提取一個(gè)或多個(gè)參數(shù)值。（2）get-next-request

操作：從代理進(jìn)程處提取一個(gè)或多個(gè)參數(shù)的下一個(gè)參數(shù)值。（3）set-request

操作：設(shè)置代理進(jìn)程的一個(gè)或多個(gè)參數(shù)值。（4）get-response

操作：返回的一個(gè)或多個(gè)參數(shù)值。這個(gè)操作是由代理進(jìn)程發(fā)出的。它是前面3中操作的響應(yīng)操作。（5）trap

操作：代理進(jìn)程主動(dòng)發(fā)出的報(bào)文，通知管理進(jìn)程有某些事情發(fā)生。SNMP消息類(lèi)型SNMP配置登陸ac的web頁(yè)面，點(diǎn)擊snmp默認(rèn)snmp和trap關(guān)閉緩存周期是發(fā)給snmp服務(wù)器的數(shù)據(jù)，在周期內(nèi)不會(huì)改變。摘要信息共同體信息默認(rèn)共同體public為讀，匹配所有地址默認(rèn)共同體private為讀寫(xiě)，匹配所有地址注：可以添加、刪除和修改共同體，以精確匹配條件。添加TRAP告警服務(wù)器第六部分

WLAN相關(guān)性能統(tǒng)計(jì)指標(biāo)監(jiān)控

性能參數(shù)類(lèi)別系統(tǒng)性能統(tǒng)計(jì)連接信息統(tǒng)計(jì)接口性能統(tǒng)計(jì)SSID性能統(tǒng)計(jì)終端性能統(tǒng)計(jì)WAPI性能統(tǒng)計(jì)QoS性能統(tǒng)計(jì)WLAN性能統(tǒng)計(jì)WLAN性能統(tǒng)計(jì)指標(biāo)參數(shù)（名/組）說(shuō)明AC在線用戶(hù)數(shù)當(dāng)前連接到AC的AP數(shù)量CPU利用率有平均、實(shí)時(shí)值之分，目前用的是平均，可選的還有峰值內(nèi)存利用率有平均、實(shí)時(shí)值之分，目前用的是平均，可選的還有峰值認(rèn)證請(qǐng)求數(shù)/認(rèn)證成功數(shù)DHCP請(qǐng)求次數(shù)/DHCP請(qǐng)求成功數(shù)集團(tuán)要求按AC提供，廣東移動(dòng)要求每個(gè)DHCP地址池都提供接口性能統(tǒng)計(jì)核心是各接口的發(fā)送/接口字節(jié)數(shù)，廣東移動(dòng)要求的有：端口接收單播包數(shù)端口接收非單播包數(shù)端口接收的總字節(jié)數(shù)端口丟棄接收到的包數(shù)端口接收到的錯(cuò)誤包數(shù)端口發(fā)送單播包數(shù)端口發(fā)送非單播包數(shù)端口發(fā)送的總字節(jié)數(shù)端口丟棄要發(fā)送的包數(shù)端口發(fā)送錯(cuò)誤的包數(shù)端口updown次數(shù)WLAN性能統(tǒng)計(jì)指標(biāo)參數(shù)（名/組）說(shuō)明AP關(guān)聯(lián)用戶(hù)數(shù)AP在線用戶(hù)數(shù)用戶(hù)異常掉線的總次數(shù)CPU利用率有平均、實(shí)時(shí)值之分，目前用的是平均，可選的還有峰值內(nèi)存利用率有平均、實(shí)時(shí)值之分，目前用的是平均，可選的還有峰值關(guān)聯(lián)總次數(shù)/關(guān)聯(lián)失敗總次數(shù)認(rèn)證請(qǐng)求數(shù)/認(rèn)證成功數(shù)AC和AP上都有過(guò)要求，移動(dòng)集團(tuán)提的是AC上的AP有線接口性能統(tǒng)計(jì)主要包括：端口發(fā)送/接收的總字節(jié)數(shù)端口發(fā)送/接收的數(shù)據(jù)字節(jié)數(shù)（總字節(jié)和數(shù)據(jù)字節(jié)數(shù)差異較大）AP無(wú)線接口性能統(tǒng)計(jì)主要包括：端口發(fā)送/接收的總字節(jié)數(shù)端口發(fā)送/接收的數(shù)據(jù)字節(jié)數(shù)（總字節(jié)和數(shù)據(jù)字節(jié)數(shù)差異較大）終端信息應(yīng)包括各AP上關(guān)聯(lián)終端的相關(guān)信息，主要包括：終端的MAC地址終端連接時(shí)長(zhǎng)AP接收到的終端的當(dāng)前信號(hào)強(qiáng)度發(fā)送到終端的總包數(shù)發(fā)送到終端的總字節(jié)數(shù)從終端收到的總包數(shù)從終端收到的總字節(jié)數(shù)用戶(hù)信息應(yīng)包括各AP上在線用戶(hù)的相關(guān)信息，主要包括：用戶(hù)的MAC地址用戶(hù)的IP地址用戶(hù)登錄賬號(hào)用戶(hù)上線時(shí)間用戶(hù)在線時(shí)長(zhǎng)性能計(jì)算方法－－非直觀參數(shù)像網(wǎng)元名稱(chēng)、信道號(hào)等參數(shù)都比較直觀，從設(shè)備上查詢(xún)到的值很容易明白。但有不少參數(shù)需要結(jié)合MIB庫(kù)中的描述或設(shè)備廠家提供的說(shuō)明、或者要對(duì)一段時(shí)間的數(shù)據(jù)進(jìn)行計(jì)算才能得到有意義的顯示值。非直觀參數(shù)的值如何讓人明白，這是網(wǎng)管軟件通常做的事情。對(duì)于網(wǎng)管接口測(cè)試時(shí)，一定要明白這些基本的轉(zhuǎn)換或計(jì)算方法。性能計(jì)算方法－－非直觀參數(shù)結(jié)合單位來(lái)理解如“實(shí)時(shí)采集周期”查詢(xún)到的值為5，需要知道其單位是秒還是分鐘。有的參數(shù)如“在線時(shí)長(zhǎng)”的單位還用1/100秒（即SNMP中的TimeTicks數(shù)據(jù)類(lèi)型）表示結(jié)合值含義對(duì)照表來(lái)理解如“接口當(dāng)前狀態(tài)”查詢(xún)到的值為1，就需要知道1表示“up”還是表示“down”。當(dāng)然如果利用已編譯好完整MIB庫(kù)的MIB瀏覽器軟件來(lái)查詢(xún)，結(jié)果一般都能把原始數(shù)字和英文含義反映出來(lái)。性能計(jì)算方法－－非直觀參數(shù)對(duì)不同時(shí)間段取到的計(jì)數(shù)器值求差值對(duì)于性能統(tǒng)計(jì)參數(shù)，有些可以表示瞬時(shí)狀態(tài)，如“當(dāng)前關(guān)聯(lián)的終端數(shù)”、“當(dāng)前在線用戶(hù)數(shù)”。但有不少參數(shù)無(wú)法用瞬時(shí)值表示，只能采取計(jì)數(shù)器的形式來(lái)表示，每次有變化就進(jìn)行累加，如“端口發(fā)送字節(jié)數(shù)”、“用戶(hù)認(rèn)證次數(shù)”、“終端關(guān)聯(lián)次數(shù)”、“DHCP請(qǐng)求成功數(shù)”等。對(duì)這些計(jì)數(shù)值就要從一個(gè)時(shí)間段來(lái)觀察其變化情況，如求AP無(wú)線端口5分鐘內(nèi)的發(fā)送數(shù)據(jù)字節(jié)數(shù)（也即下載流量），就應(yīng)該在5分鐘開(kāi)始和結(jié)束兩個(gè)時(shí)間點(diǎn)采集到“AP無(wú)線端口發(fā)送數(shù)據(jù)字節(jié)數(shù)”后，對(duì)兩者求差值。

由于計(jì)數(shù)器存在數(shù)值歸零和越界的情況，這也是各廠家設(shè)備常常處理不好的問(wèn)題，容易造成網(wǎng)管上統(tǒng)計(jì)出錯(cuò)。性能計(jì)算方法－－AC每小時(shí)流量計(jì)算AC的上行流量（AC的WAN口當(dāng)前流出字節(jié)數(shù)-AC的WAN口1小時(shí)前流出字節(jié)數(shù)）AC的下行流量（AC的WAN口當(dāng)前流入字節(jié)數(shù)-AC的WAN口1小時(shí)前流入字節(jié)數(shù)）AC的上行峰值流速前1小時(shí)內(nèi)每5分鐘取一次AC的WAN口流出字節(jié)數(shù)，計(jì)算出每5分鐘的流速，最后從12個(gè)點(diǎn)中取最大的值A(chǔ)C的下行峰值流速前1小時(shí)內(nèi)每5分鐘取一次AC的WAN口流入字節(jié)數(shù)，計(jì)算出每5分鐘的流速，最后從12個(gè)點(diǎn)中取最大的值性能計(jì)算方法－－AP每小時(shí)流量計(jì)算AP的上行流量（AP的無(wú)線口當(dāng)前流入字節(jié)數(shù)-AP的無(wú)線口1小時(shí)前流入字節(jié)數(shù)）AP的下行流量（AP的無(wú)線口當(dāng)前流出字節(jié)數(shù)-AP的無(wú)線口1小時(shí)前流出字節(jié)數(shù)）AP的上行峰值流速前1小時(shí)內(nèi)每5分鐘取一次AP的無(wú)線口流入字節(jié)數(shù)，計(jì)算出每5分鐘的流速，最后從12個(gè)點(diǎn)中取最大的值A(chǔ)P的下行峰值流速前1小時(shí)內(nèi)每5分鐘取一次AP的無(wú)線口流出字節(jié)數(shù)，計(jì)算出每5分鐘的流速，最后從12個(gè)點(diǎn)中取最大的值熱點(diǎn)的流量將熱點(diǎn)中所有AP的流量相加性能計(jì)算方法－－AP關(guān)聯(lián)成功率計(jì)算

“AP關(guān)聯(lián)成功率”設(shè)備上一般不直接提供，成功率需要結(jié)合一段時(shí)間才能計(jì)算得出來(lái)，需要在網(wǎng)管上處理。設(shè)備上提供“關(guān)聯(lián)失敗總次數(shù)”和“關(guān)聯(lián)總次數(shù)”，兩者都是計(jì)數(shù)器類(lèi)型參數(shù)。這樣前一小時(shí)的AP關(guān)聯(lián)成功率計(jì)算公式為：（AP當(dāng)前關(guān)聯(lián)失敗總次數(shù)-AP1小時(shí)前關(guān)聯(lián)失敗總次數(shù)）/（AP當(dāng)前關(guān)聯(lián)總次數(shù)-AP1小時(shí)前關(guān)聯(lián)總次數(shù)）×100%通常情況下，像關(guān)聯(lián)次數(shù)這種核心性能數(shù)據(jù)，一般網(wǎng)管上的采集頻率比較高，可以每5分鐘采集一次。這樣計(jì)算前一小時(shí)的AP關(guān)聯(lián)成功率可以對(duì)前一小時(shí)每5分鐘求關(guān)聯(lián)成功率，最后對(duì)12項(xiàng)成功率數(shù)值求平均，得到一小時(shí)的平均關(guān)聯(lián)成功率。第七部分

WLAN設(shè)備日常值班監(jiān)控方法

WLAN維護(hù)管理概述WLAN故障分類(lèi)WLAN維護(hù)管理的基本任務(wù)保證設(shè)備的完好，設(shè)備的電氣性能、機(jī)械性能、維護(hù)技術(shù)指標(biāo)及各項(xiàng)服務(wù)指標(biāo)符合標(biāo)準(zhǔn)。搞好全網(wǎng)的協(xié)作配合，迅速準(zhǔn)確地排除各種通信故障，保證全網(wǎng)的運(yùn)行質(zhì)量。確保網(wǎng)絡(luò)層的可靠性，完善組網(wǎng)結(jié)構(gòu)，設(shè)置合理的備用路由和備份方式。做好業(yè)務(wù)層的維護(hù)和網(wǎng)間配合工作，實(shí)現(xiàn)業(yè)務(wù)的可靠性。搞好網(wǎng)絡(luò)優(yōu)化，提高通信質(zhì)量。做好網(wǎng)絡(luò)安全的管理。負(fù)責(zé)新設(shè)備、擴(kuò)容設(shè)備的入網(wǎng)質(zhì)量把關(guān)。保證設(shè)備清潔，機(jī)房環(huán)境條件良好。建立健全必要的系統(tǒng)技術(shù)資料和維護(hù)資料的檔案。WLAN維護(hù)職責(zé)認(rèn)真貫徹執(zhí)行有關(guān)維護(hù)管理的各項(xiàng)管理制度、維護(hù)規(guī)程和安全措施，完成各項(xiàng)通信任務(wù)和質(zhì)量指標(biāo)。組織制定維護(hù)作業(yè)計(jì)劃，定期檢查和分析設(shè)備、網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行情況，保證設(shè)備完好，系統(tǒng)運(yùn)行正常。負(fù)責(zé)本地AP、AC及輔助設(shè)備的現(xiàn)場(chǎng)維護(hù)。監(jiān)視AP、AC及輔助設(shè)備的各種告警，發(fā)現(xiàn)問(wèn)題積極與相關(guān)部門(mén)和廠家聯(lián)系，完成本地故障的檢查、定位、測(cè)試和修復(fù)工作，并積極向各省（區(qū)、市）公司網(wǎng)絡(luò)部門(mén)報(bào)告設(shè)備情況，事后認(rèn)真總結(jié)，制定防范措施。負(fù)責(zé)處理WLAN系統(tǒng)與本地?cái)?shù)據(jù)網(wǎng)節(jié)點(diǎn)的故障，定期檢查WLAN系統(tǒng)與本地?cái)?shù)據(jù)節(jié)點(diǎn)間網(wǎng)絡(luò)連通性，主動(dòng)和相關(guān)部門(mén)協(xié)調(diào)排除故障。負(fù)責(zé)WLAN系統(tǒng)軟硬件版本管理及關(guān)鍵數(shù)據(jù)的備份，包括：設(shè)備軟硬件版本升級(jí)、軟硬件技術(shù)資料的管理、系統(tǒng)數(shù)據(jù)庫(kù)、文件系統(tǒng)的備份等。負(fù)責(zé)受理本地業(yè)務(wù)部門(mén)的申告，并及時(shí)處理。負(fù)責(zé)上報(bào)現(xiàn)場(chǎng)維護(hù)質(zhì)量統(tǒng)計(jì)報(bào)表和數(shù)據(jù)統(tǒng)計(jì)報(bào)表。具體維護(hù)測(cè)試項(xiàng)目序號(hào)測(cè)試范圍測(cè)試項(xiàng)目測(cè)試周期備注1機(jī)房環(huán)境機(jī)房空調(diào)、溫濕度檢查及記錄日

2系統(tǒng)狀態(tài)硬件系統(tǒng)檢查日3AP的監(jiān)控網(wǎng)管到AP可達(dá)性監(jiān)控日

4AP工作狀態(tài)的監(jiān)控日5AP到AC可達(dá)性的監(jiān)控日6AP覆蓋區(qū)域信噪比月7AP覆蓋區(qū)域場(chǎng)強(qiáng)測(cè)試月8AC的監(jiān)控

網(wǎng)管到AC的可達(dá)性監(jiān)控日9AC工作狀態(tài)的監(jiān)控日10AC到認(rèn)證服務(wù)系統(tǒng)的可達(dá)性監(jiān)控日11AC工作進(jìn)程的狀態(tài)監(jiān)控日12AC工作端口的狀態(tài)監(jiān)控日13定期察看系統(tǒng)日志日14其它相關(guān)系統(tǒng)監(jiān)控其它相關(guān)系統(tǒng)可用性測(cè)試日15性能分析忙時(shí)接入響應(yīng)分析日

16其它

傳輸資料的檢查核對(duì)月

17設(shè)備清潔、除塵月

18定期修改設(shè)備密碼季

19備品備件的清理核對(duì)季

具體維護(hù)測(cè)試項(xiàng)目（續(xù)）WLAN維護(hù)管理概述

WLAN故障分類(lèi)WLAN故障分類(lèi)凡線路在承擔(dān)業(yè)務(wù)期間，不論何種原因造成中斷或質(zhì)量降低至用戶(hù)反映無(wú)法使用，稱(chēng)線路故障。凡介入通信的主備用設(shè)備，在規(guī)定的運(yùn)行時(shí)間內(nèi)不能正常運(yùn)行者，稱(chēng)設(shè)備故障。由于管理、聯(lián)系或操作錯(cuò)誤等原因造成通信故障或不良后果的為人為故障。由于WLAN系統(tǒng)服務(wù)質(zhì)量低下，業(yè)務(wù)無(wú)法正常使用而造成大量用戶(hù)投訴的，稱(chēng)為業(yè)務(wù)故障。

WLAN故障級(jí)別系統(tǒng)或關(guān)鍵設(shè)備發(fā)生下列現(xiàn)象稱(chēng)全網(wǎng)嚴(yán)重故障。WLAN系統(tǒng)BRAS、RADIUS或PORTAL服務(wù)器宕機(jī)導(dǎo)致WLAN業(yè)務(wù)全阻超過(guò)30分鐘；WLAN認(rèn)證計(jì)費(fèi)系統(tǒng)與CMNet骨干網(wǎng)IP通路及與七號(hào)信令網(wǎng)通路中斷導(dǎo)致WLAN業(yè)務(wù)全阻超過(guò)30分鐘；其它故障為一般故障。

系統(tǒng)或關(guān)鍵設(shè)備發(fā)生下列現(xiàn)象稱(chēng)省內(nèi)嚴(yán)重故障。WLAN認(rèn)證系統(tǒng)與本?。▍^(qū)、市）IP通路及與七號(hào)信令網(wǎng)通路中斷導(dǎo)致該?。▍^(qū)、市）WLAN業(yè)務(wù)全阻超30分鐘。嚴(yán)重故障發(fā)生后必須立即匯報(bào),嚴(yán)重故障在24小時(shí)內(nèi)向上級(jí)主管部門(mén)書(shū)面匯報(bào)。嚴(yán)重故障發(fā)生后,當(dāng)?shù)鼐W(wǎng)絡(luò)部應(yīng)立即查清故障原因,落實(shí)防范措施,確定故障性質(zhì)和責(zé)任。當(dāng)事班組應(yīng)填寫(xiě)故障報(bào)告,由主管領(lǐng)導(dǎo)填寫(xiě)意見(jiàn),于故障發(fā)生后三天內(nèi)報(bào)上級(jí)主管部門(mén)。故障處理的傳報(bào)故障處理中的牽頭單位和部門(mén)有關(guān)中國(guó)移動(dòng)通信計(jì)費(fèi)認(rèn)證的故障處理由省公司網(wǎng)絡(luò)部牽頭，其他單位和部門(mén)配合。與當(dāng)?shù)谿SM網(wǎng)之間的故障處理，按GSM故障處理流程處理。AC和AP之間的故障處理，由基站室負(fù)責(zé)處理，其他單位和部門(mén)配合。中心交換機(jī)、匯聚設(shè)備、傳輸設(shè)備故障，由交換室負(fù)責(zé)處理，其他單位和部門(mén)配合。設(shè)備故障統(tǒng)計(jì)WLAN系統(tǒng)的各類(lèi)設(shè)備出現(xiàn)故障，都應(yīng)做好詳細(xì)的記錄，并定期對(duì)故障現(xiàn)象和處理情況進(jìn)行匯總統(tǒng)計(jì)。設(shè)備故障記錄內(nèi)容應(yīng)包括故障現(xiàn)象、故障類(lèi)型、故障起始時(shí)間、故障修復(fù)時(shí)間、故障歷時(shí)、故障原因分析及解決情況、故障處理情況及責(zé)任分析、故障處理人等。匯總統(tǒng)計(jì)時(shí)應(yīng)根據(jù)故障類(lèi)型，對(duì)各類(lèi)問(wèn)題進(jìn)行匯總。對(duì)涉及設(shè)備質(zhì)量方面的問(wèn)題，應(yīng)及時(shí)向有關(guān)部門(mén)報(bào)告。全網(wǎng)嚴(yán)重故障應(yīng)立即上報(bào)集團(tuán)公司。WLAN故障處理流程故障排除一般流程第八部分

WLAN熱點(diǎn)告警分析和告警處理故障管理（FaultManagement）對(duì)系統(tǒng)中主要是網(wǎng)元設(shè)備故障情況的管理，包括故障的檢測(cè)、診斷、定位和恢復(fù)等，軟件上表現(xiàn)的一般為告警記錄相關(guān)概念：告警級(jí)別：一般可將告警分為嚴(yán)重、重要、次要、輕微等不同級(jí)別當(dāng)前告警和歷史告警：告警有時(shí)產(chǎn)生后又恢復(fù)了正常，所以存在當(dāng)前告警（目前正呈現(xiàn)的告警）和歷史告警（曾經(jīng)出現(xiàn)過(guò)的告警）兩種告警屏蔽：有些告警產(chǎn)生可以是因?yàn)橄嚓P(guān)接口沒(méi)接信號(hào)，并不嚴(yán)重，可以在設(shè)備側(cè)或網(wǎng)管側(cè)對(duì)其進(jìn)行屏蔽WLAN告警分析和處理移動(dòng)規(guī)范中的告警和通告指的是由設(shè)備主動(dòng)上報(bào)給網(wǎng)管的信息，一般不提供網(wǎng)管端直接查詢(xún)。“通告”指的是一種事件的通知，即一瞬間產(chǎn)生的，不存在告警清除，如“IP地址變更通告”“告警”則一般有對(duì)應(yīng)“告警清除”，如“內(nèi)存利用率過(guò)高告警”和“內(nèi)存利用率過(guò)高告警清除”WLAN告警分析和處理告警和通告類(lèi)別系統(tǒng)告警及通告認(rèn)證服務(wù)器告警無(wú)線相關(guān)告警終端通告WAPI安全相關(guān)告警信息AC系統(tǒng)告警及通告電源掉電告警電源掉電告警清除CPU利用率過(guò)高告警CPU利用率過(guò)高告警清除內(nèi)存利用率過(guò)高告警內(nèi)存利用率過(guò)高告警清除AC發(fā)生主備切換告警AC的DHCP可分配地址耗盡告警AC的DHCP可分配地址耗盡告警清除AC與AP間系統(tǒng)時(shí)鐘同步失敗通告系統(tǒng)冷啟動(dòng)通告系統(tǒng)熱啟動(dòng)通告心跳周期通告IP地址變更通告WLAN告警－－AC告警和通告認(rèn)證服務(wù)器告警Radius認(rèn)證服務(wù)器不可達(dá)/不可用/無(wú)法連接告警Radius認(rèn)證服務(wù)器不可達(dá)/不可用/無(wú)法連接告警清除Radius計(jì)費(fèi)服務(wù)器不可達(dá)/不可用/無(wú)法連接告警Radius計(jì)費(fèi)服務(wù)器不可達(dá)/不可用/無(wú)法連接告警清除Portal服務(wù)器不可達(dá)告警Portal服務(wù)器不可達(dá)告警清除WLAN告警－－AC告警和通告AP系統(tǒng)告警及通告CPU利用率過(guò)高告警CPU利用率過(guò)高告警清除內(nèi)存利用率過(guò)高告警內(nèi)存利用率過(guò)高告警清除AP下線告警AP上線通告AP無(wú)線監(jiān)視工作模式變更通告WLAN告警－－瘦AP告警和通告無(wú)線相關(guān)告警同頻AP干擾告警同頻AP干擾告警清除鄰頻AP干擾告警鄰頻AP干擾告警清除終端干擾告警終端干擾告警清除其他設(shè)備干擾告警其他設(shè)備干擾告警清除無(wú)線鏈路中斷告警無(wú)線鏈路中斷告警清除AP無(wú)法增加新的移動(dòng)用戶(hù)告警AP無(wú)法增加新的移動(dòng)用戶(hù)告警清除無(wú)線信道變更通告WLAN告警－－瘦AP告警和通告終端通告終端鑒權(quán)失敗通告終端關(guān)聯(lián)失敗通告WAPI安全相關(guān)告警信息非法證書(shū)用戶(hù)侵入網(wǎng)絡(luò)通告客戶(hù)端重放攻擊通告篡改攻擊通告安全等級(jí)降低攻擊通告地址重定向攻擊通告WLAN告警－－瘦AP告警和通告Trap索引WLAN網(wǎng)絡(luò)設(shè)備維護(hù)一、有線端設(shè)備維護(hù)與檢測(cè)二、無(wú)線端設(shè)備維護(hù)與檢測(cè)有線端設(shè)備維護(hù)與檢測(cè)無(wú)線控制器（AC)AC是否正常工作，有無(wú)死機(jī)現(xiàn)象？檢測(cè)：各指示燈是否正常顯示，風(fēng)扇是否停止轉(zhuǎn)動(dòng)AC與核心設(shè)備（交換機(jī)，路由器，服務(wù)器等）連接是否正確？檢測(cè)：AC的WAN口接上級(jí)出口的設(shè)備接口，LAN口接下行到熱點(diǎn)區(qū)域交換機(jī)連接的端口有線端設(shè)備維護(hù)與檢測(cè)無(wú)線控制器（AC）AC是否對(duì)AP和用戶(hù)的數(shù)據(jù)分開(kāi)處理？檢測(cè)：AC上是否對(duì)AP開(kāi)啟DHCP服務(wù)，對(duì)AP和用戶(hù)劃分不同的VLANAC是否對(duì)AP下發(fā)配置信息，讓AP能夠工作？檢測(cè)：用筆記本在AP覆蓋范圍內(nèi)進(jìn)行無(wú)線網(wǎng)絡(luò)搜索，能否搜索到SSID、信道等（AC里需對(duì)AP作配置模板）有線端設(shè)備維護(hù)與檢測(cè)交換機(jī)匯聚交換機(jī)到AC與匯聚交換機(jī)到熱點(diǎn)接入交換機(jī)的鏈路是否已通？檢測(cè)：在熱點(diǎn)交換機(jī)上PING其連接的AC及匯聚交換機(jī)相應(yīng)端口的IP，檢查是否已通；查看各交換機(jī)的命令是否正確配置（按照規(guī)劃的VLAN及IP地址配置）；使用traceroute命令查找鏈路上已通的設(shè)備，可查找出不通一段鏈路，進(jìn)行排除故障有線端設(shè)備維護(hù)與檢測(cè)POE模塊POE模塊對(duì)AP供電，AP不起來(lái)？檢測(cè)：POE模塊連接AP的線路是否有錯(cuò)誤，正確如下圖所示APPOE交換機(jī)交流電220VDATEDATE+POWER有線端設(shè)備維護(hù)與檢測(cè)POE模塊POE模塊中連AP的網(wǎng)線不能大于90米，連接交換機(jī)的網(wǎng)線不能超過(guò)100米，注：POE交換機(jī)是直接連AP，網(wǎng)線不超過(guò)90米有線端設(shè)備維護(hù)與檢測(cè)光纖收發(fā)器光纖收發(fā)器之間鏈路是否已通？檢測(cè)：查看光纖收發(fā)器正常狀態(tài)下的3個(gè)指示燈亮：POWER、TX、RX，如果有一個(gè)指示燈不亮都說(shuō)明設(shè)備工作不正常。無(wú)線端設(shè)備維護(hù)與檢測(cè)無(wú)線APAP在AC上沒(méi)有上線？檢測(cè)：首先檢查AP到交換機(jī)的線路通不通，不通的檢查網(wǎng)線的線序有無(wú)做錯(cuò)，如果POE供電的話，還得看線路有沒(méi)有超過(guò)90米；然后查交換機(jī)的配置是否正確，交換機(jī)上能否PING通網(wǎng)關(guān)及AC；AP是否有干擾？檢測(cè)：用軟件搜索該AP的SSID，信道，看是否與旁邊的AP設(shè)置的是一個(gè)信道？如果是，剛在AC里更改配置模板，將信道更改第九部分

WLAN故障處理的思路和方法

常見(jiàn)的AP關(guān)聯(lián)失敗問(wèn)題和解決方法AP在線無(wú)信號(hào)的解決方法用戶(hù)獲取不了IP地址的解決方法用戶(hù)連接或下載慢的解決方法用戶(hù)能上網(wǎng)但不能打開(kāi)網(wǎng)頁(yè)的解決方法AC插上光模塊連接尾纖后，光口指示燈不亮的解決方法使用抓包工具，分析故障原因

常見(jiàn)故障排查一、AP關(guān)聯(lián)失敗的問(wèn)題

排除版本和型號(hào)不匹配的原因影響后，開(kāi)始排查網(wǎng)絡(luò)原因排查步驟：1、將筆記本有線網(wǎng)卡改成自動(dòng)獲取IP地址，連接poe交換機(jī)，看是否能獲取地址。是，轉(zhuǎn)到16步；否，轉(zhuǎn)到第2步。2、手動(dòng)給筆記本設(shè)置IP地址、網(wǎng)關(guān)與AP同一網(wǎng)段，pingACLAN口IP，是否通。是，到11步；否，到第三步。3、ping筆記本網(wǎng)關(guān)是否通。是，到13步；否，到第4步。4、檢查網(wǎng)關(guān)地址是否有誤。否，到第5步。5、登陸poe交換機(jī)查看是否能學(xué)習(xí)到AP的MAC。是，到第6步；否，到第19步。6、登陸poe、交換機(jī)，觀察AP管理vlan到網(wǎng)關(guān)是否透?jìng)?。是，到?0步。否，到第7步。7、修改vlan使其透?jìng)鳌?、登陸poe交換機(jī)，ping其他poe交換機(jī)的管理地址來(lái)判斷poe上行鏈路的連通性。9、重做傳輸鏈路。10、按5-7的步驟往上排查，使鏈路導(dǎo)通。11、AP網(wǎng)關(guān)所在設(shè)備的DHCP-RELAY地址是否正確。否，到下一步；是，到第13步。12、修改DHCP-RELAY地址到ACLAN口。13、遠(yuǎn)程或串口登陸AC是否能ping通AP的網(wǎng)關(guān)。14、檢查AC是否設(shè)定靜態(tài)路由條目指向AP所在網(wǎng)段。15、要求運(yùn)營(yíng)商做通中間鏈路的路由。16、登錄AP查看是否為胖AP；是，轉(zhuǎn)成瘦；否，下一步。17、對(duì)站點(diǎn)AP側(cè)及ACLAN口側(cè)分別進(jìn)行上下行抓包，觀察AP的UDP報(bào)文是否發(fā)出，AC

是否接收到對(duì)應(yīng)AP的發(fā)出的UDP包。是，到19步結(jié)束。否，到18步。18、協(xié)調(diào)運(yùn)營(yíng)商檢查鏈路是否做策略。19、AP與AC報(bào)文格式之間的匹配問(wèn)題，需聯(lián)系總部工程師反饋情況。20、重新激活交換機(jī)接口。21、對(duì)AP進(jìn)行復(fù)位操作。22、對(duì)AP進(jìn)行升級(jí)操作。23、更換AP。

排除版本和型號(hào)匹配的原因影響后，開(kāi)始排查網(wǎng)絡(luò)原因一、AP關(guān)聯(lián)失敗的問(wèn)題二、AP在線無(wú)信號(hào)的解決方法1、AP處于quit狀態(tài)2、radio接口處于disable或shutdown狀態(tài)3、APradio卡可能處于11a模式，部分筆記本無(wú)線網(wǎng)卡不支持11a，從而無(wú)法搜索信號(hào)處理方法：1、showwtplist查看AP的狀態(tài)，run狀態(tài)表示AP正常在線。

以下原因可能導(dǎo)致AP沒(méi)信號(hào)：

二、AP在線無(wú)信號(hào)的解決方法處理方法：2、showradiolist查看APradio的狀態(tài)，enable狀態(tài)表示正常狀態(tài)。同時(shí)可觀察到radiotype列顯示的AP工作模式。修改模式的方法見(jiàn)“AC常用配置命令”。3、showrun命令查看radio接口的配置，下圖為正常狀態(tài)，如出現(xiàn)shutdown字樣則radio接口處于關(guān)閉狀態(tài)，所以沒(méi)信號(hào)。

二、AP在線無(wú)信號(hào)的解決方法處理方法：5、重啟radio接口、重啟AP、交換機(jī)端口斷電、把網(wǎng)線等方法可讓AP重新正常工作。

三、用戶(hù)獲取不了地址的解決方法1、如果是本地轉(zhuǎn)發(fā)，交換機(jī)可能沒(méi)有正確的配置業(yè)務(wù)vlan2、DHCP服務(wù)器故障,如地址空間較少已分配完畢3、筆記本無(wú)線網(wǎng)卡靈敏度較高，導(dǎo)致在信號(hào)接近的AP之間來(lái)回切換處理方法：1、cmd窗口運(yùn)行“ipconfig/release”再重新連接。2、確認(rèn)DHCP服務(wù)器發(fā)送數(shù)據(jù)是否帶有VLANtag。3、如果不帶vlantag，可用筆記本有線接入DHCP服務(wù)器連接口，看是否能獲取地址，能獲取則檢查下方的網(wǎng)絡(luò)配置，不能，則進(jìn)行第3步。4、手動(dòng)設(shè)置IP地址（與DHCP-Server同一網(wǎng)段），能否ping通DHCP-Server的IP，ping通，則DHCP-Server故障，ping不通，則是鏈路的原因?qū)е隆?、檢查交換機(jī)的VLAN標(biāo)記有沒(méi)配錯(cuò)，本地轉(zhuǎn)發(fā)要交換機(jī)連接AP端口配置成trunk模式，業(yè)務(wù)vlan帶tag。6、把AP降功率，使其信號(hào)穩(wěn)定或調(diào)整無(wú)線網(wǎng)卡的漫游靈敏度。AP降功率配置詳見(jiàn)“AC常用配置命令”。

以下原因可能用戶(hù)獲取不了地址：

四、用戶(hù)連接或下載慢的解決方法1、鏈路原因?qū)е聲r(shí)延大或丟包2、受廣播風(fēng)暴影響，帶寬利用率下降3、同頻干擾和發(fā)射功率過(guò)大處理方法：1、分別在無(wú)線和有線側(cè)，用長(zhǎng)、短包ping網(wǎng)關(guān)觀察時(shí)延和丟包率，例：ping10.15.0.1–l1450–t（長(zhǎng)包）和ping10.15.0.1–t（短包）。判斷故障發(fā)生在無(wú)線端還是有線端。2、通過(guò)在交換機(jī)劃分多個(gè)vlan或配置隧道模式，隔離廣播。3、調(diào)整AP的信號(hào)避免信號(hào)重疊，調(diào)低發(fā)射功率降提高信號(hào)質(zhì)量。

以下原因可能用戶(hù)下載慢或不能連接：

五、用戶(hù)能上網(wǎng)但不能打開(kāi)網(wǎng)頁(yè)的解決方法1、瀏覽器是否設(shè)置proxy2、DNS解析和Hosts文件設(shè)置是否正常3、系統(tǒng)是否正常處理方法：1、IE瀏覽器-工具-連接-局域網(wǎng)設(shè)置-代理服務(wù)器，把勾取消

以下原因可能用戶(hù)下載慢或不能連接：五、用戶(hù)能上網(wǎng)但不能打開(kāi)網(wǎng)頁(yè)的解決方法處理方法：2、cmd窗口運(yùn)行，ipconfig/flushdns;查看hosts文件是否正常，下圖為正常顯示五、用戶(hù)能上網(wǎng)但不能打開(kāi)網(wǎng)頁(yè)的解決方法處理方法：3、用360安全衛(wèi)士修復(fù)IE瀏覽器，用殺毒軟件掃描系統(tǒng)是否中毒或必要時(shí)重裝系統(tǒng)。六、AC插上光模塊連接尾纖后，光口指示燈不亮的解決方法處理方法：1、檢查光模塊兩端參數(shù)（單模、多模、波長(zhǎng)）是否匹配，不匹配則更換成匹配。2、檢查接口雙工和協(xié)商速率，部分AC只支持自適應(yīng)速率，因此對(duì)端必須調(diào)為自適應(yīng)。3、查看端口參數(shù)是否有誤。七、使用抓包工具，分析故障原因使用抓包工具是網(wǎng)絡(luò)工程師排查故障的重要手段，對(duì)于疑難雜癥及未知故障通常需要抓包分析原因。常用的抓包工具有：tcpdump、Omnipeek、