Category : CREATED BY JENKINSBOT

问题描述
在 IEEE 802.11 AP 和 IEEE 802.1X/WPA/WPA2/EAP 最初的认证器,hostapd 是 Host AP 驱动程序的可选用户空间组件。它为内核驱动程序中的基本的IEEE 802.11管理增加了更多功能:使用外部RADIUS身份验证服务器进行基于MAC地址的访问控制、IEEE 802.1X身份验证器和动态WEP密钥、RADIUS计费、WPA/WPA2(IEEE 802.11i/RSN)验证器和动态TKIP/CCMP密钥。
当前版本包括:对其他驱动程序的支持、集成的EAP认证器(即允许完全认证,不需要外部RADIUS认证服务器)、用于EAP认[……]

Read more

网络架构

AC, Access Controller
AC(Access Controller,接入控制器)
在 AC + FIT AP 网络架构中: 1)AC 负责 WLAN 的接入控制、转发、统计; 2)AC 负责对在 WLAN 中的所有 FIT AP 进行控制和管理; 2)AP 的配置监控、漫游管理、AP 的网管代理、安全控制;
1)AC 负责配置信息,并下发给 FIT AP 节点; 2)AC 一般位于整个网络的汇聚层,提供高速、安全、可靠的WLAN业务。
FIT AP, FIT Access Point
FIT AP(瘦 AP):接受 A[……]

Read more

流程概述
0)预先 AC 配置:为确保 AP 能够上线,AC 需预先配置; 1)AP 上线:AP 获取IP地址并发现AC,与AC建立连接 2)WLAN 业务配置下发:AC将WLAN业务配置下发到AP生效 3)STA 接入:STA搜索到AP发射的SSID并连接、上线,接入网络 4)WLAN 业务数据转发:WLAN网络开始转发业务数据

第零步、预先 AC 配置(命令)
为确保AP能够上线,AC需预先配置
创建 AP Group 实例
每个 AP 都会加入并且只能加入到一个 AP Group 中,AP Group 通常用于多个 AP 的通用配置;
配置网[……]

Read more

配置命令
AP上线流程和故障处理
查看 AC 支持 AP 型号

<Huawei> display ap-type all # 查看AC是否支持当前的AP款型。

配置AP上线

// 配置AC作为DHCP服务器,配置Option 43字段
// 配置DHCP服务器分配给DHCP客户端的自定义选项。
[AC-ip-pool-pool1] option code [ sub-option sub-code ] { ascii ascii-string | hex hex-string | cipher cipher-string | ip-a[……]

Read more

问题描述
目前,大多数企业办公环境同时使用有线和无线网络来支撑业务。办公区在提供有线网口的同时,也采用全Wi-Fi覆盖,办公环境更为开放和智能。未来,企业云桌面办公、智真会议、4K视频等大带宽业务将从有线网络迁移至无线网络,而VR/AR、虚拟助手、自动化工厂等新技术将直接基于无线网络部署。新的应用场景对企业WLAN的设计与规划提出更高的要求。
WLAN 让网络使用更自由,酒店、医院、商业中心、交通枢纽,让用户随时随地的接入网络。
WLAN 让工作更高效 —— 为不同行业提供更加灵活、多样的组网方案,满足各行各业对于网络应用的需求。 1)行业办公网:政府、金融、交通、能源[……]

Read more

问题描述
由于无线终端的移动性,在无线网络中经常有大量用户从某个区域接入后,随着用的移动,再漫游到其他区域,导致该区域的用户接入多,对IP地址数目要求大。比如:场馆入口、酒店的大堂等 ⇒ 鉴于无线网络终端的移动性,导致特定区域 IP 地址请求较多。
然而,目前一个 SSID 只能对应一个 VLAN,一个 VLAN 对应一个子网。此时,如果大量用户从某一区域接入,为了保证所有用户能够获取到 IP 地址: 1)只能扩大 VLAN 的子网,但是扩大子网带来的问题就是广播域扩大,导致大量的广播报文(如 ARP、DHCP 等)带来严重的网络拥塞。 2)新建 SSID 并绑定其所属 VLAN[……]

Read more

问题描述
在 WLAN 中,当 AP 上线时,需要获取 AC 的网络地址,以与 AC 间建立 CAPWAP 隧道。
但是,在大型的三层组网中,可能存在两个问题:
1)AP 无法获取 IP 地址:在大型的三层组网中,DHCP Server 与 DHCP Client 在不同的广播域中,此时 AP 无法通过广播向 DHCP Server 请求分配地址,进而导致 AP 无法与 AC 进行通信;
2)AP 无法获知 AC 的 IP 地址:同样鉴于 AC 与 AP 不在同一个广播域,AP 无法通过广播的方式发现 AC(IP 地址),仍旧导致 CAPWAP 隧道无法建立成功;[……]

Read more

问题描述
为了满足实际业务的需求,需要对 BSS 的覆盖范围进行扩展。同时用户从某个 BSS 移动到另个 BSS 时,不能感知到 SSID 的变化,并保证业务不中断。
解决方案
WLAN Roming(WLAN 漫游,无线漫游)便是用来实现这种需求的技术,其是指 STA 在不同 AP 覆盖范围间移动,且保持用户业务不中断的行为。
原理简述
ESS(扩展服务集,Extend Service Set):由多个使用相同 SSID 的 BSS 组成,即由采用相同的 SSID 的多个 BSS 组成的更大规模的虚拟 BSS。

在 STA 移动过程中,如果逐渐[……]

Read more

在 WLAN Networking 中,为保证组网可靠性,常见的备份技术有: 1)VRRP 双机热备份(主备)(VRRP + Hot Standby) 2)双链路冷备份(Dual-link Cold Backup) 3)双链路热备份(主备&负载分担)(Dual-Link Hot Standby) 4)N+1 备份(N+1 Backup)
概念术语
Hot-Standby Backup
HSB(Hot Standby Backup,热备份)是华为主备公共机制,涉及 HSB Service(主备服务)与 HSB Group(主备备份组)两个概念;
为了保证 WLAN[……]

Read more

问题描述
在网络中传输数据时需要遵循一些标准,以太网协议定义了数据帧在以太网上的传输标准,了解以太网协议是充分理解数据链路层通信的基其础。以太网交换机是实现数据链路层通信的主要设备,了解以太网交换机的工作原理也是十分必要的。
该笔记将记录:以太网协议的相关概念、MAC地止的类型、二层交换机的工作流程、二层交换机的工作原理。
解决方案
数据链路层:控制网络层与物理层之间通信。物理层不同,则数据链路层采用的封装方法也不同。
数据单元:数据帧,Frame;
以太网协议
以太网是当今现有局域网(Local Area Network,LAN)采用的最通用的通[……]

Read more

冲突域,Collision Domain
在以太网中,当多个节点同时传输数据时,从多个设备发出的帧将会碰撞,在物理介质上相遇,彼此数据都会被破坏,这样的共享介质网段就叫冲突域。冲突域是指连接在同一共享介质上的所有节点的集合。冲突域内所有节点竞争同一带宽,一个节点发出的报文(无论是单播、组播、广播),其余节点都可以收到。
在共享式网络中,可能会出现信号冲突现象。同轴电缆

在半双工状态下,使用 CSMA/CD 方案解决: 1)先听后发,监听检测网络是否空闲; 2)如果没有冲突则,进行发送; 3)如果发送时出现冲突,则立即停止; 4)随机延时重发;
目前的网络[……]

Read more

以太网帧结构
以太网是根据 IEEE 802.3 标准来管理和控制数据帧。
网络通信协议:OSI,TCP/IP,IPX/SPX,SNA
局域网协议:IEEE 802,以太网 广域网协议:帧中继,PPP,HDLC
IEEE 802.3 Ethernet
IEEE 802.3:| D.MAC | S.MAC | Length | LLC | SNAP | Data | FCS |
通常,在交换机间使用,比如 STP、IS-IS 等等; Length/Type <= 1500(0x05DC)使用 IEEE802.3 协议;
Ethernet II[……]

Read more

[PC] arp -a # 查看主机 ARP 缓存表

[Huaiwe] display mac-address verbose # 查看 MAC 地址表

删除 MAC 绑定

[system-view] display arp | include 10.10.50.250

[system-view] dis cur | include 10.10.50.250 # 查看MAC绑定命令
[system-view] undo arp static 10.10.50.250 408d-5c3a-c1d7

[system-view] display arp | includ[……]

Read more

物理地址,MAC Address
MAC,Medium Access Control,在网络中唯一标识一个网卡,每个网卡都需要并拥有有唯一的一个MAC地址。交换机只有一个 MAC 地址,被称为桥 MAC(Bridage MAC)。
数据链路层基于 MAC 地址进行数据传输。
组成:共 48 位,分为两部分,其中: 1)前 24-bit 为 OUI ⇒ 向 IEEE 申请得到; 2)后 24-bit 为厂商 ID,由厂商自定义以区别设备;
表示:通常以十六进制形式表示: 1)比如 00-1E-10-DD-DD-02 格式; 2)在交换机中,会使用 001E-10DD[……]

Read more

问题描述
除了知道 IP 地址,IP 报文还必须封装成帧,然后通过数据链路层来发送,而数据帧必须包含目的 MAC 地址。
解决方案
通过 IP 地址而获取目的 MAC 地址的过程是通过 ARP 协议实现的。
原理简述
当 主机A 发送数据包给 主机C 之前,首先要获取 主机C 的 MAC 地址:

除了相应 MAC 地址,主机还会绑定请求者的 MAC 地址。
在发送数据包之前先触发 ARP 查询。有些时候首个 ping 包会丢失,是因为完成 ARP 查询的时间比较久。
ARP 缓存表作用
一般缓存 1200s (20min)[……]

Read more

常用工具
arpspoof – intercept packets on a switched LAN
常用选项: -i interface: 接口 -c own|host|both:C-c退出时,使用的地址; -t target:要毒化的主机; -r:要与-t连用,默认情况下只毒化target,-r双向毒化; host:要伪装的主机、被攻击的主机;[……]

Read more

问题描述
网络中针对ARP的攻击层出不穷,中间人攻击是常见的ARp欺骗攻击方式之一。
解决方案
为了防御中间人攻击,可以在交换机上部署动态ARP检测 (DAl,DynamicARP Inspection) 功能。
原理简述
DAI是利用绑定表来防御中间人攻击的。

当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较: 1)如果信息匹配,说明发送该 ARP 报文的用户是合法用户,人允许此用户的ARP报文通过; 2)否则就认为是攻击,丢弃该 ARP 报文。[……]

Read more

问题描述
很多网络协议(比如 RIP BGP 等等),都是用来传递网络拓扑信息的,以降低维护和配置的复杂度。
VLAN 也需要这种协议,以在网络中传播交换机的 VLAN 信息,减轻维护和配置工作、保证 VLAN 配置准确。
解决方案
GVRP(GARP VLAN Registration Protocol),是 GARP 的一种具体应用或实现,主要用于维护设备动态 VLAN 属性。通过 GVRP 协议,一台交换机上的VLAN 信息会迅速传播到整个交换网络 GVRP 实现 LAN 属性的动态分发、注册和传播,从而减少了网络管理员的工作量,也能保证VLAN配置的正确性。[……]

Read more