锐捷网络WLAN技术白皮书

锐捷ACL应用技术白皮书摘要ACL，是访问控制列表(Access Control Lists)的简称。

在实际的网络环境中，各种上层访问都是通过报文交互进行的，为了进行访问控制，就通过ACL设置一系列过滤规则来控制报文转发和过滤，从而达到目的，所以称之为访问控制列表。

本文阐析了ACL功能的工作机制。

并在此基础上，说明我司交换机在ACL功能上的特点，优越性及其应用。

关键词ACL ACE目录摘要 (1)关键词 (1)1 缩略语 (2)2 概述 (2)2.1 ACL技术产生的背景 (2)2.2 我司交换机产品对ACL功能的支持情况 (3)3 技术介绍 (4)3.1 ACL工作原理 (4)3.1.1 ACL分类 (4)3.1.2 安全ACL种类 (4)3.1.3 Access Control Entry (4)3.1.4 安全ACL过滤报文原理 (6)3.1.5 基于接口和基于VLAN的ACL (8)4 锐捷ACL技术特点 (11)4.1 配置灵活方便 (11)4.2 功能完备 (11)4.3 过滤性能好 (11)4.4 各款产品ACL功能限制 (12)4.4.1 各类型ACL共有限制 (12)4.4.2 各款产品支持情况差异性说明 (12)4.4.3 机箱式设备的线卡类型汇总 (14)4.5 各款产品ACL在各种应用情况下的限制和容量值 (15)4.5.1 IP标准ACL的限制和容量值 (15)4.5.2 IP扩展ACL的限制和容量值 (15)4.5.3 MAC扩展ACL的限制和容量值 (16)4.5.4 专家级ACL的限制和容量值 (17)4.5.5 IPv6 ACL的限制和容量值 (17)4.6 使用我司ACL功能注意事项 (18)4.7 应用与案例分析 (19)4.7.1 核心层交换机S86关键配置 (20)4.7.2 汇聚层交换机S57关键配置 (22)4.7.3 接入层交换机S26关键配置 (24)5 结束语 (26)1 缩略语ACL：Access Control List，访问控制列表ACE：Access Control Entry，ACL的组成元素VACL：基于VLAN的ACLPort ACL：基于二层接口的ACLAP：Aggregate PortL2 AP：二层AP接口L3 AP：三层AP接口SVI：Switch Vlan Interface，交换机虚拟VLAN接口Routed Port：路由口2 概述2.1 ACL技术产生的背景在实际网络环境中，各种上层访问，最常见的就是访问某个网站，归根结底是通过PC和服务器之间的报文交互进行的，而报文则是通过交换机，路由器等各种网络设备进行传输的。

锐捷网络WLAN技术白皮书一、无线网络解决方案分类无线网络解决方案包括：无线个人网：主要用于个人用户工作空间，典型距离覆盖几米，可以与计算机同步传输文件，访问本地外围设备，如打印机等。

目前主要技术包括蓝牙（Bluetooth）和红外（IrDA）。

无线局域网：主要用于宽带家庭、大楼内部以及园区内部，典型距离覆盖几十米至上百米。

目前主要技术为802.11系列。

无线LAN-to-LAN网桥：主要用于大楼之间的联网通讯，典型距离几公里。

许多无线网桥采用802.11b技术。

无线城域网和广域网：覆盖城域和广域环境，主要用于Internet/email访问，但提供的带宽比无线局域网技术要低很多。

二、无线局域网频道分配与调制技术无线局域网采用电磁波（RF）作为载体传送数据信息。

对电磁波的使用分两种常见模式：窄带和扩频。

窄带技术以微波为主，适用于长距离点到点的应用，可以达到40公里。

由于它采用的频道较宽以及定向信号天线，因此其最大带宽可达10Mbps，但受环境干扰较大。

无线局域网采用无线扩频(spread spectrum)技术，也称SST，早期由军事部门研发，确保安全可靠的军事通讯。

常见的扩频技术包括两种：调频扩频（FHSS）和直序扩频（DSSS），它们工作在2.4-2.4835GHz。

1、调频技术调频技术将835MHz的频带划分成79个子频道，每个频道带宽为1MHz。

信号传输时在79个子频道间跳变，因此传输方与接受方必须同步，获得相同的条变格式，否则，接受方无法恢复正确的信息。

调频过程中如果遇到某个频道存在干扰，将绕过该频道。

受跳变的时间间隔和重传数据包的影响，调频技术的典型带宽限制为2-3Mbps。

2、直序扩频技术直序扩频技术是无线局域网802.11b采用的技术，将835MHz的频带划分成14个子频道，每个频道带宽为22MHz。

直序扩频技术用一个冗余的位格式来表示一个数据位，这个冗余的位格式称为chip，因此它可以抗拒窄带和宽带噪音的干扰，提供更高的传输速率。

RG-AP720-I灵动天线型802.11ac无线接入点产品白皮书目录1产品图片 (3)2产品概述 (4)3产品特性 (5)4技术参数 (9)5典型应用 (12)6订购信息 (13)1 产品图片图1-1RG-AP720-I2 产品概述RG-AP720-I是锐捷网络推出的搭载灵动天线、支持802.11ac Wave2最新技术标准的无线接入点（AP）产品，支持MU-MIMO，整机提供1267Mbps的接入速率，超千兆的极速无线让性能不再成为瓶颈。

通过扩展“AP卫星”RG-MAP552(SR)，可实现用户数、性能翻倍提升，整机最大达到2.4Gbps。

RG-AP720-I同时搭载了业界领先的X-Sense灵动天线，跨越式的提升了AP的覆盖性能，保障了移动智能终端最优的接入效果。

RG-AP720-I产品充分考虑了无线网络安全、射频控制、移动访问、服务质量保证、无缝漫游等重要因素，配合锐捷网络RG-WS系列无线控制器产品，完成无线用户数据转发、安全和访问控制。

RG-AP720-I可支持同时工作在802.11ac wave2和802.11n模式。

该产品支持壁挂、吸顶安装方式，可安全方便的安装于墙壁、天花板等各种位置。

RG-AP720-I产品可支持本地供电与远程以太网供电模式，可根据客户现场供电环境进行灵活选择，特别适合部署在大型校园、企业办公、医院、运营热点等环境。

3 产品特性支持802.11AC Wave2MU-MIMO：Multi-User Multiple-Input Multiple-Output。

简称为多用户多入多出技术，即同一时刻可向多个终端发送信息，802.11ac第二阶段标准的里程碑技术。

AP720-I支持业界最新的MU-MIMO技术，可以实现无线多用户并发环境下多个终端的并行传输，极大的提高了无线数据吞吐量和多用户接入使用体验。

X-sense：会思考的灵动天线➢自动天线路径选择，覆盖无死角锐捷网络创新研发的X-Sense灵动天线矩阵架构，能够动态选择不同的天线组合，支持最高多种组合方案，彻底解决传统天线存在覆盖盲区的弱点。

RG-SNC智能网络指挥官产品白皮书目录1产品图片 (1)2产品概述 (3)3产品特性 (4)4技术参数 (9)5典型应用 (10)6订购信息 (11)1 产品图片图1-1RG-SNC网管拓扑图1-2RG-SNC-WLAN网管图1-3RG-SNC-3G网管2 产品概述RG-SNC智能网络指挥官是锐捷网络为精确进行网络管理而设计的网络管理系统。

RG-SNC专注于网络呈现、设备故障与性能监控、设备配置变更监视与设备配置管理，采用友好的全中文Web浏览器界面，可以远程协同维护和管理。

RG-SNC采用非代理模式，避免了传统的“Agent”模式的繁琐和重复性劳动，而且便于实施和后期维护，极大地节省了工作时间和工作繁杂度。

可定义管理任务，主动收集网络状况并及时备份，做到状态变更的及时响应，出现故障可及时恢复；提供美观的网络拓扑图展现效果，俯瞰整个网络现状，出现异常时，在拓扑图上及时呈现。

RG-SNC主要配合锐捷设备使用，同时能够提支持对标准MIB的各厂商设备进行基础监控管理。

同时RG-SNC统还可通过组件化实现对各种网络环境的管理，包括：无线WLAN组件、3G组件、出口EG设备远程运维管理组件等，而实现对各种设备、各种复杂网络的简单管理，从而大大降低管理员的维护强度和难度。

3 产品特性软件架构B/S架构：采用纯B/S架构，无需安装客户端，通过标准浏览器就能完成对系统的访问。

设备配置的防灾保护配置快照：系统可以按照用户的需要定期采集设备配置文件，对设备配置信息进行备份，一旦设备配置被破坏，管理员可轻松实现设备配置恢复。

配置比对：系统可自动比对每次备份后的系统配置，一旦发生变更后可告知管理员，并方便的查看变更内容，便于风险管理。

设备系统文件统一管理和规划设备软件统计：系统提供统计信息，详细描述网内应用的设备型号、软件版本信息，为用户统一规划设备版本提供帮助。

设备软件批量下发：提供设备软件批量下发功能，无需动用大量的人力物力，即可实现网内设备应用版本一致，并详细统计版本信息。

RG-WS6008高性能无线控制器锐捷网络股份有限公司了解更多产品信息，欢迎登陆，咨询电话：400-620-8818。

产品概述RG-WS6008高性能无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。

可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。

RG-WS6008起始支持32个无线接入点的管理，通过license 的升级，最大可支持224个AP的管理。

RG-WS6008可针对无线网络实施强大的集中式可视化的管理和控制，显著简化原本实施困难、部署复杂的无线网络。

通过与锐捷网络有线无线统一集中管理平台RG-SNC以及无线接入点的配合，灵活地控制无线接入点的配置，优化射频覆盖效果和性能，同时还可实现集群化管理，将网络中的设备部署工作量将至最低。

RG-WS6008产品采用增强的安全和集群技术，通过基于身份的组网来提供网络服务。

集群中的多台无线控制器可共享用户数据库，实现无线用户在跨越整个网络不同区域的过程中无缝的漫游，彻底满足移动漫游中的安全性和会话完整性，充分满足Wi-Fi语音通信的数据交互和语音流畅。

产品特性高智能的无线体验终端智能识别RG-WS6008内置Portal服务器，能根据终端特点，智能识别终端类型，自适应弹出不同大小、页面格局的Portal认证页面。

终端智能识别技术免去了用户多次拖动，调整屏幕的操作，为用户提供更加智能的无线体验，并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。

终端公平访问RG-WS6008协同锐捷无线接入点为802.11g、802.11n、802.11ac等不同类型的终端提供相同的访问时间，极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，有效的提升了低速终端的性能，保证用户无论使用何种类型的终端，都将在相同的位置上获得同样良好的无线上网体验。

无线局域网的安全技术白皮书一、引言在当今数字化时代，无线局域网（WLAN）已成为人们生活和工作中不可或缺的一部分。

无论是在家庭、办公室、商场还是公共场所，我们都能轻松地连接到无线网络，享受便捷的互联网服务。

然而，随着无线局域网的广泛应用，其安全问题也日益凸显。

未经授权的访问、数据泄露、网络攻击等安全威胁给用户和企业带来了巨大的风险。

因此，了解和掌握无线局域网的安全技术至关重要。

二、无线局域网的基本原理无线局域网是利用无线通信技术在一定范围内建立的网络连接。

它通过无线接入点（AP）将设备连接到有线网络，实现数据的传输和共享。

无线局域网采用的通信标准主要有 WiFi（IEEE 80211）系列，如80211a、80211b、80211g、80211n 和 80211ac 等。

三、无线局域网面临的安全威胁（一）未经授权的访问未经授权的用户可以通过破解无线密码或利用网络漏洞接入无线局域网，获取网络资源和敏感信息。

（二）数据泄露在无线传输过程中，数据可能被窃取或篡改，导致用户的个人隐私、商业机密等重要信息泄露。

（三）网络攻击攻击者可以通过发送恶意数据包、进行拒绝服务攻击（DoS）等方式，使无线局域网瘫痪，影响正常的网络服务。

（四）AP 劫持攻击者可以伪装成合法的无线接入点，诱导用户连接，从而获取用户的信息。

四、无线局域网的安全技术（一）加密技术1、 WEP（Wired Equivalent Privacy）WEP 是早期的无线加密协议，但由于其安全性较弱，已逐渐被淘汰。

2、 WPA（WiFi Protected Access）WPA 采用了更强大的加密算法，如 TKIP（Temporal Key Integrity Protocol），提高了无线局域网的安全性。

3、 WPA2WPA2 是目前广泛应用的无线加密标准，采用了 AES（Advanced Encryption Standard）加密算法，提供了更高的安全性。

RG-WS6008高性能无线控制器锐捷网络股份有限公司了解更多产品信息，欢迎登陆，咨询电话：400-620-8818。

产品概述RG-WS6008高性能无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。

可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。

RG-WS6008起始支持32个无线接入点的管理，通过license 的升级，最大可支持224个AP的管理。

RG-WS6008可针对无线网络实施强大的集中式可视化的管理和控制，显著简化原本实施困难、部署复杂的无线网络。

通过与锐捷网络有线无线统一集中管理平台RG-SNC以及无线接入点的配合，灵活地控制无线接入点的配置，优化射频覆盖效果和性能，同时还可实现集群化管理，将网络中的设备部署工作量将至最低。

RG-WS6008产品采用增强的安全和集群技术，通过基于身份的组网来提供网络服务。

集群中的多台无线控制器可共享用户数据库，实现无线用户在跨越整个网络不同区域的过程中无缝的漫游，彻底满足移动漫游中的安全性和会话完整性，充分满足Wi-Fi语音通信的数据交互和语音流畅。

产品特性高智能的无线体验终端智能识别RG-WS6008内置Portal服务器，能根据终端特点，智能识别终端类型，自适应弹出不同大小、页面格局的Portal认证页面。

终端智能识别技术免去了用户多次拖动，调整屏幕的操作，为用户提供更加智能的无线体验，并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。

终端公平访问RG-WS6008协同锐捷无线接入点为802.11g、802.11n、802.11ac等不同类型的终端提供相同的访问时间，极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，有效的提升了低速终端的性能，保证用户无论使用何种类型的终端，都将在相同的位置上获得同样良好的无线上网体验。

WLAN安全服务技术白皮书杭州华三通信技术有限公司目录WLAN安全服务技术白皮书 (1)第1章WLAN概述 (4)第2章WLAN用户接入介绍 (5)2.1 802.11链路协商 (5)2.1.1 WLAN服务发现 (6)2.1.2 链路认证 (6)2.1.3 链路服务协商 (7)2.2 用户接入认证 (7)2.2.1 802.1x接入认证 (7)2.2.2 MAC接入认证 (9)2.2.3 PSK接入认证 (10)2.3 密钥协商 (10)第3章H3C公司的WLAN服务 (11)3.1 集中管理WLAN架构 (11)3.2 自治WLAN架构 (12)3.3 WLAN接入认证 (13)3.4 WLAN服务的数据安全 (14)3.5 WLAN接入服务 (14)3.5.1 明文WLAN服务 (14)3.5.2 WEP加密WLAN服务 (15)3.5.3 WPA WLAN服务 (17)3.5.4 RSN WLAN服务 (18)3.5.5 WPA和RSN组合WLAN服务 (19)第4章H3C公司WLAN的优势 (20)摘要现在WLAN应用已经非常普遍，在很多场所被部署，例如公司，校园，工厂，甚至咖啡厅等等。

本文介绍了WLAN的基本概念和技术原理，以及H3C WLAN解决方案能够提供的多种无线安全接入服务。

关键词WLAN, Station, ESS, SSID, RSN, OSA, IE, PSK, EAP, AC, AP, WTP缩略语WLAN 无线局域网（Wireless Local Area Network）Station 本文指WLAN的客户端ESS 扩展服务集（Extended Service Set）SSID 服务标示（Service Set ID）RSN Robust安全网络（Robust Security Network）OSA 开放系统认证（Open System Authentication）IE 信息单元（Information Element）PSK 预共享密钥（Pre-Shared Key）EAP 扩展认证协议（Extensible Authentication Protocol）AC 接入控制器（Access Controller）AP 接入控制点（Access Point）WTP 无线终端控制点（Wireless Termination Points）IV 初始向量（Initialization Vector）第1章WLAN概述WLAN，全称是Wireless Local Area Network，即无线局域网，和传统的有线接入方式相比无线局域网让网络使用更自由：1、无线局域网彻底摆脱了线缆和端口位置的束缚，用户不在为四处寻找有线端口和网线而苦恼，接入网络如喝咖啡般轻松和惬意。