无线AP技术文档

无线 AP 技术文档

WLAN 和GPRS有什么区别

在回答这个问题前，先让我们了解一下什么是 GPRS。GPRS 是在现有的 GSM 系统上发展出来的一种

新的分组数据承载业务。GPRS 与现有的 GSM 语音系统最根本的区别是，GSM 是一种电路交换系统，

而 GPRS 是一种分组交换系统。GPRS 是长期在线的，但 GPRS 每载频最高能提供107kbit/s的接入速

率，属于窄带接入范畴。WLAN 也是长期在线的，其最基本的802.11b标准可达11Mbps，绝对属宽带范

畴，如果是54M 的无线网络，其速率将会更高。如果用运输工具来作一个形象的比喻，将GPRS 比作汽

车，WLAN 就是飞机了。

因为当然，因为 GPRS 在构建在 GSM 基础上的，因此其单点有效覆盖范围远比 WLAN 的 AP 覆盖范

围要大。但随着宽带运营商无线“热点”的安装越来越多，WLAN 会得到越来越广泛的运用

无线网络中的 SSID 是什么

在每一个 AP(Access Point) 内都会设置一个服务区域认证 ID ，每当无线终端设备要连上 AP 时

无线工作站必需出示正确的 SSID(Service Set Identifier,服务设置标志号) ，与无线访问点 AP 的 SSID

相同，才能访问 AP ；如果出示的 SSID 与 AP 的 SSID 不同，那么 AP 将拒绝他通过本服务区上网。

利用 SSID，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题，因此可以认为

SSID 是一个简单的口令，从而提供口令认证机制，实现一定的安全。

通常情况下 SSID 是广播公布的，以方便网络用户使用，但是如果我们隐藏了 SSID，那么只有事先知道

SSID 的指定用户才能连上，不知道 SSID 的其他非指定用户就无法连入这个无线网络，正如黑客如果不

知道我们的 IP 地址，是没有办法对我们进行攻击一样。倘若黑客知道了 SSID，即使未经授权，也很容

易使用你的无线服务。对于部署的每个无线访问点而言，你要选择很难猜中的 SSID，并且禁止通过天线

向外广播 SSID。这样网络仍可使用，但不会出现在可用网络列表上。用户只有输入了 SSID 后才能连接，

而节点的 SSID 在管理无线网络时可以随意更改的，因此此方法在不损失传输速度的同时也起到了“加密”

的作用，有效的防止了未授权用户的入侵。

如何构建一个基于 802.11g 的无线网络

构建一个无线网络需要无线接入点和无线终端适配器。无线接入点用来连接无线网络客户端和标准

有线以太网络。多个无线接入点同时使用可以延伸无线网络的覆盖范围。安装有基于 802.11g 的无线适配

器或者 802.11b无线适配器的笔记本电脑可以通过无线接入点（AP）连接到无线网络。只要在办公室里

安装一个无线接入点，人们可以携带着安装有无线终端的笔记本电脑在办公室或办公楼中任意行走，一边

工作一边接收邮件，尽情享受无线网络给用户带来的方便。但美国网件建议使用802.11g版本的网卡使网

络得到优化 NETGEAR 生产支持 802.11g 适配器和网卡如下













WG511 802.11g 54 Mbps PC 卡

WG511T 802.11g 108 Mbps PC 卡

WG311 802.11g 54 Mbps PCI 网卡

WG311T 802.11g 108 Mbps PCI网卡

WG111 802.11g 54 Mbps USB 适配器

WAG511 802.11a/b/g 108 Mbps Dual Band PC 卡

WAG311 802.11a/b/g 108 Mbps Dual Band PCI 适配器

无线网络排错

无关条件：











设备从未正确地安装

即使物理线路是连接好的，但是没有连接到Internet

你能够访问部分Internet程序，部分不能访问

你的线路有时会断开（Internet线路不断地掉线）

LEDs灯不正常显示（电源灯不亮，测试灯不灭，端口灯不能正常显示）。参考状态灯手册。

1．下载和安装最新版本的软件，固件。

2．每个无线设备必须有相同的设置。

o

新的的设备可能需要更改它的SSID，更改默认的”wireless”为”NETGEAR”，更改时要注

意的是SSID是区分大小写的。

o

无线信号的频道有1到11可用。

o

无线模式必须设置为点到点或基层模式。

o

你能够使用下列的加密选项











不进行加密

用WEP加密

用WPA-PSK加密

用WPA加密

一些设备可以使用VPN

o

打开无线接入点功能

o

如果默认关闭的访问控制列表是被打开的，就要检查无线适配器的MAC地址是否在路

由器的访问列表里面

3．配置路由器时：





用户名必须是完整的用户名。例如：用户名是”smartsue@”, 而不是”smartsue”

更改完成后需点击“应用”

4．如果信号指示灯是红色的，请查看如何改善无线连接，除了红色以外的指示都是正常的。

5．如果你开启了WEP加密，先关闭它。如果问题仍然存在，再次打开WEP加密，查看如何改善

无线连接

6．在Windows98和Windows95的设备管理器中查找检查NETGEAR的设备是否有黄色感叹号的

标识。按指示查看是否与Windows系统IRQ发生冲突，如果发生冲突，必须先解决冲突问题。

企业级 AP 中 802.1x 协议的应用

一、802.1x端口认证原理

为什么需要IEEE802.1x？随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适

应用户数量急剧增加和宽带业务多样性的要求。IEEE802.1x协议具有完备的用户认证、管理功能，可以很

好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大

的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL

认证方式带来的瓶颈问题，更加适合在宽带以太网中的使用。

IEEE802.1x是IEEE在2001年6月通过的基于端口访问控制的接入管理协议标。

IEEE802系列LAN标准是目前居于主导地位的局域网络标准，传统的IEEE802协议定义的局域网不提供

接入认证，只要用户能接入局域网控制设备，如传统的LanSwitch，用户就可以访问局域网中的设备或资

源，这是一个安全隐患。对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和

配置，此外还存在计费的需求。因此，802.1x产生了。

IEEE802.1x是一种基于端口的网络接入控制技术，在 LAN 设备的物理接入级对接入设备进行认证和控

制，此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口上的用户设备如果能通过认证，就

可以访问 LAN 内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。

下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。

1．IEEE802.1x 体系介绍

虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是需要注意的是该协议仅适用于接入设备与接

入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有：LanSwitch

的一个物理端口仅连接一个 End Station，这是基于物理端口的； IEEE 802.11定义的无线 LAN 接入方

式是基于逻辑端口的。

图1 IEEE802.1x的体系结构

IEEE802.1x的体系结构中包括三个部分：Supplicant System，用户接入设备；Authenticator System，接

入控制单元；Authentication Sever System，认证服务器。

在用户接入层设备（如LanSwitch）实现 IEEE802.1x的认证系统部分，即Authenticator；IEEE802.1x

的客户端一般安装在用户PC中，典型的为Windows XP操作系统自带的客户端，或其他第三方的免费

802.1x客户端；认证服务器系统一般驻留在运营商的AAA中心。

Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议；Authenticator 与 Authentication

Sever 间同样运行 EAP 协议，EAP 帧中封装了认证数据，将该协议承载在其他高层次协议中，如

Radius，以便穿越复杂的网络到达认证服务器。

Authenticator每个物理端口内部有受控端口（Controlled Port）和非受控端口（unControlled Port）等逻辑

划分。非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证随时接收Supplicant

发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端

口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。输入受控方式应用在需要桌面管理

的场合，例如管理员远程唤醒一台计算机(supplicant)。

2．IEEE802.1x 认证过程简介

利用IEEE 802.1x可以进行身份验证，如果计算机要求在不管用户是否登录网络的情况下都访问网络资源，

可以指定计算机是否尝试访问该网络的身份验证。以下步骤描述了利用接入点AP和RADIUS服务器对移

动节点进行身份验证的基本方法。如果没有有效的身份验证密钥，AP会禁止所有的网络流量通过。

1. 当一个移动节点（申请者）进入一个无线AP认证者的覆盖范围时，无线AP会向移动节点发出

一个问询。

2. 在受到来自AP的问询之后，移动节点做出响应，告知自己的身份。

3. AP将移动节点的身份转发给RADIUS身份验证服务器，以便启动身份验证服务。

4. RADIUS服务器请求移动节点发送它的凭据，并且指定确认移动节点身份所需凭据的类型。

5. 移动节点将它的凭据发送给RADIUS。

6. 在对移动节点凭据的有效性进行了确认之后，RADIUS服务器将身份验证密钥发送给AP。该身份

验证密钥将被加密，只有AP能够读出该密钥。（在移动节点和RADIUS服务器之间传递的请求

通过AP的“非控制”端口进行传递，因为移动节点不能直接与RADIUS服务器建立联系。AP不允

许STA移动节点通过“受控制”端口传送数据，因为它还没有经过身份验证。）

7. AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输--特定于移动节

点的单播会话密钥以及多播/全局身份验证密钥。

全局身份验证密钥必须被加密。这要求所使用的EAP方法必须能够生成一个加密密钥，这也是身

份验证过程的一个组成部分。传输层安全TLS（Transport Level Security）协议提供了两点间的

相互身份验证、完整性保护、密钥对协商以及密钥交换。我们可以使用EAP-TLS在EAP内部提

供TLS机制。

移动节点可被要求周期性地重新认证以保持一定的安全级。

3．IEEE802.1x的特点

3.1 协议实现简单

IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。

3.2 认证和业务分离

IEEE802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的

分离，由Radius服务器和以太网交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直

接承载在正常的二层报文上通过可控端口进行交换；所以通过认证之后的数据包是无需封装的纯数据包。

认证系统简化了PPPOE方式中对每个数据包进行拆包和封装等繁琐的工作，所以802 .1x封装效率高，

消除了网络瓶颈；同时，由于IEEE802.1x认证包采用了在不可控通道中的独立处理的方式，因此认证处

理容量可以很大，远远高于传统的BAS，无需购买昂贵设备，降低了建网成本。

3.3 和其他认证方式的比较：

IEEE802.1x协议虽然源于IEEE 802.11无线以太网（EAPOW），但是，它在以太网中的引入，解决了传

统的PPPOE和WEB/PORTAL认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建

网成本。

众所周知，PPPOE是从基于ATM的窄带网引入到宽带以太网的，由此可以看出，PPPOE并不是为宽带

以太网量身定做的认证技术，将其应用于宽带以太网，必然会有其局限性，虽然其方式较灵活，在窄带网

中有较丰富的应用经验，但是，它的封装方式，也造成了宽带以太网的种种问题。在PPPOE认证中，认

证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度必

然跟不上，成为了网络瓶颈；其次这样大量的拆包封包过程必须由一个功能强劲同时价格昂贵的设备来完

成，这个设备就是我们传统的BAS，每个用户发出的每个数据包BAS必须进行拆包识别和封装转发；为

了解决瓶颈问题，厂商想出了提高BAS性能，或者采用大量分布式BAS等方式来解决问题，但是BAS的

功能就决定了它是一个昂贵的设备，这样一来建设成本就会越来越高。

WEB/PORTAL认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，就用

户来说较为方便。但是由于WEB认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7

层做认证，这首先不符合网络逻辑。其次由于认证走的是7层协议，对设备必然提出更高要求，增加了建

网成本。第三，WEB是在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而

且分配IP地址的DHCP对用户而言是完全裸露的，容易造成被恶意攻击，一旦受攻击瘫痪，整网就没法

认证；为了解决易受攻击问题，就必须加装一个防火墙，这样一来又大大增加了建网成本。WEB/PORTAL

认证用户连接性差，不容易检测用户离线，基于时间的计费较难实现；用户在访问网络前，不管是 TELNET、

FTP还是其它业务，必须使用浏览器进行WEB认证，易用性不够好；而且认证前后业务流和数据流无法

区分。所以，在以太网中，WEB/PORTAL认证目前只是限于在酒店,校园等网络环境中使用。

二、设置环境

硬件平台为：WG102

本文基于软件版本：4.0.16

802.1x 客户端：安腾802.1x客户端

Radius服务器：WinRadius v2.25

三、连接结构图：

四、设置步骤：

第一步：为AP设置无线网络所在的地区和IP地址，并设置所在时区，如下图所示：

注：192.168.1.1为路由器的局域网口IP地址，DNS地址可填上ISP服务商对应的地址。

第二步：设置802.1x相关参数，如Radius认证/计费服务器地址和端口号，具体设置如下图所示：

注：此实验中Radius认证/计费服务器IP地址为192.168.1.112，端口号分别为1812和1813，Shared Secret

为netgear。

第三步：设置AP所使用的安全认证方式，如下图所示：

点击Security主菜单下的Security Profile Settings，在选择第一个Profile后点击Edit按钮，如下图所

示：填上所需的SSID，Network Authentication设置为Legacy 802.1X，Data Encryption设置为None

至此，AP部分已经设置好，下面将配置认证服务器。

第四步：配置认证服务器

认证服务器IP设置如下图所示：

认证服务器上Radius服务器软件配置，此例中使用WinRadius v2.25，配置界面如下图所示：

WinRadius需要配置帐号、认证/计费端口号和密钥：

1．点击“操作”菜单中的“添加帐号”可以添加帐号，如本例中添加帐号名为terry的帐号，如下图所示：

2．点击“设置”菜单下面的“系统”设置认证/计费端口号和密钥，如下图所示：

注：NAS密钥跟AP配置里的Shared Secret必须一致，认证端口和计费端口分别也对应AP Radius Server

Settings里的认证端口

和计费端口。

第五步：配置802.1x客户端

说明：XP自带的连接工具无法支持基于MD5的802.1x认证，所以此例中使用安腾的802.1x client连接

程序。

1．开启802.1x客户端。

2．点击上图中“属性”设置认证方式和选择需要的无线网络名称，如下图所示：

3．点击上图中“选择接入点”按钮，出现以下所示界面，选择所连接的SSID后再点击“确定”按钮。

4．在用户名和密码框中分别输入terry和terry后，点击“连接”按钮，即连接成功，通过认证后将出现以下

界面：

设置无线安全信息

WG103支持6种无线安全类型，包括明文、WEP、802.1x、WPA、WPA2和WPA+WPA2。具体所使用

的网络验证和数据加密如下：

无线安全

明文

WEP

802.1x

WPA

网络验证

Open System

Open System

Shared Key

Legacy 802.1x

PSK

Radius

PSK

Radius

PSK

数据加密

None

64/128/152 bit WEP

None

TKIP/TKIP+AES

WPA2

WPA+WPA2

AES/TKIP+AES

TKIP+AES

Radius

要设置WG103的无线安全，先登陆到设备的管理界面，进入到Configuration---Security页面，并在左边

菜单栏中点击Profile Settings：

选择相应的Profile，然后点击Edit进行编辑。

1、设置明文方式

设置为明文方式时，接入到无线网络无需认证也不对数据传输进行加密，容易导致非法侵入和窃听，存在

安全风险。



Network Authentication选择Open System，Data Encryption选择None：



点击Apply应用并完成配置

2、设置WEP加密方式

WEP是用来保护无线数据通信安全的一种加密机制，可使用64/128/152位密钥为传输的数据加密。接入

认证的工作模式有Open System和Shared Key两种。

2.1使用Open System时，无线客户端接入无需认证，直接输入安全密钥即可；



Network Authentication选择Open System，Data Encryption选择64bit WEP/128bit WEP/152bit

WEP。密钥长度越长，安全性能越高：



可在Passphrase里输入密码短语，然后点击Generate Keys生成4个密钥Key1-Key4：



由于生成的密钥不规律，为了方便记忆可在Key1-Key4中选择其中一个手动填入十六进制数作为

密钥：



点击Apply应用并完成配置

2.2使用Shared Key时，无线客户端先经过无线设备认证，然后使用一致的密钥接入网络；



在Network Authentication选择Shared Key，Data Encryption选择64bit WEP/128bit WEP/152bit

WEP。密钥长度越长，安全性能越高：



可在Passphrase里输入密码短语，然后点击Generate Keys生成4个密钥Key1-Key4：



由于生成的密钥不规律，为了方便记忆可在Key1-Key4中选择其中一个手动填入十六进制数作为

密钥：



点击Apply应用并完成配置

3、设置802.1x认证安全方式

802.1x协议定义了基于端口的访问控制接入，具有完备的用户认证、管理功能，可以很好地支撑宽带网络

的安全、计费、运营和管理的要求。



首先在Advanced---Radius Server Settings里设置Radius服务器的信息，包括Radius认证服务

器的IP地址，认证端口和共享密钥：



在Network Authentication选择Legacy 802.1x，Data Encryption选择None：



点击Apply应用并完成配置

4、设置WPA/WPA2/WPA+WPA2加密方式

WPA是基于802.11i标准的WLAN安全方式，在保护WLAN用户数据的同时，只有授权的无线客户端才

能接入到网络。WPA的安全性优于WEP加密。WPA2时WPA加密的第二版。WPA加密的网络认证包

括PSK和Radius两种方式，数据加密包括TKIP、AES和TKIP+AES三种加密算法。用户可根据需要进

行选择。

4.1 使用PSK安全模式时，用户需手动配置密钥，无线客户端也需要相同的密钥才能验证通过并接入无线

网络；



Network Authentication选择WPA-PSK，Data Encryption选择TKIP/TKIP+AES，并在WPA

Passphrase (Network Key)里边输入无线密钥：



Network Authentication选择WPA2-PSK，Data Encryption选择AES/TKIP+AES，并在WPA

Passphrase (Network Key)里边输入无线密钥：



Network Authentication选择WPA-PSK&WPA2-PSK，Data Encryption选择TKIP+AES，并在

WPA Passphrase (Network Key)里边输入无线密钥：



点击Apply应用并完成配置

4.2使用Radius安全模式时，用户不需手动配置密钥，但需配置Radius认证服务器来对无线客户端的接

入进行验证；



首先在Advanced——Radius Server Settings里设置Radius服务器的信息，包括Radius认证服

务器的IP地址，认证端口和共享密钥：



Network Authentication选择WPA with Radius，Data Encryption选择TKIP/TKIP+AES：



Network Authentication选择WPA2 with Radius，Data Encryption选择AES/TKIP+AES：



Network Authentication选择WPA & WPA2 with Radius，Data Encryption选择TKIP+AES：



点击Apply应用并完成配置

默认情况下只启用了Profile 1，如想启用其他安全概况需把Enable选项框的勾打上：