高雄應用科技大學 有線網路建置實習(IV) 聯易科技股份有限公司 李政勳 ben_lee@netease.com.tw

聯易科技 總公司成立於高雄市，另於台中、台北設有服務據點 專注網路技術與發展的服務團隊 Fortinet 台灣區金質夥伴 Brocade 技術服務中心 Extreme 技術服務中心 Aruba 技術服務中心

聯易科技 續上頁 聯易科技之原廠認證 FCNSP (Fortinet Certified Network Security Professional) CCNP (Cisco Certified Network Professional) BCLE (Brocade Certified L4~L7 Engineer) BCNE (Brocade Certified Network Engineer) ACDX (Aruba Certified Design Expert) ACMP (Aruba Certified Mobility Professional) …. Fortinet Aruba Brocade Cisco

聯易科技 續上頁 專案實績 高雄市教育網路中心 (NGN ) 台南市教育網路中心 (NGN ) 聯易科技 續上頁 專案實績 高雄市教育網路中心 (NGN ) 台南市教育網路中心 (NGN ) 屏東縣教育網路中心 (NGN –各校Fortigate建置) 中華電信帳務系統 (核心骨幹及資安防護) 宏達電子 (全球新世代無線網路) 台灣高速鐵路(總部暨各區車站無線網路) 嘉威光電( 兩岸網路行動化協同作業平台) 義大皇冠假日酒店 (全區無線網路) 正修科技大學( 無線網路改善) 嘉義基督教醫院 (無線網路擴建) … and so on

無線網路簡介 聯易科技

無線網路使用的趨勢 50% of all corporate devices will be smartphones & tablets by 2015 59% of all mobile data traffic is video 70% of smartphones will be 802.11ac enabled by 2015 57%

大綱 1 無線網路概念說明 2 Thin AP vs Fat AP 3 Aruba 無線功能簡介

什麼是無線網路?

頻段 頻道 天線 環境干擾 擺放位置

什麼是IEEE 802.11 國際電機與電子工程師協會（Institute of Electrical and Electronic Engineer）在1997年所制訂的IEEE 802.11 標準，主要是制訂利用無線電技術，可以架構出有線區域網路的相同功能。 802.11b，1999年，（11Mbit/s，2.4GHz頻道） 802.11a，1999年，（54Mbit/s，5GHz頻道） 802.11g，2003年，（54Mbit/s，2.4GHz頻道） 802.11n，2008年， ( >300Mbit/s，2.4GHz/5GHz頻道) 802.11ac，2013年，( >1Gbit/s，5GHz頻道)

2016年支援802.11ac 的設備比率 Copy from Broadcom Corporation

什麼是WiFi Radio and Channel WiFi Radio：可存取的WiFi無線電波 Radio 頻段：2.4 GHz 及 5GHz WiFi Channel：可供資料傳輸的頻道Channel 2.4 Ghz 支援Channel：1~11 5Ghz支援Channel：52,56,~161,165 Channel 限制：各國會規定可使用Channel

天線 全向型天線 指向型天線

全向型波型示意圖

指向型波型示意圖

天線正確擺放方式? X 天線展開與地面90-110度角 天線未展開，因訊號極性會相互干擾

天線功率對無線網路的傳輸距離影響? 一、室內使用天線功率為2dBi~5dBi 二、使用較大功率(dBi)的天線對距離的影響 三、需考量接收設備(平板電腦、手機)的天線功率，能否回傳給發射端(無線AP)

天線功率對無線網路的傳輸距離影響? 天線功率無線電波示意圖

MIMO 與天線數量的關係 MIMO：在相同時間內，傳送端發送多個資料 流(Streams)給接收端，多進多出 天線數量：最大傳輸速率

什麼是802.11n -20MHz and 40MHz 可供資料傳輸頻道的寬度，即傳輸速度 802.11n 20MHz：130Mbits （＊不建議在2.4GHz開啟40MHz）

材質與干擾源對無線網路的影響 評估佈建AP周遭的環境隔間材質、干擾源(變電箱、微波爐、藍芽等‧‧‧)、須涵蓋無線網路訊號的區域面積

AP佈放的位置

一台AP 可連接多少台設備? 依據使用者使用的服務所必需的頻寬決定無線網路基地台的同時間承載裝置 頻寬：使用者的工作軟體在網路傳輸時一次所需的網路頻寬

什麼是BSSID及ESSID BSSID ESSID 基本服務識別碼 由48個2進位數值 / 6個位元組數值(MAC Address)所構成。 BSSID = AP所產生的MAC位址。 ESSID 延伸服務識別碼，藉以識別ESS。 簡稱為SSID 工作站與AP間的Associate 有相同SSID方可進行Associate 大小寫有別，由2-32個字元(Bytes)所構成的唯一識別碼。 企業級AP可支援多達16個SSID 每個Radio各8個SSID

愈多SSID對於無線網路的影響 12個SSID,100 users連線下，約有35%的頻寬是浪費在傳輸管理的資料

什麼是RSSI 及 SNR

傳輸速率與SNR的關係 802.11標準建立，正確解碼每個 速率所需的最小SNR值

802.11ac VS 801.11n 涵蓋範圍 Copy from Broadcom Corporation

無線網路訊號安全嗎?

無線網路訊號安不安全? 無線訊號輸出功率到底安不安全 右列簡列世界衛生組織公布之家用電器電磁波檢測概況，供大眾參考。功能相同的產品，也可能產生能量不一的磁場，這些差異主要是因產品有不同的設計。下列的表格中列出了一些家中或是工作場所中常用電器所造成的磁場大小。 測試方法： 以筆電下載檔案，讓AP持續輸出功率，然後以電磁波檢測器 (SYPRIS 4080)測量，測出Aruba AP 瞬間最高為12.2毫高斯。 註：電力設備屬低頻範圍，關心的主要是電磁場效應，單位是磁通量密度-毫高斯(mG)。 資料來源：行政院衛生署國民健康局 http://www.health99.doh.gov.tw/media/public/pdf/21526.pdf

無線網路訊號安不安全? 行動電話、WiMAX基地臺的安全標準值 儘管非游離輻射電磁波對人體影響十分 微小，但政府仍對行動電話基地台之電 磁波暴露訂有標準。 行政院環保署90年1月公告的「非游離輻 射環境建議值」，其中GSM900MHz的標 準，需低於每平方公分0.45毫瓦；而 GSM1800MHz的標準，則需低於每平方 公分0.9毫瓦。 註：通訊設備屬高頻範圍，主要是電磁波熱效應，單位是功率 密度-毫瓦/平方公分(mW/c㎡)。 測試方法： 以筆電下載檔案，讓AP持續輸出功率，然後以高頻電磁波檢測器 (TES-92 )測量AP61(距離約1-2公分) 。 測出Aruba AP最高值為80 μW/cm²微瓦(平均約30-40 μW/cm² 之間)，低於衛生署規定的450 μW/cm²。 資料來源：行政院衛生署國民健康局 http://www.health99.doh.gov.tw/media/public/pdf/21526.pdf

1 無線網路概念說明 2 Thin AP vs Fat AP 3 Aruba 無線功能簡介

何謂Thin AP vs Fat AP ? Centralized Mobility Controller Access Points Centralized Mobility Controller “Fat” Access Points Policy Mobility Forwarding Encryption Authentication Management 802.11a/b/g Antennas Fat AP：多功能智慧型基地台（DHCP、Routing、Firewall） Thin AP：需透過後端無線控制器來管理的無線訊號及使用者Firewall

FAT AP缺點 架構較不彈性 每顆AP需針對各功能分別設定 無法做大量、統一的管理 升級firmware時需個別處理 無法依據現場狀況動態調整RF

1 無線網路概念說明 2 Thin AP vs Fat AP 3 Aruba 無線功能簡介

依使用者類型給予不同的角色(firewall Policy) AAA Services RADIUS, LDAP, AD Security Services Anti-Virus, IPS, URL Filtering Access On-Ramps Access Point SSID: Corp SSID: GUEST Mobility Controller QoS FW VLAN 教職員 學生 訪客 管理者 Role-based Access Control

偵測無線非法AP Rogue AP Aruba AP 4.9 GHz 5.0 GHz 5-MHz channel scanning

頻譜分析

Band Steering 5 GHz 2.4 GHz Prefer-5 GHz

Airtime Fairness

無線產品AP105—透過PoE提供電源 10/100/1000 PoE Port 特點 802.11a/n & b/g/n Access Point Software Configurable Radio Multi-band 802.11a & b/g Operation Supports Radio Signal Diversity 10/100/1000Base-T RJ-45 Interface 802.3af PoE Power Sourcing 12V DC Power Input (multi-region AC kits) Integrated Downtilt Omni-directional Antenna with 2x2:2 MIMO

無線產品AP92/93—透過PoE提供電源 single band dual radio

Power Over Ethernet Injector 說明： 可提供AP 105的電源與網路連線的設備

AP供電連接示意圖 網路線—連接AP(帶電) 無線基地台 網路線 網路線(帶電) 電源線 市電 Power Injector 網路線 網路交換器 網路線(帶電) 網路線 網路線 電源線

無線漫遊目的 提供無線使用者在非自己學校的無線網路中，也能夠使用其他學校的無線上網服務 使用者可使用相同帳號來使用有加入漫遊行列的學校無線網路上網。

漫遊機制說明 高雄市網 漫遊中心 屏東縣網 user@kh.edu.tw OK user@kh.edu.tw Router AP Router Roaming Server Radius Server OK 角色(高市網User) user@kh.edu.tw Router Authentication Server Authentication Server Radius Server 屏東縣網

漫遊機制說明 高雄市網 漫遊中心 屏東縣網 user@ptc user@ptc user@ptc user@ptc OK Router AP Router user@ptc Roaming Server Radius Server 角色(屏縣網User) user@ptc Router Authentication Server user@ptc OK Authentication Server Radius Server 屏東縣網

無線漫遊連線帳號說明 高雄市轄下所屬學校環境 已加入TANet無線網路交換中心之學校 / 機構 可輸入帳號之型式 123456 123456@kh.edu.tw 註：高雄市漫遊使用的Domain為 @kh.edu.tw

無線網路簡介 聯易科技

大綱 1 AP與Controller連線程序簡介 2 無線網路Troubleshooting

Wireless LAN configuration Setup VLAN Configuration->Network->VLANs: Add Firewall policies Configuration->Security->Access Control->Policies: Add User role Configuration->Security->Access Control->User Roles: Add Define Authentication Server Configuration->Security->Authentication-> Severs: <Server Type>: Add Server group Configuration->Security->Authentication-> Severs->Server Group: Add 802.1x Authentication Configuration->All Profiles->Wireless LAN->802.1x Authentication Profile: Add AAA Configuration->All Profiles-> Wireless LAN->AAA Profile: Add Virtual AP wlan virtual-ap XXXX aaa-profile XXXX ssid-profile XXXX vlan XX forward-mode tunnel Assign VAP to AP Group ap-group XXX virtual-ap XXXX ap-system-profile SSID wlan ssid-profile XXXXX essid “XXXX” opmode wpa2-aes

AP 開機程序 Acquire IP Address “Discover” a controller Update code if necessary Obtain configuration information Build GRE Enable radio

Aruba Thin AP連線的架構 Thin AP 與WLAN Control 運作模型 4. 5. 2. 3. L2/3 Server 1. 10/100 Mbps DHCP Server Thin AP 與WLAN Control 運作模型 1. AP可連結到現有網路任意port上，AP以PoE供電，並取得DHCP address (或是預先設定皆可) 2. AP主動聯繫WLAN Control 的位置 (以DNS或IP皆可) 3. AP從WLAN Control取得OS以及設定檔，在AP與WLAN Control之間建立GRE tunnel 4. 所有的client端通訊將透過AP以GRE封裝直接送達Control上,可以不受LAYER2 或 LAYER3 甚至WAN的限制 5. AP斷電或是離線，內部設定立即消失,無法竊取

使用Console設定Aruba AP Step 1 Connect only the console cable from your laptop to the serial port on AP. Step 2 Configure your terminal software for 9600,8-n-1,no flow control.   Step 3 AP connect to POE switch AP Setting 範本 setenv master x.x.x.x setenv serverip x.x.x.x setenv ipaddr x.x.x.x setenv netmask x.x.x.x setenv gatewayip x.x.x.x save ping x.x.x.x(controller IP)

AP Setting Command 說明 #查看目前AP設定 ap > print #清除AP設定 ap > purge ap > save #設定IP, Netmask,Gateway ap > setenv ipaddr <ip address> ap > setenv netmask <netmask> ap > setenv gatewayip <gateway ip> #設定AP名稱 ap > setenv name <ap name> #設定AP Group ap > setenv group <group name> #設定Controll IP及TFTP server IP (皆為Controller IP) ap > setenv master <master ip> ap > setenv serverip <server ip>

1 AP與Controller連線程序簡介 2 無線網路Troubleshooting

AP使用Power Injector AP第一顆燈未亮 電源燈號 ？ ？ ？ 無線基地台 網路線(帶電) Power Injector 1 ？ 3 Power Injector ？ 2 網路線 網路交換器 若第一顆燈號未亮 1、檢查網路線(帶電)/線頭是否未接或故障 2、檢查Power Injector是否故障 3、檢查Power Injector電源是否未接

AP第二顆燈未亮 網路燈號 ？ ？ 網路線—連接AP(帶電) 網路線 無線基地台 電源線 網路線(帶電) 市電 第二顆燈號未亮 1、檢查網路線/線頭是否未接或故障 2、檢查網路接換器的連接Port是否故障 Power Injector ？ ？ 網路線 1 網路交換器 2

AP第三/四顆燈未亮 無線網路燈號 ？ 網路線—連接AP(帶電) 網路線 無線基地台 電源線 網路線(帶電) 市電 Power Injector ？ 網路線 第三/四顆燈號未亮 1、檢查DHCP伺服器，確定AP可取得IP 2、檢查防火牆設定，確定UDP4500/69未阻擋 網路交換器 / 防火牆 / DHCP 1

X Campus AP無法與Control連線 X X Internet 機房 Aruba Controller 1、Controller或AP的上層有Switch ACL，阻擋TCP 8211 or UDP 47/69 封包 2、AP未取得IP（環境無DHCP）或所設定的固IP跟實際網段不同 3、AP的設定不正確（已儲存其他環境的設定值、IP 衝突) 4、Uplink 斷線或POE故障 5、AP 故障 X X

X X X Remote AP無法與Control連線 Internet VPN or MPLS 中心 DHCP 中心 防火牆 Internet VPN or MPLS Aruba Control System 防火牆 X 1、Controller或AP的上層有Firewall，阻擋UDP 4500/69 or IPS 阻隔 2、AP未取得IP（環境無DHCP）或所設定的固IP跟實際網段不同 3、AP的設定不正確（已儲存其他環境的設定值、IP 衝突) 4、Uplink 斷線或POE故障 5、AP 故障 X L3-POE switch X Remote AP 用戶端 Remote AP

使用者反應無線網路連線不順暢的原因 1、無線網路環境無DHCP、或DHCP IP不足 2、PC/NB無線網卡設定如支援802.11n Device未開啟支援802.11n模式 3、PC/NB，無線傳輸模式設定錯誤 4、網卡驅動程式過舊 5、環境干擾嚴重、藍芽、私架AP… 6、AP安裝位置周遭雜訊值>-80dBm

常見問題-無法連線或斷線 彙整 單一使用者無法連線 檢查無線網卡是否啟用 WPA2-PSK 密碼是否正確 作業系統是否支援WPA2 加密方式 常見問題-無法連線或斷線 彙整 單一使用者無法連線 檢查無線網卡是否啟用 WPA2-PSK 密碼是否正確 作業系統是否支援WPA2 加密方式 某區域連線後容易斷線 檢查此區域AP Noise是否過高 檢查AP是否重開或故障 檢查PoE Injector 是否故障 檢查是否有無線攻擊行為(請連絡我們) 單一使用者連線後容易斷線 檢查使用者無線網卡Firmware版本，太舊請更新 檢查使用者網路設定，是否錯誤 使用ping or nslookup 檢查網路是否正常 使用者位置是否訊號不佳

常見問題-訪客無法連線或開啟網頁 彙整 無法開啟認證網頁 檢查是否取得DHCP IP address及網路設定 檢查Gateway ARP 是否正確 檢查DNS 是否正常 檢查使用者防毒軟體是否阻擋網頁重導 訪客認證網頁是否於開放時間 訪客瀏覽器安全等級設定太高，不允許未授權憑證 認證失敗 檢查此使用者帳號是否過期 帳號/密碼錯誤

常見問題-無線干擾及攻擊問題 彙整 Noise 過高>-80dBm 固定時間內-微波爐 不定期出現-高頻音測試、高壓電、3G強波器 解決方式-更換AP位置或移動干擾源 WiFi干擾過高 自行架設AP，並使用802.11n 40Mhz 解決方式-停用802.11n 40Mhz及降低AP 傳輸功率