企业私有网络构建运维

1.前言

以太网经过三十多年发展已经成为局域网的标准，速度已高达10Gbps。以太网技术作为局域网链路层标准，要求各个网络节点设备在网络总线上发送消息。它是一种世界上应用最广泛、最常见的网络技术，广泛应用于世界各地的局域网和企业骨干网。

在企业私有网络设置中，首先通过划分VLAN的方式做了二层隔离，但划分VLAN的目的是隔离广播域，防止广播泛滥现象。实际上构建内部局域网的目的是让内部的各台PC能够利用网络来协同办公，从而提高办公效率。这就要求使用VLAN间路由技术将VLAN与VLAN之间打通，使它们能够在三层间通信，从而实现总部与分支之间的路由，这就需要我们学习路由与路由器相关知识。而在目前企业级网络应用中，无线局域网WLAN的使用也愈来愈广泛，它可以保持和有线网络同等级的接入速度，减少对布线的需求与开支，为用户提供灵活性更高、移动性更强的信息获取方式，是对有线网络的补充和扩展。所以我们还要学习无线局域网WLAN的相关知识。

本文档以局域网交换和路由的原理与相关技术进行展开介绍，意在令读者通过实战案例掌握在企业中如何构建局域网络的方法。

2.局域网技术

2.1TCP/IP参考模型

在计算机网络中，协议就是为了使网络中的不同设备能够进行数据通信，而预先制定的一整套通信各方相互了解和共同遵守的格式和约定，是一系列规则和约定的规范性描述。只有遵守相同的协议，网络设备之间才能够相互通信。协议分为两类：一类是私有协议，它由各个网络设备厂商自己来定义的协议；另一类是开放式协议，它由专门的标准机构来定义的协议。为了解决网络设备之间的兼容性问题，帮助各个厂商生产出可以兼容的网络设备，国际标准化组织（ISO）提出了开放系统互联参考模型（OSIRM）。OSI参考模型由下至上分为7层：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

OSI的7层协议体系结构清楚地定义了网络结构，但相对比较复杂。随着互联网的发展，TCP/IP的5层体系结构得到了广泛应用，成为事实标准。TCP/IP通信协议是目前最完整、使用最广泛的通信协议。它可以使不同硬件结构、不同操作系统的计算机互相通信。TCP/IP协议既可以用于广域网，也可以用于局域网，它是Internet/Intranet的基础。TCP/IP通信协议由一组的协议组成，其主要协议有传输控制协议（TCP）和网际协议（IP）。按照功能分为5层协议，由下至上分别是：物理层、数据链路层、网络层、传输层和应用层。

1. 物理层

它的作用是透明传递比特流。它规定了介质类型、接口类型和信令类型。物理层介质主要为同轴电缆、双绞线、光纤和无线电波等。物理层标准包括：支持局域网的以太网标准802.3、令牌总线标准802.4、令牌环网标准802.5、光缆标准FDDI等，支持广域网的公共物理层接口标准RS-232、串行线路接口标准V.24和V.35、数字接口标准G.703等。

2. 数据链路层

它的作用是负责从上而下将源自于网络层的数据封装成帧，从下而上将源自物理层的比特流划分成帧，并且控制帧在物理信道上的传输。不同网络设备之间通过不同的数据链路层协议传输数据。主要协议有以太网协议（Ethernet）、高级数据链路控制协议（HDLC）、点对点协议（PPP）、帧中继协议（FR）等。数据链路层常见设备为以太网交换机。

3. 网络层

（1）网络层在整个分层结构中的功能是：

② 路由：将数据报文从某一链路转发到另一个链路。路由决定了分组包从源转发到目的地的路径。

4. 传输层

它的作用是为上层应用屏蔽网络的复杂性，并实现主机应用程序间端到端的连通性。它将应用层发往网络层的数据分段或者将网络层发往应用层的数据段进行合并。建立了端到端的连接以传送数据流。它实现了主机间的数据段传输，在传送过程中可以通过计算校验以及流控制的方式保证数据的正确性，避免发生缓冲区溢出现象。部分传输层协议能够保证数据传送的正确性。在数据传送过程中确保了同一数据既不多次传送，也不丢失，同时保证数据报的接收顺序和发送顺序一致。主要协议有传输控制协议（TCP）和用户数据报协议（UDP）。TCP提供面向连接的、可靠的字节流服务，UDP提供无连接的、面向数据报的服务。

5. 应用层

应用层协议定义了互联网常见的应用（服务器和客户端通信）通信规范，它直接为用户应用进程提供服务，包括为用户提供接口；处理特定的应用；数据加密、解密、压缩、解压缩；定义数据表示的标准等。应用层的协议可以帮助用户使用和管理TCP/IP网络，主要有基于TCP传输层协议工作的文件传输协议（FTP）、基于UDP传输层协议工作的简单文件传输协议（TFTP）、远程登录协议（Telnet）、超文本传输协议（HTTP）、简单网络管理协议（SNMP）、简单邮件传输协议（SMTP）等。其中部分协议如域名系统（DNS），既可以封装在TCP头部中，也可以封装在UDP头部中。

6. 各层的数据封装和解封装

2. 子网掩码作用

2.3 交换机组网

交换以太网大大减少冲突域的范围，显著提升网络的性能，并且加强网络的安全性。目前交换以太网使用的网络设备是交换机和网桥。网桥用于连接物理介质类型相同的局域网。而交换机是具有多个端口的转发设备，在各个终端主机之间进行数据转发。它通过隔离冲突域，使得终端主机可以独占端口的带宽，并实现全双工通信。

1. 交换机主要功能

2. 交换机的交换模式

3. ARP及Proxy ARP

2.4  虚拟局域网VLAN

虚拟局域网VLAN是一种通过将局域网内的设备逻辑而非物理地划分成一个个网段，从而实现虚拟工作组的技术。VLAN将一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直接进行通信，而VLAN间不能互通。如果需要不同VLAN间的主机互通，就必须由路由设备进行转发。VLAN技术在以太网帧的基础上增加了VLAN头，用VLAN ID（0—4095）把用户划分为更小的工作组，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性，且无须被放置在同一个物理空间里。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

1. VLAN划分方式

VLAN的划分方式也可以理解为VLAN的类型，包括：

（1）基于端口方式

交换机的每个端口配置端口默认VLAN，如果收到的是Untagged帧，则VLAN ID的取值为PVID。

（3）基于协议方式

配置好以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是Untagged帧，则依据该表添加VLAN ID。

（4）基于子网方式

（5）基于策略方式

2. VLAN端口类型

VLAN技术的出现，使得交换网络中存在了带VLAN的以太帧和不带VLAN的以太帧。因此相应地对链路做了区分，分为接入链路和干道链路。

① 接入链路（Access Link）：连接用户主机和交换机的链路为接入链路。接入链路上通过的帧为不带Tag的以太网帧。

② 干道链路（Trunk Link）：连接交换机和交换机的链路为干道链路。干道链路上通过的帧一般为带Tag的VLAN帧，也允许通过不带Tag的以太网帧。

基于对VLAN标签不同的处理方式，对以太网交换机的端口也做了区分，可以分为3类：

① 接入端口（Access Port）：Access端口是交换机用来连接用户主机的端口，它只能连接接入链路。在同一时刻，Access端口只能归属于一个VLAN，只允许一个VLAN帧通过。Access端口接收到的都是Untagged帧，接收帧时，给帧加上Tag标记。当接收到带Tag报文时，如果VLAN ID跟默认VLAN ID相同，则接收该报文。如果跟默认VLAN ID不同，则丢弃该报文。发送帧时，将帧中的Tag标记剥离后再发送。

② 干道端口（Trunk Port）：Trunk端口是交换机用来和其他交换机连接的端口。干道端口允许多个VLAN帧（带Tag标记）通过。在接收帧时，如果没有Tag，则标记上该端口的默认VLAN ID；如果有Tag，则判断该干道端口是否允许该VLAN帧进入，如果不允许进入，则丢弃该帧。在发送帧时，如果VLAN ID跟默认VLAN ID相同，则剥离VLAN；如果跟默认VLAN ID不同，则直接发送帧。

③ 混合端口（Hybrid Port）：混合端口时交换机上既可以连接用户主机，也可以连接其他交换机的端口。它允许多个VLAN帧通过。在接收帧时，如果没有Tag，则标记上混合端口的默认VLAN ID；如果有Tag，则判断该混合端口是否允许该VLAN帧进入，允许则进行下一步处理，如果不允许进入，则丢弃该帧。在发送帧时，交换机判断VLAN在本端口的属性是Untag还是Tag。如果是Untag，则先剥离帧的VLAN Tag后再发送；如果是Tag，则直接发送帧。

3.路由的实现

1.路由与路由器

路由是指导IP报文从源发送到目标的路径信息，也可以理解为通过相互连接的网络把数据包从源地点移动到目标地点的过程。路由和交换虽然相似，但却是不同的概念。交换发生在OSI参考模型的数据链路层，而路由发生在网络层。两者虽然都是对数据进行转发，但是所利用的信息和处理方式方法都是不同的。

在互联网中进行路由选择或者实现路由的设备称为路由器。路由器用于连接不同网络，在不同网络间转发数据单元，是互联网络的枢纽。路由器系统构成了基于TCP/IP协议的Internet的骨架，路由器技术是网络技术中的核心部分。

1. 路由功能

2. 交换转发功能

数据在路由器内部传送与处理的过程。从路由器一个端口接收，再选择合适端口转发，其间做帧的解封装，并对数据包做相应处理。根据目的网络查找路由表，决定转发端口，做新的数据链路层封装等过程。简单的说就是在网络之间转发分组数据的过程。

3. 隔离广播功能

指定访问规则路由器以阻止广播的通过，并且可以设置访问控制列表ACL对流量进行控制。

4. 连接异种网络功能

异种网络互连支持不同的数据链路层协议。

5. 子网间的速率匹配功能

路由器具有多个端口，不同的端口具有不同的速率，路由器需要利用缓存和流控协议进行速率适配。

2. 路由表信息查看

路由器工作时依赖于路由表进行数据转发，路由表包含到达各个目标的路径信息。在路由器中，可以通过命令display ip routing-table查看路由表。路由表信息见表2-4-1：

表2-4-1路由表信息

3. 路由的来源

根据路由信息产生的方式和特点，路由分为以下4种：

1. 直连路由

2. 静态路由

系统管理员手工设置的路由称为静态路由，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络拓扑的改变自动改变。优点是不占用网络和系统资源，安全。缺点是当一个网络故障发生后，静态路由不会自动修正，必须由网络管理员手工逐条配置，不能自动对网络状态变化做出相应的调整。在路由表中，静态路由的Protocol字段显示为Static。

3. 动态路由

动态路由是由动态路由协议发现的路由。当网络拓扑十分复杂时，手工配置静态路由工作量大而且容易出现错误，这时候就可以用动态路由协议，让其自动发现和修改路由，无须人工维护。但动态路由协议开销大，配置复杂。网络中存在多种路由协议，如RIP、OSPF、IS-IS、BGP等，各种路由协议都有其特点和应用环境。在路由表中，动态路由的Protocol字段显示为具体的某种动态路由协议。

4. 特殊路由

4. VLAN间通信

通过划分VLAN隔离了广播域，增强了安全性。但是划分VLAN后，不同VLAN的计算机之间的通信也相应地被阻止。因此，为了实现VLAN间的通信，必须借助于三层设备。VLAN间通信的实质就是VLAN间的路由问题。实现VLAN间路由可以采用普通路由、单臂路由和三层交换这3种方式。

1. 普通路由

为每个VLAN单独分配一个路由器端口。每个物理端口就是对应VLAN的网关，VLAN间数据通信通过路由器进行三层路由，这样就可以实现VLAN间相互通信。随着每个交换机上VLAN数量的增加，就必然需要大量的路由器端口。出于成本的考虑，不可能采用这种方案解决VLAN间路由选路问题。

2. 单臂路由

为了解决物理端口需求过大的问题，在VLAN技术的发展中，出现的单臂路由技术来实现VLAN间的通信。它只需要一个以太网端口，通过创建子端口可以承担所有VLAN的网关，从而在不同的VLAN间转发数据。但是当VLAN间的数据流量过大的时候，路由器与交换机间的链路将成为网络的瓶颈。

3. 三层交换

4. 无线网络技术

4.1 无线网络协议标准

无线局域网络WLAN主要采用IEEE802.11系列技术标准，为保持和有线网络同等级的接入速度，目前比较常用的802.11g能够提供 MB的速率，802.11n能够提供300 MB的速率，802.11ac理论上能够提供高达1 GB的数据传输速率。

1. 802.11a标准

802. 11a标准应用多载波调制技术，是802. l1b无线联网标准的后续标准。它工作在5GHz频带，物理层速率可达 Mb/s，传输层可达25 Mbps，可提供10 Mbps的以太网无线帧结构接口。支持语音、数据、图像业务。一个扇区可以接入多个用户，每个用户可以带多个用户终端。工作频率范围是在5. 725 GHz~5.850 GHz。在此频率范围内又划分出5个信道，每个信道的中心频率相隔20 MHz。

2. 802.11b标准

802. 11b运作模式基本分为点对点模式和基本模式。点对点模式是指站点和站点之间的通信方式。它提供11 Mbps传输速率，扩展了直接序列展频技术DSSS，用标准的补码键控CCK调制，1、2、5.5&11 Mbps数据速率，工作在2.4 GHz.支持14个信道，每个信道的中心频率相隔5 MHz，每个信道可供占用的带宽为22 MHz，3个不重叠信道（1、6、11）。

3. 802.11g标准

IEEE 802. 11g有以下两个特点：在2.4 GHz频段使用正交频分复用（OFDM）调制技术，使数据传输速率提高到20 Mbps以上；能够与IEEE 802.11b的WiFi系统互联互通，可共存于同一AP的网络里，从而保障了后向兼容性。这样原有的WLAN系统可以平滑地向高速WLAN过渡，延长了IEEE 802. 11b产品的使用寿命，降低了用户的投资。

4. 802.11n标准

802. 11n是在802. 11g和802.11a之上发展起来的一项技术，最大的特点是速率提升，理论速率最高可达600 Mbps。802.11n可工作在2.4 GHz和5 GHz两个频段，可向后兼容IEEE 802. 11a/b/g。

5. 802.11ac标准

802. llac是802. 11n的继承者。它采用并扩展了源自802. 11n的空中接口概念，包括更宽的RF带宽（提升至160 MHz）、更多的MIMO空间流（增加到8）、多用户的MIMO，以及更高阶的调制。

4.2 无线网络产品

1. 无线控制器AC

无线控制器AC用于集中控制管理无线AP，它是无线网络的核心设备。它对AP的管理包括下发配置、修改相关配置参数、射频智能管理、接入安全控制等。无线控制器可以管理多个AP，通常根据管理AP的数量、包转发率、吞吐量等指标的差异，厂商提供多种型号来给用户进行选择。

2. 无线AP

无线接入点AP是WLAN网络中的重要组成部分。无线终端可以通过AP进行终端间的数据传输，也可以通过AP的WAN端口与有线网络互通。

（1）放装型AP

它是WLAN市场上通用性最强的产品。主要特点是接入带宽高、接入用户数量大，是典型的高密度场景部署产品。适用于建筑结构简单、无特殊阻挡物品、用户相对集中的室内场合，以及对容量需求较大的区域。它可以根据不同环境灵活实施分布。

（2）墙面型AP

它是胖瘦一体化迷你型无线接入点，提供给少量用户在较小区域接入的产品。利用原有的有线网络进行无线扩容，既满足增加无线覆盖的需求，同时确保有线网络的正常使用。

（3）智分型AP

一般应用在小开间、高密度、多隔断的场景中，能够充分满足超高性能和超高并发的需求。智分型AP将信号收发通过天线完成后，由于天线分布在各个房间内，走廊无线信号较弱，传输距离有限，因此即使有多个AP也不会相互干扰。

（4）室外AP

一般采用全密闭防水、防尘、阻燃外壳设计，适合在极端的室外环境中使用。它采用抱杆式安装，设备包括AP主机、馈线、天线、防雷器等。部署在楼顶或者楼宇中部。

3. AP供电产品

IEEE定义的两种PoE 供电标准分别是IEEE802.3at和IEEE802.3af。IEEE802.3af可以为终端提供的最大功率为13 W，适用于网络电话、室内无线AP等设备。IEEE802.3at可以为终端提供的最大功率为26 W，适用于室外无线AP、视频监控系统等设备。

AP的供电方式分为PoE供电、本地供电、PoE模块供电3种。

（1）PoE供电

PoE是通过以太网网络对终端进行集中供电，AP不需要再考虑其室内电源系统布线的问题，在接入网络的同时就可以实现对设备的供电。一般由PoE交换机负责AP的数据传输和供电。PoE交换机是一种内置PoE供电模块的以太网交换机，它的优点在于节省电源布线成本，方便统一管理。PoE供电距离在100 m内。

（2）本地供电

通过AP适配的电源适配器为AP供电，这种供电方式不方便取电，需要充分考虑强电系统的布线和供电。

（3）PoE模块供电

通过PoE适配器负责AP的数据传输和供电，这种供电方式不需要取电，其稳定性不如PoE交换机，适用于部署少量AP施工情况。

4. AP天线类型

（1）全向天线

在水平方向图上表现为360°都均匀辐射，也就是无方向性，在垂直方向图上表现为有一定宽度的波束，一般情况下波瓣宽度越小，增益越大。

（2）定向天线

在水平方向图上表现为一定角度范围辐射，也就是有方向性。它同全向天线一样，波瓣宽度越小，增益越大。定向天线在通信系统中一般应用于通信距离远、覆盖范围小、目标密度大、频率利用率高的环境。定向天线的主要辐射范围像一个倒立的不太完整的圆锥。

（3）室内吸顶天线

室内吸顶天线尺寸很小，属于低增益天线。由于其是在天线宽带理论的基础上，借助计算机的辅助设计，以及使用网络分析仪进行调试，因此能够很好地满足在非常宽的工作频带内的驻波比要求。但在室内，由于建筑物材料固有的屏蔽作用，增加了无线信号的穿透损耗，影响了网络的信号接收和通话质量。

（4）室外全向天线

一般应用于郊县大区制的站型，覆盖范围大。

4.3 无线网络AP的组网方式

1. FAT AP

面对小型公司、办公室、家庭等无线覆盖场景，仅需要少量的AP即可实现无线网络覆盖，通常采用无线路由器组网。FAT AP的特点是将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游以及其他应用层的功能集成在一起，为用户提供极简的无线接入体验。用户只需要在浏览器上按照向导进行配置，即可实现各个场景下的无线部署，但在大规模的网络应用中存在劣势，组网管理较繁杂，不支持用户的无缝漫游，所以在中大规模组网中不采用此方式。

2. FIT AP

中大规模组网中采用FIT AP组网模式，它具有方便集中管理、三层漫游、基于用户下发权限等优势。这种“无线控制器+FIT AP控制架构”的功能要求如下：

① 无线控制器负责无线网络的接入控制、转发和统计、AP的配置控制、漫游管理、网管代理和安全控制；

② FIT AP负责802.11报文的加解密、802.11的物理层功能、接受无线控制器的管理、RF空口统计等。

根据AP与AC之间的组网方式，其组网架构可以分为二层组网和三层组网两种方式。而在三层组网模式中，使用了CAPWAP协议。CAPWAP协议定义了AP和AC之间通信方式，用以实现AC对其关联的AP的集中管理和控制。协议内容包括：AP对AC的自动发现及AC&AP的状态机运行维护，AC对AP业务配置下发与管理，STA数据封装CAPWAP隧道进行转发。

4.4 无线网络相关术语

1. 服务集标识SSID

SSID服务集标识就是无线网络的名称，单个AP可以有多个SSID。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。无线AP一般都会把 SSID广播出去，如果不想让自己的无线网络被别人搜索到，可以设置禁止SSID广播，此时无线网络仍然可以使用，只是不会出现在其他人所搜索到的可用网络列表中。要想连接该无线网络，就只能手工设置SSID。多个SSID功能就是通过设置多个SSID，实现一台无线AP布置多个无线接入点，用户可以连入不同的无线局域网，避免相互之间的干扰。实际上所有的用户连入了同一个无线AP，只不过每组SSID之间是相互隔离的。选择多SSID功能，除了可以获得多个无线局域网外，更重要的是可以保证无线网络的安全。尤其是对于小型企业用户来说，每个部门都有自己的数据隐私需求，如果共用同一个无线局域网，很容易出现数据被盗的情况，而选择了多SSID功能，每个部门都能独享专属的无线局域网，让各自的数据信息更加安全，更有保障。

2. AP密度

AP密度是指固定面积的建筑物环境下部署无线AP的数量。每一台无线AP可接入的用户数量是相对固定的，因此，无线AP的部署数量不仅需要考虑无线信号在建筑物的覆盖质量，还要根据无线用户的接入数量来确定AP的部署数量。

在不考虑无线覆盖的情况下，考虑到无线AP的无线用户接入数量上限，对于无线用户数量较多的场合就需要部署更多的AP。因此，在无线网络工程项目部署中，通常要针对AP的覆盖范围、无线用户接入数量进行综合考虑。例如，会展中心无线网络部署属于典型的高密度无线AP部署场景；仓储中心无线网络部署通常属于低密度高覆盖无线AP部署场景。

3. AP功率

在AP选型中，AP功率是个重要的指标，因为它与AP的信号强度有关。AP通过天线发射无线信号，通常，AP的发射功率越大，信号就越强，其覆盖范围就越广。典型的两款产品为室内型AP和室外型AP。室内型AP的功率普遍比室外型AP的功率要小，室外AP的功率基本都在500 mW以上，而室内AP的发射功率一般在100 mW~500 mW之间。

注意：功率越大，辐射也就越强，所以在满足信号覆盖的情况下，不建议一味地选择大功率的AP，而且AP信号的强弱不仅和功率有关，还和频段干扰、摆放位置、天线增益等有关。

4. AP信道

为避免同频干扰，AP部署时可以对多个AP进行信道规划，信道规划的作用是减少信号冲突与干扰，通常会选择水平或者垂直部署。如在同一空间的二维平面上使用三个信道的多个AP来实现任意区城无相同信道干扰的无线部署，当某个AP功率调大时，会出现部分区城有同频干扰，影响用户上网体验，这时可以通过调整无线设备的发射功率来避免这种情况的发生。但是，在三维平面上，要想在实际应用场景中实现任意区域无同频干扰是比较困难的，尤其在高密度AP部署时，还需要对所有布放AP进行功率规划，通过调整AP的发射功率来尽可能降低AP信道冲突。

4.5 WLAN安全技术

WLAN网络常见的安全威胁有：非经授权的用户使用网络服务、非法AP、数据安全和拒接服务攻击。为更好地解决以上问题，我们通常采用认证技术和加密技术来构建一个安全的无线网络。

1. WLAN认证技术

为确保只有授权用户可以通过无线接入点访问网络资源，我们采用认证技术来验证用户身份与资格，用户必须表明自己的身份，并提供可以证实其身份的凭证。通常安全性高的认证系统采用多要素认证，用户必须提供以下至少两种不同的身份凭证。

（1）开放系统认证

不对用户身份做任何验证，整个认证过程中，通信双方仅仅需要交换两个认证帧即可建立AP与客户端的连接，进而获得访问网络资源的权限。它是唯一的802.11要求必备的认证方法，也是最简单的认证方式。对于需要允许设备快速进入网络的场景，可以使用开放系统认证。

（2）共享密钥认证

要求用户设备必须支持有线等效加密，用户设备与AP必须配置匹配的静态WEP密钥。如果双方的静态WEP密钥不匹配，用户设备无法通过认证。

（3）服务集标识隐藏

SSID技术可以将一个无线局域网分为多个需要不同身份验证的子网络，每一个子网络都需要的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未经授权的用户进入本网络。而SSID隐藏则可以将无线网络的逻辑名隐藏起来。AP启用SSID隐藏后，信标帧中的SSID字段被置为空，无线客户端通过被动扫描侦听信标帧的用户设备将无法获得SSID信息。无线终端必须手动设置与AP相同的SSID才能与AP进行关联。若用户设备的SSID与AP的SSID不同，那么AP将拒绝它的接入。

（4）黑白名单认证

（5）PSK认证

要求用户使用一个简单的ASCII字符串作为密钥，客户端和服务端通过能否成功解密协商的消息，来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同，从而完成服务端和客户端的相互认证。

2. WLAN加密技术

在WLAN用户通过认证并被赋予访问权限后，网络必须保护用户所传送的数据不被泄露，其主要方法是对数据报文进行加密。WLAN采用的加密技术主要有：WEP加密、临时密钥完整性协议TKIP加密、加密和计数器模式密码块链信息认证码协议CCMP加密等。

4.6 DHCP技术

1. 手工分配

2. 自动分配

3. 动态分配