分类目录归档:wireless

无线安全加密应该选择什么算法

 以下是搜索到的信息

AES和tkip的区别:
TKIP: 负责处理无线安全问题的加密部分,TKIP是包裹在已有WEP密码外围的一层“外壳”, 这种加密方式在尽可能使用WEP算法的同时消除了已知的WEP缺点,例如:WEP密码使用的密钥长度为40位和128位,40位的钥匙是非常容易破解的,而且同一局域网内所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而TKIP中密码使用的密钥长度为128位,这就解决了WEP密码使用的密钥长度过短的问题。TKIP另一个重要特性就是变化每个数据包所使用的密钥,这就是它名称中“动态”的出处。密钥通过将多种因素混合在一起生成,包括基本密钥(即TKIP中所谓的成对瞬时密钥)、发射站的MAC地址以及数据包的序列号。混合操作在设计上将对无线站和接入点的要求减少到最低程度,但仍具有足够的密码强度,使它不能被轻易破译。WEP的另一个缺点就是“重放攻击(replay attacks)”,而利用TKIP传送的每一个数据包都具有独有的48位序列号,由于48位序列号需要数千年时间才会出现重复,因此没有人可以重放来自无线连接的老数据包:由于序列号不正确,这些数据包将作为失序包被检测出来。 
     AES:Advanced Encryption Standard(高级加密标准),是美国国家标准与技术研究所用于加密电子数据的规范,该算法汇聚了设计简单、密钥安装快、需要的内存空间少、在所有的平台上运行良好、支持并行处理并且可以抵抗所有已知攻击等优点。 AES 是一个迭代的、对称密钥分组的密码,它可以使用128、192 和 256 位密钥(甚至更高,都是可以选择的),并且用 128 位(16字节)分组加密和解密数据。与公共密钥密码使用密钥对不同,对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据 的位数与输入数据相同。迭代加密使用一个循环结构,在该循环中重复置换(permutations )和替换(substitutions)输入数据。
 
最后给出结论:
TKIP安全性不如AES,而且在使用TKIP算法时无线AP的吞吐量会下降3成至5成,大大地影响了AP的性能。所以只推荐使用AES

思科新版AP 2600 3600系列瘦ap转胖AP

发现新版AP升级用老办法不行了 以下是尝试过的方法 

设置IP和掩码

ap: set IP_ADDR 10.0.0.1
ap: set netmask 255.255.255.0
 
 初始化tftp和接口
Initialize the tftp, ethernet and flash subsystems:
ap: tftp_init
 
tftp_init success: You can now use tftp file system!
 
ap: ether_init
 
Initializing ethernet port 0…
 
Ethernet speed is 100 Mb – FULL Duplex
 
初始化flash:
ap: flash_init
 
Initializing Flash…
 
…The flash is already initialized.
 
从TFTP下载并解压 
Load the image from TFTP and extract it to flash:
ap: tar -xtract tftp://10.0.0.2/ap3g2-k9w7-tar.default.tar flash:/
 
 
设置 bootimage:
ap: set BOOT flash://ap3g2-k9w7-mx.152-4.JA1/ap3g2-k9w7-xx.152-4.JA1
Boot系统:
ap: boot
 
 
以上完成后boot就可以进入胖AP系统了 但是天线还是起不来的,需要拷贝某些bin文件
copy flash:/ap3g2-k9w7-mx.152-4.JA1/8004.img flash:/
copy flash:/ap3g2-k9w7-mx.152-4.JA1/E2.bin flash:/
copy flash:/ap3g2-k9w7-mx.152-4.JA1/E5.bin flash:/
copy flash:/ap3g2-k9w7-mx.152-4.JA1/X2.bin flash:/
copy flash:/ap3g2-k9w7-mx.152-4.JA1/X5.bin flash:/
copy flash:/ap3g2-k9w7-mx.152-4.JA1/V2.bin flash:/
copy flash:/ap3g2-k9w7-mx.152-4.JA1/V5.bin flash:/
copy flash:/ap3g2-k9w7-mx.152-4.JA1/B2.bin flash:/
copy flash:/ap3g2-k9w7-mx.152-4.JA1/B5.bin flash:/
copy flash:/ap3g2-k9w7-mx.152-4.JA1/Y2.bin flash:/
copy flash:/ap3g2-k9w7-mx.152-4.JA1/Y5.bin flash:/
 

思科统一无线Peer -to-Peer Blocking特性

Peer -to-Peer Blocking的选项有三个:分别是disable、drop 、forward-upstream三个选择,文字表达的可能不是很清楚,但是一张图就看的很清楚了

image

Peer-to-peer blocking is supported for clients that are associated with the local switching WLAN.两个client直接的通讯可以直接通过WLC本地交换。

Per WLAN, peer-to-peer configuration is pushed by the controller to FlexConnect AP . 基于WLAN来进行配置。

同一个VLAN的流量直接通过WLC来进行转发,不同WLAN直接的流量通过三层交换,因为三层网关肯定是在有线网络中,所以流量是无线client到有线网关直接做三层交换,不是两个client直接通讯。

In controller software release 4.2 or later releases, ARP requests are directed according to the behavior set for peer-to-peer blocking.