锐捷网络WLAN技术白皮书

锐捷ACL应用技术白皮书摘要ACL，是访问控制列表(Access Control Lists)的简称。

在实际的网络环境中，各种上层访问都是通过报文交互进行的，为了进行访问控制，就通过ACL设置一系列过滤规则来控制报文转发和过滤，从而达到目的，所以称之为访问控制列表。

本文阐析了ACL功能的工作机制。

并在此基础上，说明我司交换机在ACL功能上的特点，优越性及其应用。

关键词ACL ACE目录摘要 (1)关键词 (1)1 缩略语 (2)2 概述 (2)2.1 ACL技术产生的背景 (2)2.2 我司交换机产品对ACL功能的支持情况 (3)3 技术介绍 (4)3.1 ACL工作原理 (4)3.1.1 ACL分类 (4)3.1.2 安全ACL种类 (4)3.1.3 Access Control Entry (4)3.1.4 安全ACL过滤报文原理 (6)3.1.5 基于接口和基于VLAN的ACL (8)4 锐捷ACL技术特点 (11)4.1 配置灵活方便 (11)4.2 功能完备 (11)4.3 过滤性能好 (11)4.4 各款产品ACL功能限制 (12)4.4.1 各类型ACL共有限制 (12)4.4.2 各款产品支持情况差异性说明 (12)4.4.3 机箱式设备的线卡类型汇总 (14)4.5 各款产品ACL在各种应用情况下的限制和容量值 (15)4.5.1 IP标准ACL的限制和容量值 (15)4.5.2 IP扩展ACL的限制和容量值 (15)4.5.3 MAC扩展ACL的限制和容量值 (16)4.5.4 专家级ACL的限制和容量值 (17)4.5.5 IPv6 ACL的限制和容量值 (17)4.6 使用我司ACL功能注意事项 (18)4.7 应用与案例分析 (19)4.7.1 核心层交换机S86关键配置 (20)4.7.2 汇聚层交换机S57关键配置 (22)4.7.3 接入层交换机S26关键配置 (24)5 结束语 (26)1 缩略语ACL：Access Control List，访问控制列表ACE：Access Control Entry，ACL的组成元素VACL：基于VLAN的ACLPort ACL：基于二层接口的ACLAP：Aggregate PortL2 AP：二层AP接口L3 AP：三层AP接口SVI：Switch Vlan Interface，交换机虚拟VLAN接口Routed Port：路由口2 概述2.1 ACL技术产生的背景在实际网络环境中，各种上层访问，最常见的就是访问某个网站，归根结底是通过PC和服务器之间的报文交互进行的，而报文则是通过交换机，路由器等各种网络设备进行传输的。

锐捷网络WLAN技术白皮书一、无线网络解决方案分类无线网络解决方案包括：无线个人网：主要用于个人用户工作空间，典型距离覆盖几米，可以与计算机同步传输文件，访问本地外围设备，如打印机等。

目前主要技术包括蓝牙（Bluetooth）和红外（IrDA）。

无线局域网：主要用于宽带家庭、大楼内部以及园区内部，典型距离覆盖几十米至上百米。

目前主要技术为802.11系列。

无线LAN-to-LAN网桥：主要用于大楼之间的联网通讯，典型距离几公里。

许多无线网桥采用802.11b技术。

无线城域网和广域网：覆盖城域和广域环境，主要用于Internet/email访问，但提供的带宽比无线局域网技术要低很多。

二、无线局域网频道分配与调制技术无线局域网采用电磁波（RF）作为载体传送数据信息。

对电磁波的使用分两种常见模式：窄带和扩频。

窄带技术以微波为主，适用于长距离点到点的应用，可以达到40公里。

由于它采用的频道较宽以及定向信号天线，因此其最大带宽可达10Mbps，但受环境干扰较大。

无线局域网采用无线扩频(spread spectrum)技术，也称SST，早期由军事部门研发，确保安全可靠的军事通讯。

常见的扩频技术包括两种：调频扩频（FHSS）和直序扩频（DSSS），它们工作在2.4-2.4835GHz。

1、调频技术调频技术将835MHz的频带划分成79个子频道，每个频道带宽为1MHz。

信号传输时在79个子频道间跳变，因此传输方与接受方必须同步，获得相同的条变格式，否则，接受方无法恢复正确的信息。

调频过程中如果遇到某个频道存在干扰，将绕过该频道。

受跳变的时间间隔和重传数据包的影响，调频技术的典型带宽限制为2-3Mbps。

2、直序扩频技术直序扩频技术是无线局域网802.11b采用的技术，将835MHz的频带划分成14个子频道，每个频道带宽为22MHz。

直序扩频技术用一个冗余的位格式来表示一个数据位，这个冗余的位格式称为chip，因此它可以抗拒窄带和宽带噪音的干扰，提供更高的传输速率。

RG-AP720-I灵动天线型802.11ac无线接入点产品白皮书目录1产品图片 (3)2产品概述 (4)3产品特性 (5)4技术参数 (9)5典型应用 (12)6订购信息 (13)1 产品图片图1-1RG-AP720-I2 产品概述RG-AP720-I是锐捷网络推出的搭载灵动天线、支持802.11ac Wave2最新技术标准的无线接入点（AP）产品，支持MU-MIMO，整机提供1267Mbps的接入速率，超千兆的极速无线让性能不再成为瓶颈。

通过扩展“AP卫星”RG-MAP552(SR)，可实现用户数、性能翻倍提升，整机最大达到2.4Gbps。

RG-AP720-I同时搭载了业界领先的X-Sense灵动天线，跨越式的提升了AP的覆盖性能，保障了移动智能终端最优的接入效果。

RG-AP720-I产品充分考虑了无线网络安全、射频控制、移动访问、服务质量保证、无缝漫游等重要因素，配合锐捷网络RG-WS系列无线控制器产品，完成无线用户数据转发、安全和访问控制。

RG-AP720-I可支持同时工作在802.11ac wave2和802.11n模式。

该产品支持壁挂、吸顶安装方式，可安全方便的安装于墙壁、天花板等各种位置。

RG-AP720-I产品可支持本地供电与远程以太网供电模式，可根据客户现场供电环境进行灵活选择，特别适合部署在大型校园、企业办公、医院、运营热点等环境。

3 产品特性支持802.11AC Wave2MU-MIMO：Multi-User Multiple-Input Multiple-Output。

简称为多用户多入多出技术，即同一时刻可向多个终端发送信息，802.11ac第二阶段标准的里程碑技术。

AP720-I支持业界最新的MU-MIMO技术，可以实现无线多用户并发环境下多个终端的并行传输，极大的提高了无线数据吞吐量和多用户接入使用体验。

X-sense：会思考的灵动天线➢自动天线路径选择，覆盖无死角锐捷网络创新研发的X-Sense灵动天线矩阵架构，能够动态选择不同的天线组合，支持最高多种组合方案，彻底解决传统天线存在覆盖盲区的弱点。

RG-SNC智能网络指挥官产品白皮书目录1产品图片 (1)2产品概述 (3)3产品特性 (4)4技术参数 (9)5典型应用 (10)6订购信息 (11)1 产品图片图1-1RG-SNC网管拓扑图1-2RG-SNC-WLAN网管图1-3RG-SNC-3G网管2 产品概述RG-SNC智能网络指挥官是锐捷网络为精确进行网络管理而设计的网络管理系统。

RG-SNC专注于网络呈现、设备故障与性能监控、设备配置变更监视与设备配置管理，采用友好的全中文Web浏览器界面，可以远程协同维护和管理。

RG-SNC采用非代理模式，避免了传统的“Agent”模式的繁琐和重复性劳动，而且便于实施和后期维护，极大地节省了工作时间和工作繁杂度。

可定义管理任务，主动收集网络状况并及时备份，做到状态变更的及时响应，出现故障可及时恢复；提供美观的网络拓扑图展现效果，俯瞰整个网络现状，出现异常时，在拓扑图上及时呈现。

RG-SNC主要配合锐捷设备使用，同时能够提支持对标准MIB的各厂商设备进行基础监控管理。

同时RG-SNC统还可通过组件化实现对各种网络环境的管理，包括：无线WLAN组件、3G组件、出口EG设备远程运维管理组件等，而实现对各种设备、各种复杂网络的简单管理，从而大大降低管理员的维护强度和难度。

3 产品特性软件架构B/S架构：采用纯B/S架构，无需安装客户端，通过标准浏览器就能完成对系统的访问。

设备配置的防灾保护配置快照：系统可以按照用户的需要定期采集设备配置文件，对设备配置信息进行备份，一旦设备配置被破坏，管理员可轻松实现设备配置恢复。

配置比对：系统可自动比对每次备份后的系统配置，一旦发生变更后可告知管理员，并方便的查看变更内容，便于风险管理。

设备系统文件统一管理和规划设备软件统计：系统提供统计信息，详细描述网内应用的设备型号、软件版本信息，为用户统一规划设备版本提供帮助。

设备软件批量下发：提供设备软件批量下发功能，无需动用大量的人力物力，即可实现网内设备应用版本一致，并详细统计版本信息。

RG-WS6008高性能无线控制器锐捷网络股份有限公司了解更多产品信息，欢迎登陆，咨询电话：400-620-8818。

产品概述RG-WS6008高性能无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。

可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。

RG-WS6008起始支持32个无线接入点的管理，通过license 的升级，最大可支持224个AP的管理。

RG-WS6008可针对无线网络实施强大的集中式可视化的管理和控制，显著简化原本实施困难、部署复杂的无线网络。

通过与锐捷网络有线无线统一集中管理平台RG-SNC以及无线接入点的配合，灵活地控制无线接入点的配置，优化射频覆盖效果和性能，同时还可实现集群化管理，将网络中的设备部署工作量将至最低。

RG-WS6008产品采用增强的安全和集群技术，通过基于身份的组网来提供网络服务。

集群中的多台无线控制器可共享用户数据库，实现无线用户在跨越整个网络不同区域的过程中无缝的漫游，彻底满足移动漫游中的安全性和会话完整性，充分满足Wi-Fi语音通信的数据交互和语音流畅。

产品特性高智能的无线体验终端智能识别RG-WS6008内置Portal服务器，能根据终端特点，智能识别终端类型，自适应弹出不同大小、页面格局的Portal认证页面。

终端智能识别技术免去了用户多次拖动，调整屏幕的操作，为用户提供更加智能的无线体验，并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。

终端公平访问RG-WS6008协同锐捷无线接入点为802.11g、802.11n、802.11ac等不同类型的终端提供相同的访问时间，极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，有效的提升了低速终端的性能，保证用户无论使用何种类型的终端，都将在相同的位置上获得同样良好的无线上网体验。

无线局域网的安全技术白皮书一、引言在当今数字化时代，无线局域网（WLAN）已成为人们生活和工作中不可或缺的一部分。

无论是在家庭、办公室、商场还是公共场所，我们都能轻松地连接到无线网络，享受便捷的互联网服务。

然而，随着无线局域网的广泛应用，其安全问题也日益凸显。

未经授权的访问、数据泄露、网络攻击等安全威胁给用户和企业带来了巨大的风险。

因此，了解和掌握无线局域网的安全技术至关重要。

二、无线局域网的基本原理无线局域网是利用无线通信技术在一定范围内建立的网络连接。

它通过无线接入点（AP）将设备连接到有线网络，实现数据的传输和共享。

无线局域网采用的通信标准主要有 WiFi（IEEE 80211）系列，如80211a、80211b、80211g、80211n 和 80211ac 等。

三、无线局域网面临的安全威胁（一）未经授权的访问未经授权的用户可以通过破解无线密码或利用网络漏洞接入无线局域网，获取网络资源和敏感信息。

（二）数据泄露在无线传输过程中，数据可能被窃取或篡改，导致用户的个人隐私、商业机密等重要信息泄露。

（三）网络攻击攻击者可以通过发送恶意数据包、进行拒绝服务攻击（DoS）等方式，使无线局域网瘫痪，影响正常的网络服务。

（四）AP 劫持攻击者可以伪装成合法的无线接入点，诱导用户连接，从而获取用户的信息。

四、无线局域网的安全技术（一）加密技术1、 WEP（Wired Equivalent Privacy）WEP 是早期的无线加密协议，但由于其安全性较弱，已逐渐被淘汰。

2、 WPA（WiFi Protected Access）WPA 采用了更强大的加密算法，如 TKIP（Temporal Key Integrity Protocol），提高了无线局域网的安全性。

3、 WPA2WPA2 是目前广泛应用的无线加密标准，采用了 AES（Advanced Encryption Standard）加密算法，提供了更高的安全性。

RG-WS6008高性能无线控制器锐捷网络股份有限公司了解更多产品信息，欢迎登陆，咨询电话：400-620-8818。

产品概述RG-WS6008高性能无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。

可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。

RG-WS6008起始支持32个无线接入点的管理，通过license 的升级，最大可支持224个AP的管理。

RG-WS6008可针对无线网络实施强大的集中式可视化的管理和控制，显著简化原本实施困难、部署复杂的无线网络。

通过与锐捷网络有线无线统一集中管理平台RG-SNC以及无线接入点的配合，灵活地控制无线接入点的配置，优化射频覆盖效果和性能，同时还可实现集群化管理，将网络中的设备部署工作量将至最低。

RG-WS6008产品采用增强的安全和集群技术，通过基于身份的组网来提供网络服务。

集群中的多台无线控制器可共享用户数据库，实现无线用户在跨越整个网络不同区域的过程中无缝的漫游，彻底满足移动漫游中的安全性和会话完整性，充分满足Wi-Fi语音通信的数据交互和语音流畅。

产品特性高智能的无线体验终端智能识别RG-WS6008内置Portal服务器，能根据终端特点，智能识别终端类型，自适应弹出不同大小、页面格局的Portal认证页面。

终端智能识别技术免去了用户多次拖动，调整屏幕的操作，为用户提供更加智能的无线体验，并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。

终端公平访问RG-WS6008协同锐捷无线接入点为802.11g、802.11n、802.11ac等不同类型的终端提供相同的访问时间，极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，有效的提升了低速终端的性能，保证用户无论使用何种类型的终端，都将在相同的位置上获得同样良好的无线上网体验。

WLAN安全服务技术白皮书杭州华三通信技术有限公司目录WLAN安全服务技术白皮书 (1)第1章WLAN概述 (4)第2章WLAN用户接入介绍 (5)2.1 802.11链路协商 (5)2.1.1 WLAN服务发现 (6)2.1.2 链路认证 (6)2.1.3 链路服务协商 (7)2.2 用户接入认证 (7)2.2.1 802.1x接入认证 (7)2.2.2 MAC接入认证 (9)2.2.3 PSK接入认证 (10)2.3 密钥协商 (10)第3章H3C公司的WLAN服务 (11)3.1 集中管理WLAN架构 (11)3.2 自治WLAN架构 (12)3.3 WLAN接入认证 (13)3.4 WLAN服务的数据安全 (14)3.5 WLAN接入服务 (14)3.5.1 明文WLAN服务 (14)3.5.2 WEP加密WLAN服务 (15)3.5.3 WPA WLAN服务 (17)3.5.4 RSN WLAN服务 (18)3.5.5 WPA和RSN组合WLAN服务 (19)第4章H3C公司WLAN的优势 (20)摘要现在WLAN应用已经非常普遍，在很多场所被部署，例如公司，校园，工厂，甚至咖啡厅等等。

本文介绍了WLAN的基本概念和技术原理，以及H3C WLAN解决方案能够提供的多种无线安全接入服务。

关键词WLAN, Station, ESS, SSID, RSN, OSA, IE, PSK, EAP, AC, AP, WTP缩略语WLAN 无线局域网（Wireless Local Area Network）Station 本文指WLAN的客户端ESS 扩展服务集（Extended Service Set）SSID 服务标示（Service Set ID）RSN Robust安全网络（Robust Security Network）OSA 开放系统认证（Open System Authentication）IE 信息单元（Information Element）PSK 预共享密钥（Pre-Shared Key）EAP 扩展认证协议（Extensible Authentication Protocol）AC 接入控制器（Access Controller）AP 接入控制点（Access Point）WTP 无线终端控制点（Wireless Termination Points）IV 初始向量（Initialization Vector）第1章WLAN概述WLAN，全称是Wireless Local Area Network，即无线局域网，和传统的有线接入方式相比无线局域网让网络使用更自由：1、无线局域网彻底摆脱了线缆和端口位置的束缚，用户不在为四处寻找有线端口和网线而苦恼，接入网络如喝咖啡般轻松和惬意。

wlan技术白皮书QOS1.00修订记录日期 修订版本 修改章节 修改描述 作者 08/8/5 1.00 第一稿 沈翀目录1. Wlan QOS需求背景 (4)2. 名词解释 (4)3. qos背景知识 (5)3.1. 无线qos难点 (5)3.2. PCF介绍 (6)3.3. 802.11协议Qos的局限性 (6)3.4. Qos种类 (7)3.5. 无线qos标准 (7)4. 无线qos帧格式 (8)4.1. Qos Control域 (8)4.2. TID (8)4.3. EOSP (9)4.4. Ack策略 (10)4.5. TXOP限制 (10)5. 无线qos mac功能 (11)5.1. HCF (11)5.2. TXOP (11)5.3. EDCA (11)5.4. HCCA (14)5.5. APSD (15)5.6. TSPEC (16)5.7. 新确认规则 (17)5.8. 直接链路协议 (19)6. 参考文献 (20)7. 附录 WMM介绍 (20)1.Wlan QOS需求背景随着越来越丰富的视、音频业务的出现和无线通信技术的发展，在任何时间、任何地点以各种方式享用服务的议题再次成为人们追求的热点，原来实现于有线和固定网络中的多媒体视、音频实时业务，正日益向无线、移动的趋势发展。

最初人们进行WLAN的协议设计主要是针对数据业务的，对于诸如视频、音频等实时业务应用并没有做充分的考虑。

2005年，IEEE 802.11e标准针对实时业务的QOS保证作出补充方案。

2.名词解释CP：contention period，竞争周期。

在竞争周期内，STA通过竞争取得媒介控制权。

CFP：Contention-Free Period，无竞争周期，由中央机制（central authority）控制的周期称为无竞争周期。

TXOP﹕发送时机（transmission opportunity），定义了STA可以发送数据的时间段，包括开始时间和最大持续时间。

WLAN技术白皮书802.11n Draft2.0福建星网锐捷网络有限公司未经本公司同意，严禁以任何形式拷贝 修订记录日期 修订版本 修改章节 修改描述 作者0.9 Draft 黄赞福建星网锐捷网络有限公司未经本公司同意，严禁以任何形式拷贝 目录1. 概述 (4)1.1. 技术背景 (4)1.2. 技术特点 (4)1.3. 本书阅读说明 (5)2. 名词解释 (5)3. 技术分析 (6)3.1. 帧格式变更 (6)3.1.1. MPDU帧格式变更 (6)3.1.2. PPDU帧格式变更 (7)3.2. MAC效率提升 (9)3.2.1. 帧聚合（Aggregation） (10)3.2.2. 块确认（Block Acknowledgement） (12)3.2.3. RIFS（Reduced InterFrame Space） (13)3.3. MIMO技术 (14)3.3.1. MIMO基本概念 (14)3.3.2. MIMO系统组成 (15)3.3.3. 空间复用 (17)3.3.4. 信道探测评估 (18)3.3.5. 波束成形（BeamForming） (19)3.4. OFDM改进 (22)3.4.1. 副载波增加 (22)3.4.2. FEC编码速率提高 (23)3.4.3. 短防护间隔（SGI） (23)3.5. 带宽扩充 (24)3.6. PHY保护机制 (25)4. 附录 (26)4.1. 各种技术对速率提升的贡献 (26)4.2. 802.11nMCS一览表 (27)1.概述1.1. 技术背景802.11n是IEEE802.11协议族中的一部分，提供了MAC子层的部分修改和全新的PHY子层。

目的是在802.11旧有技术基础上改进射频稳定性、传输速率和覆盖范围。

在802.11g标准化之后，IEEE 802.11成立了任务n工作组——TGn。

在过去几年时间里，TGn 的提案一直未能完成标准化，主要原因是以芯片厂家主导的TGnSync阵营和以设备制造厂家主导的WWiSE阵营的争端无法达成一致。

wlan技术白皮书安全1.00修订记录日期 修订版本 修改章节 修改描述 作者 08/8/1 1.00 第一稿 沈翀目录1. Wlan安全机制 (4)2. 名词解释 (5)3. 无线安全标准历史 (5)3.1. 802.11 (5)3.2. WPA (6)3.3. 802.11i (6)3.4. WAPI (6)3.5. EAP相关RFC (7)4. 无线加密机制 (7)4.1. WEP (7)4.2. TKIP (8)4.3. CCMP (10)5. 无线认证机制 (11)5.1. 开放的无线接入 (11)5.2. 共享密钥 (11)5.3. EAP (12)5.3.1. EAP协议 (12)5.3.2. EAP多种认证方式 (14)5.3.3. 802.1X (16)5.3.4. 无线局域网的802.1X认证 (17)6. 密钥管理机制 (18)6.1. 密钥的产生和管理 (18)6.2. 密钥交互和握手流程 (20)6.2.1. 单播密钥更新的四次握手流程 (20)6.2.2. 广播密钥更新流程 (21)7. 参考文献 (22)8. 附录：一个完整的802.1X认证过程 (23)1. Wlan 安全机制无线局域网相对于有线局域网而言，其所增加的安全问题原因主要是其采用了公共的电磁波作为载体来传输数据信号，而其他各方面的安全问题两者是相同的。

由于无线网络的开放性，为了保证其安全，至少需要提供以下2个机制：1、 判断谁可以使用wlan 的方法—认证机制 2、 保证无线网数据私有性的方法—加密机制因此，早期的无线安全（802.11）包含认证和加密两部分。

为了解决802.11的安全漏洞，802.11i 将无线安全分为4个方面：实际上是把早期的认证机制细分为认证算法（Authentication Algorithm）和认证框架（Authentication Framework）；加密机制则包含了数据加密算法（Data Privacy Algorithm）以及数据完整性校验算法（Data Integrity Algorithm）。

RG-WALL V系列安全网关SSL VPN技术白皮书福建星网锐捷网络有限公司版权所有侵权必究目录VPN技术背景 (4)1 SSLVPN技术概述 (5)2 SSLV网关SSL VPN功能介绍 (7)3 RG-WALLV网关SSL VPN技术特点 (10)4 RG-WALL4.1 成熟全面的SSL VPN技术 (10)4.1.1 无需安装客户端，使用简单 (10)4.1.2 使用IP Tunnel技术支持所有应用和网络访问 (10)4.1.3 详尽的细粒度访问控制 (10)4.1.4 高效的压缩算法，硬卡加密提高访问速度 (11)4.1.5 自主定制用户登陆界面 (11)4.2 易用安全的SSL VPN (11)4.2.1 安全的加密认证 (11)4.2.2 短信校验多重保证 (12)4.2.3 支持标准的PKI体系 (12)4.2.4 自带CA中心 (13)4.2.5 支持第三方CA (13)4.2.6 支持外部有效认证 (13)4.2.7 支持客户端硬件特征码绑定 (13)4.2.8 支持在规定时间、规定地点和规定主机上的“三规”访问 (13)4.2.9 客户端安全扫描 (14)4.2.10 清除访问用户访问记录 (14)4.3 高效稳定的部署能力 (14)4.3.1 双机热备技术保证系统的稳定性 (14)4.3.2 多链路技术保证链路的稳定性 (15)4.3.3 多种接入方式保证系统高效部署 (15)4.4 安全灵敏的系统 (15)4.4.1 实时监控系统状态 (15)4.4.2 完善的日志服务 (16)4.4.3 双系统备份 (16)4.4.4 在线升级 (16)4.4.5 集成强大的防火墙 (16)5 RG-WALLV网关SSL VPN运行步骤 (18)V网关SSL VPN典型部署 (20)6 RG-WALL6.1 路由模式部署图 (20)6.2 透明模式部署图 (21)6.3 单臂路由模式 (22)6.4 混合部署、集中管理模式 (23)RG-WALL V系列安全网关SSL VPN技术白皮书关键词：RG-WALL V网关、SSL VPN、技术白皮书摘要：本文档在全面分析VPN技术现状和发展趋势的基础上，阐述了锐捷网络公司的SSL VPN技术。

锐捷DHCP-Snooping技术白皮书摘要本文介绍DHCP-Snooping和相关技术，说明了在DCHP应用环境下，如何利用DHCP-Snooping技术并结合相关技术进行安全方面的控制，包括屏蔽非法服务器、阻止用户私设IP、防止ARP欺骗等目的。

关键词DHCP-Snooping IP报文硬件过滤ARP DAI ARP-Check技术白皮书修订记录目录摘要 (1)关键词 (1)1 缩略语 (4)2技术应用背景 (4)3 DHCP-Snooping技术分析 (5)3.1 DHCP技术简介 (5)3.2 DHCP-Snooping技术简介 (6)3.3非法DHCP报文拦截 (7)3.3.1屏蔽非法DHCP 服务器 (7)3.3.2过滤非法报文 (8)3.4 Option 82 (8)3.5提供安全过滤数据库 (8)3.5.1 DHCP-Snooping数据库 (8)3.5.2提供IP报文硬件过滤数据库 (9)3.5.3提供ARP报文过滤数据库 (9)4 DAI技术分析 (10)4.1了解ARP (10)4.2 DAI技术简介 (11)4.3 ARP报文限速 (11)4.4信任端口& 非信任端口 (11)4.5 ARP报文检测步骤 (12)5 应用方案 (13)5.1应用部署 (13)5.2应用拓扑 (13)5.2 DHCP-Snooping + DAI (14)5.4 DHCP-Snooping + ARP-Check (16)5.5友商对比 (17)1 缩略语缩略语英文全名中文解释IP Internet Protocol 互联网协议DHCP Dynamic Host Configuration动态主机配置协议ProtocolC/S Client / Server 客户端和服务器模式DNS Domain Name System 域名系统ARP Address Resolution Protocol 地址解析协议DAI Dynamic ARP Inspection 动态ARP检测MAC Media Access Control 介质访问控制VLAN Virtual Local Area Network 虚拟局域网CPU Central Processing Unit 中央处理器FTP File Transfer Protocol 文件传输协议TFTP Trivial File Transfer Protocol 日常文件传送协议DoS Denial of Service 拒绝服务2技术应用背景DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)采用客户端和服务器的运行机制，是一种简化主机IP地址配置管理的TCP/IP标准。

802.11ax技术详解（二）前言：上一篇描述了802.11ax新技术的特点，新技术将从PHY层和MAC层两个维度来实现多用户的体验提升，这篇将通过仿真或者软件无线电平台搭建802.11ax物理层实测平台，对场景化下的性能进行分析部分实测验证。

1远距离下性能分析802.11ac 从 64QAM到 256QAM提供了 8/6=1.33 倍增速，802.11ax从256QAM到1024QAM提供了10/8=1.25倍增速。

但在实际实现中，1024QAM对信号发送EVM的要求至少-35dB，相比11ac有3dB的提升，否则在接收端不能解调。

表1.1 802.11ax发送EVM要求Modulation Coding rate Relative constellation error(dB)256‐QAM 3/4 ‐30256‐QAM 5/6 ‐321024‐QAM 3/4 ‐351024‐QAM 5/6 ‐35我们在实际办公室中搭建了802.11ax的物理层软件无线电平台，测试了单流下高阶性能，如表1.4所示，空口4.5m情况下，MCS10/11在接收端不能解调。

MCS10/11适用于传输在近距离下，如2.2m能够良好的解调，解调端EVM能够达到-31dB。

表1.2实测不同距离高阶的解调端EVM测试环境\MCS 891011馈线 ‐41.5dB ‐41.7dB‐42.1dB‐41.8dB空口LOS 0.2M ‐32.3dB ‐31.9dB‐32.4dB‐31.1dB空口LOS 2.2M ‐32.5dB ‐32.2dB‐32.8dB‐32.7dB空口LOS 4.5M ‐24.2dB ‐24.3dB‐24.9dB‐24.4dB1024QAM能够有效提升传输速率，进而提升吞吐，但实测过程中发现，空口4.5m LOS(视距)下性能下降较多，接收端不能解调，1024QAM更适用于在近距离干扰较少的环境，在户外以及远距离下，MCS10/11实用性较差。