南京工程学院实训知识点总结

南京工程学院实训知识点总结
C、HUB（我们使用的线缆由黄色标志）交换机第2层交换机，也称为LAN交换机或工作组交换机，通常替代共享式集线器而与现存的线缆基础设施一起工作，以保证交换机安装后现存网络的中断达到最小。

它利用MAC地址表来决定帧需要转发到哪个分段，从而减少通信量。

交换机是数据链路层的设备，是基于MAC 地址对通信帧进行转发和泛洪。

交换机环境中的所有分段被认为是处于同一广播域。

路由器路由器是一类网络互连设备，它基于第3层地址在网络间传递数据分组。

路由器能作出决定为网络上的数据分组选择最佳传递路径，因为路由器根据网络地址转发数据。

换句话说，与交换机不同，路由器知道应向哪里发送数据。

路由器的目的是检查每一个进来的分组（第3层数据），为它们选择穿过网络的最佳路径，然后将它们交换到适当的出口。

在大型网络中，路由器是最重要的通信调节设备。

实际上，路由器可以使任何种类的计算机与世界上任何地方的其他计算机进行通信。

线缆双绞线双绞线可按其是否外加金属网丝套的屏蔽层而区分为屏蔽双绞线（STP）和非屏蔽双绞线（UTP）。

直通线：不同种设备之间互联（路－－交）（网线两头的水晶头里的线颜色要对应好）交叉线：同种设备之间互联（路－－路；交－－交；路－－PC）双绞线由8根不同颜色的线分成4对绞合在一起，成对扭绞的作用是尽可能减少电磁辐射与外部电磁干扰的影响。

在这8
根丝中，只有4根是传数据用的，其它4根线只是为了消除电磁干扰。

在4根传数据的线当中，有2根是用来发送数据的，有2根是用来接收数据的。

发送数据的那2根线一定要和对端接收数据的连。

所以电脑之间用交叉线。

但现在很多交换机是自适应的，内部会自动切换收、发电路，所以用这2种线都可以。

实际工作中可以看设备端口号后面有没有X，都有或者都没有>交叉线二：划分vlan和trunk和svi口Vlan当交换机收到一个目标MAC 不明确的数据帧（MAC地址表中没有目标MAC的条目），交换机会在所有接口发送该数据帧（广播、泛洪）。

那么LAN中任意一个站点发出的广播报文会被整个LAN内所有站点接收到--这时我们称整个LAN属于同一个广播域--广播帧能够到达的范围。

但是大多数情况下，这些广播报文并不需要让LAN每个站点都知道，这样既浪费了大量带宽，又不利于安全。

路由器的各个接口处于独立的广播域中，如果在局域网中使用路由器恶意有效的隔离广播、减小广播域的范围，但是路由器的价格成本高，而且，路由器的转发功能由软件转发，性能不高，容易在网络中造成性能瓶颈。

现在有一个新的技术叫做-VLAN，VLAN 出现之后，人们可以通过VLAN 将LAN分成多个逻辑LAN--VLAN，属于不同VLAN 的各个网段属于不同的广播域。

同一个VLAN内的主机可以互相访问，不同VLAN内的主机不能直接互相访问。

VLAN =广播域=逻辑的网段VLAN的优点：具有灵活性：打破了每个部门必须在一个固定的区域，一个交换机上可以有多个VLAN，一个VLAN 也可以跨越多
个交换机，VLAN 不受到地里范围、位置的限制。

将网络分段：一个VLAN就是一个独立的逻辑网段提高了安全性：不同的VLAN配
置了不同的逻辑网段，需要路由器来连接并进行VLAN之间的通信，可以在路由器上做安全策略成员关系（1）静态VLAN: 手动把接口放到某个VLAN中。

（2）动态VLAN：利用VMPS服务器，将PC的MAC地址和VLAN绑定。

（3）语音VLAN：自动识别语音数据Trunka、思科私有ISL--交换机间链路b、国际标准802、1Q：原理：在以太网的数据帧之间插入VLAN Tag--注意：tag在什么位
置VTPVlan trunk protocol 思科私有一般来说，在大型的企业网中，交换机的数量非常多，而各个交换机的VLAN配置基本相同，因此，在企业交换网络的配置和管理过程中存在非常多的重复劳动，而且，也会由此产生一些配置错误，使网络出现故障。

为了
配置与管理便利，实现在单个控制点上管理整个网络，Cisco公司开发了VTP（VLAN Trunk Protocal）虚拟局域网中继协议，通过使用VTP协议，交换机之间能够互相传递VLAN信息，实现了VLAN 的统一配置和统一管理。

三种模式服务器:可以添加、删除和更改VLAN学习/转发相同域名的VTP消息VLAN信息写入NVRAM客户端: 不可以添加、删除和更改VLAN学习/转发相同域名的VTP消息VLAN信息不写入NVRAM透明模式:可以添加、删除和更改本地“自娱自乐”形式VLAN不学习只转发相同域名的VTP消息VLAN信息
写入NVRAM模式能创建、修改、删除VLAN能转发VTP信息会根据收到的VTP包更改VLAN信息会保存VLAN信息会影响其他交换机
上的VLANServer是是是是是Client否是是否是Transparent是是否是否在VTP协议中，有两个重要的概念：VTP域也称为VLAN 管理域，由一个以上共享VTP域名的相互连接的交换机组成。

也就是说VTP域是一组VTP域名相同并通过中继链路相互连接的交换机。

VTP通告在交换机之间用来传递VLAN信息的数据包称为VTP通告。

通常，VTP负责在VTP域内同步VLAN信息，这样就不必在每个交换机上配置相同的VLAN信息。

条件a、Trunk必须正常b、所有交换机必须处于同一个VTP的域名下，且域名是大小写敏感。

默认情况下，域名为空NULL，只有当服务器域名从空到有时开始传输VLAN信息。

VTP在默认情况下，是开启的。

交换机默认的VTP的模式都是Server、三：进行IP地址和DHCPIP Address
1、由网络位、主机位组成，IP地址＋子网掩码。

掩码的作用：确定网络位
2、PDU:version:IPv4:点分进制；
3、TTL(time to live)：防止数据包被无休止的传输（数据包每经过一个路由器TTL减1，当其为0且数据包还未达目的时，该数据包就被丢弃。

TTLmax=255）
4、IP空间大小：IPv4:2^32;
5、IP分类A类:0xxx全文结束》》xx、xxxxxxxx、xxxxxxxx、xxxxxxxx(第１个八位位组的第1个比特为0，默认情况下，前8位为网络位，后24位为主机位)地址范围：1~126B
类:10xx全文结束》》xx、xxxxxxxx、xxxxxxxx、xxxxxxxx(第１个八位位组的前2个比特为10，默认情况下，前16位为网络位，后16位为主机位)地址范围：128~191C类:110x全文结束》》xx、xxxxxxxx、xxxxxxxx、xxxxxxxx(第１个八位位组的前3个比特为110，默认情况下，前24位为网络位，后8位为主机位)地址范围：192~223*127开头的：测试用1
27、0、0、1测试本机网关是否正常，数据包从本地出发最后回到本地，只要网关是正常的肯定是通的；主机位全0：网络IP 地址，表示一段IP地址的集合。

例如：1
92、1
68、1、0(1
92、1
68、1、1--1
92、1
68、1、254)主机位全1：广播IP地址。

例如：1
92、1
68、1、255私有地址：在企业内部使用，无法在互联网上通信。

开始使用IP add时没有考虑到会用光耗尽，那么如果企业不需要访问外网只要内部进行交流，我们可以使用私有的地址。

A:
10、0、0、0--
10、2
55、2
55、255B:1
72、
16、0、0--1
72、
31、2
55、255C:1
92、1
68、0、0--1
92、1
68、2
55、255DNS(domain name survice)域名解析服务：域名就相当于我们的名字，IP地址就相当于我们的手机号码，那么我们在手机里存号码的时候，是不是都要先把对方名字写在里面然后在写手机号码吧，因为11位手机号码和人名比起来明显难于记忆很多，域名也是一样，很方便我们记忆，但是那么多的IP地址却很难记忆，所以我们用DNS服务器来完成这个过程。

人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。

Google dns
8、8、8、8Jiangsu dns2
18、2、1
35、1掩码与目的地址一起来标识目的主机或路由器所在的网段的地址。

将目的地址和网络掩码“逻辑与”后可得到目的主机或路由器所在网段的地址。

例如：目的地址为
8、1、1、1，掩码为2
55、0、0、0 的主机或路由器所在网段的地址为
8、0、0、0。

掩码由若干个连续“1”构成，既可以用点分进制表示，也可以用掩码中连续“1”的个数来表示
（111******000，一共24位）
1、网络号一样的IP属于同一网络，可以通过交换机直接通信！
2、子网的划分：从主机位的高位开始借位，每借n位，网络就被分为2^n份；1
92、1
68、1、0/24 或者1
92、1
68、1、02
55、2
55、2
55、0/2424表示有位网络位；DHCP在常见的小型网络中（例如家庭网络和学生宿舍网），网络管理员都是采用手工分配IP地址的方法，而到了中、大型网络，这种方法就不太适用了。

在中、大型网络，特别是大型网络中，往往有超过100台的客户
机，手动分配IP地址的方法就不太合适了。

因此，我们必须引入一种高效的IP地址分配方法，DHCP（Dynamic Host Configuration Protocol）为我们解决了这一难题。

优点
1、减少管理员的配置量
2、减少错误
3、集中管理IP缺点
4、 DHCP不能发现网络上非DHCP客户机已经在使用的IP地址；
5、当网络上存在多个DHCP服务器时，一个DHCP服务器不能查出已被其它服务器租出去的IP地址；
6、 DHCP服务器不能跨路由器与客户机通信，除非路由器允许BOOTP转发。

DHCP地址分配方式
1、手工分配：根据需要为某些少数特定主机（DNS服务器、打印机）绑定固定的IP地址，地址不会过期。

2、自动分配：为连接到网络的某些主机主动的分配IP地址，该地址将长期由该主机使用。

3、动态分配：主机主动申请IP地址，服务器为其制定一个IP地址，同时规定此地址租期。

工作原理注意每一步骤发送的报文信息DHCP工作的几个过程：发现阶段:DHCP客户机寻找DHCP服务器的阶段。

DHCP客户机以广播方式（因为DHCP服务器的IP地址对于客户机来说是未知的）发送DHCPdiscover发现信息来寻找DHCP服务器，即向地址2
55、2
55、2
55、255发送特定的广播信息。

网络上每一台安装了TCP/IP 协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应。

提供阶段：即DHCP服务器提供IP地址的阶段。

在网络中接收到DHCPdiscover发现信息的DHCP服务器都会做出响应，它从尚未出租的IP地址中挑选一个分配给DHCP客户机，向DHCP 客户机发送一个包含出租的IP地址和其他设置的DHCP offer提供信息。

选择阶段：即DHCP客户机选择某台DHCP服务器提供的IP地址的阶段。

如果有多台DHCP服务器向DHCP客户机发来的DHCPoffer提供信息，则DHCP客户机只接受第一个收到的DHCPoffer提供信息，然后它就以广播方式回答一个DHCPrequest 请求信息，该信息中包含向它所选定的DHCP服务器请求IP地址的内容。

之所以要以广播方式回答，是为了通知所有的DHCP服务器，他将选择某台DHCP服务器所提供的IP地址。

确认阶段：即DHCP服务器确认所提供的IP地址的阶段。

当DHCP服务器收到DHCP客户机回答的DHCPrequest请求信息之后，它便向DHCP客户机发送一个包含它所提供的IP地址和其他设置的DHCPACK确认信息，告诉DHCP客户机可以使用它所提供的IP地址。

然后DHCP客户机便将其TCP/IP协议与网卡绑定，另外，除DHCP客户机选中的服务器外，其他的DHCP服务器都将收回曾提供的IP地址。

四：路由协议分类：根据获取路由信息的方式不同：静态：适用
于小型的网络优点安全，链路，CPU占用率很低缺点不能适应网络拓扑结构发生的变化动态：适用于中大型的网络优点配置简单，动态适应网络结构的变化缺点链路和CPU的占用率高路由器查找路由表的原则
1、递归查询：路由器为了查询目标网段的出向接口，可能会反复的查找路由表，直到找到出接口为止
2、最长匹配：当路由器发现，去往一个目标网段有多条不同掩码长度的路由条目时，路由器会选择掩码长度最长的那一条进行转发
3、如果路由表中，没有关于目标网段的条目，但是有一条默认路由时，路由器按照默认路由转发，不丢弃数据包默认路由：我们知道，当交换机收到一个目的MAC不存在于MAC地址表里的数据帧，交换机会从所有接口向外转发；而路由器收到目的IP网段不在路由表里的数据包，路由器会丢弃。

可是对于公司不会花费大成本去买台服务器回来存全球互联网上的路由条目，而且互联网上的网站、网址不断的在变化，路由表中没有目的地的条目时会进行丢包，所以我们寻求一种解决办法，叫默认路由，默认路由绝对是低调做人高调做事的，EIGRP特点增强内部网关路由协议(1)高级的距离矢量路由协议(2)收敛很快(3)百分百无环的路由协议(3)支持增量更新--第一次全部更新(5)唯一一个既支持等价负载均衡，也支持非等价负载均衡的路由协议(6)支持VLSM和不连续子网问题(7)它是一个无类路由协议(8)默认开启自动汇总
(9)Metric：带宽：源和目的地之间的最小带宽延时：路径上接口的累积延迟负载：源和目的地之间链路上的最重负载，基于分组速率和接口的配置带宽可靠性：根据存货消息的源和目的地之间的最低可靠性MTU：路径中的最小MTU工作原理每一个EIGRP的进程，在路由器中都会维护三张表，首先，两台运行EIGRP的路由器，互相发送Hello报文（Hello报文发送到2
24、0、0、10，如果链路带宽大于
1、544M，5s，如果链路带宽小于
1、544M，60s），双方形成EIGRP的邻居关系--存放在邻居表中。

然后，双方互相通告自己知道的网段信息--存放在拓扑表中。

根据拓扑表，运行DUAL(扩散更新的算法)算法，选出去往目的地的最佳路径--存放在路由表中。

(1)
邻居表：双方发完Hello报文后形成 R#show ip eigrp neighbors (2)
拓扑表：双方通告完网段信息后形成，包含所有从邻居处学来的路由信息 R#show ip eigrp topology (3)
路由表：优选完路径后形成，挑选出来最佳的路由条目
R#show ip eigrp routeEIGRP邻居关系形成的条件－－AS号要保持一致，K值要一致DUAL的几个基本概念：
1、AD(通告距离)直连邻居到达目标网段有多远
2、FD（可行距离）本地到达目标网段的距离=AD+本地和邻居的距离
3、successor（后继路由器）到达目标网段的最优路径
4、Feasible successor（可行后继路由器）只有AD小于FD 的路由器才会成为FSEIGRP的可靠传输机制：因为EIGRP是直接封装到IP里面去的，使用协议号88，所以EIGRP必须自己来保证传输的可靠性，所以，EIGRP存在ACK包，需要被确认的包有，更新包，查询包和应答包。

EIGRP对于每个可靠传输的数据包，都会形成重传输列表，在可靠包发送以后，EIGRP会形成一个数据包的拷贝放入重传列表中，如果收到对方的ACK，则删除该拷贝，否则，到达RTO时间后，EIGRP会将该数据包重传，最多重传16次，如果16次之后依然没有收到对方的ACK，则重置邻居关系EIGRP的度量值：EIGRP=IGRP*256=（BW+Delay）*256BW=沿途更新，入向接口，最小带宽=10的7次方/BWDelay=沿途更新，入向接口，延迟总和计算EIGRP的度量值的时候，去尾，不能四舍五入EIGRP的汇总：
1、自动汇总针对的直连网段
2、手动汇总直连或者非直连网段,并且在汇总设备上，会产生一条指向NuLL0口的路由，主要目的是为了防环,并且EIGRP汇总支持CIDR，EIGRP的汇总路由管理距离是5五：ACL和NATACLACL access control list 访问控制列表特点：
1、制定ACL必须应用
2、 ACL应用具有方向性
3、 ACL匹配顺序是从上到下匹配
4、一旦匹配到相应条目，立即执行
5、执行动作有拒绝、允许
6、匹配顺序很重要，精确匹配在上
7、不会拒绝自身产生的流量
8、每条接口在每个方向上只可以应用一个ACL
9、在接口上应用已个空的ACL，默认会允许所有的流量
10、最后具有隐含拒绝所有，所以ACL中必须有一句permit。

入站ACL：先匹配ACL，根据匹配结果（拒绝：直接丢弃；允许：放行），查找路由表（有相应条目：根据路由表将数据包路由到相应的出接口；没有相应的条目：丢包）出站ACL：先查找路由表（有相应条目：根据路由表将数据包路由到相应的出接口；没有相应的条目：丢包），再根据ACL进行匹配（拒绝：直接丢弃；允许：放行）类型：标准
【1-99/1300-1999】
XXXXX：只关心你从哪里来，不在乎你去哪里--检查源地址--靠近接收站扩展
【100-199/2000-2699】
XXXXX：不仅关心你来自哪里将要去哪里，它还关心你去干什么--检查源地址、目的地址、所做的操作--靠近发送站NAT使用NAT的情况网络地址转换(NAT)为IP地址保存设计。

这使得采用未注册 IP 地址的专用 IP 网络可以连接到Internet。

N AT 在路由器上运行，通常将两个网络连接在一起，
并在数据包转发到另一个网络之前，将内部网络中的专用（非全局唯一）地址转换为合法地址。

作为此功能的一部分，NAT 可以配置为只向外界通告整个网络的一个地址。

这样可以将整个内部网络有效地隐藏在该地址后面，使其更加安全。

N AT在远程访问环境提供安全和地址保存的双重功能和典型地实现。

使用NAT的好处用于提供更多的地址空间可隐藏内部网络寻址方案公司合并等可保持当前的寻址方案不变可严格控制进入和离开网络的流量使用NAT的缺点每个转换的链接都存在很大的延迟出现故障后排除故障难度增加并不是每个应用都可以使用地址转换静态地址转换在地址转换设备上实行手动的一对一的地址转换，典型情况下，静态地址转换用来实现由外网访问内网的访问动态地址转换当内部主机访问外网时通常采用动态地址转换。

在设备上定义两个地址集：
1、定义允许转换哪些内部地址--本地地址
2、定义这些地址将被转换成什么--全局地址端口地址转换静态转换和动态的都是一对一的进行转换，当内部主机地址远远多于全局地质数量的时候，可以使用端口地址转换，六：无线无线LAN标准简介：WLAN VS LAN ：WLAN使用无线电波作为传输介质；使用CSMA/CA进行介质访问；半双工的工作方式；接入点属于共享设备；必须符合国家相关法规；无线网络存在很多问题：
1、覆盖问题：
2、烦扰和噪声问题
3、隐私问题WLAN使用进行射频（由产生无线电波的天线向空中辐射）传输，无线电波在传输过程中会受到干扰：
1、反射--金属或玻璃表面
2、散射--粗糙的物体
3、吸收--墙面定义WLAN的组织：
1、ITU-R：国际电信联盟无线电通讯部门--负责规范无线通信中使用的射频
2、 IEEE：电气电子工程师协会--802、11为无线标准提供标准文档
3、 WI-FI联盟：全球非营利性工业贸易协会--为生产802、11产品的厂商之间的互操作性提供认证三个无需许可证的频段：
1、900Mhz
2、2、4Ghz
3、5Ghz（前两个是：工业科学医疗频段，后者是：无需许可的国家信息基础设备频段）IEEE802、11标准比较：802、
11a802、11b802、11g802、11n兼容性无与802、11g与802、11b 向前兼容频段5Ghz
2、4Ghz
2、4Ghz
2、4Ghz 或5Ghz信道数量3最多23314传输技术正交频分多路复用（OFDM）直接序列扩频（DSSS）直接序列扩频（DSSS）正交频分多路复用（OFDM）多输入多输出（MIMO）数据速率
54Mbit/s11Mbit/s11Mbit/s54Mbit/s248Mbit/sCSMA/CA协议：无线局域网中采用了与以太网CSMA/CD相类似的CSMA/CA(载波监听多路访问/冲突防止)协议CSMA/CA协议的工作流程分为两个分别是：
1、送出数据前，监听媒体状态，等没有人使用媒体，维持一段时间后，再等待一段随机的时间后依然没有人使用，才送出数据。

由于每个设备采用的随机时间不同，所以可以减少冲突的机会。

2、送出数据前，先送一段小小的请求传送报文(RTS : Request to Send)给目标端，等待目标端回应 CTS: Clear to Send 报文后，才开始传送。

利用RTS-CTS握手(handshake)程序，确保接下来传送资料时，不会被碰撞。

同时由于RTS-CTS封包都很小，让传送的无效开销变小。

CSMA/CA通过这两种方式来提供无线的共享访问，这种显式的ACK 机制在处理无线问题时非常有效。

然而不管是对于802、11还是802、3来说，这种方式都增加了额外的负担，所以802、11网络和类似的Ethernet网比较总是在性能上稍逊一筹。

无线安全AP （访问点）定期广播信标，通告其服务标志符（SSID）、数据速率和其他信息，客户端会将信号最强的AP和自己进行关联，关联后客户端会发送SSI
D、自己的MAC和认证所需要的其他信息，连接建立后，客户端会监视与AP之间的信号强度，若信号太弱，客户端会重新搜索信号强的AP--这个过程叫做漫游。

主要有3类威胁：驾驭攻击黑客员工802、11定义两种AP 认证方式：
1、开放式认证：交换不包含任何证明信息的4个hello分组--无任何安全可言
2、共享密钥认证：使用静态加密密钥和无线等同保密（wireless equivalent privacy WEP）常见的WLAN安全解决方案：WEP802、1xEAPWPA802、11i/WPA2时间1997200120032004加密静态密钥，易破解动态密钥动态密钥，每个分组都有动态密钥，每个分组都有，最安全用户认证无用户名/密码，证书预共享密钥（PSK）用户名/密码，证书预共享密钥（PSK）用户名/密码，证书预共享密钥（PSK）1：SSID和MAC绑定管理员在AP中设置AMC地址列表，被允许的MAC地址设备才可以通过AP进行网络的访问，采用这种方式的策略，发送的RF会被截取并发现以明文方式传送的内容，可更改MAC地址。

2：WEP有线等同保密
WEP(Wired Equivalent Privacy)是802、11b采用的安全标准，用于提供一种加密机制，保护数据链路层的安全，使无线网络WLAN的数据传输安全达到与有线LAN相同的级别。

WEP采用RC4算法实现对称加密。

通过预置在AP和无线网卡间共享密钥。

在通信时，WEP标准要求传输程序创建一个特定于数据包的初始化向量(IV)，将其与预置密钥相组合，生成用于数据包加密的加密密
钥。

接收程序接收此初始化向量，并将其与本地预置密钥相结合，恢复出加密密钥。

WEP使用静态的64bit密钥，其中密钥
40bit长，还有24bit的初始化向量（IV）。

这对于大部分应用而言都太短。

同时，WEP不支持自动更换密钥，所有密钥必须手动重设，这导致了相同密钥的长期重复使用。

第三，尽管使用了初始化向量，但初始化向量被明文传递，并且允许在5个小时内重复使用，对加强密钥强度并无作用。

此外，WEP中采用的RC4算法被证明是存在漏洞的。

综上，密钥设置的局限性和算法本身的不足使得WEP存在较明显的安全缺陷，WEP提供的安全保护效果，只能被定义为“聊胜于无”。

3：802、1x EAP可扩展认证协议EAPoLEAP、802、1x、RADIUSEAP定义了认证信息封装方法802、1x、RADIUS定义了如何打包EAP信息4：WPAWPA(Wi-Fi Protected Access)是保护Wi-Fi登录安全的装置。

它分为WPA和WPA2两个版本，是WEP的升级版本，针对WEP的几个缺点进行了弥补。

是802、11i的组成部分，在802、11i没有完备之前，是802、11i的临时替代版本。

不同于WEP，WPA同时提供加密和认证。

它保证了数据链路层的安全，同时保证了只有授权用户才可以访问无线网络WLAN。

WPA采用TKIP协议(TemporalKeyIntegrityProtocol)作为加密协议，该协议提供密钥重置机制，并且增强了密钥的有效长度，通过这些方法弥补了WEP协议的不足。

认证可采取两种方法，一种采用802、11x协议方式，一种采用预置密钥PSK方式。

5：WPA2是WIFI联盟的
IEEE802、11i实施方案，采用AES加密。

WAPIWAPI(无线网络WLAN Authenticationand Privacy Infrastructure)是我国自主研发并大力推行的无线网络WLAN安全标准，它通过了IEEE(注意，不是Wi-Fi)认证和授权，是一种认证和私密性保护协议，其作用类似于802、11b中的WEP，但是能提供更加完善的安全保护。

WAPI采用非对称(椭圆曲线密码)和对称密码体制(分组密码)相结合的方法实现安全保护，实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

WAPI除实现移动终端和AP之间的相互认证之外，还可以实现移动网络对移动终端及AP的认证。

同时，AP和移动终端证书的验证交给AS 完成，一方面减少了MT和AP的电量消耗，另一方面为MT和AP 使用不同颁发者颁发的公钥证书提供了可能。

无线实施我们每天都再使用WLAN带来的应用，在我们使用这些应用的时候有没有想过这些服务是通过什么硬件连接到本地网络或者internet的呢？
1、无线网卡
2、无线接入点：将无线客户端连接到有线LAN。

客户端通常不能直接相互通信，他们通过无线接入点进行通信。

3、无线路由器：可以充当无线接入点、路由器、交换机的角色。

两种访问模式：
1、Ad hoc 模式基于独立基本服务集（IBSS）：移动客户端直接连接，不需要中间的接入点。