WLAN網(wǎng)絡(luò)基礎(chǔ)知識指導(dǎo)培訓(xùn)膠片

1、WLAN網(wǎng)絡(luò)基礎(chǔ)知識指導(dǎo)培訓(xùn)膠片n 概述概述n 802.11 802.11 基礎(chǔ)知識基礎(chǔ)知識n 802.11 802.11 n 802.11 QoS802.11 QoS技術(shù)技術(shù)n 802.11 802.11 快速漫游技術(shù)快速漫游技術(shù)目錄目錄凡是自由空間均可連接網(wǎng)絡(luò)，不受限于線纜和端口位置辦公大樓候機(jī)大廳渡假山莊商務(wù)酒店無線讓網(wǎng)絡(luò)使用更自由終端與交換設(shè)備之間省去布線，有效降低布線成本；適于特殊地理環(huán)境下的網(wǎng)絡(luò)架設(shè)，如隧道、港口碼頭、高速公路；終端與設(shè)備之間不方便通過線纜連接地理環(huán)境不適合布設(shè)有線網(wǎng)絡(luò)無線讓網(wǎng)絡(luò)建設(shè)更經(jīng)濟(jì)，通信更便利無線讓工作更高效不受限于時間和地點的接入網(wǎng)絡(luò)，滿足各行各業(yè)對于網(wǎng)絡(luò)

2、應(yīng)用的需求；體育場館新聞中心展館與證券大廳制造車間物流運(yùn)輸WLAN技術(shù)的發(fā)展進(jìn)程802.11802.11802.11b802.11b802.11a802.11a802.11g802.11g標(biāo)準(zhǔn)發(fā)布時間July 1997Sept 1999Sept 1999June 2003合法頻寬83.5MHz83.5MHz325MHz83.5MHz頻率范圍 2.400-2.483GHz2.400-2.483GHz5.150-5.350GHz 5.725-5.850GHz2.400-2.483GHz非重疊信道 33123物理發(fā)送速率1, 21,2,5.5, 116, 9, 12, 18,24, 36, 48,

3、546, 9, 12, 18,24, 36, 48, 54理論上的最大UDP吞吐量(1500 byte)1.7 Mbps7.1 Mbps30.9 Mbps30.9 Mbps理論上的TCP/IP吞吐量(1500 byte)1.6 Mbps5.9 Mbps24.4 Mbps24.4 Mbps無線局域網(wǎng)工作組 PHY802.11(1/2 Mbps)802.11b(5.5/11 Mbps)802.11g(54 Mbps)802.11a(54 Mbps)MAC漫游和切換漫游和切換802.11i 安全增強(qiáng)安全增強(qiáng)802.11n(300 Mbps)802.11r快速切換快速切換無線局域網(wǎng)關(guān)注點 無管理MAC

4、認(rèn)證、WEP加密無漫游低速無線接入 簡單配置管理WPA認(rèn)證TKIP加密L2漫游無線數(shù)據(jù)接入集中管理、射集中管理、射頻環(huán)境管理頻環(huán)境管理WPA認(rèn)證認(rèn)證加密加密L2、L3漫漫游游語音、數(shù)據(jù)、語音、數(shù)據(jù)、視頻無線接入視頻無線接入更強(qiáng)大的全網(wǎng)管理動態(tài)認(rèn)證安全接入任意位置接入綜合業(yè)務(wù)的無線承載作為有線的簡單補(bǔ)充，實現(xiàn)無線基本接入功能1998年2000年2004年未來2M54/11M54M600M主要的接入層技術(shù)之一，擴(kuò)展豐富增值業(yè)務(wù)功能：帶寬、管理、安全、漫游、增值：帶寬、管理、安全、漫游、增值規(guī)模應(yīng)用其他其他WLANWLAN相關(guān)組織和標(biāo)準(zhǔn)相關(guān)組織和標(biāo)準(zhǔn)Wi-Fi聯(lián)盟成立于1999年的Wi-Fi聯(lián)盟是一

5、個非牟利國際協(xié)會，旨在認(rèn)證基于規(guī)格的無線局域網(wǎng)產(chǎn)品的互操作性和推動wireless新標(biāo)準(zhǔn)的制定目前已知的相關(guān)標(biāo)準(zhǔn)WPA：的子集，支持認(rèn)證以及TKIP加密算法WPA2： WMM：的子集，支持EDCA方式CAPWAPIETF目前有關(guān)于無線交換機(jī)和FIT AP間控制和管理標(biāo)準(zhǔn)化的工作組比較重要的標(biāo)準(zhǔn)Architecture Taxonomy for CAPWAP (RFC 4118)LWAPP (最新的草案更名為CAP)WLANWLAN產(chǎn)品對人體的電磁輻射是安全的產(chǎn)品對人體的電磁輻射是安全的l 很多的研究已經(jīng)證明，WLAN產(chǎn)品可以在家庭及商業(yè)中使用，對人體來說是安全。l 典型的WLAN產(chǎn)品輸出功率為

6、100mw(AP)，對于網(wǎng)卡來說，通常只有10mw至50mw。l 相比較來說，手機(jī)的發(fā)射功率在通話時可以超過1W，而無線對講機(jī)甚至可以達(dá)到5 W!l 政府有相關(guān)的法令對發(fā)射功率進(jìn)行嚴(yán)格的限制。DirectSignalReflectedSignalsAlsoMultipath fadingPC CardAccess Point (AP)無線傳輸?shù)母蓴_因素?zé)o線傳輸?shù)母蓴_因素- -多徑干擾多徑干擾功率在穿過障礙物后衰減墻，門，等等電磁波的穿透性能是和頻率相關(guān)的。電磁波的穿透性能是和頻率相關(guān)的。當(dāng)發(fā)射功率不足夠大時，在建筑物后形成無線覆蓋盲區(qū)當(dāng)發(fā)射功率不足夠大時，在建筑物后形成無線覆蓋盲區(qū)。無線傳輸?shù)?/p>

7、干擾因素?zé)o線傳輸?shù)母蓴_因素- -障礙物障礙物無線傳輸?shù)母蓴_因素?zé)o線傳輸?shù)母蓴_因素電磁干擾電磁干擾l 為ISM頻段，不需授權(quán)即可使用。l 同一區(qū)域內(nèi)AP之間的互相干擾，干擾方式分為同信道干擾和鄰信道干擾。l 其他干擾源 -微波爐 -醫(yī)療設(shè)備 -雙向?qū)ず粝到y(tǒng) -脈沖雷達(dá)系統(tǒng) -其它無線通訊系統(tǒng)l 干擾的存在會使系統(tǒng)的整體性能有非常明顯的下降，在有些時候甚至?xí)スぷ鞯哪芰ΑＳ行捰行捦掏侣释掏侣蔿 標(biāo)準(zhǔn)描述的速率為11 Mbps,實際可獲得的速率為一半 (4-6 Mbps max)l g標(biāo)準(zhǔn)描述的速率為54 Mbps,實際可獲得的速率為一半 (10-30 Mbps max)l AP接入的用戶

8、數(shù)基本可以均分其有效帶寬l 其他用于協(xié)議封裝或沖突避免開銷l 不穩(wěn)定是無線通訊的本性l 無線環(huán)境不停的變化l 物理建筑的構(gòu)成l 共享介質(zhì)l 用戶數(shù)l 數(shù)據(jù)量WLAN覆蓋范圍的理論覆蓋與的相同，比覆蓋距離增加50的覆蓋距離及與速率間的關(guān)系見表中描述真實的覆蓋范圍真實的覆蓋范圍l 所有的產(chǎn)品提供商在文檔上都說，在缺省配置下，室外覆蓋距離可達(dá)300米，室內(nèi)可達(dá)100米。l 而在實際中，覆蓋距離更依賴于實際環(huán)境。l 一般來說，速率為1/2Mbps時，覆蓋距離可到40-90米。速率為11Mbps時，覆蓋距離只有10-30米。l 影響覆蓋范圍的因素 -建筑結(jié)構(gòu) -電磁設(shè)備n 概述概述n 802.11 80

9、2.11 基礎(chǔ)知識基礎(chǔ)知識n 802.11 802.11 安全技術(shù)安全技術(shù)n 802.11 QoS802.11 QoS技術(shù)技術(shù)n 802.11 802.11 快速漫游技術(shù)快速漫游技術(shù)目錄目錄網(wǎng)絡(luò)的基本元素 - BSS能互相進(jìn)行無線通信的STA可以組成一個BSS（Basic Service Set）BSS是網(wǎng)絡(luò)的基本結(jié)構(gòu)1208EBSS11208EBSS2STA1STA2STA3STA5STA6STA4網(wǎng)絡(luò)的基本元素 ESSESS (Extended Service Set)是采用相同的SSID的多個BSS形成的更大規(guī)模的虛擬BSSESSBSS2AP2Service set identify (

10、SSID1)BSS1AP1Service set identify (SSID1)1208E1208E網(wǎng)絡(luò)的基本元素 SSID和BSSIDAP1AP2BSSID1SSIDSSID“marketing”SSID“marketing”ESSBSSID1SSIDSSIDSSID是一個是一個ESSESS的網(wǎng)絡(luò)標(biāo)識的網(wǎng)絡(luò)標(biāo)識BSSIDBSSID是一個是一個BSSBSS的標(biāo)識的標(biāo)識1208E1208E802.11 組網(wǎng)模式 Ad hoc組網(wǎng)模式 單一 BSS以太網(wǎng)1208E以太網(wǎng)組網(wǎng)模式 多個BSS1208E1208E802.11 MAC訪問機(jī)制 DCF方式IFSIFS推遲發(fā)送直到推遲發(fā)送直到媒體空閑媒體

11、空閑IFS時間長度時間長度BusyFrameContention windowback-off定時啟動定時啟動Medium busySend frameTimeDCF方式基于CSMA/CA原理 不同類型的報文可以通過采用不同IFS時長來區(qū)分訪問媒體的優(yōu)先級 SIFS ：用于優(yōu)先級最高的時間敏感的控制報文 (例如 CTS，RTS, ACK) PIFS：用于AP發(fā)送報文 DIFS：用于一般的STA發(fā)送報文 最終的效果是控制報文比數(shù)據(jù)報文優(yōu)先獲得媒體發(fā)送權(quán)，AP比STA優(yōu)先獲得媒體發(fā)送權(quán)SIFSBusyFrameTimePIFSDIFSContention window802.11 MAC訪問機(jī)制

12、DCF方式（續(xù)）無線通信中存在的隱藏站點問題由于無線電波傳輸范圍有限，導(dǎo)致一臺 STA 有可能無法偵聽到同信道其他 STA 發(fā)出的信號，從而誤以為信道空閑，引起沖突ABC？發(fā)送允許發(fā)送報文需要 xxx 時間請求發(fā)送報文需要 xxx 時間發(fā)送報文的RTS / CTS機(jī)制通過 RTS / CTS 的交互，使得 STA 得知隱藏站點傳輸數(shù)據(jù)所需的時間，從而避免沖突ABCxxx 時間內(nèi)信道忙基于RTS / CTS機(jī)制的典型報文發(fā)送過程STA1APSTA2RTS請求發(fā)送CTS同意發(fā)送STA1-STA2的數(shù)據(jù)ACK發(fā)送確認(rèn)RTS請求發(fā)送CTS同意發(fā)送STA1-STA2的數(shù)據(jù)ACK發(fā)送確認(rèn)1208E數(shù)據(jù)幀用

13、戶的數(shù)據(jù)報文控制幀協(xié)助發(fā)送數(shù)據(jù)幀的控制報文，例如： RTS、CTS，ACK報文管理幀負(fù)責(zé)STA和AP之間的能力級的交互，認(rèn)證、關(guān)聯(lián)等管理工作802.11 報文分類802.11 管理功能 用戶接入過程STAAP 通過Scanning選擇AP(采用偵聽Beacon幀或發(fā)送Probe幀)AuthenticationAssociation和建立Association關(guān)系的AP收發(fā)數(shù)據(jù)1208E802.11 MAC 使用Scanning來搜索AP STA搜索并連接一個AP 當(dāng)STA漫游時尋找連接一個新的AP STA會在在每個可用的信道上進(jìn)行搜索Passive Scanning 通過偵聽AP定期發(fā)送的Be

14、acon幀來發(fā)現(xiàn)網(wǎng)絡(luò)Active Scanning 在每個信道上發(fā)送Probe request報文，從AP回復(fù)的Probe Response中獲取AP的基本信息802.11 管理功能 - Scanning802.11 管理功能 - AuthenticationSTAAPAuthentication requestAuthentication Response (success)STAAPAuthentication requestPlain text challengeCipher text challengeAuthentication Response (success)預(yù)置Key用Key

15、加密明文密文解密和明文比較預(yù)置Key1208E1208EOpen-system Authentication過程SharedKey Authentication過程Association STA通過Association和一個AP建立關(guān)聯(lián)，后續(xù)的數(shù)據(jù)報文的收發(fā)只能和建立Association關(guān)系的AP進(jìn)行Reassociation STA在從一個老的AP移動到新AP時通過Reassociation和新AP建立關(guān)聯(lián) Reassociation前必須經(jīng)歷Authentication過程Deassociation STA通過Deassociation和AP解除關(guān)聯(lián)關(guān)系STAAPAssociation

16、 request (SSID)Association Response (Association ID)STANew AP數(shù)據(jù)Old AP檢測到New AP信號強(qiáng)Reassociation請求(old AP address)DeassociationReassociation應(yīng)答802.11 管理功能 - Associationn 概述概述n 802.11 802.11 基礎(chǔ)知識基礎(chǔ)知識n 802.11 802.11 安全技術(shù)安全技術(shù)n 802.11 QoS802.11 QoS技術(shù)技術(shù)n 802.11 802.11 快速漫游技術(shù)快速漫游技術(shù)目錄目錄認(rèn)證開放系統(tǒng)認(rèn)證p 開放系統(tǒng)身份認(rèn)證開放系統(tǒng)身

17、份認(rèn)證(open-systern (open-systern authentication)authentication) 開放系統(tǒng)是開放系統(tǒng)是802.11 802.11 要求必備的方式要求必備的方式。在開放系統(tǒng)身份認(rèn)證中，。在開放系統(tǒng)身份認(rèn)證中，APAP并未并未驗證移動式工作站的真實身份。無驗證移動式工作站的真實身份。無線終端以線終端以MACMAC地址為其身份證明。地址為其身份證明。和和Ethernet Ethernet 網(wǎng)絡(luò)一樣，網(wǎng)絡(luò)上的網(wǎng)絡(luò)一樣，網(wǎng)絡(luò)上的MAC MAC 地址必須獨(dú)一無二。開放系統(tǒng)地址必須獨(dú)一無二。開放系統(tǒng)下用戶不需要認(rèn)證只要下用戶不需要認(rèn)證只要MACMAC地址唯地址唯一即

18、可接入網(wǎng)絡(luò)。一即可接入網(wǎng)絡(luò)。STAAPAuthentication requestAuthentication Response (success)p MAC地址認(rèn)證 MAC 地址過濾是相當(dāng)常見的做法，幾乎所有產(chǎn)品均有支持。AP上維護(hù)了一份經(jīng)過授權(quán)的MAC 地址清單，不在名單上的工作站。網(wǎng)管人員可以鍵入一組經(jīng)過授權(quán)的工作站地址，只要是表上有名的工作站就可以跟網(wǎng)絡(luò)連接。認(rèn)證認(rèn)證 MAC地址認(rèn)證地址認(rèn)證認(rèn)證共享密鑰認(rèn)證認(rèn)證共享密鑰認(rèn)證n 共享密鑰認(rèn)證共享密鑰認(rèn)證(shared-key (shared-key authenticationauthentication） 共享密鑰身份認(rèn)證(shared

19、-key authentication）必須使用WEP，因此只能用于實現(xiàn)了WEP的產(chǎn)品上，雖然目前已經(jīng)很難找到不支持WEP 的產(chǎn)品。正如其名，共享密鑰身份認(rèn)證要求在進(jìn)行身份認(rèn)證之前，必須傳遞共享密鑰給無線終端。共享密鑰身份認(rèn)證的理論基礎(chǔ)是，如能成功回應(yīng)傳給它的挑戰(zhàn)信息，就證明工作站擁有共享密鑰。雙方交換密鑰成功后，終端認(rèn)證通過。STAAPAuthentication requestPlain text challengeCipher text challengeAuthentication Response (success)預(yù)置Key用Key加密明文密文解密和明文比較預(yù)置KeyPSK（ Pr

20、e-shared key）認(rèn)證方式 該方式要求在STA側(cè)預(yù)先配置Key，AP通過4次握手Key協(xié)商協(xié)議來驗證STA側(cè)Key的合法性。對沒有什么重要數(shù)據(jù)的小型網(wǎng)絡(luò)而言，可以使用WPAPSK 的預(yù)設(shè)共享密鑰模式。主要把預(yù)設(shè)共享密鑰方式的WPA-PSK 應(yīng)用于小型、風(fēng)險低的網(wǎng)絡(luò)以及不需太多保護(hù)的網(wǎng)絡(luò)用戶。對大企業(yè)而言，安全性要求較高，更多的使用。認(rèn)證認(rèn)證 PSK認(rèn)證認(rèn)證標(biāo)準(zhǔn)簡介:是基于端口的網(wǎng)絡(luò)接入控制協(xié)議, 它提供了一個認(rèn)證過程框架，支持多種認(rèn)證協(xié)議在中，不同的認(rèn)證協(xié)議統(tǒng)一使用EAP封裝格式。也就是說：只是對認(rèn)證進(jìn)行控制，是接入認(rèn)證的手段，具體認(rèn)證還需要其它認(rèn)證協(xié)議?；诙丝诘木W(wǎng)絡(luò)接入控制： 是指

21、在局域網(wǎng)接入控制設(shè)備的端口這一級對所接入的設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源相當(dāng)于物理連接被斷開。 EAP的類型包括: EAP-MD5：最早的EAP認(rèn)證類型。它是基于用戶名，密碼 方式的認(rèn)證。認(rèn)證過程與CHAP認(rèn)證過程基本相同。 EAP-TLS：是一種基于證書的認(rèn)證方式，它是對用戶端和認(rèn)證服務(wù)器端進(jìn)行雙向證書認(rèn)證的認(rèn)證方式 PEAP ：是一種基于證書的認(rèn)證方式，服務(wù)器側(cè)采用證書認(rèn)證，客戶端側(cè)采用用戶名密碼認(rèn)證認(rèn)證認(rèn)證 認(rèn)證認(rèn)證加密加密-WEP加密加密STAAP加密報文IV值IV靜態(tài)KeyKey生成器Ke

22、y流XOR用戶數(shù)據(jù)明文發(fā)送的加密報文IV靜態(tài)KeyKey生成器Key流XOR用戶數(shù)據(jù)明文接收的加密報文1208E從加密到安全WEP夠了嗎？整個網(wǎng)絡(luò)公用一個共享密鑰，一旦丟失，整個網(wǎng)絡(luò)都很危險整個網(wǎng)絡(luò)公用一個共享密鑰，一旦丟失，整個網(wǎng)絡(luò)都很危險IVIV向量太短，向量太短， 大量監(jiān)聽用戶數(shù)據(jù)報文后，大量監(jiān)聽用戶數(shù)據(jù)報文后，WEPWEP加密很容易被破解加密很容易被破解RC4RC4加密算法本身過于簡單加密算法本身過于簡單解決辦法？解決辦法？增加一種密鑰管理機(jī)制增加一種密鑰管理機(jī)制采用更強(qiáng)壯的加密算法采用更強(qiáng)壯的加密算法增加了增加了 Key的生成、管理以及傳遞的機(jī)制的生成、管理以及傳遞的機(jī)制 每用戶使用

23、獨(dú)立的Key 通過安全的傳遞方法傳遞用戶數(shù)據(jù)加密使用的Key增加了兩類對稱加密算法，加密強(qiáng)度大大增強(qiáng)增加了兩類對稱加密算法，加密強(qiáng)度大大增強(qiáng) TKIP：TKIP核心仍然是RC4算法，改進(jìn)了WEP的某些缺陷，加強(qiáng)安全性 CCMP：核心為AES算法加密加密n 概述概述n 802.11 802.11 基礎(chǔ)知識基礎(chǔ)知識n 802.11 802.11 安全技術(shù)安全技術(shù)n 802.11 QoS802.11 QoS技術(shù)技術(shù)n 802.11 802.11 快速漫游技術(shù)快速漫游技術(shù)目錄目錄技術(shù)在QOS方面存在的缺陷 最初的技術(shù)是為滿足用戶的數(shù)據(jù)傳輸而設(shè)計的，根本沒有考慮最初的技術(shù)是為滿足用戶的數(shù)據(jù)傳輸而設(shè)計的，根本沒有考慮多業(yè)務(wù)承載多業(yè)務(wù)承載采用的DCF調(diào)度模式是基于CSMA/CA原理，最終的效果是，所有用戶發(fā)送的報文平等地競爭無線資源由于沒有區(qū)分業(yè)務(wù)優(yōu)先級的機(jī)制，造成AP和終端在對外發(fā)送報文時對報文按同等優(yōu)先級對待。當(dāng)發(fā)生流量擁塞時，需要優(yōu)先處理的報文（例如語音報文）和