WLAN基础与原理.ppt

WLAN培训课程,深圳国人通信公司,WLAN基础与原理无线局域网(WLAN)概述IEEE无线宽带接入标准家族主流协议IEEE802.11gWLAN安全技术,主要内容,无线局域网(WLAN)概述,无线局域网(WLAN),什么是无线局域网？无线局域网是固定局域网的一种延伸。没有线缆限制的网络连接。对用户来说是完全透明的，与有线局域网一样。,无线局域网由无线网卡(NIC)、无线接入点(AccessPoint，AP)、计算机和有关设备组成。在每台计算机终端（STA）上配置了无线网卡，终端便可以通过该无线网卡直接相互访问，这样一些终端的集合称作基本服务集(BSS)。AP也是一种STA，不过它具有更多的功能，它是一个BSS通往其他网络的接口。如果在每个BSS中配置一个AP，AP再通过分布式系统（DistributionSystem，DS，通常是有线网络）连接起来，那么这些BSS就组成了一个更大的网络，称为扩展服务集（ESS）。在802.11标准中还定义了一种设备Portal，作为DS与其他网络的接口。可见在同时具有有线和无线网络的情况下，AP通过标准的Ethernet电缆与传统的有线网络相连，成为无线网络和有线网络的连接桥梁。,无线局域网(WLAN),无线局域网(WLAN),WLAN的技术定位,WALN在无线通信技术中的位置,蜂窝,移动,静止的,高速动动,低速动动,传输速率,覆盖面积大价格高,覆盖面积大价格适中,WLAN技术标准的发展,IEEE无线宽带接入标准家族,IEEE无线宽带接入标准,802.11802.11b802.11g802.11a802.11e/h802.11i802.11f802.11n802.16a/802.16d/802.16e,EEE802.11b,（2）IEEE802.11b1999年9月IEEE802.11b被正式批准，该标准规定WLAN工作频段在2.4-2.4835GHz，数据传输速率达到11Mbps,传输距离控制在50-150英尺。该标准是对IEEE802.11的一个补充，采用补偿编码键控调制方式，采用点对点模式和基本模式两运作模式，在数据传输速率方面可以根据实际情况在11Mbps、5.5Mbps、2Mbps、1Mbps的不同速率间自动切换，它改变了WLAN设计状况，扩大了WLAN的应用领域。IEEE802.11b已成为当时主流的WLAN标准，被多数厂商所采用，所推出的产品广泛应用于办公室、家庭、宾馆、车站、机场等众多场合，但是由于许多WLAN的新标准的出现，IEEE802.11a和IEEE802.11g更是倍受业界关注。,IEEE802.11a,（3）IEEE802.11a1999年，IEEE802.11a标准制定完成，该标准规定WLAN工作频段在5.15-8.825GHz，数据传输速率达到54Mbps/72Mbps(Turbo),传输距离控制在10-100米。该标准也是IEEE802.11的一个补充，扩充了标准的物理层，采用正交频分复用（OFDM）的独特扩频技术。IEEE802.11a标准是IEEE802.11b的后续标准，其设计初衷是取代802.11b标准，然而，工作于2.4GHz频带是不需要执照的，该频段属于工业、教育、医疗等专用频段，是公开的，工作于5.15-8.825GHz频带需要执照的。一些公司更加看好当时最新混合标准802.11g。,IEEE802.11g,（4）IEEE802.11g802.11a与802.11b两个标准都存在着缺陷，802.11b的优势在于价格低廉,但速率较低（最高11Mbps）；而802.11a优势在于传输速率快（最高54Mbps）且受干扰少，但价格相对较高。目前最流行的IEEE802.11g认证标准,该标准拥有IEEE802.11a的传输速率，安全性较IEEE802.11b好，采用2种调制方式，含802.11a中采用的OFDM与IEEE802.11b中采用的CCK，能达到802.11a的传输速率并向下兼容802.11b。802.11g标准的诞生到流行无论对用户还是对整个业界都是一个推动，它将把无线局域网的性能提升到一个新的高度，同时降低构建网络成本。,IEEE802.11n,（5）IEEE802.11n为了实现高带宽、高质量的WLAN服务，使无线局域网达到以太网的性能水平，802.11n应运而生。在传输速率方面，802.11n可以将WLAN的传输速率由目前802.11a及802.11g提供的54Mbps提高到108Mbps，甚至高达500Mbps。这得益于将MIMO(多入多出)与OFDM(正交频分复用)技术相结合而应用的MIMOOFDM技术，这个技术不但提高了无线传输质量，也使传输速率得到极大提升。在覆盖范围方面，802.11n采用智能天线技术，通过多组独立天线组成的天线阵列，可以动态调整波束，保证让WLAN用户接收到稳定的信号，并可以减少其它信号的干扰。因此其覆盖范围可以扩大到好几平方公里，使WLAN移动性极大提高。,802.11e无线网络的QoS标准802.11h802.11a的补充，确保其符合关于5GHz无线局域网的欧洲标准。802.11iWLAN安全标准，实际上是把IEEE802.1x安全标准引入了WLAN。802.11f解决漫游问题而制订的接入点之间的协议,IEEE无线宽带接入标准,IEEE802.11WLAN标准家族技术1,IEEE802.11WLAN标准家族技术2,主流协议IEEE802.11g,多种调制方式,IEEE802.11规定了采用OFDM/OFDM必选的调制方式，为了保障与IEEE802.11b兼容也可采用CCK/OFDM的可选调制方式。,载波监测多路访问/冲突防止,802.11WLAN系统主要通道共享机制是载波监测多路访问/冲突防止(CSMA/CA)。实际上，CSMA/CA是一种“先听后讲”方案，由一个接入点和所有相关客户端组成的基本业务组(BSS)中的每个节点都先侦听，如果通道空闲，则每个客户机开始对一个内部倒计时定时器进行计时，当定时器到零时，节点就可以发送信号。还有一些其它特性可以保证倒计时定时器的设置是随机的，这样可以减少(但不可能消除)产生冲突的可能性。,Client加入WLAN网络状态变化,State1:Unauthenticated,Unassociated,State2:Authenticated,Unassociated,State3:Authenticated,Associated,SuccessfulAuthentication,SuccessfulAssociation,DisassociationNotification,DeAuthenticationTimeout,Class1frames,Classes1,2frames,Classes1,2,3frames,WLAN安全技术,WLAN安全技术,OpenSystem验证方式,OpenSystem验证方式属于虚验证。为802.11的欲设验证方式。若Client设定为使用这种验证方式，它能与SSID相同且也设置为这种验证方式的AP完成验证。AP与Client的SSID必須相同才能完成验证流程,WEB加解密协议,SharedKey的验证流程之步驟如下：Client要求与AP结合：此步骤与OpenSystem验证的第一步相同。AP送出一個Challenge給Client：为一串纯文字。Client对這個Challenge作回应：它必須使用WEPKey对该纯文字加密，而再送回给AP。AP对Client回应：AP使用WEPKey对Client送來的加密文字做解密，经由此动作，AP可以知道Client是否有正確的Key。若正确，AP會让Client通过验证。若不正确，AP不會让Client通过验证，而让Client留在未验证且未结合状态,WPA加密加解密协议,WPA加密即Wi-FiProtectedAccess，其加密特性决定了它比WEP更难以入侵，所以如果对数据安全性有很高要求，那就必须选用WPA加密方式（WindowsXPSP2已经支持WPA加密方式）。就家庭用户而言，这个方法目前最好的无限安全加密系统，WPA率先使用802.11i中的加密技术TKIP(TemporalKeyIntegrityProtocol)。完整的WPA实现比较复杂，由于操作过程比较困难（微软针对这些设置过程还专门开设了一门认证课程），一般家庭用户掌握起来很难。所以在家庭网络中普遍采用的是WPA的简化版WPAPSK（预共享密钥），设置起来十分简便。但是对于企业和政府来说，很多设备和客户端并不支持WPA，最重要的是TKIP加密并不能满足一些更高要求的加密需求，还需要更高的加密方式。,WPA2与AES加密,WPA2与WPA后向兼容，支持更高级的AES加密，能够更好地解决无线网络的安全问题。诞生于2002年的AES是一种可用来保护电子数据的新型加密算法。特别是，AES是可以使用128、192和256位密钥的迭代式对称密钥块密码，并且可以对128位（16个字节）的数据块进行加密和解密。与使用密钥对的公钥密码不同的是，对称密钥密码使用同一个密钥来对数据进行加密和解密。AES到底有多安全？这是一个难以回答的问题，但是现在人们一般认为，它是现有的最安全的加密算法。到目前为止，AES比任何其他加密算法经过了更多的审查。攻击AES的唯一有效方法就是通过强力生成所有可能的密钥，就这一点来说，无论是在理论上和还是在实践上，AES都被认为是“安全的”。对于256位的密钥大小，在一定的时间（在现有的最快系统上甚至需要数年）内，任何已知的强力攻击都无法破坏AES。,802.1X认证协议,IEEE802.1X协议的体系结构包括三个重要的部分：客户端(SupplicantSystem)、认证系统(AuthenticatorSystem)、认证服务器(AuthenticationServer)。客户端系统，一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，当用户有上网需求时，通过启动这个客户端软件发起IEEE802.1X协议的认证过程。为了支持基于端口的接入控制，客户端系统需支持EAPOL协议认证系统，在WLAN中就是无线接入点（wirelessaccesspoint），在认证过程中只起到透传的功能，所有的认证工作在申请和认证服务器上完成。认证服务器，通常采用远程接入用户认证服务（RemoteAuthenticationDial-InService，RADIUS）的服务器，该服务器可以存储有关用户的信息，通过检验客户端发送来的信息来判别用户是否有权使用网络系统提供的网络服务.,802.1x端口控制原理,802.1X认证过程,申请者发起认证请求给APAP发出请求帧给申请者要求用户名申请者将用户名通过数据帧给AP,AP封包处理后转给认证服务器认证服务器找到用户名对应的口号信息，用随即声称的加密字对其加密，同时将加密字通过AP传给申请者客户端用加密字对口号进行加密，通过AP转给认证服务器认证服务器对两个加密后的口令信息进行对比，如果相同就认为是合法用户，反馈认证通过的信息，并向AP发出打开端口的指令，容许申请者通过端口访问网络,这种方式就是通过对AP的设定，将指定的无线网卡物理地址输入到AP中。而AP对收到的每个数据包都会做出判断，只有符合设定标准的才能被转发，否则将会被丢弃。这种方法尽管简单，可信度却并不高。,MAC过滤,用户隔离,相对来说，这是较简单的一种。它类似于有线网络的VLAN，将所有的无线客户端设备完全隔离，使之只能访问AP连接的固定网络，相当于无线中的局域网。一些大型的公共场所，如机场、酒店等可以采用这个方法来完成公共热点HotSpot的架设，它可以让接入的无线客户端保持隔离，保证旅客们之间的距离，提供安全的Internet接入。,什么是SSID号？SSID（ServiceSetIdentifier）也可以写为ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入