WLAN网络基础知识指导培训胶片

1、WLAN网络基础知识指导培训胶片n 概述概述n 802.11 802.11 基础知识基础知识n 802.11 802.11 n 802.11 QoS802.11 QoS技术技术n 802.11 802.11 快速漫游技术快速漫游技术目录目录凡是自由空间均可连接网络，不受限于线缆和端口位置办公大楼候机大厅渡假山庄商务酒店无线让网络使用更自由终端与交换设备之间省去布线，有效降低布线成本；适于特殊地理环境下的网络架设，如隧道、港口码头、高速公路；终端与设备之间不方便通过线缆连接地理环境不适合布设有线网络无线让网络建设更经济，通信更便利无线让工作更高效不受限于时间和地点的接入网络，满足各行各业对于网络

2、应用的需求；体育场馆新闻中心展馆与证券大厅制造车间物流运输WLAN技术的发展进程802.11802.11802.11b802.11b802.11a802.11a802.11g802.11g标准发布时间July 1997Sept 1999Sept 1999June 2003合法频宽83.5MHz83.5MHz325MHz83.5MHz频率范围 2.400-2.483GHz2.400-2.483GHz5.150-5.350GHz 5.725-5.850GHz2.400-2.483GHz非重叠信道 33123物理发送速率1, 21,2,5.5, 116, 9, 12, 18,24, 36, 48,

3、546, 9, 12, 18,24, 36, 48, 54理论上的最大UDP吞吐量(1500 byte)1.7 Mbps7.1 Mbps30.9 Mbps30.9 Mbps理论上的TCP/IP吞吐量(1500 byte)1.6 Mbps5.9 Mbps24.4 Mbps24.4 Mbps无线局域网工作组 PHY802.11(1/2 Mbps)802.11b(5.5/11 Mbps)802.11g(54 Mbps)802.11a(54 Mbps)MAC漫游和切换漫游和切换802.11i 安全增强安全增强802.11n(300 Mbps)802.11r快速切换快速切换无线局域网关注点 无管理MAC

4、认证、WEP加密无漫游低速无线接入 简单配置管理WPA认证TKIP加密L2漫游无线数据接入集中管理、射集中管理、射频环境管理频环境管理WPA认证认证加密加密L2、L3漫漫游游语音、数据、语音、数据、视频无线接入视频无线接入更强大的全网管理动态认证安全接入任意位置接入综合业务的无线承载作为有线的简单补充，实现无线基本接入功能1998年2000年2004年未来2M54/11M54M600M主要的接入层技术之一，扩展丰富增值业务功能：带宽、管理、安全、漫游、增值：带宽、管理、安全、漫游、增值规模应用其他其他WLANWLAN相关组织和标准相关组织和标准Wi-Fi联盟成立于1999年的Wi-Fi联盟是一

5、个非牟利国际协会，旨在认证基于规格的无线局域网产品的互操作性和推动wireless新标准的制定目前已知的相关标准WPA：的子集，支持认证以及TKIP加密算法WPA2： WMM：的子集，支持EDCA方式CAPWAPIETF目前有关于无线交换机和FIT AP间控制和管理标准化的工作组比较重要的标准Architecture Taxonomy for CAPWAP (RFC 4118)LWAPP (最新的草案更名为CAP)WLANWLAN产品对人体的电磁辐射是安全的产品对人体的电磁辐射是安全的l 很多的研究已经证明，WLAN产品可以在家庭及商业中使用，对人体来说是安全。l 典型的WLAN产品输出功率为

6、100mw(AP)，对于网卡来说，通常只有10mw至50mw。l 相比较来说，手机的发射功率在通话时可以超过1W，而无线对讲机甚至可以达到5 W!l 政府有相关的法令对发射功率进行严格的限制。DirectSignalReflectedSignalsAlsoMultipath fadingPC CardAccess Point (AP)无线传输的干扰因素无线传输的干扰因素- -多径干扰多径干扰功率在穿过障碍物后衰减墙，门，等等电磁波的穿透性能是和频率相关的。电磁波的穿透性能是和频率相关的。当发射功率不足够大时，在建筑物后形成无线覆盖盲区当发射功率不足够大时，在建筑物后形成无线覆盖盲区。无线传输的

7、干扰因素无线传输的干扰因素- -障碍物障碍物无线传输的干扰因素无线传输的干扰因素电磁干扰电磁干扰l 为ISM频段，不需授权即可使用。l 同一区域内AP之间的互相干扰，干扰方式分为同信道干扰和邻信道干扰。l 其他干扰源 -微波炉 -医疗设备 -双向寻呼系统 -脉冲雷达系统 -其它无线通讯系统l 干扰的存在会使系统的整体性能有非常明显的下降，在有些时候甚至会失去工作的能力。有效带宽有效带宽吞吐率吞吐率l 标准描述的速率为11 Mbps,实际可获得的速率为一半 (4-6 Mbps max)l g标准描述的速率为54 Mbps,实际可获得的速率为一半 (10-30 Mbps max)l AP接入的用户

8、数基本可以均分其有效带宽l 其他用于协议封装或冲突避免开销l 不稳定是无线通讯的本性l 无线环境不停的变化l 物理建筑的构成l 共享介质l 用户数l 数据量WLAN覆盖范围的理论覆盖与的相同，比覆盖距离增加50的覆盖距离及与速率间的关系见表中描述真实的覆盖范围真实的覆盖范围l 所有的产品提供商在文档上都说，在缺省配置下，室外覆盖距离可达300米，室内可达100米。l 而在实际中，覆盖距离更依赖于实际环境。l 一般来说，速率为1/2Mbps时，覆盖距离可到40-90米。速率为11Mbps时，覆盖距离只有10-30米。l 影响覆盖范围的因素 -建筑结构 -电磁设备n 概述概述n 802.11 80

9、2.11 基础知识基础知识n 802.11 802.11 安全技术安全技术n 802.11 QoS802.11 QoS技术技术n 802.11 802.11 快速漫游技术快速漫游技术目录目录网络的基本元素 - BSS能互相进行无线通信的STA可以组成一个BSS（Basic Service Set）BSS是网络的基本结构1208EBSS11208EBSS2STA1STA2STA3STA5STA6STA4网络的基本元素 ESSESS (Extended Service Set)是采用相同的SSID的多个BSS形成的更大规模的虚拟BSSESSBSS2AP2Service set identify (

10、SSID1)BSS1AP1Service set identify (SSID1)1208E1208E网络的基本元素 SSID和BSSIDAP1AP2BSSID1SSIDSSID“marketing”SSID“marketing”ESSBSSID1SSIDSSIDSSID是一个是一个ESSESS的网络标识的网络标识BSSIDBSSID是一个是一个BSSBSS的标识的标识1208E1208E802.11 组网模式 Ad hoc组网模式 单一 BSS以太网1208E以太网组网模式 多个BSS1208E1208E802.11 MAC访问机制 DCF方式IFSIFS推迟发送直到推迟发送直到媒体空闲媒体

11、空闲IFS时间长度时间长度BusyFrameContention windowback-off定时启动定时启动Medium busySend frameTimeDCF方式基于CSMA/CA原理 不同类型的报文可以通过采用不同IFS时长来区分访问媒体的优先级 SIFS ：用于优先级最高的时间敏感的控制报文 (例如 CTS，RTS, ACK) PIFS：用于AP发送报文 DIFS：用于一般的STA发送报文 最终的效果是控制报文比数据报文优先获得媒体发送权，AP比STA优先获得媒体发送权SIFSBusyFrameTimePIFSDIFSContention window802.11 MAC访问机制

12、DCF方式（续）无线通信中存在的隐藏站点问题由于无线电波传输范围有限，导致一台 STA 有可能无法侦听到同信道其他 STA 发出的信号，从而误以为信道空闲，引起冲突ABC？发送允许发送报文需要 xxx 时间请求发送报文需要 xxx 时间发送报文的RTS / CTS机制通过 RTS / CTS 的交互，使得 STA 得知隐藏站点传输数据所需的时间，从而避免冲突ABCxxx 时间内信道忙基于RTS / CTS机制的典型报文发送过程STA1APSTA2RTS请求发送CTS同意发送STA1-STA2的数据ACK发送确认RTS请求发送CTS同意发送STA1-STA2的数据ACK发送确认1208E数据帧用

13、户的数据报文控制帧协助发送数据帧的控制报文，例如： RTS、CTS，ACK报文管理帧负责STA和AP之间的能力级的交互，认证、关联等管理工作802.11 报文分类802.11 管理功能 用户接入过程STAAP 通过Scanning选择AP(采用侦听Beacon帧或发送Probe帧)AuthenticationAssociation和建立Association关系的AP收发数据1208E802.11 MAC 使用Scanning来搜索AP STA搜索并连接一个AP 当STA漫游时寻找连接一个新的AP STA会在在每个可用的信道上进行搜索Passive Scanning 通过侦听AP定期发送的Be

14、acon帧来发现网络Active Scanning 在每个信道上发送Probe request报文，从AP回复的Probe Response中获取AP的基本信息802.11 管理功能 - Scanning802.11 管理功能 - AuthenticationSTAAPAuthentication requestAuthentication Response (success)STAAPAuthentication requestPlain text challengeCipher text challengeAuthentication Response (success)预置Key用Key

15、加密明文密文解密和明文比较预置Key1208E1208EOpen-system Authentication过程SharedKey Authentication过程Association STA通过Association和一个AP建立关联，后续的数据报文的收发只能和建立Association关系的AP进行Reassociation STA在从一个老的AP移动到新AP时通过Reassociation和新AP建立关联 Reassociation前必须经历Authentication过程Deassociation STA通过Deassociation和AP解除关联关系STAAPAssociation

16、 request (SSID)Association Response (Association ID)STANew AP数据Old AP检测到New AP信号强Reassociation请求(old AP address)DeassociationReassociation应答802.11 管理功能 - Associationn 概述概述n 802.11 802.11 基础知识基础知识n 802.11 802.11 安全技术安全技术n 802.11 QoS802.11 QoS技术技术n 802.11 802.11 快速漫游技术快速漫游技术目录目录认证开放系统认证p 开放系统身份认证开放系统身

17、份认证(open-systern (open-systern authentication)authentication) 开放系统是开放系统是802.11 802.11 要求必备的方式要求必备的方式。在开放系统身份认证中，。在开放系统身份认证中，APAP并未并未验证移动式工作站的真实身份。无验证移动式工作站的真实身份。无线终端以线终端以MACMAC地址为其身份证明。地址为其身份证明。和和Ethernet Ethernet 网络一样，网络上的网络一样，网络上的MAC MAC 地址必须独一无二。开放系统地址必须独一无二。开放系统下用户不需要认证只要下用户不需要认证只要MACMAC地址唯地址唯一即

18、可接入网络。一即可接入网络。STAAPAuthentication requestAuthentication Response (success)p MAC地址认证 MAC 地址过滤是相当常见的做法，几乎所有产品均有支持。AP上维护了一份经过授权的MAC 地址清单，不在名单上的工作站。网管人员可以键入一组经过授权的工作站地址，只要是表上有名的工作站就可以跟网络连接。认证认证 MAC地址认证地址认证认证共享密钥认证认证共享密钥认证n 共享密钥认证共享密钥认证(shared-key (shared-key authenticationauthentication） 共享密钥身份认证(shared

19、-key authentication）必须使用WEP，因此只能用于实现了WEP的产品上，虽然目前已经很难找到不支持WEP 的产品。正如其名，共享密钥身份认证要求在进行身份认证之前，必须传递共享密钥给无线终端。共享密钥身份认证的理论基础是，如能成功回应传给它的挑战信息，就证明工作站拥有共享密钥。双方交换密钥成功后，终端认证通过。STAAPAuthentication requestPlain text challengeCipher text challengeAuthentication Response (success)预置Key用Key加密明文密文解密和明文比较预置KeyPSK（ Pr

20、e-shared key）认证方式 该方式要求在STA侧预先配置Key，AP通过4次握手Key协商协议来验证STA侧Key的合法性。对没有什么重要数据的小型网络而言，可以使用WPAPSK 的预设共享密钥模式。主要把预设共享密钥方式的WPA-PSK 应用于小型、风险低的网络以及不需太多保护的网络用户。对大企业而言，安全性要求较高，更多的使用。认证认证 PSK认证认证标准简介:是基于端口的网络接入控制协议, 它提供了一个认证过程框架，支持多种认证协议在中，不同的认证协议统一使用EAP封装格式。也就是说：只是对认证进行控制，是接入认证的手段，具体认证还需要其它认证协议。基于端口的网络接入控制： 是指

21、在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源相当于物理连接被断开。 EAP的类型包括: EAP-MD5：最早的EAP认证类型。它是基于用户名，密码 方式的认证。认证过程与CHAP认证过程基本相同。 EAP-TLS：是一种基于证书的认证方式，它是对用户端和认证服务器端进行双向证书认证的认证方式 PEAP ：是一种基于证书的认证方式，服务器侧采用证书认证，客户端侧采用用户名密码认证认证认证 认证认证加密加密-WEP加密加密STAAP加密报文IV值IV静态KeyKey生成器Ke

22、y流XOR用户数据明文发送的加密报文IV静态KeyKey生成器Key流XOR用户数据明文接收的加密报文1208E从加密到安全WEP够了吗？整个网络公用一个共享密钥，一旦丢失，整个网络都很危险整个网络公用一个共享密钥，一旦丢失，整个网络都很危险IVIV向量太短，向量太短， 大量监听用户数据报文后，大量监听用户数据报文后，WEPWEP加密很容易被破解加密很容易被破解RC4RC4加密算法本身过于简单加密算法本身过于简单解决办法？解决办法？增加一种密钥管理机制增加一种密钥管理机制采用更强壮的加密算法采用更强壮的加密算法增加了增加了 Key的生成、管理以及传递的机制的生成、管理以及传递的机制 每用户使用

23、独立的Key 通过安全的传递方法传递用户数据加密使用的Key增加了两类对称加密算法，加密强度大大增强增加了两类对称加密算法，加密强度大大增强 TKIP：TKIP核心仍然是RC4算法，改进了WEP的某些缺陷，加强安全性 CCMP：核心为AES算法加密加密n 概述概述n 802.11 802.11 基础知识基础知识n 802.11 802.11 安全技术安全技术n 802.11 QoS802.11 QoS技术技术n 802.11 802.11 快速漫游技术快速漫游技术目录目录技术在QOS方面存在的缺陷 最初的技术是为满足用户的数据传输而设计的，根本没有考虑最初的技术是为满足用户的数据传输而设计的，根本没有考虑多业务承载多业务承载采用的DCF调度模式是基于CSMA/CA原理，最终的效果是，所有用户发送的报文平等地竞争无线资源由于没有区分业务优先级的机制，造成AP和终端在对外发送报文时对报文按同等优先级对待。当发生流量拥塞时，需要优先处理的报文（例如语音报文）和