第六章无线技术

1、 2009, Cisco Systems, Inc. ICND2第六章第六章无 线 技 术钟容江钟容江 2009, Cisco Systems, Inc. ICND2本章要求本章要求 了解无线网络原理 了解无线网络标准 了解无线网络的组件 了解SSID与通道 熟悉无线网络安全标准 2009, Cisco Systems, Inc. ICND2本章内容本章内容 6.1 无线技术与设备 6.2 无线技术优点与局限性 6.3 无线网络类型 6.4 无线网络标准 6.5 无线网络组件 6.6 SSID与通道 6.7 无线网络安全 2009, Cisco Systems, Inc. ICND26.1.1

2、 无线技术与设备除了有线网络之外，还有各种不需要线缆即可在主机之间传输信息的技术，即无线技术。无线技术使用电磁波在设备之间传送信息。电磁波是通过空间传送无线电信号的一种介质。电磁频谱包括无线电和电视广播波段、可见光、x 射线和伽玛射线等。它们各有其特定的波长及相关能量的范围，如图所示。其中，部分类型的电磁波不适合传送数据；部分波段受政府管制，由政府授权不同的组织用于特殊用途；另有一些特定波段则供公众使用，无需专门申请许可。公共无线通信最常用的波长包括红外和无线电射频 (RF) 波段部分。 2009, Cisco Systems, Inc. ICND26.1.2 6.1.2 红外线红外线红外线:

3、红外线 (IR) 的能量非常低，无法穿透墙于连接壁或其它障碍物。但它常用个人数字助理 (PDA) 和 PC 等设备并传送数据。一种称为红外直接访问 (IrDA) 的专用通信端口便使用红外线在设备之间交换信息。IR 只支持一对一类型的连接，IR 还可用于遥控设备、无线鼠标和无线键盘，但通常只适合视线范围内的近距离通信。通过反射 IR 信号，可以扩大通信距离。要达到的距离越远，所需的电磁波频率也就越高。 2009, Cisco Systems, Inc. ICND26.1.3 6.1.3 无线电射频无线电射频无线电射频 (RF) RF 波可以穿透墙壁及其它障碍物，适用范围比 IR 大得多。 RF

4、波段的特定区域预留给没有许可证的设备使用，例如无线局域网、无线电话、计算机外围设备等。这些频段包括 900 MHz、2.4 GHz 和 5 GHz 频率范围。这些范围被称为工业科学和医疗 (ISM) 波段，其使用受到较少限制。蓝牙是一种利用 2.4 GHz 频带的技术，它仅限于低速、近距离通信，但优势是可以同时与许多设备通信。在用于连接计算机外围设备（例如鼠标、键盘和打印机）时，这种一对多的通信能力就体现出了蓝牙技术相对于 IR 的优势。另有一些利用 2.4 GHz 和 5GHz 频带的现代无线局域网技术，它们符合各种 IEEE 802.11 标准。这些技术与蓝牙技术的区别在于其发射功率更高，

5、因此传输距离也更大。 2009, Cisco Systems, Inc. ICND26.1.4 6.1.4 无线电射频无线电射频 2009, Cisco Systems, Inc. ICND26.2.1 无线技术优点与局限性与传统的有线网络相比，无线技术具有诸多优点。1. 其主要优点之一就是能够随时随地进行连接。广泛分布在公共场合当中的无线接入点（称为热点），使人们能够轻松连接到 Internet，下载信息和交换电子邮件与文件。2. 无线技术的安装非常简单经济,而且家庭和企业无线设备的价格也在不断下降。而随着这些设备价格的下降，其数据速率和功能却在提高，并能支持更快、更可靠的无线连接。3. 由

6、于不受电缆连接的限制，网络可以利用无线技术轻易地扩展。新用户和来访者可以快速而轻松地加入网络。 2009, Cisco Systems, Inc. ICND25.2.2 TCP5.2.2 TCP与与UDPUDP无线技术非常灵活，有很多优点，但也有一定的局限性和风险。1. 证。首先，无线 LAN (WLAN) 技术使用 RF 频谱中无需许可证的频段。由于这些频段不受管制，因此被许多不同的设备使用。结果，这些频段非常拥挤，来自不同设备的信号经常相互干扰。此外，微波炉和无线电话等设备也使用这些频率，因而可能会干扰 WLAN 通信。2. 其次，无线的主要问题是安全。无线提供了便捷的访问，其广播数据的方

7、式让任何人都能访问数据。但是，这种功能也会限制无线技术为该数据提供的保护。因为任何人（包括非预定的接收者）都可以截取到通信流。为解决这些安全问题，人们开发了许多保护无线通信的技术，例如加密和身份验 2009, Cisco Systems, Inc. ICND6.2.3 无线技术优点与局限性 2009, Cisco Systems, Inc. ICND26.3.1 无线网络的类型及其界限无线网络分为三个主要类别：无线个域网 (WPAN)、无线局域网 (WLAN) 和无线广域网 (WWAN)。虽然存在这些不同的类别，但却很难清楚地划分无线网络的界限。这是因为无线网络与有线网络不同，它没有精确定义的

8、界限。无线传输的范围取决于多种因素。无线网络容易受到外部干扰源（自然和人为）的影响。温度和湿度的变化会极大地改变无线网络的覆盖范围。无线环境中的障碍物也会影响覆盖范围。 2009, Cisco Systems, Inc. ICND6.3.1 6.3.1 无线网络的类型及其界限无线网络的类型及其界限WPAN这是最小的无线网络，用于连接各种外围设备到计算机，例如鼠标、键盘和 PDA。所有这些设备专属于通常使用 IR 或蓝牙技术的一台主机。WLANWLAN 通常用于延伸本地有线网络 (LAN) 的覆盖范围。WLAN 使用 RF 技术并遵守 IEEE 802.11 标准。它们可以让许多用户通过称为“接

9、入点”(AP) 的设备连接到有线网络。接入点用于连接无线主机和有线以太网络中的主机。WWANWWAN 网络覆盖非常广大的区域。移动电话网络就是一种非常典型的 WWAN。这些网络使用码分多址 (CDMA) 或全球移动通信系统 (GSM) 等技术，通常受政府机构的管制。 2009, Cisco Systems, Inc. ICND26.4.1 无线网络的标准1. 为确保无线设备之间能互相通信，已经产生了许多标准。这些标准规定了使用的 RF 频谱、数据速率、信息传输方式等。负责创建无线技术标准的主要组织是 IEEE。2. IEEE 802.11 标准用于管理 WLAN 环境。该标准有四个附录，用于描

10、述无线通信的不同特征。目前可用的附录有 802.11a、802.11b、802.11g 和 802.11n。（802.11n 在本书编写时尚未得到批准。）这些技术统称为无线保真（Wi-Fi，Wireless Fidelity）。3. 另一个名为 Wi-Fi Alliance 的组织负责测试不同制造商的无线 LAN 设备。设备上若印有 Wi-Fi 徽标，则表示该设备符合这些标准，并能与符合同一标准的其它设备交互操作。 2009, Cisco Systems, Inc. ICND6.4.2 6.4.2 无线网络的标准无线网络的标准802.11a：1.使用 5 GHz RF 频谱2.与 2.4 GH

11、z 频谱（即 802.11b/g/n 设备）不兼容3.范围大约是 802.11 b/g 的 33%4.与其它技术相比，实施此技术非常昂贵。5.802.11a 标准的设备越来越少802.11b：1.首次采用 2.4 GHz 的技术2.最大数据速率为 11 Mbps3.范围大约是室内 46 米（150 英尺）/室外 96 米（300 英尺）802.11g：1.2.4 GHz 技术2.最大数据速率增至 54 Mbps3.范围与 802.11b 相同4.与 802.11b 向下兼容802.11n：1.正在开发中的最新标准2.2.4 GHz 技术（草案标准规定了对 5 GHz 的支持）3.扩大范围和数据

12、吞吐量4.与现有的 802.11g 和 802.11b 设备向下兼容（草案标准规定了对 802.11a 的支持） 2009, Cisco Systems, Inc. ICND26.5.1 6.5.1 无线网络组件无线网络组件一旦 WLAN 采用了某个标准，其所有组件必须符合该标准，或至少与该标准兼容。 WLAN 中必须考虑的各个组件包括：无线客户端或 STA、接入点、无线网桥和天线。 2009, Cisco Systems, Inc. ICND26.5.2 6.5.2 无线网络组件无线网络组件天线：1. 用于 AP 和无线网桥2. 提高无线设备输出的信号强度3. 从 STA 等其它设备接收无线

13、信号4. 天线输出获得的信号强度提升称为增益5. 增益越高，通常意味着传输距离越远6. 天线可按照其发射信号的方式分类。定向天线将信号强度集中到一个方向发射。全向天线则朝所有方向均匀发射信号。7. 定向天线通过将所有信号集中到一个方向，可以实现远距离传输。定向天线常用于桥接某些应用，而全向天线则常用于 AP。 2009, Cisco Systems, Inc. ICND26.5.3 6.5.3 无线设备的安装无线设备的安装无线设备的安装：1. 在家庭或小型企业环境中，安装通常只涉及少量的设备，这些设备可以轻松地重新部署，以获取最佳的覆盖范围和吞吐量。1. 在大型企业环境中，设备无法轻松地重新部

14、署，并且覆盖范围必须全面。确定 AP 的最佳数量和位置对于以最低成本提供适当覆盖范围非常重要。2. 为了完成这一任务，通常需要进行现场勘测。现场勘测的负责人必须精通 WLAN 设置，并且配有可以测量信号强度和干扰的先进设备。根据 WLAN 的部署规模，此过程的成本可能非常高。如果规模小，通常只需使用无线 STA 以及大多数无线网卡随附的实用程序，进行简单的现场勘测。3. 在确定 WLAN 设备的部署位置时，任何情况下都必须考虑已知的干扰源，例如高压电线、电动机及其它无线设备。 2009, Cisco Systems, Inc. ICND26.5.4 6.5.4 无线设备的安装无线设备的安装 2

15、009, Cisco Systems, Inc. ICND6.6.1 WLAN 与 SSID在构建无线网络时，需要将无线组件连接到适当的 WLAN。这可以通过使用服务集标识符 (SSID) 来完成。SSID 是一个区分大小写的字母数字字符串，最多可以包含 32 个字符。它包含在所有帧的报头中，并通过 WLAN 传输。SSID 用于标识无线设备所属的 WLAN 以及能与其相互通信的设备。无论是哪种类型的 WLAN，同一个 WLAN 中的所有设备必须使用相同的 SSID 配置才能进行通信。 2009, Cisco Systems, Inc. ICND26.6.2 WLAN 6.6.2 WLAN 与

16、与 SSIDSSID与与 SSIDSSIDWLAN 有两种基本形式：对等模式和基础架构模式。对等:在点对点网络中，将两台或以上的客户端连接到一起，就可以创建最简单的无线网络。以这种方式建立的无线网络称为对等网络，其中不含 AP。一个对等网络中的所有客户端是平等的。此网络覆盖的区域称为独立的基本服务集 (IBSS)。简单的对等网络可用于在设备之间交换文件和信息，而免除了购买和配置 AP 的成本与麻烦。 2009, Cisco Systems, Inc. ICND6.6.2 WLAN 6.6.2 WLAN 与与 SSIDSSID与与 SSIDSSID基础架构模式对等模式适用于小型网络，而大型网络需

17、要一台设备来控制无线单元中的通信。如果存在 AP，则 AP 将会承担此角色，控制可以通信的用户及通信时间。这就称为基础架构模式，它是家庭和企业环境中最常用的无线通信模式。在这种形式的 WLAN 中，不同 STA 之间无法直接通信。为了进行通信，每台设备都必须从 AP 获取许可。AP 控制所有通信，确保所有 STA 都能平等访问介质。单个 AP 覆盖的区域称为基本服务集 (BSS) 或单元。 2009, Cisco Systems, Inc. ICND26.6.3 WLAN 6.6.3 WLAN 与与 SSIDSSID与与 SSIDSSID基本服务集 (BSS) 是 WLAN 最小的构成单位。单

18、个 AP 的覆盖区域有限。要扩大覆盖区域，可以通过分布系统 (DS) 连接多个 BSS，从而形成扩展服务集 (ESS)。ESS 使用了多个 AP。每个 AP 都位于一个独立的 BSS 中。为了在单元之间移动时不至于丢失信号，BSS 必须具有大约 10% 的重叠量，以允许客户端在与第一个 AP 断开之前连接到第二个 AP。大多数家庭和小型企业环境都只有一个 BSS。但是，当覆盖范围需要扩大以及需要连接更多主机时，就必须创建 ESS。 2009, Cisco Systems, Inc. ICND26.6.4 6.6.4 无线通道无线通道无论无线客户端是在 IBSS、BSS 还是 ESS 中通信，发

19、送方与接收方之间的通信必须受到控制。控制方法之一是使用通道。对可用的 RF 频谱进一步划分即形成通道。每个通道都可以传送不同的通信。此方式类似于多个电视频道通过一个介质传输。多个 AP 若使用不同的通道进行通信，就可以彼此靠近运作。但是，不同通道使用的频率可能会存在重叠，因而不同的通信必须在不重叠的通道中传输。通道的数量和分配方式取决于区域和技术。可以根据当前用途及可用的吞吐量，手动或自动选择用于特定通信的通道。一般情况下，每个无线通信都使用单独的通道。有些新技术将多个通道合并成一个较宽通道，从而提供更高的带宽和数据速率。 2009, Cisco Systems, Inc. ICND26.6.

20、4 6.6.4 无线通道无线通道 2009, Cisco Systems, Inc. ICND26.6.5 6.6.5 无线通道无线通道在 WLAN 中，若没有适当地定义边界，将无法检测到传输过程中是否发生冲突。因此，必须在无线网络中使用可避免发生冲突的访问方法。1. 无线技术使用的访问方法称为“载波侦听多路访问/冲突避免”（Carrier Sense Multiple Access with Collision Avoidance，CSMA/CA）。CSMA/CA 可以预约供特定通信使用的通道。在预约之后，其它设备就无法使用该通道传输，从而避免冲突。2. 这种预约过程是如何运作的呢？如果一台

21、设备需要使用 BSS 中的特定通信通道，就必须向 AP 申请权限。这称为“请求发送”（Request to Send，RTS）。如果通道可用，AP 将使用“允许发送”（Clear to Send，CTS）报文响应该设备，表示设备可以使用该通道传输。CTS 将广播到 BSS 中的所有设备。因此，BSS 中所有设备都知道所申请的通道正在使用中。3. 通信完成之后，请求该通道的设备将给 AP 发送另一条消息，称为“确认”（Acknowledgement，ACK）。ACK 告知 AP 可以释放该通道。此消息也会广播到 WLAN 中的所有设备。BSS 中所有设备都会收到 ACK，并知道该通道重新可用。

22、2009, Cisco Systems, Inc. ICND6.7.1 6.7.1 无线网络安全无线网络安全此外，改变默认设置也同样重要。无线设备出厂时已经预先带有配置设置，例如 SSID、密码和 IP 地址。攻击者利用这些默认设置可以轻松找到和渗入网络。即使禁用了 SSID 广播功能，他人也可以利用众所周知的默认 SSID 侵入您的网络。此外，如果不改变其它默认设置，例如密码和 IP 地址，攻击者可以访问 AP 并更改这些设置。用户应将默认信息更改为更安全和独特的信息。这些更改本身无法保护您的网络。例如，SSID 用明文传输。有些设备可以拦截无线信号，读取明文消息。即使关闭了 SSID 广播

23、功能并更改了默认值，攻击者也可以使用设备拦截无线信号，并得知无线网络的名称，然后使用此信息连接到网络。因此，需要组合多种方法来保护您的 WLAN。 2009, Cisco Systems, Inc. ICND26.7.2 6.7.2 限制访问限制访问WLANWLAN限制访问网络的方法之一是精确控制哪些设备可以访问网络。这可以通过 MAC 地址过滤来实现。MAC 地址过滤:1. MAC 地址过滤使用 MAC 地址来分辨可以连接到无线网络的设备。当某个无线客户端尝试连接或关联 AP 时，就会发送 MAC 地址信息。如果启用了 MAC 过滤，无线路由器或 AP 会在预配置的列表中查找其 MAC 地址

24、。只有设备的 MAC 地址已预先记录在路由器数据库中，才允许其连接。2. 如果在数据库中找不到其 MAC 地址，则会禁止该设备连接无线网络或通过无线网络通信。3. 这种安全保护方法也存在一些问题。例如，所有应该访问网络的设备在尝试连接之前，必须将其 MAC 地址加入数据库中，否则就无法连接。此外，攻击者也可以使用其设备克隆其它具有访问权限的设备的 MAC 地址。 2009, Cisco Systems, Inc. ICND6.7.3 WLAN 6.7.3 WLAN 的身份验证的身份验证控制谁可以连接的另一种方法是实施身份验证。身份验证是根据一组证书允许登录网络的过程，用于验证尝试连接网络的设备

25、是否可以信赖。使用用户名和密码是最常见的身份验证形式。在无线环境中，身份验证同样用于确保连接的主机已经过验证，但处理验证过程的方式稍有不同。如果启用身份验证，必须在允许客户端连接到 WLAN 之前完成。无线身份验证方法有三种：开放式身份验证、PSK 和 EAP。开放式身份验证：默认情况下，无线设备不要求身份验证。任何身份的客户端都可以关联。这称为开放式身份验证。开放式身份验证应只用于公共无线网络，例如为数众多的学校和酒店的无线网络。如果网络在客户端连接之后通过其它方式进行身份验证，则也可以使用开放式身份验证。 2009, Cisco Systems, Inc. ICND26.7.4 WLAN

26、6.7.4 WLAN 的身份验证的身份验证预共享密钥预共享密钥 (PSK)(PSK)使用使用 PSK PSK 时，时，AP AP 和客户端必须配置相同的密钥或加密密码。和客户端必须配置相同的密钥或加密密码。AP AP 发送一个随机字符发送一个随机字符串到客户端。客户端接受该字符串，根据密钥对其进行加密（或编码），然后发送回串到客户端。客户端接受该字符串，根据密钥对其进行加密（或编码），然后发送回 APAP。AP AP 获取加密的字符串，并使用其密钥解密（或解码）。如果从客户收到的字符串在解获取加密的字符串，并使用其密钥解密（或解码）。如果从客户收到的字符串在解密后与原来发送给客户端的字符串匹配

27、，就允许该客户端连接。密后与原来发送给客户端的字符串匹配，就允许该客户端连接。PSK PSK 执行单向身份验证，即向执行单向身份验证，即向 AP AP 验证主机身份。验证主机身份。PSK PSK 不向主机验证不向主机验证 AP AP 的身份，也的身份，也不验证主机的实际用户。不验证主机的实际用户。可扩展身份验证协议可扩展身份验证协议 (EAP)(EAP)EAP EAP 提供相互或双向的身份验证以及用户身份验证。在客户端安装提供相互或双向的身份验证以及用户身份验证。在客户端安装 EAP EAP 软件时，客软件时，客户端将与后端身份验证服务器例如远程身份验证拨号用户服务户端将与后端身份验证服务器例如远程身份验证拨号用户服务 (RADIUS)(RADIUS)通信。该后通信。该后端服务器的运行独立于端服务器的运行独立于 APAP，并负责维护有权访问网络的合法用户数据库。使用，并负责维护有权访问网络的合法用户数据库。使用 EAP EAP 时时，用户和主机都必须提供用户名和密码，以便对照，用户和主机都必须提供用户名和密码，以便对照 RADIUS RADIUS 数据库检查其合法性。如果数据库检查其合法性。如果合法