Aruba WLAN基礎(chǔ)知識(shí)培訓(xùn)膠片

WLAN基礎(chǔ)知識(shí)培訓(xùn)目錄WLAN基本概念

802.11協(xié)議簡(jiǎn)介無線解決方案無線網(wǎng)絡(luò)安全射頻技術(shù)簡(jiǎn)介目錄WLAN基本概念

802.11協(xié)議簡(jiǎn)介無線解決方案無線網(wǎng)絡(luò)安全射頻技術(shù)簡(jiǎn)介為什么要使用WLAN網(wǎng)絡(luò)無線讓網(wǎng)絡(luò)使用更自由辦公大樓候機(jī)大廳渡假山莊商務(wù)酒店凡是自由空間均可連接網(wǎng)絡(luò)，不受限于線纜和端口位置。為什么要使用WLAN網(wǎng)絡(luò)無線讓網(wǎng)絡(luò)建設(shè)更經(jīng)濟(jì)，通信更便利終端與交換設(shè)備之間省去布線，有效降低布線成本。適用于特殊地理環(huán)境下的網(wǎng)絡(luò)架設(shè)，如隧道、港口碼頭、高速公路終端與設(shè)備之間不方便通過線纜連接地理環(huán)境不適合布設(shè)有線網(wǎng)絡(luò)為什么要使用WLAN網(wǎng)絡(luò)無線讓工作更高效不受限于時(shí)間和地點(diǎn)的無線網(wǎng)絡(luò)，滿足各行各業(yè)對(duì)于網(wǎng)絡(luò)應(yīng)用的需求。體育場(chǎng)館新聞中心展館與證券大廳制造車間物流運(yùn)輸為什么要使用WLAN網(wǎng)絡(luò)很多的研究已經(jīng)證明，WLAN產(chǎn)品可以在家庭及商業(yè)中使用，對(duì)人體來說是安全。典型的WLAN產(chǎn)品，如AP（AccessPoint，接入點(diǎn)），輸出功率為100mw，對(duì)于網(wǎng)卡來說，通常只有10mw至50mw。相比較來說，手機(jī)的發(fā)射功率在通話時(shí)可以超過1W，而無線對(duì)講機(jī)甚至可以達(dá)到5W。政府有相關(guān)的法令對(duì)發(fā)射功率進(jìn)行嚴(yán)格的限制，因此通過政府相關(guān)部門認(rèn)證過的無線設(shè)備對(duì)人體是無害的WLAN技術(shù)對(duì)人體無害WLAN基本概念中低數(shù)據(jù)速率中高數(shù)據(jù)速率高數(shù)據(jù)速率低數(shù)據(jù)速率短距離中等距離中長(zhǎng)距離長(zhǎng)距離紅外、藍(lán)牙802.11a/b/g802.16、MMDS、LMDSGSM、GPRS、CDMA、2.5-3G<1Mbps2-54Mbps22-54Mbps10-384Kbps無線個(gè)人網(wǎng)（WPAN）無線局域網(wǎng)（WLAN、WIFI）無線廣域網(wǎng)（WWAN）無線城域網(wǎng)（WMAN、WIMAX）新標(biāo)準(zhǔn)802.11n的出現(xiàn)極大的擴(kuò)展了無線網(wǎng)絡(luò)的速度，能達(dá)到500Mbps以上，同時(shí)擴(kuò)展了覆蓋的范圍，解決了最后一公里接入的問題，擴(kuò)展了WLAN的性能同時(shí)為WMAN的快速發(fā)展奠定了基礎(chǔ)。無線網(wǎng)絡(luò)分類WLAN基本概念WIFI--WirelessFidelity成立1999年8月起初被稱為無線以太網(wǎng)兼容性聯(lián)盟(WECA)進(jìn)一步的規(guī)定了802.11標(biāo)準(zhǔn)提供了一系列的兼容性指導(dǎo)方案Wi-Fi認(rèn)證和標(biāo)志802.11初始標(biāo)準(zhǔn)所有其他的802.11標(biāo)準(zhǔn)都是在此基礎(chǔ)上進(jìn)行的修改IEEE802.11協(xié)議族802.11a,802.11b,802.11g,802.11j,802.11n,etc.基本術(shù)語(yǔ)WLAN基本概念CAPWAPIETF目前有關(guān)于無線交換機(jī)和FITAP間控制和管理標(biāo)準(zhǔn)化的相關(guān)標(biāo)準(zhǔn)起源于LAWPP標(biāo)準(zhǔn)WAPIWirelessLANAuthenticationandPrivacyInfrastructure(無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)）的英文縮寫中國(guó)無線網(wǎng)絡(luò)產(chǎn)品國(guó)標(biāo)中安全機(jī)制的標(biāo)準(zhǔn)，包括無線局域網(wǎng)鑒別（WAI）和保密基礎(chǔ)結(jié)構(gòu)（WPI）兩部分基本術(shù)語(yǔ)—繼續(xù)WLAN基本概念BSS--BasicServiceSet（基本服務(wù)集）在典型的無線網(wǎng)絡(luò)中會(huì)有一個(gè)接入點(diǎn)作為中心設(shè)備，一個(gè)或多個(gè)其他的無線設(shè)備與這個(gè)接入點(diǎn)通信這些設(shè)備組成的環(huán)境通常被稱為一個(gè)基本服務(wù)集BSA--BasicServiceArea（基本服務(wù)區(qū)域）一個(gè)單獨(dú)的接入點(diǎn)（AP）所覆蓋的區(qū)域叫做基本服務(wù)區(qū)域SSID--ServiceSetIdentifier（服務(wù)集標(biāo)識(shí)）

SSID是用來在邏輯上分辨兩個(gè)不同的無線網(wǎng)絡(luò)BSSID--BasicServiceSetIdentifierBSSID用來分辨不同的BSSBSSID通常使用MAC地址表示ESS—ExtendedServiceSet是采用相同的SSID的多個(gè)BSS形成的更大規(guī)模的虛擬BSS基本術(shù)語(yǔ)—繼續(xù)WLAN基本概念基本服務(wù)區(qū)域BasicServiceSet(BSS)WLAN基本概念SSID=MyhouseSSID=OurhouseServiceSetIdentifier(SSID)Wlan基本概念ESSID=OurcompanyExtensiveServiceSet(ESS)WLAN基本概念STA可以在屬于同一個(gè)ESS的AP接入點(diǎn)接入STA可以在Wireless網(wǎng)絡(luò)中任意移動(dòng)保證已有的業(yè)務(wù)不中斷，用戶的標(biāo)識(shí)（IP地址）不改變漫游WLAN基本概念ESSID=Ourcompany漫游WLAN基本概念二層漫游在同一個(gè)子網(wǎng)內(nèi)的AP間漫游三層漫游在不同子網(wǎng)內(nèi)的AP間漫游漫游的分類目錄WLAN基本概念

802.11協(xié)議簡(jiǎn)介無線解決方案無線網(wǎng)絡(luò)安全射頻技術(shù)簡(jiǎn)介802.11標(biāo)準(zhǔn)802.11標(biāo)準(zhǔn)802.11是規(guī)定了無線網(wǎng)絡(luò)傳輸方法的一組標(biāo)準(zhǔn)802.11WLAN物理層和MAC層規(guī)范(2.4GHz，1-2Mbps)802.11b：2.4GHz頻段高速物理層規(guī)范(11Mbps)802.11a：5GHz高速物理層規(guī)范(54Mbps)；802.11g：2.4GHz頻段通過OFDM技術(shù)提高速物理層規(guī)范(54Mbps)802.11f：是為解決漫游問題而制訂的接入點(diǎn)之間的協(xié)議,它能為接入點(diǎn)之間支持802.11分布式系統(tǒng)功能提供必要的交換信息802.11i：MAC層安全性增強(qiáng)規(guī)范；802.11h：動(dòng)態(tài)頻道選擇和發(fā)射功率控制。802.11n：下一代無線新標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)將WLAN的傳輸速度增加至上百兆802.11e：MAC層增強(qiáng)-服務(wù)質(zhì)量保證(Qos)802.11s：支持MESH網(wǎng)狀網(wǎng)絡(luò)的協(xié)議802.11StandardsIEEEStandardTransmissionSpeedMaximumThroughput(estimate)Frequency&BandComment802.111,2Mbps1Mbps2.4GHzISMOriginalstandard.Rarelyusedanymore.FHSSandDSSS.802.11b1,2,5.5,11Mbps5Mbps2.4GHzISMFirststandardtogainconsumerpopularity.Backwardcompatiblewith802.11DSSS.802.11g1,2,5.5,6,9,11,12,18,24,36,48,54Mbps24Mbps2.4GHzISMCurrentlymostpopularstandard.Backwardcompatiblewith802.11DSSSand802.11b.OFDM.802.11a6,9,12,18,24,36,48,54Mbps23Mbps5GHz4.9to5GHzOperationinJapanisdesignedspeciallyforJapanesemarket.802.11標(biāo)準(zhǔn)1Mbps2Mbps5.5Mbps11MbpsExample:802.11b動(dòng)態(tài)速率選擇802.11標(biāo)準(zhǔn)802.11、802.11b、802.11g標(biāo)準(zhǔn)使用2.4GHZ的頻段在中國(guó)有13個(gè)信道可用，每個(gè)信道22MHZ帶寬.，每隔5MHz一個(gè)頻點(diǎn)共有3個(gè)獨(dú)立的信道.頻率Power信道選擇802.11標(biāo)準(zhǔn)無繩電話（2.4或5GHz）藍(lán)牙?個(gè)人區(qū)域聯(lián)網(wǎng)設(shè)備(2.4GHz)微波爐（在2.4GHz頻帶中50%的忙閑度將產(chǎn)生脈沖干擾。）低能量RF光源(2.4GHz)采用包括蜂窩、藍(lán)牙與WLAN在內(nèi)的多種無線技術(shù)的集成設(shè)備、手持終端與PDA中假訊號(hào)RF噪聲2.4GHZ頻率的干擾802.11標(biāo)準(zhǔn)802.11的MAC和802.3協(xié)議的MAC非常相似，都是在一個(gè)共享媒體之上支持多個(gè)用戶共享資源，由發(fā)送者在發(fā)送數(shù)據(jù)前先進(jìn)行網(wǎng)絡(luò)的可用性檢測(cè)。802.3協(xié)議沖突的檢測(cè)采用CSMA/CD方式，而在802.11無線局域網(wǎng)協(xié)議中，采用了新的協(xié)議CSMA/CA(CarrierSenseMultipleAccesswithCollisionAvoidance)一個(gè)的無線MAC層問題是“hiddennode”問題。為了解決這個(gè)問題，802.11在MAC層上引入了一個(gè)新的RTS/CTS選項(xiàng)，間接解決了“hiddennode”問題。由于RTS/CTS需要占用網(wǎng)絡(luò)資源而增加了額外的網(wǎng)絡(luò)負(fù)擔(dān)802.11MAC子層提供了另兩個(gè)強(qiáng)壯的功能，CRC校驗(yàn)和包分片。CRC校驗(yàn)是指在802.11協(xié)議中，每一個(gè)在無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)報(bào)都被附加上了校驗(yàn)位，這和Ethernet中通過上層TCP/IP協(xié)議來對(duì)數(shù)據(jù)進(jìn)行校驗(yàn)有所不同包分片的功能允許大的數(shù)據(jù)報(bào)在傳送的時(shí)候被分成較小的部分分批傳送。這項(xiàng)技術(shù)大大減少了許多情況下數(shù)據(jù)報(bào)被重傳的概率，從而提高了無線網(wǎng)絡(luò)的整體性能。802.11MAC層802.11標(biāo)準(zhǔn)CSMA/CA（帶有沖突避免的載波偵聽多路訪問）無線局域網(wǎng)的隨機(jī)競(jìng)爭(zhēng)類MAC協(xié)議過程如下：送出數(shù)據(jù)前，監(jiān)聽媒體狀態(tài)，等沒有人使用媒體，再等待一段隨機(jī)的時(shí)間后依然沒有人使用，才送出數(shù)據(jù)。由于每個(gè)設(shè)備采用的隨機(jī)時(shí)間不同，所以可以減少?zèng)_突的機(jī)會(huì)。送出數(shù)據(jù)前，先送一段小小的請(qǐng)求傳送報(bào)文(RTS:RequesttoSend)給目標(biāo)端，等待目標(biāo)端回應(yīng)CTS:CleartoSend報(bào)文后，才開始傳送。利用RTS-CTS握手(handshake)程序，確保接下來傳送資料時(shí)，不會(huì)被碰撞。同時(shí)由于RTS-CTS封包都很小，讓傳送的無效開銷變小。為了系統(tǒng)更加穩(wěn)固，802.11還提供了帶確認(rèn)幀ACK的CSMA/CA。在一旦遭受其他噪聲干擾，或者由于偵聽失敗時(shí)，信號(hào)沖突就有可能發(fā)生，而這種工作于MAC層的ACK此時(shí)能夠提供快速的恢復(fù)能力。CSMA/CA802.11標(biāo)準(zhǔn)終端訪問BSS要經(jīng)過四個(gè)過程：加入掃描認(rèn)證關(guān)聯(lián)

主動(dòng)掃描

被動(dòng)掃描

加入某一特定BSS

開放式共享式終端與AP之間根據(jù)信號(hào)的強(qiáng)弱協(xié)商速率AP為終端分配網(wǎng)絡(luò)資源目錄WLAN基本概念

802.11協(xié)議簡(jiǎn)介無線解決方案無線網(wǎng)絡(luò)安全射頻技術(shù)簡(jiǎn)介無線解決方案胖AP解決方案企業(yè)骨干二層交換機(jī)安全、QoS、VPN、802.11MAC、無線管理、射頻等功能安全、QoS、VPN、802.11MAC、無線管理、射頻等功能Fat/SmartAccessPoint:單一CPU結(jié)構(gòu)實(shí)現(xiàn)所有無線局域網(wǎng)的功能無線解決方案AP和AC一起工作

集中的配置和管理瘦AP解決方案企業(yè)骨干802.11MAC(portion)802.11PHY&RadioWLAN控制器(AC)Radio802.11PHY802.11MACIPMobileIP,IPSec802.11i802.11e,802.1f802.11h以太交換機(jī)(網(wǎng)絡(luò)邊緣)AccessPoint無線解決方案產(chǎn)品類型胖AP方案瘦AP方案技術(shù)模式傳統(tǒng)主流未來方向，增強(qiáng)管理功能功能FatAP將WLAN的物理層、用戶數(shù)據(jù)加密、用戶認(rèn)證、QoS、網(wǎng)絡(luò)管理、漫游技術(shù)以及其他應(yīng)用層的功能集于一身。AP僅僅是AC的無線延伸，把其它功能由AC完成安全性傳統(tǒng)加密、認(rèn)證方式，普通安全性、AP為零配置，先進(jìn)的加密認(rèn)證，高安全性組網(wǎng)模式AP可獨(dú)立組網(wǎng)，或與AC組網(wǎng)AP不能單獨(dú)組網(wǎng)，必須下掛于無線交換機(jī)下應(yīng)用組網(wǎng)規(guī)模中小規(guī)模拓?fù)錈o關(guān)，較大規(guī)模建網(wǎng)成本前期投入較低管理維護(hù)成本較低胖瘦AP對(duì)比目錄WLAN基本概念

802.11協(xié)議簡(jiǎn)介無線解決方案無線網(wǎng)絡(luò)安全射頻技術(shù)簡(jiǎn)介無線網(wǎng)絡(luò)安全WEPWPA802.11i/WPA-2Portal認(rèn)證802.1x認(rèn)證無線網(wǎng)絡(luò)安全WEP是WiredEquivalentPrivacy的簡(jiǎn)稱，有線等效保密協(xié)議WEP是最初的802.11標(biāo)準(zhǔn)的一部分，是最早的，最常用的，也是最脆弱的安全保證基于對(duì)稱密鑰的RC4的RSA算法支持的密鑰長(zhǎng)度有：40位、104位、128位有線等效保密協(xié)議(WEP)無線網(wǎng)絡(luò)安全WEP的加密過程1、計(jì)算校驗(yàn)和(CheckSumming)(1)對(duì)輸入數(shù)據(jù)進(jìn)行完整性校驗(yàn)和計(jì)算。

(2)把輸入數(shù)據(jù)和計(jì)算得到的校驗(yàn)和組合起來得到新的加密數(shù)據(jù)，也稱之為明文，明文作為下一步加密過程的輸入2、加密。

在這個(gè)過程中，將第一步得到的數(shù)據(jù)明文采用算法加密。對(duì)明文的加密有兩層含義：明文數(shù)據(jù)的加密，保護(hù)未經(jīng)認(rèn)證的數(shù)據(jù)

(1)將24位的初始化向量和40位的密鑰連接進(jìn)行校驗(yàn)和計(jì)算，得到64位的數(shù)據(jù)。

(2)將這個(gè)64位的數(shù)據(jù)輸入到虛擬隨機(jī)數(shù)產(chǎn)生器中，它對(duì)初始化向量和密鑰的校驗(yàn)和計(jì)算值進(jìn)行加密計(jì)算。

(3)經(jīng)過校驗(yàn)和計(jì)算的明文與虛擬隨機(jī)數(shù)產(chǎn)生器的輸出密鑰流進(jìn)行按位異或運(yùn)算得到加密后的信息，即密文3、傳輸。將初始化向量和密文串接起來，得到要傳輸?shù)募用軘?shù)據(jù)幀，在無線鏈路上傳輸。無線網(wǎng)絡(luò)安全在WEP和802.11i的之間的過度協(xié)議WPA個(gè)人版(WPA-PSK)802.1x–基于端口的接入控制（企業(yè)版）采用了一套叫TKIP(TemporalKeyIntegrityProtocol)的加密協(xié)議。TKIP仍然使用RC4算法，使用了較長(zhǎng)的IV，密鑰，和動(dòng)態(tài)變化的密鑰機(jī)制，加入了對(duì)重傳攻擊的防范，并對(duì)校驗(yàn)機(jī)制等做了重大改進(jìn)。Wi-FiProtectedAccess(WPA)無線網(wǎng)絡(luò)安全802.11i/WPA-2無線網(wǎng)絡(luò)安全用戶訪問網(wǎng)站，經(jīng)過AC重定向到PortalServer，PortalServer推送認(rèn)證頁(yè)面；用戶填入用戶名、密碼，提交頁(yè)面，向PortalServer發(fā)起連接請(qǐng)求；Portal向Radius發(fā)出用戶信息查詢請(qǐng)求，由Radius向Portal返回系統(tǒng)配置的單次連接最大時(shí)長(zhǎng)、剩余時(shí)長(zhǎng)信息等如果查詢失敗，Portal直接返回提示信息給用戶，指導(dǎo)用戶開戶及正確使用；如果查詢成功，PortalServer向AC發(fā)起認(rèn)證請(qǐng)求；而后AC進(jìn)行RADIUS認(rèn)證，獲得RADIUS認(rèn)證結(jié)果；AC向PortalServer送認(rèn)證結(jié)果；PortalServer根據(jù)編碼規(guī)則判斷帳戶的歸屬地，推送歸屬地定制的個(gè)性化頁(yè)面，推送給客戶,同時(shí)啟動(dòng)計(jì)時(shí)提醒；PortalServer回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報(bào)文。Portal認(rèn)證簡(jiǎn)要認(rèn)證過程無線網(wǎng)絡(luò)安全Portal認(rèn)證無線網(wǎng)絡(luò)安全

1.最初的802.1x通訊開始以一個(gè)非認(rèn)證客戶端設(shè)備嘗試去連接一個(gè)認(rèn)證端(如AP)，客戶端發(fā)送一個(gè)EAP起始消息。然后開始客戶端認(rèn)證的一連串消息交換。

2.AP回復(fù)EAP-請(qǐng)求身份消息。

3.客戶端發(fā)送給認(rèn)證服務(wù)器的EAP的響應(yīng)信息包里包含了身份信息。AP通過激活一個(gè)只允許從客戶端到AP有線端的認(rèn)證服務(wù)器的EAP包的端口,并關(guān)閉了其它所有的傳輸，像HTTP、DHCP和POP3包，直到AP通過認(rèn)證服務(wù)器來驗(yàn)證用戶端的身份。（例如：RADIUS）

4.認(rèn)證服務(wù)器使用特定的認(rèn)證算法去驗(yàn)證客戶端身份。同樣它也可以通過使用數(shù)字認(rèn)證或其他類型一些EAP認(rèn)證。

5.認(rèn)證服務(wù)器會(huì)發(fā)送同意或拒絕信息給這個(gè)AP。

6.AP發(fā)送一個(gè)EAP成功信息包（或拒絕信息包）給客戶端。

7.如果認(rèn)證服務(wù)器認(rèn)可這客戶端，那么AP將轉(zhuǎn)換這客戶端的端口到授權(quán)狀態(tài)并轉(zhuǎn)發(fā)其它的通信。802.1X認(rèn)證簡(jiǎn)要過程41無線網(wǎng)絡(luò)安全802.1x認(rèn)證目錄WLAN基本概念

802.11協(xié)議簡(jiǎn)介無線解決方案無線網(wǎng)絡(luò)安全射頻技術(shù)簡(jiǎn)介射頻技術(shù)簡(jiǎn)介基本概念

dBm

dBm是一個(gè)考征功率絕對(duì)值的值，計(jì)算公式為：10lg（功率值/1mw）。

[例1]如果發(fā)射功率P為1mw，折算為dBm后為0dBm。

[例2]對(duì)于40W的功率，