802.11網路的四種主要的物理組件:

  • • <工作站(Station):

    通常包括配備無線網路接口的設備

  • • 接入點(Access Point):

    具備無線至有線的橋接功能的設備稱之為接入點。通常分為自主型AP(Fat AP)和精簡型AP(Thin AP)

  • • 無線媒介(Wireless Medium):

    規定了傳輸封包所使用的物理層介質。

  • • 分佈式系統(Distribution System):

    分佈式系統屬於邏輯上的組件,負責轉發封包到目的地。

網路的類型

802.11網路最基本的組件我們稱之為基本服務集(Basic Service Set,BSS),由多個互相通信的工作站所組成。 BSS分為兩種基本的模式:

  • • 獨立型網路(Ad hoc mode)

  • • 基礎結構型網路(Infrastructure mode),如圖所示。 

  • • 獨立型網路:IBSS

    上圖所示中,左邊為Independent BSS,IBSS,有時我們也稱之為BSS(Ad-hoc BSS)。

    在這種情況中,無線網路是直接由工作站所組成的一種臨時性的網路,它們之間的距離必須在可以直接通訊的範圍內。

  • • 基礎結構型網路:BSS

    上圖所示中,右邊為基礎結構型基本服務集,Infrastructure BSS。

    在這種網路中,AP負責基礎結構型網路的所有通信,包括同一個服務區域內所有移動節點間的通訊。

    雖然這種方式比IBSS直接傳送消耗較多的資源,但是卻有兩個主要的優點:

    1. 1. 基礎結構型基本服務集被界定在接入點的傳輸範圍內,與IBSS相比雖然消耗了一些頻寬,但是卻降低了physical layer的複雜程度,因為IBSS中的每個工作站都要維護和其他工作站的adjacency關係。

    2. 2. AP在Infrastructure BSS架構裡的作用是協助工作站節省電力。AP可以協助不發送封包的工作站暫時性的關閉無線收發器並cache以保證電力的最小消耗。那麼,如果要使用基礎結構型的網路時,工作站必須要與接入點進行關聯(Associate),每個工作站在同一時間內只能與一個AP進行關聯。

  • •  擴展服務區域:ESS

    BSS可以為辦公室或者家庭提供小範圍的服務,無法服務更大的區域。在802.11網路中允許將幾個BSS串聯為擴展服務集(Extended Service Set,ESS),所有位於同一個ESS的接入點將使用相同的服務組標識符(Service Set Identifier,SSID)

    隸屬於同一個ESS的工作站可以互相通信,即使這些工作站處於不同的BSS或是在這些BSS內移動在ESS中,AP作為bridge的角色,提供Link-layer的連接。

    802.11為ESS提供了Link-layer Mobility的功能。

WLAN Architecture網路架構

可以由AP獨立形成或者由AP加上Lan switch建構大規模的網路,該無線網路方案中的AP接入節點俗稱Fat AP。

Wireless功能實現:

  • 由AP來完成所有的802.11定義的服務和功能

  • AP支援本地和remote配置,並在本地保存系統組態

適合應用場所

  • 家庭

  • 中小型網路

主要缺陷

  • 當建構大型無線網路時對於大量AP設定得工作量巨大

  • AP設備的丟失可造成系統組態的洩露,存在安全上的疑慮

  • 對於Rogue AP檢測等需要AP間協同工作的支持能力差

  • 對於layer 3 漫遊或不支援或通過其他輔助設備配合支援

  • AP成本高

Centralized WLAN Architecture網路架構

由AP+Wireless switch組成。
該無線網路方案中的AP接入節點俗稱Thin AP和Fit AP,Wireless switch被稱為Access Controller(AC)。

Wireless功能實現:

  • 由AP所完成的802.11 MAC功能的不同又分為Local MAC、Split MAC模式

  • 由WLC通過控制協議來控制AP的行為,使用者不能直接配置AP

  • AP的配置資訊保存在Wireless Access Controllerr上

  • AP會自動到WLC去Download Config file

  • 管理較方便

適合應用場所 :

  • 中大型企業網

Centralized WLAN Architecture - Feature比較

Feature

Local MAC

Split MAC

AP和AC的連接

直連或透過L2/L3網路

直連或透過L2/L3網路

AP配置

通過AC

通過AC

RF配置

通過AC

通過AC

802.1x認證

AC作為authenticator

AC作為authenticator

802.11到802.3轉換

AP

AC

802.11加密和解密

AP

AC(Aruba在AP)

QOS queue調度

AP

AP

RTS/CTS/ACK處理

AP

AP

對Wireless switch的負荷

Local Bridging低

802.3 Frame Tunnel高

更高

802.11 a,b,g,n 介紹

802.11x 比較表

規格

802.11a

802.11b

802.11g

802.11n

Ratified

1999

1999

2003

2006

工作頻率

5GHz

2.4GHz

2.4GHz

2.4 or 5GHz

最快速率

54Mbps

11Mbps

54Mbps

540Mbps

傳輸距離

50 meter

100 meter

100 meter

100 meter

調變技術

OFDM

DSSS

OFDM

OFDM

頻道頻寬

20MHz

20MHz

20MHz

20MHz or 40MHz

優點

頻道不受干擾

技術成熟

價格便宜

傳輸速度快

可向下相容

傳輸速度大幅提升

且同樣向下相容

IEEE 802.11a

  • 工作頻段為5Ghz,使用5GHz頻段,5.15-5.25GHz,5.25-5.35GHz,5.725-5.825GHz,即FCC U-NII(免許可證的國家資訊頻段)頻段。

  • 一共有200個通道,同時可用的是13個,歐洲市場使用的是5.15—5.35Ghz,同時可用8個通道;我國使用的開放頻段是5.725-5.85Ghz,同時可用5個通道,最高54Mbps傳輸速率,可用12個通道,支援8種速率自我調整:6、9、12、18、24、36、48、54Mbps。必須支持的傳輸速率是6、12、24Mbps三種。

  • 實體層(PHY)使用OFDM調製(正交頻分複用:Orthogonal Frequency Division Multiplexing OFDM)技術,頻譜利用率高、抗多徑衰落性能好。它利用許多並行的、傳輸低速率資料的子載波來實現一個高速率的通信。

IEEE 802.11b

  • IEEE 802.11b是WLAN的一個標準。

  • 其載波的頻率為2.4GHz,傳送速度為11Mbit/s。

  • IEEE 802.11b是所有WLAN標準中最著名,也是普及最廣的標準。

  • 它有時也被錯誤地標為Wi-Fi。實際上Wi-Fi是WLAN聯盟(WLANA)的一個商標,該商標僅保障使用該商標的商品互相之間可以合作,與標準本身實際上沒有關係。

  • 在2.4-GHz-ISM頻段共有14個頻寬為22MHz的頻道可供使用。

  • IEEE 802.11b的後繼標準是IEEE 802.11g,其傳送速度為54Mbit/s。

IEEE 802.11g

  • IEEE 802.11g2003年7月,通過了第三種調變標準。

  • 其載波的頻率為2.4GHz(跟802.11b相同),原始傳送速度為54Mbit/s,淨傳輸速度約為24.7Mbit/s(跟802.11a相同)。

  • 802.11g的設備與802.11b兼容。

  • 802.11g是為了提高更高的傳輸速率而制定的標準,它採用2.4GHz頻段,使用CCK技術與802.11b(Wi-Fi)後向兼容,同時它又通過採用OFDM技術支持高達54Mbit/s的數據流,所提供的帶寬是802.11a的1.5倍。

  • 從802.11b到802.11g,可發現WLAN標準不斷發展的軌跡:

    802.11b是所有WLAN標準演進的基石,未來許多的系統大都需要與802.11b向後向兼容,802.11a是一個非全球性的標準,與802.11b後向不兼容,但採用OFDM技術,支持的數據流高達 54Mbit/s,提供幾倍於 802.11b/g的高速信道,如802.11b/g提供3個非重疊信道可達8-12個;可以看出在802.11g和802.11a之間存在與Wi-Fi兼容性上的差距,為此出現了一種橋接此差距的雙頻技術——雙模(dual band)802.11a+g(=b),它較好地融合了802.11a/g技術,工作在2.4GHz和5GHz兩個頻段,服從802.11b/g/a等標準,與802.11b後向兼容,使用戶簡單連接到現有或未來的802.11的無線網路。

IEEE 802.11n

  • IEEE 802.11n,2004年1月IEEE宣布組成一個新的單位來發展新的802.11標準。

  • 資料傳輸速度估計將達540Mbit/s(需要在物理層產生更高速度的傳輸率),此項新標準應該要比802.11b快上50倍,而比802.11g快上10倍左右。802.11n也將會比目前的無線網路傳送到更遠的距離。

  • 目前在802.11n有兩個提議在互相競爭中:

    WWiSE (World-Wide Spectrum Efficiency) 以Broadcom為首的一些廠商支持。

    TGn Sync 由Intel與Philips所支持。

  • 802.11n增加了對於MIMO (multiple-input multiple-output)的標準. MIMO 使用多個發射和接收天線來允許更高的資料傳輸率。MIMO並使用了Alamouti coding coding schemes 來增加傳輸範圍。

WLAN Site Survey

在準備部署無線網絡前,對有無線網絡覆蓋需求的區域進行現場實地勘察測試是非常必要的一個環節。

現場勘測人員使用安裝了專業Survey工具的 筆記本或者PDA,搭配與將要部署的類型相同的AP,在關鍵區域和可能存在部署問題區域,對現場環境進行實地勘察並記錄整個實際移動中所經過的各採樣點的 實時的射頻相關的參 數信息如RSSI(接收信號強度指標)、SNR(信噪比)等

依據現場勘測所收集的數據信息,結合現場環境的實際情況最終決定AP較合理的部署位置。

在 WLC上配置 DHCP 及 DNS

完成以下步驟:

    1. 1. 點擊功能表頁面上方的CONTROLLER

    2. 2. 點擊菜單左面的Internal DHCP Server。

    3. 3. 點擊New,創建一個DHCP POOL。

    4. 4. 鍵入你需要分配給用戶端的DHCP位址POOL。

 

    1. 5. 點擊Apply。

    2. 6. 出現DHCP Scope > Edit視窗。

    3. 7. 鍵入位址集區的起始及終止位址。在本例中,DHCP位址集區是從10.10.10.3到10.10.10.10。

    4. 8. 鍵入預設閘道器的地址,是10.10.10.1。

    5. 9. 鍵入DNS功能變數名稱和DNS伺服器的地址。確認Status是啟動的。

                   10. 點擊 Apply。

重啟 WLC

由於不能在系統工作的時候完成一個或者更多的WLAN上的改變,你需要重啟WLC。修改需要在啟動前或者啟動中完成。完成以下步驟來重啟WLC:

  1. 1. 在控制器的主介面上,選擇功能表最上方的Commands

  2. 2. 在新的視窗下,選擇左邊功能表上的Reboot。如果在你的配置中有未保存的部分,你需要保存配置,然後重啟。

  3. 3. 點擊Save and Reboot,保存設定然後重新啟動設備。

  4. 4. 通過console連接監控設備的重啟過程。

在 WLC上配置 DHCP 及 DNS

完成以下步驟:

    1. 1. 點擊功能表頁面上方的CONTROLLER

    2. 2. 點擊菜單左面的Internal DHCP Server。

    3. 3. 點擊New,創建一個DHCP POOL。

    4. 4. 鍵入你需要分配給用戶端的DHCP位址POOL。

                     5. 點擊Apply。

    1. 6. 出現DHCP Scope > Edit視窗。

    2. 7. 鍵入位址集區的起始及終止位址。在本例中,DHCP位址集區是從10.10.10.3到10.10.10.10。

    3. 8. 鍵入預設閘道器的地址,是10.10.10.1。

    4. 9. 鍵入DNS功能變數名稱和DNS伺服器的地址。確認Status是啟動的。

  1.         10. 點擊 Apply。

重啟 WLC

由於不能在系統工作的時候完成一個或者更多的WLAN上的改變,你需要重啟WLC。修改需要在啟動前或者啟動中完成。完成以下步驟來重啟WLC:

  1. 1. 在控制器的主介面上,選擇功能表最上方的Commands

  2. 2. 在新的視窗下,選擇左邊功能表上的Reboot。如果在你的配置中有未保存的部分,你需要保存配置,然後重啟。

  3. 3. 點擊Save and Reboot,保存設定然後重新啟動設備。

  4. 通過console連接監控設備的重啟過程。

Web 方式認證

Web方式認證是一個三層的安全特性,在無線用戶端輸入正確的用戶名口令之前,控制器不接受該使用者的IP資料(除了DHCP相關的資料包)。
Web認證可以通過WLC本地認證,也可以通過RADIUS伺服器。通常在部署訪客網路時,使用Web方式認證。典型的部署模式包括”hotspot”區域。

Web方式認證提供了不需要802.1x認證請求方或者用戶端工具的簡單的認證方式。並且Web方式認證不提供資料加密。Web認證通常被用在”hotspot”或者僅考慮連線性的園區環境。

這個範例中創建了一個新的VLAN介面和一個新的用作Web認證的WLAN。這個VLAN介面被分配到這個WLAN上,因此接入這個WLAN的用戶是在一個獨立的子網。在那些你不希望用separate subnet的場合,你可以把WLAN associate到Management的interface。本文中控制器的Web認證配置包含了新建一個VLAN介面的過程。

在控制器上配置 Web方式認證

  • Create a VLAN Interface(創建VLAN Interface)

  • Add a WLAN Instance(加入WLAN Instance)

  • Set Up DHCP and DNS Servers on the WLC

  • 在WLC 設定DHCP Server 和DNS Server

  • Configure Authentication Type (Three Ways to Authenticate Users in Web Authentication)

範例使用以下IP位址:
WLC的IP位址是10.77.244.204。
CS伺服器的地址是10.77.244.196。

1. 在WLC的主頁上,選擇最上方的Controller功能表,選擇左邊的Interfaces欄。

2. 點擊窗口右上方的New

視窗出現了。本例中介面名字是vlan90,VLAN號是90

3. 點擊Apply,創建該VLAN interface。一個新的視窗出現,需要你填入相關資訊。

4. 採用以下參數:

IP Address:10.10.10.2

Netmask:255.255.255.0 (24 bits)

Gateway:10.10.10.1

Port Number:2

 Primary DHCP Server:10.77.244.204

注意:這個參數應該填寫DHCP伺服器位址。在本例中WLC的管理地址被用來當作DHCP伺服器的地址,因為在WLC啟用的DHCP功能。
Secondary DHCP Server:0 .0.0.0 

注意:本文不使用dier1DHCP伺服器,所以使用0.0.0.0。如果你有第二台DHCP伺服器,需要在這裡填寫位址。
ACL Name:None

5. 點擊 Apply,保存配置。

添加WLAN實例

現在一個VLAN介面已經配置好,你需要提供一個WLAN/SSID來支援Web認證的用戶。
通過以下方式,創建一個新的 WLAN/SSID:

打開WLC頁面,點擊最上方WLAN菜單,點擊右上方的New

將類型選為WLAN。為這個WLAN SSID選擇一個名字。本例中Profile和WLAN都是Guest

1. 點擊Apply

2. 出現一個新的WLAN > Edit視窗

3. 勾選WLAN的狀態列,啟動該WLAN。在介面欄,選擇先前創建的VLAN介面。

在本例中,介面的名字是vlan90

注意:其他參數不做修改,都是初始設置。

  • 點擊Security欄位。

    通過以下步驟,完成Web認證配置:

  • a)點擊Layer 2欄,選擇None

    注意:當某個WLAN的二層安全性原則使用802.1x or WPA/WPA2時,你的三層安全策略

    不可以配置成web passthrough。關於控制器上二層和三層安全性原則的相容問題,

    參見Wireless LAN Controller Layer 2 Layer 3 Security Compatibility Matrix一文。

  • b)點擊Layer 3。

    如上圖所示,勾選Web Policy框,選擇Authentication選項

  • c)點擊Apply,完成存檔。

  • d)這個時候你回到了WLAN概要頁面。確認你的Web認證選項在SSID Guest下已經配置。

Troubleshoot

無法實現802.11n的數據傳輸速率,其中最常見的問題是,你不能達到的最大吞吐量的802.11n。
執行以下這些檢查:

  1. 1. 802.11n標準要求WLAN使用的802.11n客戶啟用AES加密上。您可以使用WLANs與 NONE作為layer 2 安全。並且,如果您配置任何layer 2 security,802.11標準還需要求WPA2 AES啟用在802.11N的channel中。 

  2. 2. 確保 AP有足夠的力量。因為低功耗結果會使AP信號強度降低,從而降低了吞吐量。

  3. 3. 確保802.11n的速率被啟用。MCS頻率應該啟用(這是建議讓所有的MCS頻率啟用)。

IEEE 802網路技術

IEEE 802規範的重心放在OSI模型最下面的兩層,因為它們同時覆蓋了Physical以及 Data Link。
MAC是一組用以決定如何訪問媒介與傳送數據的規範,至於傳送和接收的細節則由Physical layer負責。

 802.11基本覆蓋了802.11 MAC以及兩種物理層(Physical Layer):

  • 跳頻擴頻物理層: frequency-hopping spread-spectrum,FHSS

  • 直接序列擴頻物理層:direct-sequence spread-spectrum,DSSS

在802.11b標準中規範了一種物理層:高速直接序列擴頻(HR/DSSS)物理層。
在802.1a標準中規範了了另一種物理層:正交頻分復用(orthogonal frequency division multiplexing,OFDM)物理層。
需要注意的是如果802.11b和802.11g的用戶同時訪問一個接入點,那麼將需要用到額外的協議來保證兼容性,因此會降低802.11g用戶的鏈接速度。

 802.11將Physical進一步的劃分為兩個組件:

  • Physical Layer Procedure,PLCP:負責將MAC映射到傳輸媒介。

  • Physical Medium Dependent,PMD:負責傳送frame。

Wireless網路的漫遊(Roaming)

Wireless漫遊的概念

  • client pc可以在屬於同一個ESS的AP接入點接入。

  • client pc可以在Wireless網路中任意移動,同時保證已有的資料傳輸不中斷,使用者的IP位址不改變。

Wireless漫遊的分類

L2 Roaming

    • 在同一個子網路內的AP間漫遊

    • 不同AP 、Cell之間

    • AP的SSID都要相同

    • 由於不涉及子網的變化,因此只需保證用戶在AP間切換時訪問網路的許可權不變即可

    • 使用IAPP(Inter Access Point Protocol)協定

    • 由AP去控制L2 Roaming

    • 大部分採用此技術

L3 Roaming

  • 在不同子網路內的AP間漫遊

  • 使用Mobile IP 協定

  • 用在電信業者較多

  • Roaming的產生

               1. Re-Association:太多的資料Re-try的狀況下。

  1.      2.AP有問題時

  2.      3. Data Rate降低

  3.      4. Client重新掃描

無線網路安全

802.11標準有下面幾個缺點。

  • 缺少集中的金鑰管理

  • 有線等效加密 (WEP)容易受到攻擊 (衝突,弱密碼, MAC偵聽,容易受到 DoS攻擊)

解決辦法

WEP(Wired Equivalent Privacy)

  • 最早被發展出來的認證方式

  • 沒有雙向認證的機制

  • 最不安全的認證方式

  • 密碼是固定的且明碼傳送

  • Confidentiality: 使用RC4(64、128、256bits)加密

  • Integrity: CRC-32演算法

  • Authentication:

    1. 1. Open system:不認證

    2. 2. Pre-Shared Key: AP與Client都需要事先先建立相同的密碼

  • 嘗試讓無線網路達到和有線網路一樣的保密能力

  • 容易破解 

802.1x –使用於企業級的應用

Authentication:

  • EAP-MD5:最常使用的方式,使用MD5 hash後的密碼

  • EAP-OTP:使用OTP的方式

  • EAP-TLS:數位憑證的方式

  • 集中的金鑰管理於認證,但需要 RADIUS伺服器

 WPA–不需要外部認證伺服器

  • Confidentiality:加密使用RC4,使用TKIP + Dynamic Keying(確保Key的正確性)

  • Integrity: 使用Michael的加密演算法

  • Authentication:

    1. 1. IEEE 802.1x EAP:使用在企業內部,需要有RADIUS Server

    2. 2. Pre-Shared Key:User或SOHO使用

  • 較安全性的方式

  • 若搭配802.1x EAP,User只要輸入ID/PW即可,不需要再設定

WPA2-更高效,更安全的安全方案

  • Confidentiality:加密使用AES,使用TKIP + Dynamic Keying(確保Key的正確性)

  • Integrity: 使用Michael的加密演算法

  • Authentication: 與WPA一樣

  • 業界的標準

  • 可搭配RADIUS,與WPA相同

  • 與WPA不同的地方在於加密的演算法。

802.1x

802.1x不是一個單獨的認證方法,相反它使用EAP作為它認證的框架.這就意味著就有 802.1x能力的交換機和訪問點能夠支援廣泛的認證方式,包括基於證書的認證,智慧卡,權杖卡(token cards),一次性口令等等。

802.1x支援認證、授權、記帳的開放標準 (包括RADIUS和 LDAP),所以它可以在現有的基礎架構中管理遠端和移動的用戶。

同認證協議相互結合,例如 EAP-TLS、 LEAP或者EAP-TTLS, 802.1x提供了基於埠的存取控制以及客戶段與訪問點間的雙向認證。

無線網路的攻擊

  • 違法使用無線網路

  • 竊聽(Eavesdropping)

    –  資訊以電波方式發送

  • 通訊分析(Traffic Analysis)

    –  Sniffer software,例如kismet…etc.

  • 偽裝(Masquerade)

    –  Access Point(AP) ESSID無法被認證

  • 重播(Replay)

    –  可能產生不同步問題或是造成資訊外洩

  • 訊息竄改(Message Modification)

  • 服務阻斷攻擊(Denial of Service, DoS)

    • • Deauthenticate flood attack:攻擊者送出Deauthentication的封包,造成合法使用者的斷線。

    • • Beacon flood attack:攻擊者送出大量偽造的Beacon封包,使得合法的使用者會看到很多看似可以連上的AP,實際卻不能使用的假AP,因而無法連上合法的AP。

    • • Association flood attack:攻擊者送出大量的連線要求封包,造成AP可連線的上線數量達到最大值,使得其他使用者無法連結上AP。

  • 中間人攻擊(Man-in-the-middle Attack, MITM):攻擊者偽裝成AP,使得合法使 用者連結上,幫合法使用者轉遞封包。在這過程中使用的封包有被竊聽、竄改之危機。

  • 通訊攔截(Session-Hijacking)

  1. 1. AD-Hoc

    • Peer-to-Peer的架構

    • 一次只能針對一台Client

    • 雙邊設定同樣的頻率即可

  2. 2. Wireless Client Access

    • 跟任何AP橋接的網橋模式

    • BBS:Basic Service Set

    • 電腦互相傳輸續要透過AP才可互通

  3. 3. Wireless Bridge(AP到AP無線橋接)

    • 支持兩個AP進行無線橋接模式來連通兩個不同的LAN

    • 用在2個LAN中間無法以實體線路接取的環境

    • 適合兩棟建築物之間無線通訊使用

  4. 4. Wireless Mesh Network(多AP bridge)

    • 提供Bridge及Access的接取

    • 建立一個Mesh的無線網路

    • 提供有線及無線的環境

    • 適合多棟建築物之間無線通訊使用

  5. 5. Repeater

    支持兩台AP之間無線信號中繼增強無線距離,適合距離比較遠的無線客戶端作信號放大使用,或用來做無線橋接然後再發射信號給無線網卡接收。