1、WLAN网络基础知识,无线产品拓展部,日期:2007-11-1,密级:内部公开,杭州华三通信技术有限公司,概述 802.11 基础知识 802.11 安全技术 802.11 QoS技术 802.11 快速漫游技术,目录,凡是自由空间均可连接网络,不受限于线缆和端口位置,办公大楼,候机大厅,渡假山庄,商务酒店,无线让网络使用更自由,终端与交换设备之间省去布线,有效降低布线成本; 适于特殊地理环境下的网络架设,如隧道、港口码头、高速公路;,终端与设备之间不方便通过线缆连接,地理环境不适合布设有线网络,无线让网络建设更经济,通信更便利,无线让工作更高效,不受限于时间和地点的接入网络,满足各行各业对于
2、网络应用的需求;,体育场馆新闻中心,展馆与证券大厅,制造车间,物流运输,WLAN技术的发展进程,IEEE 802.11无线局域网工作组,PHY,802.11(1/2 Mbps),802.11b(5.5/11 Mbps),802.11g(54 Mbps),802.11a(54 Mbps),MAC,802.11/11a/11b/11g MAC,802.11f-漫游和切换,802.11e-QoS,802.11i 安全增强,802.11n(300 Mbps),802.11s-mesh,802.11r快速切换,无线局域网关注点,802.11,无管理,MAC认证、WEP加密,无漫游,低速无线接入,802.
3、11a/b,简单配置管理,WPA认证 TKIP加密,L2漫游,无线数据接入,802.11g,集中管理、射频环境管理,WPA认证 802.11i加密,L2、L3漫游,语音、数据、视频无线接入,802.11n,更强大的全网管理,动态认证 安全接入,任意位置接入,综合业务的无线承载,作为有线的简单补充,实现无线基本接入功能,1998年,2000年,2004年,未来,2M,54/11M,54M,600M,主要的接入层技术之一,扩展丰富增值业务功能,:带宽、管理、安全、漫游、增值,规模应用,其他WLAN相关组织和标准,Wi-Fi联盟 成立于1999年的Wi-Fi联盟是一个非牟利国际协会,旨在认证基于IE
4、EE 802.11规格的无线局域网产品的互操作性和推动wireless新标准的制定 目前已知的相关标准 WPA:802.11i的子集,支持802.1x认证以及TKIP加密算法 WPA2: 802.11i WMM:802.11e的子集,支持EDCA方式 CAPWAP IETF目前有关于无线交换机和FIT AP间控制和管理标准化的工作组 比较重要的标准 Architecture Taxonomy for CAPWAP (RFC 4118) LWAPP (最新的草案更名为CAPWAP specification),WLAN产品对人体的电磁辐射是安全的,很多的研究已经证明,WLAN产品可以在家庭及商业
5、中使用,对人体来说是安全。典型的WLAN产品输出功率为100mw(AP),对于网卡来说,通常只有10mw至50mw。相比较来说,手机的发射功率在通话时可以超过1W,而无线对讲机甚至可以达到5 W!政府有相关的法令对发射功率进行严格的限制。,Direct Signal,Reflected Signals,PC Card,Access Point (AP),无线传输的干扰因素-多径干扰,功率在穿过障碍物后衰减,墙,门,等等,电磁波的穿透性能是和频率相关的。 当发射功率不足够大时,在建筑物后形成无线覆盖盲区。,无线传输的干扰因素-障碍物,无线传输的干扰因素电磁干扰,2.4GHz为ISM频段,不需授权
6、即可使用。 同一区域内AP之间的互相干扰,干扰方式分为同信道干扰和邻信道干扰。 其他干扰源-微波炉-医疗设备-双向寻呼系统-脉冲雷达系统-其它无线通讯系统 干扰的存在会使系统的整体性能有非常明显的下降,在有些时候甚至会失去工作的能力。,有效带宽吞吐率,802.11b标准描述的速率为11 Mbps,实际可获得的速率为一半 (4-6 Mbps max) 802.11g标准描述的速率为54 Mbps,实际可获得的速率为一半 (10-30 Mbps max)AP接入的用户数基本可以均分其有效带宽其他用于协议封装或冲突避免开销 不稳定是无线通讯的本性 无线环境不停的变化 物理建筑的构成 共享介质 用户数
7、 数据量,WLAN覆盖范围,802.11g的理论覆盖与802.11b的相同,比802.11a覆盖距离增加50 802.11b的覆盖距离及与速率间的关系见表中描述,真实的802.11b/g覆盖范围,所有的802.11b产品提供商在文档上都说,在缺省配置下,室外覆盖距离可达300米,室内可达100米。 而在实际中,覆盖距离更依赖于实际环境。 一般来说,速率为1/2Mbps时,覆盖距离可到40-90米。速率为11Mbps时,覆盖距离只有10-30米。 影响覆盖范围的因素-建筑结构-电磁设备,概述 802.11 基础知识 802.11 安全技术 802.11 QoS技术 802.11 快速漫游技术,目
8、录,802.11网络的基本元素 - BSS,能互相进行无线通信的STA可以组成一个BSS(Basic Service Set) BSS是802.11网络的基本结构,1208E,BSS1,1208E,BSS2,STA1,STA2,STA3,STA5,STA6,STA4,802.11网络的基本元素 ESS,ESS (Extended Service Set)是采用相同的SSID的多个BSS形成的更大规模的虚拟BSS,DS,ESS,BSS2,AP2,Service set identify(SSID1),BSS1,AP1,Service set identify(SSID1),1208E,1208E
9、,802.11网络的基本元素 SSID和BSSID,AP1,AP2,BSSID1SSID,SSID“marketing”,SSID“marketing”,ESS,BSSID1SSID,SSID是一个ESS的网络标识 BSSID是一个BSS的标识,1208E,1208E,802.11 组网模式 Ad hoc,802.11组网模式 单一 BSS,以太网,1208E,以太网,802.11组网模式 多个BSS,1208E,1208E,802.11 MAC访问机制 DCF方式,IFS,IFS,推迟发送直到媒体空闲IFS时间长度,Busy,Frame,Contention window,back-off定
10、时启动,Medium busy,Send frame,Time,DCF方式基于CSMA/CA原理,不同类型的报文可以通过采用不同IFS时长来区分访问媒体的优先级 SIFS :用于优先级最高的时间敏感的控制报文 (例如 CTS,RTS, ACK) PIFS:用于AP发送报文 DIFS:用于一般的STA发送报文 最终的效果是控制报文比数据报文优先获得媒体发送权,AP比STA优先获得媒体发送权,SIFS,Busy,Frame,Time,PIFS,DIFS,Contention window,802.11 MAC访问机制 DCF方式(续),无线通信中存在的隐藏站点问题,由于无线电波传输范围有限,导致一
11、台 STA 有可能无法侦听到同信道其他 STA 发出的信号,从而误以为信道空闲,引起冲突,?,802.11发送报文的RTS / CTS机制,通过 RTS / CTS 的交互,使得 STA 得知隐藏站点传输数据所需的时间,从而避免冲突,xxx 时间内信道忙,基于RTS / CTS机制的典型报文发送过程,STA1,AP,STA2,RTS请求发送,CTS同意发送,STA1-STA2的数据,ACK发送确认,RTS请求发送,CTS同意发送,STA1-STA2的数据,ACK发送确认,1208E,数据帧 用户的数据报文 控制帧 协助发送数据帧的控制报文,例如: RTS、CTS,ACK报文 管理帧 负责STA
12、和AP之间的能力级的交互,认证、关联等管理工作,802.11 报文分类,802.11 管理功能 用户接入过程,STA,AP,1208E,802.11 MAC 使用Scanning来搜索AP STA搜索并连接一个AP 当STA漫游时寻找连接一个新的AP STA会在在每个可用的信道上进行搜索 Passive Scanning 通过侦听AP定期发送的Beacon帧来发现网络 Active Scanning 在每个信道上发送Probe request报文,从AP回复的Probe Response中获取AP的基本信息,802.11 管理功能 - Scanning,802.11 管理功能 - Authen
13、tication,STA,AP,Authentication request,Authentication Response(success),STA,AP,Authentication request,Plain text challenge,Cipher text challenge,Authentication Response(success),预置Key,用Key 加密明文,密文解密 和明文比较,预置Key,1208E,1208E,Open-system Authentication过程,SharedKey Authentication过程,Association STA通过Asso
14、ciation和一个AP建立关联,后续的数据报文的收发只能和建立Association关系的AP进行 Reassociation STA在从一个老的AP移动到新AP时通过Reassociation和新AP建立关联 Reassociation前必须经历Authentication过程 Deassociation STA通过Deassociation和AP解除关联关系,AP,Association request(SSID),Association Response(Association ID),STA,New AP,数据,Old AP,Reassociation请求 (old AP addre
15、ss),Deassociation,Reassociation应答,802.11 管理功能 - Association,概述 802.11 基础知识 802.11 安全技术 802.11 QoS技术 802.11 快速漫游技术,目录,802.11认证开放系统认证,开放系统身份认证(open-systern authentication)开放系统是802.11 要求必备的方式。在开放系统身份认证中,AP并未验证移动式工作站的真实身份。无线终端以MAC地址为其身份证明。和Ethernet 网络一样,网络上的MAC 地址必须独一无二。开放系统下用户不需要认证只要MAC地址唯一即可接入网络。,STA,
16、AP,Authentication request,Authentication Response(success),MAC地址认证MAC 地址过滤是相当常见的做法,几乎所有产品均有支持。AP上维护了一份经过授权的MAC 地址清单,不在名单上的工作站。网管人员可以键入一组经过授权的工作站地址,只要是表上有名的工作站就可以跟网络连接。,802.11认证 MAC地址认证,802.11认证共享密钥认证,共享密钥认证(shared-key authentication)共享密钥身份认证(shared-key authentication)必须使用WEP,因此只能用于实现了WEP的产品上,虽然目前已经很
17、难找到不支持WEP 的产品。正如其名,共享密钥身份认证要求在进行身份认证之前,必须传递共享密钥给无线终端。共享密钥身份认证的理论基础是,如能成功回应传给它的挑战信息,就证明工作站拥有共享密钥。双方交换密钥成功后,终端认证通过。,STA,AP,Authentication request,Plain text challenge,Cipher text challenge,Authentication Response(success),预置Key,用Key 加密明文,密文解密 和明文比较,预置Key,PSK( Pre-shared key)认证方式该方式要求在STA侧预先配置Key,AP通过4
18、次握手Key协商协议来验证STA侧Key的合法性。 对没有什么重要数据的小型网络而言,可以使用WPAPSK 的预设共享密钥模式。主要把预设共享密钥方式的WPA-PSK 应用于小型、风险低的网络以及不需太多保护的网络用户。 对大企业而言,安全性要求较高,更多的使用802.1X。,802.11认证 PSK认证,802.1x标准简介:802.1x是基于端口的网络接入控制协议, 它提供了一个认证过程框架,支持多种认证协议在802.1x中,不同的认证协议统一使用EAP封装格式。也就是说:802.1x只是对认证进行控制,是接入认证的手段,具体认证还需要其它认证协议。 基于端口的网络接入控制:是指在局域网接
19、入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源相当于物理连接被断开。EAP的类型包括:EAP-MD5:最早的EAP认证类型。它是基于用户名,密码 方式的认证。认证过程与CHAP认证过程基本相同。 EAP-TLS:是一种基于证书的认证方式,它是对用户端和认证服务器端进行双向证书认证的认证方式PEAP :是一种基于证书的认证方式,服务器侧采用证书认证,客户端侧采用用户名密码认证,802.11认证 802.1X认证,802.11加密-WEP加密,STA,AP,加密报文IV值,IV,静态Ke
20、y,Key生成器,Key流,XOR,用户数据明文,发送的加密报文,IV,静态Key,Key生成器,Key流,XOR,用户数据明文,接收的加密报文,1208E,从加密到安全,WEP够了吗?,整个网络公用一个共享密钥,一旦丢失,整个网络都很危险 IV向量太短, 大量监听用户数据报文后,WEP加密很容易被破解 RC4加密算法本身过于简单,解决办法?,增加一种密钥管理机制 采用更强壮的加密算法,增加了 Key的生成、管理以及传递的机制 每用户使用独立的Key 通过安全的传递方法传递用户数据加密使用的Key 增加了两类对称加密算法,加密强度大大增强 TKIP:TKIP核心仍然是RC4算法,改进了WEP的
21、某些缺陷,加强安全性 CCMP:核心为AES算法,802.11i加密,概述 802.11 基础知识 802.11 安全技术 802.11 QoS技术 802.11 快速漫游技术,目录,802.11技术在QOS方面存在的缺陷,最初的802.11技术是为满足用户的数据传输而设计的,根本没有考虑多业务承载 802.11采用的DCF调度模式是基于CSMA/CA原理,最终的效果是,所有用户发送的报文平等地竞争无线资源 由于没有区分业务优先级的机制,造成AP和终端在对外发送报文时对报文按同等优先级对待。当发生流量拥塞时,需要优先处理的报文(例如语音报文)和普通的报文(例如浏览网页的报文)会按相同的概率被丢
22、弃 和有线网络相对完善的QOS机制无法很好的衔接,802.11e 协议QOS保证,802.11e针对DCF模式进行了改进,支持EDCA的媒体访问机制 支持8个业务优先级的报文标记(类似于有线网络中的802.1P) 业务优先级可被映射到4个输出队列 高优先级的报文优先获取无线空口的访问能力,802.11e 协议EDCA调度模式,优先级队列1,优先级队列2,优先级队列3,优先级队列4,Busy,Time,AIFS4,CW4,AIFS3,CW3,Frame,AIFS2,CW2,Frame,AIFS1,CW1,Frame,AP和用户等待向无线空口发送的数据的调度机制:,概述 802.11 基础知识 8
23、02.11 安全技术 802.11 QoS技术 802.11 快速漫游技术,目录,漫游概念,802.11 只提到漫游(roaming)这个字眼。但对实现过程没有作具体的规定,一般而言,多数人都认为漫游就是终端从一个AP转换到另一个AP即无线终端从一个BSS服务集移动接入到另外一个服务集的过程。如下图:,便携机从AP1(BSS1)的位置向AP2(BSS2)移动,在业务不间断的情况下,接入到AP2。,STA,AP,AP,1208E,1208E,移动,ESS,Wireless漫游的分类,二层漫游 在同一个子网内的AP间漫游 三层漫游 在不同子网内的AP间漫游,VLAN1 IP:1.0.0.1,VLA
24、N1,AP,1208E,1208E,AP,VLAN1,L2网络,STA,移动,二层漫游,VLAN1 IP:1.0.0.1,VLAN1,AP,1208E,1208E,AP,VLAN2,L3网络,STA,移动,三层漫游,快速漫游技术Key caching,Key caching过程: STA第一次接入时(接入Old AP)采用正常的802.1x认证过程 认证通过后STA把使用的PMK信息保存在Cache中 STA向New AP发起Reassociation时协商使用PMK Cache方式做认证 STA利用在Cache中保存的在Old AP中使用的PMK和New AP发起4次握手协商过程 协商成功,STA开始传送数据报文,STA,AP,PMK Cache,XXXXXXX,New AP,Old AP,STA1,PMK Cache,XXXXXXX,STA1,PMK Cache,XXXXXXX,1208E,1208E,STA在切换AP以后不必在进行烦琐的802.1x认证和Key交换,加快了切换速度,
