wlan技术基础.ppt

网络基础,封面标题 字体：宋体 加粗 颜色：黑色 字号：28-36pt 格式：右端对齐,封面副标题 字体：宋体 颜色：黑色 字号：20-28pt 格式：右端对齐,了解wlan基本概念 掌握wlan的基础知识 了解wlan的基本工作原理 了解wlan产品形态及其基本应用,课程目标,学习完本课程，您应该能够：,wlan概述 wlan入门知识 wlan网络模式 wlan工作原理 wlan设备形态及应用 wlan常见问题,目录,什么是wlan,wlan（无线局域网）是利用无线通信技术在一定的局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物，它以无线多址信道作为传输媒介，提供传统有线局域网lan的功能，能够使用户真正实现随时、随地、随意的宽带网络接入。 无线局域网常用的实现技术有：ieee的802.11系列协议族、家用射频工作组提出的homerf、bluetooth(蓝牙)以及欧洲的hiperlan2协议等。以ieee 802.11协议为基础的无线局域网在标准之争中脱颖而出，成为目前事实上的占主导地位的无线局域网标准。,我们常说的“wlan”指的就是符合802.11系列协议的无线局域网技术,无线通信技术概述,gsm,gprs,edge,td-scdma,wcdma,cdma 2000,cdma 1x,is-95,hsdpa,lte,aie,802.11b,802.11a/g,802.11n,802.16d,802.16e,802.15,rfid,bluetooth,pan,lan,man,wan,uwb,10kbps,100kbps,1mbps,10mbps,100mbps,1gbps,2g,2.5g,3g,b3g,ofdm,mimo,智能天线,ieee,3gpp/2,802.20,802.11,td-lte,hsdpa,evdo-reva,数据无线网络分类,wlan主要技术标准概述,当与11b混合使用时，吞吐量减少约30%,waln其它重要协议,802.11e 在现有的无线网络中加入服务品质（qos）特性和多媒体支持。 802.11f 在现有的无线网络中实现不同ap之间漫游的标准。 802.11i 指定 802.11 网络安全机制的 ieee 标准。802.11i 使用高级加密标准 (aes) 分组密码。 该标准还增强了密钥管理、基于 802.1x 的用户身份验证和头数据完整性。 802.3af 定义了以太网供电(poe)的实现标准。虽然不是属于无线标准，但在无线中，也是被常常提到的。 wapi 由我国多家公司主导定制的网络安全协议。采用了更先进的ecc算法，在加密算法和系统架构上都比802.11i更先进。,物理层关键技术,mac层关键技术,mimo 信道绑定 更多子载波 更短gi 更高调制速率,帧聚合 block ack 缩小帧间间隔 增强的节能模式,802.11n新一代的wlan接入技术,wlan概述 wlan入门知识 wlan网络模式 wlan工作原理 wlan设备形态及应用 wlan常见问题,目录,基本概念：802.11所使用的频段,ism (industrial scientific medical) 频段,802.11b、802.11g、802.11n,802.11a、802.11n,2.4g频段的信道划分,每个信道宽度为22mhz 相邻信道的中心频点间隔5mhz 相邻的多个信道存在频率重叠(如1信道与2、3、4、5信道有频率重叠) 整个频段内只有3个（1、6、11）互不干扰信道,不同国家或地区2.4g频段信道分配表,5g频段的信道划分,802.11a 5g频段信道分配表,右表为美国unii（ unlicensed national information infrastructure ）频段信道分配表，包含24个互不干扰的信道。 在5ghz频段以5m为步进划分信道，信道编号n=(信道中心频率ghz5ghz)*1000/5。 在中国802.11a工作在5.7255.850ghz频段的5个信道，操作信道号分别为：149、153、157、161、165,蜂窝式无线覆盖,任意相邻区域使用无交叉干扰的信道，如11b的1,6，11信道 适当调整ap发射功率，避免跨区域的同频干扰,速率与距离的关系,距离越远速率越低 不同使用环境（信号干扰、衰耗）下最大覆盖范围也不一样 覆盖范围还与天线类型及发射功率有密切关系,无线传输的干扰因素多径传播,障碍物反射信号，使接收端收到多个不同延迟的信号拷贝。 如果收到的多个信号相位破坏性叠加，则相对噪声来说信号强度下降（信噪比减小），导致接收端检测困难。,直接信号,反射信号,反射信号,无线传输的干扰因素衰耗,电磁波的穿透性与频率有关，频率越低穿透性越强 频率越高，衰减越严重，发射机需要更大的功率，传输范围更短,不同材质对无线电波的影响,无线传输的干扰因素电磁干扰,2.4、5.8ghz为ism频段，不需授权即可使用。 同一区域内ap之间的互相干扰，干扰方式分为同信道干扰和邻信道干扰。 其他干扰源 微波炉 医疗设备 双向寻呼系统 脉冲雷达系统 其它无线通讯系统 干扰的存在会使系统的整体性能有非常明显的下降，在有些时候甚至会失去工作的能力。,wlan概述 wlan入门知识 wlan网络模式 wlan工作原理 wlan设备形态及应用 wlan常见问题,目录,wlan网络模式,独立型网络模式（independent bss） 基础结构型网络模式 基础结构型bss (infrastructure bss) 扩展服务集合ess(extended service set),独立型网络模式（ independent bss ）,无需ap支持，站点间可相互通信,基础结构型bss (infrastructure bss),站点间不能直接通信，必须依赖ap进行数据传输。 ap提供到有线网络的连接，并为站点提供数据中继功能。,以太网,bss,扩展服务集合ess,一组通过分布式系统（ds）互连的具有相同ssid的bss。,wlan概述 wlan入门知识 wlan网络模式 wlan工作原理 wlan设备形态及应用 wlan常见问题,目录,802.11网络的基本元素 ssid和bssid,ap1,ap2,bssid1ssid,ssid“marketing”,ssid“marketing”,ess,bssid1ssid,ssid是一个ess的网络标识 bssid是一个bss的标识,802.11 mac访问机制 dcf方式,ifs,ifs,推迟发送直到媒体空闲ifs时间长度,busy,frame,contention window,back-off定时启动,medium busy,send frame,time,dcf (distributed coordination function)方式基于csma/ca原理,csma/ca (collision avoidance),无线通信中存在的隐藏站点问题,由于无线电波传输范围有限，导致一台 sta 有可能无法侦听到同信道其他 sta 发出的信号，从而误以为信道空闲，引起冲突,？,802.11发送报文的rts / cts机制,通过 rts / cts 的交互，使得 sta 得知隐藏站点传输数据所需的时间，从而避免冲突,xxx 时间内信道忙,基于rts / cts机制的典型报文发送过程,sta1,ap,sta2,rts请求发送,cts同意发送,sta1-sta2的数据,ack发送确认,rts请求发送,cts同意发送,sta1-sta2的数据,ack发送确认,数据帧 用户的数据报文 控制帧 协助发送数据帧的控制报文，例如： rts、cts，ack报文 管理帧 负责sta和ap之间的能力级的交互，认证、关联等管理工作,802.11 报文分类,802.11 管理功能 用户接入过程,sta,ap,802.11 mac 使用scanning来搜索ap sta搜索并连接一个ap 当sta漫游时寻找连接一个新的ap sta会在在每个可用的信道上进行搜索 passive scanning 通过侦听ap定期发送的beacon帧来发现网络 active scanning 在每个信道上发送probe request报文，从ap回复的probe response中获取ap的基本信息,802.11 管理功能 - scanning,802.11 管理功能 - authentication,sta,ap,authentication request,authentication response (success),sta,ap,authentication request,plain text challenge,cipher text challenge,authentication response (success),预置key,用key 加密明文,密文解密 和明文比较,预置key,open-system authentication过程,sharedkey authentication过程,association sta通过association和一个ap建立关联，后续的数据报文的收发只能和建立association关系的ap进行 reassociation sta在从一个老的ap移动到新ap时通过reassociation和新ap建立关联 reassociation前必须经历authentication过程 deassociation sta通过deassociation和ap解除关联关系,ap,association request (ssid),association response (association id),sta,new ap,数据,old ap,reassociation请求 (old ap address),deassociation,reassociation应答,802.11 管理功能 - association,802.11认证开放系统认证,开放系统身份认证(open-systern authentication) 开放系统是802.11 要求必备的方式。在开放系统身份认证中，ap并未验证移动式工作站的真实身份。无线终端以mac地址为其身份证明。和ethernet 网络一样，网络上的mac 地址必须独一无二。开放系统下用户不需要认证只要mac地址唯一即可接入网络。,sta,ap,authentication request,authentication response (success),mac 地址认证 过滤是相当常见的做法，几乎所有产品均有支持。ap上维护了一份经过授权的mac 地址清单，不在名单上的工作站。网管人员可以键入一组经过授权的工作站地址，只要是表上有名的工作站就可以跟网络连接。,802.11认证 mac地址认证,802.11认证共享密钥认证,共享密钥认证(shared-key authentication） 共享密钥身份认证(shared-key authentication）必须使用wep，因此只能用于实现了wep的产品上，虽然目前已经很难找到不支持wep 的产品。正如其名，共享密钥身份认证要求在进行身份认证之前，必须传递共享密钥给无线终端。共享密钥身份认证的理论基础是，如能成功回应传给它的挑战信息，就证明工作站拥有共享密钥。双方交换密钥成功后，终端认证通过。,sta,ap,authentication request,plain text challenge,cipher text challenge,authentication response (success),预置key,用key 加密明文,密文解密 和明文比较,预置key,psk（ pre-shared key）认证方式 该方式要求在sta侧预先配置key，ap通过4次握手key协商协议来验证sta侧key的合法性。 对没有什么重要数据的小型网络而言，可以使用wpapsk 的预设共享密钥模式。主要把预设共享密钥方式的wpa-psk 应用于小型、风险低的网络以及不需太多保护的网络用户。 对大企业而言，安全性要求较高，更多的使用802.1x。,802.11认证 psk认证,802.1x标准简介: 802.1x是基于端口的网络接入控制协议, 它提供了一个认证过程框架，支持多种认证协议在802.1x中，不同的认证协议统一使用eap封装格式。也就是说：802.1x只是对认证进行控制，是接入认证的手段，具体认证还需要其它认证协议。 基于端口的网络接入控制： 是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源相当于物理连接被断开。,802.11认证 802.1x认证,简述802.1x-eap (extensible authentication protocol)方式,md5 challenge gtc (generic token card) cisco leap (lightweight eap) eap-tls (transport layer security) peap (protected eap) ttls (tunneled tls) - pap (password authentication protocol) - chap (challenge handshake authentication protocol) - ms-chap-v1/v2 eap-sim/aka ms-chap-v2,802.11加密-wep加密,sta,ap,加密报文iv值,iv,静态key,key生成器,key流,xor,用户数据明文,发送的加密报文,iv,静态key,key生成器,key流,xor,用户数据明文,接收的加密报文,从加密到安全,wep够了吗？,整个网络公用一个共享密钥，一旦丢失，整个网络都很危险 iv向量太短， 大量监听用户数据报文后，wep加密很容易被破解 rc4加密算法本身过于简单,解决办法？,增加一种密钥管理机制 采用更强壮的加密算法,增加了 key的生成、管理以及传递的机制 每用户使用独立的key 通过安全的传递方法传递用户数据加密使用的key 增加了两类对称加密算法，加密强度大大增强 tkip：tkip核心仍然是rc4算法，改进了wep的某些缺陷，加强安全性 ccmp：核心为aes算法,802.11i加密,802.11技术在qos方面存在的缺陷,最初的802.11技术是为满足用户的数据传输而设计的，根本没有考虑多业务承载 802.11采用的dcf调度模式是基于csma/ca原理，最终的效果是，所有用户发送的报文平等地竞争无线资源 由于没有区分业务优先级的机制，造成ap和终端在对外发送报文时对报文按同等优先级对待。当发生流量拥塞时，需要优先处理的报文（例如语音报文）和普通的报文（例如浏览网页的报文）会按相同的概率被丢弃 和有线网络相对完善的qos机制无法很好的衔接,802.11e 协议qos保证,802.11e针对dcf模式进行了改进，支持edca的媒体访问机制 支持8个业务优先级的报文标记(类似于有线网络中的802.1p) 业务优先级可被映射到4个输出队列 高优先级的报文优先获取无线空口的访问能力,802.11e 协议edca调度模式,优先级队列1,优先级队列2,优先级队列3,优先级队列4,busy,time,aifs4,cw4,aifs3,cw3,frame,aifs2,cw2,frame,aifs1,cw1,frame,ap和用户等待向无线空口发送的数据的调度机制：,漫游概念,802.11 只提到漫游（roaming）这个字眼。但对实现过程没有作具体的规定，一般而言，多数人都认为漫游就是终端从一个ap转换到另一个ap即无线终端从一个bss服务集移动接入到另外一个服务集的过程。如下图：,便携机从ap1（bss1）的位置向ap2(bss2)移动，在业务不间断的情况下，接入到ap2。,sta,ap,ap,移动,ess,wlan漫游的分类,二层漫游 在同一个子网内的ap间漫游 三层漫游 在不同子网内的ap间漫游,vlan1 ip:1.0.0.1,vlan1,ap,ap,vlan1,l2网络,sta,移动,二层漫游,vlan1 ip:1.0.0.1,vlan1,ap,ap,vlan2,l3网络,sta,移动,三层漫游,快速漫游技术key caching,key caching过程： sta第一次接入时（接入old ap）采用正常的802.1x认证过程 认证通过后sta把使用的pmk信息保存在cache中 sta向new ap发起reassociation时协商使用pmk cache方式做认证 sta利用在cache中保存的在old ap中使用的pmk和new ap发起4次握手协商过程 协商成功，sta开始传送数据报文,sta,ap,pmk cache,xxxxxxx,new ap,old ap,sta1,pmk cache,xxxxxxx,sta1,pmk cache,xxxxxxx,sta在切换ap以后不必在进行烦琐的802.1x认证和key交换，加快了切换速度,wlan概述 wlan入门知识 wlan网络模式 wlan工作原理 wlan设备形态及应用 wlan常见问题,目录,wlan设备胖 ap,胖 ap将wlan的物理层，用户数据加密、认证、漫游、网络管理等功能集于一身。,胖 ap应用,家庭或soho网络组网模式：,adsl modem,企业网络组网模式：,internet,企业有线网络,胖ap应用无线网桥,无线网桥是能够利用无线技术进行网络互连的ap,点到点方式,点到多点方式,胖ap组网的局限性(第一代),利用胖ap组建大、中型无线网络时，配置工作量大。 对网络中的胖ap进行软件升级时，需要手工逐台进行升级，维护工作量大。 胖ap上保存着设备配置信息，当设备失窃时造成配置信息泄漏。 胖ap难于实现自动无线盲区修补、流氓ap检测等功能。,胖ap适用于小型无线网络部署，不适用于大规模网络部署。,fat,wlan产品架构演进,ac （access controller）无线控制器,capwap功能 ap管理 射频监控 射频配置 sta数据 ac/ap通信,“胖”ap,“瘦”ap,802.11物理层功能,为什么需要瘦ap,大型无线网络的挑战 管理、监测及控制大量ap所产生的挑战 对大量ap的配置及升级 无线局域网的空口传输不稳定，易受干扰，因而需要对多个ap之间的无线干扰、信道转换、功率调整等进行集中控制，从而避免干扰，防止入侵，稳定整体性能 无线局域网的安全要求 规模化的组网运营下必须采用瘦ap的架构 集中化完成配置更改、监控和管理，增强对用户和业务的控制 在各种组网模式下完成对ap的统一管理，去除了胖ap到bas缺省路由的限制。网络组网设计可以更为灵活。 整体降低了网络故障