《WLAN理论基础》PPT课件.ppt

Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE802.11其他协议 其它,WLAN与其它通信标准之间的关系,从协议中，WLAN的定位为：最后百米覆盖使用； 随着技术的发展，带宽能力在逐渐的提高，11n的标准提供100M带宽能力；,WLAN基础概念及工作原理,无线局域网(WLAN)就是一种无线数据网络，它是以无线方式构建的局域网，或者说，不用线缆设备相连的局域网络。WLAN利用电磁波在空气中发送和接收数据，而无需线缆介质。的数据传输速率现在已经能够达到54Mbps，传输距离可远至公里以上。它是对有线联网方式的一种补充和扩展，使网上的计算机具有可移动性，能快速方便地解决使用有线方式不易实现的网络互联问题。 无线局域网常用的实现技术有：家用射频工作组提出的HomeRF、Bluetooth(蓝牙)以及美国的802.11协议和欧洲的HiperLAN2协议等。以IEEE 802.11协议为基础的无线局域网在标准之争中脱颖而出，成为目前企业网领域占主导地位的无线局域网标准。,WLAN基础概念解释,ESS：描述一种无线服务 SSID：是BSS的描述 SSIDService Set ID 无线网络系统的业务标识符； 一般情况，SSID不作为一种加密方式。由AP周期的向外广播。无线用户端可以搜索到空中有哪些无线网络； 有些AP可以禁止SSID的广播，此时SSID具备一定的安全性； STA：客户端 AP：Access Point Wireless Switch：无线交换机 Wireless Controller：无线控制器,WLAN协议族,802.11的协议主要定义了二层（PHY层与MAC层），同时协议越来越完善，针对企业 用户的应用已经能满足相关的业务需求,802.11系列标准(一),802.11系列标准（二）,802.11e：该协议将QoS功能加入到802.11网络上，它用TDMA方式取代类似Ethernet的MAC层，为重要的数据增加额外的纠错功能 802.11f：IAPP(Inter-Access Point Protocol)，接入点内部协议，该协议是为了改善802.11中的切换机制而制定的，以使用户能够在两个不同的交换分区(无线信道)之间，或在加到2个不同的网络上的接入点之间漫游的同时保持连接功能 802.11h：是对802.11a的补充，增加了动态频率选择（DFS）和发射功率控制（TPC），降低对采用同样频段的雷达或其它宽频通信系统的干扰，使之符合5Ghz频段无线局域网的欧洲规范。,802.11系列标准（三）,802.11i：加强了安全性。它采用了802.1x的认证协议、改进的密钥分布架构以及AES(Advanced Encryption Standard)加密。802.11i已在2004年6月24的IEEE标准会议上正式获得批准 802.11j：实际上是日本的802.11a标准，由于802.11a所定义的5GHz频段在日本无法使用，802.11j定义了新的4.95GHz的工作频段。 802.11n：下一个无线新标准，对PHY层和MAC层进行了优化，同时支持2.4GHz和5GHz频段，并采用了MIMO技术，使吞吐量大大增加，该标准定义的WLAN的传输速率至少将达到100Mbps（MAC层速度），使通过WLAN的多媒体和家庭娱乐应用成为可能，势必成为802.11b、802.11a、802.11g之后WLAN领域的另一场重头戏。802.11n标准的第一个草案（Draft）在2006年1月发布，预计在2006年底或2007年初标准将正式通过。,Wireless其他相关组织和协议,Wi-Fi联盟 成立于1999年的Wi-Fi联盟是一个非牟利国际协会，旨在认证基于IEEE 802.11规格的无线局域网产品的互操作性和推动wireless新标准的制定 目前已知的相关标准 WPA：802.11i的子集，支持802.1x认证以及TKIP加密算法 WPA2： 802.11i WMM：802.1e的子集，支持EDCA方式 WAPI 中国无线网络产品国标中安全机制的标准，包括无线局域网鉴别（WAI）和保密基础结构（WPI）两部分。核心技术由西安捷通公司掌握。由于其加密算法未公开，只能购买指定公司的加密芯片，因此遭到国外大多数公司的抵制 。,Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE802.11其他协议 其它,无线传输的干扰因素-障碍物,电磁波的穿透性能是和频率相关的。 当发射功率不足够大时，在建筑物后形成无线覆盖盲区。,无线传输的干扰因素-多径干扰,无线传输的干扰因素电磁干扰,2.4GHz为ISM频段，不需授权即可使用。 同一区域内AP之间的互相干扰，干扰方式分为同信道干扰和邻信道干扰。 其他干扰源 微波炉 医疗设备 双向寻呼系统 脉冲雷达系统 其它无线通讯系统 干扰的存在会使系统的整体性能有非常明显的下降，在有些时候甚至会失去工作的能力。,有效带宽吞吐率,标准定义了空口带宽，按标准协议去实现的话，理论带宽（1500字节）核算，利用为：50%左右(11b: 11M vs 5.5M；11g：54M vs 24.7M)； 从调制原理的角度出发，AP接入用户数基本均分其有效带宽； 其他用于协议封装或冲突避免开销 无线环境不停的变化 物理建筑的构成 共享介质 用户数 数据量,WLAN覆盖范围,802.11g的理论覆盖与802.11b的相同，比802.11a覆盖距离要大 802.11b的覆盖距离及与速率间的关系见表中描述,随机退避,当 STA 需要发送帧时，如果信道空闲，则等待 DIFS在发送数据；如果信道正被其他 STA 占用，则应在信道空闲后等待 DIFS再进行随机退避后进行发送 随机退避时间以 SlotTime 为单位，用一个减计数器保存，初始值为随机整数，称为竞争窗口（Contention Window, CW） 在退避窗口期间，计数器每过 SlotTime 减一 计数器减到零之前，如果信道上有信号发送，则退避窗口结束，计数器暂停，到下次退避窗口时再继续计数 若计数器计到零，且信道上没有侦听到信号，则 STA 在下一个 SlotTime 时将帧发送，同时保持对信道的控制权直到帧序列传输完成或出现异常（未收到对方响应） 发送完成后，应生成新的竞争窗口继续执行随机退避的操作,Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE802.11其他协议 其它,WLAN的接入模式,Ad hoc (peer to peer) 无需AP，不能接入到有线网络中。 Infrastructure 覆盖区域为基本服务区（BSS）； 通讯均通过AP； AP可以连接到有线网络。,WLAN基础概念解释,SSID SSIDService Set ID 无线网络系统的业务标识符。 一般情况，SSID不作为一种加密方式。由AP周期的向外广播。无线用户端可以搜索到空中有哪些无线网络。 有些AP可以禁止SSID的广播，此时ESSID具备一定的安全性。 WPA Wi-Fi Protected Access 加密比特位数为128bits。 数据报完整性检测采用MIC(Message Intigrity Check) 加密密钥为动态。每一个用户，每一个会话，每一个数据包使用不同的密钥 TKIP(Temporal Key Integrity Protocol)用于密钥的分发及管理。密钥数可达500,000,000,000。(WEP为224) 采用802.1x用户认证方式。支持EAP-TLS, EAP-TTLS, PEAP,WLAN基础概念解释,WPA2 WPA2支持128bits,192bits,256bits 采用AES(Advanced Encryption Standard) 兼容WPA1.0 支持TKIP, PSK 用来加密所有的802.11设备。(包括802.11b, 802.11a, 802.11g等等) EAP EAP的类型：EAP-MD5、EAP-SIM、EAP-TLS、EAP-TTLS (Funk)、PEAP (MicroSoft, Cisco,REA security)、LEAP (Cisco) EAP-MD5是最早的EAP认证类型。它是基于用户名，密码方式的认证。认证过程与CHAP认证过程基本相同。EAP-MD5代表了802.1x设备中对EAP最基本的支持。基于MAC地址的认证方式及基于SIM的认证方式都与EAP-MD5雷同。 EAP-TLS是一种基于证书的认证方式，它是对用户端和认证服务器端进行双向认证的认证方式。它依赖于驻留在用户端和认证服务器端的证书来实现认证。并且动态产生每个用户及每个会话都不相同的密钥，用于AP与无线用户端的加密。,802.11 MAC层工作原理用户接入管理过程,建立802.11数据链路，后续执行上层功能，诸如：MAC认证、802.1X认证、ARP、IP,二种发现机制：Beacon、Probe,802.11 MAC层工作原理 -Encryption 加密,采用基于RC4对称流加密算法的WEP加密 STA和AP需要预先配置相同的静态Key，Key的长度为40 bit或104bit 每次对数据加密的Key静态Key24bit的IV值（IV值为动态生成） 所有的STA共用相同的静态Key造成： 当用户的STA丢失或者用户离职时需要对所有用户STA重新配置新的静态Key。 静态Key泄漏被发现前，网络存在安全隐患 24bit的IV值太短造成： Attacker可以在分析侦听到的1M-4M用户报文后破解加密Key,WEP加密过程,802.11 MAC层工作原理漫游和同步,Wireless漫游的概念 STA可以在属于同一个ESS的AP接入点接入，可以使用同一信道或不同信道； STA可以在Wireless网络中任意移动，同时保证已有的业务不中断，用户的标识（IP地址）不改变。 Wireless漫游的分类 二层漫游 在同一个子网内的AP间漫游 由于不涉及子网的变化，因此只需保证用户在AP间切换时访问网络的权限不变即可。为了保证快速的切换，通常都会利用STA在原有AP上使用的资源（例如Key等） 三层漫游 在不同子网内的AP间漫游 除了要实现二层漫游中提到的内容以外，通常会采用一些特殊手段来保证用户业务的不中断。目前较流行的做法有：Mobile IP、 VLAN二层透传、GRE二层隧道、IP in IP三层隧道等,Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE802.11其他协议 IEEE802.11i IEEE802.11e IEEE802.11f 其它,从加密到安全,WEP够了吗？ 整个网络公用一个共享密钥，一旦丢失，整个网络都很危险。 IV向量太短，且用明文传送，容易被监听 RC4加密算法本身过于简单。 How to do？ 增加一种密钥管理机制 更高级的加密算法,802.11 i协议安全认证和加密,引入RSNA (robust security network association)概念 增强了STA和AP的认证机制 支持802.1x认证，并采用双向认证方式有效的防止非法AP的使用 支持Pre-shared key认证方式，该方式要求在STA侧预先配置Key，AP通过4次握手Key协商协议来验证STA侧Key的合法性 增加了 Key的生成、管理以及传递的机制 每用户使用独立的Key 通过非对称密钥算法生成和传递用户数据加密使用的Key 增加了两类对称加密算法，加密强度大大增强 TKIP：核心仍然是RC4算法 CCMP：核心为AES算法,802.11 i协议用户通过802.1x认证接入过程TLS认证举例,802.11 i协议Pre-authentication技术,优点：STA在切换AP以后不必在进行烦琐的802.1x认证和Key交换，加快了切换速度 缺点：STA和周围接收范围内的所有AP都作认证消耗系统资源较大、需要STA软件支持,Pre-authentication过程： STA发现New AP STA通过Old AP以及有线网络和New AP进行802.1x认证和Key交换 STA向New AP方向移动，由于New AP的信号强而决定切换AP STA发起Open-system Authentication和Reassociation STA利用之前802.1x认证获取的Key发起4次握手协商过程 协商成功STA开始传送数据报文,802.11 i协议Key caching技术,优点：STA在切换AP以后不必在进行烦琐的802.1x认证和Key交换，加快了切换速度 缺点：需要STA软件支持,Key caching过程： STA第一次接入时（接入Old AP）采用正常的802.1x认证过程 认证通过后STA把使用的PMK信息保存在Cache中 STA向New AP发起Reassociation时协商使用PMK Cache方式做认证 STA利用在Cache中保存的在Old AP中使用的PMK和New AP发起4次握手协商过程 协商成功，STA开始传送数据报文 Key的保存： STA保存在cache中，以便于在AP切换时使用 New AP可以通过在STA Reassociation时从Old AP获取PMK信息或者每个AP向邻居AP定期发送连接的STA的 Key cache,Wi-Fi Protected Access,WPA 802.1X + EAP + TKIP User authentication 802.1X + Extensible Authentication Protocol (EAP) for enterprise authentication Pre-Shared Key for SOHO authentication Encryption Temporal Key Integrity Protocol (TKIP) 802.1X for dynamic key distribution Message Integrity Check (MIC) a.k.a. “Michael” Algorithm,WPA认证,Step 1: Push PMK to AP 802.1x认证的过程 802.1x认证结束后，Radio为AP安装一个PMK Step 2: 4-Way Handshake Step 3: Group Key Handshake,Step 1 ：Authentication Overview,Step 2: 4-Way Handshake,Step3: Group Key Handshake,STA,Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE802.11其他协议 IEEE802.11i IEEE802.11e IEEE802.11f 其它,802.11e 协议QOS保证,802.11e引入HCF（Hybrid Coordination Function）概念 针对DCF模式的改进：EDCA（Enhanced Distributed Channel Access） 支持8个业务优先级报文标记(IEEE 802.1d)，可被映射到4个输出队列 高优先级的报文通过设置较短的IFS和Contention window来优先获取无线空口的访问能力 针对PCF模式的改进：HCCA（HCF Controlled Channel Access） STA通过和AP协商data rate, delay, packet size等参数来形成针对该STA的调度机制,802.11e 协议QOS保证（续）,IFS之间的关系,Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE802.11其他协议 IEEE802.11i IEEE802.11e IEEE802.11f 其它,802.11f 简介,802.11f 规定了如何实现 STA 在 ESS 内的漫游 802.11 仅说明了 ESS 是由多个同一子网的 BSS 组成的，以及 STA 可以在同一 ESS 的不同 BSS 漫游这些概念，对具体的实施方法却没有任何描述，802.11f 给出了一个支持漫游的 ESS 的实施框架，指导各厂商实现其 WLAN 产品的漫游功能 它主要包括了一套基于 TCP/UDP 的 AP 间应用层通信协议，实现了 STA 管理信息在 AP 间的共享 802.11f 的功能 STA 接入，STA 通过关联帧关联到 BSS 后，其 AP 通过多播的 ADD 帧告知 ESS 内其他 AP STA 移动，STA 通过重关联帧关联到新的 BSS 后，新 AP 通过 MOVE 帧交互告知原 AP STA 已离开，同时获得 STA 的相关信息，并令 ESS 内其他 AP 周知 预先 CATCH，AP 关联到新的 STA 后，会将这一 STA 的信息发送给与之相邻的 AP，实现快速漫游,802.11f AP 启动与 STA 接入,AP 启动后，应打开应用于 IAPP 协议的 TCP 与 UDP 端口，IANA 规定的端口号是 3517 根据设置的 ESS 安全等级，AP 可能需要与 RADIUS 服务器进行认证，以便获得加入 ESS 的资格，并获取密钥，用于与 RADIUS 服务器或其他 AP 通信 STA 接入方法与原 802.11 相同，通过 STA 发出 Association Request 帧启动,802.11f STA 漫游,STA 通过发送 Reassociation Req. 帧启动漫游操作 AP 收到 Reassociation Req. 后需要与 STA 的原 AP 通信，根据 ESS 安全等级，可能需要事先与 RADIUS 服务器通信获得与该 AP 通信的密钥 新 AP 发出 IAPP-Move Req. 到原 AP 请求并验证 STA 的信息，如果原 AP 回应的 Response 为成功，则新 AP 向 STA 报告重关联成功 原 AP 发回成功的 IAPP-Move Resp. 后，应进行该 STA 的解除关联操作，但并不一定要发出解除关联帧,802.11f 更新,在发生 STA 的接入或漫游后，AP 通过 IAPP 向 IAPP 多播地址 224.0.1.178 发出相应的 Notify 消息，以便使 ESS 内的三层设备包括其他 AP 了解该 STA 的位置实现有效的转发，同时也使保存有该 STA 无效信息的 AP（如STA 未向原 AP 解除关联就向新 AP 发出关联请求的情况）释放无效信息 除了上述动作，AP 还以该 STA 的 MAC 地址作为源地址发送一个二层空帧，以便使局部的二层设备学习到新的转发方向,Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE802.11其他协议 IEEE802.11i IEEE802.11e IEEE802.11f 其它,W系列产品协议栈,协议栈一定程度上反映了W系列产品支持的特性以及他们之间的工作层次关系 W系列产品单独开发了二层转发模块用来处理以太和无线之间的通信，并且在这个模块里支持了VLAN的处理 W系列产品基本上属于二层设备，对于三层以上的协议支持较弱，是一个典型的纯接入型设备,WLAN关键技术瘦接入点和无线交换机,无线交换机,802.11 a/b/g,天线,加密,移动 IP, IPSec, 认证,802.1x, TKIP, Qos, 切换, 802.11h,AP点监测,用户放火墙,网络自愈,RF 管理,无线欺骗防护,802.11a/b/g,移动 IP, IPSec, 认证,802.1x, TKIP, Qos, 切换, 802.11h,天线,加密,更易管理的 无线解决方案,“胖”AP,“瘦”AP,低成本AP,Internet,普通交换机,Internet,WLAN典型组网模式,