7 无线的基本概念和配置.doc

7 无线的基本概念和配置7.0 本章简介7.0.1 本章简介第 $PAGEVAR 页 1:在前面几章，您学习了如何在有线网络上利用交换机功能实现设备互连。在典型的企业网络中，有线网络的应用非常广泛。计算机系统、电话系统和其它外围设备通过物理线路连接到配线间中的交换机。有线网络设施的管理会很麻烦。不妨设想一下：假设有员工决定将其计算机系统搬到办公室的另一个位置，或者有经理希望将笔记本电脑带到会议室并在那联网，那该怎么办呢？在有线网络中，您需要将网络连接电缆移到该员工的新办公位置，还需要确保会议室中有网络连接。为避免移动物理线路带来的麻烦，越来越多的人开始选择无线网络。本章中，您将学习无线局域网 (WLAN) 如何为企业提供灵活的网络环境。您将学习当前的各种无线标准以及各个标准的特点。您将学习无线基础架构通常需要哪些硬件组件、WLAN 的运行机制以及如何保护 WLAN。最后，您将学习如何配置无线接入点和无线客户端。显示视觉媒体 7.1 无线 LAN7.1.1 为何使用无线网络？第 $PAGEVAR 页 1:无线 LAN 为何如此流行？单击图中的“播放”按钮，观看视频。当今企业网络的发展趋势之一是支持移动办公的员工。无论是雇主还是员工，学生还是教员，政府机关还是他们服务的群体，也无论是体育迷还是购物狂，所有的人都是流动的，其中许多人都是“保持连接”的。也许您随身携带移动电话，当您不在计算机旁边时可以发送短信。人们在路上也可自由连接到网络，这就是移动技术的未来。实现这种移动性的基础架构（有线 LAN、服务提供商网络）有许多，但在企业环境中，最重要的当属 WLAN。生产不再受固定工位或固定时段的限制。现在，人们有望随时随地保持连接，从办公室到机场，甚至在家里都可正常工作。在过去，员工出差时不得不通过手机付费查收邮件，还要趁转机的空档回拨几个电话。现在，员工可以在许多临时场所通过个人数字助理 (PDA) 查看电子邮件、语音邮件和产品状态。在美国，许多人的生活方式和学习方式已经改变。Internet 已与电视、电话服务一起成为许多家庭的标准服务。尽管 Internet 的接入方法已从临时性的调制解调器 (modem) 拨号服务迅速转变为专用的 DSL 或电缆服务。家庭用户正在寻求灵活的无线解决方案，以便在家里也能像在办公室那样工作。2005 年，支持 Wi-Fi 的笔记本电脑的销量首次超过台式机的销量。除了灵活性以外，WLAN 的另一重要优势是能够降低成本。例如，无线设施铺设好后，无论是在大楼内部搬迁工位，还是重新布置实验室，抑或搬到临时场所或项目工地，所需的成本都大大降低。平均而言，员工在某个场地内搬迁的 IT 成本为 375 美元。再譬如，假设某公司要搬迁到没有任何有线设施的新办公楼。这种情况下，使用 WLAN 带来的成本优势会更加显著，因为可以省掉穿过墙壁、天花板和地板布线的大部分成本。尽管难以准确地衡量，但 WLAN 确实可以提高生产效率，为员工创造更自由的工作环境，从而为客户提供更好的服务，为企业创造更多的利润。显示视觉媒体 第 $PAGEVAR 页 2:无线 LAN在前面几章中，您已学习有关交换机的技术和功能的知识。大多数当代企业网络都依靠基于交换机的 LAN 来支持公司的日常运营。但是，员工的流动性在日益增强，他们希望在工位之外的其它位置也能访问公司的 LAN 资源。办公室里的员工希望将其笔记本电脑带到会议室或是带到同事的办公室。在其它位置使用笔记本电脑时，依靠有线连接终究多有不便。本主题中，您将学习有关无线 LAN (WLAN) 的知识以及 WLAN 能为企业带来哪些益处。您还将学习与 WLAN 有关的安全事项。在许多国家，移动通信早已是众望所归。从无线键盘和头戴式耳机到卫星电话和全球定位系统 (GPS)，无不代表着便携与移动的潮流。综合运用各种无线技术，可以让员工移动办公时更方便更惬意。单击图中的“无线 LAN”按钮。您会发现 WLAN 是以太网 LAN 的扩展。LAN 的功能已经移动化。您将学习有关 WLAN 技术的知识以及移动技术（依靠移动技术，人们在行走时、在出租车上或者在机场中均可继续会谈）背后的标准。显示视觉媒体 第 $PAGEVAR 页 3:WLAN 与 LAN 的比较无线 LAN 与以太网 LAN 本是一脉相承。IEEE 采用 802 LAN/MAN 工作组作为计算机网络的体系结构标准。两个主流的 802 工作组分别是 802.3 以太网和 802.11 无线 LAN。但是，两者之间还是有重要的区别。WLAN 使用射频 (RF) 代替物理层和数据链路层的 MAC 子层的电缆。与电缆相比，射频有以下特点： 射频没有边界，不像线缆那样受到表皮的限制。由于没有边界，因此任何能够接收射频信号的人都可以访问通过射频介质传输的数据帧。 射频与外部信号之间并无绝缘保护，而电缆则包在绝缘表皮中。尽管多个射频可在同一地理区域独立发射，但使用相同或相近的射频会导致射频之间相互干扰。 任何基于电波的技术（例如无线广播）都存在天然的局限性，射频信号自然也不例外。例如，当您远离射频信号源时，您可能会听到多个广播台相互干扰形成的杂音，还可能听到信号的静电噪音。最终，您可能什么信号都收不到。有线 LAN 有适当长度的电缆来保证信号的强度。 各个国家针对 RF 频段的使用颁布了不同的法规。WLAN 的使用所应遵循的法规和标准与有线 LAN 不同。WLAN 通过无线接入点 (AP) 代替以太网交换机将客户端连接到网络。WLAN 连接的是通常由电池供电的移动设备，而不是接到电源插座上的 LAN 设备。无线网卡 (NIC) 容易导致移动设备的电池寿命缩短。WLAN 支持主机竞争访问射频介质（频率段）。802.11 规定对介质访问采取冲突避免机制（而不是冲突检测机制）来主动避免介质内出现冲突。WLAN 使用的帧格式与有线以太网 LAN 不同。WLAN 要求帧的第 2 层报头中包含附加信息。由于射频可以覆盖设备的外部，因此 WLAN 会带来更多的隐私问题。显示视觉媒体 第 $PAGEVAR 页 4:无线 LAN 简介802.11 无线 LAN 对 802.3 以太网 LAN 基础架构进行扩展以提供更多的连接方案。但是，要实现无线连接，还需要使用其它组件和协议。在 802.3 以太网 LAN 中，每个客户端都有一根将客户端网卡连接到交换机的电缆。交换机是客户端访问网络的入口点。单击图中的“WLAN 设备”按钮。在无线 LAN 中，每个客户端分别使用一个无线适配器通过无线设备（例如无线路由器或接入点）访问网络。单击图中的“客户端”按钮。客户端的无线适配器使用射频信号与无线路由器或接入点通信。连接到网络后，无线客户端即可像通过有线电缆连接到网络那样访问网络资源。显示视觉媒体 7.1.2 无线 LAN 标准第 $PAGEVAR 页 1:无线 LAN 标准802.11 无线 LAN 是一套 IEEE 标准，该标准定义了如何使用免授权的工业、科学和医疗 (ISM) 射频 (RF) 频段作为无线链路的物理层和 MAC 子层。发布第一版 802.11 时，该标准规定 2.4 GHz 频段下的数据传输速度为 1 - 2 Mb/s。当时，有线 LAN 的运行速度为 10 Mb/s，因此新的无线技术并没有获得广泛的应用。自那以后，随着 IEEE 802.11a、IEEE 802.11b、IEEE 802.11g及 802.11n 草案的相继发布，无线 LAN 标准已经有了长足的改进。通常根据数据传输速度来选择使用何种 WLAN 标准。例如，802.11a 和 802.11g 至多支持 54 Mb/s，而 802.11b 至多支持 11 Mb/s，这让 802.11b 成为“慢速”标准，而 802.11a 和 802.11g 则成为首选的标准。第 4 版 WLAN 草案 802.11n 的数据传输速度则比现有的任何无线标准都更快。IEEE 802.11n 有望于 2008 年 9 月通过批准。图中是已批准的 IEEE 802.11a、b 和 g 标准的对比。单击图中的“表格”按钮，查看各个标准的详细信息。各种无线 LAN 标准的数据传输速度主要受调制技术的影响。本课程中，您将学习两种调制技术，分别是直接序列扩频 (DSSS) 和正交频分复用 (OFDM)。本课程中，您并不需要了解这些技术的工作原理，但应知道，使用 OFDM 的标准的数据传输速度较高。此外，DSSS 比 OFDM 简单，因此实施成本较低。802.11aIEEE 802.11a 采用 OFDM 调制技术并使用 5 GHz 频段。802.11a 设备的运行频段是 5 GHz，由于使用 5 GHz 频段的电器较少，因此与运行频段为 2.4 GHz 的设备相比，802.11a 设备出现干扰的可能性更小。此外，由于频率更高，因此所需的天线也更短。然而，使用 5 GHz 频段也有一些严重的弊端。首先，无线电波的频率越高，也就越容易被障碍物（例如墙壁）所吸收，因此，在障碍物较多时，802.11a 很容易出现性能不佳的问题。其次，这么高的频段，其覆盖范围会略小于 802.11b 或 802.11g。此外，包括俄罗斯在内的部分国家禁止使用 5 GHz 频段，这也导致 802.11a 的应用受到限制。802.11b 和 802.11g802.11b 使用 DSSS，其指定的数据传输速度为 1、2、5.5 和 11 Mb/s（2.4 GHz ISM 频段）。802.11g 通过使用 OFDM 调制技术可在该频段上实现更高的数据传输速度。为向后兼容 IEEE 802.11b 系统，IEEE 802.11g 也规定了 DSSS 的使用。支持的 DSSS 数据传输速度为 1、2、5.5 和 11 Mb/s，而 OFDM 数据传输速度为 6、9、12、18、24、48 和 54 Mb/s。使用 2.4 GHz 频段也有一些优势。与 5GHz 频段的设备相比，2.4 GHz 频段的设备的覆盖范围更广。此外，此频段发射的信号不像 802.11a 那样容易受到阻碍。然而，使用 2.4 GHz 频段有一个严重的弊端。许多电器也使用 2.4 GHz 频段，从而导致 802.11b 和 802.11g 设备容易相互干扰。802.11nIEEE 802.11n 草案标准旨在不增加功率或 RF 频段分配的前提下提高 WLAN 的数据传输速度并扩大其覆盖范围。802.11n 在终端使用多个无线电发射装置和天线，每个装置都以相同的频率广播，从而建立多个信号流。多路输入/多路输出 (MIMO) 技术可以将一个高速数据流分割为多个低速数据流并通过现有的无线电发射装置和天线同时广播这些低速数据流。这样，使用两个数据流时的理论最大数据传输速度可达 248 Mb/s。该标准有望于 2008 年 9 月通过批准。重要事项：RF 频段由国际电信联盟无线电部门 (ITU-R) 负责分配。ITU-R 指定 900 MHz、2.4 GHz 和 5 GHz 频段作为 ISM 社区的免授权频段。虽然 ISM 频段面向全球免授权，但它仍要受到当地法规的约束。这些频段的使用在美国要受 FCC 的管制，而在欧洲则受 ETSI 的管制。在架设无线网络时，上述因素会影响无线组件的选择。 显示视觉媒体 第 $PAGEVAR 页 2:Wi-Fi 认证Wi-Fi 认证由 Wi-Fi 联盟 () 提供，Wi-Fi 联盟是一个致力于促进 WLAN 的发展和应用的全球性非营利工业协会。如果考虑到 Wi-Fi 联盟在 WLAN 标准领域的地位，您会更深刻地认识到 Wi-Fi 认证的重要性。这些标准确保了不同厂家生产的设备之间的互操作性。在国际上，参与制定 WLAN 标准的组织主要有三个： ITU-R IEEE Wi-Fi 联盟ITU-R 管理 RF 波段和卫星轨道的分配。RF 波段和卫星轨道被认为是固定无线网络、移动无线网络和全球定位系统等设备所需的有限自然资源。IEEE 开发和维护适用于局域网和城域网的标准，即 IEEE 802 LAN/MAN 系列标准。IEEE 802 由 IEEE 802 LAN/MAN 标准委员会 (LMSC) 管理，LMSC 负责监管多个工作组。IEEE 802 系列中居于主导地位的标准是 802.3 以太网、802.5 令牌环和 802.11 无线 LAN。尽管 IEEE 已经制定了射频调制设备的标准，但并未制定生产标准，因而，不同供应商对 802.11 标准的理解不尽相同，导致它们生产的设备之间可能存在互操作问题。Wi-Fi 联盟是由一群供应商组成的协会，联盟的目标是通过对遵守行业规范、合乎标准的供应商颁发证书的方式来强化 802.11 标准的执行，从而提高产品之间的互操作性。认证覆盖所有三种 IEEE 802.11 射频技术、先行采用的待审 IEEE 草案（例如 802.11n）以及基于 IEEE 802.11i的 WPA 和 WPA2 安全标准。这三个组织的角色可归纳如下： ITU-R 管理 RF 频段的分配。 IEEE 规定如何调制射频来传送信息。 Wi-Fi 确保供应商生产的设备可互操作。显示视觉媒体 7.1.3 无线基础架构的组件第 $PAGEVAR 页 1:无线网卡您可能已在家里、在当地咖啡厅或者在学校里用过无线网络。您是否想过究竟是哪些硬件让您能够无线接入本地网络或 Internet？本主题中，您将学习部署 WLAN 需要使用哪些组件以及每个组件在无线基础架构中分别有何用处。复习一下，WLAN 的基本组件是连接到接入点、继而连接到网络基础架构的客户站。让客户站能够收发射频信号的设备是无线网卡。与以太网网卡相同，无线网卡的配置会指定它使用何种调制技术将数据流编码为射频信号。无线网卡通常用于移动设备，例如笔记本电脑。在 20 世纪 90 年代，笔记本电脑所用的无线网卡是插入到 PCMCIA 插槽中的卡。如今，PCMCIA 无线网卡仍然很常见，但许多制造商已经开始在笔记本电脑中内置无线网卡。与 PC 中内置的 802.3 以太网接口不同，无线网卡是看不到的，因为无线网卡不需要通过电缆连接。近年来还涌现出其它一些可供选择的方案。对于位于现有无线网络覆盖区域中的台式机，可以为其安装无线 PCI 网卡将其加入无线网络。为了能够在移动或桌面 PC 中快速安装无线网卡，现在还推出了许多 USB 无线设备。显示视觉媒体 第 $PAGEVAR 页 2:无线接入点无线接入点将无线客户端（或工作站）连接到有线 LAN。客户端设备通常不能直接相互通信；它们通过无线接入点 (AP) 进行通信。从本质上讲，接入点将 TCP/IP 数据包从 802.11 帧封装格式（空气中）转换为 802.3 以太网帧格式（有线以太网络中）。在基础架构网络中，客户端必须与某个接入点相关联才能获取网络服务。关联是指客户端加入到 802.11 网络的过程。这与插接到有线 LAN 的过程相似。后文将会详细介绍关联过程。接入点是第 2 层设备，其功能与 802.3 以太网的集线器类似。射频是一种共享介质 (medium)，而接入点则监听所有无线电通信。与 802.3 以太网相同，想要使用共享介质的设备需要竞争该介质。然而，与以太网网卡不同的是，让无线网卡同时发送和接收信号的成本很高，因此无线电发射装置并不执行冲突检测。取而代之的是，WLAN 设备的设计原则是避免冲突。CSMA/CA接入点负责监管一种被称为“载波侦听多路访问/冲突避免 (CSMA/CA)”的分布式协调功能 (DCF) 。这仅仅表示：WLAN 上的设备必须感应介质以积聚能量（在能量超过某个阈值时即会激发射频）并一直等到该介质空闲后才开始发送信号。由于此操作需要所有设备共同参与，因此需要它们对介质的访问进行协调。如果某个接入点收到某个客户站发来的数据，则该接入点会给该客户端发送一条确认消息表示该数据已收到。这种确认机制可以防止客户端误以为发生冲突而重新传送数据。单击图中的“隐藏节点”按钮。射频信号会衰减。也就是说，射频信号在远离发射源传播时会损失能量。不妨设想：如果射频信号超出客户站的覆盖范围之外，将会造成什么后果呢？在各个客户站互相竞争介质的 WLAN 中，信号的衰减会带来麻烦。假设有两个客户站都连接到接入点，但两者位于相反的方向上。如果它们都位于该接入点覆盖的最大范围上，则它们将无法相互通信。因此，这些客户站并不知道介质上是否存在其它客户站，它们可能会同时停止发射信号。这就是所谓的隐藏节点（或客户站）问题。解决隐藏节点问题的方法之一是被称为“请求发送/允许发送 (RTS/CTS)”的 CSMA/CA 功能。开发 RTS/CTS 的目的是允许在客户端和接入点之间进行协商。当网络中启用 RTS/CTS 时，接入点会为请求客户站分配完成发射所需的介质。在发射完成后，其它客户站可按类似方式请求信道。否则，会继续执行常规的冲突避免功能。显示视觉媒体 第 $PAGEVAR 页 3:无线路由器无线路由器可以充当接入点、以太网交换机和路由器的角色。例如，这里使用的 Linksys WRT300N 实际上是三合一设备。首先，它包含无线接入点，可以执行典型的接入点功能。其次，内置的 4 端口、全双工 10/100 交换机提供连接有线设备的功能。最后，路由器功能提供一个网关，用于连接其它网络基础架构。WRT300N 最常见的应用是作为小企业或家庭用户的无线接入设备。该设备上的预期负载较低，因此应该能够胜任 WLAN 和 802.3 以太网的部署并实现与 ISP 的连接。显示视觉媒体 7.1.4 无线网络的运行第 $PAGEVAR 页 1:无线端点的可配置参数图中显示 Linksys 无线路由器无线配置的初始屏幕。要在客户端和接入点之间建立连接，需要执行几步操作。您需要先后在接入点和客户端设备上配置参数对这些过程启用协商。单击图中的“模式”按钮，查看无线网络模式参数。无线网络模式是指 WLAN 协议：802.11a/b/g/n。由于 802.11g 向后兼容 802.11b，因此，该接入点同时支持这两个标准。如果所有客户端都连接到支持 802.11g 的接入点，则所有客户端都能享受 802.11g 所提供的更高的数据传输速度。当 802.11b 客户端连接到支持 802.11g 的接入点时，则由于需要竞争信道，所有更快的客户端都不得不等待 802.11b 客户端顺利通过信道才能开始传输。当将 Linksys 接入点配置为允许 802.11b 和 802.11g 客户端时，则该接入点将在混合模式下运行。对于同时支持 802.11a、802.11b 和 802.11g 的接入点来说，它必须另有一个无线电发射装置以便在不同的 RF 频段上运行。单击图中的 SSID 按钮以查看 Windows 客户端的 SSID 列表。共享服务集标识符 (SSID) 是客户端设备用来区分相邻区域多个无线网络的唯一标识符。同一个网络上的多个接入点可以共享一个 SSID。图中显示的是区分 WLAN 的 SSID 示例，SSID 可由任何字母（区分大小写）或数字组成，长度为 2 到 32 个字符。单击图中的“信道”按钮，查看非重叠信道的示意图。针对免授权 ISM RF 频段在 WLAN 中的使用，IEEE 802.11 标准制定了信道化方案。2.4 GHz 频段在北美被分为 11 个信道，在欧洲则被分为 13 个信道。这些信道的中心频率间隔仅为 5 MHz，而信道总带宽（或频率占用带宽）为 22 MHz。信道带宽为 22 MHz，而相邻信道的中心频率的间隔仅为 5 MHz，这意味着相邻信道之间必然存在重叠。而 WLAN 的最佳做法要求将多个接入点设置为使用非重叠信道。如果有三个相邻的接入点，则使用信道 1、6 和 11。如果只有两个，则可选择任何相隔 5 个信道的两个信道，例如信道 5 和 10。多个接入点可以根据相邻信道的使用状况自动选择一个信道。为适应环境的变化，有些产品会不断监控无线覆盖空间来动态调整信道设置。显示视觉媒体 第 $PAGEVAR 页 2:802.11 拓扑无线 LAN 可以包含各种网络拓扑。在描述这些拓扑时，IEEE 802.11 WLAN 体系结构的基本构成单位是基本服务集 (BSS)。802.11 标准将 BSS 定义为一组相互通信的客户站。单击图中的“对等”按钮。对等网络在没有无线接入点的情况下，无线网络也可以运行；这叫做对等拓扑。配置成在对等网络模式下运行的客户站会配置自身的无线参数。IEEE 802.11 标准将对等网络称为独立 BSS （IBSS）。单击图中的“BSS”按钮。基本服务集接入点提供的基础架构可以为客户端提供更多的服务并扩大无线覆盖范围。基础架构模式中，无线参数仅由一个接入点管理，拓扑只是简单的 BSS。IBSS 和 BSS 的覆盖区域是基本服务区 (BSA)。单击图中的“ESS”按钮。扩展服务集当一个 BSS 提供的 RF 范围不足时，可以通过公共分布系统将一个或多个 BSS 加入到扩展服务集 (ESS)。在 ESS 中，各个 BSS 之间通过 BSS 标识符 (BSSID) 区分，BSSID 是为 BSS 提供服务的接入点的 MAC 地址。ESS 的覆盖区域是扩展服务区 (ESA)。公共分布系统公共分布系统允许一个 ESS 中的多个接入点组成一个 BSS。ESS 通常包含一个公共 SSID，允许用户从一个接入点漫游到另一个接入点。蜂窝表示单个信道提供的覆盖区域。ESS 在扩展服务区的蜂窝之间应该有 10% 到 15% 的重叠。当蜂窝之间存在 15% 的重叠时，可以创建一个 SSID 和非重叠信道（一个蜂窝位于信道 1，另一个蜂窝位于信道 6）并提供漫游功能。单击图中的“总结”按钮，查看各种 WLAN 拓扑的对比。显示视觉媒体 第 $PAGEVAR 页 3:客户端和接入点的关联802.11 过程的关键部分是发现 WLAN 并继而连接到 WLAN。该过程的主要组件如下所示： 信标 - WLAN 用来通告其存在性的帧。 探测 - WLAN 客户端用来查找网络的帧。 身份验证 - 该过程是原 802.11 标准的一项产物，但仍然是当今标准所要求的。 关联 - 在接入点和 WLAN 客户端之间建立数据链路的过程。信标的主要作用是让 WLAN 客户端了解指定区域中有哪些网络和接入点可用，从而让它们能够选择使用哪个网络和接入点。接入点会定期广播信标。虽然接入点会定期广播信标，但只有在关联（或重新关联）过程中才使用探测、身份验证和关联帧。802.11 连接过程（关联）在 802.11 客户端必须经过以下三步操作才可以通过 WLAN 网络发送数据：单击图中的“探测”按钮。阶段 1 - 802.11 探测客户端通过在多个信道上发送探测请求来搜索特定的网络。该探测请求指定网络名称 (SSID) 和比特率。典型的 WLAN 客户端都配置了期望的 SSID，因此 WLAN 客户端发送的探测请求包含该 WLAN 网络的 SSID。如果 WLAN 客户端只是尝试查找可用的 WLAN 网络，则可发送不带 SSID 的探测请求，所有配置为可响应此类查询的接入点均将对该请求做出响应。禁用 SSID 广播功能的 WLAN 不会响应此请求。单击图中的“身份验证”按钮。阶段 2 - 802.11 身份验证802.11 最初开发时提供两种身份验证机制。第一种叫开放式身份认证，它基本上是一个空虚的身份认证。在客户端说“请对我进行身份验证”时，接入点就回答“好的”。几乎所有的 802.11 部署中都采用这种机制。第二种身份验证机制称为共享密钥身份验证。这种技术基于在客户端和接入点之间共享的 WEP（有线等效保护）密钥。在此技术中，客户端向接入点发送身份验证请求。收到请求后，接入点将询问文本发送给客户端，随后客户端使用其共享密钥加密消息，然后将密文返回给接入点。之后，接入点使用其密钥解密密文，如果解密得到的文本与询问文本匹配，则客户端和接入点使用的是同一个密钥，并且接入点认可客户端的身份。如果文本不匹配，则不会认可客户端的身份。虽然在客户端和接入点实现中需要包含共享密钥身份验证来确保整体合规性，但通常人们并不使用共享密钥，也不建议使用它。问题在于传输过程中通常使用 WEP 密钥加密数据。如果在身份验证过程中使用相同的 WEP 密钥，攻击者便有可能通过嗅探未加密的询问文本以及加密后的回复消息，并将两者加以比较，从而破解密钥。一旦 WEP 密钥被破解，通过链路传输的任何加密信息都会轻易被解密。单击图中的“关联”按钮。阶段 3 - 802.11 关联此阶段确定安全和比特率选项并在 WLAN 客户端和接入点之间建立数据链路。此阶段中，客户端获取 BSSID（即接入点的 MAC 地址），接入点将称为关联标识符 (AID) 的逻辑端口映射到 WLAN 客户端。AID 对应于交换机的某个端口。关联过程允许基础架构交换机跟踪发往 WLAN 客户端的帧以便能够转发这些帧。WLAN 客户端与某个接入点关联之后，两个设备之间即可来回传送流量。 显示视觉媒体 7.1.5 无线 LAN 的规划第 $PAGEVAR 页 1:无线 LAN 的规划要实现能够充分利用资源并提供最优质服务的 WLAN，需要认真的规划。WLAN 的拓扑设计可能非常简单，也可能非常复杂。在实施无线网络之前，需要慎重的规划和详细的记录。本主题中，我们将介绍在设计和规划无线 LAN 时应考虑哪些因素。要计算 WLAN 能够支持多少用户并不简单。用户数取决于场地的地理布局（某个空间中有多少员工和设备）、用户期望的数据传输速度（由于射频是种共享介质，用户数越多，对射频的竞争也就越激烈）、单个 ESS 中多个接入点使用的非重叠信道数以及发射功率设置（受当地法规的限制）。如果在规划网络时，正确地设计了 ESS 中的射频覆盖区域，则可为客户端提供充分的无线支持。有关如何规划用户数的详尽论述不在本课程的范围内。单击图中的“地图”按钮。在规划接入点的位置时，要做的可能不只是简单地画几个圆表示覆盖区域，然后将它们拖到计划位置上。绘制大致的圆形覆盖区域很重要，但还要遵循其它一些建议。如果接入点使用现有的线缆，或者如果有些区域不能放置接入点，则请在地图上标记这些位置。 将接入点放在障碍物上方。 尽可能将接入点靠近每个覆盖区域中央的天花板垂直放置。 将接入点置于用户期望的位置。例如，会议室通常比走廊更适合放置接入点。解决这些问题后，再估计接入点的预期覆盖区域。预期覆盖区域取决于您部署的 WLAN 标准或标准集、场地的特点、为接入点配置的发射功率等因素。在规划覆盖区域时，应经常查阅接入点的规格。根据您的规划，在平面规划中放置接入点时应使各个接入点的覆盖区域圆相互重叠，如下例所示。计算示例图中所示的露天礼堂（仓库/生产大楼类型）大约有 20,000 平方英尺。网络需求中规定在每个 BSA 中必须至少有 6 Mb/s 的 802.11b 吞吐量，因为要在该网络的覆盖区域中实现基于 WLAN 的无线语音通信。利用接入点，可以在地图上所示的露天区域实现 6 Mbps 的吞吐量，覆盖范围在许多环境中都可达到 5000 平方英尺。注：5000 平方英尺的覆盖范围是指正方形的面积。BSA 的半径是从该正方形的中心到对角的距离。下面我们来确定将接入点放在哪里。单击图中的“覆盖区域”按钮。该场地有 20000 平方英尺，因此，将 20000 平方英尺除以每个接入点的覆盖范围（5000 平方英尺），则可得知该礼堂至少需要 4 个接入点。下一步，确定覆盖区域的尺寸并在平面规划中排列这些区域。 由于这些覆盖区域是边长为“Z”的正方形，因此该正方形的外接圆半径是 50 英尺，计算方法如下所示。 在确定覆盖区域的尺寸后，您可以按照图中“排列覆盖区域”所示的类似方法排列覆盖区域。单击图中的“排列覆盖区域”按钮。 在平面规划图中，排列四个半径为 50 英尺的覆盖区域圆使它们相互重叠，如“规划”所示。单击图中的“规划”按钮。显示视觉媒体 第 $PAGEVAR 页 2:显示视觉媒体 7.2 无线 LAN 的安全性7.2.1 无线网络面临的安全威胁第 $PAGEVAR 页 1:未经授权的访问对于任何使用或管理网络的人来说，安全都是首先要考虑的问题。有线网络的安全是个难题，无线网络的安全更是难上加难。接入点覆盖范围内、持有相关凭证的任何人都可以访问 WLAN。只需一块无线网卡和破解技术的知识，攻击者甚至无需实际进入工作场所即可访问 WLAN。本节的第一个主题就是介绍无线网络所面临的安全威胁。在维护企业网络时，这些安全问题尤为重要，因为企业信息的安全直接关系到企业的生存。安全漏洞对企业的影响很大，倘若企业维护的是与客户相关的财务信息时，更是如此。主要有三类威胁容易导致未经授权的访问： 驾驶攻击 黑客（骇客） 员工“驾驶攻击”最初是指使用扫描设备查找移动电话号码以进行攻击。现在，驾驶攻击是指利用带有 802.11b/g 客户端网卡的笔记本电脑扫描邻近区域来寻找不安全的 802.11b/g 系统进行攻击。术语“黑客”最初是指那些深入钻研计算机系统，对系统的开发动机、结构和复杂性有深刻认识并能够加以利用的人。现在，术语“黑客”和“骇客”已经开始表示恶意的入侵者，他们进入系统从事犯罪活动，窃取数据或故意损坏系统。图谋不轨的黑客有能力利用脆弱的安全漏洞实施攻击。目前市面上的大多数无线设备都已预先对 WLAN 设置妥当。换句话说，这些设备都提供默认设置，用户无需配置或稍作配置即可安装和使用这些设备。最终用户通常都不需要更改默认设置，让客户端身份验证处于开放状态，或者仅仅采用标准的 WEP 安全。不幸的是，如前所述，共享 WEP 密钥存在缺陷，容易遭到攻击。有些工具（例如允许网络工程师捕获数据包来调试系统的无线嗅探器）的初衷原本是合法的。但黑客们却利用这些工具来探寻安全缺陷。流氓接入点流氓接入点是指置放在 WLAN 中、用来干扰网络正常运行的接入点。如果流氓接入点配置了正确的安全设置，就会截获客户端数据。经过配置后，流氓接入点可为未授权的用户提供客户端 MAC 地址（无线和有线）之类的信息，还可捕获和伪装数据包，最糟糕的是还可访问服务器和文件。比较简单而常见的流氓接入点是员工在未经授权的情况下安装的接入点。员工为了在家里使用企业网络而安装接入点。这些接入点通常缺乏必要的安全配置，因此给网络留下了安全漏洞。显示视觉媒体 第 $PAGEVAR 页 2:中间人攻击未经授权的用户还可以采取另一种更复杂的攻击方法，即中间人 (MITM) 攻击。攻击者选择一个主机作为目标，并在该目标及其路由器或网关之间进行逻辑定位。在有线 LAN 环境中，攻击者要能够物理连接到 LAN 中才能将设备逻辑地添加到网络拓扑中。而在 WLAN 中，接入点发射的无线电波可以提供连接能力。BSS 中任何配备适当设备（例如带有网卡的笔记本电脑）的人都可以“监听”客户站和接入点发射的无线电信号。由于接入点的作用与以太网集线器类似，因此 BSS 中的每块网卡都可以监听所有流量。通常，设备会丢弃任何未对设备寻址的流量。但攻击者可以利用专用软件修改笔记本电脑的网卡使之接受所有的流量。这样修改之后，攻击者可以使用笔记本电脑网卡作为接入点实施无线 MITM 攻击。要实施这种攻击，黑客会选择一个客户站作为目标，然后使用数据包嗅探软件（例如 Wireshark）来监测连接到接入点的客户站。黑客也许可以读取和复制目标用户名、服务器名、客户端和服务器 IP 地址、用于计算响应的 ID 以及在客户站和接入点之间以纯文本格式传输的询问及相关响应等信息。如果攻击者能够侵入接入点，那么攻击者也就可能危及 BSS 中所有用户的安全。攻击者可以监控整个无线网段并对任何连接到该网段的用户实施攻击。要抵御 MITM 之类的攻击，您需要建立完善的 WLAN 基础架构并密切监控网络上的活动。要监控网络活动，首先要标识 WLAN 上的合法设备。为此，您必须对 WLAN 上的用户进行身份验证。标识所有的合法用户之后，即可监控网络以查看是否有未经允许的设备和流量。采用先进 WLAN 设备的企业 WLAN 会为管理员提供一系列工具，这些工具可以协同工作，共同组成一套无线入侵防御系统 (IPS)。这些工具包括用于发现流氓接入点和对等网络的扫描程序和用于监控 RF 频段活动和接入点负载的无线电资源管理 (RPM) 工具。如果接入点的负载超出正常值，将会提示管理员可能存在未经授权的流量。有关这些安全防护技术的深入解析超出本课程的范围。有关详细信息，请参阅位于 /en/US/products/ps6521/products_white_paper0900aecd804f155b.shtml 的 Cisco 文章“利用集成的无线 IDS 和 IPS 消除无线威胁”。 显示视觉媒体 第 $PAGEVAR 页 3:拒绝服务802.11b 和 802.11g WLAN 使用免授权的 2.4 GHz ISM 频段。大多数日常无线产品（包括婴儿监控仪、无绳电话和微波炉）都使用该频段。由于这些设备占用 RF 频段，攻击者可利用这些常见的设备在该频段的所有信道中制造噪音。单击图中的“DoS 2”按钮。前面我们讨论过攻击者如何将网卡摇身一变而成接入点。攻击者也可利用这种伎俩发动 DoS 攻击。通过利用 PC 作为接入点，攻击者可以向 BSS 滥发允许发送 (CTS) 信息，这会导致客户站使用的 CSMA/CA 功能瘫痪。随后，接入点会向 BSS 滥发大量流量，导致通信流经常中断。在 BSS 中还可发动其它 DoS 攻击，例如攻击者发送一系列取消关联命令，导致 BSS 中的所有客户站都断开连接。当客户站断开连接后，它们会立即尝试重新关联，这会带来巨大的流量。攻击者再发一条取消关联命令，将会再次重复上述过程。显示视觉媒体 7.2.2 无线安全协议第 $PAGEVAR 页 1:无线协议概述本主题中，您将学习常见无线协议的特点及各种协议提供的安全性。最初的 802.11 标准中引入了两种身份验证机制：开放式和共享式 WEP 密钥身份验证。虽然开放式身份验证实际上“不进行验证”，（只要客户端请求身份验证，接入点都会批准该请求），但过去还是认为 WEP 身份验证能够为链路提供隐私保护，就像使用电缆将 PC 连接到以太网接口中一样。前面已经提到，共享式 WEP 密钥已被证实存在缺陷，因此需要更好的技术代替它。为弥补共享 WEP 密钥的不足，公司首先想到的是尝试伪装 SSID、过滤 MAC 地址之类的方法。其实，这些方法本身也很脆弱。后面您将学到这些技术存在的缺陷。WEP 共享密钥加密的缺陷主要有两点。首先，加密数据所用的算法容易被破解。其次，可扩展性也是个问题。在过去，32 位 WEP 密钥由人工管理，用户需要手动输入这些密钥，经常就会输错密钥，于是纷纷电话求助技术支持部门。在发现 WEP 技术的安全缺陷之后，一度涌现出许多临时性的安全措施。为满足客户更高的安全需求，以 Cisco 为代表的供应商开发了自己的系统，同时也帮助改进并最终推出 802.11i 标准。在制定 802.11i 的过程中，Cisco 提出了 TKIP 加密算法，该算法已经被吸纳为 Wi-Fi 联盟的 WiFi 保护访问 (WPA) 安全方法。如今，大多数企业网络所要遵循的标准都是 802.11i 标准。该标准与 Wi-Fi 联盟的 WPA2 标准类似。WPA2 为企业提供到远程身份验证拨号用户服务 (RADIUS) 数据库的连接。关于 RADIUS，本章后面会加以介绍。有关 WEP 安全缺陷的详细信息，请参阅位于 /isaac/wep-faq.html 的文章“WEP 算法的安全性”。显示视觉媒体 第 $PAGEVAR 页 2:对无线 LAN 进行身份验证在开放式网络（例如家庭网络）中，客户端也许只需关联即可获准访问 WLAN 上设备和服务。在安全需求更高的网络中，客户端要获得此类访问权限还需要进行身份验证或登录。此登录过程由 EAP（可扩展身份验证协议）管理。EAP 是对网络访问进行身份验证的框架。IEEE 开发了 802.11i 标准，规定 WLAN 身份验证和授权必须使用 IEEE 802.1x。单击图中的 EAP 按钮，查看身份验证过程。企业 WLAN 身份验证过程可归纳如下： 802.11 关联过程会在接入点上为每个 WLAN 客户端创建一个虚拟端口。 接入点阻止所有数据帧，但基于 802.1x 的流量除外。 802.1x 帧通过接入点将 EAP 身份验证数据包传输到维护身份验证凭证的服务器。该服务器是运行 RADIUS 协议的 AAA（身份验证、授权和记账）服务器。 如果 EAP 身份验证成功，AAA 服务器会向接入点发送一条 EAP 成功消息，随后即允许 WLAN 客户端发来的数据流量通过该虚拟端口。 在打开虚拟端口之前，会对 WLAN 客户端和接入点之间的数据链路进行加密以确保其它任何 WLAN 客户端都不能访问该端口，因为该端口是专为已通过身份验证的指定客户端建立的。在使用 802.11i (WPA2) 或 WPA 之前，有些公司试图通过过滤 MAC 地址和禁止广播 SSID 来保护 WLAN。如今，通过软件可以轻松修改 MAC 地址，因此很容易骗过 MAC 地址过滤技术。这并不是说您不应该使用 MAC 地址过滤技术，而是如果您使用了这种方法，那您还应再采取其它安全措施，例如 WPA2。即使接入点禁止广播 SSID，在客户端和接入点之间来回传送的流量最终也会暴露出 SSID。即使攻击者并非刻意监控 RF 频段，也可在上述传输过程中嗅探到 SSID，因为它是以纯文本格式发送的。由于找到 SSID 毫不费力，因此有些人会打开 SSID 广播功能。倘或如此，那很可能已在安全策略中记录了组织的这项决策。如果您认为保护 WLAN 的方案无非是 MAC 过滤和关闭 SSID 广播，那您的 WLAN 会很不安全。要确保只有预期的用户才能访问 WLAN，最好的方法是使用基于端口的网络访问控制安全策略，例如 WPA2。显示视觉媒体 第 $PAGEVAR 页 3:加密802.11i 规定了两种企业级加密机制，分别是：TKIP（临时密钥完整性协议）和 AES（高级加密标准 ），这两种加密机制已分别被 Wi-Fi 联盟纳入 WPA 和 WPA 2 认证中 。TKIP 是纳入到 WPA 认证的加密方法。通过解决 802.11 WEP 加密方法初期的种种弊端，TKIP 能够支持传统的 WLAN 设备。它采用 WEP 最初的加密方法。TKIP 主要有两项功能： 加密第 2 层负载 在加密数据包中执行消息完整性检查 (MIC)。这有助于确保防止消息被纂改。尽管 TKIP 解决了 WEP 所有已知的缺陷，但 WPA2 的 AES 加密仍然是首选的方法，因为它参照应用更广泛的 IT 行业标准和最佳做法（特别是 IEEE 802.11i），将 WLAN 加密标准推到新的高度。AES 包含与 TKIP 相同的功能，但它还利用 MAC 报头的附加数据，让目的主机能够辨别出是否有加密位被纂改。它还在加密的数据报头添加一个序列号。在配置 Linksys 接入点或无线路由器（例如 WRT300N）时，您可能看不到 WPA 或 WPA2，看到的只是各种共享密钥 (PSK)。PSK 的类型如下： 带 TKIP 的 PSK 或 PSK2 等同于 WPA 带 AES 的 PSK 或 PSK2 等同于 WPA2 不指定任何加密方法的 PSK2 等同于 WPA2显示视觉媒体 7.2.3 保护无线 LAN 的安全第 $PAGEVAR 页 1:控制对无线 LAN 的访问深层次的安全措施意味着实施多种解决方案。这就好比您已经有了室内安全系统，但还是需要锁住所有门窗，并请邻居帮您监视。您已学习的安全方法（尤其是 WPA2）就像一套安全系统。如果希望在保护 WLAN 之余还做点什么，您可以通过实施下面的三步方法来增加安全力度，如图所示： SSID 伪装 - 禁止接入点广播 SSID MAC 地址过滤 - 通过在接入点上手工建立地址表，从而根据硬件地址来允许或拒绝客户端。 WLAN 安全方案 - WPA 或 WPA2警惕性强的网络管理员还需要考虑进行如下配置：让靠近建筑物外墙的接入点发射功率低一些，而位于建筑物中央的接入点发射功率则高一些。这只需要降低建筑物外部的 RF 信号，在建筑物外部，任何运行 Netst