华为3Com无线产品部.ppt

3Com无线产品部 无线技术培训胶片 WLAN基础概念及工作原理 Contents WLAN基础概念工作原理简介IEEE802 11基本协议IEEE802 11其它协议其它回顾 了解无线应用 无线应用无所不在 注意 此图片引用CISCO的 无线技术关系示意图 0 1Mbps1Mbps10Mbps100Mbps400Mbps 移动性 2 5G 3G WLAN UWB WiMAX 数据速率 MeshNetworkers WLAN技术主要解决百米左右的接入 WLAN印象 安全前提下的一种移动数据网络 是以无线方式构建 用使用线缆相连接的局域网 利用电磁波在空气中发送和接收数据 数据传输速率现在已经能够达到54Mbps 传输距离可远至40公里以上 是对有线联网方式的一种补充和扩展 具有移动特征 在补充有线的同时完成有线所不能的 WLAN协议族 PHY 802 11 1 2Mbps 802 11b 5 5 11Mbps 802 11g 54Mbps 802 11a 54Mbps MAC 802 11 11a 11b 11gMAC 802 11f 漫游和切换 802 11e QoS 802 11i安全增强 802 11n 应用带宽过100M 802 11s mesh 802 11r 快切 中国政府针对WLAN的主要成果 WAPI标准 WLAN三种标准的比较 相关组织及其在WLAN领域的贡献 Wi Fi联盟成立于1999年的Wi Fi联盟是一个非牟利国际协会 旨在认证基于IEEE802 11规格的无线局域网产品的互操作性和推动wireless新标准的制定目前已知的相关标准WPA 802 11i的子集 支持802 1x认证以及TKIP加密算法WPA2 802 11iWMM 802 1e的子集 支持EDCA方式WAPI中国无线网络产品国标中安全机制的标准 包括无线局域网鉴别 WAI 和保密基础结构 WPI 两部分 核心技术由西安捷通公司掌握 由于其加密算法未公开 只能购买指定公司的加密芯片 因此遭到国外大多数公司的抵制 未来是否以及何时会强制执行目前还不太明朗 IEEE IETF802 11的系列标准 IEEE CAPWAP工作组 IETF WLAN对人体的电磁辐射是安全的 很多的研究已经证明 WLAN产品以在家庭及商业中使用 对人体来说是安全 典型的WLAN产品输出功率为100mw AP 对于网卡来说 通常只有10mw至50mw 相比较来说 手机的发射功率在通话时可以超过200mw 政府有相关的法令对发射功率进行严格的限制 对人体是否具有影响取决于 距离与功率 Contents WLAN基础概念工作原理简介IEEE802 11基本协议IEEE802 11其它协议其它回顾 调制技术 OFDM技术特点 正交频分复用 OrthogonalFrequencyDivisionMultiplexing OFDM 基本思想是将高速的数据流分配到多个相互正交的子载波上同时传输 输入数据 100101001010010101101001010101001100 子载波1 110001100101 子载波2 000110001000 子载波1 011001110110 调制 OFDM技术优点 抗频率选择性衰落和窄带干扰能力强OFDM把用户信息通过多个子载波传输 通过子载波的联合编码 达到了子信道间的频率分集的作用 增强了对脉冲噪声和信道快衰落的抵抗力 抗多径效应能力强 MAC仲裁机制 目前各个厂商都是实现的DCF方式 PCF方式没有实现 注意 此图片引用友商 没有作更改 随机退避 DCF方式 FrameExchange FrameExchange FrameExchange FrameExchange DIFS DIFS DIFS STA1 STA2 STA3 STA4 退避窗口 退避窗口 退避窗口 QOS的机制就由此而产生 干扰 多径干扰 干扰 电磁干扰 2 4GHz为ISM频段 不需授权即可使用 同一区域内AP之间的互相干扰 干扰方式分为同信道干扰和邻信道干扰 其他干扰源 微波炉 医疗设备 双向寻呼系统 脉冲雷达系统 其它无线通讯系统 形式主要包括 同频竞争 斜波干扰 线性调制干扰等等 功率在穿过障碍物后衰减 墙 门 等等 电磁波的穿透性能是和频率相关的 当发射功率不足够大时 在建筑物后形成无线覆盖盲区 传播 障碍物 空气等等 有效带宽 802 11b 空口 11Mbps 应用层理论带 6Mbps 一般为 5Mbps左右802 11g 空口 54Mbps 应用层理论带宽 24 4Mbps 一般 22Mbps左右802 11a 与11g基本相同 AP接入的用户数基本可以均分其有效带宽不稳定是无线通讯所存在的缺陷 主要由于环境造成的 物理建筑的构成共享介质用户数数据量 测试时注意 最好使用长包测试 包长 最是二点测试 AP 网卡 吞吐量示意图 覆盖范围 802 11g的理论覆盖与802 11b的相同 比802 11a覆盖距离增加50 覆盖距离与环境 功率等因素存在很大的关系 Contents WLAN基础概念工作原理简介IEEE802 11基本协议IEEE802 11其它协议其它回顾 802 11标准简介 在此 802 11标准定义了PHY层与MAC层内容 802 11的网络框架 基本概念 ESSBSSBSSID 协议状态机 802 11MAC层负责客户端与AP之间的通讯 主要功能包括 扫描 接入 认证 加密 漫游和同步 802 11MAC报文分类 数据帧用户的数据报文控制帧协助发送数据帧的控制报文 例如 RTS CTS ACK PS POLL等管理帧负责STA和AP之间的能力级的交互 认证 关联等管理工作 例如 Beacon Probe Association Authentication等 802 11MAC层工作原理 概述 802 11MAC层工作原理 用户接入管理过程 STA AP 802 11MAC使用Scanning功能来完成Discovery寻找和加入一个网络当STA漫游时寻找一个新的APPassiveScanning通过侦听AP定期发送的Beacon帧来发现网络 Beacon帧中包含该AP所属的BSS的基本信息以及AP的基本能力级 包括 BSSID AP的MAC地址 SSID 支持的速率 支持的认证方式 加密算法 Beacons帧发送间隔 使用的信道等当未发现包含期望的SSID的BSS时 STA可以工作于IBSS状态ActiveScanning在每个信道上发送Proberequest报文 从ProbeResponse中获取BSS的基本信息 ProbeResponse包含的信息和Beacon帧类似 802 11MAC层工作原理 Scanning扫描 802 11支持两种基本的认证方式Open systemAuthentication等同于不需要认证 没有任何安全防护能力通过其他方式来保证用户接入网络的安全性 例如Addressfilter 用户报文中的SSIDShared KeyAuthentication采用WEP加密算法Attacker可以通过监听AP发送的明文Challengetext和STA回复的密文Challengetext计算出WEPKEYSTA和AP均可通过Deauthentication来终结认证关系 802 11MAC层工作原理 Authentication认证 STA AP Authenticationrequest AuthenticationResponse success STA AP Authenticationrequest Plaintextchallenge Ciphertextchallenge AuthenticationResponse success 预置Key 用Key加密明文 密文解密和明文比较 预置Key AssociationSTA通过Association和一个AP建立关联 后续的数据报文的收发只能和建立Association关系的AP进行ReassociationSTA在从一个老的AP移动到新AP时通过Reassociation和新AP建立关联Reassociation前必须经历Authentication过程DeassociationSTA和AP均可通过Deassociation和AP解除关联关系 802 11MAC层工作原理 Association关联 Associationrequest SSID AssociationResponse AssociationID STA NewAP 数据 OldAP Reassociation请求 oldAPaddress Deassociation Reassociation应答 采用基于RC4对称流加密算法的WEP加密STA和AP需要预先配置相同的静态Key Key的长度为40bit或104bit每次对数据加密的Key 静态Key 24bit的IV值 IV值为动态生成 所有的STA共用相同的静态Key造成 当用户的STA丢失或者用户离职时需要对所有用户STA重新配置新的静态Key 静态Key泄漏被发现前 网络存在安全隐患24bit的IV值太短造成 Attacker可以在分析侦听到的1M 4M用户报文后破解加密Key 802 11MAC层工作原理 Encryption加密 加密报文 IV值 IV 静态Key Key生成器 Key流 XOR 用户数据明文 加密报文 IV 静态Key Key生成器 Key流 XOR 用户数据明文 加密报文 802 11MAC层工作原理 漫游和同步 Wireless漫游的概念STA可以在属于同一个ESS的AP接入点接入 可以使用同一信道或不同信道 STA可以在Wireless网络中任意移动 同时保证已有的业务不中断 用户的标识 IP地址 不改变 Wireless漫游的分类二层漫游在同一个子网内的AP间漫游由于不涉及子网的变化 因此只需保证用户在AP间切换时访问网络的权限不变即可 为了保证快速的切换 通常都会利用STA在原有AP上使用的资源 例如Key等 三层漫游在不同子网内的AP间漫游除了要实现二层漫游中提到的内容以外 通常会采用一些特殊手段来保证用户业务的不中断 目前较流行的做法有 MobileIP VLAN二层透传 GRE二层隧道 IPinIP三层隧道等 Contents WLAN基础概念工作原理简介IEEE802 11基本协议IEEE802 11其它协议802 11i802 11e其它回顾 从加密到安全 WEP够了吗 整个网络公用一个共享密钥 一旦丢失 整个网络都很危险 RC4加密算法本身过于简单 IV向量太短 且用明文传送 容易被监听 咋办呢 增加一种密钥管理机制 更高级的加密算法 引入RSNA robustsecuritynetworkassociation 概念 增强了STA和AP的认证机制支持802 1x认证 并采用双向认证方式有效的防止非法AP的使用支持Pre sharedkey认证方式 该方式要求在STA侧预先配置Key AP通过4次握手Key协商协议来验证STA侧Key的合法性 增加了Key的生成 管理以及传递的机制每用户使用独立的Key通过非对称密钥算法生成和传递用户数据加密使用的Key 增加了两类对称加密算法 加密强度大大增强TKIP 核心仍然是RC4算法CCMP 核心为AES算法 802 11i协议 安全认证和加密 802 11i协议 用户通过802 1x认证接入过程TLS认证举例 STA AP Open systemAuthentication Association EAPOLstart EAPOL Request UserIdentity EAPOL Request UserIdentity 服务器证书 公钥 STA证书 用公钥加密的Masterkey 认证成功 4次握手Key协商 加密数据报文 RadiusServer UserIdentity 服务器证书 公钥 STA证书 用公钥加密的Masterkey 认证成功 PMK 验证服务器证书用公钥加密MasterKey生成PMK 验证STA证书用私钥解密MasterKey生成PMK PMK一致性检查生成其他Key PMK一致性检查生成其他Key 802 11i协议 Keycaching技术 Keycaching过程 STA第一次接入时 接入OldAP 采用正常的802 1x认证过程认证通过后STA把使用的PMK信息保存在Cache中STA向NewAP发起Reassociation时协商使用PMKCache方式做认证STA利用在Cache中保存的在OldAP中使用的PMK和NewAP发起4次握手协商过程协商成功 STA开始传送数据报文Key的保存 STA保存在cache中 以便于在AP切换时使用NewAP可以通过在STAReassociation时从OldAP获取PMK信息或者每个AP向邻居AP定期发送连接的STA的Keycache STA AP PMKCache XXXXXXX NewAP OldAP STA1 PMKCache XXXXXXX STA1 PMKCache XXXXXXX 优点 STA在切换AP以后不必在进行烦琐的802 1x认证和Key交换 加快了切换速度缺点 需要STA软件支持 Contents WLAN基础概念工作原理简介IEEE802 11基本协议IEEE802 11其它协议802 11i802 11e其它回顾 802 11e协议 QOS保证 802 11e引入HCF HybridCoordinationFunction 概念针对DCF模式的改进 EDCA EnhancedDistributedChannelAccess 支持8个业务优先级报文标记 IEEE802 1d 可被映射到4个输出队列高优先级的报文通过设置较短的IFS和Contentionwindow来优先获取无线空口的访问能力针对PCF模式的改进 HCCA HCFControlledChannelAccess STA通过和AP协商datarate delay packetsize等参数来形成针对该STA的调度机制 IFS之间的关系 802 11e协议 QOS保证 续 EDCA调度模式 优先级队列1 优先级队列2 优先级队列3 优先级队列4 Busy Time AIFS4 CW4 AIFS3 CW3 Frame AIFS2 CW2 Frame AIFS1 CW1 Frame HCCA调度模式 STA1 STA2 STA3 AP Time 优先级协商 AP对STA报文的调度 优先级高 优先级中 优先级低 Frame Frame Frame Frame Frame Frame Contents WLAN基础概念工作原理简介IEEE802 11基本协议IEEE802 11其它协议其它回顾 无线交换机 802 11a b g 天线 加密 移动IP IPSec 认证 802 1x TKIP Qos 切换 802 11h AP点监测 用户放火墙 网络自愈 RF管理 无线欺骗防护 802 11a b g 移动IP IPSec 认证 802 1x TKIP Qos 切换 802 11h 天线 加密 更易管理的无线解决方案 胖 AP 瘦 AP 低成本AP WLAN关键技术 瘦接入点和无线交换机 Internet 普通交换机 Internet WLAN典型组网模式 胖AP组网 包括AP L2交换机 管理软件和业务软件 适合规模较小并对管理和漫游要求比较低的网络部署 典型产品是WA1208E系列无线网桥模式 分为点对点或点对多点 一般不超过六点 解决长距离无线连接问题 一般需要配定向天线 在无遮挡的情况下可达到20KM以上 典型产品是WA1208E AGP WDS模式 和WB2010 WB2011无线控制器 FitAP组网 以无线控制器为核心的集中式维护管理 L2 L3层漫游特性 完善的安全体系使之更适合部署大型网络 并能与现存有线网络很好结合 实现增值服务 典型产品是3COM的W