无线网络管理课件

无线网络管理1无线网络的原理传输原理

扩频方式窄带调频方式无线网络的优势IEEE802.11系列标准2无线网络技术及管理无线路由器与无线AP的区别四个方面的区别：功能应用组网成本3无线网络技术及管理无线路由器：无线路由器是单纯型AP与宽带路由器的一种结合体；它借助于路由器功能，可实现家庭无线网络中的Internet连接共享，实现ADSL和小区宽带的无线共享接入，另外，无线路由器可以把通过它进行无线和有线连接的终端都分配到一个子网，这样子网内的各种设备交换数据就非常方便。

5无线网络技术及管理当前的无线AP可以分为两类：单纯型AP和扩展型AP。

单纯型AP的功能相当无线集线器；对于此类无线AP，还没有发现可以互连的产品扩展型AP也就是市场上的无线路由器，由于它功能比较全面，大多数扩展型AP不但具有路由交换功能还有DHCP、网络防火墙等功能。

6无线网络技术及管理无线路由器就是AP、路由功能和交换机的集合体，支持有线无线组成同一子网，直接接上MODEM。

无线AP相当于一个无线交换机，接在有线交换机或路由器上，为跟它连接的无线网卡从路由器那里分得IP。

7无线网络技术及管理应用区分

独立的AP在进行大面积覆盖的公司使用得比较多，所有AP通过以太网连接起来并连到独立的无线局域网防火墙。

无线路由器在SOHO的环境中使用得比较多，在这种环境下，一个AP就足够了。这样的话，整合了宽带接入路由器和AP的无线路由器就提供了单个机器的解决方案，它比起两个分开的机器的方案要容易管理和便宜一些。

8无线网络技术及管理AP不能直接跟ADSLMODEM相连，所以在使用时必须再添加一台交换机或者集线器：

10无线网络技术及管理12无线网络技术及管理成本802.11B的无线AP和无线路由器的价钱相差不多，一般无线路由器会贵100元左右；802.11G则要看具体情况而言，根据品牌和附加功能的不同两者价格会有几百元不等的差距，便宜的产品差价也是100多元。

14无线网络技术及管理无线局域网安全15内容概要无线局域网安全的严峻挑战无线局域网基本的安全措施无线局域网的安全技术16无线网络技术及管理一无线局域网安全的严峻挑战1.无线局域网安全的现状2.无线局域网的常见攻击方式17无线网络技术及管理1.无线局域网安全的现状无线局域网安全问题的独特之处在于信道开放，用户不必与网络进行“可视”的连接。这使攻击者伪装合法用户更加容易，同时微波信号在空气中传播也会因多种原因导致信号损失。目前，无线局域网络产品主要采用的是IEEE802.11b国际标准，大多应用DSSS直接序列扩频通信技术进行数据传输，该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。18无线网络技术及管理1）窃听窃听是无线局域网被动攻击的有效类型。在网络上窃取数据又称为嗅探。无线网络中无线信道的开放性给网络嗅探带来极大方便。在无线局域网中网络嗅探对信息安全的威胁来自被动性和非干扰性，执行监听程序的窃听过程中只是被动的接收网络中传输的信息，不会跟其他的主机交换信息，也不修改在网络中传输的信息包。使网络嗅探具有很强的隐蔽性，让网络信息失密变得不容易发现。20无线网络技术及管理2）非法登录无线局域网的非法登录过程是通过一个无线接入点AP连接到一个无线局域网上。主动攻击：一个用户为了更深入地穿透或进入一个网络，或为了获取对于服务器的访问，以得到有价值的数据，或为了恶意的目的使用公司的Internet访问，甚至改变网络的界面配置，改变无线局域网自身。例如，一个黑客可以通过设定的MAC地址过滤实施恶意攻击。21无线网络技术及管理二无线局域网基本的安全措施1.信息过滤措施2.访问认证机制3.数据加密23无线网络技术及管理1.信息过滤措施信息过滤是能够使用的基本的安全机制。常用的信息过滤机制有：物理地址MAC过滤服务集标识符SSID过滤协议端口过滤前两种用于简单的无线接入点AP，是早期无线局域网最主要的安全措施，第三种是建立在路由的基础上。24无线网络技术及管理MAC过滤的缺陷物理地址过滤属于硬件认证，而非用户认证，要求AP中的MAC地址控制表需随时更新，并是手工操作，若用户增加，可扩展性差，只适用于小型网络。MAC地址可被盗用或非法伪造，获取对无线局域网的非法访问，是较低级别的授权认证。26无线网络技术及管理2）服务集标识符SSID过滤无线工作站必须出示正确的SSID，与无线接入点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，则AP将拒绝他通过本服务区上网。因此SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全保障。无线局域网接入点AP对此项技术的支持就是可不让AP广播其SSID号，这样无线工作站端必须主动提供正确SSID号才能与AP进行关联。

27无线网络技术及管理28无线网络技术及管理30无线网络技术及管理2.IEEE802.11安全机制IEEE802.11标准规定的无线局域网连接过程有4个步骤：扫描、连接、链路验证和关联。通常，无线客户端会扫描整个周围环境寻找适合接入的无线接入点。实现数据传输时，无线局域网要求一定的安全机制作为保障。IEEE802.11标准规定的安全机制访问认证机制数据加密机制－－有线等效加密WEP31无线网络技术及管理访问认证机制访问认证是无线局域网中一个工作站向另一个工作站或无线接入点AP证明其身份的机制。IEEE802.11标准中定义了两种类型的用户访问认证机制：（1）开放式验证（2）共享密钥验证32无线网络技术及管理（1）开放式验证开放式验证是无线局域网设备的默认状态，使用该验证方法，一个无线客户端仅有一个正确的SSID就可以关联任何使用开放式系统验证的无线接入点AP，验证过程如下：无线局域网的无线客户端请求到要关联的无线接入点；无线接入点对于无线客户端的鉴别响应。33无线网络技术及管理（2）共享密钥验证共享密钥验证要求双方必须有一个公共密钥，这个过程只能在使用WEP机制的工作站之间进行，避免明文传输。使用共享密钥验证的鉴别过程如下：无线客户端向无线接入点发送验证请求；无线接入点发布一个随机产生的无格式的文本，从无线接入点清晰地发送到无线客户端；无线客户端响应这个请求，并使用自身的密钥加密该请求，将其发回无线接入点；无线接入点解释明白无线客户端的加密响应，识别通过一个匹配的WEP的密钥加密请求文本。34无线网络技术及管理35无线网络技术及管理访问认证的状态关系状态1：未验证，未关联状态2：已验证，未关联状态3：已验证，已关联解除链路验证解除关联链路验证成功关联或重新关联成功解除链路验证（验证结束）1类帧1类、2类帧1类、2类、3类帧36无线网络技术及管理数据加密机制WEP有线等效保密WEP协议用于在无线局域网中保护链路层数据。WEP使用64位密钥或128位密钥，采用RSA开发的RC4对称加密算法，在链路层加密数据。WEP加密采用静态的密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接AP时，AP会发出一个ChallengePacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，只有正确无误，才能获准存取网络的资源。37无线网络技术及管理WEP机制的缺陷只验证无线客户端设备，缺乏使用者身份验证机制采用静态密钥，缺乏动态的数据加密38无线网络技术及管理三无线局域网安全技术1.IEEE802.1x协议(WEP/EAP)2.IEEE802.1i协议(WAP)3.无线局域网鉴别与保密基础结构WAPI4.VPN安全解决方案39无线网络技术及管理1.IEEE802.1x协议端口访问技术802.1x协议是一种局域网接入控制协议。主要解决无线局域网用户的接入验证问题。它是WLAN的一种增强性网络安全解决方案。当无线客户端与无线接入点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。802.1x要求无线客户端安装802.1x客户端软件，无线接入点要内嵌802.1x认证代理，同时它还作为远程接入拨号用户Radius客户端，将用户的认证信息转发给Radius服务器。40无线网络技术及管理IEEE802.1x协议的三要素客户端（服务请求者）。一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。认证系统（验证者）。一般是无线接入点AP，也是网络节点，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。认证服务器（验证服务者）。通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。

41无线网络技术及管理IEEE802.1x协议工作过程要求验证验证结果提供验证资料根据检验结果决定是否提供服务42无线网络技术及管理可扩展验证协议EAP802.1x融合EAP，即EAPOL(WLAN中称做EAPOW)在申请者和近端认证AP之间运行；认证AP与远端认证服务器同样运行EAP协议，EAP帧中封装认证数据再将该协议承载在其他高层协议中，如RADIUS，以利于穿越多种网络到达认证服务器，成为EAPoverRADIUS。43无线网络技术及管理EAP认证的优点EAP认证对IEEE802.11标准起到三方面改进。双向认证机制，有效地消除了中间人攻击(MITM)，如假冒的AP和远端认证服务器。集中化认证管理和动态分配加密密钥机制。解决了管理上的难度—WEP使用RC4给网络里的所有AP和客户分发静态密钥很繁琐，每一次无线设备丢失，网络必须重新配置密钥以防止非法用户利用丢失的设备进行非法登录。能够定义集中策略控制，当会话超时时将触发重新认证和生成新的密钥。44无线网络技术及管理IEEE802.1x协议的优点802.1x认证的突出优点就是实现简单、认证效率高、安全可靠。无需多业务网管设备，就能保证IP网络的无缝相连。同时消除了网络认证计费瓶颈和单点故障。解决了采用多业务网关，不便于视频业务开展的难题。在二层网络上实现用户认证，大大降低了整个网络的建网成本。

45无线网络技术及管理2.IEEE802.11i安全标准该标准增强了WLAN的数据加密和认证性能，并且针对WEP加密机制的各种缺陷做了多方面的改进，增强了无线局域网的鉴别性能和数据加密。46无线网络技术及管理两个安全协议的对比WEPTKIPIEEE802.11x/EAPTKIP47无线网络技术及管理IEEE802.11i主要内容Wi-Fi保护接入（WPA）健全的安全网络RSN48无线网络技术及管理Wi-Fi保护接入（WPA）WPA在IEEE802.11i标准确定前是代替WEP的无线安全标准协议。WPA是IEEE802.11i的一个子集，其核心就是IEEE802.1x和暂时密钥完整协议TKIP。WPA采用新的加密算法以及用户认证机制，加强了生成加密密钥的算法，即使黑客收集到分组信息并对其进行解析，也几乎无法计算出通用密钥，解决了WEP破解容易的缺点。WPA不能向后兼容某些遗留设备和操作系统。如果无线局域网没有运行WPA和加快该协议处理速度的硬件，WPA将降低网络性能。49无线网络技术及管理WPA2WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性，它们最重要的共性是预验证，即在用户对延迟毫无察觉的情况下实现安全快速漫游，同时采用CCMP加密包来替代TKIP。50无线网络技术及管理健全的安全网络RSNRSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x和EAP，加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步，不断提供保护无线局域网传输信息所需要的安全性。与WEP和WPA相比，RSN更可靠，但RSN不能很好地在遗留设备上运行。51无线网络技术及管理3.国家标准GR15629.11WAPIWAPI即无线局域网鉴别与保密基础结构，它针对IEEE802.11中WEP协议安全问题，是2003年在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时，本方案已由ISO/IEC授权的机构IEEE注册权威机构审查并获得认可，分配了用于WAPI协议的以太类型字段，这也是我国目前在该领域惟一获得批准的协议。52无线网络技术及管理WAPI的特点采用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。AP设置好证书后，无须再对后台服务器进行设置，安装、组网便捷，易于扩展。支持Windows98/2K/XP、Linux等操作系统。提供与现有计费技术兼容的服务，可实现按时计费、按流量计费、包月等多种计费方式。满足家庭、