《《WLAN理论基础》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《WLAN理论基础》PPT课件.ppt(52页珍藏版)》请在三一办公上搜索。
1、Contents,WLAN基础概念工作原理简介IEEE802.11基本协议IEEE802.11其他协议其它,WLAN与其它通信标准之间的关系,从协议中,WLAN的定位为:最后百米覆盖使用;随着技术的发展,带宽能力在逐渐的提高,11n的标准提供100M带宽能力;,WLAN基础概念及工作原理,无线局域网(WLAN)就是一种无线数据网络,它是以无线方式构建的局域网,或者说,不用线缆设备相连的局域网络。WLAN利用电磁波在空气中发送和接收数据,而无需线缆介质。的数据传输速率现在已经能够达到54Mbps,传输距离可远至公里以上。它是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速方便地
2、解决使用有线方式不易实现的网络互联问题。无线局域网常用的实现技术有:家用射频工作组提出的HomeRF、Bluetooth(蓝牙)以及美国的802.11协议和欧洲的HiperLAN2协议等。以IEEE 802.11协议为基础的无线局域网在标准之争中脱颖而出,成为目前企业网领域占主导地位的无线局域网标准。,WLAN基础概念解释,ESS:描述一种无线服务SSID:是BSS的描述SSIDService Set ID 无线网络系统的业务标识符;一般情况,SSID不作为一种加密方式。由AP周期的向外广播。无线用户端可以搜索到空中有哪些无线网络;有些AP可以禁止SSID的广播,此时SSID具备一定的安全性;
3、STA:客户端AP:Access PointWireless Switch:无线交换机Wireless Controller:无线控制器,WLAN协议族,802.11的协议主要定义了二层(PHY层与MAC层),同时协议越来越完善,针对企业用户的应用已经能满足相关的业务需求,802.11系列标准(一),802.11系列标准(二),802.11e:该协议将QoS功能加入到802.11网络上,它用TDMA方式取代类似Ethernet的MAC层,为重要的数据增加额外的纠错功能802.11f:IAPP(Inter-Access Point Protocol),接入点内部协议,该协议是为了改善802.11
4、中的切换机制而制定的,以使用户能够在两个不同的交换分区(无线信道)之间,或在加到2个不同的网络上的接入点之间漫游的同时保持连接功能802.11h:是对802.11a的补充,增加了动态频率选择(DFS)和发射功率控制(TPC),降低对采用同样频段的雷达或其它宽频通信系统的干扰,使之符合5Ghz频段无线局域网的欧洲规范。,802.11系列标准(三),802.11i:加强了安全性。它采用了802.1x的认证协议、改进的密钥分布架构以及AES(Advanced Encryption Standard)加密。802.11i已在2004年6月24的IEEE标准会议上正式获得批准802.11j:实际上是日本
5、的802.11a标准,由于802.11a所定义的5GHz频段在日本无法使用,802.11j定义了新的4.95GHz的工作频段。802.11n:下一个无线新标准,对PHY层和MAC层进行了优化,同时支持2.4GHz和5GHz频段,并采用了MIMO技术,使吞吐量大大增加,该标准定义的WLAN的传输速率至少将达到100Mbps(MAC层速度),使通过WLAN的多媒体和家庭娱乐应用成为可能,势必成为802.11b、802.11a、802.11g之后WLAN领域的另一场重头戏。802.11n标准的第一个草案(Draft)在2006年1月发布,预计在2006年底或2007年初标准将正式通过。,Wirele
6、ss其他相关组织和协议,Wi-Fi联盟成立于1999年的Wi-Fi联盟是一个非牟利国际协会,旨在认证基于IEEE 802.11规格的无线局域网产品的互操作性和推动wireless新标准的制定目前已知的相关标准WPA:802.11i的子集,支持802.1x认证以及TKIP加密算法WPA2:802.11iWMM:802.1e的子集,支持EDCA方式WAPI中国无线网络产品国标中安全机制的标准,包括无线局域网鉴别(WAI)和保密基础结构(WPI)两部分。核心技术由西安捷通公司掌握。由于其加密算法未公开,只能购买指定公司的加密芯片,因此遭到国外大多数公司的抵制。,Contents,WLAN基础概念工作
7、原理简介IEEE802.11基本协议IEEE802.11其他协议其它,无线传输的干扰因素-障碍物,电磁波的穿透性能是和频率相关的。当发射功率不足够大时,在建筑物后形成无线覆盖盲区。,无线传输的干扰因素-多径干扰,无线传输的干扰因素电磁干扰,2.4GHz为ISM频段,不需授权即可使用。同一区域内AP之间的互相干扰,干扰方式分为同信道干扰和邻信道干扰。其他干扰源微波炉医疗设备双向寻呼系统脉冲雷达系统其它无线通讯系统干扰的存在会使系统的整体性能有非常明显的下降,在有些时候甚至会失去工作的能力。,有效带宽吞吐率,标准定义了空口带宽,按标准协议去实现的话,理论带宽(1500字节)核算,利用为:50%左右
8、(11b:11M vs 5.5M;11g:54M vs 24.7M);从调制原理的角度出发,AP接入用户数基本均分其有效带宽;其他用于协议封装或冲突避免开销无线环境不停的变化物理建筑的构成共享介质用户数数据量,WLAN覆盖范围,802.11g的理论覆盖与802.11b的相同,比802.11a覆盖距离要大802.11b的覆盖距离及与速率间的关系见表中描述,随机退避,当 STA 需要发送帧时,如果信道空闲,则等待 DIFS在发送数据;如果信道正被其他 STA 占用,则应在信道空闲后等待 DIFS再进行随机退避后进行发送随机退避时间以 SlotTime 为单位,用一个减计数器保存,初始值为随机整数,
9、称为竞争窗口(Contention Window,CW)在退避窗口期间,计数器每过 SlotTime 减一计数器减到零之前,如果信道上有信号发送,则退避窗口结束,计数器暂停,到下次退避窗口时再继续计数若计数器计到零,且信道上没有侦听到信号,则 STA 在下一个 SlotTime 时将帧发送,同时保持对信道的控制权直到帧序列传输完成或出现异常(未收到对方响应)发送完成后,应生成新的竞争窗口继续执行随机退避的操作,Contents,WLAN基础概念工作原理简介IEEE802.11基本协议IEEE802.11其他协议其它,WLAN的接入模式,Ad hoc(peer to peer)无需AP,不能接入
10、到有线网络中。Infrastructure覆盖区域为基本服务区(BSS);通讯均通过AP;AP可以连接到有线网络。,WLAN基础概念解释,SSIDSSIDService Set ID 无线网络系统的业务标识符。一般情况,SSID不作为一种加密方式。由AP周期的向外广播。无线用户端可以搜索到空中有哪些无线网络。有些AP可以禁止SSID的广播,此时ESSID具备一定的安全性。WPAWi-Fi Protected Access加密比特位数为128bits。数据报完整性检测采用MIC(Message Intigrity Check)加密密钥为动态。每一个用户,每一个会话,每一个数据包使用不同的密钥TK
11、IP(Temporal Key Integrity Protocol)用于密钥的分发及管理。密钥数可达500,000,000,000。(WEP为224)采用802.1x用户认证方式。支持EAP-TLS,EAP-TTLS,PEAP,WLAN基础概念解释,WPA2WPA2支持128bits,192bits,256bits采用AES(Advanced Encryption Standard)兼容WPA1.0支持TKIP,PSK用来加密所有的802.11设备。(包括802.11b,802.11a,802.11g等等)EAPEAP的类型:EAP-MD5、EAP-SIM、EAP-TLS、EAP-TTLS(
12、Funk)、PEAP(MicroSoft,Cisco,REA security)、LEAP(Cisco)EAP-MD5是最早的EAP认证类型。它是基于用户名,密码方式的认证。认证过程与CHAP认证过程基本相同。EAP-MD5代表了802.1x设备中对EAP最基本的支持。基于MAC地址的认证方式及基于SIM的认证方式都与EAP-MD5雷同。EAP-TLS是一种基于证书的认证方式,它是对用户端和认证服务器端进行双向认证的认证方式。它依赖于驻留在用户端和认证服务器端的证书来实现认证。并且动态产生每个用户及每个会话都不相同的密钥,用于AP与无线用户端的加密。,802.11 MAC层工作原理用户接入管理
13、过程,建立802.11数据链路,后续执行上层功能,诸如:MAC认证、802.1X认证、ARP、IP,二种发现机制:Beacon、Probe,802.11 MAC层工作原理-Encryption 加密,采用基于RC4对称流加密算法的WEP加密STA和AP需要预先配置相同的静态Key,Key的长度为40 bit或104bit每次对数据加密的Key静态Key24bit的IV值(IV值为动态生成)所有的STA共用相同的静态Key造成:当用户的STA丢失或者用户离职时需要对所有用户STA重新配置新的静态Key。静态Key泄漏被发现前,网络存在安全隐患24bit的IV值太短造成:Attacker可以在分析
14、侦听到的1M-4M用户报文后破解加密Key,WEP加密过程,802.11 MAC层工作原理漫游和同步,Wireless漫游的概念STA可以在属于同一个ESS的AP接入点接入,可以使用同一信道或不同信道;STA可以在Wireless网络中任意移动,同时保证已有的业务不中断,用户的标识(IP地址)不改变。Wireless漫游的分类二层漫游在同一个子网内的AP间漫游由于不涉及子网的变化,因此只需保证用户在AP间切换时访问网络的权限不变即可。为了保证快速的切换,通常都会利用STA在原有AP上使用的资源(例如Key等)三层漫游在不同子网内的AP间漫游除了要实现二层漫游中提到的内容以外,通常会采用一些特殊
15、手段来保证用户业务的不中断。目前较流行的做法有:Mobile IP、VLAN二层透传、GRE二层隧道、IP in IP三层隧道等,Contents,WLAN基础概念工作原理简介IEEE802.11基本协议IEEE802.11其他协议IEEE802.11iIEEE802.11eIEEE802.11f其它,从加密到安全,WEP够了吗?整个网络公用一个共享密钥,一旦丢失,整个网络都很危险。IV向量太短,且用明文传送,容易被监听 RC4加密算法本身过于简单。How to do?增加一种密钥管理机制 更高级的加密算法,802.11 i协议安全认证和加密,引入RSNA(robust security ne
16、twork association)概念 增强了STA和AP的认证机制支持802.1x认证,并采用双向认证方式有效的防止非法AP的使用支持Pre-shared key认证方式,该方式要求在STA侧预先配置Key,AP通过4次握手Key协商协议来验证STA侧Key的合法性增加了 Key的生成、管理以及传递的机制每用户使用独立的Key通过非对称密钥算法生成和传递用户数据加密使用的Key增加了两类对称加密算法,加密强度大大增强TKIP:核心仍然是RC4算法CCMP:核心为AES算法,802.11 i协议用户通过802.1x认证接入过程TLS认证举例,802.11 i协议Pre-authenticat
17、ion技术,优点:STA在切换AP以后不必在进行烦琐的802.1x认证和Key交换,加快了切换速度缺点:STA和周围接收范围内的所有AP都作认证消耗系统资源较大、需要STA软件支持,Pre-authentication过程:STA发现New APSTA通过Old AP以及有线网络和New AP进行802.1x认证和Key交换STA向New AP方向移动,由于New AP的信号强而决定切换APSTA发起Open-system Authentication和ReassociationSTA利用之前802.1x认证获取的Key发起4次握手协商过程协商成功STA开始传送数据报文,802.11 i协议K
18、ey caching技术,优点:STA在切换AP以后不必在进行烦琐的802.1x认证和Key交换,加快了切换速度缺点:需要STA软件支持,Key caching过程:STA第一次接入时(接入Old AP)采用正常的802.1x认证过程认证通过后STA把使用的PMK信息保存在Cache中STA向New AP发起Reassociation时协商使用PMK Cache方式做认证STA利用在Cache中保存的在Old AP中使用的PMK和New AP发起4次握手协商过程协商成功,STA开始传送数据报文Key的保存:STA保存在cache中,以便于在AP切换时使用New AP可以通过在STA Reass
19、ociation时从Old AP获取PMK信息或者每个AP向邻居AP定期发送连接的STA的 Key cache,Wi-Fi Protected Access,WPA 802.1X+EAP+TKIP User authentication 802.1X+Extensible Authentication Protocol(EAP)for enterprise authentication Pre-Shared Key for SOHO authenticationEncryption Temporal Key Integrity Protocol(TKIP)802.1X for dynamic
20、key distribution Message Integrity Check(MIC)a.k.a.“Michael”Algorithm,WPA认证,Step 1:Push PMK to AP802.1x认证的过程802.1x认证结束后,Radio为AP安装一个PMKStep 2:4-Way HandshakeStep 3:Group Key Handshake,Step 1:Authentication Overview,Step 2:4-Way Handshake,Step3:Group Key Handshake,STA,Contents,WLAN基础概念工作原理简介IEEE802.1
21、1基本协议IEEE802.11其他协议IEEE802.11iIEEE802.11eIEEE802.11f其它,802.11e 协议QOS保证,802.11e引入HCF(Hybrid Coordination Function)概念针对DCF模式的改进:EDCA(Enhanced Distributed Channel Access)支持8个业务优先级报文标记(IEEE 802.1d),可被映射到4个输出队列高优先级的报文通过设置较短的IFS和Contention window来优先获取无线空口的访问能力针对PCF模式的改进:HCCA(HCF Controlled Channel Access)
22、STA通过和AP协商data rate,delay,packet size等参数来形成针对该STA的调度机制,802.11e 协议QOS保证(续),IFS之间的关系,Contents,WLAN基础概念工作原理简介IEEE802.11基本协议IEEE802.11其他协议IEEE802.11iIEEE802.11eIEEE802.11f其它,802.11f 简介,802.11f 规定了如何实现 STA 在 ESS 内的漫游802.11 仅说明了 ESS 是由多个同一子网的 BSS 组成的,以及 STA 可以在同一 ESS 的不同 BSS 漫游这些概念,对具体的实施方法却没有任何描述,802.11f
23、 给出了一个支持漫游的 ESS 的实施框架,指导各厂商实现其 WLAN 产品的漫游功能它主要包括了一套基于 TCP/UDP 的 AP 间应用层通信协议,实现了 STA 管理信息在 AP 间的共享802.11f 的功能STA 接入,STA 通过关联帧关联到 BSS 后,其 AP 通过多播的 ADD 帧告知 ESS 内其他 APSTA 移动,STA 通过重关联帧关联到新的 BSS 后,新 AP 通过 MOVE 帧交互告知原 AP STA 已离开,同时获得 STA 的相关信息,并令 ESS 内其他 AP 周知预先 CATCH,AP 关联到新的 STA 后,会将这一 STA 的信息发送给与之相邻的 A
24、P,实现快速漫游,802.11f AP 启动与 STA 接入,AP 启动后,应打开应用于 IAPP 协议的 TCP 与 UDP 端口,IANA 规定的端口号是 3517根据设置的 ESS 安全等级,AP 可能需要与 RADIUS 服务器进行认证,以便获得加入 ESS 的资格,并获取密钥,用于与 RADIUS 服务器或其他 AP 通信STA 接入方法与原 802.11 相同,通过 STA 发出 Association Request 帧启动,802.11f STA 漫游,STA 通过发送 Reassociation Req.帧启动漫游操作AP 收到 Reassociation Req.后需要与
25、STA 的原 AP 通信,根据 ESS 安全等级,可能需要事先与 RADIUS 服务器通信获得与该 AP 通信的密钥新 AP 发出 IAPP-Move Req.到原 AP 请求并验证 STA 的信息,如果原 AP 回应的 Response 为成功,则新 AP 向 STA 报告重关联成功原 AP 发回成功的 IAPP-Move Resp.后,应进行该 STA 的解除关联操作,但并不一定要发出解除关联帧,802.11f 更新,在发生 STA 的接入或漫游后,AP 通过 IAPP 向 IAPP 多播地址 224.0.1.178 发出相应的 Notify 消息,以便使 ESS 内的三层设备包括其他 A
26、P 了解该 STA 的位置实现有效的转发,同时也使保存有该 STA 无效信息的 AP(如STA 未向原 AP 解除关联就向新 AP 发出关联请求的情况)释放无效信息除了上述动作,AP 还以该 STA 的 MAC 地址作为源地址发送一个二层空帧,以便使局部的二层设备学习到新的转发方向,Contents,WLAN基础概念工作原理简介IEEE802.11基本协议IEEE802.11其他协议IEEE802.11iIEEE802.11eIEEE802.11f其它,W系列产品协议栈,协议栈一定程度上反映了W系列产品支持的特性以及他们之间的工作层次关系W系列产品单独开发了二层转发模块用来处理以太和无线之间的
27、通信,并且在这个模块里支持了VLAN的处理W系列产品基本上属于二层设备,对于三层以上的协议支持较弱,是一个典型的纯接入型设备,WLAN关键技术瘦接入点和无线交换机,无线交换机,802.11 a/b/g,天线,加密,移动 IP,IPSec,认证,802.1x,TKIP,Qos,切换,802.11h,AP点监测,用户放火墙,网络自愈,RF 管理,无线欺骗防护,802.11a/b/g,移动 IP,IPSec,认证,802.1x,TKIP,Qos,切换,802.11h,天线,加密,更易管理的无线解决方案,“胖”AP,“瘦”AP,低成本AP,Internet,普通交换机,Internet,WLAN典型组
28、网模式,胖AP组网:包括AP、L2交换机、管理软件和业务软件,适合规模较小并对管理和漫游要求比较低的网络部署,典型产品是WA1208E系列无线网桥模式:分为点对点或点对多点(一般不超过六点),解决长距离无线连接问题,一般需要配定向天线,在无遮挡的情况下可达到20KM以上,典型产品是WA1208E-AGP(WDS模式)和WB2010/WB2011无线控制器FitAP组网:以无线控制器为核心的集中式维护管理,L2/L3层漫游特性,完善的安全体系使之更适合部署大型网络,并能与现存有线网络很好结合,实现增值服务。典型产品是3COM的WX4400/WX1200无线控制器/交换机和AP2750/AP375
29、0 瘦AP,如上图所示,WLAN两种典型组网模式比较,WLAN网络演进过程及未来发展趋势,演进:1999年802.11a/b发布,11a的缺点是覆盖距离短与前面的标准不兼容价格昂贵,11b的缺点是速率低,2003年11g的发布克服了上述2种标准的缺点集中了其优点。最初的企业WLAN网络形态是小规模的FAT AP。随着WLAN规模的增大,AP的管理成为问题,FIT AP AC的形式应运而生。带宽:目前的带宽为54M,在2007年,802.11n发布,带宽将有可能增加到600M,随着技术的进步,带宽还会越来越大,业务上除更好的宽带无线数据支持外,语音移动支持的能力也会越来越强网络:无线将从最初的有
30、线网络的补充,逐步成为基本的接入方式之一,成为网络的基础架构之一,企业网络产品形态从最初的FAT AP,到FIT AP+Centralized AC,最终向FIT AP+Distributed AC发展AP将向带宽更大,功能更简单,价格更便宜,兼容性更好的方向转变,AC的功能将更多的ASIC化应用从早期的数据接入,逐步对VoWLAN、视频等宽带应用提供支持,WiFi手机的价格下降,将更进一步促进无线局域网的发展。移动:多媒体应用:WIFI电话同3G电话无缝漫游、无线视频、娱乐,即时通信,目前国外的公司已经开始布置两套网络,一套是有线,一套是无线,有线传送数据,无线作为补充,提供无线漫游的电话业务RFID的无线应用范围很大,