《WLAN网络基础知识胶片.ppt》由会员分享,可在线阅读,更多相关《WLAN网络基础知识胶片.ppt(51页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、WLANWLAN网络基础知识网络基础知识无线产品拓展部无线产品拓展部日期:2007-11-1密级:内部公开杭州华三通信技术有限公司n概述概述n802.11 802.11 基础知识基础知识n802.11 802.11 安全技术安全技术n802.11 QoS802.11 QoS技术技术n802.11 802.11 快速漫游技术快速漫游技术目录目录2凡是自由空间均可连接网络,不受限于线缆和端口位置办公大楼候机大厅渡假山庄商务酒店无线让网络使用更自由无线让网络使用更自由3终端与交换设备之间省去布线,有效降低布线成本;适于特殊地理环境下的网络架设,如隧道、港口码头、高速公路;终端与设备之间不方便通过线缆
2、连接地理环境不适合布设有线网络无线让网络建设更经济,通信更便利无线让网络建设更经济,通信更便利4无线让工作更高效无线让工作更高效不受限于时间和地点的接入网络,满足各行各业对于网络应用的需求;体育场馆新闻中心展馆与证券大厅制造车间物流运输5WLANWLAN技术的发展进程技术的发展进程802.11802.11802.11b802.11b802.11a802.11a802.11g802.11g标准发布时间July 1997Sept 1999Sept 1999June 2003合法频宽83.5MHz83.5MHz325MHz83.5MHz频率范围 2.400-2.483GHz2.400-2.483GH
3、z5.150-5.350GHz 5.725-5.850GHz2.400-2.483GHz非重叠信道 33123物理发送速率1,21,2,5.5,116,9,12,18,24,36,48,546,9,12,18,24,36,48,54理论上的最大UDP吞吐量(1500 byte)1.7 Mbps7.1 Mbps30.9 Mbps30.9 Mbps理论上的TCP/IP吞吐量(1500 byte)1.6 Mbps5.9 Mbps24.4 Mbps24.4 M6IEEE 802.11IEEE 802.11无线局域网工作组无线局域网工作组 PHY802.11(1/2 Mbps)802.11b(5.5/1
4、1 Mbps)802.11g(54 Mbps)802.11a(54 Mbps)MAC802.11/11a/11b/11g MAC802.11f-漫游和切换漫游和切换802.11e-QoS802.11i 安全增强安全增强802.11n(300 Mbps)802.11s-mesh802.11r快速切换快速切换7无线局域网关注点无线局域网关注点 802.11无管理MAC认证、WEP加密无漫游低速无线接入802.11a/b 简单配置管理WPA认证TKIP加密L2漫游无线数据接入802.11g802.11g集中管理、射集中管理、射频环境管理频环境管理WPAWPA认证认证802.11i802.11i加密加
5、密L2 L2、L3 L3漫游漫游语音、数据、语音、数据、视频无线接入视频无线接入802.11n更强大的全网管理动态认证安全接入任意位置接入综合业务的无线承载作为有线的简单补充,实现无线基本接入功能1998年2000年2004年未来2M54/11M54M54M600M主要的接入层技术之一,扩展丰富增值业务功能:带宽、管理、安全、漫游、增值:带宽、管理、安全、漫游、增值规模应用8其他其他WLANWLAN相关组织和标准相关组织和标准Wi-Fi联盟成立于1999年的Wi-Fi联盟是一个非牟利国际协会,旨在认证基于IEEE 802.11规格的无线局域网产品的互操作性和推动wireless新标准的制定目前
6、已知的相关标准WPA:802.11i的子集,支持802.1x认证以及TKIP加密算法WPA2:802.11iWMM:802.11e的子集,支持EDCA方式CAPWAPIETF目前有关于无线交换机和FIT AP间控制和管理标准化的工作组比较重要的标准Architecture Taxonomy for CAPWAP(RFC 4118)LWAPP(最新的草案更名为CAPWAP specification)9WLANWLAN产品对人体的电磁辐射是安全的产品对人体的电磁辐射是安全的l很多的研究已经证明,WLAN产品可以在家庭及商业中使用,对人体来说是安全。l典型的WLAN产品输出功率为100mw(AP)
7、,对于网卡来说,通常只有10mw至50mw。l相比较来说,手机的发射功率在通话时可以超过1W,而无线对讲机甚至可以达到5 W!l政府有相关的法令对发射功率进行严格的限制。10DirectSignalReflectedSignalsAlsoMultipath fadingPC CardAccess Point(AP)无线传输的干扰因素无线传输的干扰因素-多径干扰多径干扰11功率在穿过障碍物后衰减墙,门,等等电磁波的穿透性能是和频率相关的。电磁波的穿透性能是和频率相关的。当发射功率不足够大时,在建筑物后形成无线覆盖盲区当发射功率不足够大时,在建筑物后形成无线覆盖盲区。无线传输的干扰因素无线传输的干
8、扰因素-障碍物障碍物12无线传输的干扰因素无线传输的干扰因素 电磁干扰电磁干扰l2.4GHz为ISM频段,不需授权即可使用。l同一区域内AP之间的互相干扰,干扰方式分为同信道干扰和邻信道干扰。l其他干扰源 -微波炉 -医疗设备 -双向寻呼系统 -脉冲雷达系统 -其它无线通讯系统l干扰的存在会使系统的整体性能有非常明显的下降,在有些时候甚至会失去工作的能力。13有效带宽有效带宽 吞吐率吞吐率l802.11b标准描述的速率为11 Mbps,实际可获得的速率为一半(4-6 Mbps max)l802.11g标准描述的速率为54 Mbps,实际可获得的速率为一半(10-30 Mbps max)lAP接
9、入的用户数基本可以均分其有效带宽l其他用于协议封装或冲突避免开销l不稳定是无线通讯的本性l无线环境不停的变化l物理建筑的构成l共享介质l用户数l数据量14WLANWLAN覆盖范围覆盖范围802.11g的理论覆盖与802.11b的相同,比802.11a覆盖距离增加50802.11b的覆盖距离及与速率间的关系见表中描述15真实的真实的802.11b/g802.11b/g覆盖范围覆盖范围l所有的802.11b产品提供商在文档上都说,在缺省配置下,室外覆盖距离可达300米,室内可达100米。l而在实际中,覆盖距离更依赖于实际环境。l一般来说,速率为1/2Mbps时,覆盖距离可到40-90米。速率为11
10、Mbps时,覆盖距离只有10-30米。l影响覆盖范围的因素 -建筑结构 -电磁设备n概述概述n802.11 802.11 基础知识基础知识n802.11 802.11 安全技术安全技术n802.11 QoS802.11 QoS技术技术n802.11 802.11 快速漫游技术快速漫游技术目录目录17802.11网络的基本元素网络的基本元素-BSS能互相进行无线通信的能互相进行无线通信的STASTA可以组成一个可以组成一个BSSBSS(Basic Service SetBasic Service Set)BSSBSS是是802.11802.11网络的基本结构网络的基本结构1208EBSS1120
11、8EBSS2STA1STA2STA3STA5STA6STA18802.11网络的基本元素网络的基本元素 ESSESS(Extended Service Set)ESS(Extended Service Set)是采用相同的是采用相同的SSIDSSID的多个的多个BSSBSS形成的更大规模的虚形成的更大规模的虚拟拟BSSBSSDSESSBSS2AP2Service set identify (SSID1)BSS1AP1Service set identify (SSID1)1208E1208E19802.11网络的基本元素网络的基本元素 SSID和和BSSIDAP1AP2BSSID1SSIDSS
12、ID“marketing”SSID“marketing”ESSBSSID1SSIDSSIDSSID是一个是一个ESSESS的网络标识的网络标识BSSIDBSSID是一个是一个BSSBSS的标识的标识1208E1208E20802.11 组网模式组网模式 Ad 21802.11组网模式组网模式 单一单一 BSS以太网1208E22以太网802.11组网模式组网模式 多个多个BSS1208E1208E23802.11 MAC访问机制 DCF方式IFSIFS推迟发送直到推迟发送直到媒体空闲媒体空闲IFS时间长度时间长度BusyFrameContention windowback-off定时启动定时启
13、动Medium busySend frameTimeDCF方式基于CSMA/CA原理24不同类型的报文可以通过采用不同IFS时长来区分访问媒体的优先级SIFS:用于优先级最高的时间敏感的控制报文(例如 CTS,RTS,ACK)PIFS:用于AP发送报文DIFS:用于一般的STA发送报文最终的效果是控制报文比数据报文优先获得媒体发送权,AP比STA优先获得媒体发送权SIFSBusyFrameTimePIFSDIFSContention window802.11 MAC访问机制 DCF方式(续)25无线通信中存在的隐藏站点问题无线通信中存在的隐藏站点问题由于无线电波传输范围有限,导致一台由于无线电
14、波传输范围有限,导致一台 STA STA 有可能无法侦听到同信道其他有可能无法侦听到同信道其他 STA STA 发出的信号,从而误以为信道空闲,引起冲突发出的信号,从而误以为信道空闲,引起冲突ABC?26发送允许发送报文需要 xxx 时间请求发送报文需要 xxx 时间802.11发送报文的发送报文的RTS/CTS机制机制通过通过 RTS/CTS RTS/CTS 的交互,使得的交互,使得 STA STA 得知隐藏站点传输数据所需的时间,从而得知隐藏站点传输数据所需的时间,从而避免冲突避免冲突ABCxxx 时间内信道忙27基于RTS/CTS机制的典型报文发送过程STA1APSTA2RTS请求发送C
15、TS同意发送STA1-STA2的数据ACK发送确认RTS请求发送CTS同意发送STA1-STA2的数据ACK发送确认1208E28数据帧用户的数据报文控制帧协助发送数据帧的控制报文,例如:RTS、CTS,ACK报文管理帧负责STA和AP之间的能力级的交互,认证、关联等管理工作802.11 报文分类29802.11 管理功能 用户接入过程STAAP 通过Scanning选择AP(采用侦听Beacon帧或发送Probe帧)AuthenticationAssociation和建立Association关系的AP收发数据1208E30802.11 MAC 使用Scanning来搜索APSTA搜索并连接
16、一个AP当STA漫游时寻找连接一个新的APSTA会在在每个可用的信道上进行搜索Passive Scanning通过侦听AP定期发送的Beacon帧来发现网络Active Scanning在每个信道上发送Probe request报文,从AP回复的Probe Response中获取AP的基本信息802.11 管理功能-S31802.11 管理功能-AuthenticationSTAAPAuthentication requestAuthentication Response (success)STAAPAuthentication requestPlain text challengeCiphe
17、r text challengeAuthentication Response (success)预置Key用Key加密明文密文解密和明文比较预置Key1208E1208EOpen-system Authentication过程SharedKey Authentication过程32AssociationSTA通过Association和一个AP建立关联,后续的数据报文的收发只能和建立Association关系的AP进行ReassociationSTA在从一个老的AP移动到新AP时通过Reassociation和新AP建立关联Reassociation前必须经历Authentication过程
18、DeassociationSTA通过Deassociation和AP解除关联关系STAAPAssociation request (SSID)Association Response (Association ID)STANew AP数据Old AP检测到New AP信号强Reassociation请求(old AP address)DeassociationReassociation应答802.11 管理功能-Associationn概述概述n802.11 802.11 基础知识基础知识n802.11 802.11 安全技术安全技术n802.11 QoS802.11 QoS技术技术n802.
19、11 802.11 快速漫游技术快速漫游技术目录目录34802.11认证开放系统认证认证开放系统认证p开放系统身份认证开放系统身份认证(open-systern(open-systern authentication)authentication)开放系统是开放系统是802.11 802.11 要求必备的方式。要求必备的方式。在开放系统身份认证中,在开放系统身份认证中,APAP并未验并未验证移动式工作站的真实身份。无线证移动式工作站的真实身份。无线终端以终端以MACMAC地址为其身份证明。和地址为其身份证明。和Ethernet Ethernet 网络一样,网络上的网络一样,网络上的MAC MA
20、C 地址必须独一无二。开放系统地址必须独一无二。开放系统下用户不需要认证只要下用户不需要认证只要MACMAC地址唯地址唯一即可接入网络。一即可接入网络。STAAPAuthentication requestAuthentication Response (success)35p MAC MAC地址认证地址认证 MAC MAC 地址过滤是相当常见的做法,几乎所有产品均有支持。地址过滤是相当常见的做法,几乎所有产品均有支持。APAP上维护了一份经过授权的上维护了一份经过授权的MAC MAC 地址清单,不在名单上的工地址清单,不在名单上的工作站。网管人员可以键入一组经过授权的工作站地址,只要是作站。
21、网管人员可以键入一组经过授权的工作站地址,只要是表上有名的工作站就可以跟网络连接。表上有名的工作站就可以跟网络连接。802.11认证认证 MAC地址认证地址认证36802.11802.11认证共享密钥认证认证共享密钥认证认证共享密钥认证认证共享密钥认证n共享密钥认证共享密钥认证(shared-key(shared-key authenticationauthentication)共享密钥身份认证(shared-key authentication)必须使用WEP,因此只能用于实现了WEP的产品上,虽然目前已经很难找到不支持WEP 的产品。正如其名,共享密钥身份认证要求在进行身份认证之前,必须传
22、递共享密钥给无线终端。共享密钥身份认证的理论基础是,如能成功回应传给它的挑战信息,就证明工作站拥有共享密钥。双方交换密钥成功后,终端认证通过。STAAPAuthentication requestPlain text challengeCipher text challengeAuthentication Response (success)预置Key用Key加密明文密文解密和明文比较预置K37PSKPSK(Pre-shared keyPre-shared key)认证方式)认证方式 该方式要求在该方式要求在STASTA侧预先配置侧预先配置KeyKey,APAP通过通过4 4次握手次握手Key
23、Key协商协协商协议来验证议来验证STASTA侧侧KeyKey的合法性。的合法性。对没有什么重要数据的小型网络而言,可以使用对没有什么重要数据的小型网络而言,可以使用WPAWPAPSK PSK 的预的预设共享密钥模式。主要把预设共享密钥方式的设共享密钥模式。主要把预设共享密钥方式的WPA-PSK WPA-PSK 应用于应用于小型、风险低的网络以及不需太多保护的网络用户。小型、风险低的网络以及不需太多保护的网络用户。对大企业而言,安全性要求较高,更多的使用对大企业而言,安全性要求较高,更多的使用802.1X802.1X。802.11802.11认证认证认证认证 PSKPSK认证认证认证认证388
24、02.1x802.1x标准简介标准简介:802.1x 802.1x是基于端口的网络接入控制协议是基于端口的网络接入控制协议,它提供了一个认证过程框架,支持它提供了一个认证过程框架,支持多种认证协议在多种认证协议在802.1x802.1x中,不同的认证协议统一使用中,不同的认证协议统一使用EAPEAP封装格式。也就是封装格式。也就是说:说:802.1x802.1x只是对认证进行控制,是接入认证的手段,具体认证还需要其它只是对认证进行控制,是接入认证的手段,具体认证还需要其它认证协议。认证协议。基于端口的网络接入控制:基于端口的网络接入控制:是指在局域网接入控制设备的端口这一级对所接入的设备进行认
25、证和控制。连是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源不能通过认证,则无法访问局域网中的资源相当于物理连接被断开。相当于物理连接被断开。EAPEAP的类型包括的类型包括:EAP-MD5EAP-MD5:最早的:最早的EAPEAP认证类型。它是基于用户名,密码认证类型。它是基于用户名,密码 方式的认证。方式的认证。认证过程与认证过程与CHAPCHAP认证过程基本相同。认证过程基本相同。EAP-TLSEAP
26、-TLS:是一种基于证书的认证方式,它是对用户端和认证服务器端进行:是一种基于证书的认证方式,它是对用户端和认证服务器端进行双向证书认证的认证方式双向证书认证的认证方式 PEAPPEAP :是一种基于证书的认证方式,服务器侧采用证书认证,客户端侧采:是一种基于证书的认证方式,服务器侧采用证书认证,客户端侧采用用户名密码认证用用户名密码认证802.11802.11认证认证认证认证 802.1X802.1X认证认证认证认证39802.11加密加密-WEP加密加密STAAP加密报文IV值IV静态KeyKey生成器Key流XOR用户数据明文发送的加密报文IV静态KeyKey生成器Key流XOR用户数据
27、明文接收的加密报文1208E40从加密到安全从加密到安全WEPWEP够了吗?够了吗?整个网络公用一个共享密钥,一旦丢失,整个网络都很危险整个网络公用一个共享密钥,一旦丢失,整个网络都很危险IVIV向量太短,向量太短,大量监听用户数据报文后,大量监听用户数据报文后,WEPWEP加密很容易被破解加密很容易被破解RC4RC4加密算法本身过于简单加密算法本身过于简单 解决办法?解决办法?增加一种密钥管理机制增加一种密钥管理机制采用更强壮的加密算法采用更强壮的加密算法 41增加了增加了 KeyKey的生成、管理以及传递的机制的生成、管理以及传递的机制每用户使用独立的Key通过安全的传递方法传递用户数据加
28、密使用的Key增加了两类对称加密算法,加密强度大大增强增加了两类对称加密算法,加密强度大大增强TKIP:TKIP核心仍然是RC4算法,改进了WEP的某些缺陷,加强安全性CCMP:核心为AES算法802.11i加密加密n概述概述n802.11 802.11 基础知识基础知识n802.11 802.11 安全技术安全技术n802.11 QoS802.11 QoS技术技术n802.11 802.11 快速漫游技术快速漫游技术目录目录43802.11技术在技术在QOS方面存在的缺陷方面存在的缺陷 最初的最初的802.11802.11技术是为满足用户的数据传输而设计的,根本没技术是为满足用户的数据传输而
29、设计的,根本没有考虑多业务承载有考虑多业务承载802.11采用的DCF调度模式是基于CSMA/CA原理,最终的效果是,所有用户发送的报文平等地竞争无线资源由于没有区分业务优先级的机制,造成AP和终端在对外发送报文时对报文按同等优先级对待。当发生流量拥塞时,需要优先处理的报文(例如语音报文)和普通的报文(例如浏览网页的报文)会按相同的概率被丢弃和有线网络相对完善的QOS机制无法很好的衔接44802.11e 协议协议QOS保证保证802.11e针对针对DCF模式进行了改进,支持模式进行了改进,支持EDCA的媒体访问机制的媒体访问机制支持8个业务优先级的报文标记(类似于有线网络中的802.1P)业务
30、优先级可被映射到4个输出队列高优先级的报文优先获取无线空口的访问能力45802.11e 协议协议EDCA调度模式调度模式优先级队列1优先级队列2优先级队列3优先级队列4BusyFrameTimeAIFS4CW4AIFS3CW3FrameAIFS2CW2FrameAIFS1CW1FrameAP和用户等待向无线空口发送的数据的调度机制:n概述概述n802.11 802.11 基础知识基础知识n802.11 802.11 安全技术安全技术n802.11 QoS802.11 QoS技术技术n802.11 802.11 快速漫游技术快速漫游技术目录目录47漫游概念漫游概念802.11 802.11 只提
31、到漫游(只提到漫游(roamingroaming)这个字眼。但对实现过程没有作具体)这个字眼。但对实现过程没有作具体的规定,一般而言,多数人都认为漫游就是终端从一个的规定,一般而言,多数人都认为漫游就是终端从一个APAP转换到另一转换到另一个个APAP即无线终端从一个即无线终端从一个BSSBSS服务集移动接入到另外一个服务集的过程。服务集移动接入到另外一个服务集的过程。如下图:如下图:便携机从便携机从AP1AP1(BSS1BSS1)的位置向)的位置向AP2(BSS2)AP2(BSS2)移动,在业务不间断的情况下,接入到移动,在业务不间断的情况下,接入到AP2AP2。STAAPAP1208E12
32、08E移动ESS48Wireless漫游的分类漫游的分类二层漫游在同一个子网内的AP间漫游三层漫游在不同子网内的AP间漫游VLAN1IP:1.0.0.1VLAN1AP1208E1208EAPVLAN1L2网络STA移动二层漫游VLAN1IP:1.0.0.1VLAN1AP1208E1208EAPVLAN2L3网络STA移动三层漫游49快速漫游技术快速漫游技术Key cachingKey caching过程:1.STA第一次接入时(接入Old AP)采用正常的802.1x认证过程2.认证通过后STA把使用的PMK信息保存在Cache中3.STA向New AP发起Reassociation时协商使用PMK Cache方式做认证4.STA利用在Cache中保存的在Old AP中使用的PMK和New AP发起4次握手协商过程5.协商成功,STA开始传送数据报文STAAPPMK CacheXXXXXXXNew APOld APSTA1PMK CacheXXXXXXXSTA1PMK CacheXXXXXXX1208E1208ESTA在切换AP以后不必在进行烦琐的802.1x认证和Key交换,加快了切换速度杭州华三通信技术有限公司