《第11讲:计算机网络故障诊断与排除---无线网络故障诊断与排除2016-12ppt课件(全).ppt》由会员分享,可在线阅读,更多相关《第11讲:计算机网络故障诊断与排除---无线网络故障诊断与排除2016-12ppt课件(全).ppt(62页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、黎连业计算机网络故障诊断与排除计算机网络故障诊断与排除中科院计算所计算机职业技能培训中心中科院计算所计算机职业技能培训中心 计算机网络故障诊断与排除计算机网络故障诊断与排除讲座教材讲座教材 计算机网络故障诊断与排除计算机网络故障诊断与排除第第 3 3 版版 清华大学清华大学出版社出版社(2016.12)第第11讲:讲:无线网络故障诊断与排除无线网络故障诊断与排除 本章重点介绍以下内容:无线网络概述;无线网络标准;无线网络中的安全缺陷;无线网络的故障诊断与排除方法;室外型无线网桥故障现象和解决方法;无线交换机故障诊断与排除方法;无线路由器故障诊断与排除方法;无线网卡故障诊断与排除方法。11.1
2、无线网络概述 在计算机网络工程中,不仅要做有线的而且还要做无线的,无线网络发展的势头越来越大,本章将讨论无线网络的基础和工程的建设。11.1.1 无线网络的概念 近来年,由于无线通信技术的发展,出现了移动上网,无线Internet。尤其是10M/100M无线局域网络的推出,使无线网络出现了新的生机。w无线网络采用与有线网络同样的工作方法,它们按PC、服务器、工作站、网络操作系统、无线适配器和访问点通过电缆连接建立网络。w无线局域网络是指以无线信道作传输媒介的计算机局域网WLAN(Wireless Local Area Network)。w计算机无线联网方式是有线联网方式的一种补充,它是在有线网
3、的基础上发展起来的,使网上的计算机具有可移动性。能快速、方便地解决以有线方式不易实现的网络信道的连通问题。无线连网要解决二个主要问题:w通信信道的实现与性能;w提供像有线网络系统那样的网络服务功能。对于第一点的基本要求是:工作稳定、数据传输率高(大于1Mbps)、抗干扰、误码率低、频道利用率高、具有保密性、收发的单一性、可以进行有效的数据提取。对于第二点的基本要求是:现有的网络系统应能在其中运行,即要兼容有线网络的软件,使用户能透明地操作而无需考虑网络环境。11.1.2 无线网络通信传输媒介 目前,计算机无线通信传输手段有两种:w无线电波:即短波或超短波、微波。w光波。即激光、红外线。短波,超
4、短波类似电台或电视台广播,采用调幅、调频或调相的载波,通信距离可达数十公里。这种通信方式早已用于计算机通信,但其速率慢、保密性差、没有通信的单一性、易受其它电台或电气设备的干扰,使之可靠性差。另外频道、频度都要专门申请,因此一般不用作为无线联网。微波:以微波收、发机作为计算机网的通信信道。因为微波的频率很高,所以能够实现数据传输高速率,受气候条件环境影响很小。它的频率范围=300GHz 内。微波波段又可分为:分米波、厘米波、毫米波,还有用字母命名更细分微波各波段的。微波波段划分如下:微波的波长很短,具有如下特性:w直线传播。w频谱宽,携带信息容量大。w微波元器件受尺寸大小的影响。w微波受金属物
5、体屏蔽,但能穿越非金属物体,但耗损大。w可穿透大气层,向外空传播。11.1.3 无线网络的互连设备 2以太网桥接器(Ethernet Bridge),用以连接无PCI槽,无USB口但具有以太网接口的设备3无线局域网接入点(Access Point)w 网桥(Bridge)-点对点的桥接(Point-to-Point)-点对多点的桥接(Point-to-Multipoint)-无线客户端桥接器(AP Client)-无线中继器(Wireless Repeater)4 无线宽带路由器(Wireless Router)w无线路由器可用于完成计算机网络互联和不同协议的转换、网络地址的过滤。w无线路由器
6、由工业级微机、无线网卡、有线网卡及相应软件构成,视需要可有许多种变型的配置,它可以有多个有线接口和多个无线接口,用于进行网间(有线或无线)的路由选择与桥接,借助于技术,把地理上分离的,目前流行的多种有线或无线网相连。5无线交换机w无线交换机是把无线网络的流量集中起来,在布线间内与有线以太网交换机相连接,通过无线交换机整合无线网络的安全、管理和连接等各种功能,与无线交换机连接的是哑接入点,哑接入点与无线工作站或用户相连,哑接入点的成本仅有普通接入点AP的一半价位。7 无线E1/T1调制解调器w无线E1/T1调制解调器是一种全双工的无线调制解调器,为E1/T1和其他同步数据应用提供了解决方案。w它
7、支持DTE速率从64Kbps到2048Kbps,射频数据速率可达3Mbps。8无线集线器(hub)用在当很多用户需要在他们工作的一个区域内作灵活的移动,而仍然需要随时访问他们的网络设备时,以无线集线器来完成这个连接。11.2无线网络标准wIEEE 802又称为LMSC(LAN/MAN Standards Committee,局域网/城域网标准委员会),致力于研究局域网和城域网的物理层和MAC层规范。LMSC执行委员会(Executive Committee)下设工作组(Working Group)、研究组(Study Group)、技术顾问组(Technical Advisory Group)
8、。w目前,IEEE 802对无线网络标准分IEEE802.11系列标准、IEEE802.15系列标准、IEEE802.16和IEEE802.20系列标准。IEEE802.11系列研究的是无线局域网(Wireless LAN);IEEE802.15系列研究的是无线个人区域网(Wireless Personal Area Network);IEEE802.16系列研究的是宽带无线接入(无线城域网);IEEE802.20系列标准研究的是移动宽带无线接入广域网。wIEEE 802.11、IEEE802.15、IEEE802.16和IEEE802.20系列标准,在全球范围内,已经成为无线网络的主流标准。
9、11.21 IEEE802.11系列标准1.IEEE802.11标准的重要技术规定w1990年,IEEE执行委员会成立了802.11工作组,其目标是创建无线局域网(WLAN)标准,规定为:“所提议的无线LAN标准的作用范围是为局域网固定的、便携式和可移动站点的无线连接开发的规范。”最终的标准,即正式称为IEEE无线LAN介质访问控制(MAC)和物理层(PHY)规范,并像其它IEEE802的标准一样(如802.3、802.5)为此,规定了一些至关重要的技术机制。(1)CSMA/CA协议w我们知道总线型局域网在MAC层的标准协议是CSMA/CD,即载波侦听多点接入/冲突检测(Carrier Sen
10、se Multiple Access Collision Detection)。但由于无线产品的适配器不易检测信道是否存在冲突,因此802.11全新定义了一种新的协议,即载波侦听多点接入/避免冲撞CSMA/CA(Collision Avoidance)。一方面,载波侦听-查看介质是否空闲;另一方面,避免冲撞-通过随机的时间等待,使信号冲突发出的概率减到最小,当介质被侦听到空闲时,优先发送,不仅如此,为了系统更加稳固,802.11还提供了带确认帧ACK的CSMA/CA。在一旦遭受其他噪声干扰,或者由于侦听失败时,信号冲突就有可能发生,而这种工作于MAC层的ACK此时能够提供快速的恢复能力。(2)
11、RTS/CTS协议wRTS/CTS协议即请求发送/允许发送协议,相当于一种握手协议,主要用来解决“隐藏终端”问题。“隐藏终端”(Hidden Stations)是指,基站A向基站B发送信息,基站C未侦测到A也向B发送,故A和C同进将信号发送至B,引起信号冲突,最终导致发送至B的信号都丢失了,“隐藏终端”多发生在大型单元中(一般在室外环境),这将带来效率损失,并且需要错误恢复机制。当需要传送大容量文件时,尤其需要杜绝“隐藏终端”现象的发生。WaveLAN802.11提供了如下解决方案。在参数配置中,若使用RTS/TS协议,同进设置传送上限字节数-旦待传送的数据大于此上限值时,即启动RTS/CTS
12、握手协议:首先,A向B发送RTS信号,表明A要向B发送若干数据,B收到RTS后,向所有基站发出CTS信号,表明已准备就绪,A可以发送,其余基站暂时“按兵不动”,然后,A向B发送数据,最后,B接收完数据后,即向所有基站广播ACK确认帧,这样,所有基站又重新可以平等侦听、竞争信道了。(3)信包重整w当传送帧受到严重干扰时,必定要重传。因此若一个信包越大时,所需重传的耗费(时间、控制信号、恢复机制)也就越大;这时,若减小帧尺寸,把大信包分割为若干小信包,即使重传,也只是重传一个小信包,耗费相对小的多。这样就能大大提高新产品在噪声干扰地区的抗干扰能力。当然,作为一个可选项,用户若在一个“干净”地区,也
13、可关闭这项功能。(4)多信道漫游w人类是无限追求自由的,随着移动计算设备的日益普及,我们希望出现一种真正无所羁绊的网络接入设备。WaveLAN802.11就是这样的一种设备。传输频带是在接入设备AP(Access Point)上设置的,而基站不需要设置固定频带,并且基站具有自动识别功能,基站动态调频到AP设定的频带,这个过程之为扫描(Scan)。IEEE802.11定义了两种模式:被动扫描和主动扫描。被动扫描是指:基站侦听AP发出的指示信号,并切换到给定的频带。WaveLAN802.11采用的是主动扫描,并且能结合天线灵敏度,经信号最佳的信道确定为当前传输信道。这样,当原来位于接入点AP(A)
14、覆盖范围内的基站漫游到接入点AP(B)时,基站能自适应,重新以AP(B)为当前接入点。2.IEEE 802.11家族w802.11系列规范主要从WLAN的物理层(PHY)和媒体访问控制层(MAC)两个层面制订系列规范,物理层标准规定了无线传输信号等基础规范,如802.11e、80211f和802.11i。历经十几年的发展,802.11已经从最初的802.11、802.11a、802.11b发展到了目前的802.11z等28种标准(包括目前在制定的)。1)IEEE 802.11,1997年,原始标准(2Mbit/s,工作在2.4GHz)。2)IEEE 802.11a,1999年,物理层补充(54
15、Mbit/s,工作在5GHz)。3)IEEE 802.11b,1999年,物理层补充(11Mbit/s工作在2.4GHz)。4)IEEE 802.11c,符合802.1D的媒体接入控制层桥接(MAC Layer Bridging)。5)IEEE 802.11d,根据各国无线电规定做的调整。6)IEEE 802.11e,对服务等级(Quality of Service,QoS)的支持。改进和管理WLAN的服务质量,保证能在802.11无线网络上进行话音、音频、视频等多媒体业务的传输。7)IEEE 802.11f,基站的互连性(IAPP,Inter-Access Point Protocol),实
16、现不同厂商无线局域网之间的互操作,保证网络内访问点之间信息的互换。2006年2月被IEEE批准撤销。8)IEEE 802.11g,2003年,物理层补充(54Mbit/s,工作在2.4GHz)。是802.11的扩充,通过提高数据率,来增强802.11b兼容网络的性能和应用。9)IEEE 802.11h,2004年,无线覆盖半径的调整,室内(indoor)和室外(outdoor)信道(5GHz频段)。增强5GHz波段的802.11MAC规范及802.11b高速物理层规范。10)IEEE 802.11i,2004年,无线网络的安全方面的补充。增强WLAN的安全和鉴别机制。11)IEEE 802.1
17、1j,2004年,根据日本规定做的升级。12)IEEE 802.11k,2008年,该协议规范规定了无线局域网络频谱测量规范。该规范的制订体现了无线局域网络对频谱资源智能化使用的需求。13)IEEE 802.11l,预留及准备不使用。14)IEEE 802.11m,维护标准;互斥及极限。15)IEEE 802.11n,2008年,更高传输速率的改善,支持多输入多输出技术(Multi-Input Multi-Output,MIMO)。WLAN的传输速率由目前802.11a及802.11g提供的54Mbps、108Mbps,提升传输速度,目标突破100M bps,最高速率可达320Mbps,成为8
18、02.11b、802.11a、802.11g之后的另一个 重要标准。和以往的802.11标准不同,802.11n协议为双频工作模式(包含2.4GHz和5.8GHz两个工作频段),保障了与以往的 802.11a/b/g标准兼容。16)IEEE 802.11o,目前还在制定当中,针对VOWLAN(Voice over WLAN)而制订,更快速的无限跨区切换,以及读取语音(voice)比数据(Data)有更高的传输优先权。17)IEEE 802.11p,目前还在制定当中,针对汽车通信的特殊环境而出炉的标准。最初的设订是在300M距离内能有6MBPS的传输速度。它工作于5.9GHz的频段,并拥有 10
19、00英尺的传输距离和6Mbps的数据速率。802.11p将用于收费站交费、汽车安全业务、通过汽车的电子商务等很多方面。w从技术上来看,802.11p对802.11进行了多项针对汽车这样的特殊环境的改进,如切换更先进、更支持移动环境、增强了安全性、加强了身份认证等等。18)IEEE 802.11Q,目前还在制定当中,制订支援VLAN(virtual LAN,虚拟区域网路)的机制。19)IEEE 802.11r,2008年,快速基础服务转移,主要是用来解决客户端在不同无线网络AP间切换时的延迟问题。20)IEEE 802.11v,无线网络管理是最新成立的小组,其任务将基于802.11k所取得的成果
20、。802.11v主要面对的是运营商,致力于增强由Wi-Fi网络提供的服务。21)IEEE 802.11w,2009年,针对802.11管理帧的保护。22)IEEE 802.11x,预留及准备不使用。留作定义无线局域网技术标准的一系列“IEEE 802.11x”。23)IEEE 802.11y,2008年,针对美国36503700 MHz 的规定。24)IEEE 802.11z,是一种专门为了加强无线局域网安全的标准,是802.11工作组提高点对点连接的规范。w除了上面的IEEE标准,另外有:25)一个被称为IEEE 802.11b+的技术,通过PBCC技术(Packet Binary Conv
21、olutional Code)在IEEE 802.11b(2.4GHz频段)基础上提供22Mbit/s的数据传输速率。但这事实上并不是一个IEEE的公开标准,而是一项产权私有的技术,产权属于美国德州仪器公司。26)802.11ac,将允许企业或家庭用户实现无缝漫游,并且在漫游过程中能支持Wi-Fi产品安装相应的安全,管理,诊断等应用管理策略。此外,802.11ac还将向后兼容全系列的现有和新兴的802.11标准,如支持802.11i安全标准,以及802.11s的无线网状网。27)IEEE802.11ad,VHT研究小组还提出了利用60GHz频带等毫米波频带的标准化项目方案,项目名称为IEEE8
22、02.11ad,预定最早于2009年1月启动标准化活动。28)IEEE802.11 VTS SG,无线局域网工作组正式决定成立“IEEE 802.11 Study Group for Video Transport Streams”(IEEE 802.11 影像传输流研究小组,简称IEEE802.11 VTS SG)。影像传输流研究小组将探讨在IEEE802.11规格中追加支持影像传输的技术规格。影像传输流研究小组组长Stuart Kerry在给企业发出的电子邮件中,宣布了影像传输流研究小组成立的消息。wIEEE 802.11影像传输流研究小组将讨论在利用IEEE802.11规格无线LAN进行
23、影像流式发送时,如何强化MAC及PHY层技术来提高传输性能。比如 将具体讨论在确立IEEE802.11QoS功能的IEEE802.11e规格中追加新规格、同时还将讨论IEEE802.11的向前纠错(FEC)方法 等。该研究组将对提案进行审查确定,以准备今后成立正式的定义影像传输技术规格的任务组。11.22 802.11的具体特征w802.11的特征主要有:(1)提供异频和限时发送服务;(2)调节适应1Mbit/s和2Mbit/s的传输速率;(3)支持大部分市场的应用;(4)多显传递(包括广播发送)服务;(5)网络管理服务(6)注册和认证服务;(7)适应建筑物内部,如办公室、银行、商店、购物商场
24、、医院、生产车间和住处;(8)适应建筑物外部,如停车场、校园、综合建筑等;(9)电源管理;(10)带意;(11)安全性;(12)寻址。11.23 IEEE802.11拓朴结构wIEEE802.11拓朴结构有二种:独立基础服务群(IBSS)网络;扩展服务群(IESS)网络;w在这两种拓朴结构下,802.11标准认可的移动类型有:不迁移型(No transition)这种移动类型指那些移动的站点和局部BSS内移动的站点。BSS迁移型(BSS transition)这种类型指站点从ESS中的一个BSS移动到相同ESS中的另一个BSS。11.24 IEEE802.11逻辑结构wIEEE802.11的逻
25、辑结构,如图11-4所示。w图11-4说明每个站点所应用的802.11标准的逻辑结构是由LLC、MAC、和多个PHY中的一个组成。wLLC逻辑链路控制层(Logical Link Control Layer)是IEEE802.11模型的最高层,提供与传统数据链路控制协议相似的功能。wMAC介质向控制层(Medium Access Control Layer)是IEEE802.11网络中两个对等的MAC实体可以通过一个物理层进行互换。它的目的是在LLC层支持下,为共享介质PHY提供访问控制功能,如寻址方式、访问协调、帧校验序列生成和检查,以及LLC PDU的定界等。MAC是在LLC层的支持下,执
26、行寻址方式和帧控制功能。802.11标准利用CSMA/CA(载波监听多路访问/冲突防止)CSMA/CA不同于CSMA/CD(载波监听多路访问/冲突检测)因为在同一个信道上利用无线电收发器同时进行接收和传输是不可能的,所以无线网络采用的是CSMA/CA,对无线网络采取措施避免冲突而不是检测它的。w11.3 无线网络中的安全缺陷w无线网络的节点是一些有着相似的传输功率和计算能力的移动主机。网络内的移动主机之间的通信直接通过无线连接,网络的移动主机之间的通信通过多次跳转的路由来实现。在无线与固定线路的连接能力不足或无法实现的环境中发挥着重要的作用。它的应用涉及到国家安全、救援服务和军事通信。确保其安
27、全性极具挑战性。无线连接易受攻击;其次,在不友好的环境中漫游时缺乏相应的保护;再者,网络拓朴结构和网络成员会不断发生变化,对于数据的安全传输,非授权访问和拒绝服务(DOS)有着很大影响。w无线网络中的安全缺陷主要有:数据传输的安全缺陷、身份认证WEP的安全缺陷、“服务集标识符”SSID的安全缺陷、数据加密DES的安全缺陷、安全威胁。1.数据传输的安全缺陷w无线局域网通过无线电波在空中传输数据,不像有线网那样方便控制,所以在数据发射机覆盖区域内的几乎任何一个无线局域设备都能够接收到这些数据。如果没有合适的安全措施,网络上任何一个已注册用户都可以存取数据,没有采取屏蔽措施的空中传输信号,就可能被攻
28、击者利用。2.身份认证WEP的安全缺陷w无线网络最基本的安全措施是身份认证()。是所有经过认证的无线局域网所支持的一项标准功能。由电子与电气工程师协会()制定的用来提供基本的安全性保证,防止故意窃听,利用一套基于40位共享加密秘钥的4加密算法对网络中所有通过无线传送的数据进行加密。w加密密钥长度有64位和128位两种,其中有24Bit是由WLAN系统自动产生的,需要在AP和Station上配置的密钥就只有40位或104 位。WEP在接入点和客户端之间以RC4方式对分组信息进行加密的技术,由于它的密钥固定,初始向量仅为24位,算法强度并不算高,有安全漏洞:在密钥的传递过程中密钥本身容易被截获,密
29、码很容易被破解。有的“黑客”利用无线局域网认证与加密的安全漏洞,在短至几分钟的时间内,就可以破解密钥。w802.11标准规定了两种认证方式:开放系统认证和共享密钥认证。前者是默认的认证方法,任何移动站点都可加入BSS(Basic Service Set,基本服务集),并可以跟AP(Access Point,接入点)通信,能“听到”所有未加密的数据,可见,这种方法根本没有提供认证,当然,也就不存在安全性。后者是一种请求响应认证机制:AP在 收到工作站点STA的请求接入消息时发送询问消息,STA对询问消息使用共享密钥进行加密并送回AP,AP解密并校验消息的完整性,若成功,则允许STA 接入WLAN
30、。攻击者只需抓住加密前后的询问消息,加以简单的数学运算就可得到共享密钥生成的伪随机密码流,然后伪造合法的响应消息通过AP认证后接入WLAN。3.SSID的安全缺陷w服务集标识SSID(Service Set Identifier)技术将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。w服务集标识SSID身份验证方式脆弱,通常无线终端通过递交SSID作为依据接入AP,而这个SSID都会由AP向外广播,很容易被窃取。w许多人认为可以将SSID写成ESSID,其实SSID是个笼统的概念,SS
31、ID包含了ESSID和BSSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。需要注意的是,同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,从而给我们的无线网络带来威胁。因此,建议最好能够将 SSID命名
32、为一些较有个性的名字。无线路由器一般都会提供“允许SSID广播”功能。如果不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。SSID可以认为是一个简单的口令,从而保证一定程度的安全。但如果配置AP向外广播其 SSID,那么安全程度将下降。由于用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。4.数据加密DES的安全缺陷 w数据加密的目的是保护网内的数据、文件、口令、控制信息和保护网上传输的数据。数据加密技术主要分为数据传输加密和数据存储加密。w数据传输加密w数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加
33、密三种方式。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供保护;端-端加密的目的是对源端用户到目的端用户的数据提供保护。在保障信息安全各种功能特性的诸多技术中,密码技术是信息安全的核心和关键技术,通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。数据加密过程就是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同得数字信息(密
34、文)的过程。w数据加密DES算法是一种对称加密算法,是使用最广泛的密钥系统。w数据加密算法的基本思想是将二进制序列的明文分成每64 bit一组,用长为64 bit的密钥对其进行16轮代换和换位加密,最后形成密文。DES的巧妙之处在于,除了密钥输入顺序之外,其加密和解密的步骤完全相同,这就使得在制作 DES芯片时,易于做到标准化和通用化,这一点尤其适合现代通信的需要。w目前,破译者能够用穷举法借助网络计算在短短的二十余小时就攻破56位的DES,所以,在破译者面前,现在可以说DES已经不再安全了。wDES 现在仅用于旧系统的鉴定,而更多地选择新的加密标准 高级加密标准(Advanced Encry
35、ption Standard,AES)。w高级加密标准AES((Advanced Encryption Standard)是一个用来代替数据加密标准(DES)的算法。目前使用的一般为128,196和256位密钥,这三种密钥都是相当安全的。而且美国政府也是这样认为的。他们批准将128位密钥的AES算法用于一般数据加密,196位和256位密钥的AES算法用于秘密数据和绝密数据的加密。5.无线网络的安全威胁w进入二十一世纪以来,无线网络受到了众多公司的青睐,但是无线网络的安全可能面临的常见威胁一直是一个问题,主要表现为:(1)通过窃听泄露数据w对不安全的无线通信进行窃听攻击可能导致机密数据泄漏、曝光
36、未保护的用户凭据、身份被盗用等。它还允许有经验的恶意用户收集您的 IT 系统相关信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。(2)中途截获或修改传输数据w如果攻击者可访问网络,他(或她)可插入恶意系统插入在两个合法系统之间,中途截获、修改或延迟两个合法方的通信。(3)欺骗w访问内部网络使攻击者有机会伪造数据,使其看上去是合法通信。这类攻击包括欺骗性电子邮件,较之来自外部来源的通信,内部用户更愿意信任这些邮件,因此为攻击和特洛伊木马插入提供了平台。(4)拒绝服务(DoS)w不论实施哪种安全解决方案,WLAN 都容易受到 DoS 有意或无意的攻击。从而使网络塞满不加选择的通信。(
37、5)自由下载(资源窃取)w某些入侵者的目的可能只是为了资源窃取。直接自由下载合法用户的资源,从中发现他们想要的资料。(6)意外威胁和非托管连接w在无安全保护的 WLAN 环境中,任何访问者只需启动能够访问无线网络的设备,即可获得对内部网络的访问权。这种非托管设备可能已经被破坏,或为攻击者提供了攻击网络的攻击点。(7)WLAN 恶意访问点w即使企业没有无线网络,仍很容易受到来自非托管无线网络的安全威胁。无线硬件的价格相对便宜,因此任何员工都有可能在环境内部建立非托管和不受保护的网络。(8)私接APw无线局域网接入点(WLAN AP)是便宜的,容易安装,小巧而容易携带。非法的WLAN AP可以无意
38、地或者在IT管理人员无法察觉的情况下恶意地接入到企业网络。只需要把一个小巧的WLAN AP带到企业内部,然后连接到以太网接口上就行了。(9)不当设置的APwWLAN AP支持多种安全特 性和设置。许多时候,IT管理人员都会让合法的AP仍旧保持出厂时的默认设置或者没有恰当地对它进行设置,这会使AP在没有加密或在弱加密(如WEP)的 条件下工作。也有些时候,一个AP在没有设置任何口令的情况下与客户端连接,于是整个企业网络就都在没有任何口令情况下建立了无线连接。(10)客户端不当连接w客户端不当连接就是企业内合法用户与外部AP建立连接,也存在不安全因素,这又怎样发生的呢?一些部署在工作区周围的AP可
39、能没有做任何安全控制,企业内的合法用户的Wi-Fi卡就可能与这些外部AP建立连接。一旦这个客户端连接到外部AP,企业内可信赖的网络就置于风险之中,外部不安全的连接通过这个客户端就接入到了用户的网络。因此,要防止在不知情的状况下发生合法用户与外部AP建立连接或内部信息外露的情况。(11)非法连接w非法连接是指企业外的人员与企业内合法的AP建立连接,这通常发生在无线空间没有安全控制的情况下。如果一个非法用户与合法AP建立连接,就意味着用户的网络向外部开放了,这会导致重要数据和信息外泄。(12)直连网络w802.11 WLAN标准提供一种在无线客户端间建立点对点无线连接的方式。无线客户端之间可以借此
40、建立一个直连网络(Ad Hoc)。但是,这种直连网络带来了安全漏洞,攻击者可以在网络周边隐藏区内与企业内一个合法的笔记本电脑建立无线连接。比如:如果这台笔记本电脑与其他合法用户共享了某些资源(文件或目录等),攻击者也可以通过直接连接获得这些资源。(13)无线网络信号干扰w无线网络发送与接收无线电和激光信号的过程中使用的传输介质是空气,所以无线系统很容易受到大气噪音干扰和其它发射系统的影响,尤其是受到附近其它无线网络,无线电波设备的干扰。无线干扰按照类型可划分为WLAN干扰和非WLAN干扰。WLAN干扰是指干扰源发送的RF信号也符合802.11标准;非WLAN干扰可进一步按照频率范围分为同频干扰
41、和邻频干扰。按照来源划分,可分为WLAN网络自身的互干扰和网络外的干扰。w干扰表现在3个方面:1)邻频干扰w邻频干扰主要是发射系统的谐波或本地其他使用相近无线电波段的产品,都会使无线局域网受到邻频干扰,通常称为射频干扰。尤其是微波炉,它使用的是2.4GHz,使用S波段(2.4GHz)的无线局域网受到严重的干扰,后果是阻塞信号传输或在数据发送时引发位错误,从而导致信号延迟。微波炉发射的频率是24.50GHz,因此在有微波炉使用的地方(15.24m范围内),无线数据信号都有可能受到破坏。w除了微波炉外,无线电信号、电梯、电机、复印机、防盗装置、无绳电话也会产生向内干扰。2)向外干扰w向外干扰是指无
42、线网络的信号干扰其它系统。一般情况下,会对邻近的无线局域网和飞机上的导航设备进行干扰。3)WLAN网络自身的同频干扰w同频干扰是指两个工作在相同频率上的WLAN设备之间的相互干扰。WLAN工作ISM(Industry,Science and Medicine)频段,包括2.4G和5G两个频段。对某些国家或地区来说,仅有2.4G频段可用。在2.4G频段上,互不干扰的频段十分有限,通常只 有1、6、11信道。(14)连接问题w在无线网络中使用有线网络的通信协议在有线网络中提供非常可靠的连接,但在无线网络中,TCP/IP常常会丢失网络连接,特别是处于网络边缘时失去联系的可能性就更大,尤其是无线网络是
43、移动性的,也带来了无线定位问题。在大多数的无线网络中,只有用户移动设备的IP地址在一个确定的地址段内,才能保证良好的连接,当用户从一个IP子网漫游到另一个子网时,移动设备和系统之间就失去了连接。11.4 无线网络的故障诊断与排除方法 在无线上网的过程中,我们常常会遭遇到各式各样的网络故障,这些网络故障严重影响了正常的上网效率。当一个无线网络发生问题时,应该首先从4个关键问题入手进行排错。1.连接线路 排查连接线路,只发不收是无线网络单向通信的问题,解决只发不收故障的问题:w查看线路是否处于连通状态 要确定无法连接网络问题的原因,首先需要检测一下网络环境中的电脑是否能正常连接无线接入点。w打开I
44、E浏览器,并在弹出的浏览窗口地址栏中输入路由器默认使用的IP地址;利用 ping命令察看它的连接性;w如果无线接入点响应了这个ping命令,那么证明有线网络中的电脑可以正常连接到无线接入点;w如果无线接入点没有响应,有可能是电脑与无线接入点间的无线连接出现问题,或者是无线接入点本身出现了故障。w要是目标地址无法被ping通的话,那说明路由器内部的部分参数可能没有设置正确,必须对路由器内部的配置参数进行一下逐一检查。w在确认路由器内部配置参数都正确的前提下,重点检查一下本地工作站的DNS参数以及网关参数设置是否正确w在确认路由器内部配置参数正确后,进入到路由器后台管理界面,检查NAT方面的参数设
45、置选项,并检查该选项配置是否正确,重点要检查一下其中的NAT地址转换表中是否有内部网络地址的转译条目,要是没有的话,那无线网络连接只发不收故障多半是由于 NAT配置不当引起的,这时我们只要将内部网络地址的转译条目正确添加到NAT地址转换表中就可以了。2.连接方式 排查连接方式,解决间歇断网故障的问题 在本地局域网通过无线路由器接入到Internet网络中的情形下,要是局域网中的工作站出现一会儿能正常上网、一会儿又不能正常上网的故障现象时:首先要检查工作站与无线路由器之间的上网参数一定要正确;在上网参数基础下,应重点检查无线路由器的连接方式是否设置得当。是否是无线路由器设备使用“按需连接,在有访
46、问数据时自动进行连接”这种连接方式(就是每隔一定的时间无线路由器设备会自动检测此时是否有线路空载,成功连接后该设备线路中有数据交互动作,是空载,它将会把处于连通状态的无线连接线路自动断开)。为此,把连接方式设置选项,设置为“自动连接,在开机和断线后进行自动连接”。本地无线局域网中是否存在网络病毒攻击,一旦受到病毒攻击的话,也有可能出现间歇断网故障。3.连接位置 排查连接位置,解决上网速度缓慢故障的问题 在无线访问操作时,如果发现访问速度非常缓慢的话,我们应该进行两方面的排查:确认当前访问的WEB服务器是否正处于繁忙工作状态,访问的WEB服务器正处于繁忙工作状态的话,应尽量避开上网高峰期;是否是
47、无线传输信号比较微弱引起的。4.硬件故障w硬件尤其是室外的硬件会经常出现故障问题,如室外型无线网桥故障、无线交换机故障、无线路由器故障、无线网卡故障。w在无线上网的过程中,我们常常会遭遇到各式各样的网络故障,这些网络故障严重影响了正常的上网效率。当一个无线网络发生问题时,应该首先从13个关键问题入手进行排错。1.连接线路只发不收的故障问题w排查连接线路,只发不收是无线网络单向通信的问题,解决只发不收故障的问题:查看线路是否处于连通状态;w要确定无法连接网络问题的原因,首先需要检测一下网络环境中的电脑是否能正常连接无线接入点。打开IE浏览器,并在弹出的浏览窗口地址栏中输入路由器默认使用的IP地址
48、,利用 ping命令察看它的连接性;如果无线接入点响应了这个ping命令,那么证明有线网络中的电脑可以正常连接到无线接入点;如果无线接入点没有响应,有可能是电脑与无线接入点间的无线连接出现问题,或者是无线接入点本身出现了故障。要是目标地址无法被ping通的话,那说明路由器内部的部分参数可能没有设置正确,必须对路由器内部的配置参数进行一下逐一检查。w在确认路由器内部配置参数都正确的前提下,重点检查一下本地工作站的DNS参数以及网关参数设置是否正确。w在确认路由器内部配置参数正确后,进入到路由器后台管理界面,检查NAT方面的参数设置选项,并检查该选项配置是否正确,重点要检查一下其中的NAT地址转换
49、表中是否有内部网络地址的转译条目,要是没有的话,那无线网络连接只发不收故障多半是由于 NAT配置不当引起的,这时我们只要将内部网络地址的转译条目正确添加到NAT地址转换表中就可以了。2.间歇断网故障的问题w排查连接方式,解决间歇断网故障的问题w在本地局域网通过无线路由器接入到Internet网络中的情形下,要是局域网中的工作站出现一会儿能正常上网、一会儿又不能正常上网的故障现象时:首先要检查工作站与无线路由器之间的上网参数一定要正确;在上网参数基础下,应重点检查无线路由器的连接方式是否设置得当。是否是无线路由器设备使用“按需连接,在有访问数据时自动进行连接”这种连接方式(就是每隔一定的时间无线
50、路由器设备会自动检测此时是否有线路空载,成功连接后该设备线路中有数据交互动作,是空载,它将会把处于连通状态的无线连接线路自动断开)。为此,把连接方式设置选项,设置为“自动连接,在开机和断线后进行自动连接”。本地无线局域网中是否存在网络病毒攻击,一旦受到病毒攻击的话,也有可能出现间歇断网故障。3.连接位置w排查连接位置,解决上网速度缓慢故障的问题w在无线访问操作时,如果发现访问速度非常缓慢的话,我们应该进行两方面的排查:确认当前访问的WEB服务器是否正处于繁忙工作状态,访问的WEB服务器正处于繁忙工作状态的话,应尽量避开上网高峰期;是否是无线传输信号比较微弱引起的。4.不能上网和通信的问题w无线