1、第8章无线技术l 了解WLAN的组成与基本工作方式;l 了解当前各种无线标准l 了解WLAN的安全组件l 掌握无线接入点和无线客户端的配置。目标目录 8.1无线技术概述 8.2无线局域网拓扑 8.3无线网络安全 8.4无线接入配置8.1无线技术概述无线通信技术无线通信技术无线通信是指利用电磁波的辐射和空间传播来传送信息的通信方式。WLAN无线网络的优点:移动性和自由-任何无线网络授权访问区域都可实现无缝接入网络;不受线路或固定连接的限制;节省布线费用、时间;容易扩展;安装快速简便。无线局域网是以射频无线电波通信技术构建的局域网。WLAN使用无线电通信方式来实现与有线LAN相同的功能。无线网络的
2、局限性:可靠性较低低带宽与系统容量覆盖范围小抗干扰性差;安全性差为何使用无线网络当今企业网络的发展趋势之一是支持移动办公的员工。生产不再受固定工位或固定时段的限制。除了灵活性以外,WLAN 的另一重要优势是能够降低成本。尽管难以准确地衡量,但 WLAN 确实可以提高生产效率,为员工创造更自由的工作环境,从而为客户提供更好的服务,为企业创造更多的利润。组网技术比较WLAN 与 LAN 的比较WLAN 通过无线接入点(AP)代替以太网交换机将客户端连接到网络。WLAN 连接的是通常由电池供电的移动设备,而不是接到电源插座上的 LAN 设备。WLAN 使用的帧格式与有线以太网 LAN 不同。由于射频
3、可以覆盖设备的外部,因此 WLAN 会带来更多的隐私问题。无线LAN标准802.11ac2011.11(草案)2.4GHz或者5GHz867Mbps,1.73 Gbps,3.47 Gbps,6.93 Gbps(8 MIMO,160MHz)802.11ad2012.12(草案)60GHzup to 7000Mbps无线LAN标准Wi-Fi 认证 这些标准确保了不同厂家生产的设备之间的互操作性。在国际上,参与制定 WLAN 标准的组织主要有三个:ITU-R,IEEE and Wi-Fi 联盟这三个组织的角色可归纳如下::ITU-R 管理 RF 频段的分配。IEEE规定如何调制射频来传送信息。Wi-
4、Fi 确保供应商生产的设备可互操作。无线基础架构的组件 无线网卡和无线路由器无线基础架构的组件无线接入点无线接入点-隐藏节点8.2无线局域网拓扑无线局域网拓扑无线网络拓扑是一种配置结构,移动终端在这种结构下相互通信。目前,常用的无线网络拓扑结构有Ad hoc结构、基本服务集结构和扩展服务集结构。对等模式(Ad hoc)对等模式(Ad hoc):独立基本服务集(IBSS),在没有无线接入点的情况下,无线网络也可以运行,也称对等拓扑。如两台计算机通过无线网卡实现网络连接,这样构建成最简单的无线网络及称为对等无线网络。基本服务集(BSS)基本服务集(BSS):使用单个接入点彼此互连或连接到有线网络资
5、源,在基础架构模式中无线参数仅由一个接入点管理,拓扑只是简单的 BSS。扩展服务集(ESS)802.11 拓扑扩展服务集(ESS):当一个 BSS 提供的 RF 范围不足时,可以通过公共分布系统将一个或多个 BSS 加入到扩展服务集(ESS)。在 ESS 中,各个 BSS 之间通过 BSS 标识符(BSSID)区分,BSSID 是为 BSS 提供服务的接入点的 MAC 地址。ESS 的覆盖区域是扩展服务区(ESA)。802.11 拓扑各种拓扑总结BSA基本服务区(BSA)是IBSS和BSS中接入点提供的RF实际覆盖区域,是构成无线局域网的最小单元。该区域的大小取决于形成的RF能量场。ESA当单
6、个BSA不能提供足够的覆盖区域,可通过增加任意数量的、配置相同SSID的BSA来扩展范围。组合BSA的范围就称为扩展服务区(ESA)。使用ESA的优点:增加覆盖范围,实现无缝覆盖实现终端用户负载平衡系统方便动态扩展对用户透明,保证覆盖范围内无间断服务 同一区域内所选的信道频率至少应间隔25MHz,建议使用3个不重叠信道,如:信道1、6、11。无线桥接、中继无线AP通常具备两种功能模式用来扩展无线局域网的覆盖范围,分别为:桥接,中继 1、无线中继能实现信号的中继和延长。使用中继模式时,网络SSID号均一致。2、无线桥接即链接两个端点,实现两个无线AP间的数据传输。通常想要把两个局域网连接起来,一
7、般就选择通过AP来桥接。为了保证桥接的稳定性。一般情况下。当设备开启桥接功能后,会关闭普通网卡的接入功能。即只能点对点通讯。无线设备无法通过无线AP接入。无线桥接、中继WDS(Wireless Distribution System)无线分布式系统,是802.11标准中用来实现无线中继、桥接的功能模式,它是一个低成本扩展无线网络的方案。严格来说,无线网络桥接功能通常是指一对一连接模式,但是WDS架构可以做到一对多,并且桥接的对象可以是无线网络设备或者是有线系统。所以WDS最少要有两台同功能的AP,最多数量则要看厂商设计的架构来决定。简单地说:就是WDS可以让无线AP之间通过无线进行桥接(中继)
8、,在这同时并不影响其无线AP覆盖的功能。两种模式的主要不同点在于:对于中继模式,从某一接入点接收的信息包通过以自己为中心重新发射出去。主要应用于信号较弱的区域。用于无线信号的拓展和延长。然而桥接模式,一般只是点对点或者点对多点的信号无线数据传输。一般情况下。主要用于两个不同的地点的小局域网之间的链接。用于远距离网络点对点或者点对多点的数据通讯。无线LAN的规划 明确客户需求及无线局域网所需覆盖区域;了解网络覆盖区域的建筑结构图、建筑物内部平面结构图和用户布局示意图等;确定覆盖区域的用户容量;确定网络覆盖区内存在的干扰发射源;根据WLAN覆盖范围、用户数量以及现场环境估计AP放置位置和数量。AP
9、放置建议:将AP放在障碍物上方尽可能将AP靠近每个覆盖区域中央的天花板垂直放置。将AP置于用户期望的位置。例如,会议室通常比走廊更适合放置接入点。8.3无线网络安全无线网络的运行802.11 过程的关键部分是发现 WLAN 并继而连接到 WLAN。该过程的主要组件如下所示:信标-WLAN 用来通告其存在性的帧。无线网络的运行探测信号-WLAN 客户端用来查找网络的帧。无线网络的运行身份验证-该过程是原 802.11 标准的一项产物,但仍然是当今标准所要求。无线网络的运行关联-在接入点和 WLAN 客户端之间建立数据链路的过程。无线网络面临的安全威胁无线局域网常见攻击方式:窃听:无线网络的开放性
10、给网络嗅探带来极大的方便,执行嗅探只是被动的接收网络中传输的信息,不会跟其他主机交换信息,也不修改在网络中传输的信息包,因此具有很强的隐蔽性。非法连接:通过无口令或弱口令认证的无线AP连接到一个无线局域网上。干扰攻击:使用高功率的微波信号发送器或扫描发送器实施有目的的干扰攻击,是无线局域网瘫痪。内部员工:将无线路由接入到公司以太网端口上来创建自己的WLAN。无线网络面临的安全威胁无线局域网基本安全措施无线局域网基本安全措施信息过滤信息过滤物理地址过滤:每个无线终端都有唯一的MAC地址,管理员可在无线接入点手工配置MAC地址以允许或拒绝访问的MAC地址列表,以实现物理地址的访问过滤。该方法扩展性
11、差,适合小型网络。服务集标识符过滤:无线终端必须配置与无线接入点相同的SSID,才能访问无线接入点;无线接入点可禁止广播SSID号,这样无线终端就必须主动提供正确的SSID号才能与无线接入点进行关联。协议端口过滤(建立在路由的基础上):可通过过滤基于数据链路层至应用层的协议数据包,以此来限制用户使用某些功能。无线局域网基本安全措施无线局域网基本安全措施访问访问认证认证 最初的 802.11 标准中引入了两种身份验证机制:开放式和共享式 WEP 密钥身份验证。无线安全协议WEP 共享密钥加密的缺陷主要有两点。首先,加密数据所用的算法容易被破解。其次,可扩展性也是个问题。在发现 WEP 技术的安全
12、缺陷之后,一度涌现出许多临时性的安全措施。在制定 802.11i 的过程中,Cisco 提出了 TKIP 加密算法,该算法已经被吸纳为 Wi-Fi 联盟的 WiFi 保护访问(WPA)安全方法。在安全需求更高的网络中,客户端要获得此类访问权限还需要进行身份验证或登录。此登录过程由可扩展身份验证协议(EAP)管理。EAP 是对网络访问进行身份验证的框架。IEEE 开发了 802.11i 标准,规定 WLAN 身份验证和授权必须使用 IEEE 802.1x。无线安全协议无线局域网基本安全措施无线局域网基本安全措施加密802.11i 规定了两种企业级加密机制,分别是:TKIP(临时密钥完整性协议)和
13、 AES(高级密钥标准),这两种加密机制已分别被 Wi-Fi 联盟纳入 WPA 和 WPA 2 认证中。保护无线LAN的安全 8.4无线接入配置配置无线接入点配置无线接入点概述配置无线接入点配置基本无线设置配置无线接入点配置安全功能配置无线网卡 配置无线网卡配置无线网卡配置无线网卡配置无线网卡检查无线 LAN 的连通性解决接入点的无线发射装置和固件问题系统化的 WLAN 故障排查方法解决接入点的无线发射装置和固件问题更新接入点的固件:步骤 1.固件。解决接入点的无线发射装置和固件问题步骤 2.选择要安装的固件。解决接入点的无线发射装置和固件问题步骤 3.运行固件升级程序信道设置不正确 信道设置不正确原因及解决方案解决RF干扰解决接入点的无线发射装置和固件问题解决接入点的无线发射装置和固件问题原因及解决方案发现接入点位置不当的问题-原因及解决方案解决接入点的无线发射装置和固件问题身份验证和加密的问题原因身份验证和加密的问题身份验证和加密的问题解决方案
