1-802.11 网络类型

 

802.11網路的四種主要的物理組件:

   
  • 工作站(Station):              
    通常包括配備無線網路接口的設備

  • 接入點(Access Point):              
    具備無線至有線的橋接功能的設備稱之為接入點。通常分為自主型AP(Fat AP)和精簡型AP(Thin AP)

  • 無線媒介(Wireless Medium):              
    規定了傳輸封包所使用的物理層介質。

  • 分佈式系統(Distribution System):              
    分佈式系統屬於邏輯上的組件,負責轉發封包到目的地。

網路的類型

802.11網路最基本的組件我們稱之為基本服務集(Basic Service Set,BSS),由多個互相通信的工作站所組成。 BSS分為兩種基本的模式:

  • 獨立型網路(Ad hoc mode)

  • 基礎結構型網路(Infrastructure mode),如圖所示。

无线原理_第1张图片

獨立型網路:IBSS

上圖所示中,左邊為Independent BSS,IBSS,有時我們也稱之為BSS(Ad-hoc BSS)。

在這種情況中,無線網路是直接由工作站所組成的一種臨時性的網路,它們之間的距離必須在可以直接通訊的範圍內。

基礎結構型網路:BSS

上圖所示中,右邊為基礎結構型基本服務集,Infrastructure BSS

在這種網路中,AP負責基礎結構型網路的所有通信,包括同一個服務區域內所有移動節點間的通訊。

雖然這種方式比IBSS直接傳送消耗較多的資源,但是卻有兩個主要的優點:

  1. 基礎結構型基本服務集被界定在接入點的傳輸範圍內,與IBSS相比雖然消耗了一些頻寬,但是卻降低了physical layer的複雜程度,因為IBSS中的每個工作站都要維護和其他工作站的adjacency關係。

  2. AP在Infrastructure BSS架構裡的作用是協助工作站節省電力。AP可以協助不發送封包的工作站暫時性的關閉無線收發器並cache以保證電力的最小消耗。那麼,如果要使用基礎結構型的網路時,工作站必須要與接入點進行關聯(Associate),每個工作站在同一時間內只能與一個AP進行關聯。

擴展服務區域:ESS

BSS可以為辦公室或者家庭提供小範圍的服務,無法服務更大的區域。在802.11網路中允許將幾個BSS串聯為擴展服務集(Extended Service Set,ESS),所有位於同一個ESS的接入點將使用相同的服務組標識符(Service Set Identifier,SSID

无线原理_第2张图片

隸屬於同一個ESS的工作站可以互相通信,即使這些工作站處於不同的BSS或是在這些BSS內移動。在ESS中,AP作為bridge的角色,提供Link-layer的連接。

802.11為ESS提供了Link-layer Mobility的功能。

 

IEEE 802網路技術

   

IEEE 802規範的重心放在OSI模型最下面的兩層,因為它們同時覆蓋了Physical以及 Data Link。                    
无线原理_第3张图片                      
MAC是一組用以決定如何訪問媒介與傳送數據的規範,至於傳送和接收的細節則由Physical layer負責。

clip_p_w_picpath008802.11基本覆蓋了802.11 MAC以及兩種物理層(Physical Layer):

  • 跳頻擴頻物理層: frequency-hopping spread-spectrum,FHSS

  • 直接序列擴頻物理層:direct-sequence spread-spectrum,DSSS

在802.11b標準中規範了一種物理層:高速直接序列擴頻(HR/DSSS)物理層。                      
在802.1a標準中規範了了另一種物理層:正交頻分復用(orthogonal frequency division multiplexing,OFDM)物理層。                      
需要注意的是如果802.11b和802.11g的用戶同時訪問一個接入點,那麼將需要用到額外的協議來保證兼容性,因此會降低802.11g用戶的鏈接速度。                      
clip_p_w_picpath008[1]802.11將Physical進一步的劃分為兩個組件:

  • Physical Layer Procedure,PLCP:負責將MAC映射到傳輸媒介。

  • Physical Medium Dependent,PMD:負責傳送frame。                        
    无线原理_第4张图片

       

       

2-WLAN的基础架构

 

WLAN Architecture網路架構

   

- Autonomous WLAN Architecture網路架構

可以由AP獨立形成或者由AP加上Lan switch建構大規模的網路, 該無線網路方案中的AP接入節點俗稱Fat AP。 Wireless功能實現:

  • 由AP來完成所有的802.11定義的服務和功能

  • AP支援本地和remote配置,並在本地保存系統組態

適合應用場所 :

  • 家庭

  • 中小型網路

主要缺陷:

  • 當建構大型無線網路時對於大量AP設定得工作量巨大

  • AP設備的丟失可造成系統組態的洩露,存在安全上的疑慮

  • 對於Rogue AP檢測等需要AP間協同工作的支持能力差

  • 對於layer 3 漫遊或不支援或通過其他輔助設備配合支援

  • AP成本高

- Centralized WLAN Architecture網路架構

由AP+Wireless switch組成。

該無線網路方案中的AP接入節點俗稱Thin AP和Fit AP,Wireless switch被稱為Access Controller(AC)。

Wireless功能實現:

  • 由AP所完成的802.11 MAC功能的不同又分為Local MAC、Split MAC模式

  • 由WLC通過控制協議來控制AP的行為,使用者不能直接配置AP

  • AP的配置資訊保存在Wireless Access Controllerr上

  • AP會自動到WLC去Download Config file

  • 管理較方便

適合應用場所 :

  • 中大型企業網

Centralized WLAN Architecture - Feature比較

Feature

Local MAC

Split MAC

AP和AC的連接

直連或透過L2/L3網路

直連或透過L2/L3網路

AP配置

通過AC

通過AC

RF配置

通過AC

通過AC

802.1x認證

AC作為authenticator

AC作為authenticator

802.11到802.3轉換

AP

AC

802.11加密和解密

AP

AC(Aruba在AP)

QOS queue調度

AP

AP

RTS/CTS/ACK處理

AP

AP

對Wireless switch的負荷

Local Bridging低                    
802.3 Frame Tunnel高

更高

       

3-802.11x 比较

 

802.11 a,b,g,n 介紹

   

802.11x 比較表

規格

802.11a

802.11b

802.11g

802.11n

Ratified

1999

1999

2003

2006

工作頻率

5GHz

2.4GHz

2.4GHz

2.4 or 5GHz

最快速率

54Mbps

11Mbps

54Mbps

540Mbps

傳輸距離

50 meter

100 meter

100 meter

100 meter

調變技術

OFDM

DSSS

OFDM

OFDM

頻道頻寬

20MHz

20MHz

20MHz

20MHzor 40MHZ

優點

頻道不受干擾

技術成熟,價格便宜

傳輸速度快可向下相容

傳輸速度大幅提升且同樣向下相容

  • IEEE 802.11a:

    • 工作頻段為5Ghz,使用5GHz頻段,5.15-5.25GHz,5.25-5.35GHz,5.725-5.825GHz,即FCC U-NII(免許可證的國家資訊頻段)頻段。

    • 一共有200個通道,同時可用的是13個,歐洲市場使用的是5.15—5.35Ghz,同時可用8個通道;我國使用的開放頻段是5.725-5.85Ghz,同時可用5個通道,最高54Mbps傳輸速率,可用12個通道,支援8種速率自我調整:6、9、12、18、24、36、48、54Mbps。必須支持的傳輸速率是6、12、24Mbps三種。

    • 實體層(PHY)使用OFDM調製(正交頻分複用:Orthogonal Frequency Division Multiplexing OFDM)技術,頻譜利用率高、抗多徑衰落性能好。它利用許多並行的、傳輸低速率資料的子載波來實現一個高速率的通信。

  • IEEE 802.11b:

    • IEEE 802.11b是WLAN的一個標準。

    • 其載波的頻率為2.4GHz,傳送速度為11Mbit/s。

    • IEEE 802.11b是所有WLAN標準中最著名,也是普及最廣的標準。

    • 它有時也被錯誤地標為Wi-Fi。實際上Wi-Fi是WLAN聯盟(WLANA)的一個商標,該商標僅保障使用該商標的商品互相之間可以合作,與標準本身實際上沒有關係。

    • 在2.4-GHz-ISM頻段共有14個頻寬為22MHz的頻道可供使用。

    • IEEE 802.11b的後繼標準是IEEE 802.11g,其傳送速度為54Mbit/s。

  • IEEE 802.11g:

    • IEEE 802.11g2003年7月,通過了第三種調變標準。

    • 其載波的頻率為2.4GHz(跟802.11b相同),原始傳送速度為54Mbit/s,淨傳輸速度約為24.7Mbit/s(跟802.11a相同)。

    • 802.11g的設備與802.11b兼容。

    • 802.11g是為了提高更高的傳輸速率而制定的標準,它採用2.4GHz頻段,使用CCK技術與802.11b(Wi-Fi)後向兼容,同時它又通過採用OFDM技術支持高達54Mbit/s的數據流,所提供的帶寬是802.11a的1.5倍。

    • 從802.11b到802.11g,可發現WLAN標準不斷發展的軌跡:                
      802.11b是所有WLAN標準演進的基石,未來許多的系統大都需要與802.11b向後向兼容,802.11a是一個非全球性的標準,與802.11b後向不兼容,但採用OFDM技術,支持的數據流高達54Mbit/s,提供幾倍於802.11b/g的高速信道,如802.11b/g提供3個非重疊信道可達8-12個; 可以看出在802.11g和802.11a之間存在與Wi-Fi兼容性上的差距,為此出現了一種橋接此差距的雙頻技術——雙模(dual band)802.11a+g(=b),它較好地融合了802.11a/g技術,工作在2.4GHz和5GHz兩個頻段,服從802.11b/g/a等標準,與802.11b後向兼容,使用戶簡單連接到現有或未來的802.11的無線網路。

  • IEEE 802.11n:

    • IEEE 802.11n,2004年1月IEEE宣布組成一個新的單位來發展新的802.11標準。

    • 資料傳輸速度估計將達540Mbit/s(需要在物理層產生更高速度的傳輸率),此項新標準應該要比802.11b快上50倍,而比802.11g快上10倍左右。802.11n也將會比目前的無線網路傳送到更遠的距離。

    • 目前在802.11n有兩個提議在互相競爭中:                
      WWiSE (World-Wide Spectrum Efficiency) 以Broadcom為首的一些廠商支持。                  
      TGn Sync 由Intel與Philips所支持。

    • 802.11n增加了對於MIMO (multiple-input multiple-output)的標準. MIMO 使用多個發射和接收天線來允許更高的資料傳輸率。MIMO並使用了Alamouti coding coding schemes 來增加傳輸範圍。

       

4-WLC上配置DNS/DHCP

 

在 WLC上配置 DHCP 及 DNS

   

完成以下步驟:

  1. 點擊功能表頁面上方的CONTROLLER

  2. 點擊菜單左面的Internal DHCP Server。

  3. 點擊New,創建一個DHCP POOL。

  4. 鍵入你需要分配給用戶端的DHCP位址POOL。

无线原理_第5张图片

  1. 點擊Apply。

  2. 出現DHCP Scope > Edit視窗。

  3. 鍵入位址集區的起始及終止位址。在本例中,DHCP位址集區是從10.10.10.3到10.10.10.10。

  4. 鍵入預設閘道器的地址,是10.10.10.1。

  5. 鍵入DNS功能變數名稱和DNS伺服器的地址。確認Status是啟動的。

无线原理_第6张图片

  1. 點擊 Apply。

重啟 WLC            
由於不能在系統工作的時候完成一個或者更多的WLAN上的改變,你需要重啟WLC。修改需要在啟動前或者啟動中完成。完成以下步驟來重啟WLC:

  1. 在控制器的主介面上,選擇功能表最上方的Commands

  2. 在新的視窗下,選擇左邊功能表上的Reboot。如果在你的配置中有未保存的部分,你需要保存配置              
    然後重啟。

  3. 點擊Save and Reboot,保存設定然後重新啟動設備。

  4. 通過console連接監控設備的重啟過程。

       

5-WLC做身份验证

   

當你使用Web認證的時候,有兩種認證使用者的方式。本地認證允許你使用WLC的用戶去 認證。你也可以使用RADIUS伺服器認證用戶。配置WLC的本地認證,完成以下步驟:

· 本地認證

用戶名和密碼存放在控制器的本地資料庫。使用者通過WLC的這個資料庫來認證。          
以下步驟描述了如何在WLC上創建用戶名和密碼

  1. 在功能表上方點擊Security,進入WLC的安全配置視窗。

  2. 在左邊AAA功能表裡,選擇Local Net Users              
    无线原理_第7张图片

  3. 點擊右上方的New,創建一個新的用戶。會出現一個新的視窗,需要你填寫用戶名和密碼。

  4. 填入用戶名和密碼,確認密碼。本例中創建的用戶是webuser1。

  5. 核對你的用戶是否分配到正確的WLAN上。該動作確保這個用戶只能在特定的WLAN認證使用。            
    本例中,WLAN Profile是Guest,該WLAN用作Web方式的認證。

  6. 如果你需要,添加一個描述。            
    本例中使用Web Auth。

  7. 點擊Apply,保存使用者配置。            
    如下圖所示              
    无线原理_第8张图片

  • RADIUS伺服器的 Web認證              
    本文使用安裝在Windows2003伺服器上的ACS作為RADIUS伺服器。              
    當Web認證是通過RADIUS伺服器的時候,第一個認證的詢問是發給WLC本地的。              
    如果WLC沒有回答,第二個詢問發到RADIUS伺服器。ACS建立部分介紹了如何配置ACS。              
    你需要有DNS和RADIUS伺服器。

  • ACS建立              
    在你的伺服器上建立ACS,然後通過以下步驟來創建認證使用者:

  1. 當ACS問你是否需要打開ACS頁面來配置的時候,點擊yes

  2. 在左邊菜單裡,點擊User Setup。                  
    這個動作把你帶到了使用者建立的頁面                  
    无线原理_第9张图片

  3. 鍵入你想用來Web認證的用戶,點擊Add/Edit。在使用者建立之後,會出現另一個視窗                
    无线原理_第10张图片

  4. 確認最上方的Account Disabled框沒有鉤選,如圖11所示。

  5. 在Password Authentication選項裡,選擇ACS Internal Database。

  6. 輸入2次密碼。

  7. 點擊 Click Submit。

  • 在思科 WLC上輸入 RADIUS伺服器資訊 Enter              
    完成以下步驟:

  1. 在上方的菜單中點擊Security

  2. 在左邊菜單裡點擊Radius Authentication

  3. 點擊New,鍵入ACS/RADIUS伺服器的地址。本例中,ACS的地址是10.77.244.196

  4. 鍵入Radius伺服器的共用金鑰。確保金鑰和在Radius伺服器上為WLC配置的金鑰一致。

  5. Port number保持默認,1812。

  6. 確保Server Status選項是Enabled。

  7. 鉤選Network User Enable框,這樣Radius伺服器就用來認證無線網路的使用者了。

  8. 點擊Appl无线原理_第11张图片                  
    上圖顯示了一個配置好的RADIUS伺服器。確保Network User框是鉤選的,AdminStatus是Enabled。                  
    无线原理_第12张图片

  • 配置 WLAN 上的 RADIUS 伺服器到目前,RADIUS伺服器已經在WLC配置好了,你需要在WLAN上使用這個RADIUS服務器作Web認證。            
    通過以下步驟,完成WLAN上RADIUS伺服器的配置。

  1. 打開WLC頁面,點擊WLANs。 該頁面顯示了WLC上已配置的WLAN的清單。點擊Guest這個WLAN。

  2. 在WLANs>Edit頁面,點擊Security功能表。 點擊安全菜單下的AAA Servers一欄。                
    選擇Radius伺服器,本例中為10.77.244.196。                  
    无线原理_第13张图片

  3. 點擊 Apply。

  • 用戶端登錄              
    完成以下步驟:

  1. 打開流覽器,鍵入你所設置用來的本地認證的virtual IP位址。                
    使用https://1.1.1.1/login.html。                  
    這個步驟在3.0版本以前是非常重要的。                  
    在之後的版本,打開任何URL都會把你重定向到web認證的頁面。                  
    同時,在所有最近的控制器軟體版本中,支援通過http的web認證登錄。這個和控制器管理登錄聯繫在一起。                  
    為了支援這個功能,需要關閉https登錄,只打開http管理。如果現在你打開web認證,將使用http方式的登錄。                  
    出現一個安全告警視窗。

  2. 點擊Yes。

  3. 當登錄視窗出現後,鍵入所創建的本地使用者的用戶名和密碼。                
    如果登錄成功,你會看見兩個流覽器視窗。大的表示登錄成功,你可以用這個視窗                  
    瀏覽internet。當訪客連接完成後,使用小的視窗作登出動作。                  
    下圖顯示了一個成功的web認證的redirect。                  
    无线原理_第14张图片

注意:這個預設的Web認證頁面是由思科提供的。這個頁面也可以自己作。          
下圖顯示了當認證在ACS中發生時的一個登錄成功的視窗            
无线原理_第15张图片

6-WLC做web认证

   

Web方式認證是一個三層的安全特性,在無線用戶端輸入正確的用戶名口令之前,控制器不接受該使用者的IP資料(除了DHCP相關的資料包)。Web認證可以通過WLC本地認證,也可以通過RADIUS伺服器。通常在部署訪客網路時,使用Web方式認證。典型的部署模式包括“hotspot”區域。          
Web方式認證提供了不需要802.1x認證請求方或者用戶端工具的簡單的認證方式。並且Web方式認證不提供資料加密。Web認證通常被用在“hotspot”或者僅考慮連線性的園區環境。            
這個範例中創建了一個新的VLAN介面和一個新的用作Web認證的WLAN。這個VLAN介面被分配到這個WLAN上,因此接入這個WLAN的用戶是在一個獨立的子網。在那些你不希望用separate subnet的場合,你可以把WLAN associate到Management的interface。本文中控制器的Web認證配置包含了新建一個VLAN介面的過程。            
在控制器上配置 Web方式認證

  • Create a VLAN Interface(創建VLAN Interface)

  • Add a WLAN Instance(加入WLAN Instance)

  • Set Up DHCP and DNS Servers on the WLC

  • 在WLC 設定DHCP Server 和DNS Server

  • Configure Authentication Type (Three Ways to Authenticate Users in Web Authentication)

範例使用以下IP位址:            
WLC的IP位址是10.77.244.204。            
CS伺服器的地址是10.77.244.196。            
創建一個 VLAN介面

  1. 在WLC的主頁上,選擇最上方的Controller功能表,選擇左邊的Interfaces欄。

  2. 點擊窗口右上方的New。              
    視窗出現了。本例中介面名字是vlan90,VLAN號是90:              
    无线原理_第16张图片

  3. 點擊Apply,創建該VLAN interface。一個新的視窗出現,需要你填入相關資訊。

  4. 採用以下參數:            
    IP Address:10.10.10.2              
    Netmask:255.255.255.0 (24 bits)              
    Gateway:10.10.10.1              
    Port Number:2              
    Primary DHCP Server:10.77.244.204              
    注意:這個參數應該填寫DHCP伺服器位址。在本例中WLC的管理地址被用來當作              
    DHCP伺服器的地址,因為在WLC啟用的DHCP功能。              
    Secondary DHCP Server:0 .0.0.0              
    注意:本文不使用dier1DHCP伺服器,所以使用0.0.0.0。如果你有第二台DHCP              
    伺服器,需要在這裡填寫位址。              
    ACL Name:None              
    下圖顯示了這些配置:

无线原理_第17张图片

  1. 點擊 Apply,保存配置。

添加 WLAN實例            
現在一個VLAN介面已經配置好,你需要提供一個WLAN/SSID來支援Web認證的用戶。            
通過以下方式,創建一個新的 WLAN/SSID:

  1. 打開WLC頁面,點擊最上方WLAN菜單,點擊右上方的New。會彈出類似圖3的畫面。              
    將類型選為WLAN。為這個WLAN SSID選擇一個名字。本例中Profile和WLAN都是Guest。              
    无线原理_第18张图片

  2. 點擊Apply。              
    出現一個新的WLAN > Edit視窗              
    无线原理_第19张图片

  3. 勾選WLAN的狀態列,啟動該WLAN。在介面欄,選擇先前創建的VLAN介面。            
    在本例中,介面的名字是vlan90。              
    注意:其他參數不做修改,都是初始設置。

  4. 點擊Security欄位。            
    无线原理_第20张图片              
    通過以下步驟,完成Web認證配置:

  • a)點擊Layer 2欄,選擇None。                  
    注意:當某個WLAN的二層安全性原則使用802.1x or WPA/WPA2時,你的三層安全策略                  
    不可以配置成web passthrough。關於控制器上二層和三層安全性原則的相容問題,                  
    參見Wireless LAN Controller Layer 2 Layer 3 Security Compatibility Matrix一文。

  • b)點擊Layer 3。                
    如上圖所示,勾選Web Policy框,選擇Authentication選項

  • c)點擊Apply,完成存檔。

  • d)這個時候你回到了WLAN概要頁面。確認你的Web認證選項在SSID Guest下已經配置。

7-如何设定802.11n WLAN

   

Aironet 1140 系列無線接入點能夠像任何其他輕量級無線接入點一樣與WLC交互操作。只要確保您運行 5.2 (或更高)版本的無線控制器代碼,您的無線接入點就可以發現並加入WLC。          
確保 802.11n 的資料率已啟用

  • 第 1 步在控制器介面中“Wireless”標籤下,點擊“802.11 a/n”或“802.11 b/g/n”的網路設置。

  • 第 2 步按一下“High Throughput (802.11n)”,打開配置頁。

  • 第 3 步確保“11n Mode”模式已啟用。預設情況下,所有的 MCS(或 802.11n 的資料傳輸速率)是啟用的。

无线原理_第21张图片

配置 802.11n的 WLANs

為了使WLC(或 SSID )運作在 802.11n 資料rate,兩個具體設定必須先設置,即資料加密和服務品質必須設定。按照 802.11n 標準本身的要求,所有的加密連結現在必須使用 AES 加密演算法。另外一種連接方式是無線局域網運行在沒有加密的狀態,這是可能的選擇。但是 802.11n 的標準排除了通過 WEP,TKIP 或任何其他形式的傳統加密技術來使用 802.11n 的資料傳輸速率。

設置“Layer 2 Security”為“WPA2 AES            
无线原理_第22张图片

設置“Layer 2 Security” 為“None”          
无线原理_第23张图片

至於服務品質,WLAN必須配置為允許 WMM,以便使 802.11n 資料率可以運行。如果要在WLC設定這個參數,在 WLAN 配置介面下設置QoS 參數為“Allowed”或“Required”。

設置“WMM Policy” 為“Allowed”          
无线原理_第24张图片

配置802.11n的客戶端          
許多客戶端卡工作在2.4千兆赫。請確保您使用的客戶端卡,支持5 GHz。            
以下步驟顯示了如何配置WIN XP 上的Intel 802.11n網卡:

  1. 點擊開始菜單。進入設置,選擇控制面板。

  2. 雙擊網絡連接圖標。

  3. 右擊英特爾無線網卡,然後單擊屬性。

  4. 單擊高級選項卡。

  5. 選擇使用默認值選項為無線客戶端模式的屬性,以便可以操作            
    無論是在802.11a模式或802.11b/g模式,使其皆可用。              
    无线原理_第25张图片

  6. 除非網路是唯一的802.11n客戶端,使用混合模式保護使802.11n客戶端共存            
    與現有的802.11a或802.11b/g客戶端。              
    无线原理_第26张图片

  7. 停止Fat Channel              
    无线原理_第27张图片

驗證          
您可以從WLC檢查連接狀態,速度,模式和信號強度。            
如果是英特爾客戶,右鍵單擊無線圖標在系統托盤(右下角的 在桌面上),以查看無線模式。然後,單擊狀態。為了檢查客戶端的速度運行,右鍵單擊無線圖標,然後單擊查看可用的 無線網絡。點擊SSID和檢查速度,如下所示:            
无线原理_第28张图片            
在WLC圖形用戶界面,單擊監視器。然後,單擊左側的客戶。這將顯示目前列表中 客戶關聯到WLC。接下來,點擊一個客戶端來檢查模式,速度等細節的連接。            
无线原理_第29张图片

8-如何设定802.1x认证

 

配置WLC的802.1x認證

   
  1. 點擊無線局域網控制器的圖形用戶界面從以創建一個WLAN。            
    在WLAN窗口。此窗口列出了WLAN上配置controller。

  2. 單擊新建以配置新的WLAN。            
    在這個例子中,被命名為802.1X的WLAN和WLAN的ID為 3。              
    无线原理_第30张图片

  3. Click Apply。

  4. 在WLAN>編輯窗口中,定義的參數具體到WLAN。

  • A﹒從第2層下拉列表中,選擇802.1X。                
    注:只有WEP加密可與 802.1x。無論是選擇40位或104位的加密,並確保第3層安全性設置為無。                  
    這使得這個無線局域網802.1x認證。

  • B﹒在RADIUS服務器參數,選擇 RADIUS服務器將用於驗證客戶端的憑據。

  • C﹒根據需求選擇其他參數。

Click Apply。            
无线原理_第31张图片              
注:如果選擇802.1x為第2層安全,CCKM不能使用。              
如果您選擇 WPA或WPA212層的安全,這些選項出現在驗證密鑰管理:              
802.1X+ CCKMIf你選擇了這個選項,都CCKM或非CCKM客戶支持(CCKM可選)。              
802.1xIf你選擇了這個選項,只有802.1x客戶端的支持。              
CCKMIf你選擇了這個選項,只有CCKM客戶端支持,在客戶端定向到外部服務器進行身份驗證。              
PSK如果選擇此選項,預共享密鑰用於 WLC和客戶端。此外,所有標準都設置為使用前預先的標準,例如,WPA/WPA2需要先例超過 CCKM時同時使用。

Configure Wireless Client for 802.1x Authentication

  1. 創建一個新的配置文件,點擊文件管理選項卡上的ADU。

  2. 單擊新建。

  3. 當檔案管理(一般)窗口顯示,完成這些步驟,以設定配置文件的名稱,客戶名稱,SSID:

  • A.輸入名稱。                
    這個例子使用EAPAuth作為配置文件的名稱。

  • B.輸入客戶端名稱。                
    客戶名稱是用來識別無線客戶端在WLAN網絡。配置使用客戶端作為客戶端的名稱。

  • C.在網路名稱,輸入SSID也就是用於此配置文件。而在這個SSID例子是802.1X。

无线原理_第32张图片

  1. Click the Security tab.              
    无线原理_第33张图片

  2. 點擊802.1x的按鈕。

  3. 從802.1X EAP類型下拉列表中,選擇 EAP類型。

  4. 單擊配置,以配置參數具體到選定的EAP類型。            
    无线原理_第34张图片

  5. Click Apply.              
    當SSID被啟動,無線客戶端連接到WLAN使用802.1x認證。              
    无线原理_第35张图片

       

9-802.11n 排错

   

無法實現802.11n的數據傳輸速率          
其中最常見的問題是,你不能達到的最大吞吐量的802.11n。            
執行以下這些檢查:

  1. 802.11n標準要求WLAN使用的802.11n客戶啟用AES加密上。您可以使用 WLANs與 NONE作為layer 2 安全。並且,如果您配置任何layer 2 security, 802.11n標準還需要求WPA2 AES啟用在802.11N的channel中。            
    无线原理_第36张图片

  2. 確保 AP有足夠的力量。因為低功耗結果會使AP信號強度降低,從而降低了吞吐量。

  3. 確保802.11n的速率被啟用。MCS頻率應該啟用(這是建議讓所有的MCS頻率啟用)。            
    无线原理_第37张图片

10-无线漫游原理Roaming

 
   

           
clip_p_w_picpath065Wireless漫遊的概念

  • client pc可以在屬於同一個ESS的AP接入點接入。

  • client pc可以在Wireless網路中任意移動,同時保證已有的資料傳輸不中斷,使用者的IP位址不改變。

clip_p_w_picpath065[1]Wireless漫遊的分類

  • L2 Roaming

    • 在同一個子網路內的AP間漫遊

    • 不同AP 、Cell之間

    • AP的SSID都要相同

    • 由於不涉及子網的變化,因此只需保證用戶在AP間切換時訪問網路的許可權不變即可

    • 使用IAPP(Inter Access Point Protocol)協定

    • 由AP去控制L2 Roaming

    • 大部分採用此技術

  • L3 Roaming

    • 在不同子網路內的AP間漫遊

    • 使用Mobile IP 協定

    • 用在電信業者較多

Roaming的產生          
无线原理_第38张图片

  1. Re-Association:太多的資料Re-try的狀況下。

  2. AP有問題時

  3. Data Rate降低

  4. Client重新掃描

     

11-无线网络安全

 
   

802.11標準有下面幾個缺點。

  • 缺少集中的金鑰管理

  • 有線等效加密 (WEP)容易受到攻擊 (衝突,弱密碼, MAC偵聽,容易受到 DoS攻擊)

解決辦法

  • WEP(Wired Equivalent Privacy)

    • 最早被發展出來的認證方式

    • 沒有雙向認證的機制

    • 最不安全的認證方式

    • 密碼是固定的且明碼傳送

    • Confidentiality: 使用RC4(64、128、256bits)加密

    • Integrity: CRC-32演算法

    • Authentication:

    • 嘗試讓無線網路達到和有線網路一樣的保密能力

    • 容易破解

  1. Open system:不認證

  2. Pre-Shared Key: AP與Client都需要事先先建立相同的密碼

802.1x –使用於企業級的應用

  • Authentication:

  1. EAP-MD5:最常使用的方式,使用MD5 hash後的密碼

  2. EAP-OTP:使用OTP的方式

  3. EAP-TLS:數位憑證的方式

  4. 集中的金鑰管理於認證,但需要 RADIUS伺服器

WPA–不需要外部認證伺服器

  • Confidentiality: 加密使用RC4,使用TKIP + Dynamic Keying(確保Key的正確性)

  • Integrity: 使用Michael的加密演算法

  • Authentication:

  • 較安全性的方式

  • 若搭配802.1x EAP,User只要輸入ID/PW即可,不需要再設定

  1. IEEE 802.1x EAP:使用在企業內部,需要有RADIUS Server

  2. Pre-Shared Key:User或SOHO使用

WPA2-更高效,更安全的安全方案

  • Confidentiality: 加密使用AES,使用TKIP + Dynamic Keying(確保Key的正確性)

  • Integrity: 使用Michael的加密演算法

  • Authentication: 與WPA一樣

  • 業界的標準

  • 可搭配RADIUS,與WPA相同

  • 與WPA不同的地方在於加密的演算法。

clip_p_w_picpath008[2]802.1x            
802.1x不是一個單獨的認證方法,相反它使用EAP作為它認證的框架.這就意味著就有 802.1x能力的交換機和訪問點能夠支援廣泛的認證方式,包括基於證書的認證,智慧卡,權杖卡(token cards),一次性口令等等。            
802.1x支援認證、授權、記帳的開放標準 (包括RADIUS和 LDAP),所以它可以在現有的基礎架構中管理遠端和移動的用戶。            
同認證協議相互結合,例如 EAP-TLS、 LEAP或者EAP-TTLS, 802.1x提供了基於埠的存取控制以及客戶段與訪問點間的雙向認證。

     

无线网络***:

   
  • 違法使用無線網路

  • 竊聽(Eavesdropping)                
    -資訊以電波方式發送

  • 通訊分析(Traffic Analysis)                
    -Sniffer software,例如kismet…etc.

  • 偽裝(Masquerade)                
    -Access Point(AP) ESSID無法被認證

  • 重播(Replay)                
    -可能產生不同步問題或是造成資訊外洩

  • 訊息竄改(Message Modification)

  • 服務阻斷攻擊(Denial of Service, DoS)

    • Deauthenticate flood attack:攻擊者送出Deauthentication的封包,造成合法使用者的斷線。

    • Beacon flood attack:攻擊者送出大量偽造的Beacon封包,使得合法的使用者會看到很多看似可以連上的AP,實際卻不能使用的假AP,因而無法連上合法的AP。

    • Association flood attack:攻擊者送出大量的連線要求封包,造成AP可連線的上線數量達到最大值,使得其他使用者無法連結上AP。

  • 中間人攻擊(Man-in-the-middle Attack, MITM):攻擊者偽裝成AP,使得合法使 用者連結上,幫合法使用者轉遞封包。在這過程中使用的封包有被竊聽、竄改之危機。

  • 通訊攔截(Session-Hijacking)