WLAN网络基础知识培训胶片.ppt

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,WLAN,网络基础知识,无线产品拓展部,日期：,2007-11-1,密级：内部公开,杭州华三通信技术有限公司,概述,802.11,基础知识,802.11,安全技术,802.11 QoS,技术,802.11,快速漫游技术,目录,凡是自由空间均可连接网络，不受限于线缆和端口位置,办公大楼,候机大厅,渡假山庄,商务酒店,无线让网络使用更自由,终端与交换设备之间省去布线，有效降低布线成本；,适于特殊地理环境下的网络架设，如隧道、港口码头、高速公路；,终端与设备之间不方便通过线缆连接,地理环境不适合布设有线网络,无线让网络建设更经济，通信更便利,无线让工作更高效,不受限于时间和地点的接入网络，满足各行各业对于网络应用的需求；,体育场馆新闻中心,展馆与证券大厅,制造车间,物流运输,WLAN,技术的发展进程,802.11,802.11b,802.11a,802.11g,标准发布时间,July 1997,Sept 1999,Sept 1999,June 2003,合法频宽,83.5MHz,83.5MHz,325MHz,83.5MHz,频率范围,2.400-2.483GHz,2.400-2.483GHz,5.150-5.350GHz,5.725-5.850GHz,2.400-2.483GHz,非重叠信道,3,3,12,3,物理发送速率,1,2,1,2,5.5,11,6,9,12,18,24,36,48,54,6,9,12,18,24,36,48,54,理论上的最大,UDP,吞吐量,(1500 byte),1.7 Mbps,7.1 Mbps,30.9 Mbps,30.9 Mbps,理论上的,TCP/IP,吞吐量,(1500 byte),1.6 Mbps,5.9 Mbps,24.4 Mbps,24.4 Mbps,IEEE 802.11,无线局域网工作组,PHY,802.11(1/2 Mbps),802.11b(5.5/11 Mbps),802.11g(54 Mbps),802.11a(54 Mbps),MAC,802.11/11a/11b/11g MAC,802.11f-,漫游和切换,802.11e-QoS,802.11i,安全增强,802.11n(300 Mbps),802.11s-mesh,802.11r,快速切换,无线局域网关注点,802.11,无管理,MAC,认证、,WEP,加密,无漫游,低速无线接入,802.11a/b,简单配置管理,WPA,认证,TKIP,加密,L2,漫游,无线数据接入,802.11g,集中管理、射频环境管理,WPA,认证,802.11i,加密,L2,、,L3,漫游,语音、数据、视频无线接入,802.11n,更强大的全网管理,动态认证,安全接入,任意位置接入,综合业务的无线承载,作为有线的简单补充，实现无线基本接入功能,1998,年,2000,年,2004,年,未来,2M,54/11M,54M,600M,主要的接入层技术之一，扩展丰富增值业务功能,：带宽、管理、安全、漫游、增值,规模应用,其他,WLAN,相关组织和标准,Wi-Fi,联盟,成立于,1999,年的,Wi-Fi,联盟是一个非牟利国际协会，旨在认证基于,IEEE 802.11,规格的无线局域网产品的互操作性和推动,wireless,新标准的制定,目前已知的相关标准,WPA,：,802.11i,的子集，支持,802.1x,认证以及,TKIP,加密算法,WPA2,：,802.11i,WMM,：,802.11e,的子集，支持,EDCA,方式,CAPWAP,IETF,目前有关于无线交换机和,FIT AP,间控制和管理标准化的工作组,比较重要的标准,Architecture Taxonomy for CAPWAP(RFC 4118),LWAPP(,最新的草案更名为,CAPWAP specification),WLAN,产品对人体的电磁辐射是安全的,很多的研究已经证明，,WLAN,产品可以在家庭及商业中使用，对人体来说是安全。,典型的,WLAN,产品输出功率为,100mw(AP),，对于网卡来说，通常只有,10mw,至,50mw,。,相比较来说，手机的发射功率在通话时可以超过,1W,，而无线对讲机甚至可以达到,5 W!,政府有相关的法令对发射功率进行严格的限制。,Direct,Signal,Reflected,Signals,Also,Multipath fading,PC Card,Access Point(AP),无线传输的干扰因素,-,多径干扰,功率在穿过障碍物后衰减,墙，门，等等,电磁波的穿透性能是和频率相关的。,当发射功率不足够大时，在建筑物后形成无线覆盖盲区,。,无线传输的干扰因素,-,障碍物,无线传输的干扰因素,电磁干扰,2.4GHz,为,ISM,频段，不需授权即可使用。,同一区域内,AP,之间的互相干扰，干扰方式分为同信道干扰和邻信道干扰。,其他干扰源,-,微波炉,-,医疗设备,-,双向寻呼系统,-,脉冲雷达系统,-,其它无线通讯系统,干扰的存在会使系统的整体性能有非常明显的下降，在有些时候甚至会失去工作的能力。,有效带宽,吞吐率,802.11b,标准描述的速率为,11 Mbps,实际可获得的速率为一半,(4-6 Mbps max),802.11,g,标准描述的速率为,54,Mbps,实际可获得的速率为一半,(,10,-,30,Mbps max),AP,接入的用户数基本可以均分其有效带宽,其他用于协议封装或冲突避免开销,不稳定是无线通讯的本性,无线环境不停的变化,物理建筑的构成,共享介质,用户数,数据量,WLAN,覆盖范围,802.11g,的理论覆盖与,802.11b,的相同，比,802.11a,覆盖距离增加,50,802.11b,的覆盖距离及与速率间的关系见表中描述,真实的,802.11b/g,覆盖范围,所有的,802.11b,产品提供商在文档上都说，在缺省配置下，室外覆盖距离可达,300,米，室内可达,100,米。,而在实际中，覆盖距离更依赖于实际环境。,一般来说，速率为,1/2Mbps,时，覆盖距离可到,40-90,米。速率为,11Mbps,时，覆盖距离只有,10-30,米。,影响覆盖范围的因素,-,建筑结构,-,电磁设备,概述,802.11,基础知识,802.11,安全技术,802.11 QoS,技术,802.11,快速漫游技术,目录,802.11,网络的基本元素,-BSS,能互相进行无线通信的,STA,可以组成一个,BSS,（,Basic Service Set,）,BSS,是,802.11,网络的基本结构,1208E,BSS1,1208E,BSS2,STA1,STA2,STA3,STA5,STA6,STA4,802.11,网络的基本元素,ESS,ESS(Extended Service Set),是采用相同的,SSID,的多个,BSS,形成的更大规模的虚拟,BSS,DS,ESS,BSS2,AP2,Service set identify,(SSID1),BSS1,AP1,Service set identify,(SSID1),1208E,1208E,802.11,网络的基本元素,SSID,和,BSSID,AP1,AP2,BSSID1SSID,SSID,“,marketing”,SSID,“,marketing”,ESS,BSSID1SSID,SSID,是一个,ESS,的网络标识,BSSID,是一个,BSS,的标识,1208E,1208E,802.11,组网模式,Ad hoc,802.11,组网模式,单一,BSS,以太网,1208E,以太网,802.11,组网模式,多个,BSS,1208E,1208E,802.11 MAC,访问机制,DCF,方式,IFS,IFS,推迟发送直到媒体空闲,IFS,时间长度,Busy,Frame,Contention window,back-off,定时启动,Medium busy,Send frame,Time,DCF,方式基于,CSMA/CA,原理,不同类型的报文可以通过采用不同,IFS,时长来区分访问媒体的优先级,SIFS,：用于优先级最高的时间敏感的控制报文,(,例如,CTS,，,RTS,ACK),PIFS,：用于,AP,发送报文,DIFS,：用于一般的,STA,发送报文,最终的效果是控制报文比数据报文优先获得媒体发送权，,AP,比,STA,优先获得媒体发送权,SIFS,Busy,Frame,Time,PIFS,DIFS,Contention window,802.11 MAC,访问机制,DCF,方式（续）,无线通信中存在的隐藏站点问题,由于无线电波传输范围有限，导致一台,STA,有可能无法侦听到同信道其他,STA,发出的信号，从而误以为信道空闲，引起冲突,A,B,C,？,发送,允许发送报文,需要,xxx,时间,请求发送报文,需要,xxx,时间,802.11,发送报文的,RTS/CTS,机制,通过,RTS/CTS,的交互，使得,STA,得知隐藏站点传输数据所需的时间，从而避免冲突,A,B,C,xxx,时间内信道忙,基于,RTS/CTS机制,的,典型报文发送过程,STA1,AP,STA2,RTS,请求发送,CTS,同意发送,STA1-STA2,的数据,ACK,发送确认,RTS,请求发送,CTS,同意发送,STA1-STA2,的数据,ACK,发送确认,1208E,数据帧,用户的数据报文,控制帧,协助发送数据帧的控制报文，例如：,RTS,、,CTS,，,ACK,报文,管理帧,负责,STA,和,AP,之间的能力级的交互，认证、关联等管理工作,802.11,报文分类,802.11,管理功能,用户接入过程,STA,AP,通过,Scanning,选择,AP,(,采用侦听,Beacon,帧或发送,Probe,帧,),Authentication,Association,和建立,Association,关系的,AP,收发数据,1208E,802.11 MAC,使用,Scanning,来搜索,AP,STA,搜索并连接一个,AP,当,STA,漫游时寻找连接一个新的,AP,STA,会在在每个可用的信道上进行搜索,Passive Scanning,通过侦听,AP,定期发送的,Beacon,帧来发现网络,Active Scanning,在每个信道上发送,Probe request,报文，从,AP,回复的,Probe Response,中获取,AP,的基本信息,802.11,管理功能,-,Scanning,802.11,管理功能,-,Authentication,STA,AP,Authentication request,Authentication Response,(success),STA,AP,Authentication request,Plain text challenge,Cipher text challenge,Authentication Response,(success),预置,Key,用,Key,加密明文,密文解密,和明文比较,预置,Key,1208E,1208E,Open-system,Authentication,过程,Shared,Key,Authentication,过程,Association,STA,通过,Association,和一个,AP,建立关联，后续的数据报文的收发只能和建立,Association,关系的,AP,进行,Rea,ssociation,STA,在从一个老的,AP,移动到新,AP,时通过,Rea,ssociation,和新,AP,建立关联,Rea,ssociation,前必须经历,Authentication,过程,Dea,ssociation,STA,通过,Dea,ssociation,和,AP,解除关联关系,STA,AP,Association,request,(SSID),Association Response,(,Association,ID),STA,New AP,数据,Old AP,检测到,New,AP,信号强,Reassociation,请求,(old AP address),Deassociation,Reassociation,应答,802.11,管理功能,-,Association,概述,802.11,基础知识,802.11,安全技术,802.11 QoS,技术,802.11,快速漫游技术,目录,802.11,认证开放系统认证,开放系统身份认证,(open-systern authentication),开放系统是,802.11,要求必备的方式。在开放系统身份认证中，,AP,并未验证移动式工作站的真实身份。无线终端以,MAC,地址为其身份证明。和,Ethernet,网络一样，网络上的,MAC,地址必须独一无二。开放系统下用户不需要认证只要,MAC,地址唯一即可接入网络。,STA,AP,Authentication request,Authentication Response,(success),MAC,地址认证,MAC,地址过滤是相当常见的做法，几乎所有产品均有支持。,AP,上维护了一份经过授权的,MAC,地址清单，不在名单上的工作站。网管人员可以键入一组经过授权的工作站地址，只要是表上有名的工作站就可以跟网络连接。,802.11,认证,MAC,地址认证,802.11,认证共享密钥认证,共享密钥认证,(shared-key authentication,）,共享密钥身份认证,(shared-key authentication,）必须使用,WEP,，因此只能用于实现了,WEP,的产品上，虽然目前已经很难找到不支持,WEP,的产品。正如其名，共享密钥身份认证要求在进行身份认证之前，必须传递共享密钥给无线终端。共享密钥身份认证的理论基础是，如能成功回应传给它的挑战信息，就证明工作站拥有共享密钥。双方交换密钥成功后，终端认证通过。,STA,AP,Authentication request,Plain text challenge,Cipher text challenge,Authentication Response,(success),预置,Key,用,Key,加密明文,密文解密,和明文比较,预置,Key,PSK,（,Pre-shared key,）认证方式,该方式要求在,STA,侧预先配置,Key,，,AP,通过,4,次握手,Key,协商协议来验证,STA,侧,Key,的合法性。,对没有什么重要数据的小型网络而言，可以使用,WPA,PSK,的预设共享密钥模式。主要把预设共享密钥方式的,WPA-PSK,应用于小型、风险低的网络以及不需太多保护的网络用户。,对大企业而言，安全性要求较高，更多的使用,802.1X,。,802.11,认证,PSK,认证,802.1x,标准简介,:,802.1x,是基于端口的网络接入控制协议,它提供了一个认证过程框架，支持多种认证协议在,802.1x,中，不同的认证协议统一使用,EAP,封装格式。也就是说：,802.1x,只是对认证进行控制，是接入认证的手段，具体认证还需要其它认证协议。,基于端口的网络接入控制：,是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源,相当于物理连接被断开。,EAP,的类型包括,:,EAP-MD5,：最早的,EAP,认证类型。它是基于用户名，密码 方式的认证。认证过程与,CHAP,认证过程基本相同。,EAP-TLS,：是一种基于证书的认证方式，它是对用户端和认证服务器端进行双向证书认证的认证方式,PEAP,：是一种基于证书的认证方式，服务器侧采用证书认证，客户端侧采用用户名密码认证,802.11,认证,802.1X,认证,802.11,加密,-,WEP,加密,STA,AP,加密报文,IV,值,IV,静态,Key,Key,生成器,Key,流,XOR,用户数据明文,发送的加密报文,IV,静态,Key,Key,生成器,Key,流,XOR,用户数据明文,接收的加密报文,1208E,从加密到安全,WEP,够了吗？,整个网络公用一个共享密钥，一旦丢失，整个网络都很危险,IV,向量太短，大量监听用户数据报文后，,WEP,加密很容易被破解,RC4,加密算法本身过于简单,解决办法？,增加一种密钥管理机制,采用更强壮的加密算法,增加了,Key,的生成、管理以及传递的机制,每用户使用独立的,Key,通过安全的传递方法传递用户数据加密使用的,Key,增加了两类对称加密算法，加密强度大大增强,TKIP,：,TKIP,核心仍然是,RC4,算法，改进了,WEP,的某些缺陷，加强安全性,CCMP,：核心为,AES,算法,802.11i,加密,概述,802.11,基础知识,802.11,安全技术,802.11 QoS,技术,802.11,快速漫游技术,目录,802.11,技术在,QOS,方面存在的缺陷,最初的,802.11,技术是为满足用户的数据传输而设计的，根本没有考虑多业务承载,802.11,采用的,DCF,调度模式是基于,CSMA/CA,原理，最终的效果是，所有用户发送的报文平等地竞争无线资源,由于没有区分业务优先级的机制，造成,AP,和终端在对外发送报文时对报文按同等优先级对待。当发生流量拥塞时，需要优先处理的报文（例如语音报文）和普通的报文（例如浏览网页的报文）会按相同的概率被丢弃,和有线网络相对完善的,QOS,机制无法很好的衔接,802.11e,协议,QOS,保证,802.11e,针对,DCF,模式进行了改进，支持,EDCA,的媒体访问机制,支持,8,个业务优先级的报文标记,(,类似于有线网络中的,802.1P),业务优先级可被映射到,4,个输出队列,高优先级的报文优先获取无线空口的访问能力,802.11e,协议,EDCA,调度模式,优先级队列,1,优先级队列,2,优先级队列,3,优先级队列,4,Busy,Frame,Time,AIFS4,CW4,AIFS3,CW3,Frame,AIFS2,CW2,Frame,AIFS1,CW1,Frame,AP,和用户等待向无线空口发送的数据的调度机制：,概述,802.11,基础知识,802.11,安全技术,802.11 QoS,技术,802.11,快速漫游技术,目录,漫游概念,802.11,只提到漫游（,roaming,）这个字眼。但对实现过程没有作具体的规定，一般而言，多数人都认为漫游就是终端从一个,AP,转换到另一个,AP,即无线终端从一个,BSS,服务集移动接入到另外一个服务集的过程。如下图：,便携机从,AP1,（,BSS1,）的位置向,AP2(BSS2),移动，在业务不间断的情况下，接入到,AP2,。,STA,AP,AP,1208E,1208E,移动,ESS,Wireless漫游的分类,二层漫游,在同一个子网内的,AP,间漫游,三层漫游,在不同子网内的,AP,间漫游,VLAN1,IP:1.0.0.1,VLAN1,AP,1208E,1208E,AP,VLAN1,L2,网络,STA,移动,二层漫游,VLAN1,IP:1.0.0.1,VLAN1,AP,1208E,1208E,AP,VLAN2,L3,网络,STA,移动,三层漫游,快速漫游技术,Key caching,Key caching,过程：,STA,第一次接入时（接入,Old AP,）采用正常的,802.1x,认证过程,认证通过后,STA,把使用的,PMK,信息保存在,Cache,中,STA,向,New AP,发起,Rea,ssociation,时协商使用,PMK Cache,方式做认证,STA,利用在,Cache,中保存的在,Old AP,中使用的,PMK,和,New AP,发起,4,次握手协商过程,协商成功，,STA,开始传送数据报文,STA,AP,PMK Cache,XXXXXXX,New AP,Old AP,STA1,PMK Cache,XXXXXXX,STA1,PMK Cache,XXXXXXX,1208E,1208E,STA,在切换,AP,以后不必在进行烦琐的,802.1x,认证和,Key,交换，加快了切换速度,