WLAN基础


802.11技术都使用CSMA/CA避免冲突(单点来回路径上会冲突?),因为无线环境复杂,无法采用监听介质(空气)方式判断是否会产生冲突,所以需要使用CA技术通过 每次通信都事先与AP协商是否可以发送数据来避免冲突; 检测本出口是否有对端输入信息,如没有则保持一段时间后随机发送。所以速度永远没有802.3高(CSMA/CD是不协商,先监听,然后直接发,然后检测是不是成功,不成功等待一定时间后再发)。a,b使用,g使用???

802.11b 使用CCK(>2Mb/s)和DSSS(<2Mb/s)调制技术,信道分配同802.11g。

802.11b/g使用多频带技术,将2.4GHz分为14个(北美11,欧洲13,日本14)频段(每段22MHz),在14个信道中只有1,6,11(北美11,欧洲13,日本14)是不重复的,所以只有3个非干扰重叠信道。这样,802.11g总的可同时接受信息速率为 54*3=162Mb/s。当速率下降到11 Mb/s(同802.11b极限速率)以下时,自动调整为使用DSSS调制方式以向下兼容802.11b(因为支持802.11g的网卡都支持802.11b,所以当速率下降到b的范围时自动调整OFDM为DSSS)。

802.11a 也使用多频带技术,将5 GHz 分为12 个不重叠信道(每段20MHz),最低速率6Mb/s。速率范围54,48,36,24,18,12,9,6。

两种联网结构

IBSS(Individual Basic Service Set):独立基本服务组,即各站点各自独立、平等,没有归属关系,又称Ad Hoc,就是PSP那种站点间可以不通过WLAN路由直接相连的方式。
网络中各站点无线范围需要相互覆盖,即A-B-C,若A的范围只能覆盖到B而不能覆盖C(C亦然),那么B可以成为A到C的中继将信息传递给C,但如果C旁边还有其他站点,则无法传递给那些站点,因为只能一跳。所以网络中个站点的范围应相互覆盖,才可保证通信质量。另外,还设立了BSSID作为帧标识(在MAC帧后),用于在A-B同网,B-C同网,而A-C不希望通信(相互都覆盖)的情况,即在2层区分不同网络(类似VLAN)。如某设备开通后,未在覆盖范围内发现其他设备(有信号并有BSSID),则会自己生成自己的BSSID并等待其他站点接入,然后全网同步BSSID。

ESS(Extended Service Set):扩展服务组,即一个大型无线网络,由多个无线路由(AP)构成,连接他们的站点和他们自己一起组成他们自己的BSS(基本服务组),然后各无线路由(AP)相互桥接,组成大型网络。这样,在某站点在所有AP中都有访问权限的情况下(MAC过滤+密码),可以实现站点在各AP间自由穿梭,网络会自动切换站点的归属AP。

ESS网络中除了SSID外,也有BSSID(AP的MAC),它被设置用于区分不同AP,即在相同SSID的大网络背景下,站点能区分它在切换过境时连接了不同AP。

由于IBSS和ESS在无线信道中的帧格式不同,所以他们之间不能通信。

安全机制:

SSID(Service Set Identifier):服务集标识符用于区分不同无线路由器接入点名称。可以在路由器上关闭SSID通知,这样站点就不会在可用网络中看到这个SSID。只有知道此SSID名字的站点才有资格连接,从而起到安全作用。

WEP(Wired Equivalent Privacy,静态有线等效协议、共享密钥认证):基于RC4的RSA加密技术(40或128 bit)。路由器持有密钥(WEP加密过),站点有接入请求时,它会以明文发送“请出示密钥”请求,接入的站点也要出示该密钥(WEP加密过)方可接入。
WEP的问题:密码太短,明文请求,静态加密,碰撞攻击(密码相同,数据包不同),重放攻击(截取相同的数据重复发送给AP)

WPA(WiFi Protected Access):无线网络安全系统,是一个安全框架密钥方案为TKIP

TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议):在WEP密钥数据的基础上套了一层壳,所以它也是基于RC4的加密算法(必须128 bit)。它不是WEP那种简单的一次性加密,而是对于每次通信的数据都进行重新加密,因为加密过程中因子随时变化,所以加密后的数据就不一样了,从而实现“动态”加密

它解决了WEP的几个问题:

1.  密码太短:TKIP强制128bit;

2.  静态加密:TKIP使用基本密钥(针对每个不同站点设立不同基本密钥,可通过802.1x服务器实现)、MAC、数据包序列号作为动态加密因子,完成动态加密;

3.  碰撞攻击:由于数据包序号不会重复,所以动态密码不会出现密码相同数据包不同的情况(相同的密码必然出自相同的数据包序号因子);

4.  重放攻击:因为数据包序号不重复,所以通过截取老数据包序号头伪装新数据的方式会被检出(如果正常数据发送失败,重发时数据包序号+1,所以同数据包序号伪装很容易识破)。

WPA,WPA2分为PSK802.1x服务器认证两种密钥分配模式。

WEP也使用PSK(Pre-shared Key,预共享加密)手段进行加密,也就是在AP上留有密钥,站点须持有相同密钥才可连接。而802.1x意味着密钥不存在AP上,而是所有连接都经过服务器认证。

802.11x草稿:WPA
802.11i定稿:802.11的安全通用标准,它使用WPA2安全框架系统,利用AES加密方法替代传统的RC4。

AES(Advanced Encryption Standard,高级加密标准):密码长度128,192,256bit,密钥会自动重复变换。彻底取代RC4算法的加密技术。

WPA是一种加密体系,WEP,TKIP,AES(只有AES不是RC4算法)都是实际的密钥加密方法,而PSK是密钥存放方法。

Advertisements
By Ctrl | Alt | Del Posted in Cisco Tagged

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s