WLAN——一篇让你从0到1了解无线局域网的文章

WLAN定义和基本架构

WLAN定义

WLAN的全称是Wireless Local Area Network，中文含义是无线局域网，WLAN的定义有广义和狭义两种：广义上讲WLAN是以各种无线电波（如激光、红外线等）的无线信道来代替有线局域网中的部分或全部传输介质所构成的网络。WLAN的狭义定义是基于IEEE 802.11系列标准，利用高频无线射频（如2.4GHz或5GHz频段的无线电磁波）作为传输介质的无线局域网。

WLAN基本架构

FAT AP架构，又叫自治式网络架构。一种是AC FIT AP架构，又叫集中式网络架构。

FAT AP

FAT AP英文全称是FAT Access Point，中文称为胖接入点，也有很多人直接称为胖AP。我们先从最熟悉的家庭无线路由器入手，家庭无线路由器采用的是FAT AP架构，即自治式网络架构。

FAT AP不仅可以发射射频提供无线信号供无线终端接入，还能独立完成安全加密、用户认证和用户管理等管控功能。想一下我们家里的无线路由器，我们可以为WLAN设置密码，可以配置黑名单或白名单控制用户接入，还可以管理接入的用户（如设置用户的接入速率）等，这些都符合FAT AP的特征。

下面的组网图是一个简单的基于FAT AP架构的组网应用。

FAT AP优劣及应用场景

FAT AP功能强大，独立性强，具备自治能力，不需要介入专门的管控设备，独自就可以完成无线用户的接入，业务数据的加密和业务数据报文的转发等功能。

但这也是FAT AP的缺点。当单个部署时，由于FAT AP具备较好的独立性，不需要另外部署管控设备，部署起来很方便，成本也较低廉，在类如家庭WLAN或者小企业WLAN的使用场景中，FAT AP往往是最适合的选择。给我们感受最深刻的就是我们在家里使用一个无线路由器就能享受WLAN带给我们的便捷。但是，在大的使用场景中，如我们上面提到的候车厅，FAT AP的独立自治就变成了自身的缺点。由于WLAN覆盖面积较大，接入用户较多，需要部署许多FAT AP设备，而每个FAT AP又是独立自治的，缺少统一的管控设备，管理这些设备就变得十分麻烦。

FIT AP

FIT AP英文全称是FIT Access Point，中文称为瘦接入点，也有很多人直接称为瘦AP。为了实现WLAN的功能，除了FIT AP外，还需要具备管理控制功能的设备——AC。AC英文全称是Access Controller，中文称为无线接入控制器。AC的主要功能是对WLAN中的所有FIT AP进行管理和控制，AC不具备射频（AC只是管理控制设备，不能发射无线射频信号），它和FIT AP配合共同完成WLAN功能。这种架构就被称为了AC FIT AP架构。

下图为某大型企业基于AC FIT AP架构部署的WLAN组网示意图。

名称	优点	应用场景
FAT AP	能独立完成安全加密、用户认证和用户管理等管控功能。	家庭或者小企业
FIT AP	大型场所部署WLAN时，更经济、高效，降低了管控和维护的成本；可以统一管理，解决用户漫游的问题。	候车厅等大型场所

WLAN射频和信道

射频

WLAN跟日常生活中的无线广播、无线电视、手机通信一样，都是用射频作为载体。射频是频率介于3赫兹（Hz）和约300G赫兹（Hz）之间的电磁波，也可以称为射频电波或射电。WLAN使用的射频频率范围是2.4GHz频段和5GHz频段

信道

我们可以把WLAN信道理解为电视机的频道，如果WLAN使用整个2.4GHz频段作为一个信道，当同一覆盖范围内有两个及两个以上的AP，大家都用相同的信道，会造成严重的干扰（如同中央5台使用了中央1台的频道一样），两个AP都无法有效提供WLAN服务。所以，在WLAN标准协议里将2.4GHz频段划分出13个相互交叠的信道，每个信道的频宽是20MHz，每个信道都有自己的中心频率。

这13个信道可以找出3个独立信道，即没有相互交叠的信道。独立信道由于没有频率的交叠区，相邻AP使用这3个独立信道不会彼此产生干扰。如下图中的1、6、11就是三个互不交叠的独立信道。

在部署WLAN时，为避免相邻AP产生同频干扰，多采用蜂窝式信道布局。蜂窝式布局中相邻AP间使用不交叠的独立信道，可以有效避免同频干扰。

WLAN标准协议

协议标准	支持频段/GHz	是否兼容其他协议标准	商用情况
802.11	2.4	不兼容	早期版本，目前所有产品均支持
802.11b	2.4	不兼容	早期版本，目前所有产品均支持
802.11a	5	不兼容	实际使用较少
802.11g	2.4	兼容802.11b	目前大规模商用
802.11n	2.4、5	兼容802.11a、802.11b、802.11g	目前大规模商用
802.11ac	5	兼容802.11a、802.11n	目前未大规模商用

WLAN常用概念

SSID（ESSID）

SSID的全称是Service Set Identifier，也就是服务集标识符，用于标识一个服务集，按照大部分人的理解，也就是用来标识一个可用的网路。通常是一个不超过32个字符的字符串，这个SSID又叫ESSID。

服务集

所谓服务集，就是一组互相有联系的无线设备，这样理解起来有点抽象，举个例子，在星巴克咖啡馆提供的无线网络中，我们的手机、平板电脑，带无线网卡的笔记本这一系列无线终端（在WLAN中称之为工作站STA，Station），只要连上AP，实际上就构成了一个服务集。在这个服务集内，只要终端和AP关联，终端就能够相互通信（当然是需要通过AP），也可以通过AP访问外部网络。

BSS

基本服务集BSS：如果这个服务集中只有一个AP，那么这个服务集就可以被认为一个基本服务集BSS。BSS是无线网络的基本服务单元。所有的终端关联到一个AP上，该AP连接其他有线设备，并且控制和主导整个BSS中的全部数据的传输过程，在一个BSS的服务区域内，STA可以相互通信。

ESS

扩展服务集ESS：简单理解，就是多个使用相同SSID的BSS组成。但是这些BSS是要比邻安置，而且这些BSS通过各种分布系统互联，有线无线都可以，不过一般都是以太网。

由于使用的是相同的SSID，我们根本感不到我们是接在多个BSS上，而是如同接在同一个AP上一样。终端在ESS内的通信和在BSS中类似，不过如果BSS中终端A想和另一个BSS中的终端B通信，则是需要经过2个接入点AP1和AP2，即A->AP1->AP2->B。

特别的，在同一个ESS中的不同BSS之间切换的过程称为漫游（指移动终端离开自己注册登记的服务区域，移动到另一服务区后，移动通信系统仍可向其提供服务的功能）。上图也画出了终端A从BSS1域漫游到BSS2（图上的A’的位置），此时A仍然可以保持和B的通信，不过A在漫游前后的接入点AP改变了。

VAP

早期的AP只支持1个BSS，如果要在同一空间内部署多个BSS，则需要安放多个AP，这不但增加了成本，还占用了信道资源。为了改善这种状况，现在的AP通常支持创建出多个虚拟AP (Virtual Access Point, VAP)。

VAP就是在一个物理实体AP上虚拟出的多个AP。每一个被虚拟出的AP就是一个VAP。每个VAP提供和物理实体AP一样的功能。所有的VAP都在共用一个AP的带宽和运算能力。

每个VAP对应1个BSS。 这样1个AP，就可以提供多个BSS,可以再为这些BSS，设置不同的SSID。

VAP的优势显而易见，多个虚拟的AP工作在同一个硬件平台，提高了硬件的利用率；网络管理员可以为不同VAP设置不同SSID，安全设置，QoS设置等策略和功能，也增加了网络的灵活性。

VAP也是用BSSID来区分的，但是这是BSSID不是用的物理AP的MAC地址，而是用的VAP的MAC地址。而这个VAP的MAC地址实际上和物理AP的MAC地址是有影射关系的。

AP上线过程（重！）

AP获取IP地址

AP的IP地址可以是静态配置的，也可以是通过DHCP动态获取的。

• 如果是静态配置的，AP的IP地址立即就确定了，这一步也就结束了。

• 如果是通过DHCP动态获取，AP不知道谁是DHCP Server，会以广播discovery报文的方式去发现DHCP Server，所有收到这个广播信息的DHCP Server都会单播offer回应AP。

  AP只接收第一个到达的offer，并广播request告诉所有人，我已经选择好了一个DHCP Server了，其他人不需要再准备为我提供DHCP Server服务了。

  AP选择的DHCP Server会把AP的IP地址、租期日期、网关地址、DNS Server的IP地址等信息用ACK报文反馈给AP。值得注意的是这个ACK报文里面有个option43字段，里面可以用来填充AC的IP地址。作用就是直接告诉AP有AC的IP地址可用。具体在后面的AP发现AC阶段中描述其作用。
  

• 有的时候AP与DHCP Server不在同一个VLAN中，AP通过广播discovery报文不能直接发现DHCP Server，这个时候，可以通过DHCP Relay来发现DHCP Server。AP获取IP地址的流程就变成了下面的样子。
  
  AP原来只需要直接和DHCP Server交流，现在变成了和DHCP Relay直接交流，由DHCP Relay将AP的请求单播给DHCP Server，DHCP Server回复给AP的消息也要通过DHCP Relay来转达。

AP发现AC

• 静态方式

AP上是支持静态配置AC的IP地址的，如果静态配置了AC的IP地址，AP就会向所有配置的AC单播发送发现请求报文，然后根据AC的回复，根据优先级，选择一个AC，准备进行下一个阶段的建立CAPWAP隧道。

• 动态方式

  如果AP上没有配置AC的IP地址，AP会根据当前的情况来决定是使用单播方式还是广播方式来发现AC。

  首先，AP会查看AP获取IP地址阶段中DHCP Server回复的ACK报文中的option43字段是否存在AC的IP地址，这个字段是可选择配置的，如果有AC的IP地址，AP就会向这个地址单播发送发现请求报文。在AC和网络都正常的情况下，AC会回应AP的请求，至此，AP就完成了发现AC的过程。我们可以把这种发现AC的方式称为DHCP方式。

  与DHCP方式类似的还有DNS方式，与DHCP方式不同的是，DNS方式中，DHCP Server回复的ACK报文中存放的不是AC的IP地址，而是AC的域名和DNS服务器的IP地址，并且报文中携带的option15字段用来存放AC的域名，AP先通过获取的域名和DNS服务器进行域名解析，获取AC IP地址，然后向AC单播发送发现请求。之后的过程就和DHCP方式一致了。

  无论是DHCP方式还是DNS方式，都是属于单播方式，AP都是发送的单播报文给AC。

• 广播方式

  如果AP上没有配置静态的AC IP地址、DHCP Server回复的ACK报文中没有AC的信息、或者AP单播发送的发现请求报文都没有响应，此时AP就会通过广播报文来发现AC。和AP处于同一个网段的所有AC都会响应AP的请求，AP会选择优先级最高的AC来作为待关联的AC，如果优先级相同，则继续比较AC的负载，负载轻的作为待关联AC，如果负载也相同，则选择IP地址小的作为待关联AC。然后准备进行下一阶段的CAPWAP隧道建立。

CAPWAP隧道建链

CAPWAP全称是Control And Provisioning of Wireless Access Points，中文名叫无线接入点控制与规范，CAPWAP是由RFC5415协议定义的实现AP和AC之间的互通的通用封装和传输机制。

CAPWAP隧道又细分为控制隧道和数据隧道。

• 数据隧道：AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。同时还可以选择对数据隧道进行数据传输层安全DTLS ( Datagram Transport Layer Security)加密，使能DTLS加密功能后。CAPWAP数据报文都会经过DTLS加解密。
• 控制隧道：通过CAPWAP控制隧道实现AP与AC之间的管理报文的交互。同时还可以选择对控制隧道进行数据传输层安全DTLS加密，使能DTLS加密功能后，CAPWAP控制报文都会经过DTLS加解密。

AP接入控制

AP在找到AC后，会向AC发送加入请求，（如果配置了CAPWAP隧道的DTLS加密功能，会先建立DTLS链路，此后CAPWAP控制报文都要进行DTLS加解密。）请求的内容中会包含AP的版本和胖瘦模式信息。AC收到AP的加入请求后，会判断是否允许AP接入，然后AC进行回应。如果AC上有对应的升级配置，则AC还会在回应的报文中携带AP的版本升级信息（升级版本、升级方式等）。

AC判断AP是否能够接入的流程：

• 第一关，首先查看AP是否被列入了黑名单，如果在黑名单中能匹配上AP，则不允许AP接入，然后就没有然后了。如果很幸运，没有匹配上黑名单，那么将进入第二关。

• 第二关，判断AP的认证模式，如果AC上对AP上线要求不严格，认证方式为不认证，则到这一关的AP都将闯关成功，允许接入。实际使用场景还是建议使用MAC或SN（序列号，每台AP的标识符—— SN ，是唯一的）认证，严格控制AP的接入。如果是MAC或SN认证，还需要继续闯关。

• 第三关，本关MAC或SN认证分别要验证MAC或SN对应的AP是否离线添加，如果已添加，则允许AP接入，否则进入下一关。

• 第四关，查看AP的MAC或SN是否能在白名单中匹配上，如果匹配上，则允许接入，否则AP被放入到未认证列表中。

• 第五关，未认证列表中的AP可以通过手动配置的方式，允许其接入，如果不对其进行手动确认，AP也无法接入。

AP版本升级（可选项）

AP收到前一阶段AC回应的报文后，如果发现里面有指定了AP的版本，并且指定的版本与AP当前的版本不一致，会进行AP版本升级。升级完成后，AP自动重新启动，并且重复之前的所有上线过程。如果AP发现AC回应的报文里面指定的AP版本和自身的版本一致，或者没有指定AP的版本，则AP不需要进行版本升级。直接进入下一个阶段。

CAPWAP隧道维持

隧道AP方的端口号随机产生，AC方目的端口号5246。

• 数据隧道维持：AP与AC之间交互Keepalive报文来检测数据隧道的连通状态。

• 控制隧道维持：AP与AC交互Echo报文来检测控制隧道的连通状态。

WLAN业务配置下发

AC向AP发送Configuration Update Request请求消息，AP回应Configuration Update Response消息，AC再将AP的业务配置信息下发给AP。

STA接入过程

这里我们说的STA接入过程，包括三个阶段：扫描、链路认证和关联。完成了这三个阶段后，STA就连接上了AP。后续STA还要根据实际情况，来决定STA是获取IP地址后就可以接入网络，还是需要再进行各种接入认证和密钥协商后才能接入网络（图中是以Portal认证的流程为例，获取IP是在接入认证之前，不同的认证方式获取IP的顺序可能不一样，例如MAC认证，获取IP是在接入认证之后进行的）。

第一阶段：扫描

要想连接无线网络，就需要先搜索到无线网络。STA搜索无线网络的过程就叫做扫描。当然现在很多手机在开启Wi-Fi连接功能的时候，如果以前连接的网络能够连上，会自动就连接以前的网络，这是手机软件为简化用户的操作而设计的功能，并不是说手机就不用再进行扫描过程了。实际上扫描过程是手机等这类STA自动进行的过程，我们在使用的时候，看到的已经是扫描到的结果了。

扫描分为两类：主动扫描和被动扫描。主动扫描是指STA主动去探测搜索无线网络，而被动扫描则是指STA只会被动的接收AP发送的无线信号。

• 主动扫描

  主动扫描情况下，STA会主动在其所支持的信道上依次发送探测信号，用于探测周围存在的无线网络，STA发送的探测信号称为探测请求帧（Probe Request）。探测请求帧又可以分为两类，一类是未指定任何SSID，一类是指定了SSID的。

  • 探测请求帧里面如果没有指定SSID，就是意味着这个探测请求想要获取到周围所有能够获取到的无线网络信号。所有收到这个广播探测请求帧的AP都会回应STA，并表明自己的SSID是什么，这样STA就能够搜索到周围的所有无线网络了。（注意如果AP的无线网络中配置了Beacon（信标）帧中隐藏SSID的功能，此时AP是不会回应STA的广播型探测请求帧的，STA也就无法通过这种方式获取到SSID信息。）

  • 探测请求帧中指定了SSID，这就表示STA只想找到特定的SSID，不需要除指定SSID之外的其它无线网络。AP收到了请求帧后，只有发现请求帧中的SSID和自己的SSID是相同的情况下，才会回应STA。

• 被动扫描

  被动扫描情况下，STA是不会主动发送探测请求报文的，它要做的就只是被动的接收AP定期发送的信标帧（Beacon帧）。

  AP的Beacon帧中，会包含有AP的SSID和支持速率等等信息，AP会定期的向外广播发送Beacon帧。例如AP发送Beacon帧的默认周期为100ms，即AP每100ms都会广播发送一次Beacon帧。STA就是通过在其支持的每个信道上侦听Beacon帧，来获知周围存在的无线网络。

  注意：如果无线网络中配置了Beacon帧中隐藏SSID的功能，此时AP发送的Beacon帧中携带的SSID是空字符串，这样STA是无法从Beacon帧中获取到SSID信息的。

STA是通过主动扫描还是被动扫描来搜索无线信号呢？这完全是由STA的支持情况来决定的。手机或电脑的无线网卡，一般来说这两种扫描方式都会支持。无论是主动扫描还是被动扫描探测到的无线网络都会显示在手机或电脑的网络连接中，供使用者选择接入。而一般VoIP语音终端通常会使用被动扫描方式，其目的是可以节省电量。

第二阶段：链路认证

当手机扫描到无线网络信号后，我们就可以选择接入哪个网络了，这时STA就需要进入链路认证阶段了。

STA和AP之间是通过无线链路进行连接的，在建立这个链路的过程中，需要要求STA通过无线链路的认证，只有通过认证后才能进行STA和AP之间的无线关联。但此时尚不能判断，STA是否有接入无线网络的权限，需要根据后续STA是否要进行接入认证、是否通过接入认证才能判断。

安全策略

一说到认证，可能大家就会想到802.1X认证、PSK认证、Open认证等等一堆的认证方式。那这些认证方式和链路认证有什么关系呢？在解决这个问题前，我们先来简单的了解下安全策略。

安全策略体现的是一整套的安全机制，它包括无线链路建立时的链路认证方式，无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。如同下表中，列举出来几种安全策略所对应的链路认证、接入认证和数据加密的方式。

链路认证和接入认证是先后两个不同阶段的认证。

从表中可以看出，安全策略可分为WEP、WPA、WPA2和WAPI几种，这几种安全策略对应的链路认证其实只有Open和Shared-key Authentication两种，而802.1X和PSK则是属于接入认证方式。另外用户接入认证方式其实还包括表中未列出的MAC认证和Portal认证。

• 开放系统认证——Open System Authentication（Open）

  开放系统认证简称就是Open认证，又叫不认证。但是要注意，不认证也是一种认证方式，只不过这种链路认证方式下，只要有STA发送认证请求，AP都会允许其认证成功，是一种不安全的认证方式，所以实际使用中这种链路认证方式通常会和其它的接入认证方式结合使用，以提高安全性。

• 共享密钥认证——Shared-key Authentication

  共享密钥认证是一种链路认证方式，而预共享密钥认证是一种用户接入认证方式，两种认证方式的过程实际上是类似的。

  共享密钥认证的过程只有四个步骤，在认证前，需要在STA和AP上都配置相同的密钥，否则是不能认证成功的。
  
  认证的第一步，是由STA向AP发送一个认证请求。
  接着，AP在收到请求后会生成一个挑战短语，再将这个挑战短语发送给STA，假设这个挑战短语是A。

  然后，STA会用自己的密钥Key将挑战短语进行加密，加密后再发给AP，假设加密后变为了B。

  最后，AP收到STA的加密后信息B，用自己的密钥Key进行解密。只要STA和AP上的密钥配置的一致，解密出来的结果就会是A，AP会将这个结果与最开始发给STA的挑战短语进行对比，发现结果一致，则告知STA认证成功，结果不一致则就会认证失败。

链路认证成功后，STA就可以进行下一步的关联阶段了。

第三阶段：关联

关联总是由STA发起的，实际上关联就是STA和AP间无线链路服务协商的过程。关联阶段也是一个只有关联请求和回应的两步的过程。

STA在发送的关联请求帧中，会包含一些信息，包括STA自身的各种参数，以及根据服务配置选择的各种参数。（主要包括STA支持的速率、信道、QoS的能力，以及选择的接入认证和加密算法等等。）如果是FAT AP收到了STA的关联请求，那么FAT AP会直接判断STA后续是否要进行接入认证并回应STA；如果是FIT AP接收到了STA的关联请求，FIT AP要负责将请求报文进行CAPWAP封装后发送给AC，由AC进行判断处理，并且FIT AP还要负责将AC的处理结果解CAPWAP封装后再发送给STA。（在这个过程中FIT AP起到一个传话筒的作用，且AP和AP间的这类关联报文需要通过CAPWAP隧道传输。）

其他阶段

关联完成后，表明STA和AP间已经建立好了无线链路，如果没有配置接入认证，STA在获取到IP地址后就可以进行无线网络的访问了。如果配置了接入认证的，STA还需要完成接入认证、密钥协商等阶段才能进行网络访问。（如果接入认证失败，仅可以访问Guest VLAN中的网络资源或Portal认证界面。）

如前面链路认证阶段所述，接入认证包括802.1X认证、PSK认证、MAC认证以及Portal认证。通过这些认证方式可以实现了对用户身份的认证，提高了网络的安全性，而密钥协商是对用户数据安全提供保障。完成接入认证和密钥协商后，就可以进行网络访问了。

两类报文的转发

AC FIT AP架构的网络中存在两种报文，一类是AC管理控制AP的报文，称为管理报文（也叫控制报文），另一类是STA的用户数据报文，称为业务报文。

如下图所示，图中的虚线表示报文的转发路径。管理报文只在AC和AP之间的网络中传输，需要经过CAPWAP隧道转发。业务报文在STA和STA要访问的网络之间传输。业务报文存在两种转发方式，直接转发（本地转发）和隧道转发（集中转发），隧道转发方式下业务报文需要经过CAPWAP隧道转发，直接转发方式下不经过CAPWAP隧道转发。
注意：直接转发和隧道转发是针对业务报文而言的，管理报文和直接转发、隧道转发没有半毛钱关系，管理报文只有一种转发处理流程。

管理报文的转发处理流程

从上往下看图，右侧报文结构简图从右往左看。图上的Payload看做是AC想要发送给AP的实际有效信息，即管理报文的实际内容。

• 封装

  AC在发送Payload前，需要先把Payload封装在CAPWAP隧道中。所谓封装在CAPWAP隧道中，实际就是在Payload报文外面增加一节CAPWAP字段，这样“看起来”只要是有CAPWAP字段的报文就认为是封装在了CAPWAP隧道中。

  增加CAPWAP字段后，再增加UDP/IP字段和802.3字段，这里的802.3字段表示这个报文将要通过有线的以太网进行传输。

  最后，AC还要给这个报文加上管理VLAN。所谓管理VLAN，是指报文在CAPWAP封装后添加的外层VLAN。在AC与AP间的网络中，管理报文会一直带着管理VLAN进行转发处理。

• 传输

  结合实际的配置来看，AC到AP间的网络都需要允许携带管理VLAN的报文通过，以保证管理报文能够在AC和AP间正常传输。

  • 如果AC与AP间的网络是三层组网，管理VLAN会在报文转发过程中随之改变，图中的VLAN m’≠VLAN m。（这里是以在交换机Switch上进行三层转发为例）

  • 如果AC与AP间的网络是二层组网，管理VLAN会保持不变，则图中的VLAN m’=VLAN m。

• 解除封装

  当报文从上游到下游转发到直连AP的接口，即图中Switch连接AP的接口时，需要去掉报文外层的管理VLAN，再将剩下的报文内容发送给AP。默认情况下，AP只能识别处理不带有管理VLAN的管理报文并解除CAPWAP封装，识别出管理报文的具体内容Payload。

  • 结合实际的配置，直连AP的设备接口通常都要求配置PVID为管理VLAN，目的就是在此接口发送报文给AP的时候，去掉报文外层的管理VLAN。

  • 当然，如果接口上没有配置PVID，或者说AP接收到的报文就是带有管理VLAN，也是有应对方法的，这时候需要针对AP配置management-vlan为管理VLAN m，这样AP在接收到带有管理VLAN的报文后，还是能够识别并去掉管理VLAN，解除CAPWAP封装，解析出Payload。

以上分析的是AC发送管理报文给AP的过程，AP发送管理报文给AC的过程，只要把上面的流程倒过来理解就可以了。AP发送经过CAPWAP封装后的报文到直连AP的接口时，Switch会给报文加上管理VLAN，再转发给AC。到达AC后，由AC去掉管理VLAN，解封CAPWAP封装，获取报文信息内容。

WLAN安全策略

WLAN安全策略包含一整套的安全机制，涉及链路认证、接入认证、密钥协商和数据加密。

进行链路认证的是终端硬件设备，只有通过了链路认证，终端才能连接AP。如果采用开放系统认证，用户不必做任何操作，所以感知不到这种认证。如果采用共享密钥认证，需要事先在STA上设置用于链路认证的密钥。

接入认证通常需要用户输入密码等用于认证的凭证，可以理解为需要认证的是使用通过了链路认证的设备的人。如果设备通过了链路认证，但人没有被授权（没有密码），也是上不了网的。接入认证确保了只有知道正确密码的人才能访问无线网络。

我们的上网操作会产生大量的数据交互和传输，对数据加密后再进行传输，才能使数据在传输过程中不易被窃取或篡改，保障信息安全和个人隐私。用于加密的密钥通常是终端和接入设备预先通过动态的交互过程协商出来的。对于密码协商和数据加密，都是系统自动完成，用户不需要做任何操作。

WLAN提供的安全策略包括WEP、WPA、WPA2和WAPI。

WEP

WEP（Wired Equivalent Privacy），即有线等效加密协议，是WLAN的第一个安全协议，由802.11标准定义，采用RC4加密算法去加密数据。RC4是一种密钥长度可变的流加密算法，系统生成24位的初始向量，WLAN服务端和客户端上配置40位、104位或128位密钥，将两者进行校验和得到最终用于加密的密钥为64位、128位或152位。

WEP安全策略涉及链路认证和数据加密，不涉及接入认证和密钥协商。

• 链路认证

  WEP支持两种链路认证方式：开放系统认证和共享密钥认证。

  • 开放系统认证方式，可以理解为实际上不进行认证。任何STA对AP说“请求验证”，AP均答复“验证通过”。

    举个例子，如果你想连接上搜索到的某个无线网络，如果该无线网络采用开放系统认证，你不需要输入任何认证凭证，系统就会提示你已经关联上了该无线网络。

  • 共享密钥认证方式，STA和AP需预先配置相同的密钥，AP在链路认证过程验证两边的密钥是否相同。如果一致，则认证成功；否则，认证失败。

    需要注意的是，这里STA上配置好的密钥只用于链路认证，和接入认证无关。任何用户使用这个配置了正确共享密钥的STA都能关联上无线网络。但是，如果该无线网络配置了接入认证，那么，用户还需要输入SSID的接入密码（假设STA不会自动记录SSID的接入密码）才能上网。

WEP弊端

在WLAN发展初期WEP一定程度上保障了无线网络的安全性，但是它存在诸多隐患，例如：

• 采用静态密钥，即接入同一SSID下的所有STA使用相同的密钥访问无线网络。一个STA的密钥泄漏将导致其他用户的密钥泄漏。
• 24位的初始向量很容易重复使用，并且明文传输，如果通过无线***收集到包含特定初始向量的分组信息并对其进行解析，很可能破解出完整密钥。
• WEP采用的RC4加密算法被证明本身是存在安全漏洞的。

WPA/WPA2

为了解决WEP安全策略的问题，在没有正式推出安全性更高的安全策略之前，Wi-Fi联盟推出了WPA安全策略。WPA采用了临时密钥完整性协议TKIP（Temporal Key Integrity Protocol）加密算法，提供密钥重置机制，并且增强了密钥的有效长度，很大程度上弥补了WEP的不足。

随后802.11i安全标准组织又推出加强版的WPA2。WPA2采用区块密码锁链-信息真实性检查码协议CCMP（Counter Mode with CBC-MAC Protocol）加密机制，该加密机制使用的AES（Advanced Encryption Standard）加密算法是一种对称的块加密技术，比TKIP更难被破解。

目前，WPA和WPA2都可以使用TKIP或AES加密算法，以达到更好的兼容性，它们在安全性上几乎没有差别。

WPA/WPA2安全策略涉及链路认证、接入认证、密钥协商和数据加密。

• 链路认证

  WPA/WPA2仅支持开放系统认证（同上面WEP安全策略中讲的开放系统认证）。

• 接入认证

  WPA/WPA2提供两种接入认证方式：

  • WPA/WPA2企业版：在大型企业网络中，通常采用802.1X的接入认证方式。802.1X认证是一种基于接口的网络接入控制，用户提供认证所需的凭证，如用户名和密码，通过特定的用户认证服务器（一般是RADIUS服务器）和可扩展认证协议EAP（Extensible Authentication Protocol）实现对用户的认证。

    WPA/WPA2支持基于EAP-TLS（Transport Layer Security）和EAP-PEAP（Protected EAP）的802.1X认证方式。

    EAP-TLS基于PKI证书体系，而EAP-PEAP不需要部署PKI系统，在保证安全性的同时降低了成本、减小了复杂度。实际应用中，我们并不需要了解上述认证流程的细节，只需要在802.1X客户端选择认证方式，其它的由认证服务器处理。

  • WPA/WPA2个人版（家庭常用）：对一些中小型企业网络或者家庭用户，部署一台专用的认证服务器代价过于昂贵，维护也很复杂，通常采用WPA/WPA2预共享密钥模式，事先在STA和WLAN设备端配置相同的预共享密钥，然后通过是否能够对协商的消息成功解密，来确定STA配置的预共享密钥是否和WLAN设备配置的预共享密钥相同，从而完成STA的接入认证。

• 密钥协商

  根据接入认证阶段生成的成对主钥PMK（Pairwise Master Key）产生成对临时密钥PTK（Pairwise Transient Key）和群组临时密钥GTK（Group Temporal Key）。其中，PTK用来加密单播报文，GTK用来加密组播和广播报文。

  • 单播密钥协商过程是一个四次握手过程。
    

  • 组播密钥协商过程是一个二次握手过程，是在单播密钥协商过程之后进行的。
    

• 数据加密

  经过了上述重要过程后，通信双方就开始了经过加密处理后的数据传输。加密算法使用TKIP或AES，加密密钥使用密钥协商阶段协商出的密钥。

WPA/WPA2弊端

WPA/WPA2解决了WEP的诸多问题，但是只能实现WLAN设备对STA的单向鉴别，不能对WLAN设备的身份进行认证。

WAPI

WAPI（WLAN Authentication and Privacy Infrastructure），即无线局域网鉴别与保密基础结构，是由中国提出的无线安全标准。WAPI采用了基于公钥密码体制的椭圆曲线签名算法ECDSA和对称密码体制的分组加密算法SMS4，分别用于无线设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。通过双向身份鉴别、数字证书身份凭证和完善的鉴别协议，提供比WPA/WPA2更强的安全性。

WAPI安全策略涉及链路认证、接入认证、密钥协商和数据加密。

• 链路认证

  WAPI仅支持开放系统认证。

• 接入认证

  WAPI提供两种接入认证方式：

  • 基于证书的方式：在大型企业网络中，通常采用基于证书的方式。鉴别前STA与AC必须预先拥有各自的证书，然后通过鉴别服务器对双方的身份进行鉴别。
    

  从上图中可以看出，WAPI提供了双向身份鉴别，鉴别服务器不仅对STA进行身份鉴别，还对AC进行身份鉴别。AC根据STA证书鉴别结果对STA进行接入控制，STA根据AC证书鉴别结果决定是否接入该WLAN服务。采用这种方式，既能防止非法STA接入WLAN网络，STA也不必担心接入非法的WLAN设备了。

  • 基于预共享密钥的方式：对一些中小型企业网络或者家庭用户，部署证书系统过于昂贵，通常采用基于预共享密钥的认证方式（同上面WPA/WPA2个人版中讲的预共享密钥认证）

• 密钥协商阶段

  身份鉴别成功后，WLAN设备会发起与STA的密钥协商过程，先协商出用于加密单播报文的单播密钥，再协商出用于加密组播报文的组播密钥。
  除了密钥动态协商，WAPI还提供了基于时间和基于报文数的密钥更新机制，避免STA长时间使用同一密钥带来的安全隐患。

• 数据加密阶段

  经过了上述重要过程后，通信双方就开始了经过加密处理后的数据传输。加密算法使用SMS4，加密密钥使用密钥协商阶段协商出的密钥。

WLAN安全策略总结