一、CSMA/CA
传输媒体介质访问控制方式为CSMA/CD(可见以太网基础——笔记),而IEEE802.11无线LAN所采用的是CSMA/CA(带冲突避免的载波监听多路访问技术)方式。通过使用CSMA(载波监听多路访问技术),使得多个终端设备在共享传输介质(无线LAN中是指无线带宽频带)是能够实时检测出那些未被占用频点。
在以太网CD(冲突域)是指数据发送时检测出冲突,当发生冲突时等候随机时间再次发送。在无线LAN中,如果随机进行载波侦听时,遇到其他终端程序正在发送数据时,就在对方终端发送完成后,再等待某个随机时间继续发送数据。此过程称为CA(冲突避免),因为在对方发送完数据后,也有可能造成无线传输的冲突。
在以太网中,传输媒介能通过异常电气信号检测到冲突的发生。但无线通信不会产生电气信号,因此需要使用CSMA/CA代替CSMA/CD。
以太网与无线LAN比较
以太网 | 无线LAN | |
标准 | IEEE802.3 | IEEE802.11 |
地址 | MAC地址 | MAC地址 |
传输媒介 | 线缆 | 无线电波 |
接入控制 | CSMA/CD | CSMA/CA |
传输方式 | 半双工或全双工 | 半双工 |
无线网络是基于有线网络发展的
二、无线网络的组成
1.组成要素
1)STA(工作站):内置无线网卡
2)AP(无线接入点):提供有线LAN的连接,同时提供无线LAN的连接
3)IBSS(独立基本服务集):包含1个或以上的无线网络,再无法访问DS(分类系统)时,使用该模式(ad-hoc模式)
4)BSS(基本服务集):由一个无线LAN访问和一个以上的无限客户端组成的无线网络,也成为基础设施无线网络,BSS内的STA通信均通过AP完成
5)ESS(扩展服务集):同上,但具有两个以上的AP群
6)DS(分发系统):放置于不同的BSS内的AP通过DS互相连接,使得STA可以从一个BSS向其他BSS移动;DS是BSS之间逻辑连接的要素,使STA在BSS之间能够实现漫游
2.图片说明
3.无线LAN拓扑
1)与通信终端之间直接互联的"ad-hoc模式":
2)通过AP连接有线网络的"基本设施模式":
无线LAN的接入点:
在有线网络中,使用有线线缆将个人计算机同交换机相连;在无线组网中,使用AP将多台个人计算机连接到LAN网段中;接入点一般使用RJ45接口同交换机或路由器进行连接,使得无线LAN内的终端能访问有线LAN或互联网
三、无线LAN标准
1)IEEE802.11
网络分层模型
传输方式
传输方式 | 说明 |
DSSS(直接序列扩频) | 在发送一侧将调制信号经过高频巴克码的XOR运算后进行发送。将信号分散在整个宽频域的同时进行发送。同FHSS相比,传输速度快,抗干扰性差 |
FHSS(跳频扩频技术) | 在短时间内变更信号发送频率的通信方式。即使某个频率发生噪声干扰,也能通过变更其他频率来修正数据,选择干扰较小的频率进行发送。同DSSS相比,传输速度慢,抗干扰性优越(此方式在Buletooth中也使用) |
红外线 | 方便在办公室进行传输,且传输速度快。最大传输距离为20米,无法跨越墙壁等障碍物 |
2)Wi-Fi
Wi-Fi在使用了IEEE系列标准时,认证不同厂商生产的各个设备之间能否互通的品牌标识。由Wi-Fi联盟完成互通认证
Wi-Filogo
四、无线LAN的搭载
1)关联
将无线LAN终端同接入点连接的过程称为关联。
关联的操作流程
扫描:根据扫描结果获取信道或SSID信息
认证请求、应答:执行开放认证或共享密钥认证
关联请求、应答:接入点收到来自客户端的关联请求;当请求无误时,回复状态码“success”的应答消息
详细过程:
1>在无线LAN中,个人计算机可和多个接入点进行连接,为了区别彼此无线信息,就需要将目标接入点的SSID信息注册到个人计算机中。这样,计算机只能接入的SSID同注册的SSID相一致的接入点
2>接入点会定期发送beacon(灯塔)控制信号。无线LAN的客户端可根据此信息获得AP的SSID信息、无线的传输速率及无线信道编号等信息
客户端在关联时像接入点发送请求关联的数据帧,接入点在收到后向客户端回复一个带状态码的关联应答数据帧
3>客户端确认来自接入点的状态码,如果得到“success”时表示信息关联成功,并会分配到一个AID的识别号。返回其他信息表示失败
IEEE802.11使用的数据帧
Protocol Version(协议版本):表名IEEE802.11中使用的版本,接收端会根据此信息判断是否支持接受数据帧的协议版本
Type(类型):表示每个数据帧的功能(控制[control]、数据[data]、管理[management])
Subtype(子类型):每个数据帧类型下的子类型,用于执行某一类型下的特定功能
To DS | From DS:一般只用于与接入点关联的终端之间传输的数据帧类型。1表示发送源为信号基站,0表示发送源为终端
More Frag:将上层分组碎片后进行发送使用。1表示后续存在碎片数据帧,0表示当前数据帧为最后的碎片数据帧或不存在碎片数据帧
Retry:1表示再次发送数据帧,0表示不在发送数据帧
More Data:表示是否存在等待后续发送的分组,1表示存在
WEP:是否进行WEP加密,1表示进行加密
Order:1表示数据帧严格按照strictly ordered(发送接收顺序无法替换)的标准进行发送
2)接入控制
1>ESSID隐身
SSID是由AP定期广播发送的,但这样无论客户端是谁,都可搜索到SSID并连接是不安全的。为了遏制此类风险,可使AP不再发出SSID,从而达到隐身效果。客户端需要通过其他途径获取SSID信息(手工配置),并设置自身终端。
由于SSID在传播时并不采取加密措施,在某个客户端使用SSID同AP进行关联时,可通过无线监听的手段获取该无线的SSID信息。因此ESSID并不完备
2>MAC过滤
AP事先设置好允许关联的MAC地址表,可防止列表以外的客户端接入AP。除了设置AP外,还可通过RADIUS服务器(认证、授权和记帐信息的文档协议的服务器)设置允许接入的MAC地址信息,在完成认证同时,进行MAC过滤。由于MAC地址可根据工具进行伪装和冒充,对接入无线的客户端进行监听获取MAC地址,就可得到具体MAC信息
五、接入认证
使用以上方法均不能完全防止恶意访问,因此需要进行接入认证
1)开放系统认证
无需客户端输入用户名及密码就可向Approach发出认证请求,该接入点可容纳所有认证请求,一般用于公共无线LAN中。
由于任何人都可完成认证,还需要IPsec VPN或SSL VPN完成最终网络的访问
2)共享密钥认证
使用WEP或WAP加密标准,预先对接入点和客户端进行设置相同口令,通过该口令后就可建立无线通信链路
对于不预先知道密钥的客户端就无法与AP进行关联
3)IEEE802.1X(用户认证与访问控制协议)
不仅适用于无线LAN,也可用于有线LAN中。
由认证请求方、认证者、认证服务器组成。认证方式采用EAP(扩展认证协议),认证者将来自请求方的EAP消息封装成RADIUS数据帧给认证服务器,当服务器完成认证后,认证者会通知请求方并将请求方视为通过认证的终端,此后来自该终端上的MAC数据帧能转发到LAN、其他终端或互联网上
认证信息使用用户名、口令、数字证书等任意一种
六、无线加密
由于无线通信是通过电磁波进行传输,所以只要在电磁波覆盖范围内就会被接收到,再加上有无线数据解析器等工具。因此恶意用户很容易截获他人的通信数据。为了防止无线通信被窃听或篡改,必须对信息进行加密。
1)WEP(有线等效保密):基于RC4算法的密钥形式完成无线数据加密;共有三种加密方式:
1>40bit的密钥加24bit的初始向量(IV),组成64bit长的加密方式
2>104bit的密钥加24bit的初始向量,组128bit长的加密方式
3>128bit的密钥加24bit的初始向量,组152bit长的加密方式
密钥长度越短,破解时间就越短,主流为128bit加密
2)WPA(Wi-Fi保护接入):同SSID与WEP密钥一同加密,并使用定期自动更新用户认证功能和密钥的TKIP(临时密钥完整性协议)
共有两种模式进行加密:
1>用于小规模的个人模式(WPA-PSK):同接入点之间连接的客户端使用所有密钥都相同的预共享密钥(PSK)方式
2>用于企业的企业模式:再PSK基础上增加IEEE802.1X认证服务器,使得不同用户能使用不同用户名和密码接入AP
WEP和TKIP区别
WEP | TKIP | |
密钥长度 | 40bit或104bit | 128bit |
初始向量 | 24bit | 48bit |
密钥更新 | 无 | 有 |
加密算法 | RC4 | RC4 |
防篡改 | 无 | 有 |
3)WPA2
采用AES作为加密算法,且AES支持长度为128bit、196bit、256bit的密钥,向下兼容WPA,接入点加密可设置为:WPA-PSK(TKIP)、WPA-PSK(AES)、WPA2-PSK(TKIP)、WPA2-PSK(AES)
4)IEEE802.11i
新版无线LAN安全性标准,其中加密通信包括WPA、WPA2所有内容,还添加了IEEE802.1X与EAP作为用户认证标准
七、接入点类型
1)自治型接入点:在小型无限环境中部署,可自身进行无线控制及安全管理功能设置的接入点。特点为部署方便,费用相对低廉;但在生产环境中需要对每一台进行配置
2)集中管理性接入点:在大规模办公区中部署,且接入点数目很大;每个接入点只需保留最基本的设置、安全策略等共同组网参数,之后统一在无线LAN控制器(AC)上进行设置与管理;有两种接入点协议:
1>LWAPP(轻型接入点协议):Cisco特有,通过该接入点只需完成MAC地址管理和数据帧控制,认证及安全等功能则交给AC
2>CAPWAP(无线接入点的控制和配置):共有协议,制定基于LWAPP
八、无线接入
1)无线桥接:在无法布线的环境中或物理距离较远的站点之间部署时,需要使用桥接技术;当通信距离较长时,需要使用导向天线来增强某个特定方向的电波强度
2)中继器连接:接入中继器,将无线LAN客户端收到的数据转发给拥有相同SSID的接入点,能扩大无线LAN的范围
1级中继器连接后,网络吞吐率会减半
九、无线LAN通信速率与覆盖范围
1)无线LAN的最大通信速率
无论有线还是无线都受最大通信速率的限制,所以快速以太网的100Mbit/s和IEEE802.11g的54Mbit/s表示在物理层进行数据传输是的传输速率极限
无限还使用了CSMA/CA协议,使得数据在发送时有等待的时间。所以最大传输速率在IEEE802.11a中只达到20Mbit/s、IEEE802.11b中为4.5Mbit/s,IEEE802.11g中为20Mbit/s
2)覆盖范围
基础设施模式下,终端同接入点进行通信的最大距离半径称为覆盖范围。根据终端与接入点的距离不同,最大传输速率也不同,距离接入点越远,通信延迟越大,数据传输速率就越低
3)多径
MIMO使用配有天线的多个无线通信线路使得通信速率上升
空间上独立的多个天线会同时发送相同频率的无线信号,各个同频信号可称为空间数据流。各个数据流由发送天线进行传输路径分割,最终到达多个接收天线
发送方使用空时编码(STC)将发送信号在时间和空间上进行重做形成并列传输信号,再通过M个天线发送通信电波
接收方使用N个天线接收多径传输来的电波,同样使用空时解码(STD)对信号进行分离组合,从而成功接受所有信号
在多径传输中通过多条路径,能与天线数量形成正比来提高无线数据的传输速度
4)天线数量
空间数据流的数量依赖天线的数量,一般使用“a x b:c”或“a x b”来表示无线硬件所使用的天线数量;a表示发送天线或发送的无线信号数量,b表示接收天线或接收无线信号的数量,c表示可利用的最大空间数据流数量
十、干涉
波的干涉:两个以上相同种类的波在某点相遇时,是该点处波的振幅为两个波振幅之和的现象
在无线通信中,不同频率的无线信号均有各自的传输路径,在各个传输路径上进行数据传输的收发,该传输路径称为信道
在无线电波能到达的范围内,如果多个无线LAN系统在同一条信道内进行通信,就会发生干涉现象
十一、无线信道
无限LAN使用2.4GHz和5GHz频带,各频带均带有多条信道,为防止干涉需要将信道设置为内嵌式
十二、天线的种类
名称 | 是否定向 | 说明 |
全向天线 | 不定向 | 能全方位发送信号 |
双极天线 | 不定向 | 使用2根一波长或半波长的细金属棒制成,在接入点作为标准天线使用 |
接线天线 | 定向 | 在墙壁或天井展开,向某一方向发信号 |
八木天线 | 定向 | 向某一方向的狭窄范围发出强力信号,一般位于道路、隧道等之间连接使用 |
抛物面天线 | 定向 | 向某一方向非常狭窄的范围发出强力信号,一般用于长距离办公使用 |