EDELWEISS
Edelweiss, Edelweiss,
ev'ry morning you greet me.
Small and white, clean and bright,
you look happy to meet me.
Blossom of snow may you bloom and grow,
bloom and grow for ever.
Edelweiss, Edelweiss,
bless my homeland for ever(Repeat).
|
| 无线局域网-'Wireless LAN' |
欢迎进入本站论坛发表你的意见和建议
一、背景简介
1997年6月IEEE通过了802.11标准,主要对无线局域网的物理层和媒介访问控制层做了规定,保证各厂商的产品在同一物理层上可以互操作,逻辑联路控制层是一致的,MAC层以下对网路应用是透明的。
MAC层以下,802.11 规定了三种发送及接收技术:扩频(Spread Spectrum)技术;红外(Infrared)技术;窄带(Narrow Band)技术。扩频分为直接序列(Direct Sequence , DS)扩频和跳频(Frequency Hopping , FH)技术。直接扩频技术,通常又会结合码分多址CDMA技术。
在1999年、2000年,IEEE又公布了802.11b 、802.11a标准,在2.4G、5.8G的频段上运行,速度分别为11M和54M ,标准规定了一些基本信令规范和服务规范。
IEEE802.11与ISO模型如下:
二、IEEE802.11工作方式
802.11定义了两种类型的设备,一种是无线终端站,通常是通过一台PC机加上一块无线网卡构成;另一个称为无线接入点(Access Point, AP),它的作用是提供无线和有线网络之间的桥接。
一个无线接入点通常由一个无线输出口和一个有线的网络接口(802.3接口)构成,桥接软件符合802.1d桥接协议。
802.11定义了两种模式: infrastructure模式和 ad hoc模式。
Infrastructure模式中,无线网络至少有一个和有线网络连接的无线接入点,及一系列无线终端站,这种配置成为一个BSS(Basic Service Set 基本服务集合)。一个扩展服务集合ESS(Extended Service Set)是由两个或多个BSS构成的一个单一子网。
Ad hoc模式,也称为点对点模式(Peer to Peer)或IBSS(Independent Basic Service Set)是一种简单的系统构成方式,以这种方式连接的设备之间可直接通讯,而不用经过一个无线接入点来和有线网络连接。
三、802.11物理层
采用跳频扩频(FHSS)技术时,2.4G频道被划分成75个1MHz的子频道,接收方和发送方协商一个跳频模式,数据按照这个序列在各个子频道上进行传送,每次在802.11网络上进行的会话都可能采用了一种不同的跳频模式,采用这种跳频模式是为了避免两个发送端同时采用同一个子频段。
FHSS技术采用的方式较为简单,限制了它所能获得的最大传输速度不能大于2Mbps,这个限制主要是受FCC规定的子频道的划分不得小于1MHz。这个限制使得FHSS必须在2.4G整个频段内经常性跳频,带来了大量的跳频上的开销。
直接扩频技术将2.4G的频段划分成14个22MHz的信道,临近的信道互相重迭,在14个频段内,只有3个频段是互相不覆盖的,数据就是从这14个频段中的一个进行传送而不需要进行频段之间的跳跃。为了祢补特定频段中的噪声开销,采用一项称为"chipping"的技术来解决这个问题。在每个22MHz信道中传输的数据中的数据被转化成一个带冗余校验的Chips数据,它和真实数据一起进行传输用来提供错误校验和纠错。采用这项技术,大部分在传输中出错的数据也可以进行纠错而不需要重传,从而增加了网络的吞吐量。
802.11中最初的直接扩频标准使用11位的chipping-Barker序列来将数据编码发送,每一个11位的chipping代表一个一位的数字信号1或者0,这个序列被转化为波形,称为一个Symbol,采用BPSK(Binary Phase Shifting Keying)调制,以1MSps(IM Symbol per second)的速度传送。在2Mbps的传送速率中,QPSK调制技术,数据传输率是BPSK的两倍,提高了无线传输的带宽。
802.11b在物理层增加了两个新的速度:5.5Mbps和11Mbps ,DSSS成为该标准唯一的物理层传输技术。在802.11b标准中,抛弃了原来的11位Barker序列技术,采用了一种更先进的编码技术CCK(Complementary Code Keying,采用一种精密而复杂的数学公式进行DSSS编码,使编码在每个时钟周期包含更多的信息),它的核心编码中又一个64个8位编码组成的集合,在这个集合中的数据有特殊的数学特性使得他们能够在经过干扰或由于反射造成多方接受问题后还能够被正确地相互区分。5.5Mbps使用CCK串来携带4位数字信息,而11Mbps使用CCK串来携带8位数字信息。这良种速率的传送都利用QPSK调制,信号的调制速率为1.375MSps。
数据传输规范如下:
四、802.11数据链路层
802.11的数据链路层分为两个子层:逻辑链路层LLC和介质访问层MAC,使用与802.2完全相同的LLC层以及802协议中的48位MAC地址,这使得无线和有线之间的桥接非常方便,但MAC地址只对无线局域网是唯一的。
在802.3中采用CSMA/CD(Carrier Sense Multiple Access with Collision Detection)协议检测和避免当两个或两个以上的网络设备同时需要进行数据传送时产生的冲突。在802.11无线局域网协议中,冲突的检测存在一定的问题,称为"Near/Far"现象,这是由于要检测冲突,设备必须能够一边接受数据信号一边传送数据信号,而这在无线局域网中是无法办到的。
鉴于这个差异,在802.11中对CSMA/CD进行了一些调整,采用了新的协议CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance)或DCF(Distributed Coordination Function)。CSMA/CA利用ACK信号来避免冲突的发生,只有当客户端收到网络上返回的ACK信号后才确认送出的数据已经正确到达目的。
CSMA/CA协议的工作流程是:一个工作站希望在无线局域网中发送数据,如果没有探测到网络中正在传输数据,则附件等待一段时间,再随机选择一个时间片继续探测,如果无线局域网中仍然没有活动,就将数据发送出去。接收端的工作站如果收到发送端的完整数据就回发一个ACK数据报,如果这个ACK数据报被接收端收到,则这个数据发送过程完成,否则数据报都在发送端等待一段时间后重传。
无线MAC层的另外一个问题是"hidden node",两个相对的工作站利用一个中心接入点进行连接,这两个工作站都能够听到中心接入点的存在,但相互之间可能由于其他原因无法感知对方的存在。802.11在MAC层上引入了一个新的Send/Clear to Send (RTS/CTS)选项,打开这个选项后,一个发送工作站传送一个RTS信号,随后等待访问接入点回送RTS信号,由于所有的网络中的工作站能够听到访问接入点发出的信号,所以CTS能够让他们停止传送数据,这样发送端就可以发送数据和接受ACK信号而不会造成数据的冲突,间接解决了"hidden node"问题。
五、业务描述
802.11的MAC子层负责解决客户端工作站和访问接入点之间的连接。当一个802.11客户端进入一个或者多个接入点的覆盖范围时,它会根据信号的强弱以及容错率来自动选择一个接入点进行连接。被一个接入点接受,客户端就会将发射和接收的频道切换为接入点的频段。之后客户端会周期性的轮询所有的频段以探测是否有其它接入点能提供性能更高的服务。如果有,它会与新的接入点进行协商,然后将频道切换到新的接入点的服务频道中。在拥塞情况下,这种重新协商实现了"负载平衡"的功能,它使整个无线网络的利用率达到最高。
802.11的DSSS频道之间的覆盖需要遵守一定的规范,相同频道之间不能互相覆盖。在原来划分的14个频道中,仅有3个频道是完全不覆盖的,利用这些信道做为多蜂窝覆盖是最适合的。如果两个接入点覆盖范围互相影响,同时他们使用了相互覆盖的频段,则会造成他们在信号传输时的互相干扰,而降低了他们各自网络的性能和效率。
多媒体数据的支持:802.11MAC层采用了一种称为PCF(Point Coordination Function)的功能来支持多媒体的应用。在PCF工作方式下,接入点全权控制传输多媒体,如果有基本服务集合中PCF打开,则由PCF和DCF(Distributed Coordination Function CDMA/CA)方式来分享控制时间,处于PCF时,接入点将一个一个询问客户端以获取数据,客户端只有在被查询到的时候,才能从接入点收取数据。由于PCF处理每个客户端的时间和顺序是固定的,所以可以保证一个固定的时延。 但网络规模变大以后,由于轮询的客户端数量变多,造成网络效率的急剧下降。
电源管理:802.11支持两种电源模式:CAM(Continuous Aware Mode)和PSPM(Power Save Polling Mode)。前一种模式,电源始终打开;后一种模式,客户端将周期性的进入"唤醒状态"接受接入点传来的"beacon"信号,这个信号中包含了是否有其它客户端需要和本机进行数据传送活动的信息,如果有客户端进入"唤醒"状态接受数据,然后再进入"睡眠"状态。
数据安全:802.11提供了MAC层的访问控制功能和加密机制,这种加密机制称为WEP(Wired Equivalent Privacy),使无线网络和有线网络具有相同的安全。对于访问控制,SSID(WLAN服务区域编号)可以在任何接入点中根据自己的要求进行预制,无线客户端必须知道该参数才能加入网络。在接入点规定了访问控制列表来限制能够访问接入点的客户,只有出现在访问控制列表中的MAC地址,其对应的客户端才能访问接入点。
对于数据加密,标准提供的加密方式是RSA数据加密中的40位RC4的PRNG公钥算法。最新的802.11b和802.11a协议标准中,开始推荐采用802.1x安全协议,实现每用户每会晤的动态密钥分发,增加了无线数据传输的安全性。
移动性和漫游能力:802.11虽然定义了移动工作站如何同接入点进行连接,但却并没有定义接入点对漫游用户的跟踪规范,包括用户在第二层同一子网间两个接入点之间的漫游或者在不同子网间跨路由器的漫游。第二层上的漫游是由供应商自己开发的接入点内部协议完成的.
第三层上的漫游机制常见的是利用Mobile IP 协议,但由于Mobile IP机制没有最终确定,供应商可能会提供自己的和其它相类似的技术来实现跨路由器的网络漫游功能。一个替代方案是利用DHCP(Dynamic Host Configuration Protocol ),这种方式让用户在跨网移动时暂时关闭他们的移动设备,进入新的服务区后,获取新的IP地址,然后继续工作。
辐射强度:FCC规定无线系统发射功率不超过100mW ,比手机的发射功率小很多。
无线局域网安全性的考虑:
1.正确放置网络的接入点设备:从基础做起:在网络配置中,要确保无线接入点放置在防火墙范围之外。
2.利用MAC阻止黑客攻击:利用基于MAC地址的ACLs(访问控制表)确保只有经过注册的设备才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁,设置的障碍越多,越会使黑客知难而退,不得不转而寻求其他低安全性的网络。
3.有效管理无线网络的ID:所有无线局域网都有一个缺省的SSID(服务标识符)或网络名。立即更改这个名字,用文字和数字符号来表示。如果企业具有网络管理能力,应该定期更改SSID。不要到处使用这个名字:即取消SSID自动播放功能。
4.WEP协议的重要性:WEP(Wired Equivalent Privacy)是802.11b无线局域网的标准网络安全协议。在传输信息时,WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后,应立即更改WEP密钥的缺省值。最理想的方式是WEP的密?能够在用户登录后进行动态改变,这样,黑客想要获得无线网络的数据就需要不断跟踪这种变化。基于会话和用户的WEP密?管理技术能够实现最优保护,为网络增加另外一层防范。
5.WEP协议不是万能的:不能将加密保障都寄希望于WEP协议。WEP只是多层网络安全措施中的一层,虽然这项技术在数据加密中具有相当重要的作用,但整个网络的安全不应该只依赖这一层的安全性能。但许多网络管理员很难接受这个观点。
6.VPN是最好的网络安全技术之一:如果每一项安全措施都是阻挡黑客进入网络前门的门锁,如SSID的变化、MAC地址的过滤功能和动态改变的WEP密?,那么,虚拟网(VPN)则是保护网络后门安全的关键。VPN具有比WEP协议更高层的网络安全性(第三层),能够支持用户和网络间端到端的安全隧道连接。
7.提高已有的RADIUS服务:大公司的远程用户常常通过RADIUS(远程用户拔号认证服务)实现网络认证登录。企业的IT网络管理员能够将无线局域网集成到已经存在的RADIUS架构内来简化对用户的管理。这样不仅能实现无线网络的认证,而且还能保证无线用户与远程用户使用同样的认证方法和帐号。
8.简化网络安全管理:集成无线和有线网络安全策略:无线网络安全不是单独的网络架构,它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平,降低管理成本。例如,不论用户是通过有线还是无线方式进入网络时,都采用集成化的单一用户ID和密码。
9.WLAN设备不全都一样:尽管802.11b是一个标准的协议,所有获得WiFi标志认证的设备都可以进行基本功能的通信,但不是所有这样的无线设备都完全对等。虽然WiFi认证保证了设备间的互操作能力,但许多生产商的设备都不包括增强的网络安全功能。
10.不能让非专业人员构建无线网络:尽管现在无线局域网的构建已经相当方便,非专业人员可以在自己的办公室安装无线路由器和接入点设备,但是,他们在安装过程中很少考虑到网络的安全性,只要通过网络探测工具扫描网络就能够给黑客留下攻击的后门。因而,在没有专业系统管理员同意和参与的情况下,要限制无线网络的构建,这样才能保证无线网络的安全.
|
|
|
Thank
you for your visiting! This is http//www.betechway.com
Welcome to my BBS,show your idea |
 |
|
