关于802.11
802.11协议的管理组织为IEEE,其发布的无线协议包括IEEE 802.11b,IEEE 802.11a,IEEE 802.11g,IEEE 802.11n等几种。对于这几种协议,其区别对比如下:
标准号 | IEEE 802.11b | IEEE 802.11a | IEEE 802.11g | IEEE 802.11n |
---|---|---|---|---|
标准发布时间 | 1999年9月 | 1999年9月 | 2003年6月 | 2009年9月 |
工作频率范围 | 2.4-2.4835GHz | 5.150-5.350GHz,5.475-5.725GHz,5.725-5.850GHz | 2.4-2.4835GHz | 2.4-2.4835GHz |
非重叠信道数 | 3 | 24 | 3 | 15 |
物理速率(Mbps) | 11 | 54 | 54 | 600 |
实际吞吐量(Mbps) | 6 | 24 | 24 | 100以上 |
频宽 | 20MHz | 20MHz | 20MHz | 20MHz/40MHz |
调制方式 | CCK/DSSS | OFDM | CCK/DSSS/OFDM | MIMO-OFDM /DSSS/CCK |
兼容性 | 802.11b | 802.11a | 802.11b/g | 802.11a/b/g/n |
802.11网络的构成
802.11网络包含四种主要实体元件,如下图所示:
这些组成元件包括:
工作站(Station)
接入点(Access Point )
无线介质(Wireless medium)
分布式系统(Distribution system)
工作站(Station)
配置网络的目的,是为了在工作站间传送数据。所谓的工作站(station ),是指配备无线网络接口的计算设备,即带有无线网卡的通信设备。通常,工作站是以电池供电的膝上型(laptop )或手持式(handheld)计算机。然而,工作站不见得就是携带型( portable )计算设备。有时候,使用无线网络之目的是为了省去拉线的麻烦,桌上型(desktop ) 电脑一样可以使用无线局域网络。
接入点(Access Point )
802.11网络所使用的帧必须经过转换,方能被传递至其他不同类型的网络。具备无线至有线( wireless-to-wired) 桥接功能的设备称为接入点(access point,简称 AP);接入点的功能不仅于此,但桥接(bridging )最为重要。
无线媒介(Wireless medium)
802.11标准以无线媒介(Wireless medium)在工作站之间传递帧。其所定义的物理层不只一种;这种架构允许多种物理层同时支持 802.11 MAC - 802.11 最初标准化了两种射频( radio frequency ,简称 RF)物理层以及一种红外线(infrared )物理层,然而事后证明 RF物理层较受欢迎。
分布式系统(Distribution system)
当几个接入点串连以覆盖较大区域时,彼此之间必须相互通信,才能够掌握移动式工作站的行踪。而分布式系统(distribution system ) 属于802.11的逻辑元件,负责将帧(frame)转送至目的地。802.11并未规范分布式系统的技术细节。大多数商用产品,是以桥接引擎(bridging engine)和分布式系统媒介(distribution system medium)共同组成分布式系统。分布式系统是接入点间转送帧的骨干网络,通常就称为骨干网络(backbone network)。所有在商业上获得成功的产品,几乎都是以以太网(Ethernet) 为骨干网络。
网络类型
关于网络类型,要理解几个名词。
BSS(基本服务集)
基本服务集(basic service set 简称BSS)是 802.11网络的基本元件(building block),由一组彼此通信的工作站所构成。工作站之间的通信,在某个模糊地带进行,称为基本服务区域 (basic service area) ,此区域受限于所使用无线媒介的传播特性。只要位于基本服务区域,工作站就可以跟同一个 BSS 的其他成员通信。BSS 分为两种,如下图所示。
独立型网络
图左为独立式基本服务集(independent BSS ,简称IBSS)。在 IBSS中,工作站彼此可以直接通信,两者问的距离必须在可以直接通信的范围内。最低限度的 802.11网络,是由两部工作站所组成的 IBSS。通常,IBSS 是由少数几部工作站针对特定目的而组成的临时性网络。
常见的情况是在会议室中支持个别会议之用。会议一开始,与会人员彼此会形成一个IBSS 以便传递数据。当会议结束,IBSS 随即瓦解。正因为持续时问不长、规模甚小且目的特殊, IBSS 有时被称为特设 BSS(ad hoc BSS)或特设网络(ad hoc network )。
基础型网络
图右为基础型基本服务组合(为了避免混淆,不可将 infrastructure BSS 简称为IBSS)。判断是否为基础型网络,只要检视是否有接入点参与其中。接入点负责基础型网络所有的传输,包括同一服务区域中所有行动节点之间的通信。位于基础型基本服务组合的移动式工作站,如有必要跟其他移动式工作站通信,必须经过两个步骤:
首先,由开始对话的工作站将帧传递给接入点。
其次,由接入点将此帧转送至目的地。
既然所有通信都必须通过接入点,基础型网络所对应的基本服务区域就相当于接入点的传送范围。
虽然这种做法比直接传送耗费较多的资源,不过它有两个主要的优点:
1.基础型基本服务集被界定在接入点的传输范围。
所有移动式工作站都必须位于接入点的传输范围之内,不过移动式工作站之间的距离则无限制。允许移动式工作站彼此直接通信虽然可以省下一些频宽,不过代价是相对提高了物理层的复杂度,因为每部工作站都必须维护与服务区域中其他工作站的邻接关系。
2.接入点在基础型网络里的作用是协助工作站节省电力。
接入点可以记住有哪些工作站处于省电状态,并且为之暂存帧,以电池供电的工作站可以关闭无线收发器,只有在传输或接收来自接入点的暂存帧时才会加以开启。
在基础型网络里,工作站必须先与接入点建立连接,才能取得网络服务。所谓连接 (association),是指移动式工作站加入某个 802.11网络的程序。逻辑上,这相当于 Ethernet插上网线。整个过程并不对称,因为开始连接过程的必然是移动式工作站,对于移动式工作站而言,关联必须独一无二;每部移动式工作站同时只能与一部接入点连接。802.11标准并未限制接入点可服务的移动式工作站数量。当然,实作上还是必须以限制。不过实际上,无线网络的传输量相对较低,很少需要予以限制。
ESS(扩展服务集)
BSS 的服务范围,可以涵盖整个小型办公室或家庭,不过无法服务较广的区域。802.11允许我们将几个 BSS 串联为扩展服务集(extended service set,简称ESS),借此扩展无线网络的覆盖区域。所谓 ESS 就是利用骨干网络将几个BSS串联在一起。所有位于同一个ESS 的接入点将会使用相同的服务集标识(service set identifier,简称 SSID),通常就是使用者所谓的网络「名称」。
802.11并未规范非得使用何种骨干技术,只要求骨干必须提供一组特定的服务功能。下图所示的ESS 是四个BSS 的联集(只要所有接入点均隶属同一个 ESS )。实际部署时,BSS 之间的重叠程度可能较该图中描述的更高。在实际生活中,总是希望扩展服务区域是连续的;不可能要求使用者从 BSSl走到BSS2 时还要绕道 BSS3。
隶属同一个 ESS 的工作站可以相互通信,即使这些工作站位于不同的基本服务区域,或是在这些基本服务区域中移动。为了让 ESS 里的工作站能够彼此通信,无线媒介必须能够在第二层(链路层)进行连接。由于接入点扮演著桥接器的角色,因此 ESS 里的工作站若要彼此通信,则骨干网络也必须能够在第二层进行连接。
扩展服务区域是 802.11网络所支持的最高价抽象概念。ESS 所属的接入点会彼此合作,让外界能够使用单一 MAC地址与 ESS 里其他工作站通信,不论其置身何处。在上图中,路由器可使用单一 MAC地址传递帧给移动式工作站;由该工作站所连接的接入点负责传送帧。路由器无须在意移动式工作站位于何处,而是靠接入点传送帧。
SSID(服务集标识)
通俗地说,SSID便是你给自己的无线网络所取的名字。
SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。简单来说多SSID功能就是通过设置多个SSID,实现一台无线路由器布置多个无线接入点,用户可以连入不同的无线局域网,避免相互之间的干扰。当然,实际上所有的用户还是连入了同一个无线路由器,只不过每组SSID之间是相互隔开的。
无线路由器一般都会提供“允许SSID广播”功能。如果不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。
目前使用的无线路由器大都能设置多个SSID,但是对于很多家用场景,没有必要设置多个,只设置一个就可以。
网络服务
几种网络服务
定义网络技术的方式之一,就是看它能够提供哪些服务,而不管设备制造商如何实现这些服务。802.11总共可以提供九种服务。其中三种用来传送数据,其余六种均属管理操作,目的是让网络能够追踪移动节点以及传递帧。以下说明这多种服务:
分布式(Distribution)
只要基础结构型网络里的移动式工作站传送任何数据,就会使用这项服务。一旦接入点接收到帧,就会使用分布式服务将帧送至目的地。任何行经接入点的通信都会通过分布式服务传播,包括关联至同一部接入点的两部移动式工作站彼此通信。
整合(Integration )
整合服务由分布式系统提供;它让分布式系统得以关联至非 IEEE 802.11 网络。整合功能将因所使用的分布式系统而异,因此除了必须提供的服务,802.11并未加以规范。
关联(Association)
之所以能够将帧传递给移动式工作站,是因为移动式工作站会向接入点登记,或与接入点产生关联。关联之后,分布式系统即可根据这些登录信息判定哪部移动式工作站该使用哪部接入点。未关联的工作站不算,好比拔掉 Ethernet 网线的工作站。802.11虽有规范使用这些关联数据的分布式系统必须提供哪些功能,但对于如何实现这些功能并未强制规定。如果使用强健安全网络协议(robust security network protocol ),关联之后才能进行身份认证。在身份认证完成之前,接入点会将丢弃来自工作站的所有数据。
重新关联(Reassociation)
当移动式工作站在同一个扩展服务区域里的基本服务区域之间移动时,它必须随时评估信号的强度,并在必要时切换所关联的接入点。重新关联是由移动式工作站所发起,当信号强度显示最好切换关联对象时便会如此做。接入点不可能直接开启重新关联服务。一旦完成重新关联,分布式系统会更新工作站的位置纪录,以反映出可通过哪个接入点连络上工作站。和关联服务一样,在强健安全网络中,除非已经成功完成身份认证,否则来自工作站的数据均会被弃置。
取消关联(Disassociation)
要结束现有关联,工作站可以利用取消关联服务。当工作站启动取消关联服务时,储存于分布式系统的关联数据会随即被移除。一旦解除关联,工作站即不再附接在网络上。在工作站的关机过程中,取消关联是个礼貌性的动作。
身份认证(Authentication)
无线网络无法提供与有线网络相同层级的实体保护,因此必须依赖额外的身份认证程序,以保证访问网络的使用者已获得授权。身份认证是关联的必要前提,惟有经过身份辨识的使用者才淮许使用网络。工作站与无线网络关联的过程中,可能必须经过多次身份认证。关联之前,工作站会先以本身的MAC地址来跟接入点进行基本的身份辨识。此时的身份认证,通常称为 802.11身份认证,有别于后续所进行、牢靠而经过加密的使用者身份认证。
解除认证(Deauthentication )
解除认证用来终结一段认证关系。因为获准使用网络之前必须经过身份认证,解除认证的副作用就是终止目前的关联。在强健安全网络中,解除认证也会清除**信息。
机密性(Confidentiality)
在有线局域网络中,坚固的实体控制可以防止刺探数据的绝大部分攻击。攻击者必须能够实际访问网络介质,才有可能窥视往来的内容。在有线网络中,网线与其他计算资源一样,也要受到实体保护。而实际访问无线网络,相对而言较为容易,只要使用正确的天线与调制方式就办得到。802.11初次改版时,机密性( confidentiality )服务原本称为私密性(privacy)服务,而且是由目前已经亳无可信度的有线等效加密(Wired Equivalent Privacy, 简称WEP)协议所提供。除了新的加密机制,802.11i另外提供了两种 WEP无法解决的关键服务来加强机密性服务,亦即基于使用者的身份认证(user-based authentication)以及**管理服务。
MSDU 传递
一个网络如果无法传递数据给接收端,大概也没有什么用。工作站所提供的 MSDU(全名为MAC Service Data Unit)递送服务,负责将数据传送给实际的接收端。
传输功率控制(Transmit Power Control,简称 TPC )
TPC 是在 802.11h 所定义的新服务。欧洲标准要求操作于 5 GHz 频段的工作站必须能够控制电波的传输功率,避免干扰其他同样使用 5 GHz频段的用户。传输功率控制也有助于避免干扰其他无线局域网络。传输距离是传输功率的函数,工作站的传输功率愈高,传输距离就愈远,也就愈容易干扰邻近的网络。如果可以 将传输功率调到“刚刚好”(just right ),就可以避免干扰到邻近的工作站。
动态频率选择(Dynamic Frequency Selection,简称 DFS )
某些雷达系统的操作范围位于 5 GHz 频段。因此,有些管制当局强制要求无线局域网络必须能够检测雷达系统,以及选择未被雷达系统所使用的频率。有些管制当局甚至要求无线局域网络必须能够均衡使用(uniform use)5 GHz 频段,因此网络必须具备重新配置信道(re-map channels )的能力。
下图列出了以上总结的几种网络服务:
机密性与访问控制
服务彼此密不可分。除了传输数据的私密性(secrecy),机密性服务也提供帧内容的完整性(integrity)。私密性与完整性均仰赖共享式加***(shared cryptographic keying),因此机密性服务必然仰赖其他服务提供身份认证与**管理。
身份认证与**管理(Authentication and key management,简称 AKM)
如果无法防范未经授权的使用者,密码学上的完整性就没有什么价值可言。机密性服务仰赖身份认证与**管理的配套来确定使用者的身份和建立加***。身份认证也可以通过其他外部协议完成,比如 802.1X 或者预设共享**(pre-shared key)。
加密算法(Cryptographic algorithm)
帧的保护可以通过传统的 WEP 演算法,使用长度 40 或 104 个位元的**;或者 TKIP(临时**完整性协议);或者 CCMP(计数器模式 CBC-MAC 协议)。
来源真实性(Origin authenticity)
TKIP与CCMP 让接收端得以验证传送端的 MAC地址,以避免伪装攻击(spoofing attack )。来源真实性只能保护单点传播数据( unicast data)。
重放攻击检测(Replay detection)
TKIP与COMP 会使用序号计数器(sequence counter)来验证所接收的帧,以防范重放攻击(replay attack )。“太旧”的帧就会被丢弃。
其他外部协议与系统
机密性服务极其依赖其他外部协议。**管理系由 802.1X所提供,而 802.1X则会搭配EAP 来传递认证数据·802.11并未限制使用何种协议,不过最普遍的做法是以 EAP 提供身份认证,并以 RADIUS 介接认证服务器。
移动性的支持
802.11所提供的移动性,存在于链路层的基本服务集之间。它并无法理解链路层以上究竟发生什么事。就 802.11而言,接入点之间可能出现三种转换:
不转换
如果工作站并未离开目前接入点的服务范围,就无须转换。这种状态之所以发生,可能是因为工作站并未移动,或是仍在目前所关联之接入点的基本服务区域中移动。
BSS 转换
工作站持续监控来自所有接入点的信号强度与信号品质。在扩展服务区域中,802.11提供了MAC层次的移动性。附接至「分布式系统」的工作站,可以将所送出的帧,寻址到某部移动式工作站的 MAC地址,并让接入点充当该移动式工作站的最终跳跃点(final hop )。分布式系统上的工作站无须知道某部移动式工作站的确切位置,只要该移动式工作站位于同样的服务区域。
上图展示了 BSS 转换的过程。本图有三部接入点被赋予相同的ESS 。一开始,以 t=1 表示,配备802.11无线网卡的膝上型电脑,位于 AP1 的基本服务区,并与 AP1 处于关联的状态。当该膝上型电脑离开 AP1 的基本服务区,并于 t=2 进入 AP2 的范围时,就发生所谓的 BSS 转换。该移动式工作站会使用「重新关联」服务与 AP2 关联,而AP2 则会开始送出帧给该移动工作站。
BSS 转换必须通过接入点彼此合作。在上述状况下,AP2 必须通知 AP1该移动式工作站现在已经与AP2 关联。802.11并未规范 BSS 转换过程中接入点之间如何通信的细节。
值得注意的是,即使这两部接入点隶属于同一个扩展集,它们之间却可能是由一部路由器所关联,即受限于第三层协议。在这种情况下,仅使用 802.11 协议并无法保证可以达到无间隙漫游。
ESS 转换
所谓ESS 转换,是指从某个 ESS 移动至另一个 ESS 。802.11并未支持此类转换,不过允许工作站在离开第一个 ESS 的范围之后,与第二个 ESS 里的接入点关联。可以确定的是,较上层的关联必然会因此而断线。比较正确的说法是, 802.11 所支持的 ESS 转换,仅能够让工作站比较容易与新的「扩展服务区域」的接入点关联。要能够维持较高层次的关联,必须得到协议族的支持。以 TCP/IP写例,要支持无间隙的 ESS 转换,必须使用 Mobile IP。
上图展示了 ESS的转换过程。图中,四个基本服务区组成了两个扩展服务区。目前尚未支持从左边的 ESS无间隙地转换至右边的 ESS 。之所以支持 ESS 转换,是因为移动式工作站会立即与第二个ESS里的接入点关联。只要离开第一个 ESS 的范围,任何作用中的网络关联都会随之断线。
移动性网络设计
工作站四处移动时,除了持续监视网络关联状态,也会在不同接入点间进行切换。802.11可以确保工作站经过不同接入点时维持关联。只要这些接入点属于同一个 SSID,但是网络设计人员在组建网络时必须将移动性纳入考虑。较小的网络通常是由单一的 VLAN、单一的网络所构成,这时就不必担心移动性问题。跨网段的较大网络则必须使用额外技术,能够支持移动性。有些产品仅支持单一的 VLAN,工作站不论身在何处均关联到相同的 VLAN。较新的产品甚至会根据身份认证数据为工作站动态指定 VLAN。
本博客转载自:
1.http://www.cnblogs.com/aixin0813/p/3163073.html
2.http://www.cnblogs.com/aixin0813/p/3165696.html