01WLAN原理及基础知识.ppt

802.11认证－共享密钥认证 共享密钥认证(shared-key authentication） 共享密钥身份认证(shared-key authentication）必须使用WEP，因此只能用于实现了WEP的产品上，虽然目前已经很难找到不支持WEP 的产品。正如其名，「共享密钥身份认证」要求在进行身份认证之前，必须传递共享密钥给无线终端。共享密钥身份认证的理论基础是，如能成功回应传给它的挑战信息，就证明工作站拥有共享密钥。双方交换密钥成功后，终端认证通过。 STA AP Authentication request Plain text challenge Cipher text challenge Authentication Response (success) 预置Key 预置Key 用Key 加密明文 密文解密 和明文比较 802.11认证－ PSK认证 PSK（ Pre-shared key）认证方式 该方式要求在STA侧预先配置Key，AP通过4次握手Key协商协议来验证STA侧Key的合法性。 对没有什么重要数据的小型网络而言，可以使用WPA－PSK 的预设共享密钥模式。主要把预设共享密钥方式的WPA-PSK 应用于小型、风险低的网络以及不需太多保护的网络用户。 对大企业而言，安全性要求较高，更多的使用802.1X。 802.11认证－ 802.1X认证 802.1x是基于端口的网络接入控制协议, 它提供了一个认证过程框架，支持多种认证协议在802.1x中，不同的认证协议统一使用EAP封装格式。也就是说：802.1x只是对认证进行控制，是接入认证的手段，具体认证还需要其它认证协议。 EAP的类型包括: EAP-MD5：最早的EAP认证类型。它是基于用户名，密码方式的认证。认证过程与CHAP认证过程基本相同。 EAP-TLS：是一种基于证书的认证方式，它是对用户端和认证服务器端进行双向证书认证的认证方式 PEAP ：是一种基于证书的认证方式，服务器侧采用证书认证，客户端侧采用用户名密码认证 漫游概念 802.11 只提到漫游（roaming）这个字眼。但对实现过程没有作具体的规定，一般而言，多数人都认为漫游就是终端从一个AP转换到另一个AP即无线终端从一个BSS服务集移动接入到另外一个服务集的过程。 STA AP AP 移动 ESS STA从AP1（BSS1）的位置向AP2(BSS2)移动，在业务不间断的情况下，接入到AP2。 二层漫游和三层漫游 VLAN1 IP:1.0.0.1 VLAN1 AP AP VLAN1 L2网络 移动 二层漫游 VLAN1 IP:1.0.0.1 VLAN1 AP AP VLAN2 L3网络 STA 移动 三层漫游 二层漫游 在同一个子网内的AP间漫游 三层漫游 在不同子网内的AP间漫游 WLAN胖瘦AP组网分析及优缺点 WLAN发展的历程 FIT AP+ 无线控制器 FAT AP+ 无线网关 FAT AP 无线专网 为什么需要瘦AP 大型无线网络的挑战 管理、监测及控制大量AP所产生的挑战 对大量AP的配置及升级 无线局域网的空口传输不稳定，易受干扰，因而需要对多个AP之间的无线干扰、信道转换、功率调整等进行集中控制，从而避免干扰，防止入侵，稳定整体性能 无线局域网的安全要求 规模化的组网运营下必须采用瘦AP的架构 集中化完成配置更改、监控和管理，增强对用户和业务的控制 在各种组网模式下完成对AP的统一管理，去除了胖AP到BAS缺省路由的限制。网络组网设计可以更为灵活。 整体降低了网络故障率 网络向瘦AP进行转变 胖瘦AP的功能划分 802.11 报文的加解密、 802.11的PHY 功能、 接受无线控制器的管理、 RF 空口的统计等简单功能 胖AP 独立完成用户的无线接入 独立 完成用户权限认证 独立用户安全策略实施 独立分布式管理 传统的WLAN 的AP功能被分散到AC和瘦AP两个独立的设备 来完成，AC和瘦AP之间提供相应的控制协议完成无线功能。 AC 无线网络的接入控制、 无线网络的转发和统计、 AP 的配置监控、 漫游管理、 AP 的网管代理、 AP安全控制等 控制协议 瘦AP 胖瘦AP方案对比 FIT AP工作原理（一） FIT AP被设计为无需接触他就能对其进行配置，他工作的必要条件是必须找到一个无线控制器（AC）并获得所有的配置参数。 FIT AP启动的过程： 1）FIT AP从DHCP服务器获取一个ip地址； 2）FIT AP获悉所有可用的AC地址； 3）FIT AP向其AC地址列表中的第一个AC发送加入请求信息。如果该AC没有应答，将尝试下一个AC