搜索
1思科统一无线网络2目录1.无线局域网基础31.1无线局域网和有线局域网的比较32.无线网络架构及设计32.1WLAN安全32.1.2基于EAP的安全方法42.1.3WPA42.1.4WPA252.2AP关联和漫游52.2.1漫游过程52.3蜂窝布局和信道的使用63.思科统一无线网络83.1WLC的功能83.2轻量级AP的工作原理93.3Cisco统一无线网络中的数据流模式103.4轻量级AP关联和漫游113.5.1控制器内漫游123.5.2控制器间漫游133.5.3移动组1731无线局域网基础1.1无线局域网和有线局域网的比较从最本质上说,交换型网络需要电缆,而无线网络不需要。这看似显得可笑,却指出了它们的物理层之间的不同。传统以太网是由IEEE802.3标准定义的。每条以太网连接都必须在严格的条件下运行,尤其是对物理链路本身来说。例如,链路状态、链路速度和双工模式都必须符合标准的规定。无线局域网使用类似的协议,但由IEEE802.11标准定义的。有线以太网设备必须采用载波侦听多路访问/冲突检测(CSMA/CD)方法来传输和接收以太网帧。在共享的以太网网段上,PC以半双工模式工作,每台PC都可以先“发言”,然后侦听是否其他正在发言的设备发生冲突。整个检测冲突的过程是基于有线连接的最大长度的,从网段的一端发送到另一端检测到冲突之间的最大延迟是确定的。在全双工或交换型以太网链路上,不存在冲突或争取带宽的问题,但它们必须遵循相同的规范。例如,在全双工链路上,必须在预期的时间内发送或接收以太网帧,这要求全双工双绞线的最大长度与半双工链路相同。虽然无线局域网也基于一组严格的标准,但无线介质本身难以控制。一般而言,当PC连接到有线网络时,与其共享网络连接的其他设备的数量是已知的;而当PC使用无线网络时,使用的传输介质为空气;由于接入层没有电缆和插口,因此无法限制其他最终用户使用相同频率无线电波。因此,无线局域网实际上是一种共享型网络,且争用相同频率电波的主机数量不是固定的。在无线局域网中,冲突犹如家常便饭,因为每条无线连接都是半双工模式的。IEEE802.11WLAN总是半双工模式的,因为传输站和接收站使用的频率相同。双方不能同时传输,否则将发生冲突。要实现全双工模式,必须在一个频率进行传输,在另一个频率进行接收,这类似于全双工以太网链路的工作原理。虽然这完全可行,但802.11标准不允许采用全双工模式。2.无线网络架构及设计2.1WLAN安全作为基本服务集(BSS)的中央枢纽,AP实际上为其覆盖范围内的客户端管理WLAN。别忘了,无线客户端发送的数据流都必须经过AP,才能到达当前BSS内的其他WLAN客户端或位于其他地方的有线客户端。客户端建立其无线连接时,必须找到可到达并提供成员资格的AP。客户端必须按如下顺序协商成员资格和安全措施:(1)使用与AP匹配的SSID;(2)向AP认证;(3)使用一种分组加密方法确保数据的隐秘性,这步是可选的;(4)使用一种分组认证方法确保数据的完整性,这步也是可选的;(5)建立同AP的关联。SSID字符串用于将客户端同合适的WLAN(以及有线网络中的VLAN)匹配。如果客户端的SSID与某个AP使用的SSID相同,它便可以开始同该AP通信。SSID并不是一种安全措施,而只是用于将WLAN划分成逻辑用户组。4开放认证是默认设置,无法对客户端进行筛选。任何客户端都可以加入网络,而无需提供任何凭证。实际上,SSID是需要提供的唯一凭证。虽然这使得认证工作更容易,但几乎无法控制对WLAN的访问。另外,开放认证没有提供对通过WLAN传输得数据进行加密的措施。预共享密钥认证使用一个存储在客户端和AP中的无线等效协议(WirelessEquivalenceProtocol,WEP)密钥。客户端要加入WLAN时,AP向它发送一个挑战短语;客户端必须使用挑战短语和WEP密钥计算出一个可公开共享的值,并将其发回给AP。AP使用自己的WEP密钥计算一个类似的值,如果这两个值相同,客户端便通过了认证。使用预共享密钥(常被称为静态WEP密钥)认证时,WEP密钥也被用做加密密钥。通过WLAN发送每个分组时,将把分组的内容和WEP密钥提供给加密进程。远端收到分组后,将使用相同的WEP密钥对其进行解密。预共享密钥认证比开放认证安全,但存在两个缺点:■可扩展性不佳,因为必须在每台设备上配置一个很长的密钥字符串;■不是很安全。2.1常用的安全方法有:2.1.1基于EAP的安全方法幸运的是,无线安全已发展到使用其他更健壮的方法。AP可使用各种利用外部认证和授权服务器及其用户数据库的认证方法。可扩展的认证协议(ExtensibleAuthenticationProtocol,EAP)是众多无线安全方法的基础,这些方法的缩略语的末尾都是一致的,如EAP、PEAP、LEAP。EAP是在RFC3748中定义的,最初用于处理PPP用户认证。鉴于其可扩展性,它非常适合用于各种安全环境。RFC4017定义了用于WLAN中的EAP变种。EAP最初用于PPP通信,而不是无线认证。IEEE802.1x协议可用于基于端口的认证,即对认证用户是否能够使用特定的交换机端口。通过8021.x,甚至可以在用户获得网络连接性之前,在第2层对其进行认证。WLAN可使用802.1x在第2层实现EAP。在无线局域网中,可使用下述安全方法:LEAP、PEAP、EAP-TLS和EAP-FAST。由于存在众多的安全方法,使得难以记住它们的功能和强项。您只需记住这样一点,即它们都是基于EAP的,但使用不同的凭证来认证无线用户。有些基于EAP方法添加了其他安全功能,从而超越了认证的范畴,在接下来的几小节讨论各种方法时,您将明白这一点。2.1.2WPAIEEE802.11i标准致力于无线安全的各个方面,甚至超越了客户端认证和使用WEP密钥确保数据隐秘性的范畴。在制定IEEE802.11i标准期间,无线局域网厂商已走在前头,在尽可能多地实现该标准指定的功能,因此Wi-Fi联盟根据802.11草案的一些内容开发了Wi-Fi受保护的接入(Wi-FiProtectedAccess,WPA).WPA提供了下述无线局域网安全措施:■使用802.1x或预共享密钥进行客户端认证;■客户端和服务器之间的双向认证;■使用临时密钥完整性协议(TemporalKeyIntegrityProtocol,TKIP)确保数据隐秘性;■使用消息完整性校验(MessageIntegrityCheck,MIC)确保数据完整性。TKIP利用无线客户端和AP嵌入的现有WEP加密硬件。WEP加密过程与以前相同,但WEP密钥的生成频率更高,而不是像使用基于EAP的认证方法时那样在每次重新认证是生成WEP密钥。5实际上,TKLP为每个分组生成新的WEP密钥。客户适用于基于EAP的方法对客户端进行认证(或重新认证)时,将生成一个初始密钥。该密钥是通过混合发送方(客户端或AP)的MAC地址和一个序列号生成的。发送每个分组时,都将更新该WEP密钥。客户端被要求重新认证时,将生成一个全新的WEP密钥,然后在发送每个分组时更新该密钥。对于通过无线网络发送的每个分组,将使用MIC进程来为其生成一个“指纹”。如果指纹是在分组发送前生成的,则收到分组后,该指纹将同分组的内容匹配。为何要给分组加上指纹呢?分组在空中传输时,可能被拦截、修改并重新发送,这是绝对不能允许发生的。通过添加指纹,可确保数据在网络中传输时的完整性。2.1.3WPA2Wi-Fi受保护的接入第2版(WPA2)是基于最终的802.11i标准的,在安全措施方面,它在WPA的基础上做了多方面的改进。使用WPA和其他基于EAP的认证方法时,无线客户端必须向要访问的每个AP进行认证。如果客户端从一个AP移到另一个AP,将需要不断进行认证,这很麻烦。WPA2使用主动密钥缓存(proactivekeycaching,PKC)解决了这个问题,客户端只需认证一次-向它遇到的第一个AP认证。只要客户端访问的其他AP都支持WPA2,且被配置为属于一个逻辑组,就将自动传递缓存的认证信息和密钥。2.3AP关联和漫游无线客户端同AP关联后,所有前往和来自客户端的数据都必须经过该AP。客户端通过向AP发送关联请求消息来建立关联,如果客户端与WLAN兼容,即有正确的SSID、支持相同的数据率并通过了认证,AP将使用关联应答进行响应。只要客户端在当前AP的覆盖范围内,其同该AP的关联就将得到维持。请看图25所示的AP蜂窝,只要客户端在点A和B之间,就能够以可接受的质量接收AP的信号;客户端走出该蜂窝(到达图中的C点)后,信号强度将低于可接受的阈值,导致客户端失去关联。可以通过添加AP让客户端能够在更大的区域内移动。然而,必须仔细地部署AP,让客户端能够在AP之间漫游。漫游指的是从一个AP将关联切换到另一个AP关联,让无线连接在客户端移动时能够保持的过程。2.2.漫游过程要让客户端能够漫游,首先必须满足的条件是什么?首先,必须将相邻AP配置为使用互不重叠的不同信道。例如,遵循802.11b或802.11g的,AP只能使用信道1、6和11,同时使用信道1的AP不能与其他使用信道1的AP相邻,这确保客户端在接收附近AP的信号时不受来自其他AP的信号干扰。漫游过程完全是由无线客户端驱动程序(而不是AP)驱动的,客户端可采取两种方法来确定何时进行漫游:■客户端可以在其需要漫游前主动搜索其他相邻AP;■客户端可以在需要漫游时才搜索相邻AP。客户端确定应该漫游后,它首先必须搜索潜在的新AP,这是通过扫描其他信道以找到其他活动AP实现的。客户端采取两种方法来执行扫描过程:■被动扫描:客户端花时间来扫描其他信道,但只侦听来自可用AP的802.11信标。■主动扫描:客户端花时间来扫描其他信道,同时发送802.11探针请求帧来查询可用AP。客户端采用被动扫描时,只需等待接收信标即可,因此非常适合用于低功率的嵌入式无线客户端。主动扫描让客户端具有控制权,因为必须发送探针并等待接收探针应答。通常,主动扫描比被动扫描可实现更有效的漫游,因为可以根据需要查询和识别AP。6在图中,对两个AP进行了正确的配置,使其使用互不重叠的信道1合6;同时列出了两个AP的信号强度同客户端位置的关系图。在位置A,客户端可以从AP1那里收到清晰的信号,因此它保持同该AP的关联。当客户端向位置B移动时,它发现AP1的信号不再是最优的。在此过程的某个位置,客户端开始查找更佳的AP以便同其关联。无线客户端采取两个步骤来完成这个过程:第1步客户端发送802.11探针请求管理帧;第2步侦听的AP使用802.11探针响应帧来应答客户,以通告自己的存在。客户端并不知道将遇到的下一个AP使用的信道,因此它必须通过每个可能的信道发送探针,所以它必须花时间来调整发射器,使其远离当前AP的信道,以便能够扫描其他信道并发送探针。图1客户端在两个AP之间漫游2.3蜂窝布局和信道的使用交替使用信道可避免重叠,这常被称为信道重用。以覆盖更大的区域,它提供了4、8甚至12个互不重叠的信道,因此相邻蜂窝使用相同信道的可能性非常低。图2二维区域的信道布局7楼层使用的使用三维信道布局。在实际上,相邻楼层中的蜂窝将相互重叠,就像同一楼层的相邻蜂窝一样。在这种情况下,在楼层平面内以及楼层之间都需要交替地使用信道。一楼的信道1不能与二楼和地下室的信道1相互重叠。图3三维信道布局3思科统一无线网络3.1WLC的功能在WLC和一个或多个轻量级AP之间建立LWAPP隧道后,WLC便能够提供各种其他功能。阅读下述WLC功能列表时,请回想一下前面讨论过的传统WLAN架构面临的困扰和缺点。8■动态地分配信道:WLC根据区域内其他活动的接入点,为每个LAP选择并配置RF信道。■优化发射功率:WLC根据所需的覆盖范围设置每个LAP的发射功率。发射功率还将定期地自动调整。■自我修复无线覆盖范围:如果某个LAP出现故障,将自动调高周围LAP的发射功率,以覆盖出现的空洞。■灵活的客户端漫游:客户端可在第2层或第