1、華為3Com無線產(chǎn)品部無線技術(shù)培訓(xùn)膠片-WLAN基礎(chǔ)概念及工作原理ContentsWLAN基礎(chǔ)概念工作原理簡介IEEE802.11基本協(xié)議IEEE802.11其它協(xié)議其它回顧了解無線應(yīng)用無線應(yīng)用無所不在注意：此圖片引用CISCO的無線技術(shù)關(guān)系示意圖室外高速移動中速移動靜止室內(nèi)步行靜止/桌面0.1Mbps 1Mbps 10Mbps 100Mbps 400Mbps移動性2.5G3GWLANUWBWiMAX數(shù)據(jù)速率Mesh NetworkersWLAN技術(shù)主要解決百米左右的接入WLAN印象安全前提下的一種移動數(shù)據(jù)網(wǎng)絡(luò)：是以無線方式構(gòu)建/用使用線纜相連接的局域網(wǎng)，利用電磁波在空氣中發(fā)送和接收數(shù)據(jù)；數(shù)據(jù)

2、傳輸速率現(xiàn)在已經(jīng)能夠達到54Mbps，傳輸距離可遠(yuǎn)至40公里以上；是對有線聯(lián)網(wǎng)方式的一種補充和擴展，具有移動特征；在補充有線的同時完成有線所不能的WLAN協(xié)議族PHY802.11(1/2 Mbps)802.11b(5.5/11 Mbps)802.11g(54 Mbps)802.11a(54 Mbps)MAC802.11/11a/11b/11g MAC802.11f-漫游和切換802.11e-QoS802.11i 安全增強802.11n(應(yīng)用帶寬過100M)802.11s-mesh802.11r快切中國政府針對WLAN的主要成果：WAPI標(biāo)準(zhǔn)WLAN三種標(biāo)準(zhǔn)的比較標(biāo)準(zhǔn)802.11b802.11a

3、802.11g發(fā)布時間July 1999July 1999June 2003工作頻段2.4GHz2.497GHz5.155.35GHz5.4255.675GHz5.7255.875GHz2.4GHz2.497GHz有效帶寬5.5M24.7M24.7M無交疊信道3 (相鄰小區(qū)中心頻率間隔至少25MHz）12（中國地區(qū)可用的為5個）3(允許3個AP在同一地點相互無干擾的工作)編碼技術(shù)CCK/DSSSOFDMCCK/OFDM最高速率11Mbps54Mbps54Mbps無線覆蓋范圍100m50m100m兼容性通過Wi-Fi認(rèn)證的產(chǎn)品之間可以互通與11b/g不能互通與11b產(chǎn)品可互通相關(guān)組織及其在WLA

4、N領(lǐng)域的貢獻Wi-Fi聯(lián)盟成立于1999年的Wi-Fi聯(lián)盟是一個非牟利國際協(xié)會，旨在認(rèn)證基于IEEE 802.11規(guī)格的無線局域網(wǎng)產(chǎn)品的互操作性和推動wireless新標(biāo)準(zhǔn)的制定目前已知的相關(guān)標(biāo)準(zhǔn)WPA：802.11i的子集，支持802.1x認(rèn)證以及TKIP加密算法WPA2： 802.11iWMM：802.1e的子集，支持EDCA方式WAPI中國無線網(wǎng)絡(luò)產(chǎn)品國標(biāo)中安全機制 的標(biāo)準(zhǔn)，包括無線局域網(wǎng)鑒別（WAI）和保密基礎(chǔ)結(jié)構(gòu)（WPI）兩部分。核心技術(shù)由西安捷通公司掌握。由于其加密算法未公開，只能購買指定公司的加密芯片，因此遭到國外大多數(shù)公司的抵制。未來是否以及何時會強制執(zhí)行目前還不太明朗 。IE

5、EE、IETF802.11的系列標(biāo)準(zhǔn)（IEEE）；CAPWAP工作組（IETF）WLAN對人體的電磁輻射是安全的很多的研究已經(jīng)證明，WLAN產(chǎn)品以在家庭及商業(yè)中使用，對人體來說是安全；典型的WLAN產(chǎn)品輸出功率為100mw(AP)，對于網(wǎng)卡來說，通常只有10mw至50mw；相比較來說，手機的發(fā)射功率在通話時可以超過200mw；政府有相關(guān)的法令對發(fā)射功率進行嚴(yán)格的限制；對人體是否具有影響取決于：距離與功率ContentsWLAN基礎(chǔ)概念工作原理簡介IEEE802.11基本協(xié)議IEEE802.11其它協(xié)議其它回顧調(diào)制技術(shù)： OFDM 技術(shù)特點正交頻分復(fù)用(Orthogonal Frequency

6、Division Multiplexing, OFDM) 基本思想是將高速的數(shù)據(jù)流分配到多個相互正交的子載波上同時傳輸輸入數(shù)據(jù)：1 0 0 1 0 1 0 0 1 0 1 0 0 1 0 1 0 1 1 0 1 0 0 1 0 1 0 1 0 1 0 0 1 1 0 0 子載波1: 1 1 0 0 0 1 1 0 0 1 0 1 子載波2: 0 0 0 1 1 0 0 0 1 0 0 0 子載波1: 0 1 1 0 0 1 1 1 0 1 1 0 調(diào)制：OFDM技術(shù)優(yōu)點 抗頻率選擇性衰落和窄帶干擾能力強 OFDM把用戶信息通過多個子載波傳輸； 通過子載波的聯(lián)合編碼，達到了子信道間的頻率分集的作

7、用； 增強了對脈沖噪聲和信道快衰落的抵抗力； 抗多徑效應(yīng)能力強；MAC仲裁機制目前各個廠商都是實現(xiàn)的DCF方式，PCF方式?jīng)]有實現(xiàn)注意：此圖片引用友商，沒有作更改隨機退避（DCF方式）Frame Exchange Frame ExchangeFrameExchangeFrameExchangeDIFSDIFSDIFSSTA 1STA 2STA 3STA 4退避窗口退避窗口退避窗口QOS的機制就由此而產(chǎn)生DirectSignalReflectedSignalsAlsoMultipath fadingPC CardAccess Point (AP)干擾：多徑干擾干擾：電磁干擾2.4GHz為ISM頻

8、段，不需授權(quán)即可使用。同一區(qū)域內(nèi)AP之間的互相干擾，干擾方式分為同信道干擾和鄰信道干擾。其他干擾源-微波爐-醫(yī)療設(shè)備-雙向?qū)ず粝到y(tǒng)-脈沖雷達系統(tǒng)-其它無線通訊系統(tǒng)形式主要包括：同頻競爭、斜波干擾、線性調(diào)制干擾等等功率在穿過障礙物后衰減墻，門，等等電磁波的穿透性能是和頻率相關(guān)的。當(dāng)發(fā)射功率不足夠大時，在建筑物后形成無線覆蓋盲區(qū)。傳播：障礙物、空氣等等有效帶寬802.11b:空口：11 Mbps,應(yīng)用層理論帶：6 Mbps，一般為：5Mbps左右802.11g：空口：54 Mbps，應(yīng)用層理論帶寬：24.4Mbps，一般:22Mbps左右802.11a：與11g基本相同；AP接入的用戶數(shù)基本可以均

9、分其有效帶寬不穩(wěn)定是無線通訊所存在的缺陷，主要由于環(huán)境造成的；物理建筑的構(gòu)成共享介質(zhì)用戶數(shù)數(shù)據(jù)量測試時注意：最好使用長包測試（包長：）；最是二點測試（AP+網(wǎng)卡）；吞吐量示意圖覆蓋范圍802.11g的理論覆蓋與802.11b的相同，比802.11a覆蓋距離增加50覆蓋距離與環(huán)境、功率等因素存在很大的關(guān)系ContentsWLAN基礎(chǔ)概念工作原理簡介IEEE802.11基本協(xié)議IEEE802.11其它協(xié)議其它回顧802.11標(biāo)準(zhǔn)簡介在此802.11標(biāo)準(zhǔn)定義了PHY層與MAC層內(nèi)容802.11的網(wǎng)絡(luò)框架基本概念：ESSBSSBSSID協(xié)議狀態(tài)機802.11MAC層負(fù)責(zé)客戶端與AP之間的通訊。主要功能

10、包括：掃描、接入、認(rèn)證、加密、漫游和同步。802.11 MAC 報文分類：數(shù)據(jù)幀用戶的數(shù)據(jù)報文控制幀協(xié)助發(fā)送數(shù)據(jù)幀的控制報文，例如：RTS、CTS，ACK、PS-POLL等管理幀負(fù)責(zé)STA和AP之間的能力級的交互，認(rèn)證、關(guān)聯(lián)等管理工作，例如：Beacon，Probe，Association，Authentication等802.11 MAC層工作原理概述802.11 MAC層工作原理用戶接入管理過程STAAP Discovery選擇AP(采用偵聽Beacon幀或發(fā)送Probe幀)AuthenticationAssociation和建立Association關(guān)系的AP收發(fā)數(shù)據(jù)802.11 MAC

11、 使用Scanning功能來完成Discovery尋找和加入一個網(wǎng)絡(luò)當(dāng)STA漫游時尋找一個新的APPassive Scanning通過偵聽AP定期發(fā)送的Beacon幀來發(fā)現(xiàn)網(wǎng)絡(luò)， Beacon幀中包含該AP所屬的BSS的基本信息以及AP的基本能力級，包括： BSSID（AP的MAC地址）、 SSID、支持的速率、支持的認(rèn)證方式，加密算法、 Beacons幀發(fā)送間隔，使用的信道等當(dāng)未發(fā)現(xiàn)包含期望的SSID的BSS時，STA可以工作于IBSS狀態(tài)Active Scanning在每個信道上發(fā)送Probe request報文，從Probe Response中獲取BSS的基本信息， Probe Resp

12、onse包含的信息和Beacon幀類似802.11 MAC層工作原理 Scanning掃描802.11支持兩種基本的認(rèn)證方式Open-system Authentication等同于不需要認(rèn)證，沒有任何安全防護能力通過其他方式來保證用戶接入網(wǎng)絡(luò)的安全性，例如Address filter、用戶報文中的SSIDSharedKey Authentication采用WEP加密算法Attacker可以通過監(jiān)聽AP發(fā)送的明文Challenge text和STA回復(fù)的密文Challenge text計算出WEP KEYSTA和AP均可通過Deauthentication來終結(jié)認(rèn)證關(guān)系802.11 MAC層工

13、作原理 Authentication認(rèn)證STAAPAuthentication requestAuthentication Response (success)STAAPAuthentication requestPlain text challengeCipher text challengeAuthentication Response (success)預(yù)置Key用Key加密明文密文解密和明文比較預(yù)置KeyAssociationSTA通過Association和一個AP建立關(guān)聯(lián)，后續(xù)的數(shù)據(jù)報文的收發(fā)只能和建立Association關(guān)系的AP進行ReassociationSTA在從一個老的

14、AP移動到新AP時通過Reassociation和新AP建立關(guān)聯(lián)Reassociation前必須經(jīng)歷Authentication過程DeassociationSTA和AP均可通過Deassociation和AP解除關(guān)聯(lián)關(guān)系802.11 MAC層工作原理 Association關(guān)聯(lián)STAAPAssociation request (SSID)Association Response (Association ID)STANew AP數(shù)據(jù)Old AP檢測到New AP信號強Reassociation請求(old AP address)DeassociationReassociation應(yīng)答采用基于

15、RC4對稱流加密算法的WEP加密STA和AP需要預(yù)先配置相同的靜態(tài)Key，Key的長度為40 bit或104bit每次對數(shù)據(jù)加密的Key靜態(tài)Key24bit的IV值（IV值為動態(tài)生成）所有的STA共用相同的靜態(tài)Key造成：當(dāng)用戶的STA丟失或者用戶離職時需要對所有用戶STA重新配置新的靜態(tài)Key。靜態(tài)Key泄漏被發(fā)現(xiàn)前，網(wǎng)絡(luò)存在安全隱患24bit的IV值太短造成：Attacker可以在分析偵聽到的1M-4M用戶報文后破解加密Key802.11 MAC層工作原理 -Encryption 加密STAAP加密報文IV值IV靜態(tài)KeyKey生成器Key流XOR用戶數(shù)據(jù)明文加密報文IV靜態(tài)KeyKey生

16、成器Key流XOR用戶數(shù)據(jù)明文加密報文802.11 MAC層工作原理漫游和同步Wireless漫游的概念STA可以在屬于同一個ESS的AP接入點接入，可以使用同一信道或不同信道；STA可以在Wireless網(wǎng)絡(luò)中任意移動，同時保證已有的業(yè)務(wù)不中斷，用戶的標(biāo)識（IP地址）不改變。Wireless漫游的分類二層漫游在同一個子網(wǎng)內(nèi)的AP間漫游由于不涉及子網(wǎng)的變化，因此只需保證用戶在AP間切換時訪問網(wǎng)絡(luò)的權(quán)限不變即可。為了保證快速的切換，通常都會利用STA在原有AP上使用的資源（例如Key等）三層漫游在不同子網(wǎng)內(nèi)的AP間漫游除了要實現(xiàn)二層漫游中提到的內(nèi)容以外，通常會采用一些特殊手段來保證用戶業(yè)務(wù)的不中

17、斷。目前較流行的做法有：Mobile IP、 VLAN二層透傳、GRE二層隧道、IP in IP三層隧道等ContentsWLAN基礎(chǔ)概念工作原理簡介IEEE802.11基本協(xié)議IEEE802.11其它協(xié)議802.11i802.11e其它回顧從加密到安全WEP夠了嗎？整個網(wǎng)絡(luò)公用一個共享密鑰，一旦丟失，整個網(wǎng)絡(luò)都很危險。 RC4加密算法本身過于簡單。 IV向量太短，且用明文傳送，容易被監(jiān)聽 咋辦呢？增加一種密鑰管理機制 更高級的加密算法 引入RSNA (robust security network association)概念 增強了STA和AP的認(rèn)證機制支持802.1x認(rèn)證，并采用雙向認(rèn)證

18、方式有效的防止非法AP的使用支持Pre-shared key認(rèn)證方式，該方式要求在STA側(cè)預(yù)先配置Key，AP通過4次握手Key協(xié)商協(xié)議來驗證STA側(cè)Key的合法性增加了 Key的生成、管理以及傳遞的機制每用戶使用獨立的Key通過非對稱密鑰算法生成和傳遞用戶數(shù)據(jù)加密使用的Key增加了兩類對稱加密算法，加密強度大大增強TKIP：核心仍然是RC4算法CCMP：核心為AES算法802.11 i協(xié)議安全認(rèn)證和加密802.11 i協(xié)議用戶通過802.1x認(rèn)證接入過程TLS認(rèn)證舉例STAAPOpen-system AuthenticationAssociationEAPOL startEAPOL-Requ

19、est/User IdentityEAPOL-Request/User Identity服務(wù)器證書/公鑰STA證書/用公鑰加密的Master key認(rèn)證成功4次握手Key協(xié)商加密數(shù)據(jù)報文Radius ServerUser Identity服務(wù)器證書/公鑰STA證書/用公鑰加密的Master key認(rèn)證成功/PMK驗證服務(wù)器證書用公鑰加密Master Key生成PMK驗證STA證書用私鑰解密Master Key生成PMKPMK一致性檢查生成其他KeyPMK一致性檢查生成其他Key802.11 i協(xié)議Key caching技術(shù)Key caching過程：STA第一次接入時（接入Old AP）采用正

20、常的802.1x認(rèn)證過程認(rèn)證通過后STA把使用的PMK信息保存在Cache中STA向New AP發(fā)起Reassociation時協(xié)商使用PMK Cache方式做認(rèn)證STA利用在Cache中保存的在Old AP中使用的PMK和New AP發(fā)起4次握手協(xié)商過程協(xié)商成功，STA開始傳送數(shù)據(jù)報文Key的保存：STA保存在cache中，以便于在AP切換時使用New AP可以通過在STA Reassociation時從Old AP獲取PMK信息或者每個AP向鄰居AP定期發(fā)送連接的STA的 Key cacheSTAAPPMK CacheXXXXXXXNew APOld APSTA1PMK CacheXXXX

21、XXXSTA1PMK CacheXXXXXXX優(yōu)點：STA在切換AP以后不必在進行煩瑣的802.1x認(rèn)證和Key交換，加快了切換速度缺點：需要STA軟件支持ContentsWLAN基礎(chǔ)概念工作原理簡介IEEE802.11基本協(xié)議IEEE802.11其它協(xié)議802.11i802.11e其它回顧802.11e 協(xié)議QOS保證802.11e引入HCF（Hybrid Coordination Function）概念針對DCF模式的改進：EDCA（Enhanced Distributed Channel Access）支持8個業(yè)務(wù)優(yōu)先級報文標(biāo)記(IEEE 802.1d)，可被映射到4個輸出隊列高優(yōu)先級的

22、報文通過設(shè)置較短的IFS和Contention window來優(yōu)先獲取無線空口的訪問能力針對PCF模式的改進：HCCA（HCF Controlled Channel Access）STA通過和AP協(xié)商data rate, delay, packet size等參數(shù)來形成針對該STA的調(diào)度機制IFS之間的關(guān)系802.11e 協(xié)議QOS保證（續(xù)）EDCA調(diào)度模式優(yōu)先級隊列1優(yōu)先級隊列2優(yōu)先級隊列3優(yōu)先級隊列4BusyFrameTimeAIFS4CW4AIFS3CW3FrameAIFS2CW2FrameAIFS1CW1FrameHCCA調(diào)度模式STA1STA2STA3APTime優(yōu)先級協(xié)商AP對ST

23、A報文的調(diào)度優(yōu)先級高優(yōu)先級中優(yōu)先級低FrameFrameFrameFrameFrameFrameContentsWLAN基礎(chǔ)概念工作原理簡介IEEE802.11基本協(xié)議IEEE802.11其它協(xié)議其它回顧無線交換機802.11 a/b/g天線加密移動 IP, IPSec, 認(rèn)證802.1x, TKIP, Qos, 切換, 802.11hAP點監(jiān)測用戶放火墻網(wǎng)絡(luò)自愈RF 管理無線欺騙防護802.11a/b/g移動 IP, IPSec, 認(rèn)證802.1x, TKIP, Qos, 切換, 802.11h天線加密更易管理的無線解決方案 “胖”AP“瘦”AP低成本APWLAN關(guān)鍵技術(shù)瘦接入點和無線交換機

24、Internet普通交換機InternetWLAN典型組網(wǎng)模式胖AP組網(wǎng)：包括AP、L2交換機、管理軟件和業(yè)務(wù)軟件，適合規(guī)模較小并對管理和漫游要求比較低的網(wǎng)絡(luò)部署，典型產(chǎn)品是WA1208E系列無線網(wǎng)橋模式：分為點對點或點對多點（一般不超過六點），解決長距離無線連接問題，一般需要配定向天線，在無遮擋的情況下可達到20KM以上，典型產(chǎn)品是WA1208E-AGP(WDS模式）和WB2010/WB2011無線控制器FitAP組網(wǎng)：以無線控制器為核心的集中式維護管理，L2/L3層漫游特性，完善的安全體系使之更適合部署大型網(wǎng)絡(luò)，并能與現(xiàn)存有線網(wǎng)絡(luò)很好結(jié)合，實現(xiàn)增值服務(wù)。典型產(chǎn)品是3COM的WX4400/W

25、X1200無線控制器/交換機和AP2750/AP3750 瘦AP，如下圖所示AAA服務(wù)器無線交換機POE交換機Thin AP網(wǎng)管服務(wù)器WLAN兩種典型組網(wǎng)模式比較 組網(wǎng)模式 項目Fat AP獨立組網(wǎng)Wireless ControllerFitAP組網(wǎng) 管理維護集中管理能力比較弱，維護較困難管理性較強，容易維護 漫游只支持二層漫游較強的二、三層漫游能力，可保證一定的切換時間 缺點集中管理能力差，不支持三層漫游特殊環(huán)境的工程能力比較差，硬件配置無法滿足復(fù)雜環(huán)境應(yīng)用標(biāo)準(zhǔn)完善性802.11f主要考慮到漫游，但沒有考慮漫游過程中后端系統(tǒng)的一致性問題，需求各個廠商自行解決基本都已經(jīng)考慮，但還沒有完全標(biāo)準(zhǔn)化

26、，目前也是處于各個廠商基于自己的理解進行實現(xiàn)標(biāo)準(zhǔn)的延續(xù)性標(biāo)準(zhǔn)組織基本上不再發(fā)展802.11fIEEE與IETF都是發(fā)展各自的漫游標(biāo)準(zhǔn)適應(yīng)場合地鐵、交通、碼頭、監(jiān)控、民航等，工程環(huán)境比較特殊，網(wǎng)絡(luò)規(guī)模不太大，沒有三層漫游需求教育、企業(yè)、醫(yī)療、酒店等，較大規(guī)模組網(wǎng)，需要集中管理和用戶認(rèn)證，有漫游需求演進：1999年802.11a/b發(fā)布，11a的缺點是覆蓋距離短與前面的標(biāo)準(zhǔn)不兼容價格昂貴，11b的缺點是速率低，2003年11g的發(fā)布克服了上述2種標(biāo)準(zhǔn)的缺點集中了其優(yōu)點。最初的企業(yè)WLAN網(wǎng)絡(luò)形態(tài)是小規(guī)模的FAT AP。隨著WLAN規(guī)模的增大，AP的管理成為問題，F(xiàn)IT AP AC的形式應(yīng)運而生。帶

27、寬：目前的帶寬為54M，在2007年，802.11n發(fā)布，帶寬會更高，業(yè)務(wù)上除更好的寬帶無線數(shù)據(jù)支持外，語音移動支持的能力也會越來越強網(wǎng)絡(luò)：無線將從最初的有線網(wǎng)絡(luò)的補充，逐步成為基本的接入方式之一，成為網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)之一，企業(yè)網(wǎng)絡(luò)產(chǎn)品形態(tài)從最初的FAT AP，到FIT AP + Centralized AC應(yīng)用從早期的數(shù)據(jù)接入，逐步對VoWLAN、視頻等寬帶應(yīng)用提供支持。移動：多媒體應(yīng)用：WIFI電話同3G電話無縫漫游、無線視頻、娛樂，即時通信，目前國外的公司已經(jīng)開始布置兩套網(wǎng)絡(luò)，一套是有線，一套是無線，有線傳送數(shù)據(jù)，無線作為補充，提供無線漫游的電話業(yè)務(wù)WLAN網(wǎng)絡(luò)演進過程及未來發(fā)展趨勢安全網(wǎng)絡(luò)無線業(yè)務(wù)豐富寬帶無線化不在將來，而在現(xiàn)在：Contents