380 likes | 499 Views
第 12 章. Cisco 的無線技術. 無線技術簡介. WLAN 通訊很像是在使用基本的乙太網路集線器:半雙工 WLAN 使用射頻 (RF), 從天線產生無線電波發射到空中。這些電波可能會被被牆壁、水、和金屬表面吸收、折射、或是反射 , 而導致信號強度微弱 使用較高的頻率 , 可以取得較高的資料速率 , 但卻會縮短傳送距離。如果使用較低的頻率 , 可以傳送較遠的距離 , 但卻又只有較低的資料速率 在大多數國家中 , 802.11 的規格並不需要取得執照. 無線標準的相關機構. 免執照頻段與 RF 頻譜. 802.11 標準.
E N D
第 12 章 Cisco 的無線技術
無線技術簡介 • WLAN通訊很像是在使用基本的乙太網路集線器:半雙工 • WLAN使用射頻 (RF), 從天線產生無線電波發射到空中。這些電波可能會被被牆壁、水、和金屬表面吸收、折射、或是反射, 而導致信號強度微弱 • 使用較高的頻率, 可以取得較高的資料速率, 但卻會縮短傳送距離。如果使用較低的頻率, 可以傳送較遠的距離, 但卻又只有較低的資料速率 • 在大多數國家中, 802.11 的規格並不需要取得執照
802.11b • 在免執照的 2.4GHz 上運作, 提供最高 11Mbps 的資料速率 • 目前幾乎已被802.11g取代 • 所有 Cisco 802.11 WLAN 產品都有在移動中轉換資料速率的能力。所以在 11Mbps 運作的人可以轉換到 5.5Mbps、2Mbps、甚至於跟 1Mbps 的存取點進行通訊。發生這種速率轉換時並不會失去連線, 而且也不需要與使用者互動。速率轉換是以每次的傳輸為基礎;這代表存取點可以根據每個客戶端的位置, 以不同的速率支援多個客戶端
802.11g • 2003 年 7 月通過, 具有802.11b向後相容性 • 802.11g 跟 802.11a 同樣具有 54Mbps的最大資料速率, 但在 2.4GHz 範圍中運作 - 跟 802.11b 相同 • 802.11b 的產品無法經由「軟體升級」到 802.11g﹐因為 802.11g 無線設備是使用不同的晶片組來提供更高的資料速率 • 802.11g 的產品可以跟 802.11b 的產品在同一個網路中混合使用。但混合使用時每個連到相同存取點的人都被迫要執行 802.11b 的 CSMA / CA 方法 - 造成產出效能變低。所以, 要最佳化效能, 則最好能關閉所有存取點的 802.11b-only 模式 • 802.11b 的調變技術為DSSS (Direct Sequence Spread Spectrum)﹐不如 802.11g 和 802.11a 所使用的 OFDM (Orthogonal Frequency Division Multiplexing) 調變。使用 OFDM 的 802.11g 客戶端可以比使用相同範圍的 802.11b 客戶端有更好的效能。但是當 802.11g 的客戶端以 802.11b 的速率運作時, 它們其實是使用跟 802.11b 相同的調變方式
802.11g使用的頻道 • 在美國只有 11 個通道是可以設定的, 且通道 1、6、和 11 間沒有重疊 - 這讓您可以在相同區域設置 3 個存取點而不會發生干擾
802.11a • IEEE 於 1999 年通過 802.11a 標準 • 使用 12 個頻率不重疊的通道, 提供 54Mbps 的最高資料速率 • 在 5GHz 的無線頻帶運作, 所以也不會受到在 2.4GHz 頻帶運作的裝置干擾, 例如微波爐、無線電話和藍芽裝置等
802.11a(續) • 沒有802.11b向後相容性, 因為它們的頻率不同, 所以無法只是將部分的網路「升級」, 然後期望所有東西可以和諧共處﹐但有很多雙頻裝置可以同時在這兩種網路中運作 • 802.11a 的一項好處是它可以在相同的實體環境中運作, 而不會受到 802.11b 使用者的干擾 • 802.11a 產品也具有在移動中轉換資料速率的能力。可以讓那些在 54Mbps 速率下運作的人轉換到 48Mbps、36 Mbps、24 Mbps、18 Mbps、12 Mbps、9 Mbps, 甚至於 6 Mbps 的 AP 進行通訊 • 802.11a 規格還有個延伸版本稱為 802.11h
802.11h • FCC 在 2004 年 2 月增加了 11 個新的通道。這使得 802.11a 的 5GHz 產品最多可以存取23 個不重疊的通道! • 802.11h 規格的 5GHz 無線設備有 2 個新功能: • 傳輸功率控制 (Transmit Power Control, TPC) • 可以將客戶端機器的界面卡和存取點的傳輸功率設定為涵蓋不同的範圍。其中一個理由是將存取點的傳輸功率設為 5mW 以縮小細胞範圍 - 當您在一小塊區域中有高密度的使用時, 這種做法會有很好的效果 • 讓客戶端機器可以動態微調它的功率, 使它可以使用剛好的能量來維持與存取點的連線, 保存其電池的電力, 並且降低對相鄰 WLAN 細胞的干擾 • 動態頻率選擇 (Dynamic Frequency Selection, DFS) • 可以在傳輸前持續監督裝置運作範圍中的所有雷達信號, 包含部份的 5GHz 頻帶和 802.11a。如果 DFS 發現任何雷達信號, 它會放棄目前佔用的通道, 或是將它標示為不可使用, 以避免在 WLAN 中發生干擾
802.11 各種速率標準涵蓋距離的比較 若要獲得 802.11a 和 802.11g 完整的 54Mbps 效益, 距離必須介於 50 到 100 英呎 (最遠) 之間
2.4GHz / 5GHz (802.11n) • 802.11n 是在 802.11 標準之上再新增 MIMO (Multiple-Input Multiple-Output), 使用多個發射和接收天線以增加資料的產出 • 802.11n 最多可以有 8 座天線, 但是今日大多數的存取點都是使用 4 座 • 它們有時被稱為是聰明型天線 (smart antennas), 如果您真的有 4 座的話, 則 2 座天線會同時用來傳輸, 另 2 座則同時用來接收
典型的基礎建設網路 Root AP 全部使用相同的SSID來提供漫遊 Root AP Root AP
Cisco 的整合式無線方案 • 智慧型 Cisco AP • 自動 RF 控制 • 安裝之後就不再需要任何組態設定﹐AP會根據控制器的資訊自動設定自己的組態。甚至可以檢查通道的重疊和干擾, 並且幫自己指定一個不重疊的通道, 如果它剛好偵測到區域內有重疊的通道, 它會降低自己的傳輸等級以限制干擾 • Cisco WLAN 控制器 • 管理 • 可透過控制器的網站界面、控制器本身、或是 Cisco 的無線控制系統WCS來管理整個無線網路
MAC 的劃分架構 • Cisco將 802.11 協定的處理劃分給兩個裝置 - AP 和集中式的 Cisco WLAN 控制器
MAC 的劃分架構-AP • AP 會處理協定中有即時需求的部份: • 當訊框在空中傳送時, 客戶端與 AP 間進行訊框交換斡旋 (handshake) • 傳輸信標 (beacon) 訊框 • 在省電模式的運作中, 為客戶端提供緩衝並傳送訊框 • 回應客戶端的探測請求訊框 • 將收到之探測請求的通知轉送給控制器 • 提供每個所收訊框的即時信號品質資訊給控制器 • 監督每個無線通道的雜訊、干擾、和其他 WLAN • 監督其他 AP 的出現 • 除了 VPN / IPSec 客戶端之外的加解密
MAC 的劃分架構-WLAN控制器 • 時間的敏感度是AP的主要考量﹐而剩餘的功能則都由 Cisco WLAN 控制器來處理, 這裡需要的是控制器的整體可見度。下面是 WLAN 控制器中所提供的一些 MAC 層功能: • 802.11 的驗證 • 802.11 的連結和重新連結 • 802.11 的訊框轉換和橋接 • 如果 Cisco 的無線控制器在裝置模式下故障, 被它拋棄的 Cisco AP 會在網路中進行輪詢, 以尋找另一個 Cisco 無線控制器 • 當線上的 Cisco 無線控制器還有剩餘的 AP 埠時, 管理界面會聆聽網路上 Cisco AP 的輪詢訊息, 以儘可能自動發現、並且與最多的 Cisco AP 連結和進行通訊
Mesh和 LWAPP • 廠商逐漸使用網格階層式設計, 並使用Lightweight AP來建立較大型的網路 • LWAPP (Access Point Protocol) 是用來管理Lightweight AP與 WLAN 系統間的通訊 • Cisco 的網格網路基礎建設是decentralized的﹐其中每個節點扮演傳輸資料的中繼器, 這使得網路可以橫跨相當遠的距離 • 網格網路非常穩定﹐因為每個節點可能連到數個其他節點, 如果其中一個節點因為硬體故障或其他原因而脫離網路, 它的鄰居只要再找一條路徑就好了 • 必須透過Cisco WLAN 控制器來設定、監督、和操作 Cisco 的 LWAPP 網格存取點﹐所以冗餘的控制器是絕對需要的
網格網路的術語 • 根存取點RAP 連到有線網路, 並且擔任通往有線網路的「根」或「閘道」﹐RAP 透過有線的連結連回 Cisco 的 WLAN 控制器。它們使用回程連線 (backhaul) 的無線界面來與鄰接的網格 AP 通訊 • 網格存取點MAP 遠端 AP, 通常位於屋頂或高樓上, 在 5GHz 的回程連線上最多可以連結 32 個 MAP
AWPP • Adaptive Wireless Path Protocol, AWPP是Cisco針對無線環境所特別設計的全新協定 • 每個 AP 都會執行AWPP﹐這個協定讓 RAP 能夠彼此溝通, 以找出透過 RAP 回到有線網路的最佳路徑 • 一旦建立最佳路徑之後, AWPP 會繼續在背地執行, 以便在拓墣改變或是環境造成鏈結強度減弱時, 能夠建立另外一條回到 RAP 的路徑 • AWPP會考慮諸如干擾和特定無線設備特徵, 以便網格能進行自行設定和自行修復,讓網格網路的運作不會被中斷, 而且能提供一致的覆蓋 • 當存在干擾或是新增 / 移除 AP 的時候, AWPP 就會重新設定回根 RAP 的路徑 • AWPP 使用「黏性」 因子來緩和路徑, 以應付高度動盪的無線環境﹐確保諸如大卡車經過網格所造成的暫時破壞等事件不會造成網格不必要的變動
802.11原始設計的基本安全性 • SSID • 防止任何沒有 SSID 的客戶端裝置進行存取﹐但根據預設, AP每秒鐘都會在它的beacon訊框中廣播它的 SSID 許多次。即使關閉 SSID 的廣播, 存心不良的傢伙也可以藉由監看網路, 等待客戶端回應存取點而找到 SSID • 開放式或共享式金鑰驗證 • 所有WI-Fi認證的產品出貨時都是使用開放性存取模式 • 共享式金鑰驗證:AP會傳送challenge text packet給客戶端裝置, 而客戶端必須使用正確的 WEP 金鑰加密之後再傳回給存取點 • 共享式金鑰驗證也不算安全, 因為入侵者只要取得一對盤問的明文和它使用 WEP 金鑰加密後的結果, 再解出 WEP 金鑰即可 • 靜態的 WEP • WEP 金鑰是由 40 或 128 位元所組成, 網管人員必須花許多時間在 WLAN 中的每個裝置上輸入相同的金鑰 • MAC 驗證 • 得手動地輸入客戶端 MAC 位址到每個存取點進行過濾﹐但MAC 位址是可以捏造的
WPA • WPA (Wi-Fi Protected Access) 是 Wi-Fi 聯盟在 2003 年所發展的標準, 正式名稱為 WECA • WPA 提供 WLAN 驗證和加密的標準 • WPA 是邁向 IEEE 802.11i 標準的一步, 並且使用許多相同的元件 - 只有加密方式不同。WPA已經通過IEEE 802.11i﹐並且命名為WPA2 • 802.11i 使用 AES 加密, WPA 的機制則是要由目前的硬體廠商實作, 這表示使用者只能透過韌體 / 軟體的修改才能在它們的系統上實作 WPA • WPA 或 WPA 2 的預先共享式金鑰 (PSK, Pre-Shared Key) 比WEP提供更好的安全性 • PSK 會在客戶端機器和存取點上透過密碼或識別碼來驗證使用者﹐並提供金鑰材料供TKIP或 AES 為傳送資料的每個封包產生加密金鑰 • PSK 與靜態 WEP 還是有許多共同點;PSK 也是儲存在客戶端裝置, 當裝置遺失或被竊時就可能被破解。所以建議您使用堅強的 PSK 識別碼, 包含字母、數字、和非文數字符號的組合
Cisco 的整合式無線網路安全 • 支援 WPA 和 WPA2 • 相互驗證 • 資料私密性 • 堅強的動態加密 • 個別使用者及個別會談的存取控制 • 服務品質 (QoS) • 行動性
Cisco 的無線網路安全功能 • WLAN 的安全連線 • WPA-TKIP • 改良WEP的缺陷, 如 MIC、透過初始向量雜湊的個別封包金鑰、和廣播金鑰循環 • WPA2-AES • WLAN 的信任和識別 • 支援目前市面上最大範圍的 802.1X 驗證類型、客戶端裝置、和客戶端作業系統 • 所有來嘗試驗證的 RADIUS 帳務記錄 • WLAN 的威脅防禦 • 透過入侵預防系統 (Intrusion Prevention System, IPS)、WLAN NAC 和先進的位置服務, 偵測未經授權的存取、網路攻擊、和惡意的存取點
無線互連網路的設定範例 • 可利用SDM來設定無線網路﹐尤其是它的安全性功能
無線互連網路的設定範例(續) • 點選 Edit Interface / Connection頁籤, 然後再點選 Summary, 就可開啟或關閉界面。如果是點選 Edit按鈕, 則可以在界面中加入 NAT、或存取清單等等
無線互連網路的設定範例(續) • 從第一個畫面中的 Create Connection , 或是在第二個畫面中點選 Edit 之後出現的螢幕畫面中, 都可以點選 Launch Wireless Application﹐它會開啟新的 HTTP 畫面, 讓您從 Express Set-up中設定無線裝置的組態
無線互連網路的設定範例(續) • 點選Wireless Express Security
無線互連網路的設定範例(續) • Wireless Interface顯示無線界面和基本的設定(一)
無線互連網路的設定範例(續) • Wireless Interface顯示無線界面和基本的設定(二)
無線互連網路的設定範例(續) • 在 Wireless Security標題之下設定加密、加入 SSID、並且設定 RADIUS 伺服器的組態
無線互連網路的設定範例(續) • 在 1242AG AP 中輸入 HTTP後的畫面